【研報】軟件與服務行業信息安全深度剖析2：海外網安巨頭如何映射國內Crowdstrike終端云安全可復制-20210104（34頁）.pdf

1、請務必閱讀正文之后的免責條款部分 全球視野全球視野 本土智慧本土智慧 行業行業研究研究 Page 1 證券研究報告證券研究報告深度報告深度報告 軟件與服務軟件與服務 信息安全深度剖析信息安全深度剖析 2 超配超配 （維持評級） 2021 年年 01 月月 04 日日 一年該行業與一年該行業與上證綜指上證綜指走勢比較走勢比較 行業專題行業專題 海外海外網安巨頭如何映射國內網安巨頭如何映射國內 Crowdstrike 終端云安全可復制終端云安全可復制 AI 和威脅情報助終端安全技術蝶變，全球市場格局已變和威脅情報助終端安全技術蝶變，全球市場格局已變 傳統終端安全以“殺毒軟件”為代表，以特征庫匹配為

2、主要技術，主要 解決已知問題。隨著各類未知攻擊的誕生，終端安全也引入 AI、威脅情 報等新的技術應對。終端處，產品升級為下一代殺毒 NGAV、終端檢測 響應 EDR、云工作負載保護 CWPP；云端處，威脅情報成為新的“生產 資料” ，為終端乃至全部安全體系賦能。IDC 預計 2022 年終端安全市場 將超過 92 億美元，年復合增長率 8.6%。 Crowdstrike 實現基于云的終端安全顛覆，快速成長新王當立實現基于云的終端安全顛覆，快速成長新王當立 Crowdstrike 以威脅情報和終端安全起家， 云端建設威脅圖， Falcon 平臺 的動態威脅數據庫；終端部署輕量級代理，類似終端處的

3、“傳感器” 。通 過終端代理，客戶可以實現多種 SaaS 安全功能訂閱。除了終端安全， 公司還推出多種產品組合，基礎版價格已由 6.99 提升至 8.99 美元/月。 憑借產品在體驗端、技術端、市場端的優勢，公司迅速得到市場認可。 近年來公司營收增速均保持 85%以上，預計 2020 年收入 8.55-8.6 億美 元，增速為 78%。同時，公司凈留存率保持 120%以上，各項 SaaS 指 標優異。當前市值達到 470 億美金，對應今年 PS 在 50 倍以上。 市場、政策、技術推動國內終端安全市場重啟，終端已成必爭之地市場、政策、技術推動國內終端安全市場重啟，終端已成必爭之地 殺毒軟件是國

4、內消費者接觸最早的終端安全產品，國內早期消費級市場 由江民、瑞星、金山主導，隨后 360 通過免費將時代終結。海外消費級 終端安全市場依然存在，但國內外企業級均是最核心的市場。市場端， 2017 年 wannacry 病毒帶動了終端需求的催化， 近期 Solarwinds 事件也 驗證了終端保護的重要性；政策端，等保 2.0 進一步強調了主機安全； 技術端，除了終端自身技術進化之外，在態勢感知為代表的體系化安全 建設中，終端已經是必不可少的一環。國內終端安全有望快速增長。 投資建議：投資建議：終端安終端安全價值全價值深遠，關注關鍵卡位廠商深遠，關注關鍵卡位廠商 終端安全具備五大價值：C 端觸角

5、的產品、持續收費的模式、威脅情報 的“探針” 、安全運維的衍生、萬物即可終端的市場。重點關注關鍵技術 和市場卡位廠商：奇安信、深信服、安恒信息、山石網科、360 等。 風險提示：風險提示： 疫情反復影響全社會 IT 支出；行業競爭加劇。 重點公司盈利預測及投資評級重點公司盈利預測及投資評級 公司公司 公司公司 投資投資 昨收盤昨收盤 總市值總市值 EPS PE 代碼代碼 名稱名稱 評級評級 （元）（元） （億（億元）元） 2020E 2021E 2020E 2021E 300454 深信服 買入 248.01 1014 2.23 3.06 111.22 81.05 688561 奇安信-U 買

6、入 126.10 857 -0.18 0.21 - 600.48 688023 安恒信息 買入 260.10 193 1.78 2.49 146.12 104.46 688030 山石網科 買入 37.80 68 0.57 0.73 66.32 51.78 資料來源：Wind、國信證券經濟研究所預測 相關研究報告：相關研究報告： 計算機行業專題： 從供需格局看銀行 IT 高景 氣 2020-12-15 PDF 行業專題報告： PDF 群雄逐鹿： Adobe、 金山、福昕各領風騷 2020-09-18 信息安全深度剖析 1：從奇安信看信息安全 新玩法、新技術、新市場和新格局 2020-07-09

7、 醫療信息化行業快評：上海市將互聯網醫療 納入醫保報銷，互聯網醫療再下一城 2020-02-23 醫療信息化行業快評： “疫情+再融資”新規 雙 推 動 醫 療 信 息 化 蓬 勃 發 展 2020-02-17 獨立性聲明：獨立性聲明： 作者保證報告所采用的數據均來自合規渠 道，分析邏輯基于本人的職業理解，通過合 理判斷并得出結論，力求客觀、公正，其結 論不受其它任何第三方的授意、影響，特此 聲明 0.6 0.8 1.0 1.2 1.4 1.6 J/20M/20M/20J/20S/20N/20 上證綜指軟件與服務 請務必閱讀正文之后的免責條款部分 全球視野全球視野 本土智慧本土智慧 Page

8、2 投資摘要投資摘要 關鍵結論與投資建議關鍵結論與投資建議 終端安全價值重啟，重點關注終端領域技術和市場具備卡位優勢的廠商。傳統 以特征庫匹配技術為代表的終端安全， 已經進入以 AI 和威脅情報為基礎的技術 升級。以 Crowdstrike 為代表的終端廠商，驗證了云化下技術和商業模式的雙 重變革。 國內終端安全在市場、 政策、 技術的推動下， EDR 產品呈現較快增長， 已經成為各廠商必爭之地。終端安全具備 C 端觸角的產品、持續收費的模式、 威脅情報的“探針” 、安全運維的衍生、萬物即可終端的市場五大價值。重點關 注關鍵技術和市場卡位廠商：奇安信、深信服、安恒信息、山石網科、360 等。

9、核心假設或邏輯核心假設或邏輯 第一，AI 和威脅情報已經給終端安全帶來新的技術蝶變，終端已經成為云網端 安全一體化建設的必備。 疊加勒索病毒泛濫催化市場需求， 等保 2.0 政策推動， 終端安全有望迎來高速發展期。 第二，以 Crowdstrike 為代表的終端安全廠商成為新王，無論是產品本身的技 術優勢，還是商業上各種訂閱服務的組合，都驗證了終端安全云化的優越性。 與市場預期不同之處與市場預期不同之處 第一，市場認為企業級終端安全僅僅是信息安全領域一個小版塊，當前市場不 大，難有太大的成長空間。我們認為，終端價值深遠，其具備 C 端觸角、持續 收費、威脅情報、運維衍生等多個優勢；而且未來萬物

10、皆可為智能終端，市場 空間理論沒有邊界。 第二，市場認為安全產品同質化競爭，難以形成海外廠商的競爭優勢。我們認 為，終端產品相比于其他安全產品，具備企業員工用戶直觀的體驗。較差的產 品將直接影響辦公體驗，必將被市場淘汰。國內頭部廠商，在技術和市場上已 經取得了優勢。 股價變化的催化因素股價變化的催化因素 第一，信息安全事件爆發。近期 Solarwinds 被攻擊事件對美國造成了極嚴重的 影響， 惡意軟件會將其自身植入受害者終端， 進一步感染網絡。 該事件催化下， 美股 APT廠商 Fireeye和終端安全 Crowdstrike均股價大漲。 安全事件的爆發， 會倒逼全球加大信息安全投入。 第二

11、，新興安全領域的高增長。美國以云安全為代表的 Crowdstrike、Zscaler、 OKTA 等廠商增速較高，市場也給予了較高的估值。國內安全廠商也在加大新 興領域安全的投入，例如終端安全、威脅情報、云安全資源池等，新興安全收 入占比的提升將提升公司整體估值。 核心假設或邏輯的主要風險核心假設或邏輯的主要風險 第一，疫情影響持續，全社會 IT 及安全開支縮減。 第二，全行業競爭加劇，各廠商陷入同質化價格戰導致毛利率下降。 oPqPoOsPwPnMtMpOmRtOqO9P8QbRtRnNpNmNkPpPnMkPrRqNaQmMvMxNrNyRNZpPqM 請務必閱讀正文之后的免責條款部分 全

12、球視野全球視野 本土智慧本土智慧 Page 3 內容目錄內容目錄 終端安全技術蝶變，威脅情報成為安全新風口終端安全技術蝶變，威脅情報成為安全新風口 . 6 終端安全面臨下一代技術升級，AI 成為新驅動力 . 6 威脅情報為云端賦能打下基礎，成為安全行業新“生產資料” . 8 終端安全領域格局已變傳統沒落，新王當立 . 10 終端安全的云化：從終端安全的云化：從 Crowdstrike 看云端顛覆看云端顛覆 . 12 基于云的終端安全，Crowdstrike 帶來技術和商業模式雙重變革 . 12 云和 AI 下的正循環，Crowdstrike 競爭優勢強大 . 15 新終端龍頭快速增長，SaaS

13、 各項指標表現優異 . 19 國內終端安全需求重啟，新領域成必爭之地國內終端安全需求重啟，新領域成必爭之地 . 22 國內終端安全發展史：殺毒軟件時代被免費終結 . 22 市場、政策、技術推動企業級終端安全市場重生，成為安全必爭之地 . 25 看好終端安全云轉型，推薦關鍵卡位廠商看好終端安全云轉型，推薦關鍵卡位廠商 . 27 終端領域的價值深遠，國內有望復制 Crowdstrike . 27 奇安信企業級終端安全龍頭，云網端布局最全面 . 28 深信服迅速迭代，終端安全進入市場前五 . 30 安恒信息終端是態勢感知的必要環節 . 30 360再次邁向政企市場，推出政企終端安全產品 . 31 山

14、石網科基于云工作負載，云格唯一入選 Gartner CWPP 目錄 . 31 亞信安全收購趨勢科技中國區業務，終端安全不容小覷 . 32 火絨安全終端安全新玩家，反病毒引擎被多家廠商 OEM . 32 微步在線威脅情報初長成，SaaS 化安全服務快速增長 . 34 風險提示風險提示 . 34 國信證券投資評級國信證券投資評級 . 35 分析師承諾分析師承諾 . 35 風險提示風險提示 . 35 證券投資咨詢業務的說明證券投資咨詢業務的說明 . 35 請務必閱讀正文之后的免責條款部分 全球視野全球視野 本土智慧本土智慧 Page 4 圖圖表表目錄目錄 圖圖 1：終端被攻擊的形式：終端被攻擊的形式

15、 . 6 圖圖 2：廣泛的終端類型：廣泛的終端類型 . 6 圖圖 3：日立對疫情后：日立對疫情后 CIO 的的 IT 支出調查支出調查 . 6 圖圖 4：新型攻擊持續推動終端防御體系進化新型攻擊持續推動終端防御體系進化 . 7 圖圖 5：殺毒軟件：殺毒軟件 EPP 技術升級至檢測響應技術升級至檢測響應 EDR . 7 圖圖 6：EPP 和和 EDR 的異同的異同 . 8 圖圖 7：云工作保護平臺（：云工作保護平臺（CWPP）主要能力）主要能力 . 8 圖圖 8：威脅情報系統框架：威脅情報系統框架 . 9 圖圖 9：威脅情報各級別的價值：威脅情報各級別的價值 . 9 圖圖 10：威脅情報對終端賦

16、能：威脅情報對終端賦能 . 10 圖圖 11：終端安全全球市場份額：終端安全全球市場份額 . 10 圖圖 12：終端安全魔力象限：終端安全魔力象限 . 10 圖圖 13：Palo Alto 對終端安全的布局對終端安全的布局 . 11 圖圖 14：Crowdstrike 產品架構和模塊組成產品架構和模塊組成 . 13 圖圖 15：Crowdstrike 產品和價格產品和價格 . 14 圖圖 16：Crowdstrike 各產品市場空間各產品市場空間 . 15 圖圖 17：客戶對各廠商：客戶對各廠商 EDR 產品評價（產品評價（1/2） . 16 圖圖 18：客戶對各廠商：客戶對各廠商 EDR 產

17、品評價（產品評價（2/2） . 16 圖圖 19：Crowdstrike 核心技術的網絡效應核心技術的網絡效應 . 16 圖圖 20：Gartner 端點保護平臺關鍵能力排名端點保護平臺關鍵能力排名. 17 圖圖 21：Forrester Wave 端點保護平臺矩陣端點保護平臺矩陣 . 17 圖圖 22：Crowdstrike 收入增長（億美元）收入增長（億美元） . 19 圖圖 23：Crowdstrike 利潤表現（億美元）利潤表現（億美元） . 19 圖圖 24：Crowdstrike 訂閱收入（億美元）訂閱收入（億美元） . 20 圖圖 25：Crowdstrike 遞延收入（億美元）

18、遞延收入（億美元） . 20 圖圖 26：Crowdstrike ARR（億美元）（億美元） . 20 圖圖 27：Crowdstrike 基于美元的基于美元的 ARR 留存率留存率 . 20 圖圖 28：Crowdstrike 客戶數客戶數 . 21 圖圖 29：Crowdstrike 訂閱不少于訂閱不少于 4 個模塊的客戶比例個模塊的客戶比例 . 21 圖圖 30：Crowdstrike 費用率水平費用率水平 . 21 圖圖 31：Crowdstrike 員工數量員工數量 . 21 圖圖 32：Crowdstrike 現金流表現（億美元）現金流表現（億美元） . 22 圖圖 33：Crow

19、dstrike 估值水平（估值水平（PS TTM） . 22 圖圖 34：瑞星殺毒軟件以光盤形式出售：瑞星殺毒軟件以光盤形式出售 . 23 圖圖 35：熊貓燒香病毒：熊貓燒香病毒 . 23 圖圖 36：Microsoft Defender 測評第一測評第一 . 24 圖圖 37：美國常被網絡攻擊的行業：美國常被網絡攻擊的行業 . 24 圖圖 38：終端安全細分：終端安全細分 . 25 圖圖 39：北信源軟件收入（億元）：北信源軟件收入（億元） . 25 圖圖 40：溢信科技收入（億元）：溢信科技收入（億元） . 25 圖圖 41：等保對主機安全的要求：等保對主機安全的要求 . 26 圖圖 42

20、：2018 年醫療行業勒索病毒情況年醫療行業勒索病毒情況 . 26 圖圖 43：終端安全成為安全體系不可或缺的組成：終端安全成為安全體系不可或缺的組成 . 26 圖圖 44：國內終端安全市場規模（百萬美元）：國內終端安全市場規模（百萬美元） . 28 圖圖 45：終端安全市場份額：終端安全市場份額 . 28 圖圖 46：奇安信終端安全管理系統（天擎）：奇安信終端安全管理系統（天擎） . 28 圖圖 47：奇安信終端安全部署方式：奇安信終端安全部署方式 . 28 圖圖 48：奇安信：奇安信 Virus Bulletin 測評結果測評結果. 29 圖圖 49：中國終端安全檢測與響應市場矩陣：中國終

21、端安全檢測與響應市場矩陣 . 29 圖圖 50：奇安信終端安全（天擎）收入（億元）：奇安信終端安全（天擎）收入（億元） . 29 圖圖 51：2020 上半年安全分析和威脅情報市場份額上半年安全分析和威脅情報市場份額 . 29 圖圖 52：深信服深信服 EDR 產品技術領先產品技術領先 . 30 圖圖 53：安恒：安恒 EDR 與各類安全能力形成閉環與各類安全能力形成閉環 . 30 圖圖 54：360 終端安全管理系統終端安全管理系統 . 31 請務必閱讀正文之后的免責條款部分 全球視野全球視野 本土智慧本土智慧 Page 5 圖圖 55：山石云格架構：山石云格架構 . 32 圖圖 56：山石

22、云格入選山石云格入選 Gartner CWPP 全球市場指南全球市場指南 . 32 圖圖 57：亞信終端安全全景圖：亞信終端安全全景圖 . 32 圖圖 58：火絨發展歷程：火絨發展歷程 . 33 圖圖 59：火絨產品優勢：火絨產品優勢 . 33 圖圖 60：威脅情報對各類產品賦能：威脅情報對各類產品賦能 . 34 表表 1：終端安全廠商分類：終端安全廠商分類 . 11 表表 2：公司發展歷程：公司發展歷程 . 12 表表 3：Crowdstrike 主要產品主要產品 . 13 表表 4：Crowdstrike 成長戰略成長戰略 . 14 表表 5：公司各細分產品和市場：公司各細分產品和市場 .

23、 15 表表 6：Crowdstrike 和和 McAfee 產品對比產品對比 . 17 表表 7：Crowdstrike 和和 Symantec 產品對比產品對比 . 18 表表 8：Crowdstrike 和和 Carbon Black 產品對比產品對比 . 18 表表 9：Crowdstrike 和和 SentinelOne 產品對比產品對比 . 19 表表 10：Crowdstrike 主要優勢主要優勢 . 19 表表 11：Crowdstrike CAC 和和 LTV 計算計算 . 21 表表 12：殺毒軟件時代發展歷程：殺毒軟件時代發展歷程 . 23 表表 13：360 政企安全中

24、標大單政企安全中標大單 . 31 請務必閱讀正文之后的免責條款部分 全球視野全球視野 本土智慧本土智慧 Page 6 終端安全終端安全技術蝶變，威脅情報成為安全新風口技術蝶變，威脅情報成為安全新風口 終端安全面臨下一代技術升級，終端安全面臨下一代技術升級，AI 成為新驅動力成為新驅動力 “殺毒軟件”永不過時“殺毒軟件”永不過時。安全的本質是攻防的較量，網絡攻擊有造成網絡端崩 潰的（如 DDoS 攻擊） ，也有竊取機密數據或勒索的（如 WannaCry 病毒） 。當 邊界防御被攻擊突破后，終端自身的防御系統則成為關鍵，需要及時排查惡意 軟件。另一方面，內網本身存在攻擊風險，如企業 PC 上插一個

25、 U 盤，直接就 從內部開始感染。尤其當前云化、移動化辦公趨勢明顯，很多辦公設備并不是 永遠處在被邊界保護的環境中，疫情下廣泛的遠程辦公，更是讓辦公終端處于 “放任”狀態。因此終端自身需要具備防御能力，安全產品依然剛需。 圖圖 1：終端被攻擊的形式終端被攻擊的形式 資料來源：國信證券經濟研究所整理 IOT 終端急劇膨脹終端急劇膨脹，后疫情時代，終端是安全投入的重點，后疫情時代，終端是安全投入的重點。物聯網的快速發展 必然會帶來海量的 IOT 設備， 當前除了移動化的辦公設備外， 服務器、 打印機、 銷售站、可穿戴設備等均是潛在被攻擊對象。即使企業上云后，云上的工作負 載，如虛擬機和容器，也成為

26、了新的終端需要被保護。后疫情時代，各辦公終 端、及網絡場景，處于高度分散化狀態，邊界被打破帶來了攻擊面的擴大。因 此根據日立發布的企業首席信息官（CIO）調查，2020 年下半年最高 IT 支出優 先級是網絡安全。疫情改變了大多數 CIO 的 IT 計劃，現在有 89的人表示他 們專注于網絡安全，而 82的人則致力于遠程支持；有一半的人表示要增加網 絡安全預算。具體方向來看，有 43的 CIO 在身份和訪問管理（IAM）上進行 了投資，有 34%的 CIO 加強了終端安全的投資。這兩項技術也非常匹配當下云 場景辦公需求，終端安全持續受益。 圖圖 2：廣泛的終端類型廣泛的終端類型 圖圖 3：日立

27、對疫情后日立對疫情后 CIO 的的 IT 支出調查支出調查 資料來源：高盛，國信證券經濟研究所整理 資料來源：安全牛，國信證券經濟研究所整理 請務必閱讀正文之后的免責條款部分 全球視野全球視野 本土智慧本土智慧 Page 7 技術方面，技術方面，終端安全終端安全正正處于變革期，下一代殺毒和終端安全響應成為新方向處于變革期，下一代殺毒和終端安全響應成為新方向。 以國外 McAfee、國內 360 為代表的傳統殺毒軟件，主要通過升級靜態病毒庫 來與惡意軟件進行匹配。該方法在面對如“無文件攻擊”時會失效。而以 APT 為代表的高級持續性攻擊，隱秘性極強，迫使傳統終端安全引入新的技術，如 人工智能、大

28、數據、行為分析等技術，產品形態有終端檢測響應 EDR、威脅情 報、沙箱技術等。 圖圖 4：新型攻擊持續推動新型攻擊持續推動終端終端防御體系進化防御體系進化 資料來源：國信證券經濟研究所整理 下一代殺毒下一代殺毒 NGAV（EPP） ： ?；诤灻姆啦《井a品，依然是當前的主流，但是 攻擊的復雜性提升， 導致傳統殺毒軟件越來越力不從心。 2019年Ponemon Institute 的一項調查發現，防病毒產品平均錯過了 60的攻擊。因此也誕生出下一代殺毒 軟件 NGAV，通過引入機器學習、異常行為分析等技術，利用人工智能來識別和防 止惡意行為。 終端安全響應終端安全響應（EDR） ： 。EDR

29、核心為記錄，收集和存儲來自端點設備活動的大 量數據，從而使安全專業人員可以識別潛在威脅，調查和補救任何潛在攻擊。 重要的是，EDR 為安全團隊提供了可視性，其中包含大量數據，可以對其進行 分析以磨練惡意或異常行為， 并檢測端點保護技術遺漏的攻擊。 EDR 在 2016 2019 年連續進入 Gartner 的 10 大技術之列， 成為當前終端領域最熱門產品。 圖圖 5：殺毒軟件殺毒軟件 EPP 技術升級至檢測響應技術升級至檢測響應 EDR 資料來源：國信證券經濟研究所整理 當前終端安全主要分兩類當前終端安全主要分兩類：辦公終端和云工作負載辦公終端和云工作負載。假設極限辦公 IT 場景只有 辦公

30、終端和云（無論公有云，還是私有云）服務端，以 PC 為代表的終端安全 主要以 EPP 和 EDR 產品為主；而以云為代表的服務終端，則是虛擬機、容器 等工作負載，以 CWPP 產品為主。 EPP（終端保護平臺，以殺毒軟件為主）和（終端保護平臺，以殺毒軟件為主）和 EDR 的組合成為終端安全的良藥的組合成為終端安全的良藥。 EDR 與 EPP 有一部分的價值重疊，EPP 專注預防，EDR 能夠描述整個攻擊 過程， 實現高級威脅的檢測與響應， 二者共同部署是最好的組合。 EDR在 2016 2019 年連續進入 Gartner 的 10 大技術之列,并且認為 EPP 與 EDR 技術融合 將成為總

31、體趨勢，這也帶動 EPP 技術向 AI 發展的重大轉變。 請務必閱讀正文之后的免責條款部分 全球視野全球視野 本土智慧本土智慧 Page 8 圖圖 6：EPP 和和 EDR 的異同的異同 資料來源：FreeBuf、國信證券經濟研究所整理 云上的工作負載云上的工作負載將成為新的終端安全場景將成為新的終端安全場景。云工作保護平臺（Cloud Workload Protection Platform，簡稱 CWPP） ，與以解決 PC 和服務器終端安全的 EPP、 EDR 不同，CWPP 主要解決混合的數據中心架構中，物理機、虛擬機、容器和 無服務器工作負載的安全問題，為他們提供統一的可視化和控制力

32、。根據 Gartner 的定義， CWPP 側重數據和流量的問題， 包括了 WAF、 Firewall 和 IPS 等，并且越是靠近基座的功能越重要，越是靠近塔尖的功能越次要。CWPP 部 署在操作系統層，采用服務端 agent+遠程控制臺的部署模式，agent 支持云、 物理、混合環境部署。隨著云承載 IT 工作的范圍越來越廣，云工作負載已經成 為新的場景，CWPP 有望與傳統 EPP 一樣，成為新的終端安全必備。根據 Gartner 指引，2019 年市場達到 12.44 億美元，同比增長 20.5%。 圖圖 7：云工作保護平臺云工作保護平臺（CWPP）主要能力）主要能力 資料來源：青藤云

33、安全、國信證券經濟研究所整理 威脅情報威脅情報為云端賦能打下基礎，成為安全行業新“生產資料”為云端賦能打下基礎，成為安全行業新“生產資料” 威脅情報彌補攻防兩端信息不對稱，已經成為安全必需品威脅情報彌補攻防兩端信息不對稱，已經成為安全必需品。當前新一代攻擊者 常常發起高級持續性攻擊（APT） 。APT 是精心策劃下對特定組織的攻擊，其攻 擊隱秘性極強，通常以盜取數據為目標，并不對系統造成傷害，被攻擊者可能 自始至終無法察覺。例如近期美國 Solarwinds 事件就是典型的 APT 攻擊。過 去基于惡意程序簽名的技術，以防火墻、IPS、殺毒軟件為代表的老三件產品無 法解決此類問題， 因為這是未

34、知領域的攻擊。 而通過威脅情報的大量 “內外援” 請務必閱讀正文之后的免責條款部分 全球視野全球視野 本土智慧本土智慧 Page 9 信息，新方法盡可能消除信息不對稱。 威脅情報威脅情報并非簡單的并非簡單的“數據”和“信息”“數據”和“信息”匯總匯總。威脅情報更多是一種“知識” 的概念，基于自身 IT 和信息資產面臨的潛在威脅和攻擊事件，形成上下文、機 制、標示、含義和能夠執行的建議等，能夠為響應和處理提供決策的“知識” 。 威脅情報可以來自外部，如互聯網公開情報源：各類安全事件、預警信息、監 控數據分析、IP 地址信譽等，也有情報交換、商業情報公司訂閱等；也可以來 自企業內部，企業自身網絡基

35、礎設施產生的威脅數據，如通過提煉 SEIM 系統 數據、異常流量、漏洞信息、日志信息等形成威脅情報。威脅情報常見部署狀 態為云端和本地的共享，一方面借力云端的情報助力，一方面本地形成內生性 的場景，情報的“消費”和“生產”進行循環。通過共享，威脅情報可以在全 行業發揮作用。 圖圖 8：威脅情報系統框架威脅情報系統框架 資料來源：CIO 時代、國信證券經濟研究所整理 威脅情報威脅情報內涵廣闊，內涵廣闊， 價值巨大價值巨大。 根據 David J. Bianco 在 The Pyramid of Pain 一文中提出的威脅情報相關指標，當“己方”掌握這些“知識”后，可以讓攻 擊者感受相應困難的“痛

36、苦” 。威脅情報中價值最低的是 Hash 值、IP 地址和域 名，其次是網絡/主機特征、攻擊工具特征，對攻擊者影響最大的是 TTP(戰術、 技術和行為模式)類型的威脅情報。威脅情報的內涵早已超過傳統的基于特征的 病毒庫，成為防護策略定制的新“生產資料” 。 圖圖 9：威脅情報威脅情報各級別的價值各級別的價值 資料來源：FreeBuf、國信證券經濟研究所整理 威脅情報賦能同樣提升終端能力威脅情報賦能同樣提升終端能力。 在終端安全領域， 基于各個端點廣泛的檢測、 攻防、行為等數據，后臺對各信息進行聚和、關聯分析。形成威脅情報后，進 而指導終端做出響應。終端安全領域，傳統以特征庫升級為主，威脅情報技

37、術 已產生了深刻的變革。除此之外，威脅情報還能用在傳統產品上，如防火墻、 請務必閱讀正文之后的免責條款部分 全球視野全球視野 本土智慧本土智慧 Page 10 IDPS 等，形成實時的最新策略。同時，威脅情報還可以應用到業務安全中，如 防欺詐；網絡資產管理也可應用。隨著威脅情報逐步普及，市場持續擴大，IDC 預計 2021 年市場規模達到 22 億美金。 圖圖 10：威脅情報對終端賦能威脅情報對終端賦能 資料來源：火絨安全、國信證券經濟研究所整理 終端安全領域格局已變終端安全領域格局已變傳統沒落，新王當立傳統沒落，新王當立 終端安全市場持續增長終端安全市場持續增長。根據IDC 全球企業級終端安

38、全預測，2018-2022 數據，2017 年全球企業級終端安全市場規模達到 61.46 億美元，2022 年將超 過 92 億美元， 年復合增長率 8.6%。 其中傳統 EPP 產品增速已經放緩， 而 EDR 產品成為重要增長動力。 終端領域著名玩家眾多終端領域著名玩家眾多，但但行業領導者已經更替行業領導者已經更替。無論是企業級終端市場，還 是消費級終端市場，最耳熟能詳的是 McAfee（邁克菲） 、Symantec（賽門鐵克 -諾頓） 、Kaspersky（卡巴斯基）等傳統殺毒軟件廠商，多數消費者在購置 PC 時也使用他們的預裝安全產品。在企業級終端市場，傳統廠商市場份額較高， Syman

39、tec、Trend Micro（趨勢科技） 、McAfee 占據了 40%的市場份額。然而 根據 Gartner 最新的終端安全魔力象限， 新興終端安全廠商 Crowdstrike 已經躍 升為行業領導者。Crowdstrike 在技術和市場上均表現優異，雖然當前市場份額 仍較小，但是超高速增長下，公司持續侵蝕傳統廠商的份額。公司基于云原生 的 SaaS 方案，已經開始顛覆行業格局。 圖圖 11：終端終端安全全球市場份額安全全球市場份額 圖圖 12：終端終端安全魔力象限安全魔力象限 資料來源：Gartner，國信證券經濟研究所整理 資料來源：Gartner，國信證券經濟研究所整理 16% 12

40、% 12% 7% 6% 6% 5% 5% 4% 4% 23% Symantec Trend Micro McAfee Eset Sophos Kaspersky Tanium Crowdstrike Carbon Black IBM Others 請務必閱讀正文之后的免責條款部分 全球視野全球視野 本土智慧本土智慧 Page 11 防火墻龍頭也紛紛加大終端布局防火墻龍頭也紛紛加大終端布局，但思路仍以邊界為主但思路仍以邊界為主。傳統防火墻類廠商將 內網按照邊界圈起來保護，但隨著移動辦公、云和多種 IOT 終端的興起，邊界 正被不斷打破。邊界外的終端設備對整個網絡造成風險，因此防火墻廠商均加 入了

41、終端安全模塊。邊界安全廠商的優勢在于基于自身防火墻平臺，打造云網 端一體的防護。因此，防火墻龍頭通過收購，紛紛加大了終端布局；但是基于 防火墻廠商的發展路徑，終端更多是整體解決方案的補充。目前在終端領域， 海外邊界安全廠商仍處于追趕者角色。 Fortinet 在 2019 年 10 月收購終端安全公司 enSilo， 增強了公司安全平臺的終 端解決能力。enSilo 在被收購之前就已經是 Fortinet Security Fabric 的合作伙 伴，并已完成與 FortiGate NGFW，FortiSandbox 沙盒方案，FortiSIEM 和 FortiClient Fabric Ag

42、ent 的聯動。 Palo Alto Networks在 2014年 3月以 2億美元收購一家安全初創公司 Cyvera， 其旗艦產品為 TRAPS。 TRAPS 對未修復的漏洞、無文件攻擊、應用漏洞利用 均有較好的效果，但是缺乏事后補救工具和響應機制，仍需要其他產品配合。 Palo Alto 始終認為防護才是最重要的，檢測和響應永遠只能是其次；這個理念 和近兩年企業安全的主流價值觀存在一些沖突。公司以網絡端為核心，NGFW 邊界平臺提供強大支撐， TRAPS 成為與防火墻聯動的模塊，是整體方案的有 益補充。 圖圖 13：Palo Alto 對終端安全的布局對終端安全的布局 資料來源：Palo

43、 Alto Networks，國信證券經濟研究所整理 終端安全領域賽道擁擠，終端安全領域賽道擁擠，Crowdstrike 通過新技術突圍通過新技術突圍。目前終端安全玩家主 要分為三類：傳統殺毒廠商、網絡安全廠商（收購） 、新興終端廠商?？v觀終端 安全發展歷史，傳統殺毒軟件廠商眾多，且依然占據較大市場。然而終端領域 已經不再是基于特征庫簽名的 McAfee 和 Symantec 主導的時代，新興廠商基 于白名單、 AI 等技術已經得到市場認可。 相比于其他新興終端廠商， Crowdstrike 基于云端平臺，通過威脅情報、大數據、AI 等新技術成為行業領導者，市場上 的高速增長，也確認了公司成為

44、終端安全的新王。 表表 1：終端安全廠商分類終端安全廠商分類 競爭對手競爭對手 代表廠商代表廠商 技術特點技術特點 傳統殺毒廠商 McAfee、Symantec 傳統的基于特名的防病毒技術，與已知病毒庫的匹配 網絡安全廠商 Palo Alto、Fireeye 以邊界安全為核心，通過收購或自研，補充終端安全能力 新興終端安全廠商 Cylance、Carbon Black 基于純惡意軟件或應用程序白名單技術的端點產品 資料來源: 國信證券經濟研究所整理 請務必閱讀正文之后的免責條款部分 全球視野全球視野 本土智慧本土智慧 Page 12 終端安全的云化：從終端安全的云化：從 Crowdstrike

45、 看云端顛覆看云端顛覆 基于云的終端安全，基于云的終端安全，Crowdstrike 帶來技術和商業模式雙重變革帶來技術和商業模式雙重變革 終端領域的終端領域的 SaaS，Crowdstrike 新架構新架構重塑終端安全重塑終端安全。Crowdstrike 成立于 2011 年，由兩位傳統殺毒軟件 McAfee 的高管創立。公司以威脅情報起家，開啟 EDR 產品的黃金賽道， 不斷推出新產品實現交叉銷售。 公司曾因索尼影業遭黑客入侵事 件， “特朗普通俄門”事件而名聲大噪。相比于傳統殺毒廠商基于特征簽名只能解 決已知威脅，公司創建了一個云安全平臺 Falcon，基于大數據和 AI 的主動防御平 臺

46、，以 SaaS 的模式提供多種安全服務，包括端點安全、安全與 IT 運營、威脅情 報，能夠解決未知威脅。終端安全基于各種海量設備布置（PC、服務器、移動、 IOT、虛擬機云工作負載等） ，SaaS 模式讓各端點更簡單的部署、擴展和管理，迅 速得到市場的歡迎。 表表 2：公司發展歷程：公司發展歷程 時間時間 大事件大事件 2011 年 11 月 Crowdstrike 成立 2012 年 7 月 推出威脅情報產品 2013 年 6 月 推出單一解決方案 EDR 2013 年 8 月 推出威脅搜索云模塊（threat hunting） 2017 年 2 月 推出 IT 衛生云模塊（IT hygie

47、ne），開啟多產品市場策略 2017 年 2 月 推出下一代防病毒云模塊（NGAV） 2017 年 7 月 推出惡意軟件搜索云模塊（Malware search） 2017 年 11 月 推出沙箱和漏洞管理云模塊（Sandbox and vulnerability management） 2018 年 4 月 推出端點保護即服務（Falcon Complete）云模塊 2018 年 8 月 推出設備控制（device control）云模塊 2019 年 2 月 推出首個基于開放云的用于端點安全的應用程序平臺，以及業界首個受信任的第三方應 用生態系統（Crowdstrike Store） 20

48、19 年 3 月 推出首個針對移動設備的企業 EDR 解決方案 2020 年 10 月 Falcon 平臺已發展到 16 個云模塊，覆蓋企業工作負載安全，安全和漏洞管理，托管安 全服務，IT 運營管理和威脅情報服務 資料來源: Crowdstrike 官網、國信證券經濟研究所整理 公司核心技術是基于云端的威脅圖平臺，以及基于海量終端的輕量級代理。 威脅圖（威脅圖（Threat Graph） ：） ： Falcon 平臺的動態威脅數據庫平臺的動態威脅數據庫。威脅圖基于云原生架 構，匯聚海量終端的數據，同時利用自有的和第三方的威脅情報，通過 AI 和模式 匹配技術來尋找惡意活動，包括攻擊能力，動機

49、，歸因和威脅指標。威脅圖每周實 時處理， 關聯和分析全球客戶中超過 4 萬億個與端點相關的事件， 使每分鐘的攻擊 決策指標達到 1.34 億，并為數十億字節的歷史數據編制索引以進行探索和搜索。 各端點獨立的事件看似沒有直接關系，但是通過 AI 的分析，可以挖掘未知威脅。 威脅圖可以為客戶提供實時和歷史的可見性，深入了解端點處發生的事件。 輕量級代理輕量級代理 （Lightweight Agent） ： Falcon 平臺對于每個終端放置的 “傳感器”平臺對于每個終端放置的 “傳感器” 。 代理設計輕巧，消耗 CPU 少于 1%，且無需重啟部署，以靜默的方式自動執行， 每個傳感器每天傳輸約 5-

50、8 MB，對用戶終端沒有干擾。該傳感器主要是捕獲和記 錄終端數據，上傳給 Falcon 平臺，并保護終端安全；且保留了端點上必需的本地 檢測和預防功能，在離線情況下也能工作。輕量代理實現了數據眾包的模式，每個 端點均貢獻自身的威脅數據， 形成廣泛的網絡效應。 該傳感器以機器學習的方式工 作，同時還能兼容本地的第三方殺毒軟件。 請務必閱讀正文之后的免責條款部分 全球視野全球視野 本土智慧本土智慧 Page 13 圖圖 14：Crowdstrike 產品架構和模塊組成產品架構和模塊組成 資料來源: Crowdstrike 官網、國信證券經濟研究所整理 產品模塊持續迭代，跨入產品模塊持續迭代，跨入