网安独角兽CrowdStrike IPO分析（二）

关于产品的定位问题，CrowdStrike给自己贴了三个标签：基于SaaS的端点防护，威胁情报和云安全。它一直在强调与其它竞品的差异，在这篇文章中，我更多的会采用CrowsStrike的观点，尽量少的带入我个人主观的评价，至于是大家对CrowdStrike的自我定位是否认可，就见仁见智了。我们先看看CrowdStrike认为其它产品的局限性是什么，然后再看看它自己的具体的功能和模块。CrowdStrike把其它产品划分了5个类别。

1、基于签名的传统产品。基于签名的产品旨在检测已在先前识别的威胁，但不能防止未知威胁。这是一种被动的方法。等可以发现和识别的时候，可能已经给受害者造成了重大损失。如果攻击代码略微修改，基于签名的方法就可能检测步到了。在过去二十年中发现的许多重大漏洞，很多传统的基于签名的防病毒产品都无法提前检测和防护。

2、以恶意软件为中心的机器学习产品。传统上，组织专注于保护其网络和端点免受基于恶意软件的攻击。这些攻击涉及为执行恶意活动，窃取数据或破坏系统的特定目的而构建的恶意软件。以恶意软件为中心的防御方法将使组织容易受到不利用恶意软件的攻击。根据Threat Graph索引的客户群数据，2018财年第二季度有40％的检测不是基于恶意软件的，而是利用系统中的合法工具，使攻击者能够实现目标，而无需将文件写入端点，使传统的防病毒产品更难以检测。

3、应用白名单产品。应用程序白名单产品在端点上采用“始终允许”或“始终阻止”策略，以允许或阻止进程执行。白名单部分依赖于手动创建和维护复杂的规则列表，给最终用户和IT人员带来负担。为了避免这些管理挑战，IT组织经常为白名单创建特殊例外，攻击者利用这些例外来破坏端点。此外，无文件攻击可以利用合法的白名单应用程序，从而损害白名单产品的完整性。

4、以网络为中心的安全产品。传统的网络安全供应商将其产品集中在基于周边的保护上。但是，随着员工和工作场所设备扩展到防火墙之外，这些方法的相关性和有效性降低，加密流量的使用增加了攻击者能够利用的盲点和漏洞。随着端点数量的激增，这一防御层无法充分保护企业外围的信息丰富的端点和工作负载。

5、Bolt-on云产品。许多内部部署供应商通过将其内部部署产品放入云中来引入云产品。此类单租户产品并非设计为在云中运行，因此仍然是孤立的，缺乏集成，可扩展很有限。另外，这些产品部署复杂，难以扩展，使用成本高，并且在阻止破坏方面无效。最初设计用于内部部署并迁移到云的任何产品根据定义都不能是云原生解决方案。

有别与以上5类解决端点安全的产品，CrowdStike认为自己是一个基于Saas的终端防护产品，通过SaaS订阅的方式集成了10个云模块，涵盖了三个方面，包括端点安全，安全和IT运营（包括漏洞管理）和威胁情报。并且通过单一数据模型和开放式云架构，提供API，以应用商店的方式，让第三方合作伙伴能够快速创新，构建和部署新的云模块，从而为客户提供更多的增值功能。

在端点安全方面，主要有三个模块，NGAV（下一代防病毒），EDR和设备控制。结合机器学习和行为分析技术，以抵御恶意软件和无恶意软件(恶意代码注入合法软件)攻击，实现端点活动的持续全面可见性和分析，并为管理员提供可见性和USB设备的精细控制。具体三个模块功能简介如下：

Falcon Prevent-Next-Generation Antivirus。Falcon Prevent提供下一代防病毒功能，提供全面保护，以保护客户免受恶意软件和无文件攻击。Falcon Prevent结合了已知恶意软件的识别，针对未知恶意软件的机器学习，利用阻止和高级行为技术，目标是替换其现有的传统防病毒产品。

FalconInsight-终端检测和响应。Falcon Insight为客户提供EDR功能，允许持续和全面的可视性，以实时通知客户端点上发生的情况。Falcon Insight记录并自动分析端点上的活动，以提供深入的可见性，快速和强大的搜索功能，以及实现主动威胁搜寻和取证分析所需的全面上下文和数据。

设备控制。Falcon Device Control为管理员提供USB外围设备的高度可视性和精细控制。

在安全和IT运维方面，主要有四个模块，解决 IT HYGIENE，无扫描漏洞管理，Turnkey一站式安全和漏洞管理，以及基于威胁图表和安全团队支持威胁捕猎的方面的问题，具体模块如下：

Falcon OverWatch-Threat Hunting。    Falcon OverWatch是一种威胁捕猎的解决方案，由专业的安全专家团队组成，他们利用威胁图主动识别客户的威胁。全球Falcon OverWatch团队无缝增加客户的内部安全资源，以识别和调查可疑和恶意活动。

FalconDiscover-IT Hygiene。    Falcon Discover可识别客户网络中的恶意系统和应用程序，并监控客户环境中任何位置的特权用户帐户的使用情况。该模块还支持安全之外的用例，例如应用程序许可证管理，AWS支出分析和资产清单。

FalconComplete-Turnkey安全解决方案。Falcon Complete为我们的客户提供全面的监控，管理，响应和补救解决方案。它旨在为可能缺乏企业级资源的公司提供企业级安全性。

FalconSpotlight - 漏洞管理。Falcon Spotlight可以识别客户端点上存在的实时漏洞。该模块不依赖于扫描系统，利用代理已经收集的数据来提供对企业漏洞风险的即时，准确的实时可见性。

在威胁情报方面，通过恶意软件搜索引擎和恶意软件分析模块，以自动化的方式检查识别出来的威胁。具体模块如下：

Falcon X-Threat Intelligence。Falcon X将威胁情报整合到端点保护中。它提供对检测到的威胁的自动分析，以深入了解攻击的能力，动机和归因。它还通过提供可操作的情报和自定义IOC，将针对检测到的威胁及其变体的保护扩展到组织内部署的其他安全解决方案，以进行纵深防御覆盖。

Falcon搜索引擎 - 恶意软件搜索。Falcon搜索引擎使客户能够实时搜索Falcon平台中收集的300 TB恶意软件，并使用二进制数据索引技术编制索引。

Falcon沙箱 - 恶意软件分析。Falcon Sandbox通过在虚拟机中分析未知文件的恶意行为。Sandbox提供对恶意软件行为的可见性，自动进行深入的文件和内存分析，以加快威胁防护和响应速度。

CrowdStrike商店是它的一个很有意思的功能，自称是第一个用于网络安全的基于云的应用程序平台即服务平台或PaaS。CrowdStrike商店为其客户引入了可信赖的合作伙伴和应用程序的统一安全云生态系统。CrowdStrike商店允许客户快速，轻松地发现，尝试和购买来自可信赖合作伙伴和CrowdStrike的应用程序，而无需部署和管理其他代理和基础架构，也无需经过漫长的销售，集成或实施流程。

原文始发于微信公众号（网安网事）：网安独角兽CrowdStrike IPO分析（二）