CrowdStrike何以在网络安全市值第一、冠领全球

全球市值第一的网络安全玩家《CrowdStrike》何以在网络安全江湖世家中一骑绝尘，冠领全球。

公司官网地址:

https://www.crowdstrike.com/

01、CrowdStrike前世今生

CrowdStrike是全球知名的下一代终端安全厂商。公司成立于2011年，CrowdStrike 成功将最先进的端点保护与云端专家情报相结合，不仅可以扫描追溯恶意软件，还可以确定攻击者本身。CrowdStrike 和全球数十家著名企业组成技术合作伙伴，为网络安全行业提供实时的更新和防护。

CrowdStrike2012-2013推出拳头产品威胁情报服务Falcon X及终端检测与响应(EDR)产品 Falcon Inshight，并在2017年迅速丰富终端安全产品线，先后发布下一代防病毒、IT资产管理系统、恶意软件搜索、漏洞管理、沙箱及端点设备控件等多个产品模块，且于2019年推出PaaS安全平台CrowdStrike Store，构建了终端安全产品+威胁情报服务+专家服务，SaaS+PaaS的完整安全生态。

《纽约时报》宣称，Crowdstrike是由安全软件公司迈克菲(McAfee)的两名前高管共同创立，团队成员均来自信息安全产业和美国情报机关，包括 FBI，Apple，Google，亚马逊和微软等，专门研究黑客攻击行为。值得注意的是，这家公司与美国政府关系密切。该公司主席肖恩·亨利（Shawn Henry）是美国联邦调查局（FBI）前高层官员，副主席温迪·拉费蒂（WendiRaffety）曾长期在美军中供职，技术总监查得·蒂尔伯里（ChadTilbury）作为美国空军特别调查办公室的特工，长期在五角大楼处理网络安全事务，而该公司的服务总监克里斯托弗·普莱斯（Christopher Price）则是Mandiant网络安全公司的前经理。

CrowdStrike近年处于高速复合增长阶段，市值也从上市之初的 83 亿美元，攀升至 2021 年 1 月的近 500 亿美元，实现了六倍涨幅。基于对网络安全行业独有的认知和理念，使得 CrowdStrike 成为 5G 时代背景下网络安全行业极具改革精神的创新引领者。

02、CrowdStrike独门绝技

Falcon平台

CrowdStrike通过SaaS模式在其云平台Falcon上为176多个国家的客户提供端点安全、威胁情报和事件响应服务，每天搜集和分析全球超过300亿终端事件。Falcon 平台是基于大数据分析的终端防御平台，可监控企业数据流量，检测 0day 威胁，并防止针对性攻击对企业安全造成破坏。根据Crowdstrike高管的说法，这个大数据分析云平台帮助Crowdstrike跟踪了解世界各地的黑客团体的活动，使得Crowdstrike一般情况下可以定位出发起攻击的组织并将制止黑客攻击活动。

Falcon平台采用的是云端与用户端点相结合的体系架构，主要由Falcon Sensor、Falcon Management Console、Threat Graph、Falcon APPS、Falcon APIs等模块组成。Falcon Sensor部署在用户端点，其他模块位于Falcon Cloud端。

（1）Falcon Sensor模块：CrowdStrike公司在Falcon平台中设计了一个代理（Agent），它是一个轻量化的传感器，部署在用户环境中。这个传感器不仅能够阻止已知特征的恶意攻击，还可以阻挡未知恶意攻击，同时记录所有相关端点的活动信息，以保证可以清楚的了解环境中的每一个环境。

（2）Threat Graph模块：具有强大的图形分析能力，并关联Crowd Strike全球客户数十亿的安全事件。它存储于分析海量（达到PB级）的历史资料，使用先进的算法与智能处理来检测“一切未知的事件”。

（3）Falcon APIs模块。CrowdStrike针对其平台架构提供非常丰富的API接口让其他企业能够基于既有的安全架构来整合其他网络安全防护系统（例如：SIEMs, IPS/IDS…等）。

（4）Falcon Management Console模块：Falcon Management Console接口通过管理界面提供对所有事件的完整信息以及图表，及时的警报和详细的搜索功能。

（5）Falcon APPS模块：FalconAPPS模块具备网络安全防御、端点防护与响应、主动防御威胁事件等能力。

Falcon Insight

Falcon Insight是CrowdStrike的端点检测和响应（EDR）的解决方案。它允许您快速发现组织环境中的攻击者，并且借助实时可见的数据和响应工具来修复漏洞状况。

1.保护独特的攻击指标（IOA）行为

2.全方位实现安全性端点活动的实时可见性

3.通过五秒钟搜索，发现和调查当前和历史的端点活动

4.通过威胁情报进行事件呈现，提供有关攻击的原因和附加信息。

Falcon Intelligence

Falcon Intelligence是CrowdStrike的网络威胁情报解决方案。它跟踪全球对手的活动，并具有自定义和智能化操作功能。同时Falcon Intelligence还可以了解对手的动机，预测对手行为，并阻止他们破坏组织。

Falcon Intelligence提供与SIEM、IDS和威胁情报平台集成的API和 delivers APIs and feed，可以实时应用于企业系统。

1.深入网络安全分析和报告

2.独特的对手TTPs攻击属性和识别（战术、技术和程序）

3.自定义Feeds,支持各种API格式

4.全天候追踪全球130多位对手

5.智能化量身定制，为您提供重要事件的可见性

安全搜索引擎

安全搜索引擎（Falcon MalQuery）：CrowdStrike 的威胁数据库中目前已经索引了超过 700 万个文件，共有过去 5 年内积累下的超过560TB的恶意软件样本，以及每天新增的安全事件数据。在此基础上，CrowdStrike在其Falcon平台上新增了MalQuery搜索引擎，在搜索上的速度会比其他恶意程序搜索工具快上将近250倍。并且能够允许用户过滤搜索结果，提供最相关最直接的搜索结果。以及基于字符串和基于YARA的搜索可以在控制台进行，搜索结果则会显示为图形化的快照形式。搜索结果（分析文件的元数据以及具体内容）会使用CrowdStrike的AI来进行分析，并提供 SOC 的关联信息展示威胁等级和威胁内容。

事件响应服务

事件响应服务实际是CrowdStrike提出的主动防御概念的一个方面，其内容不仅包括传统的被动防御操作，例如拦截、警告；还包括利用欺骗、牵制、阻碍攻击者资源，创建令人疑惑的、混乱迷惑的资源，以此来拒绝攻击者从他们的攻击行动中获得好处。以此进一步提供攻击的攻击成本，赋予防守者收集攻击者间谍技术的更多信息，同时防止伤害到自身的网络。

03、CrowdStrike影响力

发布年度全球威胁报告

CrowdStrike的《2020年全球威胁报告》对过去一年中顶级网络威胁趋势进行了深入分析，该报告的要点包括：大型攻击活动（BGH）不断升级，赎金要求飙升至数百万，并且造成极大的破坏；网络犯罪分子正在使敏感数据武器化，以增加对勒索软件受害者的压力；eCrime生态系统不断发展，变得成熟和专业化程度不断提高；在BGH之外，针对全球金融机构的eCrime活动有所增加；朝向无恶意软件策略的趋势正在加速；国家资助的有针对性的入侵活动继续针对知识产权/竞争情报，促进社区内部的分裂，并观察到了与先进eCrime攻击者的合作。

曝光APT网络攻击组织

截止目前，CrowdStrike已经曝光了超过150个APT组织，其中大部分是俄罗斯、中国、朝鲜、伊朗、巴基斯坦、越南、印度等国家。

自己建立一套对于APT组织命名规则

国家级组织命名规则：

Bear = Russia

Buffalo = Vietnam

Chollima (a mythical winged horse) = NorthKorea

Crane = South Korea

Kitten = Iran

Leopard = Pakistan

Panda = China

Tiger = India

非国家级组织命名规则：

Jackal = Activist groups

Spider = Criminal groups

截止2019年度，报告的相关组织名单。

国家	APT组织名称
俄罗斯	Cozy Bear (APT29) Fancy Bear (APT28) Venomous Bear Voodoo Bear
中国	Anchor Panda (APT14) Deep Panda (APT19) Goblin Panda (APT27) Mustang Panda Samurai Panda (APT 4)
巴基斯坦	Mythic Leopard (APT36)
朝鲜	Stardust Chollima (APT38)
伊朗	Clever Kitten Helix Kitten (APT34) Pioneer Kitten Refined Kitten (APT33)
非国家组织	Cobalt Spider Dungeon Spider Mummy Spider Salty Spider (Sality) Wicked Spider