Как CrowdStrike защищает облака от хакеров
Компания использует в антивирусном ПО алгоритмы на основе искусственного интеллекта
В 2011 г. топ-менеджеру производителя антивирусного софта McAfee Джорджу Курцу, летевшему в командировку, пришлось испытать острое чувство стыда за свою компанию. Его сосед по бизнес-классу включил ноутбук, но, вместо того чтобы уткнуться в экран, стал сначала разговаривать с бортпроводником, потом перебирать бумаги. Ноутбук оказался готов к работе минут через 15: антивирус McAfee начал сканирование системы при старте, забрав под себя все ресурсы компьютера, и на четверть часа сделал невозможной работу других программ. Согласно корпоративной легенде, именно тогда Курц понял, что прежняя модель антивирусов устарела и будущее за облачными технологиями безопасности. Он уволился из McAfee и основал компанию CrowdStrike. Сейчас, через 11 лет, ее капитализация превышает $43 млрд, хотя компания стала единорогом стоимостью более $1 млрд лишь в мае 2017 г. Такому взлету частично помог случай.
В 2016 г. именно в CrowdStrike позвонил юрист национального комитета демократической партии США (DNC) и поделился опасениями, что компьютеры комитета взломали. Специалисты CrowdStrike, FireEye и ThreatConnect, работавшие вместе, объявили, что виновники – русские хакеры. «DNC попросил нас обнародовать эту новость, поэтому мы опубликовали сообщение в блоге», – рассказывал Курц сингапурской газете The Straits Times. Вряд ли найдется много людей, не слышавших о скандале с подозрениями относительно российского вмешательства в американские выборы. Как писал Forbes, за следующие 12 месяцев после того сообщения в блоге количество контрактов CrowdStrike стоимостью более $1 млн увеличилось в 5 раз.
Первый стартап
51-летний Курц родом из Нью-Джерси. В 10 лет ему подарили его первый компьютер. «Я начал писать видеоигры, а в старших классах создавал доски интернет-объявлений, – рассказывал он в интервью журналу Inc. – Тогда я впервые столкнулся с хакерами и понял, что безопасность – дело нешуточное».
Курц пошел изучать финансы в Университет Сетон-Холл (Нью-Джерси), а потом устроился бухгалтером в Price Waterhouse. «У нас был на всех один компьютер, бухгалтерию мы вели вручную», – вспоминал он в разговоре с Inc. Курц написал программу, которая автоматически извлекала все нужные данные из компьютерных систем клиентов, вместо того чтобы переписывать их вручную. «Довольно быстро начальство прослышало, что я разбираюсь в компьютерах, и я стал в 1993 г. пятым сотрудником в только что созданной службе интернет-безопасности», – говорил он (здесь и далее цитаты по The Straits Times).
В 1998 г. Курц перешел в Ernst & Young с повышением, став старшим менеджером в их службе кибербезопасности: он искал и закрывал дыры в системах клиентов, через которые их могли атаковать хакеры. Его опыт вошел в книгу Hacking Exposed, которую он опубликовал в 1999 г. с соавторами Стюартом Маккларом и Джоэлом Скембреем, она переведена более чем на 30 языков (в том числе на русский под названием «Секреты хакеров») и разошлась тиражом свыше 600 000 экземпляров. Авторов этого труда упрекали в том, что получилось готовое пособие не только по предотвращению, но и по организации атак. Но Курц парировал: если информация каким-то образом стала известна, нет смысла ее замалчивать – тот, кому надо, все равно ее найдет. «Лучше распространять знания, чтобы мир стал лучше подготовлен к атакам хакеров», – объяснял он.
Открытие собственной компании было для Курца вопросом времени. В 1999 г. он с товарищами основал в Нью-Джерси стартап Foundstone, выпускавший ПО для обнаружения уязвимостей в компьютерных сетях. Команда из шести человек спала на дешевых матрасах в арендованном доме – так экономили на гостинице. Потом они выиграли контракт Microsoft, перебрались в Сиэтл, и дела пошли к гору. В 2004 г. стартап поглотила за $86 млн компания McAfee, а Курц стал ее вице-президентом.
Решение продать собственный бизнес и снова превратиться в наемного работника далось Курцу нелегко. Фактически он уступил давлению своих инвесторов. «Был фонд, который [с момента основания] инвестировал в Foundstone, – объяснял он. – После кровавой бойни 2001 г. (когда лопнул пузырь доткомов. – «Ведомости») мы оставались одной из немногих компаний в их портфеле, которые сколько-нибудь стоили. И они настояли на продаже».
Уход в облака
В McAfee Курц дослужился до поста глобального технического директора. Вот как, по его словам, это произошло. Раз в год ему звонили из инвесткомпании Warburg Pincus, которая некогда инвестировала в его прежний стартап, и спрашивали, не надумал ли он основать новый бизнес – они готовы вложить деньги. В какой-то момент Курц практически поддался на уговоры и сказал гендиректору McAfee Дэйву Деуолту, что собирается уволиться. Тот в ответ предложил должность глобального технического директора. «Два раза я отказался, а на третий согласился. Это оказалось мудрым решением. На этой должности я гораздо лучше разглядел общую картину антивирусной индустрии», – рассказывал Курц.
После случая в самолете, когда Курц увидел со стороны недостатки ПО от McAfee, он сам связался с инвесткомпанией Warburg Pincus. Курц показал им по Skype презентацию из 25 слайдов – идею стартапа под названием CrowdStrike. В итоге он получил $25 млн финансирования. «Фактически мне дали по $1 млн за каждый слайд. Мы потом шутили, что надо было делать презентацию из 30 слайдов», – говорил Курц Inc.
Ключом к успеху CrowdStrike, по словам Курца, было то, что стартап изначально строился как облачная компания. Программа на компьютере клиента передает информацию на сервер, а уже там проходят основные вычисления. Это породило некоторые проблемы, признавался Курц интернет-изданию The Business Journals. Многие клиенты сомневались, не трюк ли это и не использует ли антивирус на самом деле мощности их компьютера. Другие клиенты, напротив, требовали антивирус, для работы которого не нужно подключение к интернету, и в итоге выбирали решения конкурентов. «Не припомню, сколько раз люди говорили, что наше решение отличное, но им нужна версия для локального использования. А мы отвечали, что такой версии просто не существует», – вспоминал Курц. Однако благодаря облачным технологиям у CrowdStrike оказалось немало преимуществ. Например, ее софт легко устанавливать – Курц любит приводить в пример клиента (не раскрывая, о какой точно компании речь), который смог перевести десятки тысяч своих компьютеров с программных средств защиты информации Microsoft на CrowdStrike всего за один уикенд.
CrowdStrike
IT-компания
Акционеры (данные Refinitiv): почти 100% акций – в свободном обращении, крупнейшие институциональные инвесторы – The Vanguard Group (5,97%), Jennison Associates LLC (4,37%), BlackRock Institutional Trust Company (4,11%).
Капитализация – $43,1 млрд.
Финансовые показатели (девять месяцев финансового года, завершившиеся 31 октября 2021 г.):
выручка – $1,02 млрд,
чистый убыток – $190,6 млн.
Основана в 2011 г. Джорджем Курцем, Дмитрием Альперовичем и Грегом Марстоном. Штаб-квартира находится в Саннивейле (Калифорния, США). Ведет деятельность в основном в США, а также в Австралии, Германии, Индии, Израиле, Румынии и Великобритании. Является поставщиком облачных решений для обеспечения кибербезопасности с применением искусственного интеллекта. Платформа CrowdStrike Falcon защищает процессы, выполняемые в локальной, виртуальной и облачной среде на стационарных компьютерах, ноутбуках, серверах и виртуальных машинах. Платформа содержит 21 облачный модуль: обеспечение безопасности и управление уязвимостями, антивирус, модуль защиты личности, модуль управления IT-операциями и др. По данным компании на 31 октября 2021 г., количество открытых подписок на продукты компании составляет 14 687. В июне 2019 г. акции компании начали торговаться на NASDAQ, в августе 2021 г. акции CrowdStrike были включены в состав индекса NASDAQ 100.
На страницах Fortune Курц сравнивал противостояние с хакерами со стремительным воздушным боем: «Нам нужно работать с той же скоростью, что и хакеры, и не отставать от них». Поэтому CrowdStrike использует облако, где вычисления происходят быстрее, чем на отдельном компьютере. Говоря о своей компании, Курц любит приводить в пример фирму Siebel, которая некогда была лидером рынка CRM-систем, но ее переиграла компания Salesforce, предложившая облачные CRM-решения.
По той же причине Курц не пошел по проторенному пути, когда в базу данных закачиваются образцы известных вредоносных программ и содержимое памяти компьютера сравнивают с ними. Его антивирус действует иначе: алгоритмы на основе искусственного интеллекта и машинного обучения ищут действия, которые могут оказаться атакой, и временно блокируют их. Курц рассказывал детали Inc: «Мы можем понять, что это вредоносный код, даже если никогда раньше с ним не встречались <...> Как только поведение идентифицируется как вредоносное, данные о нем и профиль хакера передаются в облако, и все наши клиенты получают иммунитет от взлома. Таким образом, вы работаете в масштабе всего облака, а не одного компьютера». Правда, как признался Курц в разговоре с Forbes, у этой практики есть оборотная сторона – ложные срабатывания (такие жалобы поступали от клиентов).
Как Курц рассорился с другом
Кроме Курца соучредителями CrowdStrike стали бывший вице-президент McAfee с российскими корнями Дмитрий Альперович и Грег Марстон, который работал у Курца финансовым директором в Foundstone. У компании мог бы быть еще один сооснователь – давний друг Курца Стюарт Макклар. Но этого не случилось, и, больше того, Курц и Макклар, дружившие с 1998 г., поссорились.
Макклар был одним из основателей Foundstone и позже уверял Forbes, что именно он придумал стартап и созвал остальных: «Джордж [Курц] умолял меня стать гендиректором [Foundstone], но я сказал, что стану президентом, а гендиректором пусть будет он». Курц и опрошенные Forbes соучредители оспаривают эту версию: по их словам, основатели Foundstone выбрали Курца гендиректором большинством голосов.
Еще Макклар настаивал, что имя Курца не должно было появиться на обложке книги Hacking Exposed: «Он написал всего одну главу <...> Я поставил его в соавторы, потому что я хороший парень». Курц же уверяет, что написал почти треть книги, потратив на это полгода.
Когда Foundstone была поглощена McAfee, Курц и Макклар перешли на работу к новому владельцу. Оба побывали в кресле глобального технического директора: Макклар занял эту должность после ухода Курца. А затем Макклар отказал другу, когда тот позвал его присоединиться к основателям CrowdStrike. Сам он причины не раскрывал, а Курц уверял, что Макклар потребовал необоснованно большую долю в стартапе.
В июне 2012 г. Макклар тоже уволился из McAfee и основал стартап по кибербезопасности Cylance, став злейшим соперником Курца с его CrowdStrike. Их штаб-квартиры были в 10 минутах езды друг от друга в Ирвине (Калифорния). В 2019 г. Cylance была поглощена BlackBerry за $1,4 млрд, а оставшаяся независимой CrowdStrike в том же году провела IPO. В первый же день торгов капитализация компании составила $11,4 млрд – почти как у Symantec, гранда в сфере информационной безопасности. Но выручка стартапа Курца составляла всего 6% от выручки Symantec, и в отличие от нее CrowdStrike была убыточной. Успех IPO Курц объяснял в интервью The Business Journals тем, что инвесторы верят в облачные технологии, а также годами подготовительной работы перед выходом на биржу: «Когда мы участвовали в роуд-шоу, мы уже были лично знакомы с большинством людей, с которыми встречались, они следили за нашим прогрессом много лет». А после нелегкого пути на биржу, шутил он, наконец-то появится время отдохнуть и заново познакомиться со своей семьей (у Курца двое детей, которым сейчас 20 и 23 года). И заняться хобби – он любит погонять на McLaren 570s и участвует в автогонке Pirelli World Challenge.
Узнай хакера по почерку
Выручка CrowdStrike четыре последних года растет почти вдвое ежегодно. По предварительным данным, в последнем финансовом году (закончится 31 января 2022 г.) она превысит $1 млрд (против $874,4 млн в предыдущем финансовом году). В 2025 г. CrowdStrike рассчитывает получить выручку в $3 млрд. CrowdStrike все еще не приносит прибыли, но Курца это не беспокоит. Он объясняет, что у компании внушительный свободный денежный поток и, если исключить некоторые расходы на бумаге (например, оценку опционов сотрудников), она была бы в плюсе.
Успеху CrowdStrike способствует то обстоятельство, что «хакеры открыли охоту на крупную дичь», сказал он The Business Journals. Раньше их жертвами оказывались, как правило, относительно небольшие компании, а сейчас мишени стали крупными. Например, в мае прошлого года кибервымогатели с помощью вредоносного ПО блокировали работу газопровода Colonial Pipeline. Восстановить прокачку газа удалось лишь после того, как вымогателям заплатили почти $5 млн в биткойнах.
Но есть у CrowdStrike еще одно ноу-хау. С самого начала Курц обещал Reuters, что его технология будет не только выявлять и блокировать вредоносные программы, но и определять, хакеры из какой страны или даже какая именно группировка ведет атаку на клиента. Он обвинил хакеров Северной Кореи в атаке на Sony Pictures в 2014 г., китайских хакеров – во взломе компьютерной системы Службы управления персоналом США в 2015 г. и русских хакеров во взломе приложения, которое используют для своих расчетов украинские артиллеристы, в 2016 г.
В 2019 г. Белый дом опубликовал стенограмму телефонного разговора президентов США и Украины Дональда Трампа и Владимира Зеленского. Американский президент сказал: «Я бы хотел, чтобы вы оказали мне одну услугу, потому что в последнее время наша страна пережила очень много, а Украина располагает ценной в этом отношении информацией. Хотел бы попросить вас выяснить, что тогда произошло в ситуации с компанией CrowdStrike <...>». И добавил что-то о «сервере, который, как говорят, находится на Украине». Никто не взялся утверждать, что конкретно имел в виду Трамп. Но, в конце концов, многие ли бренды могут похвастаться, что их упоминают в разговоре президенты?
