CrowdStrike: прорывные идеи, успешный маркетинг и взлет на рынке кибербеза

Один из лидеров российского рынка кибербезопасности Positive Technologies готовится к выходу на биржу, а пока – еще одна история успеха в индустрии. Новый герой – компания CrowdStrike Inc., известная во всем мире успешными расследованиями хакерских атак на госучреждения и компании в США.

Разочароваться, чтобы создать

В начале нулевых Джордж Куртц, аналитик из PriceWaterhouse и автор популярного руководства для сетевых администраторов Hacking Exposed (тираж – 600.000 экземпляров на 30 языках), создал компанию Foundstone. В 2004 году ее купила McAfee, Куртц стал вице-президентом, а в 2009 ― CTO этой компании. Через два года он разочаровался в McAfee и решил создать собственную компанию CrowdStrike с принципиально новым взглядом на информационную безопасность. Вместо привычных антивирусов и поиска вредоносного программного обеспечения компания сосредоточилась на более сложной задаче ― обнаружении сложных угроз, конкретных техник, используемых хакерами. Идея нашла инвесторов и получила финансирование в размере $25 млн. Теперь обо всем по порядку.

Легенда, или История успеха

В 2011 году, сидя в самолете, СТО McAfee Джордж Курц смотрел, как мучаются сосед и его ноутбук. В течение 15 минут после старта операционной системы ресурсы начисто съедал антивирус McAfee. В тот момент Курц понял, что защита эндпоинтов (серверов и устройств, подключенных к рабочей сети) должна быть иной: не тормозить работу компьютеров и управляться из облака. Вдохновленный идеей, Джордж вместе с друзьями Дмитрием Альперовичем и Грегом Мартсоном уволился из McAfee, чтобы создать компанию CrowdStrike (CRWD) и продукты нового поколения. Первым из них в 2013 году был Falcon. Он защищал конечные узлы сети, используя базу экспертных данных, хранящихся в облаке.

12 июня 2019 года компания стала публичной, IPO принесло почти $700 млн. CRWD разместила акции по цене $34 за штуку (это выше верхней оценки аналитиков в $28-30) и преуспела. За первый день торгов акции выросли до $58 (70.6%), а компания получила оценку в $11.4 млрд. В 2019 финансовом году (закончился в начале 2019) CrowdStrike продала продуктов и сервисов на $249.8 млн. Итоговый мультипликатор – 45.6.

Дальше все шло хорошо: несмотря на небольшой спад в конце 19-го и начале 20-го, акции компании вновь стали расти. В 2020 году пандемия благотворно отразилась на делах всех компаний по кибербезопасности, но CrowdStrike особенно преуспела. Тот, кто вложился в нее на момент IPO, сегодня обогнал бы индекс S&P 500 почти в шесть раз.

С продажами тоже все прекрасно: по последним оценкам, рост продаж составляет 82%, а их объем в этом году стремится превысить миллиард долларов. По плану финансовый 2022-й принесет компании $1.4 млрд:

Растет вообще все: количество клиентов, сотрудников, зарубежных офисов, модулей облачной платформы и даже среднее их количество у клиента. Сокращаются только убытки. Прогнозы на будущее CrowdStrike выглядят оптимистично, компания совершенно точно будет расти (не является инвестиционной рекомендацией). Пробуем разобраться, как так вышло.

Как так вышло

Легенда должна быть красивой, но не обязана быть правдивой. Тем более, если это история о тормозящем в самолете ноутбуке. В действительности вряд ли СТО компании только спустя два года и именно таким образом понял, что продукты его компании работают ужасно и надо что-то менять.

Но если все-таки верить легенде, то в нее стоит добавить и других действующих лиц. Одним из них был Стюарт Мак-Клур, соавтор (вместе с Куртцем написали Hacking Exposed), партнер (вместе основали компанию Foundstone) и коллега (вместе трудились в McAfee). Стюарт не попал в число создателей CrowdStrike, но в 2012 вывел на рынок ее конкурента – компанию Cylance, которую в 2019 году (за несколько месяцев до IPO CrowdStrike) купила за $1.4 млрд другая компания ― Blackberry (почти в 10 раз дешевле итоговой стоимости CRWD). Появление еще одного решения подобного класса задало тренд. Условия на рынке этому только способствовали.

В конце нулевых ― начале десятых рынок Endpoint Security был уже очень большим (более $5 млрд), монотонно растущим и прилипчивым ― цена продления лицензии антивируса достигала от 50 до 70% от общей его стоимости. Не продлевать подписку было опасно (могут устареть базы), а заменить, особенно в большой организации, сложно и дорого. Вендоры чувствовали себя хорошо и расслабленно, сегмент рынка подобных решений был очень привлекателен.

Так появился целый ряд продуктов нового поколения для защиты конечных узлов сети. В 2008-м вышел EndGame, в 2011-м – CrowdStrike, в 2012-м – Cylance и Cybereason, в 2013-м – SentinelOne и примерно в это же время – Carbon Black. Компании колебались в терминах, которыми обозначали продукты: от NGAV (NextGen AntiVirus) до EDR (Endpoint Detection and Response), но основной посыл был одинаков:

• Старые антивирусы мертвы.
• Мертв сигнатурный подход. Он предполагает, что для каждой известной угрозы пишется набор правил или свойств (сигнатура), который помогает средствам защиты ее идентифицировать. В этом есть сразу две больших проблемы. Во-первых, со временем сигнатур становится слишком много, это тормозит компьютеры. Во-вторых, угрозы усложняются и модифицируются настолько быстро, что таким способом их уже не обнаружить.
• Новые технологии должны основываться на том, что происходит на узле прямо сейчас.
• Все ресурсоемкие операции по вычислению вредоносных действий должны происходить не на локальных узлах, а в облаке. Так оборудование будет значительно меньше тормозить.
• Всему голова ― искусственный интеллект (AI), машинное обучение (ML) или глубокая аналитика (DA).

Появление новичков взбодрило заслуженных игроков рынка. Они добавили решениям функциональности, изменили позиционирование и в основном выжили (хотя пострадал Symantec). Судьба компаний с решениями нового поколения при этом сложилась неплохо: кого-то купили (CarbonBlack, EndGame, Cylance), другие успешно вышли на IPO (CRWD, SentinelOne). CrowdStrike была особенно удачлива даже на этом фоне. Почему так получилось?

Большая идея CrowdStrike

Агент CrowdStrike Falcon действительно очень «легкий»: просто устанавливается, управляется из облака, но этим качеством могут похвастаться решения и других компаний. Причины успеха CRWD не связаны с производительностью или «облачностью» и лежат в другой плоскости.

Основатели компании, видимо еще будучи сотрудниками McAfee, много общались с представителями большого бизнеса, госорганизациями в США, силовыми структурами и сумели уловить их главные «боли» и печали:

• Гигантские бюджеты на информационную безопасность не спасали от хакерских взломов.
• Взломы были успешными для хакеров, обнаруживались слишком поздно и с непредсказуемыми последствиями.
• Взломщики были безликим злом. Кибербез-компании, включая антивирусных вендоров, уже начали систематизировать события и вычислять группировки, но не решались на обвинение стран и конкретных людей без веских доказательств. Атрибуцировать группировки хакеров действительно сложно. Злоумышленники могут оставлять комментарии в коде на чужом языке и работать в другом часовом поясе. Например, как правильно атрибуцировать группировку из мексиканцев, аргентинцев, монголов и американцев, если для прикрытия они переписываются на русском?

CrowdStrike сложности атрибуции не испугали, она решилась использовать все упомянутые «боли» и со слоганом «we stop breaches» поставила цель: своевременно выявить, остановить и идентифицировать хакеров. Первые два пункта отозвались в сердцах представителей большого бизнеса, третий – у госслужащих и военных. Так CRWD заполучила в качестве первых клиентов крупные компании, обеспечив себе устойчивый воспроизводимый доход и лояльность государства. Идея стала развиваться.

Продукты

У CrowdStrike было три ноу-хау: автоматическая блокировка вредоносных действий, собирающие данные облачные алгоритмы и автоматическое распознавание хакерских группировок прямо в продукте. Компания стала первой, кто мог вычислить хакера именно так, можно сказать, сразу, все остальные делали это на этапе расследований.

Расшифровывать результаты отслеживания хакеров так, чтобы они были понятны всем, компания пока не научилась. Лучше всего продукты CrowdStrike по-прежнему работают из рук CrowdStrike. Постепенно у пользователей появляются вопросы к качеству обнаружения, ложным срабатываниям и скорости работы продукта в некоторых ситуациях.

Как работа на благо превратилась в маркетинг

CrowdStrike провела в свое время мощную кампанию, посвященную глобальной задаче: не просто защищать клиентов, а останавливать и «прогонять» хакеров из сетей любого масштаба и сложности.

2014 год: Минюст США, основываясь на расследовании CrowdStrike, предъявляет пяти гражданам Китая обвинения в хакерстве и промышленном шпионаже в интересах КНР: раскрытие коммерческой тайны и подстегивание недобросовестной конкуренции. Обвиняемые запрашивают доказательства, прикрываясь свежей историей Эдварда Сноудена, но Минюст США непреклонен. CRWD же получает известность и контракты на другие расследования.

В том же 2014-ом CrowdStrike расследует атаку на Sony Pictures и по почерку узнает хакеров из КНДР: по опискам в словах и манере написания кода (и, возможно, потому что взломщики требовали снять с проката комедию про Ким Чен Ына).

Известность получена. О компании начинают говорить как о той, которую нужно звать, если в сети завелись хакеры. CrowdStrike отвечает на это новыми отчетами с разоблачениями и историями о том, как атакующие убегают, стоит им только увидеть в сети решение Falcon от CRWD.

Беспощадной атрибуции подвергается все и вся. Любой взлом подается как активность государственных группировок из неблагонадежных стран. Все для великой цели: поддержание уровня известности и месседжа «мы боремся с хакерами». Причинами атрибуции становятся: комментарии в коде на языке Х (корейский – значит корейцы!), время работы группировки (если совпадает с пекинским, то это точно китайцы), наличие адресата их компании-жертвы в списке фишинговой рассылки. Как говорится, если что-то ходит как утка – это точно утка, даже если оно не крякает и не плавает. Доходило до смешного.

2016 год: CRWD обвиняет российскую группировку Fancy Bear во взломе Android-приложения, которое использовали украинские военные для наведения гаубиц советского производства в конфликте на Донбассе. В результате, по предположению CrowdStrike, Украина потеряла 80% всех имеющихся гаубиц Д-30. Забавно, что удивилась сама украинская армия, ответив, что столько гаубиц она все-таки не теряла.

122-м гаубица Д-30, принята на вооружение ВС СССР 12 мая 1960 года

Самой громкой компании в сфере кибербезопасности всегда достается самый большой кусок пирога. В 2016-м CrowdStrike привлекают к расследованию взлома серверов Демократической партии США перед выборами. Компания уверенно обвиняет во всем сразу две российские хакерские группировки. Представленные Конгрессу доказательства выглядят примерно так: «мы показали свои выводы специалистам из FireEye и ThreatConnect, они согласны. Это точно были Cozy Bear (APT 29) и Fancy Bear (APT 28)».

Выстрелить еще ярче уже не реально. CrowdStrike любила и любит публичность, имидж борца с хакерами, но все-таки планировала работать в бизнес-сообществе, а не на политической арене. В 2020-м компанию покидают директор по маркетингу Джоанна Флауэр и СТО Дмитрий Альперович, и активность CRWD в публичной ловле хакеров утихает, но имидж беспощадных борцов закрепился за ней надолго.

Сегодня и завтра

Компания продолжает расти, в том числе технологически, и, кажется, приходит к выводу, что для полноценного выявления и остановки хакеров одной защиты конечных точек все-таки недостаточно. CrowdStrike предпринимает шаги для создания полноценной платформы и к EDR добавляет в 2021 году log management-решение Humio. Компания встала на длинный путь, многое будет зависеть от того, насколько успешно она справится с масштабированием бизнеса:

• Масштабирование «снаружи» потребует от продуктов автономности, кратно растить количество мониторящих клиентов экспертов все-таки не получится.
• Масштабирование «внутри» предполагает создание эффективных процессов для разработки продуктов ― управлять 6000 человек сложнее, чем 60. Кризис уже потихоньку затрагивает CrowdStrike: в последних тестах MITRE и AV-Comparatives CRWD ― уже не самый быстрый, не лучше всех ловит атаки и к тому же грешит ложными срабатываниями чаще других. Часть этих проблем адресуется продажей сервисов по управлению и реагированию вместе с продуктами, но это не вечная история.

Аналитики прогнозируют дальнейшее снижение роста продаж с 82% до 60-70% в год, но темп все же огромный. Сложно представить, что в ближайшее время на западном рынке кибербезопасности появится компания, которая при таких масштабах будет расти на том же уровне.

Выводы

Идеи CrowdStrike получили самую большую капитализацию на рынке международной кибербезопасности. Компания предложила таблетку от «болей» и страхов большого бизнеса и государства ― реальную ловлю и обезвреживание хакеров вместо стандартной антивирусной защиты.

На практике решить настолько глобальную задачу в полном объеме CrowdStrike пока не может. Эксперты отмечают, что платформа компании способна распознать далеко не все векторы хакерских атак, а рост продаж некоторые объясняют удачными маркетинговыми приемами. Хотя пока у CrowdStrike нет настолько сильной технологической подготовки, компания продолжает расти. Несложно представить, какой успех ее ожидает после того, как она по-настоящему научится выявлять хакеров и даст возможность клиентам останавливать их с помощью собственной службы информационной безопасности.

Ждем ответного хода от Positive Technologies. Следите за новостями инвестиций в кибербез и IT в телеграм-канале компании IT's positive investing.