- 企业服务
- FireEye
- 网络安全
火眼,APT威胁下快速成长
FireEye的兴起开始于2012年,这时段正好迎上APT(Advanced Persistent Threat,高级持续性威胁)猖獗。
APT是一种以特殊利益(通常为商业和政治利益)为目的,针对类似政府、企业、军队等组织发动具有潜伏性、针对性的攻击。APT是对组织网络的破坏,组织网络上任何一个节点的薄弱都会引起系统性的破坏。
APT近年来出现了愈演愈烈的趋势,并逐渐向移动端蔓延。FireEye凭借独有的MVX(Multi-Vector Virtual Execution)虚拟沙盒技术,在APT防御领域几乎是独步武林。这几年发展起来的虚拟沙盒产品,基本上都受到了FireEye的影响。
从创立至今,FireEye共换个三任CEO,Ashar Aziz、David DeWalt和Kevin Mandia。
Ashar Aziz,是 FireEye创始人,2004-2012年担任CEO,他曾担任Sun Micro的DE(Distinguished Engineer),曾创办TerraSpring公司,后被Sun收购。2012年以后,Ashar卸去CEO职位,担任CTO和首席战略官。
David DeWalt ,任期在2012-201。进入FireEye之前,David曾担任MacAfee公司的CEO,并主导了Intel对macfee77亿美元的收购。他是一个收购专家在职业生涯中收购多达50多次,并被刊物CRN评为高科技领域最有影响力的25位高管之一。
Kevin Mandia 从2016.2上台,他以前是FireEye收购的公司Mandiant的CEO,2012年加入FireEye后一直担任副总裁。2004年成立Mandiant之前,他曾在五角大楼第七通讯部担任安全员,并在多家企业企业从事信息安全和安全取证工作。
FireEye在三任CEO的带领下由技术性向服务性转变,并在第二人CEO的收购技能加持下完善了自身的安全平台。
技术小强兼收并蓄,通过并购建立从威胁防护到情报管理综合性平台
FireEye自身定位为一家全面的网络安全方案提供商,而不同于之前基于特征码传统安全方案。传统的安全解决方案通常后知后觉,在病毒的潜伏期无法判断其存在。而APT攻击常常利用未被发觉的0Day漏洞,潜伏下来,并在合适的时间进行攻击。
MVX技术是FireEye的核心,这一种无需特征码的技术。FireEye会在虚拟机上复制客户的网络环境,并在虚拟环境中模拟运行原系统文件的行为,例如邮件中的附件。FireEye虚拟机的系统兼容性非常好,包括了Linux、Mac和Android系统。沙箱技术虽然在APT防护领域已经广泛使用,但MVX仍然是最优秀的技术之一。
FireEye的第一个产品Web MPS于2008年发布,直到2012年FireEye的主要的收入都是依靠硬件及配套的软件产品。2012年,FireEye开始转型,产品线向服务端扩展。
2013年到2016年,FireEye进行了四次收购,其中10亿美元收购Mandiant,6000万美金收购nPulse,2亿美元收购iSight,最后一次3000万美元收购Invotas。
这四家公司主要从事网络安全咨询与舆情控制、威胁情报和安全整合业务,收购实现了FireEye在安全服务领域较大的跨越,构建了以侦测、处理、情报、咨询为一体的综合安全管理平台。
在成熟的威胁防护平台上,逐渐向云安全和专家服务模式转变
至今,FireEye业务线可以分为三大领域,威胁防御、分析响应、安全服务:
威胁与防御,以网络安全NX、邮件安全EX、移动安全MX、端点安全HX、文件安全FX等安全设备为基础,构建在中央管理系统CMS下APT检测与防御网络。
分析与响应,由恶意行为分析MA、威胁分析平台TAP、安全协调SO和安全取证Forensics等系统组成,结合威胁防御平台建立的威胁分析、取证平台。其中,FireEye的取证系统取得了美国国家安全局的认证,可用于司法认定。
安全服务,包括了火眼即服务FAAS、威胁情报等服务。其中,火眼即服务FAAS会有相应的专家会跟踪系统的异常事件,对发生的异常快速反应,并能够快速记录下攻击的证据,作为系统遭受依据
FireEye响应的收费分为三种,产品出售,Saas类云订阅服务和维护支持以及由安全专家管理的订制类服务。
产品出售包括了威胁防御平台、中央管理系统、威胁分析平台、恶意软件分析平台和安全取证产品。这些产品通常由硬件设备及配套的软件构成,该类收入可以在当期内确认。
云订阅服务提供类似Saas的动态威胁智能DTI、高级威胁智能ATI等服务及其配套的维护,这些服务按照入口流量收费,通常签订1~3年的合约,并在合同期内摊销。这类服务对专业人员的要求较小。
安全管理专家类的定制服务,即FireEye as a service。是借助FireEye的网络平台、终端安全平台和取证平台,通过响应的安全专家对其进行7x24小时的分析、管理,以达到快速精准响应的目的,这类服务需要配置大量的专业人员进行服务。除此之外,FireEye还提供了安全咨询服务。
市场份额逐年缩减,同业竞争压力加大
从2011年至今2015年,FireEye客户数量从450家客户,增长到了4400家,年均复合增长率为76.83%,其中2015年客户净增数量为1300家,增长率为42%,增速在逐渐减缓。不过,FireEye的客户中并不存在销售额超过年收入10%的超级大客户,2015年其福布斯2000强的客户数就有680家。
FireEye客户主要来自美国国内。在国际市场方面,FireEye的国际市场开拓效果并不是很明显,其在美国的市场份额一直在70%-80%,呈缓慢下降的趋势。安全产品的拓展在地缘问题上阻力还是比较大。
数据来源:FireEye年报
此外,FireEye还来自竞争和自身业务模式压力。
第一,像思科、Intel、IBM、赛门铁克、趋势科技等设备或者软件提供商,在其安全体系中都提供了产具有APT防御功能的综合性安全解决方案。若客户对APT的防护需求不是很高,遇到这种比较贵的解决方案,客户通常优先选择启用安全防护系统中带有APT防护功能。
第二,对FireEye压力最大的厂商为Palo Alto Network,其生产的WildFire第二代防火墙,在APT防御产品排名中仅次于FireEye。Wildfire多采用捆绑销售的形式,利用Palo的原有客户源,WildFire的铺货面积已超过8000家,远大于FireEye现有的4400家客户。
第三,FireEye竞争力的下降还受制于本身的原因,如FireEye现阶段只提供了对攻击状态的隔离而无法对系统补救;由于FireEye系统比较复杂,需要派驻专人进行调试;同时FireEye开始遇到新的挑战,越来越多的恶意代码采取绕过沙箱的手段,越来越多的安全公司(如趋势科技)开发了新的沙箱技术,加剧了APT领域竞争。
虽然FireEye在APT防护领域较早建立了技术优势,但受限于市场容量、海外开拓的阻力、同行的强力竞争及产品更新的需求,FireEye的竞争优势已大幅下降。
通过一系列的并购工作,FireEye结合自身威胁防护平台的建立的情报收集网络,已经建立了全面的威胁情报、分析及快速响应平台,虽然这个优势现在还没发力,后期将是FireEye的重点。
收入增速降低,营销费用仍较高,亏损幅度继续增大
单位:$,mm 数据来源:FireEye年报
FireEye自2011年销售额开始稳定增长,但增长趋势逐渐减缓。
2015年,FireEye在业务上增长只有46%,增长率滑落到20114年的四分之一。这种销售收入的下降与其产品特性及竞争的加剧是分不开的。这一点在2016年FireEye第二季度财报发布后也得到验证。FireEye 已将2016年预期从7.8-8.1亿美元收益调低至7.16-7.28亿美元,预期增长率将低于20%。
数据来源:FireEye年报
从利润表中可以看出,FireEye的毛利率从2011年的78%下降到2015年的63%。FireEye利润率的下降主要与服务收入占比逐渐升高,同时服务毛利率逐渐降低有关。结合收入构成看,从2011年其订阅服务的占比从26%增加到65%,但服务毛利率逐年降低直至2015年的61%。
单位:$,mm 数据来源:年报
结合产品成本构成分析,FireEye的成本占比最大的当属营销费用,2013年FireEye的营销费用占比一度高达104%,当年的营销费用已超过总收入。
2015年经过管理层调整,FireEye的营销费用占比从90%降至76%,已初见成效。但从长远看,按照现有的销售增速,FireEye由亏损转为盈利还遥遥无期。2015年底,FireEye的负债总额已达13.97亿美元,其中7.06亿为可转换债券,其再融资能力也受到限制。
需要特别注意的是,2013年FireEye的研发费用和管理费用分别上涨了一倍,达到了41%和32%,虽然与占比高达104%的营销费用相比不怎么起眼,但与同为网络公司的CyberArk和Palo Alto的研发费用占比仅为13%左右相比,FireEye的研发费用占比竟然高出了一倍。
虽然FireEye产品市场市场增长有限,快速的服务业务增长成为FireEye翻身的关键。
这里面有三方面的原因:一、服务平台依托于FireEye的防御平台及威胁情报和分析系统,FireEye在威胁情报分析领域积累了大量的基础数据;二、其中,FAAS的服务属性,可以不依赖安装设备的数量,具有市场爆发的潜力,而云服务平台人工成本较低,利润提高较快,三、服务的毛利率一度高达90%,通过适度的管控手段,服务的利润具有超过产品利润的潜力。
市值持续下跌,业务转型成为新的机会
FireEye从2013年9月在纳斯达克上市之后,其股价在2014年Q1一度接近100美元,市值达131亿美元峰值。但随后处于下跌的趋势。虽然在2014年,FireEye的收入增速高达163%,但高额的管理费用和持续亏损将股价一起带进了沟里。
单位:$,mm 数据来源:年报
对比FireEye上市来的市值变化,其市销率由2013得34.52下降到2016年的3.69。与美股上网络安全行业同类型的行业相比,其P/S值也处于较低的水平。
数据来源:相关公司年报
爱分析认为,FireEye市值较低的主要原因有:
1. FireEye的主营业务为APT防护业务,缺乏其他安全系统的查杀和修复功能,客户还需另行购置其他安全方案;
2. 传统厂商的APT解决方案常与其他安全方案捆绑销售,对APT要求不高的公司无需为其单独付费;
3. FireEye业务模式中APT业务占比过重而市场竞争激烈,而其作为网络安全服务商的转型从市场效果上看还不明显;
4. 运营费用较高,其营销成本和研发成本是同行公司的两倍,造成了企业的持续亏损。
根据The Radicati Group的报道,APT防护市场2015年仅有19亿美元,至2020年的也只有73亿美元,但整个安全市场将在2020年1700亿美元的规模。如果FireEye新上任的CEO Kevin Mandia能够在管理费用上有效控制,抑制亏损加剧,并借助其在APT防护领域积累的威胁情报体系持续发力,FireEye必将重新走上发展正轨。