首篇文章《FireEye探讨近期网络攻击细节及应对措施》文章首先坦承最近受到高度复杂的

网络攻击，从攻击者的行为、操作的隐蔽性和使用的技术来看，被认为是国家自主的组织攻击

。CEOKevin认为这是他25年来遇到的顶级攻击，整个过程可以说是定制Fireye。
 

Fireeye指出了这次事件的一些影响。

 

 

1、攻击者访问红队安全评价工具，认为工具已经泄露。2.这些工具不包括0Day。3、但这些

工具有免杀能力，预计会影响社会。4、客户信息和TI收集的元数据未泄露。

 

 

精彩之处在于Fireeye应急响应：1、可以写出300多条安全检测规则，利用这些规则，发现使

用他家具的攻击行为。2、Fireeye家庭安全产品内置了这些检查规则(自己的矛攻击自己的矛

盾)作为上市公司，根据《证券交易法》进行了积极的声明。

 

 

第二篇文章《Fireeye红队工具未经许可访问》

 

本文首先对FireEye红队工具做了基本说明：

 

 

1、工具中既有简单的自动化信息采集脚本，也有CobaltStrike、Metasploit等公开技术框架。
 

2、许多红队工具已经在社区发布，在他们的开源虚拟机CommandoVM中。(https://github.co

m/fireye/commando-vm)
 

3、修改了一些公共工具，可以绕过通常的安全检查。
 

4、团队内部开发了其他工具和框架。
 

5、不存在0day。

 

有几种感觉:
 

1.面对问题的勇气。作为一家公司，是上市公司。自己被入侵是羞耻，但FireEye不是掩饰，而是

公开暴露是很重要的。前几天的大规模攻防演习中，安全产品不安全的段落也满天飞，各大安全

公司也互相拆台，SXFEDR更加暴力，最后SXF选择公开自己的产品，面对问题，值得鼓励。2.

准备矛盾和矛盾。许多安全制造商，红队只负责攻击，不负责写检查规则。如果有漏洞的挖掘队

伍，新挖掘的漏洞和规则库作为PR增加了自己的产品能力，对于红队开展日常服务的工具，有

检查规则吗？特别是杀软绕道、HIDS绕道、提取权利的工具，这里有疑问。3.安全共赢的生态

。Fireeye发表的战略有TI、网络、主机等水平的检查规则，可以跨越不同厂家的产品，最大限

度地减轻社会问题的影响。想象一下国内发生了什么样的场面。

 

-A家红队工具泄露，发布工具检测规则。
 

-b家的NTA战略语法不一致，需要几天修改检查规则。
 

-C家的AV不支持用户定制规则，也需要等几天修改规则。
 

-D家威胁信息说不支持这种格式，再过几天就加IOC了。
 

有人说你想得太多了。a家为什么要公布检查规则？宣传和大众的记忆是最好的商业规则。