14.09.2015

FireEye прощай?!..

На компанию FireEye в августе-сентябре просто свалились какие-то напасти... Начну с того, что FireEye является очень раскрученным в США брендом в области борьбы с целенаправленными угрозами. Обратите внимание - я написал "раскрученным брендом". Потому что качество обнаружения неизвестных угроз в продуктах FireEye находится на уровне гораздо ниже среднего. Вот результаты последнего тестирования NSS Labs, проведенного в этом августе.

Результаты тестирования систем класса Breach Detection System от NSS Labs
Как мы видим решения FireEye являются единственными аутсайдерами и по эффективности обнаружения и по совокупной стоимости владения (TCO). Но эффективность системы - субстанция меняющаяся. Сегодня ты пропускаешь атаки, завтра обнаруживаешь. Вопрос в другом - извлекаешь ты уроки из проведенных тестирований или нет? Или, опираясь на то, что ты продукт из категории "must have" (а FireEye многие аналитики в США не задумываясь относят именно к этой категории), можно выпускать средний по качеству продукт?

Решения FireEye позиционируются как ловящие неизвестные атаки, в том числе использующие уязвимости 0-Day. FireEye кичится тем, что они нашли уязвимостей 0-Day много больше, чем все Топ-10 ИБ-компаний в мире вместе взятых. Они нашли уязвимости в продукции Microsoft, Adobe и Java. Ну, допустим. Многие ищут и считают это вполне нормальной практикой. FireEye, видимо, тоже считает, что искать дыры в чужих продуктах - это нормально. Нормально?! Да, пока это продукт не твой собственный.

Неделю назад была опубликована информация о 0-Day в продуктах FireEye. Часть опубликована, часть нет.


Ну нашли и нашли? И что? Чем они лучше других? Что, работа в области ИБ, гарантирует отсутствие уязвимостей? Нет. Софт коряво может написать любой программист; и работающий в ИБ-компании, и неработающий. Нашли - скажи спасибо и устрани. Или просто устрани. Нет в этом ничего страшного. Не они первые, не они последние. Но FireEye повел себя странно.

Исследователь (Кристиан Эрик Хермансен) пытался 18 (!) месяцев добиться от FireEye хоть какой-нибудь реакции, но безуспешно. В итоге он выложил часть обнаруженных дыр в Интернет, а за остальную попросил вознаграждение. При этом, он заявил, что "никто не должен доверять продуктам FireEye в своей сети, потому что они даже не позаботились об устранении обнаруженных дыр. У компании, которая занимается ИБ, стандарты безопасности должны быть выше". И это при том, что ранее FireEye заявляла о том, что она трепетно относится к защите своих клиентов.

После публикации Хермансеном информации о дырах FireEye почти сразу заявила, что надо быть ответственнее и что она всегда готова протянуть руку помощи всем исследователям, которые соблюдают политику FireEye по раскрытию уязвимостей. Правда обещанных ранее по bug bounty программе денег платить отказалась, а про 18-тимесячный срок скромно умолчала.

Параллельно с Хермансеном FireEye проводит разборки с другими исследователями, которые нашли в продуктах FireEye уязвимости. Речь идет о немецкой компании ERNW, которая в начале года нашла несколько дыр в FireEye MPS. ERNW написала о дырах производители и планировала через 90 дней после этого выпустить соответствующий бюллетень. Но тут началось странное... Между FireEye и ERNW начались обсуждения, что можно, а что нельзя публиковать в бюллетене. 5 августа казалось бы консенсус был найден, но на следующий день ERNW получили официальное письмо, запрещающее публиковать сведения об уязвимостях по причине раскрытия интеллектуальной собственности FireEye. Спустя еще неделю представители ERNW получили повестку в суд (!) по данному делу. Реакция прямо скажем немного странная для компании, которая сама ищет 0-Day в чужих продуктах. Одно дело, когда производитель просит не публиковать информацию до выпуска исправлений и совсем другое, когда идет запрет на публикацию через суд.

Кстати, Хермансен тоже сталкивался с интересом юристов к своей персоне. В прошлом году он нашел на одном из американских государственных сайтов уязвимости, о чем сообщил владельцам портала. Те никак не отреагировали и спустя месяц молчания исследователь опубликовал информацию в открытых источниках. После этого юристы, нанятые владельцами портала, пытались добиться вымарывания из Интернет всех упоминаний данной проблемы.

Очевидно, что такая реакция производителя средств защиты не заставила себя ждать. По Интернет покатилась волна возмущения, которая, вполне допускаю, закончится увеличением числа желающих поисследовать код FireEye. Помню много лет назад, когда Oracle очередную версию своей СУБД назвал "невзламываемой", они получили невиданный ранее всплеск интереса к своей продукции - число найденных в "невзламываемой" версии дыр был на порядок больше всех предыдущих.


FireEye поспешила оправдаться, заявив, что она не хотела и не хочет запрещать кому бы то ни было публиковать информацию об уязвимостях, но она беспокоится о своем бизнесе и своих клиентах и поэтому оберегает их от любых напастей.

Схожие ситуации бывали и раньше. Например, в марте этого года BlueCoat надавила на одного из исследователей, заставив его отказаться от выступления на конференции по ИБ. Отдельные представители отрасли стали даже заявлять об отказе от продукции BlueCoat.


Чем закончится текущая ситуация для FireEye пока непонятно. Может ничем. Может ростом числа найденных уязвимостей. Все может быть. Пока же мы наблюдаем существенное падение курса акций компании - с 54 долларов до 37. Акционеры негодуют :-)


2 коммент.:

mike комментирует...

Желание попинать конкурентов просто сквозит... :)

ОДнако мы видим уже много случаев когда конфликт с NSS груп приводит к таким вот историям и в тестах вдруг все проваливаются.

На слуху уже были : Tippin Point которые по начинали с NSS делать тесты и прочее .... был скандал, по слухам у людей занимающихся типпингом вдруг запросили сумму сильно больше... (ну конечно же это фигня и совпадения - просто типпинг вдруг перестал ловить ...).
потом помню Stonesoft - отказались от одного теста и вдруг все стало нехорошо в этом тесте, несмотря на то, что им железку никто не давал, но они сами ее взяли, как то там версии перепутали, настроили что то не так .... умолчу про историю с генератором АЕТ для NSS, смешной побочный результат там был : циска вдруг ушла с тестов ... :) Совпадение конечно.
потом Файрай вдруг законфлитктовал с ними .... результаты видим .
Наиболее смешной из свежих была история с Палоальто - когда если читать NSS и их блоги, на тестах они пропустили половину атак с использованием техник обхода.
Но тут незадача случилась - судя по всему ситуацию как то уладили - и вдруг начали говорить, что ну пропустили всего 4 атаки ну и прочую ерунду ( ага - а тестировали то всего 8 атак).

Выводы делайте сами. Лукацкий понятно просто воспользовался поводом, чтобы попинать конкурента. но вот после этих "красивых" историй - можно ли доверять тестам NSS?

Максим Дуков комментирует...

"ERNW написала о дырах производители и планировала"
ПроизводителЮ?