网络安全独角兽CrowdStrike IPO分析

文/王文宇

2019年5月14日，CrowdStrike向美国证券交易委员会提交了上市申请，让我们可以更清晰的了解这家创业8年的网络安全独角兽企业的运营情况。我们暂且不谈具体的产品和方案，从数据入手，形成一个对CrowdStrike直观感受。

先看客户情况，截至2019年1月31日，在全球拥有2,516家订阅客户，其中包括财富100强中的44家，全球100强企业中的37家以及前20大银行中的9家。

看关键财务指标，总收入从2017财年（它的2017财年是指从2016年1月13日到2017年1月31日，下同）的5270万美元增加到2018财年的1.188亿美元，同比增长125％，再从2018财年的1.188亿美元增加到2019财年的2.498亿美元，代表同比增长110％。

不同于国内大部分网络安全企业，CrowdStrike的核心收入是订阅收入。订阅收入从2017财年的3790万美元增长到2018财年的9260万美元，增长144％，再从2018财年的9260万美元增长到2019财年的2.194亿美元，增长137％。

从收入的角度看，CrowdStrike的增长非常的快，但是盈利情况其实不乐观，过去3个财年一直是净亏损，从2017财年的9130万美元的净亏损增加到2018财年的1.355亿美元，2019财年的净亏损为1.401亿美元。截至2019年1月31日，累计赤字为5.191亿美元。而且，CrowdStrik预计，在可预见的未来将继续产生净亏损，它给出的原因是将继续投资于我们的业务和销售能力，以应对巨大市场机遇。

再看一个关于公司生死线的重要指标：现金流。可以看出在2019财年经营活动产生的现金流是-2300万美元，但是比2017财年和2018财年的-5000多万美元已经有明显的改善，但主要的现金流支撑的来源还是融资。而且，2019年4月，CrowdStrike与硅谷银行和其它贷款方签署了1.5亿美元的循环信用贷，可以预见的综合现金流在可控范围内。

看完了现在，再看看CrowdStrike对将来的预测，它认为自己的产品覆盖的范围有5个市场。

1、企业端点安全。2013年，CrowdStrike推出了Falcon OverWatch和我Falcon Insight云模块，2017年推出了Falcon Prevent，属于我们常说的EDR和NGAV（下一代防病毒）。IDC估计，这些细分市场的全球市场在2019年将达到76亿美元，预计到2021年将达到87亿美元。

2、威胁情报。2012年，CrowdStrike发布了Falcon X云模块来应对威胁情报市场。IDC估计，威胁情报全球市场将在2019年达到16亿美元，预计到2021年将达到20亿美元。

3、安全性和漏洞管理。2017年，CrowdStrike发布了Falcon Spotlight云模块，以应对漏洞管理市场。IDC估计，2019年该细分市场的全球市场规模将达到84亿美元，预计到2021年将达到104亿美元。

4、IT系统和服务管理。2017年，CrowdStrike发布了Falcon Discover云模块，以满IT资产管理市场的需求。IDC估计，该领域全球市场在2019年将达到26亿美元，预计到2021年将达到31亿美元。

5、托管安全服务。2018年，CrowdStrike发布了Falcon Complete云模块，以满足托管安全服务市场的需求。其最初的目标是针对那些缺乏安全人的小型组织，但该解决方案也使有助于大型企业的安全团队。IDC估计，2019年这一细分市场的全球市场规模将达到248亿美元，预计到2021年将达到296亿美元。CrowdStrike估计，2019年，其在这一细分市场的机会空间是44亿美元，2021年将达到51亿美元。

结合这些细分市场，2019年CrowdStrike认为其的全球机会估计为246亿美元，预计到2021年将达到292亿美元。

从技术角度看CrowdStrike的另类终端安全崛起之路

关于产品的定位问题，CrowdStrike给自己贴了三个标签：基于SaaS的端点防护、威胁情报和云安全。它一直在强调与其它竞品的差异，在这篇文章中，我更多的会采用CrowsStrike的观点，尽量少的带入我个人主观的评价，至于是大家对CrowdStrike的自我定位是否认可，就见仁见智了。我们先看看CrowdStrike认为其它产品的局限性是什么，然后再看看它自己的具体的功能和模块。CrowdStrike把其它产品划分了5个类别。

1、基于签名的传统产品。基于签名的产品旨在检测已在先前识别的威胁，但不能防止未知威胁。这是一种被动的方法。等可以发现和识别的时候，可能已经给受害者造成了重大损失。如果攻击代码略微修改，基于签名的方法就可能检测步到了。在过去二十年中发现的许多重大漏洞，很多传统的基于签名的防病毒产品都无法提前检测和防护。

2、以恶意软件为中心的机器学习产品。传统上，组织专注于保护其网络和端点免受基于恶意软件的攻击。这些攻击涉及为执行恶意活动，窃取数据或破坏系统的特定目的而构建的恶意软件。以恶意软件为中心的防御方法将使组织容易受到不利用恶意软件的攻击。根据Threat Graph索引的客户群数据，2018财年第二季度有40％的检测不是基于恶意软件的，而是利用系统中的合法工具，使攻击者能够实现目标，而无需将文件写入端点，使传统的防病毒产品更难以检测。

3、应用白名单产品。应用程序白名单产品在端点上采用“始终允许”或“始终阻止”策略，以允许或阻止进程执行。白名单部分依赖于手动创建和维护复杂的规则列表，给最终用户和IT人员带来负担。为了避免这些管理挑战，IT组织经常为白名单创建特殊例外，攻击者利用这些例外来破坏端点。此外，无文件攻击可以利用合法的白名单应用程序，从而损害白名单产品的完整性。

4、以网络为中心的安全产品。传统的网络安全供应商将其产品集中在基于周边的保护上。但是，随着员工和工作场所设备扩展到防火墙之外，这些方法的相关性和有效性降低，加密流量的使用增加了攻击者能够利用的盲点和漏洞。随着端点数量的激增，这一防御层无法充分保护企业外围的信息丰富的端点和工作负载。

5、Bolt-on云产品。许多内部部署供应商通过将其内部部署产品放入云中来引入云产品。此类单租户产品并非设计为在云中运行，因此仍然是孤立的，缺乏集成，可扩展很有限。另外，这些产品部署复杂，难以扩展，使用成本高，并且在阻止破坏方面无效。最初设计用于内部部署并迁移到云的任何产品根据定义都不能是云原生解决方案。

有别与以上5类解决端点安全的产品，CrowdStike认为自己是一个基于Saas的终端防护产品，通过SaaS订阅的方式集成了10个云模块，涵盖了三个方面，包括端点安全，安全和IT运营（包括漏洞管理）和威胁情报。并且通过单一数据模型和开放式云架构，提供API，以应用商店的方式，让第三方合作伙伴能够快速创新，构建和部署新的云模块，从而为客户提供更多的增值功能。

在端点安全方面，主要有三个模块，NGAV（下一代防病毒），EDR和设备控制。结合机器学习和行为分析技术，以抵御恶意软件和无恶意软件(恶意代码注入合法软件)攻击，实现端点活动的持续全面可见性和分析，并为管理员提供可见性和USB设备的精细控制。具体三个模块功能简介如下：

Falcon Prevent-Next-Generation Antivirus。Falcon Prevent提供下一代防病毒功能，提供全面保护，以保护客户免受恶意软件和无文件攻击。Falcon Prevent结合了已知恶意软件的识别，针对未知恶意软件的机器学习，利用阻止和高级行为技术，目标是替换其现有的传统防病毒产品。

FalconInsight-终端检测和响应。Falcon Insight为客户提供EDR功能，允许持续和全面的可视性，以实时通知客户端点上发生的情况。Falcon Insight记录并自动分析端点上的活动，以提供深入的可见性，快速和强大的搜索功能，以及实现主动威胁搜寻和取证分析所需的全面上下文和数据。

设备控制。Falcon Device Control为管理员提供USB外围设备的高度可视性和精细控制。

在安全和IT运维方面，主要有四个模块，解决 IT HYGIENE，无扫描漏洞管理，Turnkey一站式安全和漏洞管理，以及基于威胁图表和安全团队支持威胁捕猎的方面的问题，具体模块如下：

Falcon OverWatch-Threat Hunting。 Falcon OverWatch是一种威胁捕猎的解决方案，由专业的安全专家团队组成，他们利用威胁图主动识别客户的威胁。全球Falcon OverWatch团队无缝增加客户的内部安全资源，以识别和调查可疑和恶意活动。

FalconDiscover-IT Hygiene。 Falcon Discover可识别客户网络中的恶意系统和应用程序，并监控客户环境中任何位置的特权用户帐户的使用情况。该模块还支持安全之外的用例，例如应用程序许可证管理，AWS支出分析和资产清单。

FalconComplete-Turnkey安全解决方案。Falcon Complete为我们的客户提供全面的监控，管理，响应和补救解决方案。它旨在为可能缺乏企业级资源的公司提供企业级安全性。

FalconSpotlight - 漏洞管理。Falcon Spotlight可以识别客户端点上存在的实时漏洞。该模块不依赖于扫描系统，利用代理已经收集的数据来提供对企业漏洞风险的即时，准确的实时可见性。

在威胁情报方面，通过恶意软件搜索引擎和恶意软件分析模块，以自动化的方式检查识别出来的威胁。具体模块如下：

Falcon X-Threat Intelligence。Falcon X将威胁情报整合到端点保护中。它提供对检测到的威胁的自动分析，以深入了解攻击的能力，动机和归因。它还通过提供可操作的情报和自定义IOC，将针对检测到的威胁及其变体的保护扩展到组织内部署的其他安全解决方案，以进行纵深防御覆盖。

Falcon搜索引擎 - 恶意软件搜索。Falcon搜索引擎使客户能够实时搜索Falcon平台中收集的300 TB恶意软件，并使用二进制数据索引技术编制索引。

Falcon沙箱 - 恶意软件分析。Falcon Sandbox通过在虚拟机中分析未知文件的恶意行为。Sandbox提供对恶意软件行为的可见性，自动进行深入的文件和内存分析，以加快威胁防护和响应速度。

CrowdStrike商店是它的一个很有意思的功能，自称是第一个用于网络安全的基于云的应用程序平台即服务平台或PaaS。CrowdStrike商店为其客户引入了可信赖的合作伙伴和应用程序的统一安全云生态系统。CrowdStrike商店允许客户快速，轻松地发现，尝试和购买来自可信赖合作伙伴和CrowdStrike的应用程序，而无需部署和管理其他代理和基础架构，也无需经过漫长的销售，集成或实施流程。

声明：本文来自网安网事，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。