CrowdStrike开启网安龙头登云之路.docx

上传人:太** 文档编号:39453391 上传时间:2022-09-07 格式:DOCX 页数:19 大小:579.76KB
返回 下载 相关 举报
CrowdStrike开启网安龙头登云之路.docx_第1页
第1页 / 共19页
CrowdStrike开启网安龙头登云之路.docx_第2页
第2页 / 共19页
点击查看更多>>
资源描述

《CrowdStrike开启网安龙头登云之路.docx》由会员分享,可在线阅读,更多相关《CrowdStrike开启网安龙头登云之路.docx(19页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。

1、内容目录.开局破万象,全球端云结合安全平台开拓者 41 . Falcon平台一剑破万法6.模块化的灵活组合+SaaS订阅模式,满足不同层级的客户群体 92 .投资建议13.风险提不13图表目录图1: Crowdstrike的发展历程和重大事件4图2: CrowdStrike上市以来的股价走势(美元)4图3: CS端云结合技术5图4:传统的安全解决方案5图 5: CrowdStrike 的 Power of One 6图 6: CrowdStrike 的 Power of One 6图7: CrowdStrike Falcon的管理才空制台 7图8: Falcon的流程线7图9: Falcon提

2、供实时的完整攻击视图8图10: Falcon平台攻防实际演示8图11: Falcon的平台能力9图12:以美元留存率计算的客户留存率10图 13: CrowdStrike20162020 年 Q1-Q3 收入构成10图 14: CrowdStrike20162020 年 Q1-Q3 订阅占比10图15:客户采用四个或更多的云模块的季度增长情况11图16:奇安信打造了强大的端云协同联防能力12未找到图形项目表。案以便客户进行补救。7在确认完相关连接系统之后,用户可以检查此威胁是否仍在运行。只需通过Falcon或者其他安全工具包含此项威胁,攻击者会在第一时间失去访问权限。演示者为了更好的展示流程,

3、选择了在最后一步阻止。但事实上Falcon有能力在各个层面 及时阻止威胁的发生。图10 : Falcon平台攻防实际演示M” r6咐八C9.U15LS WOZ7B 1Wwot”AcmttvThtaftti tnmfB tiva Ida Alt,ML igmtihrfB highEre、* ?8TM “x” #教据来源:卜alcon官网,oiqckmAmcgmm KKISHKM on Krmu ZMJ,欣 Scteief XM 2 M c 巾 1 “2。八 W “ CebocAatocMM FBeK. s” W gr WagedQcal Lag 9UUAwua.UwfSrteQMLacthfam

4、pUAPOCQI”/ XkMT4MtLZMWIfY44Mm八U“XCS-S、 x M.Temy XRX)QTU,;M: HMO人+机器的从上至下的整合模式让Crowdstrike可以提供完整性的保护和高等级的可避。从整个过程来看,多种不同保护机制被使用,如机器学习、漏洞利用保护功能、系统记录、 行为分析和人工专家团队等。Crowdstrike的Falcon是基于端云结合架构的,同时建立在最 先进的图形数据库上,为人工智能提供动力和算力。和原始的安全解决方案不同,这种全新 模式可以直接在平台之上构建另一个程序和服务。从客户的角度来看,Crowdstrike满足三项主要需求:更好的防护,立即的价值

5、体现,和更 好性能。1 .更好的防护体现在Falcon独特的多层级保护机能。从源头到结束,每一步均使用不同的方式进行主动防护;2 立即的价值体现是由于Falcon是以SaaS为主,并具有静默安装程序,无需重启整个服务器即可推送到所有的系统中;3 通过单一代理和单一界面即可提供服务带来了更好的性能。这种模式消耗不到20兆的磁盘空间,相对于传统臃肿的安全解决方案来说,CrowdStrike占据了极小的空间。3.模块化的灵活组合+SaaS订阅模式,满足不同层级的客户群体Falcon平台的功能模块灵活组合功能,让不同量级的公司可以选择最适用的产品。Crowdstrike同时覆盖大型企业和小型客户,美国

6、的网络安全行业已经发展的较为成熟,客 户对产品的需求不限于自身的规模。图11 : Falcon的平台能力;ADSTRIKECLOUD-DELIVERED ENDPOINT PROTECTION数据来源:cs官网,cs招枝说明书,Crowdstrike基于自身的SaaS模式和多模块灵活组合的能力,使得公司客户覆盖面极庭 台的灵活性和可扩展性使公司能够无缝地向任何规模的客户提供解决方案-从拥有数十万个 端点的客户到只有三个端点客户。大部分的客户的订阅时限为一年,结合2017年和2018年 客户留存率的96%和98%来看,绝大多数客户仍会选择续订。150%Dollar-Based Retention

7、 Rates140%130%120%110%100%90%Q4FY17 01 FY18 02 FY18 03 FY18 04 FY18 01 FY19 02 FYI 9 O3FY19 04 pH9-Dollar-Based Gross Retention -Dollar*Based Net Retention图12 :以美元留存率计算的客户留存率数据来源:招股说明书,这种高覆盖率和高续订率为Crowdstrike带来订阅收入同比增长超过100%,同时订阅醛年保持增长并在2019年超过90%。订阅收入从2016年占比总营业收入褫升至2019 年的总营业收入占比90.63%。图 13 : Crow

8、dStrike20162020年 Q1Q3收入构成 图 14 : Crowdstrike2016-2020 年 Q1-Q3订阅占比资料来源:Wind,资料来源:Wind,20162017201820192020Q1-Q3订阅收入高速增长主要有两个原因:1 订阅客户数量快速增加:从2016年的450名增长至2017年1242名,同比增长176%;在2018年增长至2516名,同比增长103%。2 功能模块不断创新:从2017年开始,Crowdstrike将平台从单一产品转变为多个SKU云模块的高度集成产品。随着平台的订阅客户逐年提升,Crowdstrike也继续创新和发 布新模块。从最初通过(T

9、卫生、下一代防病毒、EDR、管理威胁搜索和情报模块启动 了这一战略模式,并在2017年2月至2018年10月期间增加了 5个模块。截至2019 年1月31日,47%的订阅客户已经采用了四个或更多的云模块。Cloud Module Adoption图15 :客户采用四个或更多的云模块的季度增长情况数据来源:官网,招股说明书,Crowdstrike和一些著名的跨国企业和政府机构有着长期业务。截至2019年1月31日,CrowdStrike在全球有2,516家订阅客户,其中包括“财富”100强中的44家、全球前100家公司中的37家和前20大银行中的9家。在2019财政年度,其总收入的77%来自美国

10、的客 户。未来,CrowdStike认为销售的重点是针对中小型企业。特别是通过免费的试用支付模式,让 各类型的客户参与进来,并定期向客户征求反馈意见,使公司能够了解和适应不断变化的需 求。基于此项战略,Crowd Strike已经利用这些反馈开发出新的云模块,比如Falcon hsighto类似Crowdstrike这种多项网络安全功能整合的体系是未来行业发展的必然趋势,作为端云 结合安全平台的改革者,Crowdstrike的模式已经被市场所接纳。于此同时,中国市场由于 网络安全政策的不断落地和客户对网络安全的重视不断增加,瑞云结合的安全体系也逐渐被 客户所接受。但初期以专有云和私有云为主的模

11、式或许更加适合中国国情,以奇安信为代表 的国内安全厂商也在进行积极布局。云平台能单点登录云端联动 赋能云安全管理平台威胁情报监测平台ill事件分析API国用户信息资产信息脸 搜收单点登录、策略管理、日志收集、授权管理本地防护组件本地防护组件防火WAF审片日志审计15妗恿知第三方图16 :奇安信打造了强大的端云协同联防能力数据来源:奇安信,客户案例实例1. AmazonWeb 服务AmazonWebServices(AWS)是领先的云服务提供商,支持全球许多知名企业和政府机构。 保护其数百万客户。它所面临的挑战是要求提高端点保护供并提升的可视化和效率。AWS进行了长达一年的测试,将Falcon平

12、台与多个下一代和遗留供应商进行比较,最终选 择部署Falcon平台。最初的部署包括13 000个端点。至今为止,平台已经成功运行在成千 上万的AWS服务器上。Crowdstrike Falcon为我们提供了保护,以及我们在其他提供商中所没有的功能和可见性。一亚马逊网络服务(NNS)副CISO2汇丰银行汇丰(HSBC)是一家全球性金融机构,在66个国家的3800个办事处开展业务。他们认识到 它的庞大规模和分布式实践需要在整个企业实施云优先安全策略。2017年,汇丰银行部署了 Falcon平台。在12周内覆盖了 32万个端点。汇丰银行选择Falcon 平台作为唯一的解决方案,有效地结合预防,检测和

13、反应等功能,在端点和实时取证形成了 一个云交付的解决方案。此外,汇丰银行还得益于实时监测团队在其整个环境中持续和积极 主动地寻找威胁。“CrowdStrike已经改变了汇丰的工作方式。它给了我们一个无所不包的平台的灵活性,而不仅仅是另一个N/产品J.凯悦酒店公司凯悦是一家全球性的酒店公司,在超过55个国家拥有750多个房产。随着Hyatt管理层寻 求发展其安全态势,他们开始寻找一种新的防病毒和端点检测和响应(EDR)解决方案 2017年,凯悦开始使用Falcon平台。在几天内在40,000个端点部署模块,包括威胁情报、 威胁监控和恶意软件分析。自那时以来,凯悦在防止违规方面取得了显著的成效,并

14、减少了 假阳性的数量。“CroMStrike产品是Hyatt网络安全生态系统的关键部分。自去年实施该平台以来,我们的 安全水平有了显著提高。一流的杀毒、端点检测和反应的独特组合,以及威胁情报和专门的 支持团队,远远超出了我们的预期。”凯悦酒店公司3 . ADP, LLC作为一家提供基于云的人力资本管理解决方案的财富300强公司,ADP为其74万客户处理 大量高度敏感的信息,包括个人财务和健康数据。一个内部安全小组在其全球服务器基础设 施中发现了一个缺陷。该基础设施包括大约20个数据中心,包括内部数据中心和云中数据 中心,这迫使ADP重新评估替代解决方案。2016 年,ADP 在部署了 Falc

15、on 平台的 Falcon Insight 和 Falcon Overwatch,最初的两个模 块仅在三个月内就在85,000台服务器上推出,没有中断任何员工或客户。Falcon平台收集 和分析的高保真度数据为ADP提供了前所未有的环境能见度,并提供了一种更有效的检测 威胁和阻止入侵的方法。部署进展非常顺利,在2017年,ADP将Falcon Insight Falcon Overwatch作为公司大约100 000台PC的主要端点保护技术,并增加了额外的模块:Falcon hsight、Falcon Discoverage 和 Falcon htelligence(现在更名为 Falcon

16、为。“在我的职业生涯中,Crowd Strike Falcon平台的部署或许是我所见过的最简单的全球安全 技术推广。通过利用该技术的云架构和Cr o训dSMke的专长,我们能够以惊人的速度和效率 部署。我们立即意识到了这一价值。”ADP首席安保干事4 .投资建议Crowdstrike树立了网安行业“端云联动”的技术标杆,引领了未来行业发展的趋势。同时 SaaS订阅模式与灵活的模块化组合成为其开拓市场的利器。国内网安企业中,重点推荐产1 .开局破万象,全球端云结合安全平台开拓者Crowdstrike成立于2011年,团队成员均来自信息安全产业和美国情报机关,包括FBI,Apple, Google

17、,亚马逊和微软等。Crowdstrike的成功首先在于解决了一个基本问题:由于现有的 基于扫描和防御恶意软件的方式无法解决新型的复杂攻击,联合创始人George Kurtz和 Dnitri Alperovitch意识到需要一种全新的方法,该方法将最先进的端点保护与云端专家情报 相结合,不仅可以扫描追溯恶意软件,还可以确定攻击者本身。OowdStrike和全球数十家 著名企业组成技术合作伙伴,为网络安全行业提供实时的更新和防护。图1 : CrowdStrike的发展历程和重大事件i数据来源:Crowdstrike官网,整理Crowdstrike近年处于高速增长阶段,市值从上市之初的83亿美元,攀

18、升至2021年1月的 近500亿美元,实现了六倍涨幅。基于对网络安全行业独有的认知和理念,使得Crowdstrike 成为5G时代背景下网络安全行业极具改革精神的创新引领者。品技术路线与Crowdstrike最为近似的奇安信、深信服、安恒信息,建议关注天融信、启明 星辰、绿盟科技、三六零、山石网科等。5.风险提不云安全落地不及预测;SaaS行业竞争加剧。250201%06-12 201-12 2O1WM12 2O1WI-12 2019-1012 23194112 2tl+12(H 12 2O2XB-12 20260412 2020012 20200612 202047-12 2020蚪 12

19、2020-012;O2O-il-12 23201212 221-O112图2 : Crowdstrike上市以来的股价走势(美元)数据来源:Wnd,超越传统的边界安全防护,结合SaaS订阅等新的商业模式,Crowd Strike的瑞云结合安全 平台提供独有三大能力:1 .端点保护和云端专家情报相结合的模式;.不断进化的终端-CrowdStrike Falcon ;2 . Power of One,随事件进化的融合安全服务能力。Crowdstrike创新地提出了端点保护和云端专家情报相结合的模式。传统的网络安全服务提 供的防护往往是在终端用户的IT架构的不同层级中设至各被动防护系统,同时配有扫描

20、功能。 这种如同建造防御工事来守护城池的方式是无法抵御新型的现代进攻的。端点保护和专家情 报为防卫系统提供了不断进化的能力。这种模式等同于在建好防御工事的城池周边再外派出 很多“侦察兵”。当“侦察兵”们发现潜在攻击的时候,他们会将情报带回给Crowdstrike 终端。基于这些情报,Crowd Strike会观察分析攻击者的行为,从而实施阻拦。而每一次的 攻击之后,都会扩充和加深Crowdstrike的数据库。随着数据库的不断扩大,终端对攻击者 的攻击模式和易受攻击的目标都会有着多层次的分析,从而提供最适应的保护模式。图3: CS端云结合技术FalconFakonFalconFakonFalc

21、onFelcon Dvic “loon Falcon Falcon.rchFalconPrevent insight Control OvtrWBtch Discover Spotlight Falcon X Engine Sandbox数据来源:CS Falcon技术中心,不断进化的终端Crowd Strike Falcon。对于目前的网络安全市场,其中有一股最强烈的客户需求指出现有的解决方案太过于复杂,而且对日已新增的现代威胁无能为力。客户们对 不断增长的复杂性感到无力,并对自身的安全架构失去信心。于此同时,传统的网络安全厂 商仍然将更多的组件添加到这个臃肿庞大的解决方案中。显而易见的,这

22、让客户公司更加难 以管理,并给端点增加了负担,从而影响到整个公司的效率。即使有些客户可以运作和管理 这些解决方案,但由于基于签名技术构建的传统网络安全防护不足以应对突发事件,最终的 损失仍是不可避免。签名技术的先天性不足导致它有着大量的盲点,如无恶意文件攻击和无 视合法系统工具的权限索取(PowerShell)等。同时,签名技术构架的防护需要人与人之间 的互动来维持。这种消耗数天、以人工的方式去调查威胁的来源显然和及时保护客户利益的 网络安全原则是背道相驰的。图4:传统的安全解决方案PROBLEM: AGENT BLOAT * SIGNATURESLegacy AVLegacy AVLEGAC

23、Y SOLUTIONSHIPSApplication WhitelistingForensicsEndpoint Detection& ResponseSecurity HygieneExploit MitigationSandboxingSandboxingPower of One,随事件进化的融合安全服务能力。Crowdstrike Falcon结合了所有的传统 安全功能,将安全能力变成一个单一的轻量级代理程序,这种程序不需要签名的授权,而是 以人工智能的方式运行。这种方式被称为“THE POWER OF ONE 对于Falcon,它使得 客户可以无需每日更新签名即可提供反恶意软件保护。同

24、时它也提供新型的保护机制,比如 机器学习、行为分析和持续监控。这种主动防御的机制更适宜于当今网络现状。Falcon的单 一代理机制让客户公司可以轻装上阵。它包括所有传统安全解决方案的功能,如病毒防护、 主机入侵防护、OC扫描工具、和沙箱等。结束了臃肿、超负载的安全网络方案,带来了一 个轻量级、低延时的网络安全综合平台。Falcon通过一个代理和一个管理界面来整合多种下 一代防病毒软件,从而提供完整的端点保护。由于Fai8n平台的性质,Crowdstrike可以不 断的添加应用和服务用以适应不断变化的威胁形式。 CQC.DSTRIKESOLUTION: CROWDSTRIKE FALCONSOL

25、UTION: CROWDSTRIKE FALCONTHE POWER OF ONEAl POWERED PLATFORMStop known & unknown malvrareStop known & unknown malvrare口SINGLELIGHTWEIGHTAGENT口SINGLELIGHTWEIGHTAGENTPrevent O-dy exploitsContain incidentsAI/ML signaturetess protection Offline protectionDiscover assets & applicationsTHE POWEROF ONEENDP

26、OINT DETECTIONAND RESPONSEHunting &. forensicsNEXT-GEN ANTIVIRUSMANAGED HUNTINGFALCON PLATFORMAPI图 6 : Crowdstrike 的 Power of One图 5 : Crowdstrike 的 Power of One资料来源:CroAdStrike官网,资料来源:CroAdStrike官网,2. Falcon平台,一剑破万法从Crowdstrike角度来看,现代攻击与传统攻击有着三个不同点:1 .首先从无恶意文件感染开始,通过不向磁盘写入任何内容,攻击者可以绕过大多数传统的网络安全解决方案

27、。2 .传统安全解决方案认定相关内貉工具是无威胁性的,导致存在大量盲点。攻击者会使用PowerShell等内至各工具来逃避检测,从而绕过防护并控制系统,同时,这种现代攻击将 通过建立后门的方式持续性的存在于操作环境中。基于后门的微小性和隐蔽性,导致大 多数的安全人员无法通过传统检测工具发现它们。3 .由于存在大量不可修正的技术盲点,攻击者可以利用它们轻易绕开防火墙,防病毒软件,应用程序白名单,甚至沙箱。然而,Crowd Strike端点保护和云端专家情报模式可以终结这些缺陷并提供完善的保护。下图为Crowdstrike Falcon的管理控制台,Falcon在一个界面中整合了所有的应用和服务。

28、左侧的工具栏为客户提供可视化的威胁识别、调查、和补救措施。对于Falcon来说,它将 可视化定义为安全解决方案的基本要素,Falcon以终端方式会记录所有End-Point活动,帮 助客户直观安全的理解相关行为,并同时提供rr安全数据。可视化地展示了安全措施覆盖的 范围,如托管和非托管系统的信息、应用程序活动检测和特权账户使用情况等。图7 : Crowdstrike Falcon的管理控制台数据来源:窘网,源于可视化的特性,再辅以Crowdstrike自动识别的核心能力,Falcon有能力持续不断地为客户提供完善的安全防护。下图是Falcon最近自动识别的威胁活动记录,在记录中,流 程线显示了

29、完整的袭击情况,从起源到结束。图8 : Falcon的流程线aplorereie数据来源:Falcon分网,当用户点击BACKDOOR.EXE (后门软件)整个攻击中最明显的部分时,Falcon已经成功 的阻止了后门软件的建立和使用。同时Falcon的机器学习将该文件标识为恶意软件,并阻 止了它的执行。虽然一些信息可以被传统的安全解决方案所展示,但Falcon可以提供实时 的完整攻击视图。而传统的安全解决方案需要数天甚至数周才能整合实时视图中的信息。 CS ieOTJt nMNotwtI Monte OetAM“ Z 2QMiAMMa. Z 2OV21MM cs-wne-HSi8的8281闻

30、Q.UiHlfhAct Mt vTbit meets tM S-ML al9orhlwnB NghtMrboid 3The procosAtwcteted KC LoalTeplX.CAUwcCS.UApOMU.ocafTMpVXPOOG.TMPbCkdMt4ieDvi0M.dHkVoMn八 UwEC$.UMrAppOtZo caZEUXMJOOJMPtbackOw 2 c5c80S的切,“212.233)t2d87XXf C73530图9 : Falcon提供实时的完整攻击视图数据来源:Falcon富网,通过Falcon,客户也可以更好的理解此类型的攻击。Falcon记录和挖掘了相关攻击的所

31、有 进程。我们将视频中的流程其总结为7个步骤:1 首先判断出后门软件的源头来自于Outlook里的邮件链接,通过链接进入IE并被鼓励直 接下载;随着攻击者第一步成功之后,攻击行为仍持续下去。在控制了系统之后,攻击者使用了 内珞工具如 Windows命令指示符、PowerShell、WMI和脚本文件等。这些工具足以绕 开传统的安全方案,因为它们被认定为受信任工具,而Crowdstrike仍旧持续监控这些 白名单软件。2 攻击者随后在 Windows命令指示符输入具体的命令指示。在这一步,攻击者基于 PowerShell获取了管理员凭据,并通过凭据获取了系统的密码。与此同时,攻击者还创 建了第二个管理账户,这种行为可以帮助攻击者在被人工发现首要管理账户被攻陷的情 况下还能继续使用系统。3 当攻击者尝试控制服务器的时候,Crowdstrike情报软件已经检测到此域名是恶意的。用户可以将此域名输入Falcon的病毒数据库进行进一步的了解。4 在视频中,操作者搜索此域名之后,发现它和俄罗斯的病毒软件“FANCY BEAR”有着 紧密联系。基于此信息,Crowd Strike提供了和病毒相关的其他替代域名。5 将这些域名放入内部搜索栏即可看见所有当前和以前连接过这些域名的系统。同时 Falcon的监测团队也在24x7的持续性监测相关威胁域名。他们也将提供相关的指导方

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 应用文书 > 解决方案

本站为文档C TO C交易模式,本站只提供存储空间、用户上传的文档直接被用户下载,本站只是中间服务平台,本站所有文档下载所得的收益归上传人(含作者)所有。本站仅对用户上传内容的表现方式做保护处理,对上载内容本身不做任何修改或编辑。若文档所含内容侵犯了您的版权或隐私,请立即通知淘文阁网,我们立即给予删除!客服QQ:136780468 微信:18945177775 电话:18904686070

工信部备案号:黑ICP备15003705号© 2020-2023 www.taowenge.com 淘文阁