全球SaaS云計算行業(yè)產(chǎn)業(yè)系列報告62：信息安全防護手段策略均面臨變革板塊迎來配置時機

證券研究報告請務(wù)必閱讀正文之后第30頁起的免責(zé)條款和聲明信息安全：防護手段&策略均面臨變革，板配置時機云信息安全：防護手段&策略均面臨變革，板配置時機云化的滲透、遠程辦公的普及、IT技術(shù)堆棧的復(fù)雜化，使得傳統(tǒng)信息安全體系在面對復(fù)雜、隱蔽、高頻的惡意軟件攻擊愈加力不從心，安全防御體系亟待變革。在防護手段方面，我們看到數(shù)據(jù)驅(qū)動下的主動防御漸成主流，防御體系延展至云端負載；在防護策略方面，零信任和SASE的滲透顯著緩解了企業(yè)對于IT邊界拓展的擔(dān)憂。在行業(yè)變革期，我們看到新一代安全廠商持續(xù)獲得市場份額，且頭部廠商憑借其性能、品牌、客戶等優(yōu)勢持續(xù)擴大領(lǐng)先優(yōu)勢。立足當(dāng)下，盡管宏觀環(huán)境帶來了一定壓力，行業(yè)的內(nèi)在邏輯并未變化。中長期來看，陳俊云中信證券研究部核心觀點前瞻研究首席分析師S0001許英博科技產(chǎn)業(yè)首席分析師S120041劉銳前瞻研究分析師安全在企業(yè)IT開支中的優(yōu)先地位、以及防范手段&策略變革驅(qū)動的成長并未發(fā)生改變，當(dāng)前較低的估值水平提供了較優(yōu)的配置時機。▍安全重要性日益凸顯，底層技術(shù)面臨變革。1)外部變化：在企業(yè)數(shù)字化、云化加速推進的大背景下，伴隨全球數(shù)據(jù)量以及IT技術(shù)堆棧的迅速增加，惡意軟件攻擊的頻次、隱蔽性日益上升，企業(yè)因惡意軟件入侵造成的經(jīng)濟成本和社會成本也在快速增加，信息安全重要性愈加凸顯。2)內(nèi)部變化：根據(jù)IDC的調(diào)研數(shù)據(jù)，到2024年，歐美企業(yè)IT部署中44%將為公有云，較2020年的25%提升近80%。傳統(tǒng)的安全防御體系難以對云端負載執(zhí)行有效的防御策略，云原生技術(shù)的滲透、多云戰(zhàn)略的普及更是增加了安全防御的難度。與此同時，隨著云計算和移動設(shè)備的快速普及，企業(yè)計算環(huán)境日益分散，網(wǎng)絡(luò)邊界日益模糊，傳統(tǒng)基于網(wǎng)絡(luò)位置的信任策略面臨挑戰(zhàn)。傳統(tǒng)安全防御體系亟待變革，新一代信息安全廠商應(yīng)運而生。▍防護手段：數(shù)據(jù)驅(qū)動下的主動防御漸成主流，防御體系延展至云端負載。1)端點安全：隨著惡意威脅由原來的盲目、直接轉(zhuǎn)變?yōu)槟繕?biāo)精確、持久隱秘，傳統(tǒng)端點安全產(chǎn)品機制被動、低效且臃腫的問題愈發(fā)突出。而下一代端點安全產(chǎn)品EDR(端點檢測與響應(yīng))通過輕量級的前端代理收集數(shù)據(jù)，在后端云平臺執(zhí)行數(shù)據(jù)的集成和分析，實現(xiàn)基于“行為”的主動防控。IDC預(yù)計全球企業(yè)端點安全市場規(guī)模將在2026年增長至206億美元，2021-2026年CAGR為14.9%。2)XDR：XDR(擴展檢測與響應(yīng))作為EDR的自然演進，能夠整合多源、孤立、海量的告警，并進行數(shù)據(jù)集成與綜合關(guān)聯(lián)分析，提供更加精準與有價值的告警。據(jù)IDC數(shù)據(jù)，2021年-2026年，全球云原生XDR市場規(guī)模預(yù)計將從1.7億美元快速增長到21.2億美元，對應(yīng)CAGR為66.1%。3)云安全：伴隨數(shù)字化、云化的持續(xù)滲透，多云/混合云/微服務(wù)架構(gòu)顯著增加了IT堆棧的動態(tài)性及復(fù)雜度，傳統(tǒng)安全防護難以勝任，云安全因此迅速崛起。據(jù)IDC統(tǒng)計，2021年全球云工作負載安全市場規(guī)模為22億美元，預(yù)計到2026年將▍防護策略：零信任與SASE迅速普及顯著緩解了企業(yè)對于IT邊界拓展的擔(dān)憂。1)零信任：零信任網(wǎng)絡(luò)訪問(ZTNA)基于端點、網(wǎng)關(guān)、身份認證工具的集成，實現(xiàn)了基于身份而非網(wǎng)絡(luò)位置的新一代防護策略。根據(jù)Gartner預(yù)測，到2023年，將有60%的企業(yè)逐步淘汰遠程VPN訪問，轉(zhuǎn)向零信任網(wǎng)絡(luò)訪問。ZTNA核心組件為身份認證和訪問管理(IAM)和安全網(wǎng)關(guān)產(chǎn)品，分別負責(zé)驗證用戶身份與確保合法用戶僅在允許范圍內(nèi)進行精細訪問。2)SASE：SASE (安全訪問服務(wù)邊緣)強調(diào)將SDN(軟件定義網(wǎng)絡(luò))能力和各類網(wǎng)絡(luò)安全能力融合至各個邊緣節(jié)點中，實現(xiàn)端點安全的集中化、一體化控制，這一方面將使得網(wǎng)絡(luò)安全廠商加速平臺化的整合，技術(shù)能力全面的頭部廠商有望強者恒強；另一方面也在持續(xù)推動網(wǎng)絡(luò)安全產(chǎn)品軟件化、云化的進程。▍市場格局：新一代安全廠商快速獲得份額，頭部效應(yīng)明顯。伴隨著防范手段和請務(wù)必閱讀正文之后的免責(zé)條款和聲明2防范策略的全面變革，行業(yè)格局將迎來重塑，順應(yīng)行業(yè)趨勢的新一代廠商有望快速獲得份額。頭部廠商將通過內(nèi)部研發(fā)和外延并購等手段實現(xiàn)功能擴充與平臺化的延展，并依賴集成交付的產(chǎn)品組合及客戶、品牌、數(shù)據(jù)積累層面的領(lǐng)先優(yōu)勢持續(xù)擴大市場份額。2021年，在端點安全領(lǐng)域，我們看到微軟、Crowdstrike、SentinelOne等具有新一代端點安全方案的廠商在快速獲得份額，而TrendMicro、博通(收購賽門鐵克)、Trellix等傳統(tǒng)端點安全廠商則在逐步失去份額；在IAM市場，微軟、Okta等現(xiàn)代身份認證廠商實現(xiàn)了份額的顯著增長，而博通(收購CA)、Oracle等傳統(tǒng)方案的份額則持續(xù)下降。▍估值&業(yè)績：板塊估值顯著回調(diào)，配置價值顯現(xiàn)。估值方面，目前美股安全板塊EV/SNTM為5.8x，顯著低于2015年至今8x左右的平均估值水平；如果將增速納入考量，目前美股安全板塊EV/S/GNTM為0.26x，距離2015年至今0.4x左右的平均估值水平亦差異顯著。此外，結(jié)合財務(wù)/戰(zhàn)略收購領(lǐng)域?qū)?biāo)的的估值水平，目前板塊整體估值亦處于歷史低位。考慮到企業(yè)安全開支的剛性以及板塊中長期的高確定性趨勢，我們認為估值進一步向下的空間有限，而向上的彈性則較為明顯。業(yè)績方面，22Q3財報披露完成后，板塊CY2023平均收入增速一致預(yù)期出現(xiàn)了明顯下調(diào)，絕大多數(shù)個股也在進行業(yè)績預(yù)期的持續(xù)修正。從近期安全板塊的整體增長情況來看，疫情后加速增長的情況已經(jīng)過去，而宏觀環(huán)境對下游需求的壓制亦逐漸體現(xiàn)。我們判斷，2023H1，宏觀環(huán)境仍將對板塊業(yè)績造成持續(xù)的壓力；而進入下半年，伴隨經(jīng)濟環(huán)境的逐步復(fù)蘇以及基數(shù)壓力的明顯減弱，板塊增速有望實現(xiàn)反彈。從中長期的角度，安全在企業(yè)IT開支中的優(yōu)先地位、以及防范手段&策略變革驅(qū)動的成長并未發(fā)生改變，當(dāng)下較低的估值水平提供了較優(yōu)的配置時機。▍風(fēng)險因素：原油價格上行導(dǎo)致歐美高通脹進一步失控風(fēng)險；美債利率快速上行風(fēng)險；針對科技巨頭的政策監(jiān)管持續(xù)收緊風(fēng)險；全球宏觀經(jīng)濟復(fù)蘇不及預(yù)期風(fēng)險；宏觀經(jīng)濟波動導(dǎo)致歐美企業(yè)IT支出不及預(yù)期風(fēng)險；全球云計算市場發(fā)展不及預(yù)期風(fēng)險；云計算企業(yè)數(shù)據(jù)泄露、信息安全風(fēng)險；行業(yè)競爭持續(xù)加劇風(fēng)險▍投資策略：疫情后數(shù)字化、云化的加速推進，以及遠程辦公場景的迅速滲透，使得企業(yè)信息安全的重要性日益凸顯。而端點側(cè)、云側(cè)、威脅數(shù)據(jù)側(cè)的防范手段正在經(jīng)歷重大變革，ZNTA、SASE等新一代防范策略亦在迅速滲透。市場空間不斷延展，競爭格局亦迎來新一輪洗牌。立足當(dāng)下，盡管宏觀環(huán)境帶來了一定壓力，但內(nèi)在邏輯并未變化。中長期來看，安全在企業(yè)IT開支中的優(yōu)先地位、以及防范手段&策略變革驅(qū)動的成長并未發(fā)生改變，當(dāng)下較低的估值水平提供了較優(yōu)的配置時機。從短期配置的角度，我們認為Crowdstrike、微軟、PaloAlto等盈利能力較優(yōu)、平臺化進展順利的企業(yè)在當(dāng)下時點更為穩(wěn)??；而Zscaler、Sentinelone、Cloudflare等增速較快、盈利能力偏弱的標(biāo)的則有望在下半年實現(xiàn)更優(yōu)的彈性。重點公司盈利預(yù)測、估值及投資評級市值(億美方法21AESFTONTOZscalerZS.OflareNET.N0trikeCRWD.OneloneS.N0.3期請務(wù)必閱讀正文之后的免責(zé)條款和聲明3安全重要性日益凸顯，底層技術(shù)面臨變革 6外部變化：惡意軟件攻擊日趨復(fù)雜，信息安全重要性日益凸顯 6內(nèi)部變化：企業(yè)上云、遠程辦公對信息安全提出了新的挑戰(zhàn) 9防護手段&策略均面臨變革，行業(yè)競爭格局迎來重塑 10防護手段：端點安全由靜態(tài)變?yōu)閯討B(tài)，從被動變?yōu)橹鲃?10防護手段：XDR成為主流發(fā)展趨勢，滲透率有望快速提升 13 E 防護策略：SASE將整合的網(wǎng)絡(luò)安全能力推向邊緣 21市場格局：新一代安全廠商快速獲得份額，市場份額持續(xù)向頭部集中 23板塊估值顯著回調(diào)，配置價值顯現(xiàn) 24 板塊業(yè)績：不利宏觀環(huán)境下增速承壓，中長期趨勢依然明朗 26 請務(wù)必閱讀正文之后的免責(zé)條款和聲明4插圖目錄圖1：全球數(shù)據(jù)量及同比增速(ZB，%) 6圖2：網(wǎng)絡(luò)安全關(guān)鍵詞在企業(yè)文檔中的出現(xiàn)頻次 7圖3：后疫情時代企業(yè)最需要購買/建立的IT應(yīng)用(%) 8圖4：全球應(yīng)用工作負載部署位置(%) 9圖5：云遷移對于公司安全開支的影響(%) 9圖6：在云計算推動下，預(yù)計支出將獲得增加的安全技術(shù)(%) 9圖7：歐美遠程辦公的勞動力占比(%) 10 圖10：海量數(shù)據(jù)具有規(guī)模效應(yīng)，競爭壁壘不斷強化 12圖11：2015~2021年商用PC出貨量及增速(百萬臺，%) 13圖12：全球端點安全市場收入規(guī)模及增速(十億美元，%) 13圖13：On-Premise與SaaS軟件總體成本占比(3年) 13 圖16：云原生XDR市場總收入(百萬美元) 16圖17：SIEM市場總收入及增速(百萬美元，%) 16 圖19：全球云工作負載市場規(guī)模及增速(百萬美元，%) 17圖20：IaaS+PaaS市場規(guī)模(十億美元) 18圖21：云安全占公有云市場(IaaS+PaaS)的比例(%) 18圖22：全球虛擬機數(shù)量及增速(百萬，%) 18圖23：全球容器實例數(shù)量及增速(百萬，%) 18 圖28：全球IAM市場規(guī)模及增速(百萬美元，%) 20圖29：全球安全網(wǎng)關(guān)市場規(guī)模及增速(百萬美元，%) 21 圖31：全球網(wǎng)絡(luò)安全軟件市場規(guī)模及增速(百萬美元，%) 23圖32：全球安全即服務(wù)(SecurityasaService)市場規(guī)模及增速(百萬美元，%)...23圖33：2021年全球端點安全市場份額(%) 24圖34：2021年全球端點安全市場份額獲得者及丟失者Top5 24圖35：2021年全球IAM市場份額(%) 24IAM得者及丟失者Top5 24圖37：美股軟件SaaS板塊EV/SNTM及十年期國債收益率(%) 25 40：美股安全板塊重點公司EV/SNTM水平 26圖41：美股重點軟件SaaS公司CY2023平均收入增速一致預(yù)期變化(%) 27圖42：美股主要安全類軟件SaaS公司CY2023平均收入增速一致預(yù)期變化(%)....27圖43：美股主要安全類軟件SaaS公司CY2023收入增速一致預(yù)期調(diào)整(%)...........28請務(wù)必閱讀正文之后的免責(zé)條款和聲明5圖44：美股安全板塊平均Billings增速水平(%).........................................................28表格目錄 表8：全球信息安全領(lǐng)域大型并購估值 26表9：安全領(lǐng)域重點跟蹤公司盈利預(yù)測 29請務(wù)必閱讀正文之后的免責(zé)條款和聲明6▍安全重要性日益凸顯，底層技術(shù)面臨變革伴隨移動互聯(lián)網(wǎng)和AIoT的蓬勃發(fā)展，以及企業(yè)數(shù)字化和云化的持續(xù)推進，全球數(shù)據(jù)量以及企業(yè)部署和管理的IT技術(shù)堆棧都在迅速增加。這一方面意味著惡意攻擊者通過勒索軟件、間諜軟件等惡意軟件行為滿足自身利益的動機和訴求日益增強，惡意攻擊的頻次和隱蔽性日益上升；另一方面，也意味著企業(yè)或政府機構(gòu)因惡意軟件入侵造成的經(jīng)濟成本、聲譽成本和社會成本也在快速增加。2021年，根據(jù)CheckPoint發(fā)布的《CyberSecurityReport2022》，我們看到惡意軟件通過入侵網(wǎng)絡(luò)管理平臺SolarwindsOrin進而向Solarwinds本身以及Solarwinds所服務(wù)的客群進行入侵和破壞，導(dǎo)致全球近2,000家企業(yè)和機構(gòu)受到波及，其中包括美國司法部下屬的各執(zhí)法機構(gòu)；也看到全球最為流行的開源日志庫產(chǎn)品ApacheLog4j被報告存在遠程代碼/命令執(zhí)行漏洞，攻擊者能夠利用該漏洞對被攻擊服務(wù)器進行遠程訪問和控制，由于該漏洞的威脅面巨大并且全球存在大量未修補漏洞的系統(tǒng)，攻擊者持續(xù)利用該漏洞嘗試發(fā)起攻擊并在此過程中影響許多企業(yè)機構(gòu)。此外，REvil勒索軟件集團對肉類加工巨頭JBS以及IT公司Kaseya的企業(yè)客戶發(fā)起的勒索軟件攻擊、Mirai僵尸網(wǎng)絡(luò)對某金融組織發(fā)起的有史以來最大的分布式拒絕服務(wù)(DDoS)攻擊等均造成了廣泛而嚴重的損失。B00全球數(shù)據(jù)量(ZB) 同比增速%%%%%%%%%%IDC證券研究部件一種使用加密技術(shù)使目標(biāo)無法訪問其數(shù)據(jù)直到支付贖金的軟件。受害組證付款會產(chǎn)生必要的解密提供的解密密鑰會正常運作化消息件把自己偽裝成理想的代碼或軟件。一旦被下載，它就可以控制系統(tǒng)，達病毒和移動存儲等進行復(fù)制和傳香請務(wù)必閱讀正文之后的免責(zé)條款和聲明7Q5Q6Q5Q6Q7Q8Q9Q0Q1Q2Q3Q4Q5Q6Q7Q8Q9Q0Q1SVirusVirus一段代碼，它將自己插入到應(yīng)用程序中，并在應(yīng)用程序運行時執(zhí)行。一旦應(yīng)用執(zhí)行，病毒就可以被用來竊取敏感數(shù)據(jù)、發(fā)起DDoS攻擊、進行勒索軟件攻擊。與木馬和蠕蟲不同，Virus只有在應(yīng)用程序運可進行執(zhí)行或復(fù)制Rootkit用充分的管理憑證，遠程控制受害者的計算機。ZacinloKeyloggers通過鍵盤記錄器竊取密碼、銀行信息和其他敏感信息OlympicVision僵尸網(wǎng)絡(luò)病毒根據(jù)命令執(zhí)行自動任務(wù)的軟件，可以用來執(zhí)行DDoS攻擊Echobot無文件非惡意下很少的足跡，使其難Astaroth000網(wǎng)絡(luò)安全勒索軟件GoogleTrend信證券研究部01國司法部在美國聯(lián)邦調(diào)查局(FBI)、美國緝毒局(DrugenforcementAgency)和美國法警局(USMarshalsService)等一系列司法部是SolarWindsOrion的買家，該工具被黑客用來執(zhí)行這次攻擊，導(dǎo)致多達18000SolarWindsDepartmentofJustice表示，它是在平安夜得知自己是受害者的，并透露其02021年2月，流行音樂流媒體平臺Spotify遭到了虛假認證攻擊，而就在三個月前，類似事件也發(fā)生過。這次攻擊使用該公司在一份聲明中表示這次攻擊與Spotify自身的安全漏洞無關(guān)，網(wǎng)絡(luò)犯罪分子利用人們在多個在線賬戶和平臺上重復(fù)使用相同的密碼來進行證書填充。攻擊者只需構(gòu)建自動腳032021-26858和CVE-2021-27065的大肆利用。進一步的調(diào)查發(fā)現(xiàn)，攻擊者利用零日漏洞竊取多個用戶郵箱的全部內(nèi)容。此漏洞可遠程利用，不需要身份驗證、特殊知識或?qū)μ囟ōh(huán)境的訪問。據(jù)估計，有25萬臺服務(wù)器成為攻擊的受害者，其中包括美國約3萬個組織的服務(wù)器和英國的7000臺服務(wù)器。歐洲銀行管理局、挪威議會和智利金融市場委員會CMF也受到了影響。04安全局(NSA)、網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局(CISA)和聯(lián)邦調(diào)查局(FBI)發(fā)布了一份聯(lián)合咨詢警告，APT29在針對美國目標(biāo)的持續(xù)攻擊中利用了五個漏洞。根據(jù)該報告，APT29經(jīng)常利用公開的漏洞對脆弱的系統(tǒng)進行rion部署WellMess惡意軟件針對COVID-19研究機構(gòu)，以及利用VMware漏洞(當(dāng)時是零日漏洞)。05括柴油、汽油和航空燃油。美國聯(lián)邦調(diào)查局(FBI)發(fā)表聲明確認，一個名叫“Darkside”的黑客團伙是這次攻擊的幕后黑請務(wù)必閱讀正文之后的免責(zé)條款和聲明8取解密密鑰。隨后，美國聯(lián)邦調(diào)查局(FBI)宣布，他們已經(jīng)取回了贖金賬戶的私鑰，并追回062021年6月，美國肉類加工巨頭JBS遭遇勒索軟件攻擊，影響了其北美和澳大利亞業(yè)務(wù)。聯(lián)邦調(diào)查局將這次攻擊歸咎REvil集團。這次襲擊迫使JBS暫時關(guān)閉了在美國的所有牛肉工廠。該公司在加拿大的一家工廠也受到了影JBL席執(zhí)行官透露，該公司向黑客支付了1100萬美元，這是一個“非常痛苦但必要的決定”，盡管該公司能夠從自己的備份中恢復(fù)其大部分系0607REvilMSPs。黑客成功植入了IT公KaseyaVSA件安裝程序。估計有1000家公司受到Kaseya在其網(wǎng)站上發(fā)布了安全建議，警告所有客戶在調(diào)查期間立即關(guān)閉他們的VSA服務(wù)器，以防止攻擊擴散。為了攻ilDIVD利用該漏洞實施了攻擊，勒索金額從4.5萬美元到500萬美元不等。在對KaseyaVSA服務(wù)器的攻擊中，0708備，如閉路電視攝像頭和路由器。此后出現(xiàn)了許多僵尸網(wǎng)絡(luò)的變種，目標(biāo)設(shè)備的列表擴大到包括Linux路由器和服務(wù)080909.102021年10月，負責(zé)多次勒索軟件攻擊的REvil勒索軟件團伙的基礎(chǔ)設(shè)施在三個月內(nèi)第二次被攻破并被強行摧毀，導(dǎo)致他們的行動陷入停頓。在此之前，REvil的泄密網(wǎng)站“快樂博客”曾在7月份被關(guān)閉(同時，REvil的一個幫派頭目.1011EmotetEmotet機器人僵尸網(wǎng)絡(luò)啟動了它的111212月9日，Apache日志包Log4j22.14.1及以下版本(CVE-2021-44228)中報告了一個急性遠程代碼執(zhí)行(RCE)漏Logj12的IT應(yīng)用(%)數(shù)據(jù)分析人工智能技術(shù)支持軟件開發(fā) 流程自動化UX)企業(yè)架構(gòu)企業(yè)應(yīng)用程序36.05%31.05%26.76%25.49%23.79%23.29%21.25%18.89%15.70%14.98%10.00%15.00%20.00%25.00%30.00%35.00%40.00%IDC證券研究部請務(wù)必閱讀正文之后的免責(zé)條款和聲明9部變化：企業(yè)上云、遠程辦公對信息安全提出了新的挑戰(zhàn)IT基礎(chǔ)設(shè)施加速向云端遷移，信息安全迎來變數(shù)和機遇。目前，IT基礎(chǔ)設(shè)施云化部署已成為高確定性趨勢，根據(jù)IDC數(shù)據(jù)，存儲在公有云中數(shù)據(jù)已經(jīng)在2020年追平傳統(tǒng)數(shù)據(jù)中心，且占比仍將不斷提升；同樣根據(jù)IDC的調(diào)研數(shù)據(jù)，到2024年，預(yù)計歐美企業(yè)IT部署中44%將為公有云，較2020年的25%提升近80%。此前部署在本地的工作負載向云端的遷移，對企業(yè)傳統(tǒng)的網(wǎng)絡(luò)安全體系提出了挑戰(zhàn)，一方面?zhèn)鹘y(tǒng)的安全防御體系主要用來保護本地部署的工作負載和數(shù)據(jù)安全，但難以對云端負載執(zhí)行有效的防御策略；另一方面，云原生技術(shù)滲透帶來的應(yīng)用架構(gòu)變革(容器、微服務(wù)等)，以及多云戰(zhàn)略的普及等，使得企業(yè)IT架構(gòu)日趨復(fù)雜且動態(tài)，顯著增加了安全防御的難度。但與此同時，公有云自身高彈性、高延展性的特點使得海量安全數(shù)據(jù)的儲存、關(guān)聯(lián)、分析成為可能，新一代安全廠商能夠利用基于數(shù)據(jù)集持續(xù)訓(xùn)練和優(yōu)化ML算法，用基于AI的主動防御取代過去基于歷史數(shù)據(jù)的被動防御，顯著提升防范能力、規(guī)避相關(guān)損失。因此，我們認為云遷移帶來的防御范圍和防御難度的升級將顯著增加公司的安全開支，而利用公有云優(yōu)勢提供防御服務(wù)的新一代安全廠商將受益最為明顯。圖4：全球應(yīng)用工作負載部署位置(%)本地部署場地租用托管公有云截至2024截至2021截至20200%10%20%30%40%50%60%70%80%90%100%影響(%)Oct-20Oct-210%推動增加負面影響幾乎無影響推動增加負面影響AlphaWise研究部圖6：在云計算推動下，預(yù)計支出將獲得增加的安全技術(shù)(%)0%IDC證券研究部請務(wù)必閱讀正文之后的免責(zé)條款和聲明10遠程辦公快速滲透，企業(yè)網(wǎng)絡(luò)邊界日益模糊。傳統(tǒng)的安全體系下，企業(yè)大部分開銷被用于保障流量在網(wǎng)絡(luò)內(nèi)外的傳輸安全，即將所有企業(yè)流量匯集到網(wǎng)關(guān)，同時通過網(wǎng)絡(luò)外圍防火墻阻止所有不良流量。網(wǎng)絡(luò)外圍安全系統(tǒng)通過網(wǎng)絡(luò)位置來劃分“信任區(qū)域”，外部不受信任，內(nèi)部則屬于受信特權(quán)網(wǎng)絡(luò)。但這種基于網(wǎng)絡(luò)位置的安全體系存在著天然缺陷，一旦被滲透到信任區(qū)域，將無法有效隔離和保護數(shù)據(jù)資產(chǎn)。隨著云計算和移動設(shè)備的快速普及，企業(yè)計算環(huán)境日益分散，網(wǎng)絡(luò)邊界日益模糊，網(wǎng)絡(luò)外圍的安全也越來越難以得到保護：當(dāng)員工開始移動時，VPN通過擴展網(wǎng)絡(luò)將內(nèi)部信任擴展到遠程員工，而攻擊者會通過非法獲取VPN憑據(jù)以濫用此信任；當(dāng)需要外部訪問時，服務(wù)又會移動到DMZ (demilitarizedzone，為了解決安裝防火墻后外部網(wǎng)絡(luò)的訪問用戶不能訪問內(nèi)部網(wǎng)絡(luò)服務(wù)器的問題而設(shè)立的一個非安全系統(tǒng)與安全系統(tǒng)之間的緩沖區(qū))中，從而使它們暴露給攻擊者。究其本質(zhì)，過度的隱性網(wǎng)絡(luò)信任，會產(chǎn)生過度的潛在風(fēng)險。在這種背景下，零信任網(wǎng)絡(luò)訪問(ZTNA)和安全訪問服務(wù)邊緣(SASE)應(yīng)運而生并快速普及。圖7：歐美遠程辦公的勞動力占比(%)HH0200%部國IDC證券研究部▍防護手段&策略均面臨變革，行業(yè)競爭格局迎來重塑防護手段：端點安全由靜態(tài)變?yōu)閯討B(tài)，從被動變?yōu)橹鲃与S著網(wǎng)絡(luò)威脅行為從盲目粗暴轉(zhuǎn)變?yōu)榫_隱秘，端點安全產(chǎn)品不斷進化，從靜態(tài)變?yōu)閯討B(tài)，從被動變?yōu)橹鲃?，從基于“特征”變?yōu)榛凇靶袨椤?。?dāng)前，端點安全市場處于變革時期，新一代端點安全產(chǎn)品將迎來高速發(fā)展。端點概念不斷擴展，端點安全至關(guān)重要。端點是用于訪問組織數(shù)據(jù)和網(wǎng)絡(luò)的任何連接設(shè)備，隨著新設(shè)備的不斷涌現(xiàn)，端點的定義持續(xù)擴大，包括服務(wù)器、移動設(shè)備、工業(yè)系統(tǒng)、物聯(lián)網(wǎng)設(shè)備、汽車等。大多數(shù)企業(yè)通常都將安全工作和防御控制集中在網(wǎng)絡(luò)邊界，認為這是抵御潛在攻擊者的最佳方式。但是一旦攻擊者繞過公司防火墻和其他外圍安全控件通過端點進入內(nèi)網(wǎng)，往往就可以自由施請務(wù)必閱讀正文之后的免責(zé)條款和聲明11展了。更糟糕的是，盡管邊界控制可能會阻止外部的不良行為者闖入，但這無助于防止內(nèi)部威脅。因此，端點安全是企業(yè)安全防護體系的重要一環(huán)。安全威脅形態(tài)演化升級，傳統(tǒng)端點安全產(chǎn)品問題凸顯。最早期的網(wǎng)絡(luò)威脅源自所謂的病毒，因此最早的終端防護手段就是殺毒軟件和防火墻。然而隨著惡意威脅由原來的盲目、直接、粗暴轉(zhuǎn)變?yōu)橛心繕?biāo)、精確、持久隱秘，傳統(tǒng)端點安全產(chǎn)品的問題愈發(fā)突出：(1)應(yīng)對機制是被動的，只有受到攻擊后才能感知和捕獲；(2)無法有效防御具有針對性的攻擊，例如利用惡意軟件的變種、腳本化工具將惡意軟件加殼使其隨機產(chǎn)生新的惡意軟件等；(3)傳統(tǒng)防御產(chǎn)品依靠特征庫的更新來發(fā)現(xiàn)新的惡意威脅，但隨著攻擊者們使用不同技術(shù)逃避傳統(tǒng)的檢測和防御，同時每天新增惡意樣本，這種檢測手段顯得力不從心，整體規(guī)模也愈發(fā)臃腫。EPP(終端保護平臺)的出現(xiàn)一定程度上彌補了傳統(tǒng)殺毒軟件的劣勢，但同樣存在無法應(yīng)對未知威脅、多個功能模塊堆疊等問題。Kaspersky券研究部基于行為進行主動防控，新一代端點安全產(chǎn)品優(yōu)勢顯著。在此背景下，下一代端點安全產(chǎn)品誕生并占據(jù)有利地位。其中最具代表性的便是EDR(端點檢測與響應(yīng))，通過對端點進行持續(xù)檢測，發(fā)現(xiàn)異常行為并對其進行分析，結(jié)合機器學(xué)習(xí)和人工智能檢測和防護未知威脅。新一代端點安全產(chǎn)品具備兩大核心特征：(1)基于“行為”進行主動防控。EDR不僅僅通過“特征”進行“預(yù)防”，更依靠“行為”進行“檢測”，并且進行“響應(yīng)”。同時，EDR不僅著眼于單個終端的防御，而是對各個終端的事件進行關(guān)聯(lián)分析，還原整個攻擊的流程，描繪出攻擊事件的全貌。(2)輕量級代理。利用輕量級引擎將經(jīng)典安全功能進行一體化設(shè)計，降低客戶部署及運維成本。長期來看，新一代端點安全產(chǎn)品具有的主動防御和輕量級代理兩大特點已成為端點安全產(chǎn)品發(fā)展的趨勢。請務(wù)必閱讀正文之后的免責(zé)條款和聲明12據(jù)據(jù)全行為數(shù)據(jù)的采集和存儲從全網(wǎng)的終端設(shè)備中持續(xù)收集安全相關(guān)數(shù)據(jù)，并實時的將采集到的終據(jù)統(tǒng)一存儲在云端數(shù)據(jù)庫中測將終端數(shù)據(jù)與來自威脅情報服務(wù)的數(shù)據(jù)實時關(guān)聯(lián)，使用高級分析和機，在已知威脅或可疑活動發(fā)生之前實時識別的調(diào)查和分析提供終端安全大數(shù)據(jù)搜索的能力，能夠針對威脅事件進行深入的鉆取分析，還原出威脅事件的時間軸，追溯其來源，分析影響范圍、造成關(guān)信息脅事件進行快速響應(yīng)IBM證券研究部COMTACT研究部率究部繪制請務(wù)必閱讀正文之后的免責(zé)條款和聲明1321%521%54%市場規(guī)模：我們認為，新一代端點安全方案的滲透驅(qū)動了全球端點安全市場的持續(xù)快速增長：1)疫情催化下的遠程辦公場景催化了商業(yè)PC的需求，而物聯(lián)網(wǎng)和智能汽車等新興產(chǎn)業(yè)的發(fā)展也為端點安全市場的增長提供了強勁動力；2)部署在云端的現(xiàn)代端點安全方案提升了防范效果、降低了客戶運維成本，整體ARPU較傳統(tǒng)端點安全產(chǎn)品亦能夠有一定程度的提升；3)輕量級的代理以及統(tǒng)一的后端云平臺顯著降低了新功能cross-sale的難度及復(fù)雜度，進一步擴展了市場空間。根據(jù)IDC數(shù)據(jù)，2021年-2026年，全球企業(yè)端點安全市場規(guī)模預(yù)計將以14.9%的年均復(fù)合增長率增長，從103億美元增長到206億美元；其中，服務(wù)器安全市場從25億美元增長到55億美元，年均復(fù)合增長率為14.4%；其他端點安全市場從78億美元增長到152億美元，年均復(fù)合增長率為16.6%。 (除教育行業(yè)) YoY % 125120 -6%201920200162017IDC證券研究部86420202120222023202420252026IDC)，中信證券研究部注：2022年及以后軟件許可/軟件訂閱硬件基礎(chǔ)設(shè)施實施成本人力成本內(nèi)部管理費用0%iseKaspersky券研究部可演進式集成安全架構(gòu)，有效提升安全防護的有效性。XDR(ExtendedDetectionAndResponse：擴展檢測與響應(yīng))于2018年由PaloAlto首席技術(shù)官NirZuk提出，其請務(wù)必閱讀正文之后的免責(zé)條款和聲明14將檢測范圍擴大到終端之外，是一種跨多個安全層收集并自動關(guān)聯(lián)信息以實現(xiàn)快速威脅檢測的方法。XDR是端點檢測與響應(yīng)(EDR)的自然演進，在發(fā)展過程中逐漸結(jié)合了安全信息和事件管理(SIEM)、安全編排自動化和響應(yīng)(SOAR)、以及網(wǎng)絡(luò)流量分析 (NTA)，集中安全數(shù)據(jù)和事件響應(yīng)。面對不斷加速的數(shù)字化轉(zhuǎn)型和紛繁復(fù)雜的網(wǎng)絡(luò)攻擊，XDR可促進威脅防御、檢測、響應(yīng)等安全功能之間的協(xié)同和互操作，幫助企業(yè)提升威脅檢測和響應(yīng)的效率和效果。網(wǎng)站，中信證券研究部提供更多可見性和背景信息，通過整體檢測和響應(yīng)策略消除安全孤島。當(dāng)前，傳統(tǒng)安全系統(tǒng)面臨著更加隱蔽、更加智能、更具破壞性的新一代網(wǎng)絡(luò)攻擊，高級威脅的發(fā)現(xiàn)越來越難以通過單一的安全能力來實現(xiàn)。多個安全設(shè)備產(chǎn)生的缺乏有效信息的海量告警、孤島式安全能力建設(shè)的缺陷、現(xiàn)有安全產(chǎn)品自動化能力不高、企業(yè)被動的安全防御策略等現(xiàn)實困境，使得企業(yè)急需尋找一種新的網(wǎng)絡(luò)安全防護措施。XDR橫跨各種端點、網(wǎng)絡(luò)、SaaS應(yīng)用、云基礎(chǔ)設(shè)施等各種可以處理的IT資源，將原本分布于各種檢測系統(tǒng)的孤立海量告警進行整合，通過在各種檢測系統(tǒng)之上的數(shù)據(jù)集成與綜合關(guān)聯(lián)分析，呈現(xiàn)給用戶更加精準和有價值的告警，顯著提高了安全人員的工作效率。同時，XDR還具備與單一的安全工具之間的API對接與基礎(chǔ)的編排能力，從而能夠快速地實施告警響應(yīng)與威脅緩能力制點支持對終端、網(wǎng)絡(luò)、云和工作負載的安全防護和控制能力，獲取更大范圍的安全把各種安全日志、告警等數(shù)據(jù)進行匯總，以便于進一步的威脅分析；聯(lián)動不同層面的安全產(chǎn)品，阻斷不安全的訪問請求、隔離被攻陷的主機、修復(fù)系統(tǒng)漏洞/問降低用戶權(quán)限、下發(fā)檢測策略等響應(yīng)執(zhí)行操作。處理和機器學(xué)習(xí)匯聚了全局的安全數(shù)據(jù)(包括各種安全日志、告警、網(wǎng)絡(luò)流量、外部威脅情報等)，比單個安全產(chǎn)品提供更加強大的威脅檢測能力。海量安全數(shù)據(jù)的處理需要請務(wù)必閱讀正文之后的免責(zé)條款和聲明15能力具備大數(shù)據(jù)存儲、傳輸、分析等能力，需要依賴機器學(xué)習(xí)等人工智能算法增強對高級威脅的分析、攻擊殺傷鏈的理解和還原；讓安全人員可以聚焦處理數(shù)量有需要企業(yè)安全人員手動操作的頻率和人為操作出錯的概率，提高安全運營效率；XDR支持安全響應(yīng)任務(wù)的編排能力，讓用戶對文件、權(quán)限、主機和網(wǎng)絡(luò)執(zhí)行經(jīng)過預(yù)先設(shè)計編排過的手動和自動的補救措施，提高。能力增強了企業(yè)用戶的安全可見性，提升威脅檢測時Gartner究部XDRvsSIEM：SIEM從企業(yè)的幾乎所有來源收集大量日志和數(shù)據(jù)并向安全人員發(fā)送警報，但未考慮數(shù)據(jù)的有效性，導(dǎo)致安全團隊被許多無法分類或調(diào)查的警報淹沒而忽略關(guān)鍵警報。此外，即使SIEM從諸多來源和傳感器捕獲數(shù)據(jù)，它仍然是一種發(fā)出警報的被動分析工具，無法跨多個端點自動協(xié)調(diào)對網(wǎng)絡(luò)威脅的一致實時響應(yīng)。而XDR收集的數(shù)據(jù)比SIEM解決方案所收集的數(shù)據(jù)更精準，減少了需要大量手動集成和調(diào)整的工作，XDR還能夠分析多個來源的數(shù)據(jù)以驗證警報，從而減少誤報和整體警報量，提高了SOC的運營效率。另一方面，XDR可以對網(wǎng)絡(luò)和端點防御進行主動上下文感知調(diào)整以消除威脅，同時提醒SOC團隊成員進行調(diào)查。綜上，XDR可以改進威脅檢測和響應(yīng)，使SOC實現(xiàn)流程的現(xiàn)代化、集成和自動化。盡管SIEM作為收集安全信息和事件最為全面的手段仍將持續(xù)存在，但效率更高、實時性更強的XDR方法料將對SIEM的適用場景持續(xù)滲透，實現(xiàn)快速的增長。點DR整合孤立的安全工具，提高威脅可見性、減輕通常只聚焦于威脅檢測與響應(yīng)；可能導(dǎo)致對收集各類網(wǎng)絡(luò)設(shè)備的日志數(shù)據(jù)，向安全人員發(fā)發(fā)出海量警報的被動分析工具，無法識別警，無法提供日志的上下文信息owdStrikeXDR成為業(yè)內(nèi)主流發(fā)展趨勢，滲透率有望進一步提升。2020年，Gartner將XDR列為第一大安全技術(shù)趨勢以及2020-2021年十大安全項目之一，并表示XDR解決方案將“提高檢測準確性，并提高安全運營效率和生產(chǎn)率”。在Gartner技術(shù)成熟度曲線中，端點安全和安全運營兩個領(lǐng)域在2020年和2021年都提及了XDR。2022年，XDR站上了安全運營成熟度曲線頂端，成為安全運營體系中最炙手可熱的技術(shù)之一。根據(jù)Gartner的報告，2020年使用XDR技術(shù)的組織少于5%，但預(yù)計到2027年這一數(shù)字將上升至40%。根據(jù)IDC數(shù)據(jù)，2021年-2026年，全球云原生XDR市場規(guī)模預(yù)計將以66.1%的年均復(fù)合增長率增長，從1.7億美元快速增長到21.2億美元。請務(wù)必閱讀正文之后的免責(zé)條款和聲明16Gartner究部0市場規(guī)模YoY%%%%%202120222023202420252026M000 YoYE%EEEEKaspersky券研究部XDR有望驅(qū)動行業(yè)平臺化整合，份額向頭部廠商集中。由于XDR模型致力于實現(xiàn)跨各類安全產(chǎn)品的數(shù)據(jù)集成與綜合關(guān)聯(lián)分析，我們認為行業(yè)內(nèi)的頭部廠商將顯著受益：一方面，頭部廠商均積極推動產(chǎn)品平臺化演進，能夠提供多種安全產(chǎn)品和能力的整合交付，亦能實現(xiàn)自身產(chǎn)品的數(shù)據(jù)集成；另一方面，頭部廠商亦能建立全面的合作生態(tài)，與多個環(huán)節(jié)的供應(yīng)商聯(lián)合實現(xiàn)XDR的能力。2021年10月，CrowdStrike推出XDR模塊，同時發(fā)起成立CrowdXDR聯(lián)盟，啟動合作伙伴包括來自云、Web、電子郵件、身份、網(wǎng)絡(luò)、ITOM等安全和IT行業(yè)的領(lǐng)導(dǎo)者。該聯(lián)盟為數(shù)據(jù)交換建立一個共享模式，通過特定供應(yīng)商的安全遙測豐富底層XDR數(shù)據(jù)以進行關(guān)聯(lián)分析，為跨域調(diào)查提供統(tǒng)一的控制臺以實現(xiàn)威脅檢測和響應(yīng)。而PaloAlto和微軟亦分別在XDR領(lǐng)域推出了CortexXDR與MicrosoftXDR產(chǎn)品。請務(wù)必閱讀正文之后的免責(zé)條款和聲明17Crowdstrike證券研究部云工作負載安全是針對部署在云端的虛擬機、容器等工作負載的安全解決方案，能夠在漏洞風(fēng)險、入侵威脅檢測、主動防御、快速響應(yīng)以及安全管理等方面為工作負載提供全面的保護。我們認為，云工作負載安全市場增長主要受到以下幾點因素的驅(qū)動：1)伴隨數(shù)字化、云化的持續(xù)滲透，企業(yè)部署在云端的工作負載不斷增加；2)多云、混合云的部署，以及微服務(wù)架構(gòu)的持續(xù)滲透顯著增加了IT堆棧的動態(tài)性及復(fù)雜度，亦顯著提升了安全防范的難度和重要性。根據(jù)IDC數(shù)據(jù)，2021年全球云工作負載安全市場規(guī)模為22億美元，預(yù)計到2026年將增長至51億美元，2021-2026年CAGR為18.5%。我們認為，這一市場的增長空間可能被顯著低估：根據(jù)IDC，目前安全開支占企業(yè)IT總開支約10%，但目前云安全占公有云市場(IaaS+PaaS)的比例則尚不及2%?？紤]到云環(huán)境本身動態(tài)、復(fù)雜的特點，以及IT基礎(chǔ)設(shè)施上云的持續(xù)推進，我們認為云計算環(huán)境下的安全開支將持續(xù)增長。00市場規(guī)模YoYEEEEEIDC證券研究部請務(wù)必閱讀正文之后的免責(zé)條款和聲明180.0%0.0%aaS000IDC研究部圖21：云安全占公有云市場(IaaS+PaaS)的比例(%)EEEEEIDC研究部00虛擬機數(shù)量YoY-虛擬機數(shù)量000容器實例數(shù)量YoY%%%%%%IDC研究部IDC研究部全數(shù)據(jù)管理多云或多數(shù)據(jù)中心部署/管理/集成容器的可靠性/穩(wěn)定性缺乏部署或管理容器基礎(chǔ)架構(gòu)的技能或再培訓(xùn)缺乏開發(fā)云原生或微服務(wù)應(yīng)用程序的技能或再…了解如何對容器中的應(yīng)用程序進行故障排除現(xiàn)有應(yīng)用程序與容器的兼容性實現(xiàn)容器的自動擴展網(wǎng)容器化應(yīng)用程序的監(jiān)控實施持久存儲實施災(zāi)難恢復(fù)滿足合規(guī)性/監(jiān)管要求實現(xiàn)容器編排文化/組織/態(tài)度改變實現(xiàn)日志記錄0%5%10%15%20%25%30%IDC證券研究部請務(wù)必閱讀正文之后的免責(zé)條款和聲明19Gartner究部零信任：解決企業(yè)IT邊界擴展憂慮。零信任網(wǎng)絡(luò)訪問(ZTNA)假設(shè)外部和內(nèi)部威脅每時每刻都充斥著網(wǎng)絡(luò)，信任永遠不應(yīng)該是基于網(wǎng)絡(luò)位置隱含的，而是要在基于細粒度的用戶、設(shè)備的身份認證來獲得的。因此，ZTNA僅授予特定用戶對于特定服務(wù)或是應(yīng)用程序的訪問權(quán)限，而不是如VPN授予對于整個網(wǎng)絡(luò)的訪問權(quán)限，這種架構(gòu)將很大程度限制可利用攻擊面的范圍。根據(jù)Gartner預(yù)測，到2023年，將有60%的企業(yè)逐步淘汰遠程VPN訪問，轉(zhuǎn)向零信任網(wǎng)絡(luò)訪問。請務(wù)必閱讀正文之后的免責(zé)條款和聲明20我們認為，ZTNA的核心組件為身份認證和訪問管理(IAM)和安全網(wǎng)關(guān)(SWG和CASB)產(chǎn)品。其中，身份認證和訪問管理產(chǎn)品能夠通過生物特征、行為分析、地理位置、使用設(shè)備等多種方式驗證用戶身份，并使用訪問控制引擎為多個應(yīng)用場景(B2E、B2B和B2C)的目標(biāo)應(yīng)用提供集中身份驗證、SSO(單點登錄)、會話管理和授權(quán)實施。而安全網(wǎng)關(guān)產(chǎn)品能夠?qū)W(wǎng)絡(luò)進行端到端分段，以確保合法用戶僅對其特權(quán)憑據(jù)內(nèi)允許的應(yīng)用程序或者Web內(nèi)容進行精細訪問，其中SWG(SecureWebGateway)主要充當(dāng)公司設(shè)備和互聯(lián)網(wǎng)內(nèi)容間的網(wǎng)關(guān)，而CASB(CloudAccessSecurityBroker)主要充當(dāng)公司設(shè)備和云服務(wù)間的網(wǎng)關(guān)。根據(jù)IDC，全球IAM市場規(guī)模預(yù)計將在2025年達到192億美元，2020-2025年CAGR為11.6%，其中云產(chǎn)品的CAGR為18.6%；全球安全網(wǎng)關(guān)市場規(guī)模究部繪制0000留方案留方案份管理%%EEEEEIDC證券研究部請務(wù)必閱讀正文之后的免責(zé)條款和聲明21及增速(百萬美元，%)0CASBSWGYoY20202021E2022E2023E2024E2025E%IDC證券研究部使用訪問控制引擎為多個應(yīng)用場景(B2E、B2B和B2C)的目標(biāo)應(yīng)用程序提供集中身份驗證、SSO(單點登錄)、會話管理和授權(quán)實施。多因素身份認證以及對現(xiàn)代身份協(xié)議(如SAML、OAuth2和OIDC)的支持均為訪問管理的核心要指代替?zhèn)鹘y(tǒng)密碼的一系列身份驗證方法以及解決方案，MFA (多因素身份認證)是目前最為主流的身份認證方案，通過生行為分析、地理位置、使用設(shè)備等多種方式驗證用戶市場較為分散，訪問管理廠商以及安全廠商均能提供身解決方案特權(quán)訪問管理部攻擊者入侵和破壞的首要對象。而PAM提供了對特權(quán)管理員帳戶的精準訪問控制，可以最大限度地保護敏感數(shù)據(jù)及信neIdentify身份治理管理IGA系統(tǒng)是IAM生態(tài)的重要組成部分，它們必須管理數(shù)量迅源，以及如何使用這些資源。Gartner究部隨著企業(yè)越來越多地依賴于基于云的應(yīng)用程序，并支持分布式工作流以支持遠程和移動端用戶，企業(yè)網(wǎng)絡(luò)迅速超出傳統(tǒng)的網(wǎng)絡(luò)邊緣。盡管網(wǎng)絡(luò)的發(fā)展速度足以支持遠程端點的工作流程，但絕大多數(shù)安全工具并未跟上發(fā)展的步伐。為了保護現(xiàn)代企業(yè)網(wǎng)絡(luò)下的網(wǎng)絡(luò)安全，所有端點都必須使用與其本地基礎(chǔ)架構(gòu)相同的安全和網(wǎng)絡(luò)策略進行保護和管理，安全訪問服務(wù)邊緣(SASE)應(yīng)運而生。SASE是Gartner于2019年提出的一個新的網(wǎng)絡(luò)安全類別，將SD-WAN和網(wǎng)絡(luò)安全點解決方案融合到統(tǒng)一的云原生服務(wù)中。Gartner預(yù)計，到2024年至少有40%的企業(yè)將制定采用SASE的明確戰(zhàn)略，而2018年底這一比例還不到1%。請務(wù)必閱讀正文之后的免責(zé)條款和聲明22tworks由于SASE在底層基礎(chǔ)架構(gòu)中內(nèi)置了完整的安全堆棧，所有邊緣都享有統(tǒng)一策略的相同級別保護。當(dāng)所有WAN和Internet流量通過SASE云平臺時，IT人員可以完全了解網(wǎng)絡(luò)，使得IT部門能夠通過單一管理平臺保持對整個網(wǎng)絡(luò)的控制。同時，網(wǎng)絡(luò)和安全堆棧的簡化，以及多個單點產(chǎn)品的整合，消除了任何資本支出采購以及內(nèi)部管理和維護的需要，所有成本都轉(zhuǎn)化為Opex。我們認為，SASE的趨勢一方面將使得網(wǎng)絡(luò)安全廠商加速平臺化的整合，技術(shù)能力全面的頭部廠商有望強者恒強；另一方面，SASE也在持續(xù)推動網(wǎng)絡(luò)安全產(chǎn)品云化的進程，SASE核心組件中的FwaaS、CASB、ZTNA、SWG均將加速云化。組件功能SD-WAN可實現(xiàn)最佳廣域網(wǎng)管理。SASE利用SD-WAN功能提供優(yōu)由、全球連接、廣域網(wǎng)和互聯(lián)網(wǎng)安全、云加速和遠程訪問SASEFWaaS以提供數(shù)字業(yè)務(wù)所需的可擴展性和彈性，并在需要的地方擴展完整的網(wǎng)絡(luò)安全堆棧ZTNA提供了一種現(xiàn)代方法來保護用戶的應(yīng)用程序訪問，應(yīng)用程序訪備類型等動態(tài)調(diào)整CASB幫助企業(yè)適應(yīng)云計算帶來的新威脅。作為SASE服務(wù)的一部分SWG解決方案保護用戶免受惡意軟件、網(wǎng)絡(luò)釣魚和其他網(wǎng)絡(luò)傳播的SASESWG護，并且無需跨多案維護策略管理SASE解決了管理多個不同產(chǎn)品的復(fù)雜性。真正的SASE允許用戶從和管理所有網(wǎng)絡(luò)和安全解決方案Gartner究部請務(wù)必閱讀正文之后的免責(zé)條款和聲明23500000000軟件YoY 云服務(wù)YoY2024E2025E%%EEEM圖32：全球安全即服務(wù)(SecurityasaService)市場規(guī)模及增速(百萬美元，%)AIRO據(jù)安全全GRC身份認證管理0,000.000,000.000,000.000,000.000,000.000,000.000,000.000,000.000,000.0020212022E2023E2024E2025E2026E0%0%資料來源：IDC(含預(yù)測)，中信證券研究部；注：AIRO即Cybersecurityanalytics,intelligence,response,市場格局：新一代安全廠商快速獲得份額，市場份額持續(xù)向頭部集中我們認為，伴隨著防范手段和防范策略的全面變革，行業(yè)格局將迎來重塑，順應(yīng)行業(yè)趨勢的新一代廠商有望快速獲得份額。與此同時，細分領(lǐng)域的頭部廠商將通過內(nèi)部研發(fā)和外延并購等手段實現(xiàn)功能的擴充及平臺化的延展，并依賴集成交付的產(chǎn)品組合及客戶、品牌、數(shù)據(jù)積累層面的領(lǐng)先優(yōu)勢實現(xiàn)份額的持續(xù)擴大。2021年，在端點安全領(lǐng)域，我們看到微軟、Crowdstrike、SentinelOne等具有新一代端點安全方案的廠商在快速獲得份額，而TrendMicro、博通(收購賽門鐵克)、Trellix等傳統(tǒng)端點安全廠商則在逐步失去份額；在IAM市場，我們亦看到微軟、Okta等現(xiàn)代身份認證廠商實現(xiàn)了份額的顯著增長，而博通(收購CA)、Oracle等傳統(tǒng)方案的份額則持續(xù)下降。值得一提的是，盡管CyberArk同樣是IAM市場的子領(lǐng)域特權(quán)訪問管理(IGA)市場領(lǐng)先的新一代供應(yīng)商，但由于其能力逐步被Okta、微軟等行業(yè)領(lǐng)導(dǎo)者整合至統(tǒng)一的平臺上，CyberArk的份額亦被逐步侵蝕。請務(wù)必閱讀正文之后的免責(zé)條款和聲明240%0%.0%0.0%TrTrellixBroadcomSoftware其他TrendMicroSophosESETIDC證券研究部pIDC證券研究部OktaIBMRSAThalesOracleBroadcomCyberArkSoftwareSailPointOthersIDC證券研究部pIDC證券研究部▍板塊估值顯著回調(diào)，配置價值顯現(xiàn)板塊估值：回調(diào)至歷史低位與軟件板塊整體表現(xiàn)類似，伴隨疫情后聯(lián)儲降息以及數(shù)字化、云化進程的加速，安全板塊估值水平在2020-2021年快速攀升。但伴隨政策利率抬升、市場對宏觀經(jīng)濟不確定性擔(dān)憂的加劇，板塊估值在2021年11月之后迅速下行。目前美股安全板塊EV/SNTM為5.8x，顯著低于2015年至今8x左右的平均估值水平；如果將增速納入考量，目前美股安全板塊EV/S/GNTM為0.26x，距離2015年至今0.4x左右的平均估值水平亦差異顯著。此外，結(jié)合財務(wù)/戰(zhàn)略收購領(lǐng)域?qū)?biāo)的的估值水平，目前板塊整體估值亦處于歷史低位?？紤]到企業(yè)安全開支的剛性以及板塊中長期的明確趨勢，我們認為估值進一步向下的空間有限，而向上的彈性則較為明顯。請務(wù)必閱讀正文之后的免責(zé)條款和聲明25anApr-15JulanApr-16JulanApr-17JulanApr-18JulanApr-19JulanApr-20JulanApr-15JulanApr-16JulanApr-17JulanApr-18JulanApr-19JulanApr-20JulanApr-21JulanApr-22JulTMEV/SNTM十年期國債收益率(%).0Jan-15Jan-16Jan-17Jan-18Jan-19Jan-20Jan-21Jan-22.5.0信證券研究部EVS平均EV/S50Jan-15Jan-16Jan-17Jan-18Jan-19Jan-20Jan-21Jan-22信證券研究部0信證券研究部請務(wù)必閱讀正文之后的免責(zé)條款和聲明26信證券研究部購方EV/NTM交NTM收入增.05.20VistaEquityWebsense.07.23CiscoSystem,Inc.Sourcefire,Inc..06.12tec.11.27maBravo.10.10maBravo.5x.11.26rry.08.08tec.5x-1%.08.22VMWareBlack.10.14maBravo.5x.07.15AdventInternational.9x.03.09ychnologyrprise.03.21Gycotic.03.03Auth0.04.27maBravo.06.03ychnologyucts.12.07.03.09Alphabet.04.11maBravoPoint.04.11-至今平均，-至今平均，-至今平均，-至今平均，-至今平均，-至今平均，信證券研究部板塊業(yè)績：不利宏觀環(huán)境下增速承壓，中長期趨勢依然明朗伴隨美國通脹數(shù)據(jù)拐點的確立，美聯(lián)儲本輪貨幣緊縮周期正接近尾聲，2023年大概請務(wù)必閱讀正文之后的免責(zé)條款和聲明27率的衰退情形成為投資者主要關(guān)心的問題。而根據(jù)我們的統(tǒng)計，22Q3財報披露完成后，安全板塊CY2023平均收入增速一致預(yù)期出現(xiàn)了明顯下調(diào)，絕大多數(shù)個股也在進行業(yè)績預(yù)期的持續(xù)修正。從近期安全板塊的整體增長情況來看，疫情后加速增長的情況已經(jīng)過去，而宏觀環(huán)境對下游需求的壓制亦逐漸體現(xiàn)。我們判斷，2023H1，宏觀環(huán)境仍將對板塊業(yè)績造成持續(xù)的壓力；而進入下半年，伴隨經(jīng)濟環(huán)境的逐步復(fù)蘇以及基數(shù)壓力的明顯減弱，板塊增速有望實現(xiàn)反彈。從中長期的角度，安全在企業(yè)IT開支中的優(yōu)先地位、以及防范手段&策略變革驅(qū)動的成長并未發(fā)生改變，當(dāng)下較低的估值水平提供了較優(yōu)的配置時機。而從短期配置的角度，我們判斷Crowdstrike、微軟、PaloAlto等盈利能力較優(yōu)、平臺化進展順利的企業(yè)在當(dāng)下時點更為穩(wěn)??；而Zscaler、Sentinelone、Cloudflare等增速較快、盈利能力偏弱的標(biāo)的則有望在下半年實現(xiàn)更優(yōu)的彈性。%%%%%%%%%20.0%預(yù)期，中信證券研究部%%%%%%%20.0%預(yù)期，中信證券研究部請務(wù)必閱讀正文之后的免責(zé)條款和聲明282022-03-252022-07-012022-09-302023-01-06.0%%%預(yù)期，中信證券研究部安全板塊平均Billings增速剔除大市值公司后增速0%原油價格上行導(dǎo)致歐美高通脹進一步失控風(fēng)險；美債利率快速上行風(fēng)險；針對科技巨頭的政策監(jiān)管持續(xù)收緊風(fēng)險；全球宏觀經(jīng)濟復(fù)蘇不及預(yù)期風(fēng)險；宏觀經(jīng)濟波動導(dǎo)致歐美企業(yè)IT支出不及預(yù)期風(fēng)險；全球云計算市場發(fā)展不及預(yù)期風(fēng)險；云計算企業(yè)數(shù)據(jù)泄露、信息安全風(fēng)險；行業(yè)競爭持續(xù)加劇風(fēng)險等。疫情后數(shù)字化、云化的加速推進，以及遠程辦公場景的迅速滲透，使得企業(yè)信息安全的重要性日益凸顯。與此同時，我們觀察到端點側(cè)、云側(cè)、威脅數(shù)據(jù)側(cè)的防范手段正在經(jīng)歷重大變革，而ZNTA、SASE等新一代防范策略亦在迅速滲透，這一方面驅(qū)動了市請務(wù)必閱讀正文之后的免責(zé)條款和聲明29場空間的不斷延展，另一方面也帶來了競爭格局的新一輪洗牌。立足當(dāng)下，盡管宏觀環(huán)境給板塊業(yè)績估值均帶來了一定的壓力，但板塊內(nèi)在的發(fā)展邏輯并未發(fā)生變化。從中長期的角度，安全在企業(yè)IT開支中的優(yōu)先地位、以及防范手段&策略變革驅(qū)動的成長并未發(fā)生改變，當(dāng)下較低的估值水平提供了較優(yōu)的配置時機。而從短期配置的角度，我們判斷Crowdstrike、微軟、PaloAlto等盈利能力較優(yōu)、平臺化進展順利的企業(yè)在當(dāng)下時點更為穩(wěn)??；而Zscaler、Sentinelone、Cloudflare等增速較快、盈利能力偏弱的標(biāo)的則有望在下半年實現(xiàn)更優(yōu)的彈性。市值(億美方法21ASFTONTOZscalerZS.OflareNET.N0trikeCRWD.OneloneS.N0.3主要負責(zé)撰寫本研究報告全部或部分內(nèi)容的分析師在此聲明：(i)本研究報告所表述的任何觀點均精準地反映了上述每位分析師個人對標(biāo)的證券和發(fā)行人的看法；(ii)該分析師所得報酬的任何組成部分無論是在過去、現(xiàn)在及將來均不會直接或間接地與研究報告所表述的具體建議或觀點相聯(lián)系。本研究報告由中信證券股份有限公司或其附屬機構(gòu)制作。中信證券股份有限公司及其全球的附屬機構(gòu)、分支機構(gòu)及聯(lián)營機構(gòu)(僅就本研究報告免本研究報告對于收件人而言屬高度機密，只有收件人才能使用。本研究報告并非意圖發(fā)送、發(fā)布給在當(dāng)?shù)胤苫虮O(jiān)管規(guī)則下不允許向其發(fā)送、發(fā)布該研究報告的人員。本研究報告僅為參考之用，在任何地區(qū)均不應(yīng)被視為買賣任何證券、金融工具的要約或要約邀請。中信證券并不因收件人收到本報告而視其為中信證券的客戶。本報告所包含的觀點及建議并未考慮個別客戶的特殊狀況、目標(biāo)或需要，不應(yīng)被視為對特定客戶關(guān)于特定證券或金本報告所載資料的來源被認為是可靠的，但中信證券不保證其準確性或完整性。中信證券并不對使用本報告或其所包含的內(nèi)容產(chǎn)生的任何直接或間接損失或與此有關(guān)的其他損失承擔(dān)任何責(zé)任。本報告提及的任何證券或金融工具均