Trellix 源代码泄露暴露安全产品内部

执行摘要

由 McAfee Enterprise 和 FireEye 合并而成的网络安全公司 Trellix 遭受了源代码泄露事件，暴露了其安全产品的内部运作。据 Dark Reading 报道，此事件突显了供应链风险的增长，因为被盗的源代码可以揭示安全控制的位置以及检测机制的设计。此次泄露的全貌——包括攻击者如何获得访问权限以及具体被窃取了哪些代码库——目前尚不清楚。

技术分析

从安全供应商那里窃取源代码特别具有破坏性，因为它为对手提供了防御能力的蓝图。攻击者可以研究检测逻辑，识别盲点，并制作能够绕过特定控制的恶意软件。在 Trellix 的案例中，被盗的代码可能包括用于终端检测和响应（EDR）等产品中的签名、启发式和行为分析规则。这类情报对于寻求绕过企业防御的高级持续性威胁（APT）集团来说非常有价值。

Dark Reading 指出，细节很少，Trellix 也没有公开披露攻击向量或客户数据是否被访问。此次泄露遵循了针对安全供应商的知识产权盗窃模式，包括前几年在 Symantec 和 FireEye 发生的事件。

缓解措施与建议

使用 Trellix 产品的组织应监控其环境中的异常行为，特别是如果攻击者利用对 Trellix 检测逻辑的了解来绕过警报。防御者应确保终端遥测不仅仅依赖单一供应商的签名——通过网络监控、行为分析和独立的威胁情报源进行检测分层，可以降低盲点的风险。Trellix 的客户还应审查他们的事件响应计划，并确认即使供应商自己的工具被破坏，他们也能检测到后续利用活动。

Trellix 源代码泄露暴露安全产品内部