CrowdStrike 是全球终端安全领域领导者,提供云原生端点保护解决方案。CrowdStrike 成立于 2011 年, 旨在提供基于订阅的高级云原生网络安全解决方案,专为云计算环境设计,利用云的灵活性、可扩展性和资源 共享特性来增强安全性。该公司专注于保护企业的关键风险领域,包括端点保护,保护网络中所有终端设备, 如桌面电脑、笔记本电脑、智能手机和平板电脑等,免受恶意软件、病毒、钓鱼攻击和其他网络威胁;云工作 负载,专门为在云环境中运行的服务器、应用程序和数据提供安全保护;身份验证和数据安全。其核心产品 CrowdStrike Falcon 是数据驱动的 AI 云原生平台,通过单个代理的轻量级架构、集成式的综合平台和高度模块 化的解决方案代替传统单点且分散的网络安全产品,以降低复杂性和部署成本。公司收入包括 Falcon 平台 SaaS 订阅收入和服务收入。其中Falcon平台是主要收入来源,包含 27个模块,涉及终端安全、云安全、暴露管理、 生成式 AI等多个领域。服务收入包括事件响应服务、技术评估与战略咨询和培训服务。CrowdStrike FY2024 总 收入为 30.6 亿美元,同比增长 36.3%。其中,订阅收入为 28.7 亿美元,同比增长 35.9%,占比 93.9%,GPM 达 78.0%;服务收入为 1.9 亿美元,同比增长 42.8%,占比 6.1%,GPM 达 32.4%。
网络攻击增加及数字化渗透率提升驱动网安市场继续增长。从商业模式上,网络安全与保险有一定类似之 处,即网安是攻击驱动的,以风险管理为目的,企业购买网安服务/产品实际上是对风险管理的投资,因此大 体上网安市场的增长驱动力来自1)网安所覆盖资产价值提升,可能由于数字化率提升,IT资产价值提升;2) 防护性能提升导致风险下降。其中由于网络攻击和防护是动态变化的,所以网络安防性能往往是周期波动的, 但数字化率提升及 IT 资产价值提升为长期增长驱动力。
整体来看,网安市场可大体分为云、管、端,对应云端、网络传输端、端侧,市场发展导致一些垂直场景 的安全需求兴起。具体来看,目前市场包括 1)狭义的网络安全(Network Security 而非广义的 Cybersecurity,主 要关注网络传输过程中的安全,典型应用是防火墙);2)端点安全(主要关注设备、终端层级的数据泄露、网络 攻击风险);3)应用安全(关注应用级别的风险);4)Web 安全(主要关注 Web 应用、网站及相关基础设施的安 全)等。可以看出,网安场景日益复杂化,这主要是由于技术进步,如 IoT、4G 等发展带来联网设备大幅增加, 网络防护体系愈发复杂。 CrowdStrike 主要聚焦端点安全,端点安全是网安市场较大子领域。2024 年全球端点安全市场规模为 146.1 亿美元,预计到 2034 年底达到 351.5 亿美元,CAGR 为 9.2%3,CrowdStrike 在全球端点安全市场中占据 领导者地位。端点安全是网络防护的重要起点,目前的网络防护策略是多层次的,最外层是物理安全,确保硬 件设施不受物理破坏,中间层是边界安全(防火墙、入侵检测系统等),最里层是端点安全(保护网络中的设备不 受威胁)。由于疫情驱动居家办公/远程工作,对应自带设备(BYOD)趋势,这导致企业员工的设备亟待加强 防护,端点安全需求大幅提升。此外,设备/终端是最接近用户和数据的地方。若端点被恶意软件感染,病毒 可进一步渗透到网络的其他部分。因此,加强端点安全可以有效地阻止许多类型的网络攻击,如恶意软件传播、 数据泄露和身份盗用。
基于签名的方法滞后于网络攻击的发展。传统恶意软件开发者受限于技术水平及防护意识有限,主要采用 简单和重复的编码模式进行软件开发。因此,这些模式可以被安全研究人员分析并创建成所谓的“签名”,即 一段独特的代码或数据模式,可以用来识别特定的恶意软件。相当于总结规律形成一些经验规则,防护时通过 这些规则判断恶意软件,并进一步采取隔离或删除等措施,以保护系统免受侵害。这一防护类型的缺陷是过于 静态/固化,例如对软件结构进行适当修改就可绕过规则逃避识别,且零日攻击(尚未被公开披露的漏洞利 用)、无文件攻击4等容易渗透和突破。 为应对新型攻击行为,基于行为分析、ML等技术的 EDR(端点检测与响应)凭借适应性逐步推广开来。 EDR 的原理是通过软件行为判断是否存在安全威胁,例如异常的文件访问、网络活动或注册表更改。换句话说, 过去通过 ID/特征码判断是否为病毒,但病毒通过乔装很容易绕过检测,而目前引入行为识别,将整个 IT 环境 置于监控下进行扫描,一旦有恶意行为就进行进一步的隔离和删除措施。因此,EDR 厂商结合传统的签名库与 行为分析、机器学习,显著增强对零日攻击、高级持续性威胁(APT)5、无文件攻击等复杂网络攻击手段的 防护能力。
由于网安行业攻防动态推动,因此针对具体场景/攻击的优化措施不多迭代,客户出于系统安全的角度也 需要不断增加对安全工具的投资,这就导致供应商碎片化,同一系统需要匹配多个安全供应商,管理和集成、 运营成本不断提升,据 Crowdstrike 统计,平均每个端点上有超 13 个代理6。因此客户的迫切需要是系统级优化 /集成,而非单点解决方案的优化提升。 CS 着眼构建安全平台提供系统性优化。在替代 Symantec 和 McAfee 的赛道上,有很多厂商致力于通过技 术创新提供更好的单点解决方案。CS 的策略则聚焦于提供一个安全平台,以模块化、单代理方式提供平台化 方案。同时通过 Humio、Preempt、Bionic、Flow Security 等外部收购补充产品线。1Q24 猎鹰平台已包含 27 个 模块。CS的捆绑销售策略取得明显成效。多模块订阅率持续增加,1Q24订阅 5+、6+、7+模块的客户占比分别 达 65%、44%和 28%。而同期只专注传统替代路线的玩家 Carbon Black、Cylance 和 Endgame 等玩家在 2019 年 左右分别被 VMware、BlackBerry 和 Elastic 收购。
随着网络攻击复杂化,仅凭端点数据难以满足安全防护需求,因此 EDR 厂商拓展至 XDR。简单来讲, XDR 是对 EDR 的扩展,首先体现为数据来源从设备层面拓展到端侧、云侧、应用层面、网络传输侧、硬件日 志等,通过更全面的监控活动提升对恶意软件的识别率;其次是检测与响应的自动化,得益于 ML/AI 的技术进 步、算力芯片性能的大幅提升,以及各系统接口标准化和 API 的发展,响应及检测自动化覆盖度有所提高,这 降低了网安产品运营的成本和复杂性。
平台化策略最适合多个碎片化场景共同发展。平台化策略可类比于互联网的中台策略,其能够最小化资源 浪费,共用相同的基础设施,但缺陷在于中台资源有限时,很难及时响应所有业务线的需求,这里存在优先级 的问题,因此一旦业务/产品长大,变成一大N小局面时,中台基本上沦为大产品的附庸,N小此时很难依靠中 台迭代发展。 网安市场适应平台化的理由是技术架构日趋复杂、非标准化,这意味着很难有单一标准化产品满足绝大多 数需求,因此市场呈现碎片化。CS 在 EDR 时代就在做 1)在各种环境中通过监控和分析网络活动,实时识别 和应对安全威胁以及在网络关键位置安装监测点,收集和分析网络数据的技术来丰富端点数据;2)将来自 VirusTotal、DomainTools、RiskIQ 等安全威胁情报数据整合进平台;3)基于威胁图,将用户资产信息、用户 身份、用户服务、基础架构相关联,对孤立的数据进行关联,添加上下文,满足复杂检测需要;4) 推出 CrowdStrike Store/Marketplace,集成第三方应用程序的 API,包括数据连接器和自动化工作流连接器等;5)将 第三方数据自动解析并映射到XDR数据架构中,并存储于公共存储库中满足XDR搜索和检测需要。CS在 EDR 领域建立的优势为向 XDR 扩展提供基础。同时 SIEM 领域的一个关键是从相关的来源收集数据。CS 凭借 EDR 领域建立的数据优势,积累关键数据源。
Crowdstrike Falcon 通过单一轻量级代理简化交付,多样模块化能力保障一体化安全。Falcon 平台通过模 块化设计,将安全防护功能(如终端安全、云安全、身份保护等)独立开发、测试和更新,而不影响其他模块 的运行。这些模块可以快速集成到现有平台中,无需大规模系统重构。通过不断创新和引入新模块,Falcon 丰 富了平台功能,以单一产品形态和轻量级代理交付给用户,实现离散式制造但统一化交付。该平台提供统一接 口,使用户可以通过单一界面管理和配置所有安全功能,确保一致的用户体验,降低学习成本和操作难度。自 建立以来,Falcon 平台保持快速迭代,目前已扩展至覆盖终端安全、云安全、身份保护、IT 自动化等 10 个领 域、27个模块。这种基于底层技术架构的平台化设计,使Falcon 能够持续引入新技术和功能模块,应对不断变 化的网络安全威胁,保持技术领先性。
端点安全是立体攻防中的重要起点之一,这种战略重要性导致 1)端点安全在 IT 领域的预算份额持续提 升,2)基于端点延申的安全领域提供平台化战略空间。因此,CRW D 研究的起点即端点安全为何重要?端点 是用户与网络之间的接口,也是网络攻击中最常见的入口之一,原因在于①云计算的普及改变企业 I T 架构, 端点设备经常需要访问云资源;②BYOD(自带设备)导致端点设备成为企业安防体系中薄弱点7;③许多行业 都制定严格的隐私和数据保护法规,要求组织采取适当的措施来保护数据,端点安全是其中的关键部分。
从传统防病毒到 EDR,主要发展在于①引入 AI/ML 应对未知威胁,②集成端侧/外部安全工具提供实时 监控、响应及事后报告分析能力。相较而言,垃圾邮件过滤/网页过滤/传统防病毒等核心思路都是通过预定义 的规则/特征码/签名等识别病毒,但问题在于这对于新开发的病毒不适用,也就是这类防护措施是经验驱动 的,这意味着必须先失败并记录病毒库后才可成功防护这类病毒,因此零日攻击、无文件攻击等可渗透并突破 这些防护措施。下一代防病毒(NGAV)则结合签名检测、行为分析和云端威胁情报识别潜在威胁,但 NGAV 缺乏对终端设备的集成(预防性安全工具),因此一旦恶意软件绕过 NGAV进入系统内部,NGAV 难以进行 后续响应。EDR 在覆盖面上更进一步,1)与终端设备很好的集成,植入代理以实时监控,2)与 SIEM 等集成 以获取日志等数据,从而为事故报告、风险警告提供基础来源。
网络安全行业发展复盘:国家安全战略驱动攻防技术迭代和企业部署
网络攻击的总体趋势是数字化提升带来数字资产风险暴露提升,网络攻击潜在受益驱动攻击方式组织化、 专业化,进而提升对专业网络安全服务和产品的需求。据 ICAEW Insights,①21 世纪初,互联网使用量激增, 到 2005 年,全球上网人数已超过 10 亿。这一时期的数字化程度较低,大多数数据仍存储在物理文件中,因此 不易受到数字威胁,而更容易受到物理漏洞的攻击。②2000 年代中期开始,网络威胁变得更加复杂,恶意软件、 网络钓鱼攻击和数据泄露事件增多。黑客开始通过 Zeus 和 Vundo 等恶意软件对用户进行诈骗来赚钱。僵尸网 络(如 Storm)被用来进行 DDoS 攻击,暴利导致垃圾邮件/恶意广告进一步组织化、专业化。③2010 年后重大 网络安全事件引发关注,导致公司董事会/管理层重视并加大对网络安全的投资,2010-14 年全球网络攻击事件 大幅提升,而美国信息安全分析师雇员数量(代表安全行业就业需求)2014-23 年复合增速达 13% ,增速较 2011-13 年反而有所提升,反映企业遭遇安全事件后加大人才、技能投资。④Covid-19 期间,居家办公/远程工 作扩大了攻击面,进一步增加了保证系统和数据安全的复杂性,导致企业在端点安全方面进行额外的投资。
重大网络安全事件背后是网络攻击组织化、复杂化趋势,核心驱动力是政治/商业利益。2010 年“震网” (Stuxnet)攻击伊朗核设施事件标志网络空间军事化,反映国家暴力机构利用网络攻击实现政治/军事利益。 2011 年伊朗政府承认该国纳坦兹设施网络遭受病毒攻击,“攻击者借助高度复杂的恶意代码和多个零日漏洞作 为攻击武器,以铀离心机为攻击目标,通过造成超压使离心机转速异常加速,导致 1000 多台离心机被摧毁, 浓缩铀分离能力大幅降低”。2015 年 6 月,俄罗斯安全厂商卡巴斯基捕获“Duqu 毒曲”病毒攻击,该攻击是 一次精心组织、精密实施的 APT 攻击,并认为背后团队在国家支持下实施该行动。2019 年业界复盘发现,震 网 Stuxnet、Duqu 毒曲、高斯 Gauss、火焰 Flame、Fanny、Flowership 等病毒相互关联,即攻击者通过火焰、毒 曲长期运行并采集数据,从而帮助震网实施精确打击。2020 年 2 月,美国《华盛顿邮报》、德国电视二台 (ZDV)、瑞士德语广播电视(SRF)发布联合调查,曝光总部位于瑞士的 Crypto AG 与美国、德国情报机构 联合在通讯加密设备中植入后门并销往其他国家,从而帮助美、德两国获取情报并实现政治利益。
另一方面,随着工具及网络知识的普及,网络攻击的门槛大幅降低,基于商业利益驱使的网络攻击也大幅 增长。例如,2013 年黑客使用 POS 恶意软件收集约 4000 万张 Target 购物者的支付卡信息。2016 年,黑客入侵 孟加拉央行,企图从纽约联邦储备银行的账户中窃取约 10 亿美元。2016 年,美国国家安全局 NSA 被入侵, “影子经纪人”黑客组织泄露了 NSA 未公开的一些漏洞,漏洞之一被用来生成名为“WannaCry ”、 “NotPetya”和“Bad Rabbit”等加密勒索软件,这类勒索软件相对简单,工具也在线提供。迈克菲(McAfee) 首席科学家兼研究员 Raj Samani 表示:“即使是 11 岁的孩子也有能力安装并运行勒索软件。”
综合上述分析,网络攻击行业趋势可以理解为政治利益驱动产业化、组织化,在网络攻防中一些工具泄露 进入商用市场,黑客组织借用加密货币等手段实现商业利益,并促进商业机构增强网络安全投资。因此网络安 防的长期趋势判断需要建立在对美国网络安全战略的分析基础上。 据《网络空间与霸权护持:美国网络安全战略的迭代演进与驱动机制》15,“从小布什政府、奥巴马政府 到特朗普政府,再到拜登政府,美国在网络空间领域的战略目标从国内控制、国际塑造、单边护持,发展为多 边“竞赢”。美国政府围绕网络安全的策略也经历了本土防御、网络威慑、进攻性行动与综合性遏制四个发展阶 段。上述几届政府出台的国家网络安全战略在具体目标与策略选择上虽然存在显著差异,但其背后均体现出相 似的利益诉求——护持美国在网络空间中的霸权地位。”网络安全技术如防火墙、EDR、零信任等都是实现这 些战略的工具。
美国自 2003 年小布什政府确立网络安全战略以来,历经奥巴马政府、特朗普政府、拜登政府的战略迭代, 其核心变化如下:1)战略目标上,小布什政府时期,美国在网络空间的战略目标是实现国内控制。在“9·11” 事件之后,保障美国基础设施安全与抵御网络黑客攻击成为美国政府关注的重点;奥巴马政府时期,美国在网 络空间的战略目标由国内控制转向国际塑造。面对网络攻击事件日益频发的情况,奥巴马政府将网络安全战略 的重心从美国本土转向国际层面;特朗普政府时期,美国的网络安全战略侧重于强调为经济发展服务,并保护 美国的核心国家利益。拜登政府时期,美国在网络空间领域重回多边主义轨道,但更倾向于采取“小多边”方式, 以多边“竞赢”为主要战略目标。 2)策略上,小布什政府聚焦本土防御,在《网络空间安全国家战略》报告中提出五项优先计划:国家网 络空间安全应对系统,国家网络空间安全威胁与漏洞防范计划,国家网络空间安全意识与培训计划,政府网络 空间安全保障,国家安全和国际网络安全合作;奥巴马政府引入网络威慑,但仍然倡导网络开放性。奥巴马政 府在《网络空间国际战略——网络化世界的繁荣、安全和开放》报告中将威慑理念引入网络空间,提出“美国将与其他国家一道,鼓励负责任的行为,反对那些试图破坏网络和系统的行为,劝阻和威慑恶意行为者”,强 调“将使攻击或利用美国网络所带来的风险远远超过潜在的好处”;特朗普政府时期网络安全策略开始具有一 定的进攻性倾向。特朗普政府时期,美国国防部提出“前置防御”的理念,即“先发制人”地打击对手的网络攻 击能力。例如,特朗普于 2018 年签署 NSPM-13,授予美国网络司令部更大的权限,以提高美国网络行动的速 度与效率。时任美国国家安全顾问约翰·博尔顿甚至宣布美国将更积极地开展进攻性网络行动,允许军方在国 防部部长的批准下开展低于“武装攻击”门槛的网络行动;拜登政府时期修改完善 NSPM-13,确保白宫和国务 院在较为敏感的网络空间军事行动中掌握更多信息。拜登政府希望加强政府各部门之间的协调,以提升政府在 网络空间的综合行动能力。
第一代网络安全技术防火墙的普及实际上也受益于国家战略的推动。根据《美国网络安全战略与政策二十 年》,克林顿政府时期《联邦政府关键基础设施保护计划》提到“政府的目标以及我们对工业界的建议是,每 个关键性信息系统都要准备响应计划,这些计划中要包括为如下响应行动所做的准备:迅速启用其他的防御措 施(如更为严格的防火墙要求);在某些预定情况下关闭部分网络(通过企业级的管理系统);把最小化基本 操作交由“干净”的系统运行;迅速重建受感染的系统”。 当时国防部信息保障战略为纵深防御,即把国防任务进行了一系列分层,每层具有不同的强度和保障级别, 并且每层都针对一个专门的目的,其中包括①国防部广域网,加强对国防部广域网(WAN)的保护,防止计 算机攻击,生产并配置一批稳健的加密产品;②国防部局域网,配置边界保护方案(如防火墙、护卫、病毒扫 描器、入侵检测系统等);③国防部主机、服务器、应用程序和操作系统,采用各种措施来阻止并检测非授权 的行为,施行强访问控制方案等。
小布什政府时期推出《保护网络安全国家战略》草案,其中将网络安全保护从关键基础设施拓展到家庭和 小型商业机构,但主要是“鼓励并帮助家庭用户和小型商业中的工作人员在所有宽带网连接上安装并使用防火 墙”、“帮助家庭用户和小型商业中的工作人员使用防病毒软件、软件补丁、防火墙”、“通过地方性机构和 教育培训,帮助家庭用户和小型商业中的工作人员掌握网络安全资源”、“增加包括孩子在内的家庭用户和小 型商业的工作人员的网络空间安全意识”。此外。《草案》也强调大型机构需要“在适当的情况下建立负责网络安全的公司安全委员会”;在国际合作方面,“推动国际社会采纳可保障全球信息基础设施安全性的国际性 通用技术标准”、“鼓励所有国家都能发布足够的网络空间安全法律,以利于美国执法机关能向我们国家及国 家利益所遭到的网络空间犯罪行为发起调查和起诉,不论该犯罪是源于国内还是海外。” 希拉里邮件门、SolarWinds 等事件推动政府加速推进 EDR 部署。希拉里邮件门暴露了政府高级雇员在管 理敏感信息时出于个人便利和习惯,疏忽安全规定,从而增加对信息泄露的风险。FBI 在 2016 年的调查中披露 16,2013 年 1 月希拉里·克林顿的个人邮箱被黑客入侵,3 月个人邮箱地址被黑客曝光,导致希拉里 2016 年竞选 总统陷入舆论风波。
邮件门促进监管强化对政府等关键部门和大型商业企业的信息安全要求,2018-19 年特朗普政府首先推进 转型电子化办公。2018 年美国政府发布《21 世纪政府解决方案:改革计划和重组建议》,其中包括将联邦机 构的业务流程和文件管理向全电子化工作环境转型的建议,该建议还要求国家档案与文件署(National Archives and Records Administration, NARA)在 2022 年 12 月 31 日前停止对纸质文件的接收。2019 年 6 月 28 日,美国行 政管理与预算局、美国国家档案与文件署发布了《M-19-21 备忘录》,备忘录要求联邦机构要遵从联邦文件法 及相关法规来维护健全的文件管理项目,指派 1 名助理部长级别的文件管理高级机构官员(Senior Agency Official, SAO),负责确保机构高效、合理地遵从文件管理法律、法规、政策,包括该备忘录的要求;并指派 1 名机构文件官员(Agency Records Officer,ARO),负责监管机构文件管理要求和活动,并持有 NA RA 的联 邦文件管理培训证书。 2020 年来 SolarWinds 事件等刺激拜登政府积极推进 EDR 在政府层面的部署。2020 年 12 月,美国安全公 司 FireEye 爆出被黑客通过木马化的 SolarW inds Orion 软件入侵17。黑客通过篡改带有合法数字签名的文件,在 软件更新中植入后门代码,进而获取了对多个美国联邦政府机构的网络控制权。此次攻击波及至少 200 家重要 机构,其中美国政府机构占大多数,包括国务院、国防部、财政部等。美国联邦调查局(FBI)、国家情报局 局长办公室(ODNI)与国土安全部网络安全与基础设施安全局(CISA)联合确认了这一事件,并发布了紧急 指令要求断开或关闭 SolarWinds Orion 产品18。2021 年 5 月 12 日,美国总统拜登签署第 14028 号行政命令《关 于改善国家网络安全的行政命令》19,其中在“改进对联邦政府网络的网络安全漏洞和事件的检测”一节中明 确要求联邦机构部署 EDR 解决方案,以增强网络安全保障中的事先发现能力。2021 年 10 月 8 日,美国白宫管 理与预算办公室(OMB)发布备忘录(M-22-01),推动美国政府全面部署 EDR。
受 21 年 Colonial Pipeline 事件,拜登政府 2022 年推动 EDR 在关键基础设施、上市公司层面的部署。2021年5月美国最大的燃油管道商 Colonial Pipeline 遭到勒索软件攻击,由于 Colonial Pipeline 负责美国东岸多达 45% 的燃料供应,因此该攻击事件导致该公司暂停了所有的管道作业网络,并于晚间关闭一条主要的燃料传输管道。 20拜登总统于 2022 年 3 月 15 日签署的《2022 年综合拨款法案》中,《2022 年关键基础设施网络事件报告法》 得以通过,并提出了新的数据泄露报告要求。该法要求关键基础设施领域的某些实体向美国国土安全部(DHS) 报告21:1)法案所规定的网络事件,在不迟于法案所管辖的实体有理由相信事件发生后的 72小时,以及 2)因 勒索软件攻击而在支付赎金后 24 小时内支付的任何赎金(即使勒索软件攻击不属于前一点中要报告的网络事 件)。2023 年 7 月 26 日,美国 SEC 投票通过新规22,要求上市公司在 4 天内披露所有可能影响其利润的网络 安全违规事件。如果立即披露会带来严重危及国家安全或公共安全,可延迟披露。 总而言之,EDR 的普及和推广很大程度是受益于美国国家安全战略推动,并通过法律和行政规定强化在政 府、关键基础设施、大型商业机构层面的执行,而就 EDR 市场,我们仍然需要具体分析 Crowdstrike EDR 产品 的竞争力并延申判断 Crowdstrike 的竞争壁垒。 CrowdStrike 市场份额持续提升,目前仅次于微软。2019-23年,大部分传统端点安全厂商经历份额下滑, 而微软、CrowdStrike、Sentineone、Palo Alto Networks 等厂商持续获取份额,理由是端点设备的结构变化,从 本地转型虚拟机、容器、无服务器架构管理,因而需要新型端点安全解决方案。此外,端点安全解决方案复杂 化也驱动客户转向 EDR 等综合服务提供商。
EDR 竞争力评估:Crowdstrike 凭借差异化定位+技术路线领先
企业选择 EDR 产品时的主要评估因素可以归结为性能和成本,但是需要注意的是客户比较性能和成本不 能简单地归结为性价比,因为客户有最低限度的性能要求,1)例如可见性/覆盖度是底线要求,由于 IT 系统 的复杂性这部分性能难以用人力成本覆盖,主要依靠集成/AI/ML技术提升可见性。2)误报率则可以用性价比 理解,低误报率的本质是 SOC 安全分析师处理警报的负担减轻,从而对安全分析师的需求降低。如果误报率 过高可能导致需要储备大量的安全分析师,从而导致额外的人力成本。3)其他成本例如培训成本、代理占用 资源等可以降低 TCO,也是采购时的重要考虑因素。
首先是可见性/覆盖率,根据 MITRE 2024 年测试,覆盖质量(Coverage Quality)板块包含四个指标:1) 可见性(数据集成);2)不可执行的安全警报;3)可执行的安全警报;4)红队(模拟攻击者)执行的某些 活动是否在事件报告中被遗漏。这四个指标分别可对应 Visibility、Detection、Correlation、Analytic Coverage。 从重要性角度看,①Detection 是最重要的,因为它直接关系到是否能发现威胁。没有有效的检测,其他能力都 失去意义;②Visibility 紧随其后,因为它是有效检测的基础。没有全面的可见性,就无法进行全面的检测。③ Correlation 排在第三位,因为它能够提高检测的准确性和效率,减少误报,帮助理解复杂的攻击场景。④ Analytic Coverage 虽然很有价值,但在紧急情况下,能够检测到威胁并快速响应更为关键,深入分析可以在初 步响应后进行。因此,结合检测响应速度来看,Crowdstrike>Palo Alto Networks>SentinelOne>Microsoft。
其次是误报率,我们按照 Email+Alerts/Detection 比例计算,SentinelOne>Microsoft>Crowdstrike>Palo Alto Networks。如果只考虑 Console Alerts 对 SOC 安全分析师的负担,按照 Console Alerts/Detection25比例计算, SentinelOne>Crowdstrike≥Microsoft 26>Palo Alto Networks。总体而言,Crowdstrike 在误报率方面落 后于 SentinelOne,但我们也要注意到高误报率可能是高检测率的副产品,由于采取更激进的检测策 略, 导致 Crowdstrike 产生更多的提示,但安全产品的全面检测和覆盖重要性高于误报率,如果考虑 SentinelOne 检测完 整度和警报的可执行性,其整体性能仍然弱于 Crowdstrike。对于 SentinelOne 和 Microsoft 等竞争对手,其后续 需要补全在检测质量方面的能力,而 Crowdstrike 则需要通过优化检测规则,例如优化 AI/ML 技术降低误报率。 回溯之前的基准测试,Crowdstrike 性能持续保持领先地位。据 2022 MITRE Engenuity ATT&CK,针对 OilRig 的攻击技术,CrowdStrike 检测出全部 76 种入侵技术的 75 种,覆盖率 99%,位于全部供应商第一。在 2023 年针对 Turla 的评估中,Palo Alto Networks、CrowdStrike、Microsoft、Cybereason、Fortinet 等供应商识别 出全部攻击技术。
MITRE基准测试也并非没有局限性,据《Decoding the MITRE Engenuity ATT&CK Enterprise Evaluation: An Analysis of EDR Performance in Real-World Environments》研究,MITRE测试缺乏整图分析27、对 Linux 平台支 持和评估不足、缺乏跨主机攻击链追踪28、缺乏对 EDR 系统的长期学习和适应能力的评估29。回归分析框架, 我们将上述因素纳入覆盖度、检测策略、易用性、附加组件四个角度去归因 Crowdstrike 在安全产品/服务上的 优势。 覆盖度方面,尽管主流安全厂商均宣布对 Linux、MacOS、W indows 等操作系统的支持和适配,但由于系 统架构差异30,代理/传感器在不同系统下的资源占用不同,例如 Microsoft 在 W indows 系统下可实现轻量化代理并紧密集成,但在 MacOS 和 Linux 环境下资源占用更多且误报率更高。Crowdstrike 则在三大主要系统均实 现平衡的资源占用和误报率,因此吸引很多非 W indows 技术栈的客户。具体的资源占用如下:Symantec 需要 25MB 的 RAM,占用~450MB 硬盘;McAfee 宣称需要 75MB 的 RAM,但根据用户投诉事实上需要 150-200M B; Trend Micro 需要>256MB 的 RAM,安装大小为~350MB;Cybereason 传感器 CPU 使用率为~5%,内存占用 70- 100MB31;据 Clearnetwork 和 CS,Falcon 传感器需要约 20MB 磁盘空间、约 25MB RAM,CPU使用率正常情况 下为~1%32,最大不超过 3.03%的33。Palo Alto Network Cortex XDR 需要 512MB 的 RAM 和 200MB 的内存,虽 然声称 CPU 占用率低于 0.1%,但 Palo Alto Network 社区中,不少用户反馈在多个终端中 Cortex XDR 内存使用 率高的问题,内存占用在 2GB~16GB 不等34/ 35/ 36,且重新启动后仍有相同问题,远高于 PANW 产品说明书的水 平。微软用户在社区抱怨 Microsoft Defender Antivirus 服务的代理 RAM 占用可达 120~130MB,有时甚至提升到 180MB~200MB37/ 38。因此,Crowdstrike 轻量级代理相较之下显著减少空间占用,降低对计算机性能的影响。
不同代理的资源占用为何不同?原因在于 1)技术路线不同,如采用本地签名数据库则会占用额外的存储 空间,而基于 AI/ML 可通过云端算力支持检测,不同 AI/ML 技术则会影响 CPU 占用率;2)扫描策略,如果 持续不断地进行实时监控和文件扫描,则会消耗较多的 CPU 资源;3)软件的实现方式,代码的效率、编译器 的选择、运行时环境等都会影响最终的资源消耗。高质量的代码编写和优化可减少不必要的资源占用。 检测策略上,EDR厂商主要采取本地+云混合模式提供端点安全服务39, SentinelOne 此前侧重本地端点安 全防护性能,据 2021 年 Gartner EPP 评估40,当时 SentinelOne 是唯一一家在端侧可在离线环境下利用 AI 技术 提供预防、检测、自动化响应和修复的厂商,并在当年实现零漏检,且由于端侧离线可检测,降低数据传输的 延迟,因此在威胁检测的延迟方面也取得行业领先,但代价就是本地需要存储模型和一些数据,牺牲资源占用。 但 2022-24年 Crowdstrike、Palo Alto Networks、Microsoft 等厂商加强系统集成后差距明显缩小,2022年 M IT REOilrig/2024 年 menuPass + ALPHV BlackCat 两种测试下 Crowdstrike、Microsoft 均领先于 SentinelOne。因此 SentinelOne 的策略实际上是关注极端场景(离线断网时的网络安全防护),但牺牲绝大多数时间的资源占用。
Crowdstrike 的差异化在于 Threat Graph(威胁图)+IOA(基于意图识别威胁45)。相较之下,SentinelOne、 Palo Alto Networks、Microsoft、Crowdstrike 均主要采用数据湖+图数据库形式,各家的差异在于图数据库的构 建方式(往往有专利保护)、数据特征、背后的 AI/ML模型。从图数据库角度看,Crowdstrike 推出时间最早,于2018年以前46便推出 Threat Graph,SentinelOne 2022年 7月推出 Singularity XDR Process Graph47,Microsoft 2022 年 8 月将 Graph API 引入 Microsoft 365 Defender48。 CrowdStrike Threat Graph 是一种基于云的图数据库,用于存储、查询、分析安全事件。传统数据库依赖于 预定义的模式,新数据类型/关系可能不被存储造成数据“盲点”,攻击者可利用此盲点规避检测。而图数据 库的优势在于:1)无模式:图数据库可存储任何类型和属性的数据,每个数据都是独立的对象并具有唯一属 性;2)高度扩展性:由于无需遵循预定义的模式,图数据库能够无限增长并纳入新数据类型/属性;3)便于 查询:图数据库接近现实中的数据关系,能够快速地遍历和分析复杂的关系网络。工作原理上,CrowdSt rike 威胁图模型汇集了来自海量终端的高保真遥测数据(包括 Windows、macOS 和 Linux)、CrowdStrike 威胁情报 数据和丰富的第三方数据,随着数据量扩大,威胁图也更加智能。当遭受破坏时,威胁图使用 AI/ML 算法对数 十亿个独立数据进行上下文关系推导和深度分析,向其他客户报告更新,提供实时安全保护。规模上,CS 威 胁图模型每日收集超 1 万亿个事件,跨越 2 万亿个顶点,分析超过 15 PB 的数据。
对比 SentinelOne 与 Crowdstrike 的专利文件,二者差距主要在于 1)定位不同,Crowdstrike 主要采用云架 构,而 SentinelOne 采用本地、云混合部署的架构,主要由于 SentinelOne 试图适配不同客户群体的需求,降低 对网络的依赖,这也反映在检测/分析方面;2)部署复杂性,由于涉及本地/云端的混合部署,SentinelOne 的部 署复杂性可能较高;3)威胁检测,Crowdstrike 数据集中传输至云端图数据库,因此可全局分析威胁,识别跨 终端的复杂攻击链,相当于重视单次检测的漏报率,牺牲一定延迟和成本(云端全局分析消耗大量计算资源、 数据集中传输带来延迟)。而 SentinelOne 在云端、本地分配负载,可快速响应威胁,但对端点设备的资源占 用更高,且对于一些复杂攻击链的识别准确度可能稍弱。
在 AI/ML 路径上,不同安全厂商的差距在于模型采用的特征,Crowdstrike 采取 IOA,而行业此前普遍流 行 IOC。IOC(Indicators of Compromise)是网络安全领域的一组事先定义的特征,它们通常指向已经发生的安 全事件或网络入侵。IOCs 包括文件的 MD5 哈希值、IP 地址、域名、URL、特定的系统事件日志等静态指标, 这些都是在攻击发生后才能确定的,因此 IOCs 主要用于验证安全事件的发生,它们是对已经发生的攻击或入 侵的响应性检测。IOA(Indicators of Attack)响应引入一些前置指标,IOAs 侧重于分析多个事件或行为的链式 关系,如代码执行、横向移动等,这些行为可能表明一个攻击正在发生,IOAs 能够在攻击完成前发现潜在的 威胁,从而允许安全团队采取预防措施,阻止攻击者达到其目标。 IOA 是一个行业逐步认可的检测方法,Crowdstrike 的差异化在于采用 AI 生成对抗样本并自我博弈(Selfplay)提升模型性能,类似于 AlphaGO 在围棋领域的思路。据《In the Mind of the Adversary: Using AI-Powered Behavioral Analysis to Stop Breaches》,Crowdstrike 通过 IOA 与生成新对抗样本的自动化工具进行协作,来衡 量和完善检测能力。CrowdStrike 的对抗性管道可生成数百万个独特的对抗性样本,模拟已知恶意软件的新版 本和修改版本。这种自动化和可扩展的管道使 CrowdStrike 能够快速集成由 CrowdStrike 威胁研究团队或行业研 究人员标记的不同攻击。这种方法与如今的 RL+Self-play 路径类似,区别在于 Crowdstrike 似乎采用自动化生成 +专家知识相结合的模式52,提升模型性能。另一个证明是,在 Crowdstrike 2022年 8月发布 AI-IOA 通稿时提到 “CrowdStrike 通过将人类专家的知识与机器学习相结合,提高发布 IOAs 的能力,并增强专家生成的 IOAs 的 质量53”。通稿还提到自从 AI-powered IOAs 投入使用后,CrowdStrike 的 ML 模型已经确定超 20 个新的指标模 式,这些模式经过专家验证,并在 Falcon 平台上实现了自动检测和预防54。这意味着 Crowdstrike AI-IOA 的模式是 ML 模型通过生成对抗性样本自我博弈,确定有效攻击模式,并提取关键的指标模式,专家知识主要作用 在验证阶段。 据 2019 年 10 月《How CrowdStrike Uses SHAP to Enhance Machine Learning Models》55,Crowdstrike 采用 梯度提升树(gradient boosted trees)算法作为分类器判断特征是否属于恶意或良性。梯度提升树通过组合多个弱 学习器(通常是决策树)来创建一个强大的预测模型。它是一种迭代的算法,每次迭代都试图纠正前面模型的 错误,与此前 RL+Self-play 逻辑对应。
SentinelOne 也采取 AI/ML 模型自动化检测、响应模式,但据《Decrypting SentinelOne’s Cloud Detection | The Static AI Engine in Real-Time CWPP》57,SentinelOne 的静态 AI 引擎背后是监督学习算法(supervised machine learning algorithms),在文件执行前检查文件结构并搜索与恶意意图相似的模式,本质上承担分类器的角色,将 扫描到的文件分为良性、可疑、恶意等多个类别。最终,决策树算法会给出文件恶意程度的预测置信度。在过 去十年中,SentinelOne 的分类器算法已通过近十亿个样本进行训练,威胁研究人员还在不断改进模型,以应对 最新的威胁。值得注意的是,SentinelOne 提到58其采用决策树算法用于分类,而标准的决策树算法对样本规模 不敏感59,虽然可以通过引入特征权重等方式使得调整后的决策树算法对样本规模有一定敏感性,但这与 Transformer 的 Scaling Law 并不相同,整体上随深度提升,准确率会逐步收敛(也可能过拟合至 100% ,但在测 试集外表现可能较弱)。2018 年 12 月 SentinelOne《Detecting Malware Pre-execution with Static Analysis and Machine Learning》60提到其也尝试过 SVM 支持向量机、MLP 多层神经网络等算法,但最终由于效果和可解释 性选择决策树模型(最终采用随机森林,相当于进阶版决策树),进一步佐证此前通稿的描述。
微软采用一组 ML 算法综合攻防,但导致高覆盖率、高误报率。微软在 2017 年 8 月《Windows Defender ATP machine learning: Detecting new and unusual breach activity》62提到,微软采用一系列 ML算法(包括有监 督和无监督算法),且有监督机器学习算法占主要地位,并提到结合专家工程和深度学习两种方法,这意味着 结合 1)专家根据他们的经验和知识,定义哪些特征是重要的。这些特征可以是行为特征、网络流量特征、文 件特征等。2)使用机器学习算法(如深度学习)从原始数据中自动提取特征。2019 年 7 月《New machine learning model sifts through the good to unearth the bad in evasive malware》63借鉴 UCB 2018 年《Adversarially robust malware detection using monotonic classification》引入单调约束,提升预测准确性并降低无效资源消耗。 例如,文件大小:一般来说,恶意软件的文件大小可能会比正常文件更大。因此,文件大小增加时,恶意软件 的可能性应该增加。数字签名:恶意软件通常不会被可信的实体签名,而正常软件通常会被签名。因此,如果 一个文件被可信实体签名,那么它更可能是正常的。总体而言,多个模型覆盖不同的威胁类型和攻击阶段,可 以更全面地检测和阻止威胁。不同模型之间可以互相补充,减少单一模型的盲点。但也导致容易增加误报,且 多个模型运行会显著增加资源占用,影响端侧性能或云端安全支出。
Palo Alto Networks 也是类似,通过由 NGFW 下一代防火墙、传统签名/特征库、静态分析引擎、深度学习 分析引擎等组成的一揽子解决方案应对网络攻击。总体而言,组合模型可以实现高准确率,但牺牲一定误报率、 资源占用。
易用性方面,1)Crowdstrike 轻量级代理、统一 UI/控制台以及模块化订阅模式使得部署方便操作简单。 1)管理和操作方面,Crowdstrike 具有统一的 UI 和单一控制台。2)部署和安装方面,Crowdstrike 轻量级代理 加快安装过程。同时,Crowdstrike 的营销策略是出售小型产品组合,提供基于模块的订阅,用户可自定义其产 品组合。模块化订阅的销售方式避免大量规划、购买和更换现有基础设施,部署方便快速。相比之下, SentinelOne 等竞争对手是将整个平台捆绑出售。此外,模块化订阅还带来了较低的初始成本,因为购买单个/ 少数几个模块比购买整体平台更便宜。很多用户只需要少数几个功能,而不是完整平台的功能,增加灵活性。 3)升级方面,Crowdstrike 可实现自动更新,无需重新启动,避免因为因停机造成不便。新功能的添加在云中 进行,无需中断云工作负载。CS 通过云原生架构避免因每日/小时签名更新造成系统性能下降。2)Micros of t 易用性不足主要在于多个控制台。UI 方面,调查界面的上下文不如 Crowdstrike/SentinelOne 详细,无法轻松找 到可疑进程创建的网络链接和文件。部署时所有的端点设备都必须升级至 Windows 最新版以获取完整功能。由 于管理控制台整合不足,MS 可能需要管理多达 9 个控制台和 4 个全职员工监控66,给用户造成不便67。3)Pal o Alto Networks 的易用性不足体现在具有三个平台/UI,而不同平台均需要单独代理。1Q24 CrowdStrike 宣布与 一家全球金融服务巨头签署价值七位数的大型协议,取代 Palo Alto Prisma Cloud。因为 Palo Alto 的云安全产品 需要单独的控制台和代理。
合作伙伴集成方面,MS>CS>PA。安全问题的本质是数据挑战,安全行业整合将演变为 AI 可触达的数据 的整合。CrowdStrike 于 2023 年 9 月推出 Marketplace,目前已有 137 位合作伙伴,涵盖 231 项集成服务。CS 合 作伙伴网络为 CrowdStrike 提供支持。相比之下,微软拥有自己的庞大生态系统,包括 Azure 云服务和其他安 全解决方案。例如微软的电子邮件安全业务与 Outlook紧密结合。与 CrowdStrike 相比,微软可能因内部资源的 整合和规模经济而享有成本优势。微软的广泛产品组合也可能允许它通过捆绑销售和服务来创造更多价值,进 一步影响其成本效益。 价格方面,安全厂商的定价体系较为复杂,部分产品/服务可能通过附加组件(如存储/数据迁移)定价, 未直接体现在 EDR/SIEM 等产品定价中,因此 TCO 评估需要参照具体 Use Case 分析,并结合企业实际规模 决策。据 Charting Cyber68,一家 350人的中型企业,并为每位员工采购 Microsoft E3许可证,同时采购 SI EM、 Defender EDR,最终发现考虑数据存储、传输、SOC 运维等成本后,Microsoft 安全解决方案成本高于预期。值 得注意的是,一些隐性费用值得关注,例如数据摄取、存储的成本,EDR Agent 每天都会回传数据,并在云端/ 本地缓存一段时间,并且 SOC 安全运营团队的维护成本也值得关注。因此,Microsoft Defender 的价格优势只 有在 1)客户已经采购 E5 套件时,2)内部已经有一定规模的 SOC 团队,3)公司主要采用 W indows 技术栈, MacOS/Linux系统比例不高时成立。
相较之下,Crowdstrike EDR 模块(不含 SIEM / Data Ingestion / Rention)的 TCO 略高于 Microsoft,因此 Crowdstrike 推动 Falcon Complete/Next-Gen SIEM 模块销售,降低内部 SOC 和数据传输的成本。在 EDR 领域, Crowdstrike 产品溢价明显,但这种溢价是建立 1)在市场领先的检测和响应水平,据 2024 MITRE ATT&CK® Evaluations for Managed Service,Crowdstrike 的检测覆盖率 100%,可执行的警报率 93%,大幅领先微软的 63%, SentinelOne 的 72%,以及 Palo Alto Networks 的 79%,并在检测速度方面平均用时 4 分钟,大幅领先微软/ Palo Alto Networks 的 24 分钟,以及 SentinelOne 的 47 分钟。2)差异化定位,微软对非 W indows 系统支持较差。 Crowdstrike 适合 Windows、Linux、Mac 等各种系统,而 Microsoft 在 Windows 上性能很好,但在 Linu x 上有很 多误报。因此,在 Linux、Mac 等系统占比较多的混合设备公司中,Crowdstrike 具有优势。
微软常被指责仍然基于传统签名,但微软承诺在未来 3-5 年内对安全业务投资 200 亿美元,每年约 40 亿美 元研发投资,超过 PANW、FTNT、CRWD、OKTA 和 ZS 的研发预算总和。
从行业趋势看,EDR 产品的同质化不可避免,要想维持溢价需要保证 1)在技术、工程上加大投入,在 EDR 的检测准确率、响应自动化方面追赶,2)补足在 MacOS/Linux 方面的集成和支持。关于 EDR 产品的 AI/ML 模型,我们在前述已经分析过,由于数据多样性、规模提升带来的准确率最终会收敛至一个区间,后来 者通过组合模型、数据量积累带来的效果提升会逐步缩短和行业龙头的差距。因此,后来者追赶可能会导致龙 头企业 EDR 产品溢价逐步消减。而对于非 Windows 系统的支持/集成,主要是工程方面的投入,以及不同 EDR 厂商的产品定位(确保本地检测能力会增加资源占用 ,反之则会增强对联网环境的依赖,组合模型导致计算资 源/内存占用增加)。
维持溢价的另一种途径即自动化其他流程,例如 1)引入 Gen AI 的模型架构,测试网络安全场景下 AI/M L 是否有 Scaling Law;2)增加组件,将 EDR 扩展至 XDR,乃至 MDR,将网络设备、云服务、企业应用系统的 数据也纳入防护范围,而 MDR 进一步提供外部安全专家团队支持,减轻企业内部 SOC 团队的压力。因此, EDR 行业的竞争进一步延伸至 XDR、MDR 乃至整体安全解决方案。
跨技术栈竞争:Microsoft/PaloAlto Networks 发展较好,Crowdstrike 处于快 速追赶阶段
从网络安全技术栈来看,EDR/XDR 实际上位于较高维度位置,SIEM 则处于最基础的位置,SIEM 提供事 件收集和分析能力,是安全运营中的核心组件。再往上则是 SOAR/EDR/XDR,侧重自动化检测与响应。MDR 相比 EDR/XDR 更进一步,将 SOC 的运营和管理均外包/自动化。
从产品特性上看,XDR 是 SIEM的延申,而从发展历程上看,XDR 是对 EDR 的补充76。EDR主要聚焦终 端威胁检测及自动化响应,但随着技术成熟,网络攻击的复杂性进一步提升,EDR 的缺陷开始暴露,例如① EDR 主要关注终端设备,缺乏对网络流量、云环境等其他关键数据源的监控;②不同安全工具之间的数据不互 通,导致安全团队难以获得全面的威胁视图;③虽然 EDR 提供了比传统防病毒软件更强的检测能力,但在自 动化响应方面仍有不足。 从理念上看,XDR 希望在 EDR/SIEM 的基础上对数据、响应机制、工作流程、API/生态系统集成的全面 整合,但由于 1)过往的安全厂商往往聚焦特定领域,缺乏自研能力整合所有产品;2)不同安全领域(如网 络、终端、云)的技术差异很大,且不同源的数据格式和结构各异,整合的技术难度很高;3)收购整合周期 长,通过 API 集成外部合作伙伴的能力可能不如专业服务提供商(best-of-breed vs best-of-suite)。因此,实际 上,市面上的 XDR 产品更多是对数据的整合而非技术栈的整合。
XDR 产品的竞争力:1)多数据源集成能力:确保全面的威胁视图,避免数据孤岛;2)高级分析与自动 化:提高威胁检测的速度和准确性,减轻安全团队的工作负担;3)威胁检测与响应能力:核心功能,直接关 系到企业的安全防护水平;4)用户体验与易用性:提高工作效率,减少培训成本;5)安全工具的可扩展性和 集成性:适应企业需求,增强整体安全生态系统的协同效应。 在数据源集成方面,Microsoft> Palo Alto Networks ≈ Crowdstrike。微软的优势在于 1)其拥有全球最广 泛的操作系统市场份额,其 Windows 操作系统在企业环境中占据主导地位。这种广泛的端点覆盖为其提供大 量端点遥测数据,有助于提高威胁检测的准确性和响应速度。2)端点以外,微软通过将其安全产品捆绑在一 起并与其他服务(如 Office 365 和 Azure)紧密集成,将防火墙、Network Security、Microsoft Defender for Cloud、 Azure Sentinel 等产品搭售,以极低的成本触达客户,这些产品共享威胁情报并提供统一的管理界面,使得企业 可以更容易地管理和响应安全事件。 微软的搭售优势体现为 1)Entra ID 的强制属性。Entra ID(之前的 Active Directory)属于身份管理软件, 可用于企业控制员工访问云端应用程序,如 Office 365、Teams 等,而微软不允许 Office 365 客户用竞争对手的 身份管理软件,如 Okta 和 Cloudflare 的产品,替换 Entra ID78。微软 CEO Satya Nadella 多次79提到 Entra ID 是微 软云业务最关键的部分之一,原因在于让客户使用云登录软件会使他们更有可能订购其他云软件产品,因为它 们可以很好地协同工作80。而竞争对手则相反,Google 云副总裁 Amit Zavery 向欧盟投诉时提到“微软可能会通 过移除接口和 API 来阻止使用其他身份验证方法,进而强制用户使用 Entra ID”81。这句话反映微软限制竞争 的手段可能与此前 Windows/Office 类似,即隐匿接口,阻碍第三方产品的接入,进而影响用户体验和产品性能, 而微软利用 Entra ID 的搭售构建了一种不公平的竞争优势,这也引发欧盟和美国监管机构的调查。
2)持续迁移 Windows 等产品线上云,微软推出 Windows 365(基于云的操作系统),旨在帮助用户从过 时的 Windows 版本升级,减少软件漏洞被黑客利用的风险82。W indows 系统的安全漏洞部分原因是因为有大量 的旧版本仍在使用。微软停止了对 Windows 7 的支持,但 2021 年 7 月还是为其发布安全补丁。通过鼓励使用 云版的 Windows,微软可以减少旧版本带来的安全风险。而一旦采用 Windows 365,客户便更有可能采用微软 的解决方案,因其与微软的其他产品集成度更高。 3)用户协议严格限定微软的损失赔偿责任83。在微软的服务协议84和 Defender 许可协议85中,微软对损害 赔偿做出非常不利于客户的限制,例如①免费服务的责任限制:在微软的服务协议中,如果服务是免费的,用 户只能获得最多$10.00 的直接损害赔偿。这意味着在发生问题(如数据泄露)时,微软不承担额外的责任。② 付费服务的责任限制:对于付费服务,用户的赔偿上限为当月服务费用,这限制了微软在服务中可能承担的责 任。无论是免费还是付费,微软都不对间接损失、特殊损失或惩罚性损失负责。③一般责任条款:微软通过协 议排除了绝大多数情形下轻微过失的责任,除非微软存在在故意行为、重大过失等情形,以及在死亡或个人或 身体伤害的情况下,微软才会因轻微过失而承担责任,否则在其他轻微过失(未导致如此严重后果)的情况下, 微软不承担轻微过失的责任。
在易用性及生态集成方面,Palo Altos Networks 与 Crowdstrike 等竞争对手均不具备微软的类似禀赋,因此 主要通过收购或集成第三方产品的方式获取数据支持,Palo Alto Networks 由于收购整合较多,易用性/生态集 成稍好于 Crowdstrike,Micrsoft > Palo Alto Networks > Crowdstrike。Crowdstrike 2022 年 9 月宣布扩展第三方 安全厂商的集成86,包括 Cisco、ForgeRock、Fortinet、Microsoft、Palo Alto Networks 等,但一些第三方反馈提 到87部分集成软件的体验并不好,且需要按照端点数量购买连接器(Data Connector)实现集成88,并涉及数据 额外的存储成本等。因此,Crowdstrike、Palo Alto Networks 等在数据集成方面落后于 Microsoft,这种落后除非 监管的全面介入(EU 和 FTC 明确限制微软 Entra ID 的捆绑,否则很难追赶)。 大多数依赖第三方集成的 XDR 停留在数据整合阶段,没有进行技术栈的整合。据 Reddit Crowdstrike 用户 的反馈89,XDR 没有直接改变技术栈,而是在展示层面把来自云、端、网的数据汇聚在一起,并做进一步分析 和响应,且 XDR 的渗透使得企业削减了部分 SIEM 预算(减少对日志数据的搜索需求,而是直接在 XDR 中图 形展示)。 缺乏技术栈的整合会导致响应延迟、上下文信息不完整等问题。当技术栈不统一时,不同系统之间的通信 可能需要额外的时间和步骤。这可能导致从检测到响应的时间延长,降低自动化的效率。我们可以通过 SIEM/SOAR 的关系来近似理解 XDR 内部各组件的通信,SOAR 通常被用作为 SIEM 系统的扩展,可以提供剧 本将分析师常用工作流程自动化,并可帮助实施“安全中间件”,允许不同的安全工具进行通信。SOA R 通过 丰富数据、改进警报分类和自动执行重复性任务来改进 SOC 流程。但是,SOAR 很复杂,成本很高,需要一个 高度成熟的 SOC 来实施和维护合作伙伴的集成和操作手册。这里的复杂性体现在不同安全工具(技术栈)的 规则、格式、信息分类不同,而要将非标准化的信息情报转换为标准化、可执行的指令,需要人工团队的大量干预和支持,这就导致从威胁情报到响应执行之间的延迟。 根据 IBM90,采用 XDR之前,企业大多数工具是孤立且不互相通信,识别和遏制高级威胁需要很长时间。 IBM 的《2022 年数据泄露成本》报告显示,数据泄露平均需要 277 天才能检测和解决。而与未部署 XDR 的组 织相比,部署 XDR 的组织的数据泄露生命周期缩短 29%,泄露成本平均降低 9%。实际上更深入的技术栈整合 可能会带来恢复周期进一步缩短。
关于上下文信息,一些无代理方案只能使用 API 提供的数据,而无法获取到运行中的进程和内存中的数据 等,这种方式的显著优势在于实施时间短,价值实现几乎是即时的。只需将其连接到不同的云服务账户,就能 立即开始运行。然而,这种方法的缺点是,由于系统缺乏足够的上下文信息,可能会产生更多的误报。误报增 加了 SOC 安全运营团队的负担,违背了 XDR 希望进一步自动化响应的初衷。 从技术角度看,Crowdstrike、Palo Alto Networks 由于成立较早,起初主要采用本地部署加基础虚拟化的模 式,这种架构确实在扩展性和灵活性方面积累了一些技术债。若采用容器化技术或云原生架构,不同服务在扩 展、集成方面的难度会大幅下降,因此集成的问题本质还是由于架构方面的技术债。我们着重分析 Crowdstrike 在 EDR 代理方面的架构。 EDR 的数据来源主要是部署在物理机/虚拟机/容器云中的代理,核心矛盾是部署环境以及有无代理(agentbased vs agentless)。
无代理(Agentless)实际上是指不需要部署专用软件,而可以直接利用 Google、Amazon、Microsoft 云环境的 插件获取信息,也不需要针对每一个虚拟机/容器进行部署,而直接针对集群进行整体监控。无代理的好处在 于 1)轻量级,资源占用低,且 2)部署速度快,3)可获取全面的可见性。缺陷在于 1)难以实时进行监控, 2)只读不改,检测异常后无法自动化响应,需要通过 SOC 手动处理,3)若上下文信息不完整,可能会导致 大量误报。 有代理(Agent-based)指在虚拟机/容器等环境下部署专用软件,实施实时监控并并收集详细的安全事件和系 统活动数据。这些代理通常安装在每个需要监控的计算单元上,如虚拟机、容器或物理服务器。有代理的优势 是 1)实时收集信息并分析,2)分析颗粒度更深,提供进程级别的监控;3)可进行自动化响应,减少人工干 预。但也存在一些挑战——1)资源占用较无代理更高,2)需要在每个虚拟机/容器/物理服务器上部署和维护代理,而容器/无服务器环境下管理成本高(容器/无服务器频繁创建/销毁计算资源)。
总结来看,核心区别在于底层部署环境不断原子化后,生命周期不断缩短,使得部署和维护代理的成本逐 步提升。①虚拟机基本是模拟物理服务器的功能,旨在支持长期运行的应用和服务,可视为一种持久的计算资 源,可以长期运行,进行定期维护和更新;②容器相当于将服务器的操作系统内核与应用程序拆开,单个容器 跟随进程启动而创建,终止而销毁,生命周期很短(以分钟/小时计)导致逐个部署的成本较高;③无服务器 进一步将计算资源抽象出来,无服务器函数通常按需触发,运行完成后自动释放资源,生命周期非常短暂(以 秒计),试想如果部署代理的时间成本在 1 分钟,对于无服务器环境而言,系统延迟会数倍增长。 代理模式的吸引力主要在于物理服务器/虚拟机环境,因为服务器/虚拟机持久存在,不会反复创建和销毁, 因此部署负担是一次性的(长期不敏感),而代理的监控深度、自动化响应能力比无代理均要强,因此在物理 服务器和虚拟机环境下,代理模式的优势明显。另外,代理模式可能更容易满足合规要求,因为代理可以提供 更详细的系统级、进程级日志。不同厂商的差异在于是否集成至单一代理,代理资源占用程度,单一代理部署 更方便,轻量级代理资源占用少(直接影响企业 IT 支出)。
Crowdstrike 单一轻量级代理的优势:根据 Crowdstrike 2012 年 6 月提交的专利文件《Kernel-Level Security Agent》,Crowdstrike 的安全代理直接在操作系统内核层运行,这种部署方式允许代理在系统启动的早期阶段 就能加载,从而能够监控和拦截大部分系统活动,包括恶意软件的行为。 Crowdstrike 主要借助 1)硬件加速,Intel TXT 和 AMD VTX 等硬件级别的安全技术,CrowdStrike 的安全 代理可以在不依赖于操作系统的情况下运行和保护自身。这种直接在硬件层面上运行的能力减少了对操作系统 资源的依赖,从而降低对系统性能的影响;2)高效的事件过滤和分派,通过使用高度优化的事件过滤器,安 全代理能够识别出哪些事件是普通操作,哪些事件可能是恶意行为。这意味着只有那些可能表明安全威胁的事 件会被选中进行更深入的分析,从而减少对 CPU、内存和存储等资源的消耗;3)并行处理,提升资源利用率。通过多进程编程,调整锁和同步机制等,将工作负载分散到多个处理单元上,从而减少单个核心的负担,从而 减少对整体系统性能的影响。4)依靠云端资源支持,不同于 SentinelOne 等同行,Crowdstrike 完全依赖云端资 源,因此本地的内存、算力占用可以节约出来,但代价是对网络带宽有严重依赖性。
容器/无服务器环境与物理服务器/虚拟机存在根本性的差异,例如①容器通常被设计为轻量级,资源使用 受到严格限制,②容器环境可能涉及数千个实例,传统代理管理可能变得非常复杂,③函数可能只运行几毫秒, 传统代理无法在如此短的时间内提供有意义的监控等,因此简单地将传统代理移植到容器/无服务器环境无法 取得相近效果。 目前行业的进展是转向在节点级别部署代理监控,而非容器级别。如 Palo Alto Networks、Aqua 或 Lacework等厂商,在 Kubernetes 中,代理通常作为 DaemonSet 部署。DaemonSet 确保集群中每个节点(Node) 上都运行一个代理 Pod。当新节点加入集群时,代理会自动部署;当节点离开时,代理会被自动删除。虽然单 个容器可能短暂存在,但代理持续运行在节点上。 这使得代理能够监控所有在该节点上创建、运行和销毁的容 器。 具体架构可参考 AWS 分享的 Aqua 解决方案,Aqua 组件包括①Aqua Enforcer:作为 DaemonSet 部署在每 个节点上,负责监控和保护运行中的容器。它确保遵循安全策略,并实时检测潜在威胁;②Aqua Console:提 供用户界面和管理功能,允许用户配置安全策略、查看监控数据和生成报告。通常会部署为一个服务,可以通 过负载均衡器进行访问;③Aqua Gateway:Aqua Gateway是一个中间件,负责在Aqua Console和Aqua Enforcers 之间传递数据和命令。Gateway 通常部署在 Aqua VPC 中,确保数据传输的安全性和可靠性。
Aqua 等厂商选择节点部署代理也存在一些损失:1)由于不在容器内部部署代理,难以捕捉进程级别的日 志,如特定的读写操作或进程启动/终止;2)集群级别的代理通常只能监控节点之间的网络流量,或者通过网 络嗅探工具捕获部分内部流量,但无法全面覆盖容器之间的内部网络通信;3)容器内部安全事件的检测,如 文件系统更改或特权升级尝试。因此,节点级别部署代理是以牺牲可见性、部分检测性能的方式换取更低的部 署和维护成本。 为解决上述问题,业界进一步探索 eBPF 技术、CRI 监控、CNI 插件等弥补可见性不足,缩小和传统主机 代理性能之间的差距,这一步则存在分歧,不同厂商在解决方案的差异也主要来自于这部分技术路线的分歧。
总结来看,传统的安全厂商如 Palo Alto Networks、Crowdstrike、SentinelOne 主要选择有代理模式,但相 比于 EDR 代理,调整部署架构以适配容器环境,差异化优势在于 1)与其他产品的集成以实现自动化响应, 如 Palo Alto Networks;2)与其他产品联合形成一个全面解决方案,如 Crowdstrike、SentinelOne,但其价值实 现不够显著。初创企业主要采取无代理模式,但也逐步过渡到支持代理部署,例如 Orca、Wiz 等,其竞争优势 在于 1)扫描技术专利,不同扫描技术差异在于扫描的全面性(是否捕捉到关键信息),以及资源占用大小; 2)事件过滤器,确定问题优先级能力强可提升 SOC 团队效率。 根据Orca 的专利文件,Orca 的工作流程是①确定快照位置:通过查询云管理控制台(如 AWS Management Console)或直接访问存储系统来完成;②访问快照:系统通过网络连接和 API 访问确定的快照位置,下载或 读取快照内容;③解析快照:将快照内容解析为可分析的格式,提取系统状态信息,包括文件系统、内存状态、 系统日志等;④分析快照:对解析后的快照内容进行多维度分析,检测潜在的安全威胁。⑤威胁检测;Orca 系 统不仅能检测漏洞,还能检测广泛的安全问题,包括错误配置、敏感数据暴露、弱加密等;⑥优先排序和风险 评估:系统结合上下文信息对检测到的问题进行优先排序和风险评估。结合《Orca’s Agentless Cloud Security Platform》,Orca 可能混合采用 1)基于规则的方法104/ 105;2)启发式分析106,专利文件和技术简报中未提及 AI/ML技术,因此 Orca/Wiz 等无代理的解决方案背后主要是经验的积累,在没有 Scaling Law 时,前期技术积 累导致的效果差异较为明显,而一旦数据量积累上来,厂商无代理方案之间的效果差异会缩小。
最新研究表明引入 Transformer 后误报率、准确率大幅优化。据《EagleEye:Attention to Unveil Malicious Event Sequences from Provenance Graphs》,Acronis Research 研究团队在 REE-2023、DARPA-5D 测试集上显 示,在10−3的假阳性概率限制下,基于 Transformer 的 EagleEye 系统实现了 94.3%的准确率,显著高于 GRU 门控循环单元(RNN)/LSTM/随机森林的 79.5%/67.3%/64.3%,Transformer 大幅降低误报率。另外,根据 Transformer 架构的扩展特性,其在安全分析领域也具备 Scaling Law 的潜力。
总结来看,Transformer 架构在安全分析领域具备较大潜力,尤其对于过去 AI/ML 积累相对薄弱的厂商107 而言,其可能需要 1-2 年切换并完善分析引擎,但可以超越过去决策树/随机森林等曲线收敛的特性,大幅缩短 和头部厂商的性能差异。对于头部厂商而言,应对措施一方面是加速结合 GenAI 与分析引擎,头部厂商的数据 积累存在重要优势(安全分析场景负样本比例严重偏低,通过合成数据/采样拟合会导致数据分布偏离实际,导 致误报率提升);另一方面则是进一步扩展自动化(例如从 EDR 发展到 XDR、MDR 等),通过交叉销售附加 服务维持溢价和利润率。 Microsoft 在数据和交叉销售领域具备优势,但面临一定反垄断监管风险,而 Palo Alto Networks 在 XDR 的 产品集成方面表现较好,且产品成熟度较高,处于第一梯队。Crowdstrike 的主要风险在于 EDR 市场的渗透率, 若 EDR 市场渗透进度较高,后续大型企业空间不足,转而发展 SMB 时溢价可能存在一定风险。
网络安全支出在 IT 支出中优先级高且受益其增长的敞口大,预计未来增速较快。安全支出占 IT 预算的比 重约在 5%~10%左右,近年来有逐渐提升的趋势。据 IDC 预测,网络&终端安全 2023-2027 年复合增速高于其 他细分行业,达到 15.4%,仅次于 API 管理(16.1%)。全球安全支出可分为托管安全服务、端点安全、网络 安全应用、身份和数字信任软件、集成服务等。其中托管安全服务占比 19.2%;端点安全占比 13.5% ;网络安 全应用占比 12.6%,身份和数字信任软件占比 9.3%,集成服务占比 8.6%。
网络攻击频率和速度不断增强,且被攻击者付费能力较强。网络攻击频率不断提高,攻击速度不断变快。 据《2024 全球威胁报告》,2023 年 CrowdStrike 观察到云环境入侵增加 75%,互动式入侵活动数量同比增长了 60%,其中下半年相比 2022 年增长 73%。2023 年,网络入侵的平均“突破时间”从 2022 年的 84 分钟减少到 62 分钟。且被攻击者以技术(23%)、电信(15%)、金融(13%)、政府(9%)为主,付费能力强;据 Gartner,2024年云安全市场年增长率将达到 24.7%,居网络安全市场各细分市场增速第一位。预计到 2028 年, 云安全市场的复合年增长率将达到 27%,是整个网络安全市场增速的两倍。
CrowdStrike 目前的策略是通过平台化的完整解决方案、优于同行的产品能力,吸引大型企业客户。客户 数量少于同行,但 ARR 较高,且一直保持稳定增长趋势。展望未来,由于用户粘性较强,预计净保留率稳定 在约 120%左右,主要是通过 AI 和模块更新为大企业客户带来增量价值,提高大客户平均付费,同时将市场下 沉至中小企业,增加客户数量。从客户数量和 ARR两个角度看:1)客户数量方面:①仍有约 50%客户使用传 统 AV方案,潜在替换需求较大。据 CrowdStrike,市场上约有一半客户仍在使用基于传统防病毒解决方案的企 业,单个端点上仍有超 13+个代理109,IT 预算压力/居家办公下,客户对整合性安全产品和轻量级代理解决方案 替换需求较大。此外,CrowdStrike 长期价值对客户获取成本(LTV-to-CAC)的比率约为 9 倍,而排名第二的 SentinelOne 为 5 倍。 ②用户数量快速增长且粘性较强,有望形成客户数和客户价值的良性循环。2017 年以来,公司客户数量 始终保持正增长,1Q24 已增长到 2.9 万个客户。1Q17-3Q21 期间,单季度客户数量同比增速超 80%。目前虽有 下降趋势,但单季度增速仍超 20%。客户订阅的模块数量增长态势良好,1Q24 订阅 5+、6+、7+模块的客户占 比分别达 65%、44%和 28%。同时客户粘性较好,得益于非端点模块的吸引力、交易规模的增大以及客户采用 更多模块,公司的净保留率稳定在约 120%左右,预计将保持在这一水平。随着 Crowdstrike 客户数量和模块采 用率增加,其产品价值相对于新老客户都会提升,反过来吸引更多客户,形成良性的数据飞轮和客户价值飞轮。
③中小企业市场渗透率不高,竞争要点在于易用性和轻量级解决方案的性能优势。由于中小企业更容易被 渗透,且当前网络攻击的针对性和复杂性加强,企业数字化转型趋势深入,中小企业面临的安全威胁并不低。 据 Infrascale,约一半的中小企业遭受过勒索软件攻击,其中 73%的企业已支付赎金110。50%的勒索软件攻击赎 金超过 50,000 美元111。受宏观经济不确定性和通胀压力影响,小企业 IT 预算收紧,但由于安全漏洞潜在损失 较大,网安支出在其 IT 预算结构中仍具有较高的优先级。据 Canalys 测算,2022-2023 年,小企业在网络安全 产品和服务的花费由 207 亿美元同比增长 11%到 229 亿美元,占总市场规模的 10%,其中端点安全市场规模由 34 亿美元同比增长 7%至 37 亿美元112。2023 年 9 月,CrowdStrike 表示其在全球 2000 强企业中的渗透率小于 30%,而在中等规模企业(~5%)、中小企业(<1%)的渗透率较低,仍有较大提升空间。据 IDC,相较于小 企业,CrowdStrike 在大企业中更具领导地位。
对于 SMBs,Crowdstrike 的策略是通过易用性更强的 Falcon Go/Pro 把握中小用户痛点,同时依靠渠道合 作伙伴打开市场。从需求角度,相较于大型企业,平台化对于中小企业的吸引力更弱,因为中小企业内部资源 有限,缺少时间和精力调整和优化平台、监测和应对复杂网络攻击。对中小企业来说更重要的是产品操作简单 性、功能可靠性和定价的可预测性。中小企业适用 Falcon Go 和 Falcon Pro 两种定价策略。Falcon Pro 包含 NGAV、Device Control、Easy EDR、Threat Intel 四个模块,定价$8.33/device/month。2023 年 11 月,为进一步 打开SMB市场,CrowdStrike 推出Falcon Go,仅包含NGAV和Device Control两个模块,定价$4.99/device/month 或$59.99/yr。主要特色是易于部署和管理,下载安装能够在几秒内完成115,平台管理也仅需简单点击。合作伙 伴方面,Crowdstrike 与 MSSPs 的合作实现三位数的增长,与 Dell,Pax8 等合作伙伴取得一定突破。通过与专 注于中小企业(SMBs)的合作伙伴合作,CrowdStrike 能够触及那些难以大规模直接接触的市场。这使得公司 能够向下游市场扩展。目前,Falcon Complete 需要至少订阅 250 个单位,实质上是从 1000/500 台量级下沉到 250 台,仍然在中型市场。针对缺乏中型企业安全技术人员问题,Crowdstrike 提供技术团队培训,且易用性强, 微软 Defender 则部署难度高,需要手动提供日志、分析事件、配置和调整,推出轻量级代理方案后解决,但与 Crowdstrike 的轻量级方案性能差异扩大。
从 ARR 角度,受益 CS 非端点模块推出和客户从点产品转移趋势,ARR 有望快速增长。CrowdStrike 的非 端点模块,特别是身份验证、云安全和安全事件及事件管理(SIEM),是实现未来 5 到 6 年内达到 100 亿美元 年度经常性收入(ARR)目标的关键。预计到 2029 年,这三个模块可能占总 ARR 的近一半。因为客户越来越 多地在公司平台上进行标准化,同时从点产品转移。通过渠道合作伙伴的贡献(如 Dell, Pax8)可能会在中长 期内推动市场份额的增长,尤其是在企业级别渗透较少的下游市场。
Falcon Flex按需付费,提高模块化订阅的灵活性,有望加速用户平台化和标准化。客户可根据业务需求使 用 Falcon Flex中的余额直接获取新模块或在不同模块之间迁移,无需额外配置和部署成本,缩短客户采购周期。 用户可以通过长期承诺获得更大折扣,有助于提前锁定客户。Falcon Flex将促进客户在 Falcon 的平台化和标准 化。 政策方面:1)由于微软的安全问题,美国政府或将扩大安全供应商名单。23年 9月 CrowdStrike 在公共部 门的渗透率小于 1%,仍有较大提升空间。随着美国政府在安全领域释放更多预算,CrowdStrike 作为现有市场 领导者和 MS 替代方案有较大机会,尤其是 NG-SIEM 产品。2)美国要求上市公司披露重大网络安全事件117。 该决议于 2023 年 7 月由 SEC 通过,披露内容包括网络安全事件性质、范围、时间、影响等。同时,重大网络 安全事件发生后 4 天需立即报告。这要求上市公司在事后短期内快速进行调查取证并汇总报告 , 利好 Crowdstrike 事件调查和事件响应模块。事件调查方面,借助 Falcon LogScale,公司可在秒级内完成对 P B 级数 据的检索,通过日志调查回溯安全事件;响应方面,发生异常情况时 Falcon 可一键隔离异常端点,达到及时止 损的目的,相应地也可以一键恢复相关端点。此外,Crowdstrike 具有强大的反 APT能力,追踪 170多个不同的 国家参与者并揭示其国家来源、战略战术、目的意图等,有助于在事后快速锁定对手。
总结来看,Crowdstrike 在 EDR 领域仍有较大空间,以 23年为例,企业级市场~100亿美元,其中一半以上 为传统安全厂商(McAfee、Trend Micro 等),这部分份额将被逐步替代,按照 Crowdstrike 新增份额 30% 假设 计算,Crowdstrike 在企业级市场仍有 1x 左右空间。SMB 市场方面,Crowdstrike 过去涉及不多,Microsoft 主要 通过 Office E3/E5 许可证搭售进行渗透,而 Crowdstrike 目前通过与 Dell、Pax8 等渠道上合作,产品上推出 Falcon Complete 降低部署/维护成本,吸引SMB企业转化。按照 30%赢率及未来 5-7年行业复合增速 10%假设, Crowdstrike 在 EDR 市场仍有 54 亿美元左右的空间。此外,EDR 市场逐步成熟,新兴领域包括云安全、身份验 证、下一代 SIEM 等,Crowdstrike 通过搭售获取现有客户迁移的预算,目标渗透率在 10%以内。
(本文仅供参考,不代表我们的任何投资建议。如需使用相关信息,请参阅报告原文。)
