קראודסטרייק CrowdStrike (עיבוד: שאטרסטוק)
קראודסטרייק. גישת הגנה שונה וחדשה | עיבוד: שאטרסטוק

אורחת הפרק: ליאת חיון, המייסדת והמנכ"לית של יוריקה, העוסקת בהגנה על דאטה ארגוני רגיש. קודם לכן עבדה חיון בפאלו אלטו נטוורקס, שם הובילה את צוות ניהול המוצר של קבוצת ה-Endpoint Security, שהייתה בתחרות ישירה מול קראודסטרייק.

לעקוף את השומר

אפשר לומר שמרגע הופעת המחשב האישי, היו אנשים שכתבו לו תוכנות זדוניות. קוד שמטרתו הרס או הוצאה מכלל שימוש של המחשב. וכפועל יוצא, אחד הביטויים הראשונים לתעשיית הסייבר העולמית היו תוכנות הנגד שנקראו "אנטי וירוס". כלומר, התוכנות הזדוניות היו "וירוסים", וכמו שזוכר כל מי שהיה ילד בשנות ה-90, היית חייב שיהיה לך אנטי וירוס כדי להתגונן מפניהן, רצוי של נורטון או מקאפי.

 

האנטי וירוסים עבדו בצורה די פשוטה – הייתה להם רשימה של וירוסים מוכרים וידועים שאסור לתת להם להיכנס למחשב, והן היו סורקות כל קובץ חדש שהגיע למחשב, ומחליטות אם לאשר את כניסתו או לעצור אותו קודם.

הרשימה הזו הייתה בנויה על קונספט שנקרא חתימה. מאחר שהווירוסים הראשונים היו די פשוטים, גם האנטי וירוסים הראשונים היו כאלה – תוכנות האנטי וירוס פשוט הכירו את הווירוסים שמפניהם הן ניסו להגן ולכן יצרו חתימה שאיפשרה לזהות את הקוד הפוגעני.

כיום אנחנו אולי כבר רגילים לסיבובי סיד גדולים, אבל ב-2011, 26 מיליון דולר היו באמת משהו חסר תקדים. בניגוד להרבה חברות שקמות, בטח בעולמות הסייבר, קורץ לא ניסה לפתור כאב ספציפי שיש בשוק עם המערכות שעובדות, אלא להחליף אותן בצורה גורפת

תחשבו על שומר בכניסה לבניין: כדי למנוע כניסה מגורמים בעייתיים, הוא זוכר איך הם נראו בעבר – צבע השיער, משקפיים, מה הגובה שלהם ובאיזו שפה הם דיברו. החתימה היא פשוט לקחת מאפיינים של תוכנה ולנסות להשוות אותם למאפיינים המקבילים של נוזקות.

קל לעקוף מנגנון כזה – צובעים שיער, מורידים משקפיים – ואז השומר לא יכול לדעת שלגורם שנכנס יש בדיוק את אותן כוונות מרושעות. בנוסף, אותו גורם בעייתי יכול להיכנס מהחלון במקום לעבור בלובי, או פשוט להתגנב בחשאי מאחורי שליח שכניסתו מאושרת. בדיוק כמו בכניסה לבניין, גם על החתימה הזו קל יחסית לעבוד, בין אם בשינוי המאפיינים שלה ובין אם בעקיפת המנגנון וכניסה ממקומות שבהם החתימה בכלל לא נבדקה.

הקונספציה הזו שלטה בתחילת הדרך, לפני שהחיים של כולנו הפכו להיות יותר דיגיטליים וההאקרים הפכו להיות יותר מתוחכמים: הבנייה של תחום מוגן, ״הפרימטר״ – מעין גדר סביב מערכת ה-IT של הארגון, לפקח על הכניסה והיציאה של דברים ממנה, וכך להגן על הארגון. אבל התוכנות הוותיקות שמשלו בכיפה התקשו מאוד לסגור את הפערים מול הנוזקות והתוכנות המזיקות. המוצרים שלהן הלכו והפכו להיות לא רלוונטיים ומיושנים, כי הם פשוט לא הצליחו לעצור התקפות.

הפתרון לקריסת הפרימטר

קראודסטרייק קמה לפני פחות מ-12 שנים על הרקע הזה. היזם של החברה, ג'ורג' קורץ, היה בכיר במקאפי - אחת מחברות האבטחה הוותיקות והמוכרות. הוא הקים קודם חברה בשם פאונדסטון, שעסקה בייעוץ, טיפול וניהול אירועי אבטחה בארגונים, שנקנתה על ידי מקאפי. קורץ התקדם בחברה והפך להיות ה-CTO שלה, אבל היה מאוד מתוסכל מכך שהטכנולוגיה הקיימת לא הצליחה לעצור בזמן את האיומים.

ליאת חיון מנכ"לית יוריקה (צילום: אריק סולטן, יח"צ)
ליאת חיון, מנכ"לית יוריקה | צילום: אריק סולטן, יח"צ

באוקטובר 2011, אחרי שבע שנים במקאפי, קורץ החליט לצאת משם ולהקים עסק שיילחם בכל התפיסה של החברה בה עבד. וכאן צריך לשים לב למשהו מאוד מעניין בהקמה של קלאודסטרייק: הרבה פעמים חברות גדולות מתחילות לאט, סטארט אפ במוסך, מגייסים פרה סיד קטן ולאט לאט צומחים.

אבל קראודסטרייק התחילה באופן שונה לגמרי, ומאוד אגרסיבי. היא התחילה עם סבב גיוס ראשון של 26 מיליון דולר, בהובלת אקסל וורבורג פינקוס, שלקחו הימור די נועז ובדיעבד מבריק על התזה שאומרת שהגיע הזמן להחליף את חברות האנטי וירוס המיושנות. קורץ הסביר זאת בכך שמההתחלה הוא רצה לגייס טאלנטים אדירים, להביא אנשים שעבדו ב-FBI עם קריירות מסודרות, והבין שאנשים כאלה לא יבואו לסטארט אפ שהצליח לגייס פרה-סיד של חצי מיליון.

וכמובן, קורץ הכיר היטב לא רק את המוצרים הקיימים ואת הכשלים בדרך בה הם פעלו, אלא גם הכיר טוב את הלקוחות בשטח, המערכות הארגוניות שהם עובדים איתן וכל האתגרים עימן הם מתמודדים. כיום אנחנו אולי כבר רגילים לסיבובי סיד גדולים, אבל ב-2011, 26 מיליון דולר היו באמת משהו חסר תקדים. בניגוד להרבה חברות שקמות, בטח בעולמות הסייבר, הוא לא ניסה לפתור כאב ספציפי שיש בשוק עם המערכות שעובדות, אלא להחליף אותן בצורה גורפת.

הבשורה החדשנית המוצרית של קראודסטרייק נשענה על שני אלמנטים: המוצר היה כמו של חברת SaaS – כלומר היה עדכון רצוף מהענן שכל הזמן עדכן את המוצר. והאלמנט השני הוא שגישת ההגנה הייתה שונה ולא התבססה על חתימות.

קראודסטרייק גייסה לאורך הזמן 485 מיליון דולר, בחמישה סבבים, וב-2019 היא הונפקה בשווי של 6.7 מיליארד דולר - אבל כבר ביום הראשון למסחר המניה קפצה בכמעט 70% והעלתה את שווי השוק של החברה לאזור ה-11 מיליארד דולר. היום, שלוש וחצי שנים אחרי - היא שווה כמעט 30 מיליארד דולר

קורץ וצוותו זיהו מוקדם מאוד את הטרנד בשימוש במחשוב ענן ובאופן שהקהילה שנוצרת סביבו מאפשרת שיפור ועדכון מהיר ואוטומטי של המוצר. זאת, כמובן, בניגוד למוצרי הלגאסי הקיימים שהשתמשו במנגנונים מיושנים כדי לזהות איומים חדשים ולייצר חתימות שיכללו אותם. ואכן היתרון הסייבר המשמעותי היה יכולת התגובה המהירה לאיומים חדשים.

האלמנט המנצח השני בתפיסה של קראודסטרייק היה שהגישה לא התבססה על חתימות, אלא על שילוב של מספר מנגנונים חדשים יחסית לאותה תקופה.

ראשית, למידת מכונה. במקום לתחזק רשימה של חתימות המעידות על כך שקוד מסוים הוא נוזקה, בקראודסטרייק ניתחו אילו מאפיינים סטטיסטיים של תוכנה מסוימת יכולים להיות קשורים להתנהגות פוגענית והמערכת למדה אותם. המשמעות הייתה ששינוי שטחי כזה או אחר בקוד כבר לא הספיק לתוקפים כדי לעקוף את המערכת. שנית, המערכת לא הסתפקה באישור הכניסה הראשוני אלא עקבה אחרי התוכנה גם לאחר מכן, כדי להבין אם מדובר בהתנהגות חשודה, מה שאיפשר לעצור גם איומים שעקפו את הבדיקה הראשונית.

ההבדל הוא כמו בין אבטחה בכניסה לטרמינל בשדה תעופה לבין אבטחה בקזינו. בכניסה לטרמינל, ואחר כך במעבר לאולם הנוסעים היוצאים, יבדקו אתכם טוב טוב. אבל אחר כך לא יפקחו עליכם. אם תיכנסו לקזינו, הכניסה אולי מהירה יותר – אבל בתוכו כל הזמן עוקבים אחריכם, עם מצלמות ועם אנשי ביטחון.

ג'ורג' קורץ, מנכ"ל ומייסד משותף קראודסטרייק (צילום: Crowdstrike)
ג'ורג' קורץ, מנכ"ל ומייסד משותף של קראודסטרייק. הכיר היטב את המוצרים הקיימים ואת הלקוחות | צילום: Crowdstrike

ולבסוף קראודסטרייק איפשרה ללקוחות התבוננות על ההתנהגויות האלו מהצד הענני. גם כדי לספר את הסיפור שמאחורי המתקפה וגם כדי להנגיש מידע מיחידות הקצה כדי לזהות איומים מתוחכמים יותר. לא כל הלקוחות ידעו לעשות את זה, כמובן, אז בקראודסטרייק השכילו להציע יחד עם המוצר גם שירותים שיספקו להם את הערך הזה. כך שהתמונה המלאה של הנזק שנגרם או כמעט נגרם לארגון הייתה ברורה.

צמיחה מרשימה

קראודסטרייק גייסה לאורך הזמן 485 מיליון דולר, בחמישה סבבים, וב-2019 היא הונפקה בשווי של 6.7 מיליארד דולר - אבל כבר ביום הראשון למסחר המניה קפצה בכמעט 70% והעלתה את שווי השוק של החברה לאזור ה-11 מיליארד דולר. היום, שלוש וחצי שנים אחרי - החברה שווה יותר מכפול מכך, באזור ה-30 מיליארד דולר, וזה עוד אחרי הירידה החדה של השנה האחרונה שפגעה כמעט בכולם – היא כבר נגעה בשווי שוק של 50 מיליארד דולר.

החברה עומדת היום על קצת יותר מ-2.34 מיליארד דולר ב-ARR, ובקצב צמיחה סופר מרשים של למעלה מ-50% בשנה. 21,146 לקוחות, גם בקצב גידול של אזור ה-40%.

נקודת מפנה חשובה התרחשה שנה לפני ההנפקה, ב-2018. חברת סימנטק, אחת הענקיות בתחום, נמכרה והרוכשת שלה שינתה את האסטרטגיה והחליטה להתמקד אך ורק בלקוחות הסופר גדולים ונטשה את מרבית הלקוחות ללא מענה. ובאותו זמן, שני סטארט אפים גדולים ובולטים שקמו באותה תקופה כמו קראודסטרייק (קרבון בלנק וסיילנס) נמכרו לחברות לגאסי גדולות (בלקברי ו-VMware) ובעצם, כמו שקורה בהרבה מקרים דומים, הלכו למות שם.

קורץ וצוותו זיהו מוקדם מאוד את הטרנד בשימוש במחשוב ענן ובאופן שהקהילה שנוצרת סביבו מאפשרת שיפור ועדכון מהיר ואוטומטי של המוצר, בניגוד למוצרים הקיימים. ואכן היתרון הסייבר המשמעותי היה יכולת התגובה המהירה לאיומים חדשים

וקראודסטרייק אכן זיהתה את ההזדמנות וגייסה 200 מיליון דולר מג'נרל אלקטריק, IVP ו-ACCEI שהיו איתה מהסבב הראשון, כדי לנצל את הזירה המתרוקנת ממתחרים לגדול ולנצח. וכמובן, היה לה גם מזל גדול כשהתחרות המיידית שלה הפסיקה להיות אפקטיבית.

אסטרטגיית המפתח

מעבר להצלחה של המוצר הראשוני, שהצליח לנגוס בעוגה של נורטון או מקאפי, קראודסטרייק גדלה לממדים הרבה יותר גדולים. נקודת המפתח באסטרטגיה של קראודסטרייק הייתה להתפתח כפלטפורמה – כלומר להיות המגש שעליו חברות יוכלו להוסיף עוד ועוד מוצרי סייבר והגנה. בזמן שהחברות האחרות שאפו לבנות מוצר מצוין – קראודסטרייק ניסתה לבנות פלטפורמה של אבטחה.

הרעיון הוא לייצר פלטפורמה שעליה ניתן להלביש עוד ועוד מודולים שונים, כשכל אחד מהם גם יכול להיות מוצר נפרד של חברה אחרת שזה כל מה שהיא עושה. וכמובן, לנצל את הקשר עם הלקוחות והסינרגיה בין המודולים כדי למכור עוד. בדוחות האחרונים שלה, קראודסטרייק פירטה את אחוז הלקוחות שלה שרכשו חמישה, שישה או שבעה מודולים - וזה די מרשים - 60%, 36%, ו-21% מהלקוחות.

כשקורץ אמר לפני עשור שקראודסטרייק תהיה "הסיילספורס של האבטחה", כבר אז היה צורך באיחוד של מוצרים שונים כדי לתת מענה רחב, תוך החלפה של אלמנטים נקודתיים. אבל בעשור האחרון האמירה שלו הפכה אפילו ליותר נכונה, כשהתפיסה בשוק אומרת שגם מוצרים מקטגוריות שונות צריכים להיות חלק מאותו פתרון הוליסטי. והאסטרטגיה הזו של להיות פלטפורמה למוצרי אבטחה - לא רק שהיא כנראה עובדת ממש, היא גם עשויה ליצור שינוי גדול בכל הדינמיקה של שוק אבטחת המידע והסייבר בעולם.

הזווית הישראלית

מבחינת ההגנה על ה-Endpoint, יש לקראודסטרייק שתי מתחרות ישראליות גדולות. הגדולה מביניהן היא סנטינל וואן והשניה היא סייבריזן. אנו משתדלים בפודקאסט לא לדבר על חברות ישראליות, אבל נאמר שמדובר בחברות נהדרות, שלמרות שהן יותר קטנות מקראודסטרייק, הן מצליחות לתת לה פייט.

פודקאסט התמונה הגדולה (עיצוב: סטודיו mako)
פודקאסט התמונה הגדולה | עיצוב: סטודיו mako

אבל את הזרקור על הקרב האסטרטגי המעניין אנחנו רוצים להפנות לכיוון אחר: המהלך של קראודסטרייק להיות פלטפורמה הוביל למלחמה די גדולה ובלתי נמנעת עם חברה אחרת שיש לה שורשים ונגיעה ישראלית, Palo alto Networks. ולמרות ששתי החברות מגיעות מכיוונים הפוכים - פאלו אלטו התחילה באבטחה של הרשת הארגונית ולא של נקודות הקצה - שתיהן דוגלות באסטרטגיה דומה של להפוך לפלטפורמה. וכעת שתיהן פחות או יותר נמצאות במלחמה ראש בראש בשאלה מי תהיה חברת הסייבר הגדולה בעולם, כשכרגע מובילה פאלו אלטו.

שני הארגונים מבינים שכדי להגן על ארגון בצורה הוליסטית - חייבים להגן על כל הנכסים הדיגיטליים שלו. שיש ערך מאוד משמעותי ביכולת לראות מתקפה מכלל הזוויות ולא להסתכל עליה באופן חלקי. פאלו אלטו התחילה את המסע הזה מצד הרשת, כחלוצה ועדיין המובילה במוצרי ה-firewall, וקראודסטרייק התחילה מהצד של מוצרי ההגנה על תחנות הקצה.

כדי להגן על כל הנכסים הדיגיטליים של ארגון, בטח ובטח בשנים האחרונות, חייבים גם להגן על שירותי הענן של אותו ארגון - והן נוקטות גישה שונה: פאלו אלטו ביצעה מספר רכישות משמעותיות בתחום, חלקן של חברות ישראליות כמו Twistlock, וקראודסטרייק בנתה יכולות מקבילות באופן עצמאי.

מבחינה אסטרטגית - קראודסטרייק לא מתחרה רק ראש בראש מול החברות הישראליות שמציעות Endpoint - אלא גם מול חברות שמנסות להיות ממש פלטפורמה מלאה ולשחק על כל המגרש. וזה גורר את כל המובילות בשוק, או מי שרוצה להיות מובילה בשוק, לבצע מהלכים דומים.

מעבר להצלחה של המוצר הראשוני, שהצליח לנגוס בעוגה של נורטון או מקאפי, קראודסטרייק גדלה לממדים הרבה יותר גדולים. נקודת המפתח באסטרטגיה של קראודסטרייק הייתה להתפתח כפלטפורמה – כלומר להיות המגש שעליו חברות יוכלו להוסיף עוד ועוד מוצרי סייבר והגנה

הפלייבוק של קראודסטרייק הפך להיות כמעט התנ״ך לחברות סטארט אפ בעולמות הסייבר - היכולת לזהות שוק מיושן שלא מצליח להתאים את עצמו לאתגרים החדשים, למנף טכנולוגיות חדשניות כדי לתת פתרון טוב יותר ולהסתכל על הבעיה בצורה רחבה שמאפשרת מתן פתרון הוליסטי בטווח הארוך.

הקצב של השינויים הטכנולוגיים שאנחנו חווים בעולם - כמו האימוץ המסיבי של מחשוב קצה שנמצא ממש בקצות האצבעות של כל אחד מאיתנו או המעבר המהיר לשירותי ענן - דורש התאמה גם בטכנולוגיות שמגנות על האמצעים האלו, ונותן הזדמנות ליותר ויותר חברות סטארטאפ לעשות להן disruption באופן הרבה יותר תכוף מבעבר.

עיבוד הפרק לכתבה: גדי שמשון