我上周寫了篇
文章回顧整理了Crowdstrike(CRWD)上市以來所有關鍵財務數據,最近我又花了不少時間研究CRWD的商業模式,以及CEO George Kurtz在
電話會議中提到的下一步發展戰略。本文會先介紹CRWD產品的基本特點,我發現很多別的文章或影片雖然都有略略介紹,但似乎存在些誤解。然後我會補充電話會議紀錄中值得注意的數據。
本文真正重點,會放在CRWD為甚麼收購日誌管理公司Humio,與他本來業務的內在連結與互補之處,最後指出CRWD未來發展的終極藍圖所在。
Crowdstrike的商業模式 CRWD是一家針對雲端安全提供保護服務的
SaaS訂購模式軟體公司,成立於2011年並於2019年上市。這是一家成立至今只有十年的公司,其產品從一開始就是針對新世代的網絡安全問題而設。
新世代的網絡安全問題有哪些呢?第一,連結網絡的端點設備(如電腦、手機和各式各樣的行動裝置)比以前多非常多,受疫情刺激全球遠距工作需求又大增,故為保護端點設備連結到某個特定網絡之間的路徑安全,使免受病毒及其他攻擊威脅,有關端點安全(Endpoint Security)服務的需求迫切。
第二,CRWD指出傳統網絡安全服務一向重預防而非偵查,一旦防禦模式被攻破,攻擊方就可隨心所欲地逗留數月之久,待完成目的後再施施然離開,被害者在整個過程中完全懵然不知,就算最後被揭發,也是從第三方執法部門或客戶中得知,而且也無法回頭檢討整個攻擊過程是如何發生,及將來可如何預防。此外,傳統網絡安全產品僅限於阻止或允許活動,其防衛模式是依賴安裝在端點設備裡的防毒程式,一旦有新的攻擊模式出現,客戶端可能還未來得及更新,便已宣告淪陷。
因此,CRWD提供的解決方案,是建構一個名為Falcon的雲端網絡安全平台,客戶端只需透過一個25MB的代理程式便可接入,直接針對端點連結到特定網絡之間的路徑提供保護。只要CRWD在一個客戶端發現了攻擊或威脅,雲端迅即更新,於是其他所有使用CRWD服務的客戶即同步得到保護,故而完全不必在不同客戶端另外安裝冗贅而又各自為政的防毒程式軟件。
在官方網站提供的白皮書中,CRWD強調了使用自家雲端網絡安全平台的兩大好處。第一,在Falcon平台上會設置Falcon Insight組件,它能夠監視並收集端點活動數據,將其存儲以供將來搜索和調查之用,故具可見性(Visibility)。
第二,在具可見性(Visibility)的基礎上,雲端平台可全面實時掌握端點活動數據並了解整體脈絡,如追蹤進程創建、驅動程式載入、註冊表修改、磁碟訪問、記憶體訪問或網絡連接等等,甚至由此了解網絡攻擊的內容、時間、原因,甚至追蹤到「幕後黑手」是誰。在2016年,Crowdstrike就曾協助調查民主黨伺服器被滲透事件,並指出入侵者是由俄國政府贊助的兩個間諜組織——Cozy Bear和Fancy Bear。
坊間許多介紹CRWD的文章和影片當中,都提到「機器學習」對雲端網絡安全平台的重要性,是技術關鍵,很多時候更被形容到好像全憑機器學習來防衛一樣。我不是網絡安全的專家,但其實只要到CRWD網站上讀幾份白皮書,就知道完全不是這麼一回事。如果不搞清楚這一點,也將無法理解CRWD收購日誌管理公司Humio的真正企圖及未來發展藍圖所在。
下文內容(重磅!):
- CRWD雲端網絡安全平台能夠「化被動為主動」助客戶抵禦攻擊的真正原因。
- 補充電話會議中的幾個重點,今次內容相當重要,透視CRWD未來發展策略。
- 理解CRWD收購日誌管理公司Humio的企圖,究竟CRWD看上甚麼地方?
- 在雲端安全和日誌管理之外,CRWD未來的終極發展藍圖。