CrowdStrike网络安全云平台分析

1、，CrowdStrike网络安全云平台分析计算机CrowdStrike：开启网安龙头登云之路开局破万象，全球端云结合安全平台开拓者。CrowdStrike 成立于 2011 年， 团队成员均来自信息安全产业和美国情报机关，包括 FBI，Apple，Google，亚马逊和微软等。CrowdStrike 的成功在于将最先进的端点保护与云端专家情报相结合，不仅可以扫描追溯恶意软件，还可以确定攻击者本身。CrowdStrike 和全球数十家著名企业组成技术合作伙伴，为网络安全行业提供实时的更新和防护。CrowdStrike 近年处于高速复合增长阶段，市值也从上市之初的 83 亿美元，攀升至 2021

2、年 1 月的近 500 亿美元，实现了六倍涨幅。基于对网络安全行业独有的认知和理念，使得 CrowdStrike 成为 5G 时代背景下网络安全行业极具改革精神的创新引领者。Falcon 平台，一剑破万法。以 CrowdStrike 端点保护和云端专家情报模式形成的 Falcon 平台可以补足传统防护的缺陷并提供完善的云边际保护。CrowdStrike Falcon 在一个界面中整合了所有的应用和服务，以终端方式会记录所有 End-Point 活动，帮助客户直观安全的理解相关行为，并同时提供 IT 安全数据。源于可视化的特性，再辅以 CrowdStrike 自动识别的核心能力，Falcon 有

3、能力持续不断的为客户提供完善的安全防护。“人+机器”的从上至下的整合模式让 CrowdStrike 可以提供完整性的保护和高等级的可视性。从整个过程来看，多种不同保护机制被使用，如机器学习、漏洞利用保护功能、系统记录、行为分析和人工专家团队等。CrowdStrike 的Falcon 是基于端云结合架构的，同时建立在最先进的图形数据库上，为人工智能提供动力和算力。和原始的安全解决方案不同，这种全新模式可以直接在平台之上构建另一个程序和服务。模块化的灵活组合+SaaS 订阅模式，满足不同层级的客户群体。Falcon 平台的功能模块灵活组合功能，让不同量级的公司可以选择最适用的产品。CrowdStr

4、ike 同时覆盖大型企业和小型客户，美国的网络安全行业发展较为成熟，客户对产品的需求不限于自身的规模。CrowdStrike 基于自身的SaaS 模式和多模块灵活组合的能力，使得公司客户覆盖面极广。平台的灵活性和可扩展性使公司能够无缝地向任何规模的客户提供解决方案- 从拥有数十万个端点的客户到只有三个端点客户。这种高覆盖率和高续订率为 CrowdStrike 带来订阅收入同比增长超过 100%，同时订阅占比逐年保持增长并在 2019 年超过 90%。大部分的客户的订阅时限为一年，结合2017 年和 2018 年客户留存率的 96%和 98%来看，绝大多数客户仍会选择续订。订阅收入从 2016

5、年占比总营业收入 71.85%提升至 2019 年的总营业收入占比 90.63%投资建议：CrowdStrike 树立了网安行业“端云联动”的技术标杆，引领了未来行业发展的趋势。同时 SaaS 订阅模式与灵活的模块化组合成为其开拓市场的利器。国内网安企业中，重点推荐产品技术路线与 CrowdStrike 最为近似的奇安信、深信服、安恒信息，建议关注天融信、启明星辰、绿盟科技、三六零、山石网科等。内容目录 HYPERLINK l _bookmark0 开局破万象，全球端云结合安全平台开拓者4 HYPERLINK l _bookmark7 Falcon 平台，一剑破万法6 HYPERLINK l

6、_bookmark12 模块化的灵活组合+SaaS 订阅模式，满足不同层级的客户群体9 HYPERLINK l _bookmark19 投资建议13 HYPERLINK l _bookmark20 风险提示13图表目录 HYPERLINK l _bookmark1 图 1：CrowdStrike 的发展历程和重大事件4 HYPERLINK l _bookmark2 图 2：CrowdStrike 上市以来的股价走势（美元）4 HYPERLINK l _bookmark3 图 3：CS 端云结合技术5 HYPERLINK l _bookmark4 图 4：传统的安全解决方案5 HYPERLINK

7、 l _bookmark5 图 5：CrowdStrike 的 Power of One6 HYPERLINK l _bookmark6 图 6：CrowdStrike 的 Power of One6 HYPERLINK l _bookmark8 图 7：CrowdStrike Falcon 的管理控制台7 HYPERLINK l _bookmark9 图 8：Falcon 的流程线7 HYPERLINK l _bookmark10 图 9：Falcon 提供实时的完整攻击视图8 HYPERLINK l _bookmark11 图 10：Falcon 平台攻防实际演示8 HYPERLINK l

8、 _bookmark13 图 11：Falcon 的平台能力9 HYPERLINK l _bookmark14 图 12：以美元留存率计算的客户留存率10 HYPERLINK l _bookmark15 图 13：CrowdStrike2016-2020 年 Q1-Q3 收入构成10 HYPERLINK l _bookmark16 图 14：CrowdStrike2016-2020 年 Q1-Q3 订阅占比10 HYPERLINK l _bookmark17 图 15：客户采用四个或更多的云模块的季度增长情况11 HYPERLINK l _bookmark18 图 16：奇安信打造了强大的端云

9、协同联防能力12未找到图形项目表。1. 开局破万象，全球端云结合安全平台开拓者CrowdStrike 成立于 2011 年，团队成员均来自信息安全产业和美国情报机关，包括FBI，Apple， Google，亚马逊和微软等。CrowdStrike 的成功首先在于解决了一个基本问题：由于现有的基于扫描和防御恶意软件的方式无法解决新型的复杂攻击，联合创始人 George Kurtz 和Dmitri Alperovitch 意识到需要一种全新的方法，该方法将最先进的端点保护与云端专家情报相结合，不仅可以扫描追溯恶意软件，还可以确定攻击者本身。CrowdStrike 和全球数十家著名企业组成技术合作伙伴

10、，为网络安全行业提供实时的更新和防护。图 1：CrowdStrike 的发展历程和重大事件、i 数据来源：CrowdStrike 官网，安信证券研究中心整理CrowdStrike 近年处于高速增长阶段，市值从上市之初的 83 亿美元，攀升至 2021 年 1 月的近 500 亿美元，实现了六倍涨幅。基于对网络安全行业独有的认知和理念，使得 CrowdStrike 成为 5G 时代背景下网络安全行业极具改革精神的创新引领者。图 2：CrowdStrike 上市以来的股价走势（美元）数据来源：wind，安信证券研究中心超越传统的边界安全防护，结合 SaaS 订阅等新的商业模式，CrowdStrik

11、e 的端云结合安全平台提供独有三大能力：端点保护和云端专家情报相结合的模式；不断进化的终端-CrowdStrike Falcon；Power of One，随事件进化的融合安全服务能力。CrowdStrike 创新地提出了端点保护和云端专家情报相结合的模式。传统的网络安全服务提供的防护往往是在终端用户的 IT 架构的不同层级中设臵被动防护系统，同时配有扫描功能。这种如同建造防御工事来守护城池的方式是无法抵御新型的现代进攻的。端点保护和专家情报为防卫系统提供了不断进化的能力。这种模式等同于在建好防御工事的城池周边再外派出很多“侦察兵”。当“侦察兵”们发现潜在攻击的时候，他们会将情报带回给 Cro

12、wdStrike 终端。基于这些情报，CrowdStrike 会观察分析攻击者的行为，从而实施阻拦。而每一次的攻击之后，都会扩充和加深 CrowdStrike 的数据库。随着数据库的不断扩大，终端对攻击者的攻击模式和易受攻击的目标都会有着多层次的分析，从而提供最适应的保护模式。图 3：CS 端云结合技术数据来源：CS Falcon 技术中心，安信证券研究中心不断进化的终端CrowdStrike Falcon。对于目前的网络安全市场，其中有一股最强烈的客户需求指出现有的解决方案太过于复杂，而且对日已新增的现代威胁无能为力。客户们对不断增长的复杂性感到无力，并对自身的安全架构失去信心。于此同时，传

13、统的网络安全厂商仍然将更多的组件添加到这个臃肿庞大的解决方案中。显而易见的，这让客户公司更加难以管理，并给端点增加了负担，从而影响到整个公司的效率。即使有些客户可以运作和管理这些解决方案，但由于基于签名技术构建的传统网络安全防护不足以应对突发事件，最终的损失仍是不可避免。签名技术的先天性不足导致它有着大量的盲点，如无恶意文件攻击和无视合法系统工具的权限索取（PowerShell）等。同时，签名技术构架的防护需要人与人之间的互动来维持。这种消耗数天、以人工的方式去调查威胁的来源显然和及时保护客户利益的网络安全原则是背道相驰的。图 4：传统的安全解决方案数据来源：安信证券研究中心整理Power o

14、f One，随事件进化的融合安全服务能力。CrowdStrike Falcon 结合了所有的传统安全功能，将安全能力变成一个单一的轻量级代理程序，这种程序不需要签名的授权，而是以人工智能的方式运行。这种方式被称为“THE POWER OF ONE”。对于 Falcon，它使得客户可以无需每日更新签名即可提供反恶意软件保护。同时它也提供新型的保护机制，比如机器学习、行为分析和持续监控。这种主动防御的机制更适宜于当今网络现状。Falcon 的单一代理机制让客户公司可以轻装上阵。它包括所有传统安全解决方案的功能，如病毒防护、主机入侵防护、IOC 扫描工具、和沙箱等。结束了臃肿、超负载的安全网络方案，

15、带来了一个轻量级、低延时的网络安全综合平台。Falcon 通过一个代理和一个管理界面来整合多种下一代防病毒软件，从而提供完整的端点保护。由于 Falcon 平台的性质，CrowdStrike 可以不断的添加应用和服务用以适应不断变化的威胁形式。图 5：CrowdStrike 的 Power of One图 6：CrowdStrike 的 Power of One资料来源：CrowdStrike 官网，安信证券研究中心资料来源：CrowdStrike 官网，安信证券研究中心2. Falcon 平台，一剑破万法从 CrowdStrike 角度来看，现代攻击与传统攻击有着三个不同点：首先从无恶意文件

16、感染开始，通过不向磁盘写入任何内容，攻击者可以绕过大多数传统的网络安全解决方案。传统安全解决方案认定相关内臵工具是无威胁性的，导致存在大量盲点。攻击者会使用PowerShell 等内臵工具来逃避检测，从而绕过防护并控制系统，同时，这种现代攻击将通过建立后门的方式持续性的存在于操作环境中。基于后门的微小性和隐蔽性，导致大多数的安全人员无法通过传统检测工具发现它们。由于存在大量不可修正的技术盲点，攻击者可以利用它们轻易绕开防火墙，防病毒软件， 应用程序白名单，甚至沙箱。然而，CrowdStrike 端点保护和云端专家情报模式可以终结这些缺陷并提供完善的保护。下图为CrowdStrike Falco

17、n 的管理控制台，Falcon 在一个界面中整合了所有的应用和服务。左侧的工具栏为客户提供可视化的威胁识别、调查、和补救措施。对于 Falcon 来说，它将可视化定义为安全解决方案的基本要素，Falcon 以终端方式会记录所有 End-Point 活动，帮助客户直观安全的理解相关行为，并同时提供 IT 安全数据。可视化地展示了安全措施覆盖的范围，如托管和非托管系统的信息、应用程序活动检测和特权账户使用情况等。图 7：CrowdStrike Falcon 的管理控制台数据来源：官网，安信证券研究中心源于可视化的特性，再辅以 CrowdStrike 自动识别的核心能力，Falcon 有能力持续不断

18、地为客户提供完善的安全防护。下图是 Falcon 最近自动识别的威胁活动记录，在记录中，流程线显示了完整的袭击情况，从起源到结束。图 8：Falcon 的流程线数据来源：Falcon 官网，安信证券研究中心当用户点击 BACKDOOR.EXE（后门软件）整个攻击中最明显的部分时，Falcon 已经成功的阻止了后门软件的建立和使用。同时 Falcon 的机器学习将该文件标识为恶意软件，并阻止了它的执行。虽然一些信息可以被传统的安全解决方案所展示，但 Falcon 可以提供实时的完整攻击视图。而传统的安全解决方案需要数天甚至数周才能整合实时视图中的信息。图 9：Falcon 提供实时的完整攻击视图

19、数据来源：Falcon 官网，安信证券研究中心通过 Falcon，客户也可以更好的理解此类型的攻击。Falcon 记录和挖掘了相关攻击的所有进程。我们将视频中的流程其总结为 7 个步骤：首先判断出后门软件的源头来自于 Outlook 里的邮件链接，通过链接进入 IE 并被鼓励直接下载；随着攻击者第一步成功之后，攻击行为仍持续下去。在控制了系统之后，攻击者使用了内臵工具如 Windows 命令指示符、PowerShell、WMI 和脚本文件等。这些工具足以绕开传统的安全方案，因为它们被认定为受信任工具，而 CrowdStrike 仍旧持续监控这些白名单软件。攻击者随后在 Windows 命令指示

20、符输入具体的命令指示。在这一步，攻击者基于PowerShell 获取了管理员凭据，并通过凭据获取了系统的密码。与此同时，攻击者还创建了第二个管理账户，这种行为可以帮助攻击者在被人工发现首要管理账户被攻陷的情况下还能继续使用系统。当攻击者尝试控制服务器的时候，CrowdStrike 情报软件已经检测到此域名是恶意的。用户可以将此域名输入 Falcon 的病毒数据库进行进一步的了解。在视频中，操作者搜索此域名之后，发现它和俄罗斯的病毒软件“FANCY BEAR”有着紧密联系。基于此信息，CrowdStrike 提供了和病毒相关的其他替代域名。将这些域名放入内部搜索栏即可看见所有当前和以前连接过这些

21、域名的系统。同时Falcon 的监测团队也在 24x7 的持续性监测相关威胁域名。他们也将提供相关的指导方案以便客户进行补救。在确认完相关连接系统之后，用户可以检查此威胁是否仍在运行。只需通过 Falcon 或者其他安全工具包含此项威胁，攻击者会在第一时间失去访问权限。演示者为了更好的展示流程，选择了在最后一步阻止。但事实上 Falcon 有能力在各个层面及时阻止威胁的发生。图 10：Falcon 平台攻防实际演示数据来源：Falcon 官网，安信证券研究中心“人+机器”的从上至下的整合模式让 CrowdStrike 可以提供完整性的保护和高等级的可视性。从整个过程来看，多种不同保护机制被使用

22、，如机器学习、漏洞利用保护功能、系统记录、行为分析和人工专家团队等。CrowdStrike 的Falcon 是基于端云结合架构的，同时建立在最先进的图形数据库上，为人工智能提供动力和算力。和原始的安全解决方案不同，这种全新模式可以直接在平台之上构建另一个程序和服务。从客户的角度来看，CrowdStrike 满足三项主要需求：更好的防护，立即的价值体现，和更好性能。更好的防护体现在 Falcon 独特的多层级保护机能。从源头到结束，每一步均使用不同的方式进行主动防护；立即的价值体现是由于 Falcon 是以 SaaS 为主，并具有静默安装程序，无需重启整个服务器即可推送到所有的系统中；通过单一代

23、理和单一界面即可提供服务带来了更好的性能。这种模式消耗不到 20 兆的磁盘空间，相对于传统臃肿的安全解决方案来说，CrowdStrike 占据了极小的空间。3. 模块化的灵活组合+SaaS 订阅模式，满足不同层级的客户群体Falcon 平台的功能模块灵活组合功能，让不同量级的公司可以选择最适用的产品。CrowdStrike 同时覆盖大型企业和小型客户，美国的网络安全行业已经发展的较为成熟，客户对产品的需求不限于自身的规模。图 11：Falcon 的平台能力数据来源：CS 官网，CS 招股说明书，安信证券研究中心CrowdStrike 基于自身的 SaaS 模式和多模块灵活组合的能力，使得公司客

24、户覆盖面极广。平台的灵活性和可扩展性使公司能够无缝地向任何规模的客户提供解决方案-从拥有数十万个端点的客户到只有三个端点客户。大部分的客户的订阅时限为一年，结合 2017 年和 2018 年客户留存率的 96%和 98%来看，绝大多数客户仍会选择续订。图 12：以美元留存率计算的客户留存率数据来源：招股说明书，安信证券研究中心这种高覆盖率和高续订率为 CrowdStrike 带来订阅收入同比增长超过 100%，同时订阅占比逐年保持增长并在 2019 年超过 90%。订阅收入从 2016 年占比总营业收入 71.85%提升至2019 年的总营业收入占比 90.63%。图 13：CrowdStri

25、ke2016-2020 年 Q1-Q3 收入构成图 14：CrowdStrike2016-2020 年 Q1-Q3 订阅占比资料来源：Wind，安信证券研究中心资料来源：Wind，安信证券研究中心订阅收入高速增长主要有两个原因：订阅客户数量快速增加：从 2016 年的 450 名增长至 2017 年 1242 名，同比增长 176%； 在 2018 年增长至 2516 名，同比增长 103%。功能模块不断创新：从 2017 年开始，CrowdStrike 将平台从单一产品转变为多个 SKU 云模块的高度集成产品。随着平台的订阅客户逐年提升，CrowdStrike 也继续创新和发布新模块。从最初

26、通过 IT 卫生、下一代防病毒、EDR、管理威胁搜索和情报模块启动了这一战略模式，并在 2017 年 2 月至 2018 年 10 月期间增加了 5 个模块。截至 2019 年 1 月 31 日，47%的订阅客户已经采用了四个或更多的云模块。图 15：客户采用四个或更多的云模块的季度增长情况数据来源：官网，招股说明书，安信证券研究中心CrowdStrike 和一些著名的跨国企业和政府机构有着长期业务。截至 2019 年 1 月 31 日，CrowdStrike 在全球有 2,516 家订阅客户，其中包括“财富”100 强中的 44 家、全球前 100 家公司中的 37 家和前 20 大银行中的

27、 9 家。在 2019 财政年度，其总收入的 77%来自美国的客户。未来，CrowdStike 认为销售的重点是针对中小型企业。特别是通过免费的试用支付模式，让各类型的客户参与进来，并定期向客户征求反馈意见，使公司能够了解和适应不断变化的需求。基于此项战略，Crowd Strike 已经利用这些反馈开发出新的云模块，比如 Falcon Insight。类似 CrowdStrike 这种多项网络安全功能整合的体系是未来行业发展的必然趋势，作为端云结合安全平台的改革者，CrowdStrike 的模式已经被市场所接纳。于此同时，中国市场由于网络安全政策的不断落地和客户对网络安全的重视不断增加，端云结

28、合的安全体系也逐渐被客户所接受。但初期以专有云和私有云为主的模式或许更加适合中国国情，以奇安信为代表的国内安全厂商也在进行积极布局。图 16：奇安信打造了强大的端云协同联防能力数据来源：奇安信，安信证券研究中心客户案例实例AmazonWeb 服务AmazonWebServices(AWS)是领先的云服务提供商，支持全球许多知名企业和政府机构。保护其数百万客户。它所面临的挑战是要求提高端点保护供并提升的可视化和效率。AWS 进行了长达一年的测试，将 Falcon 平台与多个下一代和遗留供应商进行比较，最终选择部署 Falcon 平台。最初的部署包括 13 000 个端点。至今为止，平台已经成功运

29、行在成千上万的 AWS 服务器上。CrowdStrike Falcon 为我们提供了保护，以及我们在其他提供商中所没有的功能和可见性。“亚马逊网络服务(AWS)副 CISO汇丰银行汇丰(HSBC)是一家全球性金融机构，在 66 个国家的 3800 个办事处开展业务。他们认识到它的庞大规模和分布式实践需要在整个企业实施云优先安全策略。2017 年，汇丰银行部署了 Falcon 平台。在 12 周内覆盖了 32 万个端点。汇丰银行选择 Falcon 平台作为唯一的解决方案，有效地结合预防，检测和反应等功能，在端点和实时取证形成了一个云交付的解决方案。此外，汇丰银行还得益于实时监测团队在其整个环境中持续和积极主动地寻找威胁。“CrowdStrike 已经改变了汇丰的工作方式。它给了我们一个无所不包的平台的灵活性，而不仅仅是另一个 AV 产品。”凯悦酒店公司凯悦是一家全球性的酒店公司，在超过 55 个国家拥有 750 多个房产。随着 Hyatt 管理层寻求发展其安全态势，他们开始寻找一种新的防病毒和端点检测和响应(EDR)解决方案2017 年，凯悦开