Tìm hiểu CrowdStrike: Big Data, Artificial Intelligence, và Cybersecurity

• Nền tảng Falcon của CrowdStrike tận dụng dữ liệu quy mô đám mây và trí tuệ nhân tạo để cung cấp khả năng bảo vệ điểm cuối.
• Nền tảng Falcon vượt xa các chỉ báo phản ứng về sự thỏa hiệp (IOC) được sử dụng bởi các giải pháp cũ, sử dụng các chỉ báo chủ động về tấn công (IOA) và học máy để xác định các mối đe dọa đã biết và chưa biết.
• Tổng thị trường của công ty dự kiến sẽ đạt 32 tỷ đô la vào năm 2022.
• CrowdStrike đã tăng trưởng doanh thu 98% hàng năm kể từ năm 2017. Đồng thời, lượng khách hàng của công ty đã tăng trưởng 102% hàng năm.
• Cổ phiếu của CRWD thường dành các nhà đầu tư dài hạn

Tổng quan vềCrowdStrike

Nền tảng CrowdStrike Falcon là một giải pháp an ninh mạng tập trung vào việc bảo vệ các điểm cuối. Điểm cuối bao gồm những thứ như máy tính xách tay, máy tính để bàn, thiết bị di động, thiết bị IoT, máy chủ, máy ảo và trung tâm dữ liệu.

CrowdStrike Falcon là sự kết hợp của hai công nghệ độc quyền: (1) Cảm biến nhẹ thông minh (Intelligent Lightweight Sensor) và (2) Đồ thị mối đe dọa (Threat Graph). Nó được gọi là Thế hệ bảo mật tiếp theo, khác với các giải pháp Endpoint thông thường truyền thống khác của Sym, Kaspersky, Eset, Sophos, Trend Micro…

• Intelligent Lightweight Sensor: Được tải xuống thiết bị đầu cuối, cung cấp khả năng phát hiện và ngăn chặn. Tác nhân ‘nhẹ’ vì nó giảm tải lượng điện toán nặng cho Đồ thị Đe dọa dựa trên đám mây, trong khi vẫn giữ được khả năng xử lý dữ liệu, sử dụng máy học và bảo vệ điểm cuối ngay cả khi thiết bị ngoại tuyến.
• Threat Graph: Đây là cơ sở dữ liệu đồ thị dựa trên đám mây sử dụng trí tuệ nhân tạo và các thuật toán hành vi để phân tích dữ liệu được truyền trực tuyến bởi Lightweight Sensor. Người dùng có quyền truy cập vào khả năng hiển thị và thông tin chi tiết theo thời gian thực, trong phạm vi đăng ký của họ, thông qua giao diện người dùng của CrowdStrike (CrowdStrike platform user interface).

Cách tiếp cận này – device-based Lightweight Sensor and a cloud-based Threat Graph- có nghĩa là CrowdStrike có thể thu thập một lượng lớn dữ liệu, sau đó chạy các thuật toán trí tuệ nhân tạo và phân tích hành vi dựa trên dữ liệu đó để thu thập thông tin chi tiết, tất cả mà không gia tăng khối lượng (gánh nặng) cho điểm cuối. Đây là một lợi ích so với các giải pháp cũ, nơi dữ liệu thường được lưu trữ và xử lý trên điểm cuối, tiêu tốn một lượng đáng kể  CPU trong quá trình này. Để so sánh, Lightweight Sensor của CrowdStrike chiếm khoảng 20MB dung lượng và sử dụng ít hơn 1% chi phí CPU.

Ngoài ra, so với các giải pháp bảo mật tại chỗ, CrowdStrike cũng mang lại lợi thế về chi phí. Theo ước tính nội bộ, Threat Graph dựa trên đám mây của CrowdStrike làm giảm tổng chi phí sở hữu bảo vệ điểm cuối xuống 7,5 lần.

Tóm lại, nền tảng Falcon của CrowdStrike hiệu quả hơn và hiệu quả hơn các giải pháp kế thừa, do khả năng tận dụng dữ liệu quy mô đám mây và AI để xác định các mối đe dọa. Điều này được bổ sung bởi thực tế là CrowdStrike sử dụng IOC và học máy để phát hiện cả phần mềm độc hại đã biết và chưa biết và IOA để xác định các mối đe dọa phức tạp hơn. Để so sánh, các giải pháp kế thừa có xu hướng tập trung vào IOC (chữ ký), có nghĩa là các giải pháp này chỉ thành thạo trong việc xác định phần mềm độc hại đã biết và chỉ khi phần mềm đã được cập nhật gần đây. Ngoài ra, các giải pháp cũ thường tạo gánh nặng cho điểm cuối bằng cách xử lý và lưu trữ dữ liệu trên thiết bị.

Nền tảng CrowdStrike Falcon

Nền tảng Falcon của CrowdStrike được chia thành ba phân đoạn (segments) khác nhau: endpoint security, security & IT operations, và threat intelligence. Và mỗi segments lại được chia thành các ứng dụng phần mềm (mô-đun) khác nhau, tất cả đều tận dụng Lightweight Sensor & Threat Graph để bảo vệ các điểm cuối. Hình ảnh bên dưới mô tả toàn bộ Nền tảng Falcon, từ Cảm biến nhẹ dựa trên thiết bị, đến Biểu đồ đe dọa dựa trên đám mây, cho đến các mô-đun phần mềm khác nhau.

Mô hình business kiểu SaaS của CrowdStrike cho phép khách hàng đăng ký các mô-đun phần mềm khác nhau. Những khách hàng muốn quản lý bảo mật điểm cuối của họ có ba tùy chọn: Falcon Pro, Falcon Enterprise hoặc Falcon Premium.

Tùy chọn thứ tư tồn tại cho những khách hàng muốn có giải pháp chìa khóa trao tay, được quản lý đầy đủ để bảo mật điểm cuối: Falcon Complete. Với tùy chọn này, nhóm chuyên gia của CrowdStrike chịu hoàn toàn trách nhiệm quản lý bảo vệ điểm cuối của khách hàng. Falcon Complete đi kèm với bảo hành ngăn ngừa vi phạm trị giá 1 triệu đô la.

Mặc dù hiện CrowdStrike cung cấp tổng cộng 11 mô-đun phần mềm khác nhau, bài viết sau sẽ tập trung vào 5 trong số này, vì chúng đại diện cho  chiến lược bảo vệ điểm cuối cốt lõi nhất của CrowdStrike: Falcon Prevent, Falcon Insight, Falcon Discover, Falcon OverWatch và FalconX.

1. Falcon Prevent: Next-generation antivirus (NGAV)

được thiết kế để thay thế các giải pháp chống vi-rút cũ. Sản phẩm này là phần phòng ngừa của bảo mật điểm cuối (endpoint security). Falcon Prevent sử dụng máy học để xác định cả phần mềm độc hại đã biết và chưa biết, ngay cả khi thiết bị ngoại tuyến. Falcon Prevent cũng sử dụng các chỉ số tấn công dựa trên hành vi (IOA), thay vì chỉ tập trung vào các chỉ số thỏa hiệp (IOC) như chữ ký, để xác định các mối đe dọa phức tạp hơn, chẳng hạn như ransomware và các cuộc tấn công không có phần mềm độc hại. Vì những lý do này, Falcon Prevent tự phân biệt mình là một lựa chọn hiệu quả hơn, ít xâm phạm hơn so với các giải pháp kế thừa (giải pháp truyền thống).

Tải Datasheet: falcon-prevent-data-sheet

2. Falcon Insight

Phần mềm phát hiện và phản hồi điểm cuối (EDR), được thiết kế để tăng cường cho Falcon Prevent. Vì có thể không thể tránh khỏi, một số mối đe dọa sẽ lọt qua lớp phòng thủ chống vi-rút. Trong những trường hợp này, phần mềm EDR là rất quan trọng. Falcon Insight liên tục giám sát tất cả các điểm cuối, phân tích dữ liệu trong thời gian thực và tự động xác định các mối đe dọa. Dữ liệu này được truyền trực tuyến đến nền tảng CrowdStrike, nơi các mối đe dọa được ưu tiên một cách thông minh, cho phép các nhóm bảo mật nhanh chóng điều tra và phản hồi các cảnh báo.

Tải Datasheet: falcon-insight-data-sheet

3. Falcon Discover

Phần mềm dạng IT Hygiene, được thiết kế để theo dõi thời gian thực việc sử dụng ứng dụng và tài khoản. Điều này cho phép các nhóm CNTT và bảo mật xem ai đang ở trên mạng của họ, họ đang sử dụng thiết bị nào và họ đang chạy ứng dụng nào. Falcon Discover cảnh báo tới team CNTT về việc ai đó đang sử dụng các hệ thống hoặc ứng dụng trái phép.

4. Falcon OverWatch

Đây là một dịch vụ quản lý tìm kiếm mối đe dọa (hay được gọi là săn tìm mối đe dọa), được cung cấp bởi một nhóm các chuyên gia an ninh mạng liên tục săn lùng, điều tra và tư vấn cho khách hàng về các mối đe dọa tinh vi. Dịch vụ này được thiết kế để giúp tăng cường  an ninh mạng nội bộ của khách hàng, giảm chi phí nhân sự nội bộ. Bằng cách liên kết với các chuyên gia được đào tạo chuyên sâu của CS, Falcon OverWatch giúp phát hiện các cuộc tấn công lén lút, tiên tiến nhất.

5. FalconX

Phần mềm cảnh báo về mối đe dọa, được thiết kế để tự động hóa việc tìm ra các sự cố với thời gian phản hồi nhanh hơn, đặc biệt là đối với các nhóm có ít thời gian hoặc chuyên môn để quản lý an ninh mạng nội bộ. Trong khi các giải pháp NGAV và EDR ở trên cho biết điều gì đang xảy ra trên một điểm cuối, FalconX cung cấp thông tin chi tiết sâu hơn về “ai, tại sao và như thế nào” đằng sau cuộc tấn công. Điều này cho phép khách hàng tiếp cận việc bảo mật một cách chủ động, thay vì phản ứng. Ví dụ: nếu IOC được phát hiện, FalconX cung cấp IOC tùy chỉnh từ cùng một họ phần mềm độc hại để bảo vệ khỏi các cuộc tấn công liên quan. Ngoài ra, dịch vụ này bao gồm cảnh báo mối đe dọa theo thời gian thực và phân tích chuyên gia từ nhóm bảo mật của CrowdStrike.

Cơ hội thị trường

Trong tài liệu S-1 của CrowdStrike, quản lý chỉ ra ba yếu tố thúc đẩy nhu cầu bảo mật điểm cuối: (1) điện toán đám mây, (2) nhu cầu làm việc từ xa và (3) sự phát triển của các thiết bị được kết nối. Ba yếu tố này đã dẫn đến việc mở rộng khối lượng công việc trên một loạt các điểm cuối.

Theo Báo cáo Internet hàng năm của Cisco (CSCO), số lượng thiết bị được kết nối sẽ đạt 29,3 tỷ vào năm 2023, tăng từ 18,4 tỷ vào năm 2018. Điều này có nghĩa là số lượng thiết bị được kết nối đang tăng ở mức ~ 10% mỗi năm. Sự gia tăng này có nghĩa là nhiều dữ liệu nhạy cảm hơn được lưu trữ trên nhiều thiết bị đầu cuối hơn. Điều đó cũng có nghĩa là số lượng surfaces  bị  tấn công ngày càng tăng và những surfaces này cần được bảo vệ.

Vào tháng 9 năm 2020, CrowdStrike đã cập nhật ước tính tổng thị trường mà họ có thể đạt được lên 32 tỷ đô la vào năm 2022, tương ứng với CAGR 9%. Theo CrowdStrike’s S-1, phần lớn cơ hội thị trường của họ đến từ các giải pháp bảo mật được quản lý, chẳng hạn như Falcon OverWatch và Falcon Complete.

CrowdStrike đang thực hiện tốt trên thị trường. Năm 2019, công ty được vinh danh là công ty dẫn đầu trong Gartner Magic Quadrant for Endpoint Protection Platforms năm thứ ba liên tiếp.

Nguồn: Gartner

Additionally, the very nature of CrowdStrike’s platform creates a strong network effect. As more endpoint data is gathered, there is more information with which to train the AI-powered Threat Graph, which makes the Threat Graph more intelligent. This means that each new customer benefits from all existing customers and vice versa because each customer represents another source of data.

Ngoài ra, bản chất của nền tảng CrowdStrike tạo ra hiệu ứng mạng mạnh mẽ. Khi nhiều dữ liệu điểm cuối được thu thập, sẽ có nhiều thông tin hơn để đào tạo Đồ thị mối đe dọa do AI hỗ trợ (AI-powered Threat Graph), làm cho Threat Graph thông minh hơn. Điều này có nghĩa là các khách hàng mới được hưởng lợi từ tất cả các khách hàng hiện tại và ngược lại vì mỗi khách hàng đại diện cho một nguồn dữ liệu khác.

Nhưng CrowdStrike có một lợi thế cạnh tranh khác: chi phí chuyển đổi cao. Khi khách hàng đang sử dụng nền tảng của CrowdStrike, việc chuyển sang nhà cung cấp khác sẽ không chỉ bất tiện mà còn tốn kém về thời gian và tiền bạc. Quan trọng hơn, chi phí chuyển đổi liên quan đến nền tảng của CrowdStrike đang tăng lên. Giám đốc điều hành George Kurtz đã nói chuyện với điều này trong cuộc gọi thu nhập quý 2 năm 20, nói rằng tỷ lệ duy trì ròng tính theo đô la duy trì trên 120% – điều này cho thấy rằng khách hàng hiện tại đang chi tiêu nhiều hơn mỗi năm. George Kurtz giải thích thêm về điểm này, nói:

Trong quý này, tỷ lệ tất cả khách hàng đăng ký có thêm bốn mô-đun tăng lên 57% và những KH có năm mô-đun trở lên tăng lên 39%.

Đây là bằng chứng cho thấy chi phí chuyển mạch ngày càng tăng. Khách hàng chỉ sử dụng một mô-đun có thể thấy việc chuyển đổi nhà cung cấp tương đối dễ dàng. Nhưng đối với những khách hàng sử dụng nhiều mô-đun, việc chuyển sang một nhà cung cấp khác sẽ là một quá trình khó khăn hơn. Nói cách khác, chi phí chuyển đổi tăng lên khi khách hàng mua nhiều mô-đun hơn. Tóm lại là KH dùng nhiều Module của CS thì khi chuyển đổi sẽ tốn thời gian và tiền bạc nhiều hơn, điều này giúp CS có lợi thế là giữ chân khách hàng

Về tài chính

CrowdStrike đã phát triển nhanh chóng trong những năm gần đây. Kể từ năm 2017, khách hàng của họ đã tăng 102% mỗi năm. Điều này được thể hiện trong biểu đồ bên dưới:

Bất chấp đại dịch toàn cầu, sự tăng trưởng khách hàng mạnh mẽ của CrowdStrike vẫn tiếp tục vào năm 2020. Trong Q1 và Q2, mức tăng trưởng khách hàng lần lượt là 105% và 91% YoY.

Sự tăng trưởng nhanh chóng về khách hàng đã dẫn đến tăng trưởng doanh thu nhanh chóng. Kể từ năm 2017, doanh thu của CrowdStrike đã tăng trưởng 98% mỗi năm. Điều này được thể hiện trong biểu đồ bên dưới:

Sự tăng trưởng mạnh mẽ của CrowdStrike đã tiếp tục đến năm 2020. Trong Q1 và Q2, họ báo cáo doanh thu tăng trưởng lần lượt là 85% và 84% YoY.

Ngoài ra, tỷ suất lợi nhuận gộp đang được mở rộng, tăng từ 54% (2017) lên 71% (2019). Xu hướng này cũng tiếp tục diễn ra vào năm 2020, khi tỷ suất lợi nhuận gộp đạt 72,7% trong quý gần đây nhất. Việc mở rộng tỷ suất lợi nhuận này là kết quả trực tiếp của mô hình kinh doanh SaaS hiệu quả cao của CrowdStrike.

Mặc dù tăng trưởng doanh thu khủng và tỷ suất lợi nhuận gộp cao, CrowdStrike hiện không có lãi. Tại thời điểm này, ban lãnh đạo tập trung vào việc phát triển kinh doanh và mở rộng tệp khách hàng, điều này là hợp lý khi có cơ hội thị trường. Nhưng với tỷ suất lợi nhuận gộp trên 70% và doanh thu tăng trưởng trên 80% mỗi năm, công ty có tiềm năng sinh lời đặc biệt trong tương lai.

Bảng cân đối kế toán của CrowdStrike đang ở tình trạng tuyệt vời, với hơn 1 tỷ đô la tiền mặt và các khoản tương đương so với chỉ 44,8 triệu đô la nợ  dài hạn, với tỷ lệ nợ trên vốn chủ sở hữu là 0,06 lần.

Tương tự như vậy, báo cáo lưu chuyển tiền tệ có vẻ tốt hơn mỗi quý. CrowdStrike hiện đã công bố dòng tiền hoạt động tích cực trong bốn quý liên tiếp. Và trong Q2’20, dòng tiền tự do đạt 177 triệu USD, đánh dấu mức tăng trưởng đáng kể so với 12,5 triệu USD được báo cáo trong Q4’19.

Tóm lại, loại trừ việc chưa có lợi nhuận, báo cáo tài chính của CrowdStrike trông rất tuyệt vời.

Rủi ro & Định giá

Đối với một công ty không có lợi nhuận, CrowdStrike giao dịch với mức định giá đặc biệt cao.

Như đã chỉ ra ở trên, CrowdStrike hiện giao dịch với doanh thu hơn 43 lần, cao hơn nhiều so với mức trung bình của S&P 500 là 2,5 lần. Mặc dù điều này không có gì bất thường trong thị trường ngày nay, nhưng các nhà đầu tư không nên tự mãn về những chỉ số này. Khi đầu tư vào một công ty như CrowdStrike, điều quan trọng cần nhớ là một chút tin tức xấu nhỏ nhất cũng có thể làm giảm giá cổ phiếu từ 20% trở lên.

Phải nói rằng, tôi không nghĩ rằng mức định giá hiện tại sẽ làm mất lòng các nhà đầu tư tiềm năng. Nếu tăng trưởng doanh thu của CrowdStrike vẫn trên 80% trong bốn quý tới, tỷ lệ PS sẽ rơi vào giữa 20 (nếu giá không thay đổi). Vẫn cao, nhưng không thái quá. Nhưng  dự đoán trên quan điểm rằng CrowdStrike sẽ tiếp tục phát triển nhanh chóng.

Nếu doanh thu hoặc tăng trưởng khách hàng đột ngột giảm tốc, đặc biệt là do vi phạm đã được công bố rộng rãi, thì điều đó sẽ gây khó khăn hơn nhiều cho các nhà đầu tư.

Phần kết luận

Trong thế giới số hóa ngày nay, số lượng thiết bị đang tăng lên nhanh chóng, ở mức ~ 10% mỗi năm. Không chỉ vậy, ngày càng có nhiều công ty sử dụng các giải pháp điện toán đám mây và ngày càng có nhiều nhân viên làm việc từ xa. Điều này có nghĩa là dữ liệu nhạy cảm hơn đang được truy cập bởi số lượng ngày càng tăng của các điểm cuối dễ bị tấn công, mỗi điểm trong số đó đại diện cho một bề mặt tấn công tiềm năng. Và đó là nơi nền tảng Falcon của CrowdStrike hoạt động.

CrowdStrike Falcon tận dụng dữ liệu lớn và trí tuệ nhân tạo để bảo vệ các điểm cuối này, tạo ra hiệu ứng mạng mạnh mẽ và chi phí chuyển đổi cao trong quá trình này. Kết quả là, cơ sở khách hàng của CrowdStrike đã tăng trưởng 102% mỗi năm kể từ năm 2017 và doanh thu tăng 98% mỗi năm trong cùng khoảng thời gian.

Nhưng cơ hội thị trường là rất lớn và CrowdStrike chỉ mới nhận ra một phần nhỏ giá trị tiềm năng của nó. Vì lý do này, CrowdStrike là một khoản đầu tư dài hạn tuyệt vời.

This article was written by Trevor Jennewine