證券研究報(bào)告請(qǐng)務(wù)必閱讀正文之后第30頁起的免責(zé)條款和聲明信息安全：防護(hù)手段&策略均面臨變革，板配置時(shí)機(jī)云信息安全：防護(hù)手段&策略均面臨變革，板配置時(shí)機(jī)云化的滲透、遠(yuǎn)程辦公的普及、IT技術(shù)堆棧的復(fù)雜化，使得傳統(tǒng)信息安全體系在面對(duì)復(fù)雜、隱蔽、高頻的惡意軟件攻擊愈加力不從心，安全防御體系亟待變革。在防護(hù)手段方面，我們看到數(shù)據(jù)驅(qū)動(dòng)下的主動(dòng)防御漸成主流，防御體系延展至云端負(fù)載；在防護(hù)策略方面，零信任和SASE的滲透顯著緩解了企業(yè)對(duì)于IT邊界拓展的擔(dān)憂。在行業(yè)變革期，我們看到新一代安全廠商持續(xù)獲得市場(chǎng)份額，且頭部廠商憑借其性能、品牌、客戶等優(yōu)勢(shì)持續(xù)擴(kuò)大領(lǐng)先優(yōu)勢(shì)。立足當(dāng)下，盡管宏觀環(huán)境帶來了一定壓力，行業(yè)的內(nèi)在邏輯并未變化。中長(zhǎng)期來看，陳俊云中信證券研究部核心觀點(diǎn)前瞻研究首席分析師S0001許英博科技產(chǎn)業(yè)首席分析師S120041劉銳前瞻研究分析師安全在企業(yè)IT開支中的優(yōu)先地位、以及防范手段&策略變革驅(qū)動(dòng)的成長(zhǎng)并未發(fā)生改變，當(dāng)前較低的估值水平提供了較優(yōu)的配置時(shí)機(jī)。▍安全重要性日益凸顯，底層技術(shù)面臨變革。1)外部變化：在企業(yè)數(shù)字化、云化加速推進(jìn)的大背景下，伴隨全球數(shù)據(jù)量以及IT技術(shù)堆棧的迅速增加，惡意軟件攻擊的頻次、隱蔽性日益上升，企業(yè)因惡意軟件入侵造成的經(jīng)濟(jì)成本和社會(huì)成本也在快速增加，信息安全重要性愈加凸顯。2)內(nèi)部變化：根據(jù)IDC的調(diào)研數(shù)據(jù)，到2024年，歐美企業(yè)IT部署中44%將為公有云，較2020年的25%提升近80%。傳統(tǒng)的安全防御體系難以對(duì)云端負(fù)載執(zhí)行有效的防御策略，云原生技術(shù)的滲透、多云戰(zhàn)略的普及更是增加了安全防御的難度。與此同時(shí)，隨著云計(jì)算和移動(dòng)設(shè)備的快速普及，企業(yè)計(jì)算環(huán)境日益分散，網(wǎng)絡(luò)邊界日益模糊，傳統(tǒng)基于網(wǎng)絡(luò)位置的信任策略面臨挑戰(zhàn)。傳統(tǒng)安全防御體系亟待變革，新一代信息安全廠商應(yīng)運(yùn)而生。▍防護(hù)手段：數(shù)據(jù)驅(qū)動(dòng)下的主動(dòng)防御漸成主流，防御體系延展至云端負(fù)載。1)端點(diǎn)安全：隨著惡意威脅由原來的盲目、直接轉(zhuǎn)變?yōu)槟繕?biāo)精確、持久隱秘，傳統(tǒng)端點(diǎn)安全產(chǎn)品機(jī)制被動(dòng)、低效且臃腫的問題愈發(fā)突出。而下一代端點(diǎn)安全產(chǎn)品EDR(端點(diǎn)檢測(cè)與響應(yīng))通過輕量級(jí)的前端代理收集數(shù)據(jù)，在后端云平臺(tái)執(zhí)行數(shù)據(jù)的集成和分析，實(shí)現(xiàn)基于“行為”的主動(dòng)防控。IDC預(yù)計(jì)全球企業(yè)端點(diǎn)安全市場(chǎng)規(guī)模將在2026年增長(zhǎng)至206億美元，2021-2026年CAGR為14.9%。2)XDR：XDR(擴(kuò)展檢測(cè)與響應(yīng))作為EDR的自然演進(jìn)，能夠整合多源、孤立、海量的告警，并進(jìn)行數(shù)據(jù)集成與綜合關(guān)聯(lián)分析，提供更加精準(zhǔn)與有價(jià)值的告警。據(jù)IDC數(shù)據(jù)，2021年-2026年，全球云原生XDR市場(chǎng)規(guī)模預(yù)計(jì)將從1.7億美元快速增長(zhǎng)到21.2億美元，對(duì)應(yīng)CAGR為66.1%。3)云安全：伴隨數(shù)字化、云化的持續(xù)滲透，多云/混合云/微服務(wù)架構(gòu)顯著增加了IT堆棧的動(dòng)態(tài)性及復(fù)雜度，傳統(tǒng)安全防護(hù)難以勝任，云安全因此迅速崛起。據(jù)IDC統(tǒng)計(jì)，2021年全球云工作負(fù)載安全市場(chǎng)規(guī)模為22億美元，預(yù)計(jì)到2026年將▍防護(hù)策略：零信任與SASE迅速普及顯著緩解了企業(yè)對(duì)于IT邊界拓展的擔(dān)憂。1)零信任：零信任網(wǎng)絡(luò)訪問(ZTNA)基于端點(diǎn)、網(wǎng)關(guān)、身份認(rèn)證工具的集成，實(shí)現(xiàn)了基于身份而非網(wǎng)絡(luò)位置的新一代防護(hù)策略。根據(jù)Gartner預(yù)測(cè)，到2023年，將有60%的企業(yè)逐步淘汰遠(yuǎn)程VPN訪問，轉(zhuǎn)向零信任網(wǎng)絡(luò)訪問。ZTNA核心組件為身份認(rèn)證和訪問管理(IAM)和安全網(wǎng)關(guān)產(chǎn)品，分別負(fù)責(zé)驗(yàn)證用戶身份與確保合法用戶僅在允許范圍內(nèi)進(jìn)行精細(xì)訪問。2)SASE：SASE (安全訪問服務(wù)邊緣)強(qiáng)調(diào)將SDN(軟件定義網(wǎng)絡(luò))能力和各類網(wǎng)絡(luò)安全能力融合至各個(gè)邊緣節(jié)點(diǎn)中，實(shí)現(xiàn)端點(diǎn)安全的集中化、一體化控制，這一方面將使得網(wǎng)絡(luò)安全廠商加速平臺(tái)化的整合，技術(shù)能力全面的頭部廠商有望強(qiáng)者恒強(qiáng)；另一方面也在持續(xù)推動(dòng)網(wǎng)絡(luò)安全產(chǎn)品軟件化、云化的進(jìn)程。▍市場(chǎng)格局：新一代安全廠商快速獲得份額，頭部效應(yīng)明顯。伴隨著防范手段和請(qǐng)務(wù)必閱讀正文之后的免責(zé)條款和聲明2防范策略的全面變革，行業(yè)格局將迎來重塑，順應(yīng)行業(yè)趨勢(shì)的新一代廠商有望快速獲得份額。頭部廠商將通過內(nèi)部研發(fā)和外延并購等手段實(shí)現(xiàn)功能擴(kuò)充與平臺(tái)化的延展，并依賴集成交付的產(chǎn)品組合及客戶、品牌、數(shù)據(jù)積累層面的領(lǐng)先優(yōu)勢(shì)持續(xù)擴(kuò)大市場(chǎng)份額。2021年，在端點(diǎn)安全領(lǐng)域，我們看到微軟、Crowdstrike、SentinelOne等具有新一代端點(diǎn)安全方案的廠商在快速獲得份額，而TrendMicro、博通(收購賽門鐵克)、Trellix等傳統(tǒng)端點(diǎn)安全廠商則在逐步失去份額；在IAM市場(chǎng)，微軟、Okta等現(xiàn)代身份認(rèn)證廠商實(shí)現(xiàn)了份額的顯著增長(zhǎng)，而博通(收購CA)、Oracle等傳統(tǒng)方案的份額則持續(xù)下降。▍估值&業(yè)績(jī)：板塊估值顯著回調(diào)，配置價(jià)值顯現(xiàn)。估值方面，目前美股安全板塊EV/SNTM為5.8x，顯著低于2015年至今8x左右的平均估值水平；如果將增速納入考量，目前美股安全板塊EV/S/GNTM為0.26x，距離2015年至今0.4x左右的平均估值水平亦差異顯著。此外，結(jié)合財(cái)務(wù)/戰(zhàn)略收購領(lǐng)域?qū)?biāo)的的估值水平，目前板塊整體估值亦處于歷史低位?？紤]到企業(yè)安全開支的剛性以及板塊中長(zhǎng)期的高確定性趨勢(shì)，我們認(rèn)為估值進(jìn)一步向下的空間有限，而向上的彈性則較為明顯。業(yè)績(jī)方面，22Q3財(cái)報(bào)披露完成后，板塊CY2023平均收入增速一致預(yù)期出現(xiàn)了明顯下調(diào)，絕大多數(shù)個(gè)股也在進(jìn)行業(yè)績(jī)預(yù)期的持續(xù)修正。從近期安全板塊的整體增長(zhǎng)情況來看，疫情后加速增長(zhǎng)的情況已經(jīng)過去，而宏觀環(huán)境對(duì)下游需求的壓制亦逐漸體現(xiàn)。我們判斷，2023H1，宏觀環(huán)境仍將對(duì)板塊業(yè)績(jī)?cè)斐沙掷m(xù)的壓力；而進(jìn)入下半年，伴隨經(jīng)濟(jì)環(huán)境的逐步復(fù)蘇以及基數(shù)壓力的明顯減弱，板塊增速有望實(shí)現(xiàn)反彈。從中長(zhǎng)期的角度，安全在企業(yè)IT開支中的優(yōu)先地位、以及防范手段&策略變革驅(qū)動(dòng)的成長(zhǎng)并未發(fā)生改變，當(dāng)下較低的估值水平提供了較優(yōu)的配置時(shí)機(jī)。▍風(fēng)險(xiǎn)因素：原油價(jià)格上行導(dǎo)致歐美高通脹進(jìn)一步失控風(fēng)險(xiǎn)；美債利率快速上行風(fēng)險(xiǎn)；針對(duì)科技巨頭的政策監(jiān)管持續(xù)收緊風(fēng)險(xiǎn)；全球宏觀經(jīng)濟(jì)復(fù)蘇不及預(yù)期風(fēng)險(xiǎn)；宏觀經(jīng)濟(jì)波動(dòng)導(dǎo)致歐美企業(yè)IT支出不及預(yù)期風(fēng)險(xiǎn)；全球云計(jì)算市場(chǎng)發(fā)展不及預(yù)期風(fēng)險(xiǎn)；云計(jì)算企業(yè)數(shù)據(jù)泄露、信息安全風(fēng)險(xiǎn)；行業(yè)競(jìng)爭(zhēng)持續(xù)加劇風(fēng)險(xiǎn)▍投資策略：疫情后數(shù)字化、云化的加速推進(jìn)，以及遠(yuǎn)程辦公場(chǎng)景的迅速滲透，使得企業(yè)信息安全的重要性日益凸顯。而端點(diǎn)側(cè)、云側(cè)、威脅數(shù)據(jù)側(cè)的防范手段正在經(jīng)歷重大變革，ZNTA、SASE等新一代防范策略亦在迅速滲透。市場(chǎng)空間不斷延展，競(jìng)爭(zhēng)格局亦迎來新一輪洗牌。立足當(dāng)下，盡管宏觀環(huán)境帶來了一定壓力，但內(nèi)在邏輯并未變化。中長(zhǎng)期來看，安全在企業(yè)IT開支中的優(yōu)先地位、以及防范手段&策略變革驅(qū)動(dòng)的成長(zhǎng)并未發(fā)生改變，當(dāng)下較低的估值水平提供了較優(yōu)的配置時(shí)機(jī)。從短期配置的角度，我們認(rèn)為Crowdstrike、微軟、PaloAlto等盈利能力較優(yōu)、平臺(tái)化進(jìn)展順利的企業(yè)在當(dāng)下時(shí)點(diǎn)更為穩(wěn)健；而Zscaler、Sentinelone、Cloudflare等增速較快、盈利能力偏弱的標(biāo)的則有望在下半年實(shí)現(xiàn)更優(yōu)的彈性。重點(diǎn)公司盈利預(yù)測(cè)、估值及投資評(píng)級(jí)市值(億美方法21AESFTONTOZscalerZS.OflareNET.N0trikeCRWD.OneloneS.N0.3期請(qǐng)務(wù)必閱讀正文之后的免責(zé)條款和聲明3安全重要性日益凸顯，底層技術(shù)面臨變革 6外部變化：惡意軟件攻擊日趨復(fù)雜，信息安全重要性日益凸顯 6內(nèi)部變化：企業(yè)上云、遠(yuǎn)程辦公對(duì)信息安全提出了新的挑戰(zhàn) 9防護(hù)手段&策略均面臨變革，行業(yè)競(jìng)爭(zhēng)格局迎來重塑 10防護(hù)手段：端點(diǎn)安全由靜態(tài)變?yōu)閯?dòng)態(tài)，從被動(dòng)變?yōu)橹鲃?dòng) 10防護(hù)手段：XDR成為主流發(fā)展趨勢(shì)，滲透率有望快速提升 13 E 防護(hù)策略：SASE將整合的網(wǎng)絡(luò)安全能力推向邊緣 21市場(chǎng)格局：新一代安全廠商快速獲得份額，市場(chǎng)份額持續(xù)向頭部集中 23板塊估值顯著回調(diào)，配置價(jià)值顯現(xiàn) 24 板塊業(yè)績(jī)：不利宏觀環(huán)境下增速承壓，中長(zhǎng)期趨勢(shì)依然明朗 26 請(qǐng)務(wù)必閱讀正文之后的免責(zé)條款和聲明4插圖目錄圖1：全球數(shù)據(jù)量及同比增速(ZB，%) 6圖2：網(wǎng)絡(luò)安全關(guān)鍵詞在企業(yè)文檔中的出現(xiàn)頻次 7圖3：后疫情時(shí)代企業(yè)最需要購買/建立的IT應(yīng)用(%) 8圖4：全球應(yīng)用工作負(fù)載部署位置(%) 9圖5：云遷移對(duì)于公司安全開支的影響(%) 9圖6：在云計(jì)算推動(dòng)下，預(yù)計(jì)支出將獲得增加的安全技術(shù)(%) 9圖7：歐美遠(yuǎn)程辦公的勞動(dòng)力占比(%) 10 圖10：海量數(shù)據(jù)具有規(guī)模效應(yīng)，競(jìng)爭(zhēng)壁壘不斷強(qiáng)化 12圖11：2015~2021年商用PC出貨量及增速(百萬臺(tái)，%) 13圖12：全球端點(diǎn)安全市場(chǎng)收入規(guī)模及增速(十億美元，%) 13圖13：On-Premise與SaaS軟件總體成本占比(3年) 13 圖16：云原生XDR市場(chǎng)總收入(百萬美元) 16圖17：SIEM市場(chǎng)總收入及增速(百萬美元，%) 16 圖19：全球云工作負(fù)載市場(chǎng)規(guī)模及增速(百萬美元，%) 17圖20：IaaS+PaaS市場(chǎng)規(guī)模(十億美元) 18圖21：云安全占公有云市場(chǎng)(IaaS+PaaS)的比例(%) 18圖22：全球虛擬機(jī)數(shù)量及增速(百萬，%) 18圖23：全球容器實(shí)例數(shù)量及增速(百萬，%) 18 圖28：全球IAM市場(chǎng)規(guī)模及增速(百萬美元，%) 20圖29：全球安全網(wǎng)關(guān)市場(chǎng)規(guī)模及增速(百萬美元，%) 21 圖31：全球網(wǎng)絡(luò)安全軟件市場(chǎng)規(guī)模及增速(百萬美元，%) 23圖32：全球安全即服務(wù)(SecurityasaService)市場(chǎng)規(guī)模及增速(百萬美元，%)...23圖33：2021年全球端點(diǎn)安全市場(chǎng)份額(%) 24圖34：2021年全球端點(diǎn)安全市場(chǎng)份額獲得者及丟失者Top5 24圖35：2021年全球IAM市場(chǎng)份額(%) 24IAM得者及丟失者Top5 24圖37：美股軟件SaaS板塊EV/SNTM及十年期國(guó)債收益率(%) 25 40：美股安全板塊重點(diǎn)公司EV/SNTM水平 26圖41：美股重點(diǎn)軟件SaaS公司CY2023平均收入增速一致預(yù)期變化(%) 27圖42：美股主要安全類軟件SaaS公司CY2023平均收入增速一致預(yù)期變化(%)....27圖43：美股主要安全類軟件SaaS公司CY2023收入增速一致預(yù)期調(diào)整(%)...........28請(qǐng)務(wù)必閱讀正文之后的免責(zé)條款和聲明5圖44：美股安全板塊平均Billings增速水平(%).........................................................28表格目錄 表8：全球信息安全領(lǐng)域大型并購估值 26表9：安全領(lǐng)域重點(diǎn)跟蹤公司盈利預(yù)測(cè) 29請(qǐng)務(wù)必閱讀正文之后的免責(zé)條款和聲明6▍安全重要性日益凸顯，底層技術(shù)面臨變革伴隨移動(dòng)互聯(lián)網(wǎng)和AIoT的蓬勃發(fā)展，以及企業(yè)數(shù)字化和云化的持續(xù)推進(jìn)，全球數(shù)據(jù)量以及企業(yè)部署和管理的IT技術(shù)堆棧都在迅速增加。這一方面意味著惡意攻擊者通過勒索軟件、間諜軟件等惡意軟件行為滿足自身利益的動(dòng)機(jī)和訴求日益增強(qiáng)，惡意攻擊的頻次和隱蔽性日益上升；另一方面，也意味著企業(yè)或政府機(jī)構(gòu)因惡意軟件入侵造成的經(jīng)濟(jì)成本、聲譽(yù)成本和社會(huì)成本也在快速增加。2021年，根據(jù)CheckPoint發(fā)布的《CyberSecurityReport2022》，我們看到惡意軟件通過入侵網(wǎng)絡(luò)管理平臺(tái)SolarwindsOrin進(jìn)而向Solarwinds本身以及Solarwinds所服務(wù)的客群進(jìn)行入侵和破壞，導(dǎo)致全球近2,000家企業(yè)和機(jī)構(gòu)受到波及，其中包括美國(guó)司法部下屬的各執(zhí)法機(jī)構(gòu)；也看到全球最為流行的開源日志庫產(chǎn)品ApacheLog4j被報(bào)告存在遠(yuǎn)程代碼/命令執(zhí)行漏洞，攻擊者能夠利用該漏洞對(duì)被攻擊服務(wù)器進(jìn)行遠(yuǎn)程訪問和控制，由于該漏洞的威脅面巨大并且全球存在大量未修補(bǔ)漏洞的系統(tǒng)，攻擊者持續(xù)利用該漏洞嘗試發(fā)起攻擊并在此過程中影響許多企業(yè)機(jī)構(gòu)。此外，REvil勒索軟件集團(tuán)對(duì)肉類加工巨頭JBS以及IT公司Kaseya的企業(yè)客戶發(fā)起的勒索軟件攻擊、Mirai僵尸網(wǎng)絡(luò)對(duì)某金融組織發(fā)起的有史以來最大的分布式拒絕服務(wù)(DDoS)攻擊等均造成了廣泛而嚴(yán)重的損失。B00全球數(shù)據(jù)量(ZB) 同比增速%%%%%%%%%%IDC證券研究部件一種使用加密技術(shù)使目標(biāo)無法訪問其數(shù)據(jù)直到支付贖金的軟件。受害組證付款會(huì)產(chǎn)生必要的解密提供的解密密鑰會(huì)正常運(yùn)作化消息件把自己偽裝成理想的代碼或軟件。一旦被下載，它就可以控制系統(tǒng)，達(dá)病毒和移動(dòng)存儲(chǔ)等進(jìn)行復(fù)制和傳香請(qǐng)務(wù)必閱讀正文之后的免責(zé)條款和聲明7Q5Q6Q5Q6Q7Q8Q9Q0Q1Q2Q3Q4Q5Q6Q7Q8Q9Q0Q1SVirusVirus一段代碼，它將自己插入到應(yīng)用程序中，并在應(yīng)用程序運(yùn)行時(shí)執(zhí)行。一旦應(yīng)用執(zhí)行，病毒就可以被用來竊取敏感數(shù)據(jù)、發(fā)起DDoS攻擊、進(jìn)行勒索軟件攻擊。與木馬和蠕蟲不同，Virus只有在應(yīng)用程序運(yùn)可進(jìn)行執(zhí)行或復(fù)制Rootkit用充分的管理憑證，遠(yuǎn)程控制受害者的計(jì)算機(jī)。ZacinloKeyloggers通過鍵盤記錄器竊取密碼、銀行信息和其他敏感信息OlympicVision僵尸網(wǎng)絡(luò)病毒根據(jù)命令執(zhí)行自動(dòng)任務(wù)的軟件，可以用來執(zhí)行DDoS攻擊Echobot無文件非惡意下很少的足跡，使其難Astaroth000網(wǎng)絡(luò)安全勒索軟件GoogleTrend信證券研究部01國(guó)司法部在美國(guó)聯(lián)邦調(diào)查局(FBI)、美國(guó)緝毒局(DrugenforcementAgency)和美國(guó)法警局(USMarshalsService)等一系列司法部是SolarWindsOrion的買家，該工具被黑客用來執(zhí)行這次攻擊，導(dǎo)致多達(dá)18000SolarWindsDepartmentofJustice表示，它是在平安夜得知自己是受害者的，并透露其02021年2月，流行音樂流媒體平臺(tái)Spotify遭到了虛假認(rèn)證攻擊，而就在三個(gè)月前，類似事件也發(fā)生過。這次攻擊使用該公司在一份聲明中表示這次攻擊與Spotify自身的安全漏洞無關(guān)，網(wǎng)絡(luò)犯罪分子利用人們?cè)诙鄠€(gè)在線賬戶和平臺(tái)上重復(fù)使用相同的密碼來進(jìn)行證書填充。攻擊者只需構(gòu)建自動(dòng)腳032021-26858和CVE-2021-27065的大肆利用。進(jìn)一步的調(diào)查發(fā)現(xiàn)，攻擊者利用零日漏洞竊取多個(gè)用戶郵箱的全部?jī)?nèi)容。此漏洞可遠(yuǎn)程利用，不需要身份驗(yàn)證、特殊知識(shí)或?qū)μ囟ōh(huán)境的訪問。據(jù)估計(jì)，有25萬臺(tái)服務(wù)器成為攻擊的受害者，其中包括美國(guó)約3萬個(gè)組織的服務(wù)器和英國(guó)的7000臺(tái)服務(wù)器。歐洲銀行管理局、挪威議會(huì)和智利金融市場(chǎng)委員會(huì)CMF也受到了影響。04安全局(NSA)、網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局(CISA)和聯(lián)邦調(diào)查局(FBI)發(fā)布了一份聯(lián)合咨詢警告，APT29在針對(duì)美國(guó)目標(biāo)的持續(xù)攻擊中利用了五個(gè)漏洞。根據(jù)該報(bào)告，APT29經(jīng)常利用公開的漏洞對(duì)脆弱的系統(tǒng)進(jìn)行rion部署WellMess惡意軟件針對(duì)COVID-19研究機(jī)構(gòu)，以及利用VMware漏洞(當(dāng)時(shí)是零日漏洞)。05括柴油、汽油和航空燃油。美國(guó)聯(lián)邦調(diào)查局(FBI)發(fā)表聲明確認(rèn)，一個(gè)名叫“Darkside”的黑客團(tuán)伙是這次攻擊的幕后黑請(qǐng)務(wù)必閱讀正文之后的免責(zé)條款和聲明8取解密密鑰。隨后，美國(guó)聯(lián)邦調(diào)查局(FBI)宣布，他們已經(jīng)取回了贖金賬戶的私鑰，并追回062021年6月，美國(guó)肉類加工巨頭JBS遭遇勒索軟件攻擊，影響了其北美和澳大利亞業(yè)務(wù)。聯(lián)邦調(diào)查局將這次攻擊歸咎REvil集團(tuán)。這次襲擊迫使JBS暫時(shí)關(guān)閉了在美國(guó)的所有牛肉工廠。該公司在加拿大的一家工廠也受到了影JBL席執(zhí)行官透露，該公司向黑客支付了1100萬美元，這是一個(gè)“非常痛苦但必要的決定”，盡管該公司能夠從自己的備份中恢復(fù)其大部分系0607REvilMSPs。黑客成功植入了IT公KaseyaVSA件安裝程序。估計(jì)有1000家公司受到Kaseya在其網(wǎng)站上發(fā)布了安全建議，警告所有客戶在調(diào)查期間立即關(guān)閉他們的VSA服務(wù)器，以防止攻擊擴(kuò)散。為了攻ilDIVD利用該漏洞實(shí)施了攻擊，勒索金額從4.5萬美元到500萬美元不等。在對(duì)KaseyaVSA服務(wù)器的攻擊中，0708備，如閉路電視攝像頭和路由器。此后出現(xiàn)了許多僵尸網(wǎng)絡(luò)的變種，目標(biāo)設(shè)備的列表擴(kuò)大到包括Linux路由器和服務(wù)080909.102021年10月，負(fù)責(zé)多次勒索軟件攻擊的REvil勒索軟件團(tuán)伙的基礎(chǔ)設(shè)施在三個(gè)月內(nèi)第二次被攻破并被強(qiáng)行摧毀，導(dǎo)致他們的行動(dòng)陷入停頓。在此之前，REvil的泄密網(wǎng)站“快樂博客”曾在7月份被關(guān)閉(同時(shí)，REvil的一個(gè)幫派頭目.1011EmotetEmotet機(jī)器人僵尸網(wǎng)絡(luò)啟動(dòng)了它的111212月9日，Apache日志包Log4j22.14.1及以下版本(CVE-2021-44228)中報(bào)告了一個(gè)急性遠(yuǎn)程代碼執(zhí)行(RCE)漏Logj12的IT應(yīng)用(%)數(shù)據(jù)分析人工智能技術(shù)支持軟件開發(fā) 流程自動(dòng)化UX)企業(yè)架構(gòu)企業(yè)應(yīng)用程序36.05%31.05%26.76%25.49%23.79%23.29%21.25%18.89%15.70%14.98%10.00%15.00%20.00%25.00%30.00%35.00%40.00%IDC證券研究部請(qǐng)務(wù)必閱讀正文之后的免責(zé)條款和聲明9部變化：企業(yè)上云、遠(yuǎn)程辦公對(duì)信息安全提出了新的挑戰(zhàn)IT基礎(chǔ)設(shè)施加速向云端遷移，信息安全迎來變數(shù)和機(jī)遇。目前，IT基礎(chǔ)設(shè)施云化部署已成為高確定性趨勢(shì)，根據(jù)IDC數(shù)據(jù)，存儲(chǔ)在公有云中數(shù)據(jù)已經(jīng)在2020年追平傳統(tǒng)數(shù)據(jù)中心，且占比仍將不斷提升；同樣根據(jù)IDC的調(diào)研數(shù)據(jù)，到2024年，預(yù)計(jì)歐美企業(yè)IT部署中44%將為公有云，較2020年的25%提升近80%。此前部署在本地的工作負(fù)載向云端的遷移，對(duì)企業(yè)傳統(tǒng)的網(wǎng)絡(luò)安全體系提出了挑戰(zhàn)，一方面?zhèn)鹘y(tǒng)的安全防御體系主要用來保護(hù)本地部署的工作負(fù)載和數(shù)據(jù)安全，但難以對(duì)云端負(fù)載執(zhí)行有效的防御策略；另一方面，云原生技術(shù)滲透帶來的應(yīng)用架構(gòu)變革(容器、微服務(wù)等)，以及多云戰(zhàn)略的普及等，使得企業(yè)IT架構(gòu)日趨復(fù)雜且動(dòng)態(tài)，顯著增加了安全防御的難度。但與此同時(shí)，公有云自身高彈性、高延展性的特點(diǎn)使得海量安全數(shù)據(jù)的儲(chǔ)存、關(guān)聯(lián)、分析成為可能，新一代安全廠商能夠利用基于數(shù)據(jù)集持續(xù)訓(xùn)練和優(yōu)化ML算法，用基于AI的主動(dòng)防御取代過去基于歷史數(shù)據(jù)的被動(dòng)防御，顯著提升防范能力、規(guī)避相關(guān)損失。因此，我們認(rèn)為云遷移帶來的防御范圍和防御難度的升級(jí)將顯著增加公司的安全開支，而利用公有云優(yōu)勢(shì)提供防御服務(wù)的新一代安全廠商將受益最為明顯。圖4：全球應(yīng)用工作負(fù)載部署位置(%)本地部署場(chǎng)地租用托管公有云截至2024截至2021截至20200%10%20%30%40%50%60%70%80%90%100%影響(%)Oct-20Oct-210%推動(dòng)增加負(fù)面影響幾乎無影響推動(dòng)增加負(fù)面影響AlphaWise研究部圖6：在云計(jì)算推動(dòng)下，預(yù)計(jì)支出將獲得增加的安全技術(shù)(%)0%IDC證券研究部請(qǐng)務(wù)必閱讀正文之后的免責(zé)條款和聲明10遠(yuǎn)程辦公快速滲透，企業(yè)網(wǎng)絡(luò)邊界日益模糊。傳統(tǒng)的安全體系下，企業(yè)大部分開銷被用于保障流量在網(wǎng)絡(luò)內(nèi)外的傳輸安全，即將所有企業(yè)流量匯集到網(wǎng)關(guān)，同時(shí)通過網(wǎng)絡(luò)外圍防火墻阻止所有不良流量。網(wǎng)絡(luò)外圍安全系統(tǒng)通過網(wǎng)絡(luò)位置來劃分“信任區(qū)域”，外部不受信任，內(nèi)部則屬于受信特權(quán)網(wǎng)絡(luò)。但這種基于網(wǎng)絡(luò)位置的安全體系存在著天然缺陷，一旦被滲透到信任區(qū)域，將無法有效隔離和保護(hù)數(shù)據(jù)資產(chǎn)。隨著云計(jì)算和移動(dòng)設(shè)備的快速普及，企業(yè)計(jì)算環(huán)境日益分散，網(wǎng)絡(luò)邊界日益模糊，網(wǎng)絡(luò)外圍的安全也越來越難以得到保護(hù)：當(dāng)員工開始移動(dòng)時(shí)，VPN通過擴(kuò)展網(wǎng)絡(luò)將內(nèi)部信任擴(kuò)展到遠(yuǎn)程員工，而攻擊者會(huì)通過非法獲取VPN憑據(jù)以濫用此信任；當(dāng)需要外部訪問時(shí)，服務(wù)又會(huì)移動(dòng)到DMZ (demilitarizedzone，為了解決安裝防火墻后外部網(wǎng)絡(luò)的訪問用戶不能訪問內(nèi)部網(wǎng)絡(luò)服務(wù)器的問題而設(shè)立的一個(gè)非安全系統(tǒng)與安全系統(tǒng)之間的緩沖區(qū))中，從而使它們暴露給攻擊者。究其本質(zhì)，過度的隱性網(wǎng)絡(luò)信任，會(huì)產(chǎn)生過度的潛在風(fēng)險(xiǎn)。在這種背景下，零信任網(wǎng)絡(luò)訪問(ZTNA)和安全訪問服務(wù)邊緣(SASE)應(yīng)運(yùn)而生并快速普及。圖7：歐美遠(yuǎn)程辦公的勞動(dòng)力占比(%)HH0200%部國(guó)IDC證券研究部▍防護(hù)手段&策略均面臨變革，行業(yè)競(jìng)爭(zhēng)格局迎來重塑防護(hù)手段：端點(diǎn)安全由靜態(tài)變?yōu)閯?dòng)態(tài)，從被動(dòng)變?yōu)橹鲃?dòng)隨著網(wǎng)絡(luò)威脅行為從盲目粗暴轉(zhuǎn)變?yōu)榫_隱秘，端點(diǎn)安全產(chǎn)品不斷進(jìn)化，從靜態(tài)變?yōu)閯?dòng)態(tài)，從被動(dòng)變?yōu)橹鲃?dòng)，從基于“特征”變?yōu)榛凇靶袨椤?。?dāng)前，端點(diǎn)安全市場(chǎng)處于變革時(shí)期，新一代端點(diǎn)安全產(chǎn)品將迎來高速發(fā)展。端點(diǎn)概念不斷擴(kuò)展，端點(diǎn)安全至關(guān)重要。端點(diǎn)是用于訪問組織數(shù)據(jù)和網(wǎng)絡(luò)的任何連接設(shè)備，隨著新設(shè)備的不斷涌現(xiàn)，端點(diǎn)的定義持續(xù)擴(kuò)大，包括服務(wù)器、移動(dòng)設(shè)備、工業(yè)系統(tǒng)、物聯(lián)網(wǎng)設(shè)備、汽車等。大多數(shù)企業(yè)通常都將安全工作和防御控制集中在網(wǎng)絡(luò)邊界，認(rèn)為這是抵御潛在攻擊者的最佳方式。但是一旦攻擊者繞過公司防火墻和其他外圍安全控件通過端點(diǎn)進(jìn)入內(nèi)網(wǎng)，往往就可以自由施請(qǐng)務(wù)必閱讀正文之后的免責(zé)條款和聲明11展了。更糟糕的是，盡管邊界控制可能會(huì)阻止外部的不良行為者闖入，但這無助于防止內(nèi)部威脅。因此，端點(diǎn)安全是企業(yè)安全防護(hù)體系的重要一環(huán)。安全威脅形態(tài)演化升級(jí)，傳統(tǒng)端點(diǎn)安全產(chǎn)品問題凸顯。最早期的網(wǎng)絡(luò)威脅源自所謂的病毒，因此最早的終端防護(hù)手段就是殺毒軟件和防火墻。然而隨著惡意威脅由原來的盲目、直接、粗暴轉(zhuǎn)變?yōu)橛心繕?biāo)、精確、持久隱秘，傳統(tǒng)端點(diǎn)安全產(chǎn)品的問題愈發(fā)突出：(1)應(yīng)對(duì)機(jī)制是被動(dòng)的，只有受到攻擊后才能感知和捕獲；(2)無法有效防御具有針對(duì)性的攻擊，例如利用惡意軟件的變種、腳本化工具將惡意軟件加殼使其隨機(jī)產(chǎn)生新的惡意軟件等；(3)傳統(tǒng)防御產(chǎn)品依靠特征庫的更新來發(fā)現(xiàn)新的惡意威脅，但隨著攻擊者們使用不同技術(shù)逃避傳統(tǒng)的檢測(cè)和防御，同時(shí)每天新增惡意樣本，這種檢測(cè)手段顯得力不從心，整體規(guī)模也愈發(fā)臃腫。EPP(終端保護(hù)平臺(tái))的出現(xiàn)一定程度上彌補(bǔ)了傳統(tǒng)殺毒軟件的劣勢(shì)，但同樣存在無法應(yīng)對(duì)未知威脅、多個(gè)功能模塊堆疊等問題。Kaspersky券研究部基于行為進(jìn)行主動(dòng)防控，新一代端點(diǎn)安全產(chǎn)品優(yōu)勢(shì)顯著。在此背景下，下一代端點(diǎn)安全產(chǎn)品誕生并占據(jù)有利地位。其中最具代表性的便是EDR(端點(diǎn)檢測(cè)與響應(yīng))，通過對(duì)端點(diǎn)進(jìn)行持續(xù)檢測(cè)，發(fā)現(xiàn)異常行為并對(duì)其進(jìn)行分析，結(jié)合機(jī)器學(xué)習(xí)和人工智能檢測(cè)和防護(hù)未知威脅。新一代端點(diǎn)安全產(chǎn)品具備兩大核心特征：(1)基于“行為”進(jìn)行主動(dòng)防控。EDR不僅僅通過“特征”進(jìn)行“預(yù)防”，更依靠“行為”進(jìn)行“檢測(cè)”，并且進(jìn)行“響應(yīng)”。同時(shí)，EDR不僅著眼于單個(gè)終端的防御，而是對(duì)各個(gè)終端的事件進(jìn)行關(guān)聯(lián)分析，還原整個(gè)攻擊的流程，描繪出攻擊事件的全貌。(2)輕量級(jí)代理。利用輕量級(jí)引擎將經(jīng)典安全功能進(jìn)行一體化設(shè)計(jì)，降低客戶部署及運(yùn)維成本。長(zhǎng)期來看，新一代端點(diǎn)安全產(chǎn)品具有的主動(dòng)防御和輕量級(jí)代理兩大特點(diǎn)已成為端點(diǎn)安全產(chǎn)品發(fā)展的趨勢(shì)。請(qǐng)務(wù)必閱讀正文之后的免責(zé)條款和聲明12據(jù)據(jù)全行為數(shù)據(jù)的采集和存儲(chǔ)從全網(wǎng)的終端設(shè)備中持續(xù)收集安全相關(guān)數(shù)據(jù)，并實(shí)時(shí)的將采集到的終據(jù)統(tǒng)一存儲(chǔ)在云端數(shù)據(jù)庫中測(cè)將終端數(shù)據(jù)與來自威脅情報(bào)服務(wù)的數(shù)據(jù)實(shí)時(shí)關(guān)聯(lián)，使用高級(jí)分析和機(jī)，在已知威脅或可疑活動(dòng)發(fā)生之前實(shí)時(shí)識(shí)別的調(diào)查和分析提供終端安全大數(shù)據(jù)搜索的能力，能夠針對(duì)威脅事件進(jìn)行深入的鉆取分析，還原出威脅事件的時(shí)間軸，追溯其來源，分析影響范圍、造成關(guān)信息脅事件進(jìn)行快速響應(yīng)IBM證券研究部COMTACT研究部率究部繪制請(qǐng)務(wù)必閱讀正文之后的免責(zé)條款和聲明1321%521%54%市場(chǎng)規(guī)模：我們認(rèn)為，新一代端點(diǎn)安全方案的滲透驅(qū)動(dòng)了全球端點(diǎn)安全市場(chǎng)的持續(xù)快速增長(zhǎng)：1)疫情催化下的遠(yuǎn)程辦公場(chǎng)景催化了商業(yè)PC的需求，而物聯(lián)網(wǎng)和智能汽車等新興產(chǎn)業(yè)的發(fā)展也為端點(diǎn)安全市場(chǎng)的增長(zhǎng)提供了強(qiáng)勁動(dòng)力；2)部署在云端的現(xiàn)代端點(diǎn)安全方案提升了防范效果、降低了客戶運(yùn)維成本，整體ARPU較傳統(tǒng)端點(diǎn)安全產(chǎn)品亦能夠有一定程度的提升；3)輕量級(jí)的代理以及統(tǒng)一的后端云平臺(tái)顯著降低了新功能cross-sale的難度及復(fù)雜度，進(jìn)一步擴(kuò)展了市場(chǎng)空間。根據(jù)IDC數(shù)據(jù)，2021年-2026年，全球企業(yè)端點(diǎn)安全市場(chǎng)規(guī)模預(yù)計(jì)將以14.9%的年均復(fù)合增長(zhǎng)率增長(zhǎng)，從103億美元增長(zhǎng)到206億美元；其中，服務(wù)器安全市場(chǎng)從25億美元增長(zhǎng)到55億美元，年均復(fù)合增長(zhǎng)率為14.4%；其他端點(diǎn)安全市場(chǎng)從78億美元增長(zhǎng)到152億美元，年均復(fù)合增長(zhǎng)率為16.6%。 (除教育行業(yè)) YoY % 125120 -6%201920200162017IDC證券研究部86420202120222023202420252026IDC)，中信證券研究部注：2022年及以后軟件許可/軟件訂閱硬件基礎(chǔ)設(shè)施實(shí)施成本人力成本內(nèi)部管理費(fèi)用0%iseKaspersky券研究部可演進(jìn)式集成安全架構(gòu)，有效提升安全防護(hù)的有效性。XDR(ExtendedDetectionAndResponse：擴(kuò)展檢測(cè)與響應(yīng))于2018年由PaloAlto首席技術(shù)官NirZuk提出，其請(qǐng)務(wù)必閱讀正文之后的免責(zé)條款和聲明14將檢測(cè)范圍擴(kuò)大到終端之外，是一種跨多個(gè)安全層收集并自動(dòng)關(guān)聯(lián)信息以實(shí)現(xiàn)快速威脅檢測(cè)的方法。XDR是端點(diǎn)檢測(cè)與響應(yīng)(EDR)的自然演進(jìn)，在發(fā)展過程中逐漸結(jié)合了安全信息和事件管理(SIEM)、安全編排自動(dòng)化和響應(yīng)(SOAR)、以及網(wǎng)絡(luò)流量分析 (NTA)，集中安全數(shù)據(jù)和事件響應(yīng)。面對(duì)不斷加速的數(shù)字化轉(zhuǎn)型和紛繁復(fù)雜的網(wǎng)絡(luò)攻擊，XDR可促進(jìn)威脅防御、檢測(cè)、響應(yīng)等安全功能之間的協(xié)同和互操作，幫助企業(yè)提升威脅檢測(cè)和響應(yīng)的效率和效果。網(wǎng)站，中信證券研究部提供更多可見性和背景信息，通過整體檢測(cè)和響應(yīng)策略消除安全孤島。當(dāng)前，傳統(tǒng)安全系統(tǒng)面臨著更加隱蔽、更加智能、更具破壞性的新一代網(wǎng)絡(luò)攻擊，高級(jí)威脅的發(fā)現(xiàn)越來越難以通過單一的安全能力來實(shí)現(xiàn)。多個(gè)安全設(shè)備產(chǎn)生的缺乏有效信息的海量告警、孤島式安全能力建設(shè)的缺陷、現(xiàn)有安全產(chǎn)品自動(dòng)化能力不高、企業(yè)被動(dòng)的安全防御策略等現(xiàn)實(shí)困境，使得企業(yè)急需尋找一種新的網(wǎng)絡(luò)安全防護(hù)措施。XDR橫跨各種端點(diǎn)、網(wǎng)絡(luò)、SaaS應(yīng)用、云基礎(chǔ)設(shè)施等各種可以處理的IT資源，將原本分布于各種檢測(cè)系統(tǒng)的孤立海量告警進(jìn)行整合，通過在各種檢測(cè)系統(tǒng)之上的數(shù)據(jù)集成與綜合關(guān)聯(lián)分析，呈現(xiàn)給用戶更加精準(zhǔn)和有價(jià)值的告警，顯著提高了安全人員的工作效率。同時(shí)，XDR還具備與單一的安全工具之間的API對(duì)接與基礎(chǔ)的編排能力，從而能夠快速地實(shí)施告警響應(yīng)與威脅緩能力制點(diǎn)支持對(duì)終端、網(wǎng)絡(luò)、云和工作負(fù)載的安全防護(hù)和控制能力，獲取更大范圍的安全把各種安全日志、告警等數(shù)據(jù)進(jìn)行匯總，以便于進(jìn)一步的威脅分析；聯(lián)動(dòng)不同層面的安全產(chǎn)品，阻斷不安全的訪問請(qǐng)求、隔離被攻陷的主機(jī)、修復(fù)系統(tǒng)漏洞/問降低用戶權(quán)限、下發(fā)檢測(cè)策略等響應(yīng)執(zhí)行操作。處理和機(jī)器學(xué)習(xí)匯聚了全局的安全數(shù)據(jù)(包括各種安全日志、告警、網(wǎng)絡(luò)流量、外部威脅情報(bào)等)，比單個(gè)安全產(chǎn)品提供更加強(qiáng)大的威脅檢測(cè)能力。海量安全數(shù)據(jù)的處理需要請(qǐng)務(wù)必閱讀正文之后的免責(zé)條款和聲明15能力具備大數(shù)據(jù)存儲(chǔ)、傳輸、分析等能力，需要依賴機(jī)器學(xué)習(xí)等人工智能算法增強(qiáng)對(duì)高級(jí)威脅的分析、攻擊殺傷鏈的理解和還原；讓安全人員可以聚焦處理數(shù)量有需要企業(yè)安全人員手動(dòng)操作的頻率和人為操作出錯(cuò)的概率，提高安全運(yùn)營(yíng)效率；XDR支持安全響應(yīng)任務(wù)的編排能力，讓用戶對(duì)文件、權(quán)限、主機(jī)和網(wǎng)絡(luò)執(zhí)行經(jīng)過預(yù)先設(shè)計(jì)編排過的手動(dòng)和自動(dòng)的補(bǔ)救措施，提高。能力增強(qiáng)了企業(yè)用戶的安全可見性，提升威脅檢測(cè)時(shí)Gartner究部XDRvsSIEM：SIEM從企業(yè)的幾乎所有來源收集大量日志和數(shù)據(jù)并向安全人員發(fā)送警報(bào)，但未考慮數(shù)據(jù)的有效性，導(dǎo)致安全團(tuán)隊(duì)被許多無法分類或調(diào)查的警報(bào)淹沒而忽略關(guān)鍵警報(bào)。此外，即使SIEM從諸多來源和傳感器捕獲數(shù)據(jù)，它仍然是一種發(fā)出警報(bào)的被動(dòng)分析工具，無法跨多個(gè)端點(diǎn)自動(dòng)協(xié)調(diào)對(duì)網(wǎng)絡(luò)威脅的一致實(shí)時(shí)響應(yīng)。而XDR收集的數(shù)據(jù)比SIEM解決方案所收集的數(shù)據(jù)更精準(zhǔn)，減少了需要大量手動(dòng)集成和調(diào)整的工作，XDR還能夠分析多個(gè)來源的數(shù)據(jù)以驗(yàn)證警報(bào)，從而減少誤報(bào)和整體警報(bào)量，提高了SOC的運(yùn)營(yíng)效率。另一方面，XDR可以對(duì)網(wǎng)絡(luò)和端點(diǎn)防御進(jìn)行主動(dòng)上下文感知調(diào)整以消除威脅，同時(shí)提醒SOC團(tuán)隊(duì)成員進(jìn)行調(diào)查。綜上，XDR可以改進(jìn)威脅檢測(cè)和響應(yīng)，使SOC實(shí)現(xiàn)流程的現(xiàn)代化、集成和自動(dòng)化。盡管SIEM作為收集安全信息和事件最為全面的手段仍將持續(xù)存在，但效率更高、實(shí)時(shí)性更強(qiáng)的XDR方法料將對(duì)SIEM的適用場(chǎng)景持續(xù)滲透，實(shí)現(xiàn)快速的增長(zhǎng)。點(diǎn)DR整合孤立的安全工具，提高威脅可見性、減輕通常只聚焦于威脅檢測(cè)與響應(yīng)；可能導(dǎo)致對(duì)收集各類網(wǎng)絡(luò)設(shè)備的日志數(shù)據(jù)，向安全人員發(fā)發(fā)出海量警報(bào)的被動(dòng)分析工具，無法識(shí)別警，無法提供日志的上下文信息owdStrikeXDR成為業(yè)內(nèi)主流發(fā)展趨勢(shì)，滲透率有望進(jìn)一步提升。2020年，Gartner將XDR列為第一大安全技術(shù)趨勢(shì)以及2020-2021年十大安全項(xiàng)目之一，并表示XDR解決方案將“提高檢測(cè)準(zhǔn)確性，并提高安全運(yùn)營(yíng)效率和生產(chǎn)率”。在Gartner技術(shù)成熟度曲線中，端點(diǎn)安全和安全運(yùn)營(yíng)兩個(gè)領(lǐng)域在2020年和2021年都提及了XDR。2022年，XDR站上了安全運(yùn)營(yíng)成熟度曲線頂端，成為安全運(yùn)營(yíng)體系中最炙手可熱的技術(shù)之一。根據(jù)Gartner的報(bào)告，2020年使用XDR技術(shù)的組織少于5%，但預(yù)計(jì)到2027年這一數(shù)字將上升至40%。根據(jù)IDC數(shù)據(jù)，2021年-2026年，全球云原生XDR市場(chǎng)規(guī)模預(yù)計(jì)將以66.1%的年均復(fù)合增長(zhǎng)率增長(zhǎng)，從1.7億美元快速增長(zhǎng)到21.2億美元。請(qǐng)務(wù)必閱讀正文之后的免責(zé)條款和聲明16Gartner究部0市場(chǎng)規(guī)模YoY%%%%%202120222023202420252026M000 YoYE%EEEEKaspersky券研究部XDR有望驅(qū)動(dòng)行業(yè)平臺(tái)化整合，份額向頭部廠商集中。由于XDR模型致力于實(shí)現(xiàn)跨各類安全產(chǎn)品的數(shù)據(jù)集成與綜合關(guān)聯(lián)分析，我們認(rèn)為行業(yè)內(nèi)的頭部廠商將顯著受益：一方面，頭部廠商均積極推動(dòng)產(chǎn)品平臺(tái)化演進(jìn)，能夠提供多種安全產(chǎn)品和能力的整合交付，亦能實(shí)現(xiàn)自身產(chǎn)品的數(shù)據(jù)集成；另一方面，頭部廠商亦能建立全面的合作生態(tài)，與多個(gè)環(huán)節(jié)的供應(yīng)商聯(lián)合實(shí)現(xiàn)XDR的能力。2021年10月，CrowdStrike推出XDR模塊，同時(shí)發(fā)起成立CrowdXDR聯(lián)盟，啟動(dòng)合作伙伴包括來自云、Web、電子郵件、身份、網(wǎng)絡(luò)、ITOM等安全和IT行業(yè)的領(lǐng)導(dǎo)者。該聯(lián)盟為數(shù)據(jù)交換建立一個(gè)共享模式，通過特定供應(yīng)商的安全遙測(cè)豐富底層XDR數(shù)據(jù)以進(jìn)行關(guān)聯(lián)分析，為跨域調(diào)查提供統(tǒng)一的控制臺(tái)以實(shí)現(xiàn)威脅檢測(cè)和響應(yīng)。而PaloAlto和微軟亦分別在XDR領(lǐng)域推出了CortexXDR與MicrosoftXDR產(chǎn)品。請(qǐng)務(wù)必閱讀正文之后的免責(zé)條款和聲明17Crowdstrike證券研究部云工作負(fù)載安全是針對(duì)部署在云端的虛擬機(jī)、容器等工作負(fù)載的安全解決方案，能夠在漏洞風(fēng)險(xiǎn)、入侵威脅檢測(cè)、主動(dòng)防御、快速響應(yīng)以及安全管理等方面為工作負(fù)載提供全面的保護(hù)。我們認(rèn)為，云工作負(fù)載安全市場(chǎng)增長(zhǎng)主要受到以下幾點(diǎn)因素的驅(qū)動(dòng)：1)伴隨數(shù)字化、云化的持續(xù)滲透，企業(yè)部署在云端的工作負(fù)載不斷增加；2)多云、混合云的部署，以及微服務(wù)架構(gòu)的持續(xù)滲透顯著增加了IT堆棧的動(dòng)態(tài)性及復(fù)雜度，亦顯著提升了安全防范的難度和重要性。根據(jù)IDC數(shù)據(jù)，2021年全球云工作負(fù)載安全市場(chǎng)規(guī)模為22億美元，預(yù)計(jì)到2026年將增長(zhǎng)至51億美元，2021-2026年CAGR為18.5%。我們認(rèn)為，這一市場(chǎng)的增長(zhǎng)空間可能被顯著低估：根據(jù)IDC，目前安全開支占企業(yè)IT總開支約10%，但目前云安全占公有云市場(chǎng)(IaaS+PaaS)的比例則尚不及2%?？紤]到云環(huán)境本身動(dòng)態(tài)、復(fù)雜的特點(diǎn)，以及IT基礎(chǔ)設(shè)施上云的持續(xù)推進(jìn)，我們認(rèn)為云計(jì)算環(huán)境下的安全開支將持續(xù)增長(zhǎng)。00市場(chǎng)規(guī)模YoYEEEEEIDC證券研究部請(qǐng)務(wù)必閱讀正文之后的免責(zé)條款和聲明180.0%0.0%aaS000IDC研究部圖21：云安全占公有云市場(chǎng)(IaaS+PaaS)的比例(%)EEEEEIDC研究部00虛擬機(jī)數(shù)量YoY-虛擬機(jī)數(shù)量000容器實(shí)例數(shù)量YoY%%%%%%IDC研究部IDC研究部全數(shù)據(jù)管理多云或多數(shù)據(jù)中心部署/管理/集成容器的可靠性/穩(wěn)定性缺乏部署或管理容器基礎(chǔ)架構(gòu)的技能或再培訓(xùn)缺乏開發(fā)云原生或微服務(wù)應(yīng)用程序的技能或再…了解如何對(duì)容器中的應(yīng)用程序進(jìn)行故障排除現(xiàn)有應(yīng)用程序與容器的兼容性實(shí)現(xiàn)容器的自動(dòng)擴(kuò)展網(wǎng)容器化應(yīng)用程序的監(jiān)控實(shí)施持久存儲(chǔ)實(shí)施災(zāi)難恢復(fù)滿足合規(guī)性/監(jiān)管要求實(shí)現(xiàn)容器編排文化/組織/態(tài)度改變實(shí)現(xiàn)日志記錄0%5%10%15%20%25%30%IDC證券研究部請(qǐng)務(wù)必閱讀正文之后的免責(zé)條款和聲明19Gartner究部零信任：解決企業(yè)IT邊界擴(kuò)展憂慮。零信任網(wǎng)絡(luò)訪問(ZTNA)假設(shè)外部和內(nèi)部威脅每時(shí)每刻都充斥著網(wǎng)絡(luò)，信任永遠(yuǎn)不應(yīng)該是基于網(wǎng)絡(luò)位置隱含的，而是要在基于細(xì)粒度的用戶、設(shè)備的身份認(rèn)證來獲得的。因此，ZTNA僅授予特定用戶對(duì)于特定服務(wù)或是應(yīng)用程序的訪問權(quán)限，而不是如VPN授予對(duì)于整個(gè)網(wǎng)絡(luò)的訪問權(quán)限，這種架構(gòu)將很大程度限制可利用攻擊面的范圍。根據(jù)Gartner預(yù)測(cè)，到2023年，將有60%的企業(yè)逐步淘汰遠(yuǎn)程VPN訪問，轉(zhuǎn)向零信任網(wǎng)絡(luò)訪問。請(qǐng)務(wù)必閱讀正文之后的免責(zé)條款和聲明20我們認(rèn)為，ZTNA的核心組件為身份認(rèn)證和訪問管理(IAM)和安全網(wǎng)關(guān)(SWG和CASB)產(chǎn)品。其中，身份認(rèn)證和訪問管理產(chǎn)品能夠通過生物特征、行為分析、地理位置、使用設(shè)備等多種方式驗(yàn)證用戶身份，并使用訪問控制引擎為多個(gè)應(yīng)用場(chǎng)景(B2E、B2B和B2C)的目標(biāo)應(yīng)用提供集中身份驗(yàn)證、SSO(單點(diǎn)登錄)、會(huì)話管理和授權(quán)實(shí)施。而安全網(wǎng)關(guān)產(chǎn)品能夠?qū)W(wǎng)絡(luò)進(jìn)行端到端分段，以確保合法用戶僅對(duì)其特權(quán)憑據(jù)內(nèi)允許的應(yīng)用程序或者Web內(nèi)容進(jìn)行精細(xì)訪問，其中SWG(SecureWebGateway)主要充當(dāng)公司設(shè)備和互聯(lián)網(wǎng)內(nèi)容間的網(wǎng)關(guān)，而CASB(CloudAccessSecurityBroker)主要充當(dāng)公司設(shè)備和云服務(wù)間的網(wǎng)關(guān)。根據(jù)IDC，全球IAM市場(chǎng)規(guī)模預(yù)計(jì)將在2025年達(dá)到192億美元，2020-2025年CAGR為11.6%，其中云產(chǎn)品的CAGR為18.6%；全球安全網(wǎng)關(guān)市場(chǎng)規(guī)模究部繪制0000留方案留方案份管理%%EEEEEIDC證券研究部請(qǐng)務(wù)必閱讀正文之后的免責(zé)條款和聲明21及增速(百萬美元，%)0CASBSWGYoY20202021E2022E2023E2024E2025E%IDC證券研究部使用訪問控制引擎為多個(gè)應(yīng)用場(chǎng)景(B2E、B2B和B2C)的目標(biāo)應(yīng)用程序提供集中身份驗(yàn)證、SSO(單點(diǎn)登錄)、會(huì)話管理和授權(quán)實(shí)施。多因素身份認(rèn)證以及對(duì)現(xiàn)代身份協(xié)議(如SAML、OAuth2和OIDC)的支持均為訪問管理的核心要指代替?zhèn)鹘y(tǒng)密碼的一系列身份驗(yàn)證方法以及解決方案，MFA (多因素身份認(rèn)證)是目前最為主流的身份認(rèn)證方案，通過生行為分析、地理位置、使用設(shè)備等多種方式驗(yàn)證用戶市場(chǎng)較為分散，訪問管理廠商以及安全廠商均能提供身解決方案特權(quán)訪問管理部攻擊者入侵和破壞的首要對(duì)象。而PAM提供了對(duì)特權(quán)管理員帳戶的精準(zhǔn)訪問控制，可以最大限度地保護(hù)敏感數(shù)據(jù)及信neIdentify身份治理管理IGA系統(tǒng)是IAM生態(tài)的重要組成部分，它們必須管理數(shù)量迅源，以及如何使用這些資源。Gartner究部隨著企業(yè)越來越多地依賴于基于云的應(yīng)用程序，并支持分布式工作流以支持遠(yuǎn)程和移動(dòng)端用戶，企業(yè)網(wǎng)絡(luò)迅速超出傳統(tǒng)的網(wǎng)絡(luò)邊緣。盡管網(wǎng)絡(luò)的發(fā)展速度足以支持遠(yuǎn)程端點(diǎn)的工作流程，但絕大多數(shù)安全工具并未跟上發(fā)展的步伐。為了保護(hù)現(xiàn)代企業(yè)網(wǎng)絡(luò)下的網(wǎng)絡(luò)安全，所有端點(diǎn)都必須使用與其本地基礎(chǔ)架構(gòu)相同的安全和網(wǎng)絡(luò)策略進(jìn)行保護(hù)和管理，安全訪問服務(wù)邊緣(SASE)應(yīng)運(yùn)而生。SASE是Gartner于2019年提出的一個(gè)新的網(wǎng)絡(luò)安全類別，將SD-WAN和網(wǎng)絡(luò)安全點(diǎn)解決方案融合到統(tǒng)一的云原生服務(wù)中。Gartner預(yù)計(jì)，到2024年至少有40%的企業(yè)將制定采用SASE的明確戰(zhàn)略，而2018年底這一比例還不到1%。請(qǐng)務(wù)必閱讀正文之后的免責(zé)條款和聲明22tworks由于SASE在底層基礎(chǔ)架構(gòu)中內(nèi)置了完整的安全堆棧，所有邊緣都享有統(tǒng)一策略的相同級(jí)別保護(hù)。當(dāng)所有WAN和Internet流量通過SASE云平臺(tái)時(shí)，IT人員可以完全了解網(wǎng)絡(luò)，使得IT部門能夠通過單一管理平臺(tái)保持對(duì)整個(gè)網(wǎng)絡(luò)的控制。同時(shí)，網(wǎng)絡(luò)和安全堆棧的簡(jiǎn)化，以及多個(gè)單點(diǎn)產(chǎn)品的整合，消除了任何資本支出采購以及內(nèi)部管理和維護(hù)的需要，所有成本都轉(zhuǎn)化為Opex。我們認(rèn)為，SASE的趨勢(shì)一方面將使得網(wǎng)絡(luò)安全廠商加速平臺(tái)化的整合，技術(shù)能力全面的頭部廠商有望強(qiáng)者恒強(qiáng)；另一方面，SASE也在持續(xù)推動(dòng)網(wǎng)絡(luò)安全產(chǎn)品云化的進(jìn)程，SASE核心組件中的FwaaS、CASB、ZTNA、SWG均將加速云化。組件功能SD-WAN可實(shí)現(xiàn)最佳廣域網(wǎng)管理。SASE利用SD-WAN功能提供優(yōu)由、全球連接、廣域網(wǎng)和互聯(lián)網(wǎng)安全、云加速和遠(yuǎn)程訪問SASEFWaaS以提供數(shù)字業(yè)務(wù)所需的可擴(kuò)展性和彈性，并在需要的地方擴(kuò)展完整的網(wǎng)絡(luò)安全堆棧ZTNA提供了一種現(xiàn)代方法來保護(hù)用戶的應(yīng)用程序訪問，應(yīng)用程序訪備類型等動(dòng)態(tài)調(diào)整CASB幫助企業(yè)適應(yīng)云計(jì)算帶來的新威脅。作為SASE服務(wù)的一部分SWG解決方案保護(hù)用戶免受惡意軟件、網(wǎng)絡(luò)釣魚和其他網(wǎng)絡(luò)傳播的SASESWG護(hù)，并且無需跨多案維護(hù)策略管理SASE解決了管理多個(gè)不同產(chǎn)品的復(fù)雜性。真正的SASE允許用戶從和管理所有網(wǎng)絡(luò)和安全解決方案Gartner究部請(qǐng)務(wù)必閱讀正文之后的免責(zé)條款和聲明23500000000軟件YoY 云服務(wù)YoY2024E2025E%%EEEM圖32：全球安全即服務(wù)(SecurityasaService)市場(chǎng)規(guī)模及增速(百萬美元，%)AIRO據(jù)安全全GRC身份認(rèn)證管理0,000.000,000.000,000.000,000.000,000.000,000.000,000.000,000.000,000.0020212022E2023E2024E2025E2026E0%0%資料來源：IDC(含預(yù)測(cè))，中信證券研究部；注：AIRO即Cybersecurityanalytics,intelligence,response,市場(chǎng)格局：新一代安全廠商快速獲得份額，市場(chǎng)份額持續(xù)向頭部集中我們認(rèn)為，伴隨著防范手段和防范策略的全面變革，行業(yè)格局將迎來重塑，順應(yīng)行業(yè)趨勢(shì)的新一代廠商有望快速獲得份額。與此同時(shí)，細(xì)分領(lǐng)域的頭部廠商將通過內(nèi)部研發(fā)和外延并購等手段實(shí)現(xiàn)功能的擴(kuò)充及平臺(tái)化的延展，并依賴集成交付的產(chǎn)品組合及客戶、品牌、數(shù)據(jù)積累層面的領(lǐng)先優(yōu)勢(shì)實(shí)現(xiàn)份額的持續(xù)擴(kuò)大。2021年，在端點(diǎn)安全領(lǐng)域，我們看到微軟、Crowdstrike、SentinelOne等具有新一代端點(diǎn)安全方案的廠商在快速獲得份額，而TrendMicro、博通(收購賽門鐵克)、Trellix等傳統(tǒng)端點(diǎn)安全廠商則在逐步失去份額；在IAM市場(chǎng)，我們亦看到微軟、Okta等現(xiàn)代身份認(rèn)證廠商實(shí)現(xiàn)了份額的顯著增長(zhǎng)，而博通(收購CA)、Oracle等傳統(tǒng)方案的份額則持續(xù)下降。值得一提的是，盡管CyberArk同樣是IAM市場(chǎng)的子領(lǐng)域特權(quán)訪問管理(IGA)市場(chǎng)領(lǐng)先的新一代供應(yīng)商，但由于其能力逐步被Okta、微軟等行業(yè)領(lǐng)導(dǎo)者整合至統(tǒng)一的平臺(tái)上，CyberArk的份額亦被逐步侵蝕。請(qǐng)務(wù)必閱讀正文之后的免責(zé)條款和聲明240%0%.0%0.0%TrTrellixBroadcomSoftware其他TrendMicroSophosESETIDC證券研究部pIDC證券研究部OktaIBMRSAThalesOracleBroadcomCyberArkSoftwareSailPointOthersIDC證券研究部pIDC證券研究部▍板塊估值顯著回調(diào)，配置價(jià)值顯現(xiàn)板塊估值：回調(diào)至歷史低位與軟件板塊整體表現(xiàn)類似，伴隨疫情后聯(lián)儲(chǔ)降息以及數(shù)字化、云化進(jìn)程的加速，安全板塊估值水平在2020-2021年快速攀升。但伴隨政策利率抬升、市場(chǎng)對(duì)宏觀經(jīng)濟(jì)不確定性擔(dān)憂的加劇，板塊估值在2021年11月之后迅速下行。目前美股安全板塊EV/SNTM為5.8x，顯著低于2015年至今8x左右的平均估值水平；如果將增速納入考量，目前美股安全板塊EV/S/GNTM為0.26x，距離2015年至今0.4x左右的平均估值水平亦差異顯著。此外，結(jié)合財(cái)務(wù)/戰(zhàn)略收購領(lǐng)域?qū)?biāo)的的估值水平，目前板塊整體估值亦處于歷史低位。考慮到企業(yè)安全開支的剛性以及板塊中長(zhǎng)期的明確趨勢(shì)，我們認(rèn)為估值進(jìn)一步向下的空間有限，而向上的彈性則較為明顯。請(qǐng)務(wù)必閱讀正文之后的免責(zé)條款和聲明25anApr-15JulanApr-16JulanApr-17JulanApr-18JulanApr-19JulanApr-20JulanApr-15JulanApr-16JulanApr-17JulanApr-18JulanApr-19JulanApr-20JulanApr-21JulanApr-22JulTMEV/SNTM十年期國(guó)債收益率(%).0Jan-15Jan-16Jan-17Jan-18Jan-19Jan-20Jan-21Jan-22.5.0信證券研究部EVS平均EV/S50Jan-15Jan-16Jan-17Jan-18Jan-19Jan-20Jan-21Jan-22信證券研究部0信證券研究部請(qǐng)務(wù)必閱讀正文之后的免責(zé)條款和聲明26信證券研究部購方EV/NTM交NTM收入增.05.20VistaEquityWebsense.07.23CiscoSystem,Inc.Sourcefire,Inc..06.12tec.11.27maBravo.10.10maBravo.5x.11.26rry.08.08tec.5x-1%.08.22VMWareBlack.10.14maBravo.5x.07.15AdventInternational.9x.03.09ychnologyrprise.03.21Gycotic.03.03Auth0.04.27maBravo.06.03ychnologyucts.12.07.03.09Alphabet.04.11maBravoPoint.04.11-至今平均，-至今平均，-至今平均，-至今平均，-至今平均，-至今平均，信證券研究部板塊業(yè)績(jī)：不利宏觀環(huán)境下增速承壓，中長(zhǎng)期趨勢(shì)依然明朗伴隨美國(guó)通脹數(shù)據(jù)拐點(diǎn)的確立，美聯(lián)儲(chǔ)本輪貨幣緊縮周期正接近尾聲，2023年大概請(qǐng)務(wù)必閱讀正文之后的免責(zé)條款和聲明27率的衰退情形成為投資者主要關(guān)心的問題。而根據(jù)我們的統(tǒng)計(jì)，22Q3財(cái)報(bào)披露完成后，安全板塊CY2023平均收入增速一致預(yù)期出現(xiàn)了明顯下調(diào)，絕大多數(shù)個(gè)股也在進(jìn)行業(yè)績(jī)預(yù)期的持續(xù)修正。從近期安全板塊的整體增長(zhǎng)情況來看，疫情后加速增長(zhǎng)的情況已經(jīng)過去，而宏觀環(huán)境對(duì)下游需求的壓制亦逐漸體現(xiàn)。我們判斷，2023H1，宏觀環(huán)境仍將對(duì)板塊業(yè)績(jī)?cè)斐沙掷m(xù)的壓力；而進(jìn)入下半年，伴隨經(jīng)濟(jì)環(huán)境的逐步復(fù)蘇以及基數(shù)壓力的明顯減弱，板塊增速有望實(shí)現(xiàn)反彈。從中長(zhǎng)期的角度，安全在企業(yè)IT開支中的優(yōu)先地位、以及防范手段&策略變革驅(qū)動(dòng)的成長(zhǎng)并未發(fā)生改變，當(dāng)下較低的估值水平提供了較優(yōu)的配置時(shí)機(jī)。而從短期配置的角度，我們判斷Crowdstrike、微軟、PaloAlto等盈利能力較優(yōu)、平臺(tái)化進(jìn)展順利的企業(yè)在當(dāng)下時(shí)點(diǎn)更為穩(wěn)??；而Zscaler、Sentinelone、Cloudflare等增速較快、盈利能力偏弱的標(biāo)的則有望在下半年實(shí)現(xiàn)更優(yōu)的彈性。%%%%%%%%%20.0%預(yù)期，中信證券研究部%%%%%%%20.0%預(yù)期，中信證券研究部請(qǐng)務(wù)必閱讀正文之后的免責(zé)條款和聲明282022-03-252022-07-012022-09-302023-01-06.0%%%預(yù)期，中信證券研究部安全板塊平均Billings增速剔除大市值公司后增速0%原油價(jià)格上行導(dǎo)致歐美高通脹進(jìn)一步失控風(fēng)險(xiǎn)；美債利率快速上行風(fēng)險(xiǎn)；針對(duì)科技巨頭的政策監(jiān)管持續(xù)收緊風(fēng)險(xiǎn)；全球宏觀經(jīng)濟(jì)復(fù)蘇不及預(yù)期風(fēng)險(xiǎn)；宏觀經(jīng)濟(jì)波動(dòng)導(dǎo)致歐美企業(yè)IT支出不及預(yù)期風(fēng)險(xiǎn)；全球云計(jì)算市場(chǎng)發(fā)展不及預(yù)期風(fēng)險(xiǎn)；云計(jì)算企業(yè)數(shù)據(jù)泄露、信息安全風(fēng)險(xiǎn)；行業(yè)競(jìng)爭(zhēng)持續(xù)加劇風(fēng)險(xiǎn)等。疫情后數(shù)字化、云化的加速推進(jìn)，以及遠(yuǎn)程辦公場(chǎng)景的迅速滲透，使得企業(yè)信息安全的重要性日益凸顯。與此同時(shí)，我們觀察到端點(diǎn)側(cè)、云側(cè)、威脅數(shù)據(jù)側(cè)的防范手段正在經(jīng)歷重大變革，而ZNTA、SASE等新一代防范策略亦在迅速滲透，這一方面驅(qū)動(dòng)了市請(qǐng)務(wù)必閱讀正文之后的免責(zé)條款和聲明29場(chǎng)空間的不斷延展，另一方面也帶來了競(jìng)爭(zhēng)格局的新一輪洗牌。立足當(dāng)下，盡管宏觀環(huán)境給板塊業(yè)績(jī)估值均帶來了一定的壓力，但板塊內(nèi)在的發(fā)展邏輯并未發(fā)生變化。從中長(zhǎng)期的角度，安全在企業(yè)IT開支中的優(yōu)先地位、以及防范手段&策略變革驅(qū)動(dòng)的成長(zhǎng)并未發(fā)生改變，當(dāng)下較低的估值水平提供了較優(yōu)的配置時(shí)機(jī)。而從短期配置的角度，我們判斷Crowdstrike、微軟、PaloAlto等盈利能力較優(yōu)、平臺(tái)化進(jìn)展順利的企業(yè)在當(dāng)下時(shí)點(diǎn)更為穩(wěn)??；而Zscaler、Sentinelone、Cloudflare等增速較快、盈利能力偏弱的標(biāo)的則有望在下半年實(shí)現(xiàn)更優(yōu)的彈性。市值(億美方法21ASFTONTOZscalerZS.OflareNET.N0trikeCRWD.OneloneS.N0.3主要負(fù)責(zé)撰寫本研究報(bào)告全部或部分內(nèi)容的分析師在此聲明：(i)本研究報(bào)告所表述的任何觀點(diǎn)均精準(zhǔn)地反映了上述每位分析師個(gè)人對(duì)標(biāo)的證券和發(fā)行人的看法；(ii)該分析師所得報(bào)酬的任何組成部分無論是在過去、現(xiàn)在及將來均不會(huì)直接或間接地與研究報(bào)告所表述的具體建議或觀點(diǎn)相聯(lián)系。本研究報(bào)告由中信證券股份有限公司或其附屬機(jī)構(gòu)制作。中信證券股份有限公司及其全球的附屬機(jī)構(gòu)、分支機(jī)構(gòu)及聯(lián)營(yíng)機(jī)構(gòu)(僅就本研究報(bào)告免本研究報(bào)告對(duì)于收件人而言屬高度機(jī)密，只有收件人才能使用。本研究報(bào)告并非意圖發(fā)送、發(fā)布給在當(dāng)?shù)胤苫虮O(jiān)管規(guī)則下不允許向其發(fā)送、發(fā)布該研究報(bào)告的人員。本研究報(bào)告僅為參考之用，在任何地區(qū)均不應(yīng)被視為買賣任何證券、金融工具的要約或要約邀請(qǐng)。中信證券并不因收件人收到本報(bào)告而視其為中信證券的客戶。本報(bào)告所包含的觀點(diǎn)及建議并未考慮個(gè)別客戶的特殊狀況、目標(biāo)或需要，不應(yīng)被視為對(duì)特定客戶關(guān)于特定證券或金本報(bào)告所載資料的來源被認(rèn)為是可靠的，但中信證券不保證其準(zhǔn)確性或完整性。中信證券并不對(duì)使用本報(bào)告或其所包含的內(nèi)容產(chǎn)生的任何直接或間接損失或與此有關(guān)的其他損失承擔(dān)任何責(zé)任。本報(bào)告提及的任何證券或金融工具均