CrowdStrike網絡安全云平臺分析計算機CrowdStrike:開啟網安龍頭登云之路開局破萬象，全球端云結合安全平臺開拓者CrowdStrike成立于2011年，團隊成員均來自信息安全產業和美國情報機關，包括FBI，Apple，Google，亞馬遜和微軟等。CrowdStrike的成功在于將最先進的端點保護與云端專家情報相結合，不僅可以掃描追溯惡意軟件，還可以確定攻擊者本身。CrowdStrike和全球數十家著名企業組成技術合作伙伴，為網絡安全行業提供實時的更新和防護。CrowdStrike近年處于高速復合增長階段，市值也從上市之初的83億美元，攀升至2021年1月的近500億美元，實現了六倍漲幅。基于對網絡安全行業獨有的認知和理念，使CrowdStrike成為5G時代背景下網絡安全行業極具改革精神的創新引領者。Falcon平臺，一劍破萬法。以CrowdStrike端點保護和云端專家情報模式形成的Falcon平臺可以補足傳統防護的缺陷并提供完善的云邊際保護。CrowdStrikeFalcon在一個界面中整合了所有的應用和服務，以終端方式會記錄所有End-Point活動，幫助客戶直觀安全的理解才目關行為，并同時提供IT安全數據。源于可視化的特性，再輔以CrowdStrike自動識別的核心能力，Falcon有能力持續不斷的為客戶提供完善的安全防護。“人+機器”的從上至下的整合模式讓CrowdStrike可以提供完整性的保護和高等級的可視性。從整個過程來看，多種不同保護機制被使用，如機器學習、漏洞利用保護功能、系統記錄、行為分析和人工專家團隊等。CrowdStrike的Falcon是基于端云結合架構的，同時建立在最先進的圖形數據庫上，為人工智能提供動力和算力。和原始的安全解決方案不同，這種全新模式可以直接在平臺之上構建另一個程序和服務。模塊化的靈活組合+SaaS訂閱模式，滿足不同層級的客戶群體oFalcon平臺的功能模塊靈活組合功能，讓不同量級的公司可以選擇最適用的產品。CrowdStrike同時覆蓋大型企業和小型客戶，美國的網絡安全行業發展較為成熟，客戶對產品的需求不限于自身的規模。CrowdStrike基于自身的SaaS模式和多模塊靈活組合的能力，使得公司客戶覆蓋面極廣。平臺的靈活性和可擴展性使公司能夠無縫地向任何規模的客戶提供解決方案-從擁有數十萬個端點的客戶到只有三個端點客戶。這種高覆蓋率和高續訂率為CrowdStrike帶來訂閱收入同比增長超過100%，同時訂閱占比逐年保持增長并在2019年超過90%。大部分的客戶的訂閱時限為一年，結合2017年和2018年客戶留存率的96%和98%來看，絕大多數客戶仍會選擇續訂。訂閱收入從2016年占比總營業收入71.85%提升至2019年的總營業收入占比90.63%投資建議：CrowdStrike樹立了網安行業“端云聯動”的技術標桿，引領了未來行業發展的趨勢。同時SaaS訂閱模式與靈活的模塊化組合成為其開拓市場的利器。國內網安企業中，重點推薦產品技術路線與CrowdStrike最為近似的奇安信、深信服、安恒信息，建議關注天融信、啟明星辰、綠盟科技、三六零、山石網科等。內容目錄TOC\o"1-5"\h\z開局破萬象，全球端云結合安全平臺開拓者4Falcon平臺，一劍破萬法6模塊化的靈活組合+SaaS訂閱模式，滿足不同層級的客戶群體9投資建議13風險提示13圖表目錄圖1:CrowdStrike的發展歷程和重大事件4圖2：CrowdStrike上市以來的股價走勢（美元）4圖3：CS端云結合技術5圖4：傳統的安全解決方案.5圖5：CrowdStrike的PowerofOne6圖6：CrowdStrike的PowerofOne6圖7：CrowdStrikeFalcon的管理控制臺7圖8：Falcon的流程線7圖9：Falcon提供實時的完整攻擊視圖8圖10：Falcon平臺攻防實際演示.8圖11：Falcon的平臺能力9圖12：以美元留存率計算的客戶留存率10圖13：CrowdStrike2016-2020年Q1-Q3收入構成10圖14：CrowdStrike2016-2020年Q1-Q3訂閱占比10圖15：客戶采用四個或更多的云模塊的季度增長情況11圖16：奇安信打造了強大的端云協同聯防能力12未找到圖形項目表。1-開局破萬象，全球端云結合安全平臺開拓者CrowdStrike成立于2011年，團隊成員均來自信息安全產業和美國情報機關，包括Apple,Google,亞馬遜和微軟等。CrowdStrike的成功首先在于解決了一個基本問題：由于現有的基于掃描和防御惡意軟件的方式無法解決新型的復雜攻擊，聯合創始人GeorgeKurtz和DmitriAlperovitch意識到需要一種全新的方法，該方法將最先進的端點保護與云端專家情報相結合，不僅可以掃描追溯惡意軟件，還可以確定攻擊者本身。CrowdStrike和全球數十家著名企業組成技術合作伙伴，為網絡安全行業提供實時的更新和防護。圖1:CrowdStrike的發展歷程和重大事件CrowdStrike近年處于高速增長階段，市值從上市之初的83億美元，攀升至2021年1月的近500億美元，實現了六倍漲幅。基于對網絡安全行業獨有的認知和理念，CrowdStrike成為5G時代背景下網絡安全行業極具改革精神的創新引領者。圖2：CrowdStrike上市以來的股價走勢（美元）超越傳統的邊界安全防護，結合SaaS訂閱等新的商業模式，CrowdStrike的端云結合安全平臺提供獨有三大能力：端點保護和云端專家情報相結合的模式；不斷進化的終端-CrowdStrikeFalcon；3.PowerofOne，隨事件進化的融合安全服務能力。CrowdStrike創新地提出了端點保護和云端專家情報相結合的模式。傳統的網絡安全服務提供的防護往往是在終端用戶的T架構的不同層級中設珞被動防護系統，同時配有掃描功能。這種如同建造防御工事來守護城池的方式是無法抵御新型的現代進攻的。端點保護和專家情報為防衛系統提供了不斷進化的能力。這種模式等同于在建好防御工事的城池周邊再外派出很多“偵察兵”。當“偵察兵”們發現潛在攻擊的時候，他們會將情報帶回^CrowdStrike終端。基于這些情報，CrowdStrike會觀察分析攻擊者的行為，從而實施阻攔。而每一次的攻擊之后，都會擴充和加深CrowdStrike的數據庫。隨著數據庫的不斷擴大，終端對攻擊者的攻擊模式和易受攻擊的目標都會有著多層次的分析，從而提供最適應的保護模式。圖3:CS端云結合技術數據來源：CSFalcon技術中心，安信證券研究中心不斷進化的終端CrowdStrikeFalcon。對于目前的網絡安全市場，其中有一股最強烈的客戶需求指出現有的解決方案太過于復雜，而且對日已新增的現代威脅無能為力。客戶們對不斷增長的復雜性感到無力，并對自身的安全架構失去信心。于此同時，傳統的網絡安全廠商仍然將更多的組件添加到這個臃腫龐大的解決方案中。顯而易見的，這讓客戶公司更加難以管理，并給端點增加了負擔，從而影響到整個公司的效率。即使有些客戶可以運作和管理這些解決方案，但由于基于簽名技術構建的傳統網絡安全防護不足以應對突發事件，最終的損失仍是不可避免。簽名技術的先天性不足導致它有著大量的盲點，如無惡意文件攻擊和無視合法系統工具的權限索取(PowerShel)等。同時，簽名技術構架的防護需要人與人之間的互動來維持。這種消耗數天、以人工的方式去調查威脅的來源顯然和及時保護客戶利益的網絡安全原則是背道相馳的。圖4:傳統的安全解決方案PRQILIM：ABUTELDAT*SIGNATURES數據來源：安信證券研究中心整理PowerofOne,隨事件進化的融合安全服務能力。CrowdStrikeFalcon結合了所有的傳統安全功能，將安全能力變成一個單一的輕量級代理程序，這種程序不需要簽名的授權，而是以人工智能的方式運行。這種方式被稱為THEPOWEROFONE”。對于Falcon，它使得客戶可以無需每日更新簽名即可提供反惡意軟件保護。同時它也提供新型的保護機制，比如機器學習、行為分析和持續監控。這種主動防御的機制更適宜于當今網絡現狀。Falcon的單一代理機制讓客戶公司可以輕裝上陣。它包括所有傳統安全解決方案的功能，如病毒防護、主機入侵防護、IOC掃描工具、和沙箱等。結束了臃腫、超負載的安全網絡方案，帶來了一個輕量級、低延時的網絡安全綜合平臺°Falcon通過一個代理和一個管理界面來整合多種下一代防病毒軟件，從而提供完整的端點保護。由于Falcon平臺的性質，CrowdStrike可以不斷的添加應用和服務用以適應不斷變化的威脅形式。圖5：CrowdStrike的PowerofOneTHEPCWERCfONE冬圖5：CrowdStrike的PowerofOneTHEPCWERCfONE冬1AlPOWCREDPLATFORMrWJn-GEHEHD^NTDETECnnwUjiWiGEDm&EJTrMWGiERE'jump是sfGit溉MUHTiiuqFALCOI4PLATFORM_//\\\/IF回??回回1\\朋圖6：CrowdStrike的PowerofOne資料來源：CrowdStrike官網，安信證券研究中心資料來源：CrowdStrike官網，安信證券研究中心首先從無惡意文件感染開始，通過不向磁盤寫入任何內容，攻擊者可以繞過大多數傳統的網絡安全解決方案。傳統安全解決方案認定相關內珞工具是無威脅性的，導致存在大量盲點。攻擊者會使用PowerShell等內珞工具來逃避檢測，從而繞過防護并控制系統，同時，這種現代攻擊將通過建立后門的方式持續性的存在于操作環境中。基于后門的微小性和隱蔽性，導致大多數的安全人員無法通過傳統檢測工具發現它們。由于存在大量不可修正的技術盲點，攻擊者可以利用它們輕易繞開防火墻，防病毒軟件，應用程序白名單，甚至沙箱。然而，CrowdStrike端點保護和云端專家情報模式可以終結這些缺陷并提供完善的保護。下圖為CrowdStrikeFalcon的管理控制臺，Falcon在一個界面中整合了所有的應用和服務。左側的工具欄為客戶提供可視化的威脅識別、調查、和補救措施。對于Falcon來說，它將可視化定義為安全解決方案的基本要素，Falcon以終端方式會記錄所有End-Point活動，幫助客戶直觀安全的理解相關行為，并同時提佩安全數據。可視化地展示了安全措施覆蓋的范圍，如托管和非托管系統的信息、應用程序活動檢測和特權賬戶使用情況等。圖7：CrowdStrikeFalcon的管理控制臺數據來源：官網，安信證券研究中心源于可視化的特性，再輔以CrowdStrike自動識別的核心能力，Falcon有能力持續不斷地為客戶提供完善的安全防護。下圖是Falcon最近自動識別的威脅活動記錄，在記錄中，流程線顯示了完整的襲擊情況，從起源到結束。圖8：Falcon的流程線數據來源：Falcon官網，安信證券研究中心當用戶點擊BACKDOOR.EXE（后門軟件）整個攻擊中最明顯的部分時，Falcon已經成功的阻止了后門軟件的建立和使用。同時Falcon的機器學習將該文件標識為惡意軟件，并阻止了它的執行。雖然一些信息可以被傳統的安全解決方案所展示，但Falcon可以提供實時的完整攻擊視圖。而傳統的安全解決方案需要數天甚至數周才能整合實時視圖中的信息。圖9:Falcon提供實時的完整攻擊視圖數據來源：Falcon官網，安信證券研究中心通過Falcon,客戶也可以更好的理解此類型的攻擊。Falcon記錄和挖掘了相關攻擊的所有進程。我們將視頻中的流程其總結為7個步驟：.首先判斷出后門軟件的源頭來自于Outlook里的郵件鏈接，通過鏈接進入E并被鼓勵直接下載；隨著攻擊者第一步成功之后，攻擊行為仍持續下去。在控制了系統之后，攻擊者使用了內珞工具如Windows命令指示符、PowerShell、WMI和腳本文件等。這些工具足以繞開傳統的安全方案，因為它們被認定為受信任工具，而CrowdStrike仍舊持續監控這些白名單軟件。攻擊者隨后在Windows命令指示符輸入具體的命令指示。在這一步，攻擊者基于PowerShell獲取了管理員憑據，并通過憑據獲取了系統的密碼。與此同時，攻擊者還創建了第二個管理賬戶，這種行為可以幫助攻擊者在被人工發現首要管理賬戶被攻陷的情況下還能繼續使用系統。當攻擊者嘗試控制服務器的時候，CrowdStrike情報軟件已經檢測到此域名是惡意的。用戶可以將此域名輸入Falcon的病毒數據庫進行進一步的了解。在視頻中，操作者搜索此域名之后，發現它和俄羅斯的病毒軟件FANCYBEAR”有著緊密聯系。基于此信息，CrowdStrike提供了和病毒才目關的其他替代域名。將這些域名放入內部搜索欄即可看見所有當前和以前連接過這些域名的系統。同時Falcon的監測團隊也在24x7的持續性監測相關威脅域名。他們也將提供相關的指導方案以便客戶進行補救。在確認完相關連接系統之后，用戶可以檢查此威脅是否仍在運行。只需通過Falcon或者其他安全工具包含此項威脅，攻擊者會在第一時間失去訪問權限。演示者為了更好的展示流程，選擇了在最后一步阻止。但事實上Falcon有能力在各個層面及時阻止威脅的發生。數據來源：Falcon官網，安信證券研究中心“人+機器”的從上至下的整合模式讓CrowdStrike可以提供完整性的保護和高等級的可視性。從整個過程來看，多種不同保護機制被使用，如機器學習、漏洞利用保護功能、系統記錄、行為分析和人工專家團隊等。CrowdStrike的Falcon是基于端云結合架構的，同時建立在最先進的圖形數據庫上，為人工智能提供動力和算力。和原始的安全解決方案不同，這種全新模式可以直接在平臺之上構建另一個程序和服務。從客戶的角度來看，CrowdStrike滿足三項主要需求：更好的防護，立即的價值體現，和更好性能。1.更好的防護體現在Falcon獨特的多層級保護機能。從源頭到結束，每一步均使用不同的方式進行主動防護；立即的價值體現是由于Falcon是以SaaS為主，并具有靜默安裝程序，無需重啟整個服務器即可推送到所有的系統中；通過單一代理和單一界面即可提供服務帶來了更好的性能。這種模式消耗不到：0兆的磁盤空間，才目對于傳統臃腫的安全解決方案來"CrowdStrike占據了極小的空間。模塊化的靈活組合+SaaS訂閱模式，滿足不同層級的客戶群體Falcon平臺的功能模塊靈活組合功能，讓不同量級的公司可以選擇最適用的產品。CrowdStrike同時覆蓋大型企業和小型客戶，美國的網絡安全行業已經發展的較為成熟，客戶對產品的需求不限于自身的規模。圖11：Falcon的平臺能力CLOUD-DELIVEREDENDPOINTPROTECTIONFMCONPEATFCIRM數據來源：CS官網，CS招股說明書，安信證券研究中心CrowdStrike基于自身的SaaS模式和多模塊靈活組合的能力，使得公司客戶覆蓋面極廣。平臺的靈活性和可擴展性使公司能夠無縫地向任何規模的客戶提供解決方案-從擁有數十萬個端點的客戶到只有三個端點客戶。大部分的客戶的訂閱時限為一年，結合2017年和2018年客戶留存率的96%和CLOUD-DELIVEREDENDPOINTPROTECTIONFMCONPEATFCIRM這種高覆蓋率和高續訂率為CrowdStrike帶來訂閱收入同比增長超過100%同時訂閱占比逐年保持增長并在2019年超過90%。訂閱收入從2016年占比總營業收入71.85%提升至2019年的總營業收入占比90.63%。圖13：CrowdStrike2016-2020年Q1-Q3收入構成圖14：CrowdStrike2016-2020年Q1-Q3訂閱占比資料來源：W/"d,安信證券研究中心訂閱收入高速增長主要有兩個原因：訂閱客戶數量快速增加：咬016年的450名增長至2017年1242名，同比增長76%；在2018年增長至2516名，同比增長103%。功能模塊不斷創新：從2017年開始，CrowdStrike將平臺從單一產品轉變為多個SKU云模塊的高度集成產品。隨著平臺的訂閱客戶逐年提升，CrowdStrike也繼續創新和發布新模塊。從最初通過IT衛生、下一代防病毒、EDR、管理威脅搜索和情報模塊啟動了這一戰略模式，并在2017年2月至2018年10月期間增加了5個模塊。截至2019年1月31日，47%的訂閱客戶已經采用了四個或更多的云模塊。圖15圖15:客戶采用四個或更多的云模塊的季度增長情況CrowdStrike和一些著名的跨國企業和政府機構有著長期業務。截至2019年1月31日，CrowdStrike在全球有2,516家訂閱客戶，其中包措財富”100強中的44家、全球前100家公司中的37家和前20大銀行中的9家。在2019財政年度，其總收入的77%來自美國的客戶。未來，CrowdStike認為銷售的重點是針對中小型企業。特別是通過免費的試用支付模式，讓各類型的客戶參與進來，并定期向客戶征求反饋意見，使公司能夠了解和適應不斷變化的需求。基于此項戰略CrowdStrike已經利用這些反饋開發出新的云模塊，比^FalconInsight。類似CrowdStrike這種多項網絡安全功能整合的體系是未來行業發展的必然趨勢，作為端云結合安全平臺的改革者，CrowdStrike的模式已經被市場所接納。于此同時，中國市場由于網絡安全政策的不斷落地和客戶對網絡安全的重視不斷增加，端云結合的安全體系也逐漸被客戶所接受。但初期以專有云和私有云為主的模式或許更加適合中國國情，以奇安信為代表的國內安全廠商也在進行積極布局。圖16:奇安信打造了強大的端云協同聯防能力數據來源：奇安信，安信證券研究中心客戶案例實例AmazonWeb服務AmazonWebServices(AWS)是領先的云服務提供商，支持全球許多知名企業和政府機構。保護其數百萬客戶。它所面臨的挑戰是要求提高端點保護供并提升的可視化和效率。AWS進行了長達一年的測試，將Falcon平臺與多個下一代和遺留供應商進行比較，最終選擇部署Falcon平臺。最初的部署包括13000個端點。至今為止，平臺已經成功運行在成千上萬的AWS服務器上。CrowdStrikeFalcon為我們提供了保護，以及我們在其他提供商中所沒有的功能和可見性。—亞馬遜網絡服務AWS)副CISO匯豐銀行匯豐(HSBC)是一家全球性金融機構，在66個國家的3800個辦事處開展業務。他們認識到它的龐大規模和分布式實踐需要在整個企業實施云優先安全策略。2017年，匯豐銀行部署falcon平臺。在12周內覆蓋了32萬個端點。匯豐銀行選falcon平臺作為唯一的解決方案，有效地結合預防，檢測和反應等功能，在端點和實時取證形成了一個云交付的解決方案。此外，匯豐銀行還得益于實時監測團隊在其整個環境中持續和積極主動地尋找威脅。“CrowdStrike已經改變了匯豐的工作方式。它給了我們一個無所不包的平臺的靈活性，而〕僅僅是另一個4/產品。”凱悅酒店公司凱悅是一家全球性的酒店公司，在超過55個國家擁有750多個房產。隨著Hyatt管理層尋求發展其安全態勢，他們開始尋找一種新的防病毒和端點檢測和響應(EDR)解決方案2017年，凱悅開始使用Falcon平臺。在幾天內在40