CrowdStrike: история взрывного роста на рынке кибербеза

Герой статьи: CrowdStrike Inc. – компания, специализирующаяся на информационной безопасности и защите корпоративных станций и серверов. Получила мировую известность после успешных расследований хакерских атак на госучреждения и компании США.

Разочароваться, чтобы создать

В начале нулевых Джордж Куртц, обычный аналитик из PriceWaterhouse и автор популярного руководства для сетевых администраторов Hacking Exposed (тираж 600.000 экземпляров на 30 языках мира), создает компанию Foundstone. В 2004 году ее покупает McAfee, Куртц становится вице-президентом McAfee, а в 2009-м ― CTO компании. Через два года, в 2011-м, он разочаровывается в McAfee и решает создать собственную компанию с названием CrowdStrike и принципиально новым взглядом на информационную безопасность. Вместо привычных антивирусов и поиска вредоносного программного обеспечения компания сосредоточивается на более сложной задаче ― обнаружении сложных угроз, конкретных техник, используемых хакерами. Идея находит инвесторов и получает финансирование в размере $25 млн. Теперь обо всем по порядку.

Легенда, или история успеха

В 2011 году, сидя в самолете, СТО компании McAfee Джордж Курц смотрел, как мучаются сосед и его ноутбук. В течение 15 минут после старта операционной системы ресурсы начисто съедал антивирус McAfee. В этот момент Джордж понял, что защита эндпоинтов (серверов и устройств, подключенных к рабочей сети) должна быть другой: не тормозить работу компьютеров и управляться из облака. Вдохновленный идеей, Джордж вместе с друзьями Дмитрием Альперовичем и Грегом Мартсоном уволился из McAfee для того, чтобы создать компанию CrowdStrike и продукты нового поколения. Первым из них в 2013 году был Falcon. Он защищал конечные узлы сети, используя базу экспертных данных, хранящихся в облаке.

12 июня 2019 года компания стала публичной, IPO принесло почти 700 миллионов долларов. CRWD разместила акции по цене 34 доллара за штуку (это выше верхней оценки аналитиков в 28-30 долларов) и преуспела. За первый день торгов акции выросли до 58 долларов (70.6%), а компания получила оценку в 11.4 миллиарда. В 2019 финансовом году (закончился в начале 2019) CrowdStrike продала продуктов и сервисов на 249.8 миллиона долларов. Итоговый мультипликатор – 45.6.

Дальше все тоже шло хорошо: несмотря на небольшой спад в конце 19-го и начале 20-х годов, акции компании вновь стали расти. В 2020-м пандемия благотворно отразилась на делах всех компаний по кибербезопасности, но CrowdStrike преуспела особенно сильно. Тот, кто вложился в нее на момент IPO, сегодня обогнал бы индекс S&P 500 почти в шесть раз.

С продажами тоже все прекрасно: по последним оценкам, их рост составляет 82%, а объем стремится превысить миллиард в этом году. По плану финансовый 2022-й принесет компании 1.4 миллиарда:

Растет вообще все: количество клиентов, сотрудников, зарубежных офисов, модулей облачной платформы и даже среднее их количество у клиента. Сокращаются только убытки.

Прогнозы на будущее CrowdStrike выглядят оптимистично, компания совершенно точно будет еще расти (не является инвестиционной рекомендацией). Пробуем разобраться, как так вышло.

Как так вышло

Легенда обязана быть красивой, но не обязана быть правдивой. Тем более, если это история о тормозящем в самолете ноутбуке. В действительности, вряд ли СТО компании только спустя 2 года и именно таким способом понял, что продукты его компании работают ужасно и надо что-то менять.

Но если все-таки верить легенде, то в нее стоит добавить и других действующих лиц. Одним из них был Стюарт Мак-Клур, соавтор (вместе с Куртцем писали Hacking Exposed), партнер (вместе основали компанию по обнаружению уязвимостей Foundstone) и коллега (вместе трудились в McAfee). Стюарт не попал в число создателей CrowdStrike (CRWD), но в 2012-м вывел на рынок  ее  конкурента – компанию Cylance, которую в 2019 году (за несколько месяцев до IPO CrowdStrike) купила за 1.4 миллиарда другая компания ― Blackberry (почти в 10 раз дешевле итоговой стоимости CRWD). Появление еще одного решения подобного класса задало тренд. Условия на рынке этому только способствовали.

В конце нулевых ― начале десятых рынок Endpoint Security был уже очень большим (более 5 миллиардов долларов), монотонно растущим и прилипчивым ― цена продления лицензии антивируса достигала от 50 до 70% от общей его стоимости. Не продлевать подписку было опасно (могут устареть базы), а заменить, особенно в большой организации, сложно и дорого. Вендоры чувствовали себя хорошо и расслабленно, сегмент рынка подобных решений был очень привлекателен.

Так появился целый ряд продуктов нового поколения для защиты конечных узлов сети. В 2008-м вышел EndGame, в 2011-м – CrowdStrike, в 2012-м – Cylance и Cybereason, в 2013-м – SentinelOne и примерно в это же время – Carbon Black. Компании колебались в терминах, которыми обозначали продукты: от NGAV (NextGen AntiVirus) до EDR (Endpoint Detection and Response), но основной посыл был одинаков:

·       Старые антивирусы мертвы.

·       Мертв сигнатурный подход. Он предполагает, что для каждой известной угрозы пишется набор правил или свойств (сигнатура), который помогает средствам защиты ее идентифицировать. В этом есть сразу две больших проблемы. Во-первых, со временем сигнатур становится слишком много, это тормозит компьютеры. Во-вторых, угрозы усложняются и модифицируются настолько быстро, что таким способом их уже не обнаружить.

·       Новые технологии должны основываться на том, что происходит на узле прямо сейчас.

·       Все ресурсоемкие операции по вычислению вредоносных действий должны происходить не на локальных узлах, а в облаке. Так оборудование будет значительно меньше тормозить.

·       Всему голова ― искусственный интеллект (AI), машинное обучение (ML) или глубокая аналитика (DA).

Появление новичков взбодрило заслуженных игроков рынка. Они встряхнулись, добавили решениям функциональности, изменили позиционирование и в основном выжили (хотя не без потерь, пострадал Symantec). Судьба компаний с решениями нового поколения («некстгенов») при этом сложилась неплохо: кого-то купили (CarbonBlack, EndGame, Cylance), а кто-то успешно вышел на IPO (CrowdStrike, SentinelOne).

CrowdStrike была особенно удачлива даже на этом фоне. Почему так получилось?

Большая идея CrowdStrike

Агент CrowdStrike Falcon действительно очень «легкий»: просто устанавливается, управляется из облака, но этим качеством могут похвастаться решения и других компаний. Причины успеха CRWD не связаны с производительностью или «облачностью» и лежат в другой плоскости.

Основатели компании, видимо еще будучи сотрудниками McAfee, много общались с представителями большого бизнеса (Large Enterprise), госорганизациями в США, силовыми структурами и сумели уловить их главные «боли» и печали:

·       Гигантские бюджеты на информационную безопасность не спасали от хакерских взломов.

·       Взломы были успешными для хакеров, обнаруживались слишком поздно и с непредсказуемыми последствиями.

·       Взломщики были безликим злом. Кибербез-компании, включая антивирусных вендоров, уже начали систематизировать события и вычислять группировки, но не решались на обвинение стран и конкретных людей без железобетонных доказательств. Атрибуцировать хакерские группировки действительно сложно. Злоумышленники могут оставлять комментарии в коде на чужом языке, работать в другом часовом поясе, прикрываясь соседом. Например, как правильно атрибуцировать группировку, собранную из мексиканцев, аргентинцев, монголов и американцев, особенно если для прикрытия они переписываются на русском?

CrowdStrike сложности атрибуции не испугали, компания решилась использовать все вышеперечисленные «боли» и со слоганом «we stop breaches» поставила цель: своевременно выявить, остановить и идентифицировать хакеров. Первые два пункта отозвались в сердцах представителей большого бизнеса, третий – у госслужащих и военных. Так CRWD заполучила в качестве первых клиентов крупные компании, обеспечив себе устойчивый воспроизводимый доход и лояльность государства. Идея стала развиваться.

Продукты

У компании было три ноу-хау: автоматическая блокировка вредоносных действий, собирающие данные облачные алгоритмы и автоматическое распознавание хакерских группировок прямо в продукте. CrowdStrike стала первой, кто мог вычислить хакера именно так, можно сказать, сразу, все остальные делали это на этапе расследований.

Расшифровывать результаты отслеживания хакеров так, чтобы они были понятны всем, компания пока не научилась. Лучше всего продукты CrowdStrike по-прежнему работают из рук CrowdStrike. Постепенно у пользователей появляются вопросы к качеству обнаружения, ложным срабатываниям и скорости работы продукта в некоторых ситуациях.

Как работа на благо превратилась в маркетинг

CrowdStrike провела в свое время мощную кампанию, посвященную глобальной задаче: не просто защищать клиентов, а останавливать и «прогонять» хакеров из сетей любого масштаба и сложности.

2010 год: один из основателей CrowdStrike, Дмитрий Альперович, будучи тогда сотрудником McAfee, участвует в расследовании Operation Aurora и определяет, что за взломом стоит китайская группировка. Вывод подтвердили эксперты из других компаний.

2012 год: Security Services компании CrowdStrike возглавляет бывший Executive Assistant Director ФБР ― Шон Генри. За плечами у Шона 24 года управленческого опыта в бюро расследований и усталость от того, что хакеры уходят неопознанными и безнаказанными. Возможно, в самом начале Шон помогал CrowdStrike получать заказы на расследование громких взломов, но доказательств этому нет.

2014 год: Минюст США, основываясь на расследовании CrowdStrike, предъявляет пяти китайским гражданам обвинения в хакерстве и экономическом шпионаже в интересах КНР против промышленных компаний США: раскрытие коммерческой тайны и подстегивание недобросовестной конкуренции. Обвиняемые запрашивают доказательства и прикрываются свежей историей Эдварда Сноудена, но Минюст США непреклонен. CrowdStrike же получает известность и контракты на другие расследования.

Конец 2014 года: CrowdStrike расследует атаку на Sony Pictures и по почерку узнает северокорейских хакеров: по опискам в словах и манере написания кода (и, возможно, потому что взломщики требовали снять с проката комедию про Ким Чен Ына).

Известность получена. О компании начинают говорить как о той, которую нужно звать, если в сети завелись хакеры. CrowdStrike отвечает на это новыми отчетами с разоблачениями и историями о том, как атакующие убегают, стоит им только увидеть в сети решение Falcon от CrowdStrike.

Беспощадной атрибуции подвергается все и вся. Любой взлом подается как активность государственных группировок из неблагонадежных стран. Все для великой цели: поддержание общего уровня известности и месседжа «мы боремся с хакерами». Причинами атрибуции становятся: комментарии в коде на языке Х (корейский – значит корейцы!), время работы группировки (если совпадает с пекинским, значит это точно китайцы), наличие адресата их компании-жертвы в списке фишинговой рассылки группировки. Как говорится, если что-то ходит как утка – это точно утка, даже если оно не крякает и не плавает. Доходило до смешного.

Конец 2016 года: CRWD обвиняет российскую группировку Fancy Bear во взломе Android-приложения, используемого украинскими военными для наведения гаубиц советского производства в рамках конфликта на Донбассе (в результате, по предположению CrowdStrike, Украина потеряла 80% всех имеющихся гаубиц Д-30). Забавно, что этому удивилась сама украинская армия, ответив, что столько гаубиц она все-таки не теряла.

Самой громкой компании в сфере кибербезопасности всегда достается самый большой кусок пирога. Так, в 2016-м CrowdStrike привлекают к расследованию взлома серверов Демократической партии США перед выборами. Компания уверенно обвиняет во всем сразу две российские хакерские группировки. Представленные Конгрессу доказательства выглядят примерно так: «мы показали свои выводы специалистам из FireEye и ThreatConnect, они согласны. Это точно были Cozy Bear (APT 29) и Fancy Bear (APT 28)».

Наконец, вишенка на торте. CrowdStrike, наверняка, стала первой в мире компанией по кибербезопасности, упомянутой в разговоре двух Президентов: Дональда Трампа и Владимира Зеленского:

Выстрелить еще ярче уже не реально. Компания любила и любит публичность, имидж борца с хакерами, но все-таки планировала работать в бизнес-сообществе, а не становиться политическим игроком. После того, как в 2020-м CrowdStrike покидают директор по маркетингу Джоанна Флауэр и СТО компании Дмитрий Альперович, активность компании в публичной ловле хакеров утихает, но имидж беспощадных борцов закрепился за CrowdStrike надолго.

Сегодня и завтра

Компания продолжает расти, в том числе технологически, и, кажется, приходит к выводу, что для полноценного выявления и остановки хакеров одной защиты конечных точек все-таки недостаточно. CrowdStrike предпринимает шаги в сторону создания полноценной платформы и к EDR добавляет в 2021 году log management-решение Humio. Компания встала на длинный путь, многое будет зависеть от того, насколько успешно она справится с масштабированием бизнеса:

·       Масштабирование бизнеса «снаружи» потребует от продуктов автономности, кратно растить количество мониторящих клиентов экспертов все-таки не получится.

·       Масштабирование бизнеса «внутри» предполагает создание эффективных процессов для разработки продуктов ― управлять 6000 человек сложнее, чем 60. Кризис уже потихоньку затрагивает CrowdStrike: в последних тестах MITRE и AV-Comparatives CRWD ― уже не самый быстрый, не лучше всех ловит атаки, и к тому же грешит ложными срабатываниями чаще других. Часть этих проблем адресуется продажей сервисов по управлению и реагированию вместе с продуктами, но (см. выше) это не вечная история.

Аналитики прогнозируют дальнейшее снижение роста продаж с 82% до 60-70% в год, но темп все же огромный. Сложно представить, что в ближайшее время на западном рынке кибербезопасности появится компания, которая при таких масштабах будет расти ничуть не меньше.

Выводы

Идеи CrowdStrike получили самую большую капитализацию на рынке международной кибербезопасности. Компания предложила таблетку от «болей» и страхов большого бизнеса и государства ― реальную ловлю и обезвреживание хакеров, вместо стандартной антивирусной защиты.

На практике решить настолько глобальную задачу в полном объеме CrowdStrike пока не может. Эксперты отмечают, что платформа компании способна распознать далеко не все векторы хакерских атак, а рост продаж некоторые объясняют удачными маркетинговыми приемами. Хотя пока у CrowdStrike нет настолько сильной технологической подготовки, компания продолжает расти, будущее вполне прозрачно. Несложно представить, какой успех ее ожидает после того, как она по-настоящему научится выявлять хакеров и даст возможность клиентам останавливать их с помощью собственной службы информационной безопасности.

____________________________________________________________________________

Подписывайтесь!

💰📊👉 Подписывайтесь на наш телеграм-канал It’s positive investing ― https://t.me/positive_investing, где мы говорим о стратегиях инвестирования и пристально смотрим на рынки IT и кибербезопасности.