$CrowdStrike Holdings(CRWD)$ $奇安信-U(SH688561)$ $深信服(SZ300454)$ #雪球星计划# @今日话题
最近的研究工作关注到了一家美股网络安全的Saas科技公司,和之前主要关注的大消费领域不同,虽然自己本硕计算机出身,但是落实到具体的终端防护业务和技术上,理解程度还是有限的![[捂脸]](http://assets.imedao.com/ugc/images/face/emoji_33_face.png?v=1 "[捂脸]"){kind=small}
。写本文的过程也是自己学习一些网络安全相关知识的过程,难免有疏漏错误之处。有懂的球友或是业界大佬还请多评论指正~![[赞成]](http://assets.imedao.com/ugc/images/face/emoji_37_shakehands.png?v=1 "[赞成]"){kind=small}
这篇文章主要介绍crowdstrike falcon平台的基本情况,因为这是进行下一步研究的基础,下篇文章再去从Saas一些指标和财务方面进一步分析。
CRWD创立于2011年,受到各位Saas界成功同行的启发,和彼时安全防护技术的局限性,创始人一开始便朝着安全界的salesforce发展,其使命是“Stop breachs",搭建了业界最早的云终端防护平台-Falcon(猎鹰)。
整个Falcon平台现况如下(建议放大后仔细看):接下来我将从平台的架构和具体的服务模块两块介绍。
平台架构
从整体的架构来看,我们可以看到整个Falcon中核心技术有两个,一个是易于部署的智能轻量级代理(lightewight agent);另一个是基于云的威胁图(threat graph)。
先说轻量级代理,轻量级代理与传统的本地部署相比,有非常明显的几个优点,这几个优点也可以说是Saas共有的:
1)可以使得产品适合不同种类的终端。本地部署的传统应用通常依赖系统环境,而云原生应用不会硬连接到任何系统环境,只是依赖抽象的基础架构,从而获得良好移植性。如在服务器、移动端和物联网设备等都可使用。非常适合现在终端设备数量和种类快速增长的时代,大大减低了多平台适配的研发费用,使得企业研发更具备效率。
2)运维的自动化。本地部署的传统应用各种人力手工运维,而云原生应用这一切都是自动化的。极大的提高了服务的效率减少了客户使用时的费用。
3)产品更新、模块扩展时非常方便。本地部署的传统应用可能需要停机更新,而云原生应用应该始终是最新的,需要支持频繁变更,服务模块的扩展,持续交付,使得研发和迭代的效率极大的提升。
接下来再说说这个威胁图平台,威胁图平台是整个Falcon的大脑。首先先解释下“图”的由来,由于而安全数据通常是非结构化和意外类型的,并不适合传统的关系数据库进行存储(这种数据库更适合结构化数据,不适合的数据将被丢弃)。而图数据库却可以轻松搞定,因此可以轻松地存储和跟踪安全事件。在图数据库中,每个对象(称为顶点(vertex)或节点(node))可以有许多关系。这些关系被称为“边缘”(Edge)。每一段数据及其独特属性,都存储为单独的对象。数据及其属性被附加到图中,使得图数据库能够无限增长和接受新类型的数据。因此,可以很容易地用属性和值填充图数据库,而无需遵循预定模式,还能够立即被搜索到。这使得图数据库非常擅长映射关系和揭示网络中实体之间的“相互关联性”。下面这张图可以帮助大家理解。
有了图数据库的技术作为基础,公司便可以将轻量级代理在无数终端上传的数据进行存储,Falcon有了充足的数据作为“食物”,再结合其背后的深度学习、模式识别等机器学习算法的处理和识别,不断挖掘茫茫威胁数据之中有价值的信息,威胁活动的识别率也就逐步提升到前所未有的水平。
威胁图处理的流程是这样:
威胁图包含的模块:
在所有技术结合在一起后,提供同样的解决方案,CRWD的成本仅为传统方案的13%左右。
服务模块
此外从服务模块上来看,公司的服务模块通过自身的研发和并购已经增加到了7个大模块+商店,下面我们花些时间耐心的看一看。
1)EndPoint Security(终端防护)
所谓的终端防护是一种网络安全方法,由一组识别、预防和响应已知和未知威胁的过程组成。这些威胁可能来自连接到业务IT网络的各种终端,这些终端充当潜在利用或入侵网络的网关。威胁可以是基于恶意软件的,也可以是基于非恶意软件的,例如数据盗窃或对硬件组件的物理损坏。
公司在这方面包括设备控制、防火墙管理、杀毒技术、和EDR(Endpoint Detection and Response),而EDR大体就是如下图所示的功能,
总之终端一般是整个系统最脆弱的地方,最容易受到入侵,因此终端防护对于保护整个系统和数据的安全非常重要,对于大型企业客户更是非常硬的需求,因此也从来不缺服务提供商,竞争十分激烈,而且不缺乏微软这样的大玩家。当然谁的防护能力和服务能力最强,企业就买谁的服务,CRWD从一个小公司能快速成为行业的龙头,从侧面也印证了其技术方面确实NB,2020年统计数据表示,市场份额12%左右。
此外介绍一下较EDR更领先的下一代技术XDR(eXtended Detection and Response),这个概念是在疫情时代下,远超办公越来越多,同时网络攻击也越来越多的情况下出现的。“XDR中的“X”是指扩展,强调由孤立式威胁检测到全面威胁检测的整体转变。XDR不再单纯立足端点、网络或者电子邮件进行安全事件标记,而是承诺跨越多种安全控制机制对所有事件做出收集与关联。从这个层面来看,XDR与网络杀伤链模型或ATT&CK框架提出的威胁检测框架颇有共通之处。“D”是指对数据的收集、处理与分析,强调以超越原有系统的速度更快、更准确地检测网络攻击活动。随着云计算的快速普及,数据收集、处理与分析活动正全面转向云原生模式,允许我们利用规模化资源优势快速搞定以往 需要几个月、甚至几年才能实现的高级数据分析。“R”则与自动化紧密相关。XDR承诺以开箱即用的自动操作快速应对各类繁琐枯燥的安全任务。在这方面,我们也可以把XDR理解成一种低成本的交钥匙型安全协调与响应(SOAR)解决方案。”
好吧,虽然大部分人包括我也看不太懂XDR,但是公司在10月12日已经推出了XDR的第一个模块,应该说再一次设立了行业的标准吧,并且搞了一个联盟准备推一种XDR的共同编程语言,有兴趣可以再看看这个网页链接{CrowdStrike Introduces First-Of-Its-Kind XDR Module},所以公司在新技术依然积极推进并领先,知道这个就够了。
2)Cloud security
由于越来越多的企业将会选择云上解决方案,计算终端的云化部署也将是一大趋势,这一块专门为云安全做出的防护,公司称这块服务是industry’s only adversary-focused platform。
这块业务公司比较重视,因为公司认为“Cloud security platforms are emerging. 73% of organizations plan to consolidate cloud security controls.” 从下图的云安全预算来看,预算投入有所欠缺,并且根据IDC的预测,安全开支应该占到5%~10%,所以成长潜力巨大。
所以我们要留意cloud security这里,是有一个快速增长的机会的。
3)Managed service
这块业务是给MSSPs(managed security service provider )提供一个好的安全管理工具。MSSPs你可以理解为 为某些企业承接安全外包服务的人,公司的客户也包括他们。
4)Security and IT operations
这块图里列了三个细分服务:
CrowdStrike IT Hygiene 可提高网络内应用程序、访问性和帐户管理的可见性,识别漏洞、缺失补丁、未受保护的设备和薄弱的安全设置,以便您可以在发生漏洞之前主动保护您的网络。
CrowdStrike Foresics 可自动化时点和历史取证数据的收集,以对网络安全事件进行稳健分析。响应者可以使用预设仪表板快速识别相关数据以加快调查速度。
CrowdStrike Vulnerabililty management就是漏洞管理和修复了。
5)Threat Intelligence
threat intelligence是收集、处理和分析以了解威胁参与者的动机、目标和攻击行为的数据。因此能够做出更快、更明智、有数据支持的安全决策,并将安全防护从被动转变为主动对抗威胁参与者。
这一块是falcon中非常核心的模块了,在我的理解看来主要是用算法处理威胁数据和做出判断的。
6)Identity protection
先看定义,这个模块就是要求所有用户(无论是在组织网络内部还是外部)都进行身份验证,在被授予访问权限或保持对应用程序和数据的访问权限之前,授权并持续验证安全配置和状态。
简要说,就是处理网络安全中身份验证和安全类的问题。此外在zero truest安全方面,公司连续收购了两家初创企业。
第一个在在2020年10月左右,公司以9600万美元收购zero trust中初创公司Preempt。CrowdStrike意图通过此次收购增强针对基于身份的攻击和内部威胁的保护。CrowdStrike联合创始人兼首席执行官George Kurtz说。“将Preempt的技术与CrowdStrike Falcon平台相结合,将通过身份,行为和基于风险的决策来帮助客户实现端到端可见性和强制执行,以实时阻止攻击。”
第二个就在今年11月,crowdstrike同意收购一家零信任相关的Saas服务商SecureCircle。CrowdStrike 的首席执行官 George Kurtz 表示:“数据丢失预防因缺乏创新而受到影响,遗留工具完全无法兑现防止数据泄露的承诺。CrowdStrike 将通过将零信任实施与设备、用户身份以及通过此次收购连接到用户访问和使用的数据,为基于端点的数据保护设定新标准。“
虽然技术上可能没这么了解,但从动作上我们可以看到,公司可以通过资本的便利,将falcon平台集成了更多安全服务,不断补充短板,吸收先进的技术注入其中,公司向着提供垂直化解放方案的公司前进,这会让公司的产品粘性进一步增强。
7)log management
今年3月公司以约400million收购Humio,一家高性能云日志管理和可观察性技术的领先供应商。以加强其从任何日志、应用程序或提要中提取和关联数据的能力,以获得可操作的洞察力和实时保护。这项收购 ,也从技术上促进了公司XDR的研发推进。
8)crowdstrike store
公司在2019年就推出了PaaS平台 store,支持第三方的安全应用,打造Saas+PaaS的完整生态。CrowdStrike® Store 是一个企业市场,客户可以在其中发现、试用、购买和部署可信赖的合作伙伴应用程序。这样falcon会为客户提供一整套基于安全云的解决方案,并且打通基于PaaS平台的安全威胁大数据。
通俗的讲store的意思是,有了丰富威胁数据的情况下,即使在某些安全方面我自己用不好,但有人能用好的话,只要客户将会在这个平台享受到最NB的安全服务,那我的平台就会拥有巨大的价值。网络安全防护的侧重点众多,很难说把每个点都做到最厉害,通过构造一个开放的平台是非常好的从客户出发的想法。因为客户消费时不管你是谁,只关心你的服务好不好,能不能完整的持续的,完整的解决我的安全问题。store也让公司在技术上的安全边际有所提升。
整体的8个大模块看下来,公司正在向一个提供安全领域垂直化解决方案的平台公司继续发展,更多的服务模块不仅贡献稳定收入的同时,也能赋予公司更强的服务粘性和护城河。
总结
因此从业务技术上来看,公司技术上的竞争力在于:1)长时间的安全云技术的积累 2)长时间安全数据的积累,这点的护城河属性更强。在这里必须强调数据对AI的重要性,同样的一个算法模型,学习不同量级的数据,其性能可能会差距非常大。一个一般的算法+大规模的安全数据的效果很可能会大于一个更好的算法+中等规模的数据。从这个角度讲,即使出现了一个技术更强的公司,但是数据上没有公司丰富,最终性能可能依然不如公司具有竞争力,而数据的积累需要的时间和客户,在这两点上,公司是安全云的提出者领跑业界多年,积累了很多世界500强企业客户,在各式终端上收集了丰富的安全数据,这些数据是公司非常重要的无形资产,也具有相当的护城河属性!
进一步思考,在安全云的技术优势下,安全方案成本大幅减低,这种技术上的竞争力进一步转为公司“产品价格低”;而海量的安全数据积累,使得性能领先同行,这种技术上的竞争力进一步转为公司“产品性能好”。如此看来,公司“产品价格低,产品性能好”的核心竞争力便有了坚实的技术支撑。除此之外,公司“产品服务全“的竞争力有望随着垂直化解决方案的不断整合,体现出更大的竞争优势。
ps:科技公司看起来比较费力![[困顿]](http://assets.imedao.com/ugc/images/face/emoji_11_sleepy.png?v=1 "[困顿]"){kind=small}
,不过感觉公司还不错~,下节落实到分析一些ratio和财务上![[笑]](http://assets.imedao.com/ugc/images/face/emoji_01_smile.png?v=1 "[笑]"){kind=small}
关注转发点赞都是对我的的大力支持呀![[加油]](//assets.imedao.com/ugc/images/face/emoji_05_struggle.png?v=1 "[加油]")
![[加油]](http://assets.imedao.com/ugc/images/face/emoji_05_struggle.png?v=1 "[加油]"){kind=small}
ps:欢迎关注笔者同名号,获得更丰富更及时的投资分享~
----------------------------------------------------------------------------------------------------------------
三六零、深信服 (300454)、天融信 (002212)、奇安信 (688561)、启明星辰 (002439)、卫士通 (002268)、绿盟科技 (300369)、安恒信息 (688023)