【安信计算机】CrowdStrike：开启网安龙头登云之路

摘要

开局破万象，全球端云结合安全平台开拓者。CrowdStrike成立于2011年，团队成员均来自信息安全产业和美国情报机关，包括FBI，Apple，Google，亚马逊和微软等。CrowdStrike的成功在于将最先进的端点保护与云端专家情报相结合，不仅可以扫描追溯恶意软件，还可以确定攻击者本身。CrowdStrike和全球数十家著名企业组成技术合作伙伴，为网络安全行业提供实时的更新和防护。CrowdStrike近年处于高速复合增长阶段，市值也从上市之初的83亿美元，攀升至2021年1月的近500亿美元，实现了六倍涨幅。基于对网络安全行业独有的认知和理念，使得CrowdStrike成为5G时代背景下网络安全行业极具改革精神的创新引领者。

Falcon平台，一剑破万法。以CrowdStrike端点保护和云端专家情报模式形成的Falcon平台可以补足传统防护的缺陷并提供完善的云边际保护。CrowdStrike Falcon在一个界面中整合了所有的应用和服务，以终端方式会记录所有End-Point活动，帮助客户直观安全的理解相关行为，并同时提供IT安全数据。源于可视化的特性，再辅以CrowdStrike自动识别的核心能力，Falcon有能力持续不断的为客户提供完善的安全防护。“人+机器”的从上至下的整合模式让CrowdStrike可以提供完整性的保护和高等级的可视性。从整个过程来看，多种不同保护机制被使用，如机器学习、漏洞利用保护功能、系统记录、行为分析和人工专家团队等。CrowdStrike的Falcon是基于端云结合架构的，同时建立在最先进的图形数据库上，为人工智能提供动力和算力。和原始的安全解决方案不同，这种全新模式可以直接在平台之上构建另一个程序和服务。

模块化的灵活组合+SaaS订阅模式，满足不同层级的客户群体。Falcon平台的功能模块灵活组合功能，让不同量级的公司可以选择最适用的产品。CrowdStrike同时覆盖大型企业和小型客户，美国的网络安全行业发展较为成熟，客户对产品的需求不限于自身的规模。CrowdStrike基于自身的SaaS模式和多模块灵活组合的能力，使得公司客户覆盖面极广。平台的灵活性和可扩展性使公司能够无缝地向任何规模的客户提供解决方案--从拥有数十万个端点的客户到只有三个端点客户。这种高覆盖率和高续订率为CrowdStrike带来订阅收入同比增长超过100%，同时订阅占比逐年保持增长并在2019年超过90%。大部分的客户的订阅时限为一年，结合2017年和2018年客户留存率的96%和98%来看，绝大多数客户仍会选择续订。订阅收入从2016年占比总营业收入71.85%提升至2019年的总营业收入占比90.63%

投资建议：CrowdStrike树立了网安行业“端云联动”的技术标杆，引领了未来行业发展的趋势。同时SaaS订阅模式与灵活的模块化组合成为其开拓市场的利器。国内网安企业中，重点推荐产品技术路线与CrowdStrike最为近似的奇安信、深信服、安恒信息，建议关注天融信、启明星辰、绿盟科技、三六零、山石网科等。

风险提示：云安全落地不及预测；SaaS行业竞争加剧。

1. 开局破万象，全球端云结合安全平台开拓者

CrowdStrike成立于2011年，团队成员均来自信息安全产业和美国情报机关，包括FBI，Apple，Google，亚马逊和微软等。CrowdStrike的成功首先在于解决了一个基本问题：由于现有的基于扫描和防御恶意软件的方式无法解决新型的复杂攻击，联合创始人George Kurtz和Dmitri Alperovitch意识到需要一种全新的方法，该方法将最先进的端点保护与云端专家情报相结合，不仅可以扫描追溯恶意软件，还可以确定攻击者本身。CrowdStrike和全球数十家著名企业组成技术合作伙伴，为网络安全行业提供实时的更新和防护。

CrowdStrike近年处于高速增长阶段，市值从上市之初的83亿美元，攀升至2021年1月的近500亿美元，实现了六倍涨幅。基于对网络安全行业独有的认知和理念，使得CrowdStrike成为5G时代背景下网络安全行业极具改革精神的创新引领者。

超越传统的边界安全防护，结合SaaS订阅等新的商业模式，CrowdStrike的端云结合安全平台提供独有三大能力：

1.      端点保护和云端专家情报相结合的模式；

2.      不断进化的终端-CrowdStrike Falcon；

3.      Power of One，随事件进化的融合安全服务能力。

CrowdStrike创新地提出了端点保护和云端专家情报相结合的模式。传统的网络安全服务提供的防护往往是在终端用户的IT架构的不同层级中设置被动防护系统，同时配有扫描功能。这种如同建造防御工事来守护城池的方式是无法抵御新型的现代进攻的。端点保护和专家情报为防卫系统提供了不断进化的能力。这种模式等同于在建好防御工事的城池周边再外派出很多“侦察兵”。当“侦察兵”们发现潜在攻击的时候，他们会将情报带回给CrowdStrike终端。基于这些情报，CrowdStrike会观察分析攻击者的行为，从而实施阻拦。而每一次的攻击之后，都会扩充和加深CrowdStrike的数据库。随着数据库的不断扩大，终端对攻击者的攻击模式和易受攻击的目标都会有着多层次的分析，从而提供最适应的保护模式。

不断进化的终端——CrowdStrike Falcon。对于目前的网络安全市场，其中有一股最强烈的客户需求指出现有的解决方案太过于复杂，而且对日已新增的现代威胁无能为力。客户们对不断增长的复杂性感到无力，并对自身的安全架构失去信心。于此同时，传统的网络安全厂商仍然将更多的组件添加到这个臃肿庞大的解决方案中。显而易见的，这让客户公司更加难以管理，并给端点增加了负担，从而影响到整个公司的效率。即使有些客户可以运作和管理这些解决方案，但由于基于签名技术构建的传统网络安全防护不足以应对突发事件，最终的损失仍是不可避免。签名技术的先天性不足导致它有着大量的盲点，如无恶意文件攻击和无视合法系统工具的权限索取（PowerShell）等。同时，签名技术构架的防护需要人与人之间的互动来维持。这种消耗数天、以人工的方式去调查威胁的来源显然和及时保护客户利益的网络安全原则是背道相驰的。

Power of One，随事件进化的融合安全服务能力。CrowdStrike Falcon结合了所有的传统安全功能，将安全能力变成一个单一的轻量级代理程序，这种程序不需要签名的授权，而是以人工智能的方式运行。这种方式被称为“THE POWER OF ONE”。对于Falcon，它使得客户可以无需每日更新签名即可提供反恶意软件保护。同时它也提供新型的保护机制，比如机器学习、行为分析和持续监控。这种主动防御的机制更适宜于当今网络现状。Falcon的单一代理机制让客户公司可以轻装上阵。它包括所有传统安全解决方案的功能，如病毒防护、主机入侵防护、IOC扫描工具、和沙箱等。结束了臃肿、超负载的安全网络方案，带来了一个轻量级、低延时的网络安全综合平台。Falcon通过一个代理和一个管理界面来整合多种下一代防病毒软件，从而提供完整的端点保护。由于Falcon平台的性质，CrowdStrike可以不断的添加应用和服务用以适应不断变化的威胁形式。

2. Falcon平台，一剑破万法

从CrowdStrike角度来看，现代攻击与传统攻击有着三个不同点：

1.     首先从无恶意文件感染开始，通过不向磁盘写入任何内容，攻击者可以绕过大多数传统的网络安全解决方案。

2.      传统安全解决方案认定相关内置工具是无威胁性的，导致存在大量盲点。攻击者会使用PowerShell等内置工具来逃避检测，从而绕过防护并控制系统，同时，这种现代攻击将通过建立后门的方式持续性的存在于操作环境中。基于后门的微小性和隐蔽性，导致大多数的安全人员无法通过传统检测工具发现它们。

3.      由于存在大量不可修正的技术盲点，攻击者可以利用它们轻易绕开防火墙，防病毒软件，应用程序白名单，甚至沙箱。

然而，CrowdStrike端点保护和云端专家情报模式可以终结这些缺陷并提供完善的保护。

下图为CrowdStrike Falcon的管理控制台，Falcon在一个界面中整合了所有的应用和服务。左侧的工具栏为客户提供可视化的威胁识别、调查、和补救措施。对于Falcon来说，它将可视化定义为安全解决方案的基本要素，Falcon以终端方式会记录所有End-Point活动，帮助客户直观安全的理解相关行为，并同时提供IT安全数据。可视化地展示了安全措施覆盖的范围，如托管和非托管系统的信息、应用程序活动检测和特权账户使用情况等。

源于可视化的特性，再辅以CrowdStrike自动识别的核心能力，Falcon有能力持续不断地为客户提供完善的安全防护。下图是Falcon最近自动识别的威胁活动记录，在记录中，流程线显示了完整的袭击情况，从起源到结束。

当用户点击BACKDOOR.EXE（后门软件）整个攻击中最明显的部分时，Falcon已经成功的阻止了后门软件的建立和使用。同时Falcon的机器学习将该文件标识为恶意软件，并阻止了它的执行。虽然一些信息可以被传统的安全解决方案所展示，但Falcon可以提供实时的完整攻击视图。而传统的安全解决方案需要数天甚至数周才能整合实时视图中的信息。

通过Falcon，客户也可以更好的理解此类型的攻击。Falcon记录和挖掘了相关攻击的所有进程。我们将视频中的流程其总结为7个步骤：

1.      首先判断出后门软件的源头来自于Outlook里的邮件链接，通过链接进入IE并被鼓励直接下载；

2.      随着攻击者第一步成功之后，攻击行为仍持续下去。在控制了系统之后，攻击者使用了内置工具如Windows命令指示符、PowerShell、WMI和脚本文件等。这些工具足以绕开传统的安全方案，因为它们被认定为受信任工具，而CrowdStrike仍旧持续监控这些白名单软件。

3.      攻击者随后在Windows命令指示符输入具体的命令指示。在这一步，攻击者基于PowerShell获取了管理员凭据，并通过凭据获取了系统的密码。与此同时，攻击者还创建了第二个管理账户，这种行为可以帮助攻击者在被人工发现首要管理账户被攻陷的情况下还能继续使用系统。

4.      当攻击者尝试控制服务器的时候，CrowdStrike情报软件已经检测到此域名是恶意的。用户可以将此域名输入Falcon的病毒数据库进行进一步的了解。

5.      在视频中，操作者搜索此域名之后，发现它和俄罗斯的病毒软件“FANCY BEAR”有着紧密联系。基于此信息，CrowdStrike提供了和病毒相关的其他替代域名。

6.      将这些域名放入内部搜索栏即可看见所有当前和以前连接过这些域名的系统。同时Falcon的监测团队也在24x7的持续性监测相关威胁域名。他们也将提供相关的指导方案以便客户进行补救。

7.      在确认完相关连接系统之后，用户可以检查此威胁是否仍在运行。只需通过Falcon或者其他安全工具包含此项威胁，攻击者会在第一时间失去访问权限。

演示者为了更好的展示流程，选择了在最后一步阻止。但事实上Falcon有能力在各个层面及时阻止威胁的发生。

“人+机器”的从上至下的整合模式让CrowdStrike可以提供完整性的保护和高等级的可视性。从整个过程来看，多种不同保护机制被使用，如机器学习、漏洞利用保护功能、系统记录、行为分析和人工专家团队等。CrowdStrike的Falcon是基于端云结合架构的，同时建立在最先进的图形数据库上，为人工智能提供动力和算力。和原始的安全解决方案不同，这种全新模式可以直接在平台之上构建另一个程序和服务。

从客户的角度来看，CrowdStrike满足三项主要需求：更好的防护，立即的价值体现，和更好性能。

1.      更好的防护体现在Falcon独特的多层级保护机能。从源头到结束，每一步均使用不同的方式进行主动防护；

2.      立即的价值体现是由于Falcon是以SaaS为主，并具有静默安装程序，无需重启整个服务器即可推送到所有的系统中；

3.      通过单一代理和单一界面即可提供服务带来了更好的性能。这种模式消耗不到20兆的磁盘空间，相对于传统臃肿的安全解决方案来说，CrowdStrike占据了极小的空间。

3. 模块化的灵活组合+SaaS订阅模式，满足不同层级的客户群体

Falcon平台的功能模块灵活组合功能，让不同量级的公司可以选择最适用的产品。CrowdStrike同时覆盖大型企业和小型客户，美国的网络安全行业已经发展的较为成熟，客户对产品的需求不限于自身的规模。

CrowdStrike基于自身的SaaS模式和多模块灵活组合的能力，使得公司客户覆盖面极广。平台的灵活性和可扩展性使公司能够无缝地向任何规模的客户提供解决方案--从拥有数十万个端点的客户到只有三个端点客户。大部分的客户的订阅时限为一年，结合2017年和2018年客户留存率的96%和98%来看，绝大多数客户仍会选择续订。

这种高覆盖率和高续订率为CrowdStrike带来订阅收入同比增长超过100%，同时订阅占比逐年保持增长并在2019年超过90%。订阅收入从2016年占比总营业收入71.85%提升至2019年的总营业收入占比90.63%。

订阅收入高速增长主要有两个原因：

1.      订阅客户数量快速增加：从2016年的450名增长至2017年1242名，同比增长176%；在2018年增长至2516名，同比增长103%。

2.      功能模块不断创新：从2017年开始，CrowdStrike将平台从单一产品转变为多个SKU云模块的高度集成产品。随着平台的订阅客户逐年提升，CrowdStrike也继续创新和发布新模块。从最初通过IT卫生、下一代防病毒、EDR、管理威胁搜索和情报模块启动了这一战略模式，并在2017年2月至2018年10月期间增加了5个模块。截至2019年1月31日，47%的订阅客户已经采用了四个或更多的云模块。

CrowdStrike和一些著名的跨国企业和政府机构有着长期业务。截至2019年1月31日，CrowdStrike在全球有2,516家订阅客户，其中包括“财富”100强中的44家、全球前100家公司中的37家和前20大银行中的9家。在2019财政年度，其总收入的77%来自美国的客户。

未来，CrowdStike认为销售的重点是针对中小型企业。特别是通过免费的试用支付模式，让各类型的客户参与进来，并定期向客户征求反馈意见，使公司能够了解和适应不断变化的需求。基于此项战略，CrowdStrike已经利用这些反馈开发出新的云模块，比如Falcon Insight。

类似CrowdStrike这种多项网络安全功能整合的体系是未来行业发展的必然趋势，作为端云结合安全平台的改革者，CrowdStrike的模式已经被市场所接纳。于此同时，中国市场由于网络安全政策的不断落地和客户对网络安全的重视不断增加，端云结合的安全体系也逐渐被客户所接受。但初期以专有云和私有云为主的模式或许更加适合中国国情，以奇安信为代表的国内安全厂商也在进行积极布局。

4. 客户案例实例

1.    AmazonWeb服务

AmazonWebServices(AWS)是领先的云服务提供商，支持全球许多知名企业和政府机构。保护其数百万客户。它所面临的挑战是要求提高端点保护供并提升的可视化和效率。

AWS进行了长达一年的测试，将Falcon平台与多个下一代和遗留供应商进行比较，最终选择部署Falcon平台。最初的部署包括13 000个端点。至今为止，平台已经成功运行在成千上万的AWS服务器上。

CrowdStrike Falcon为我们提供了保护，以及我们在其他提供商中所没有的功能和可见性。“

—亚马逊网络服务(AWS)副CISO

2.    汇丰银行

汇丰(HSBC)是一家全球性金融机构，在66个国家的3800个办事处开展业务。他们认识到它的庞大规模和分布式实践需要在整个企业实施云优先安全策略。

2017年，汇丰银行部署了Falcon平台。在12周内覆盖了32万个端点。汇丰银行选择Falcon平台作为唯一的解决方案，有效地结合预防，检测和反应等功能，在端点和实时取证形成了一个云交付的解决方案。此外，汇丰银行还得益于实时监测团队在其整个环境中持续和积极主动地寻找威胁。

 “CrowdStrike已经改变了汇丰的工作方式。它给了我们一个无所不包的平台的灵活性，而不仅仅是另一个AV产品。”

3.    凯悦酒店公司

凯悦是一家全球性的酒店公司，在超过55个国家拥有750多个房产。随着Hyatt管理层寻求发展其安全态势，他们开始寻找一种新的防病毒和端点检测和响应(EDR)解决方案

2017年，凯悦开始使用Falcon平台。在几天内在40,000个端点部署模块，包括威胁情报、威胁监控和恶意软件分析。自那时以来，凯悦在防止违规方面取得了显著的成效，并减少了假阳性的数量。

 “CrowdStrike产品是Hyatt网络安全生态系统的关键部分。自去年实施该平台以来，我们的安全水平有了显著提高。一流的杀毒、端点检测和反应的独特组合，以及威胁情报和专门的支持团队，远远超出了我们的预期。”

—凯悦酒店公司

4.    ADP，LLC

作为一家提供基于云的人力资本管理解决方案的财富300强公司，ADP为其74万客户处理大量高度敏感的信息，包括个人财务和健康数据。一个内部安全小组在其全球服务器基础设施中发现了一个缺陷。该基础设施包括大约20个数据中心，包括内部数据中心和云中数据中心，这迫使ADP重新评估替代解决方案。

2016年，ADP在部署了Falcon平台的Falcon Insight和Falcon Overwatch，最初的两个模块仅在三个月内就在85,000台服务器上推出，没有中断任何员工或客户。Falcon平台收集和分析的高保真度数据为ADP提供了前所未有的环境能见度，并提供了一种更有效的检测威胁和阻止入侵的方法。部署进展非常顺利，在2017年，ADP将Falcon Insight和Falcon Overwatch作为公司大约100 000台PC的主要端点保护技术，并增加了额外的模块：Falcon Insight、Falcon Discoverage和Falcon Intelligence(现在更名为Falcon X)。

 “在我的职业生涯中，CrowdStrike Falcon平台的部署或许是我所见过的最简单的全球安全技术推广。通过利用该技术的云架构和CrowdStrike的专长，我们能够以惊人的速度和效率部署。我们立即意识到了这一价值。”

—ADP首席安保干事  

5. 投资建议

CrowdStrike树立了网安行业“端云联动”的技术标杆，引领了未来行业发展的趋势。同时SaaS订阅模式与灵活的模块化组合成为其开拓市场的利器。国内网安企业中，重点推荐产品技术路线与CrowdStrike最为近似的奇安信、深信服、安恒信息，建议关注天融信、启明星辰、绿盟科技、三六零、山石网科等。

6. 风险提示

云安全落地不及预测；SaaS行业竞争加剧。