全球SaaS云计算行业产业系列报告62：信息安全防护手段策略均面临变革板块迎来配置时机

证券研究报告请务必阅读正文之后第30页起的免责条款和声明信息安全：防护手段&策略均面临变革，板配置时机云信息安全：防护手段&策略均面临变革，板配置时机云化的渗透、远程办公的普及、IT技术堆栈的复杂化，使得传统信息安全体系在面对复杂、隐蔽、高频的恶意软件攻击愈加力不从心，安全防御体系亟待变革。在防护手段方面，我们看到数据驱动下的主动防御渐成主流，防御体系延展至云端负载；在防护策略方面，零信任和SASE的渗透显著缓解了企业对于IT边界拓展的担忧。在行业变革期，我们看到新一代安全厂商持续获得市场份额，且头部厂商凭借其性能、品牌、客户等优势持续扩大领先优势。立足当下，尽管宏观环境带来了一定压力，行业的内在逻辑并未变化。中长期来看，陈俊云中信证券研究部核心观点前瞻研究首席分析师S0001许英博科技产业首席分析师S120041刘锐前瞻研究分析师安全在企业IT开支中的优先地位、以及防范手段&策略变革驱动的成长并未发生改变，当前较低的估值水平提供了较优的配置时机。▍安全重要性日益凸显，底层技术面临变革。1)外部变化：在企业数字化、云化加速推进的大背景下，伴随全球数据量以及IT技术堆栈的迅速增加，恶意软件攻击的频次、隐蔽性日益上升，企业因恶意软件入侵造成的经济成本和社会成本也在快速增加，信息安全重要性愈加凸显。2)内部变化：根据IDC的调研数据，到2024年，欧美企业IT部署中44%将为公有云，较2020年的25%提升近80%。传统的安全防御体系难以对云端负载执行有效的防御策略，云原生技术的渗透、多云战略的普及更是增加了安全防御的难度。与此同时，随着云计算和移动设备的快速普及，企业计算环境日益分散，网络边界日益模糊，传统基于网络位置的信任策略面临挑战。传统安全防御体系亟待变革，新一代信息安全厂商应运而生。▍防护手段：数据驱动下的主动防御渐成主流，防御体系延展至云端负载。1)端点安全：随着恶意威胁由原来的盲目、直接转变为目标精确、持久隐秘，传统端点安全产品机制被动、低效且臃肿的问题愈发突出。而下一代端点安全产品EDR(端点检测与响应)通过轻量级的前端代理收集数据，在后端云平台执行数据的集成和分析，实现基于“行为”的主动防控。IDC预计全球企业端点安全市场规模将在2026年增长至206亿美元，2021-2026年CAGR为14.9%。2)XDR：XDR(扩展检测与响应)作为EDR的自然演进，能够整合多源、孤立、海量的告警，并进行数据集成与综合关联分析，提供更加精准与有价值的告警。据IDC数据，2021年-2026年，全球云原生XDR市场规模预计将从1.7亿美元快速增长到21.2亿美元，对应CAGR为66.1%。3)云安全：伴随数字化、云化的持续渗透，多云/混合云/微服务架构显著增加了IT堆栈的动态性及复杂度，传统安全防护难以胜任，云安全因此迅速崛起。据IDC统计，2021年全球云工作负载安全市场规模为22亿美元，预计到2026年将▍防护策略：零信任与SASE迅速普及显著缓解了企业对于IT边界拓展的担忧。1)零信任：零信任网络访问(ZTNA)基于端点、网关、身份认证工具的集成，实现了基于身份而非网络位置的新一代防护策略。根据Gartner预测，到2023年，将有60%的企业逐步淘汰远程VPN访问，转向零信任网络访问。ZTNA核心组件为身份认证和访问管理(IAM)和安全网关产品，分别负责验证用户身份与确保合法用户仅在允许范围内进行精细访问。2)SASE：SASE (安全访问服务边缘)强调将SDN(软件定义网络)能力和各类网络安全能力融合至各个边缘节点中，实现端点安全的集中化、一体化控制，这一方面将使得网络安全厂商加速平台化的整合，技术能力全面的头部厂商有望强者恒强；另一方面也在持续推动网络安全产品软件化、云化的进程。▍市场格局：新一代安全厂商快速获得份额，头部效应明显。伴随着防范手段和请务必阅读正文之后的免责条款和声明2防范策略的全面变革，行业格局将迎来重塑，顺应行业趋势的新一代厂商有望快速获得份额。头部厂商将通过内部研发和外延并购等手段实现功能扩充与平台化的延展，并依赖集成交付的产品组合及客户、品牌、数据积累层面的领先优势持续扩大市场份额。2021年，在端点安全领域，我们看到微软、Crowdstrike、SentinelOne等具有新一代端点安全方案的厂商在快速获得份额，而TrendMicro、博通(收购赛门铁克)、Trellix等传统端点安全厂商则在逐步失去份额；在IAM市场，微软、Okta等现代身份认证厂商实现了份额的显著增长，而博通(收购CA)、Oracle等传统方案的份额则持续下降。▍估值&业绩：板块估值显著回调，配置价值显现。估值方面，目前美股安全板块EV/SNTM为5.8x，显著低于2015年至今8x左右的平均估值水平；如果将增速纳入考量，目前美股安全板块EV/S/GNTM为0.26x，距离2015年至今0.4x左右的平均估值水平亦差异显著。此外，结合财务/战略收购领域对标的的估值水平，目前板块整体估值亦处于历史低位。考虑到企业安全开支的刚性以及板块中长期的高确定性趋势，我们认为估值进一步向下的空间有限，而向上的弹性则较为明显。业绩方面，22Q3财报披露完成后，板块CY2023平均收入增速一致预期出现了明显下调，绝大多数个股也在进行业绩预期的持续修正。从近期安全板块的整体增长情况来看，疫情后加速增长的情况已经过去，而宏观环境对下游需求的压制亦逐渐体现。我们判断，2023H1，宏观环境仍将对板块业绩造成持续的压力；而进入下半年，伴随经济环境的逐步复苏以及基数压力的明显减弱，板块增速有望实现反弹。从中长期的角度，安全在企业IT开支中的优先地位、以及防范手段&策略变革驱动的成长并未发生改变，当下较低的估值水平提供了较优的配置时机。▍风险因素：原油价格上行导致欧美高通胀进一步失控风险；美债利率快速上行风险；针对科技巨头的政策监管持续收紧风险；全球宏观经济复苏不及预期风险；宏观经济波动导致欧美企业IT支出不及预期风险；全球云计算市场发展不及预期风险；云计算企业数据泄露、信息安全风险；行业竞争持续加剧风险▍投资策略：疫情后数字化、云化的加速推进，以及远程办公场景的迅速渗透，使得企业信息安全的重要性日益凸显。而端点侧、云侧、威胁数据侧的防范手段正在经历重大变革，ZNTA、SASE等新一代防范策略亦在迅速渗透。市场空间不断延展，竞争格局亦迎来新一轮洗牌。立足当下，尽管宏观环境带来了一定压力，但内在逻辑并未变化。中长期来看，安全在企业IT开支中的优先地位、以及防范手段&策略变革驱动的成长并未发生改变，当下较低的估值水平提供了较优的配置时机。从短期配置的角度，我们认为Crowdstrike、微软、PaloAlto等盈利能力较优、平台化进展顺利的企业在当下时点更为稳健；而Zscaler、Sentinelone、Cloudflare等增速较快、盈利能力偏弱的标的则有望在下半年实现更优的弹性。重点公司盈利预测、估值及投资评级市值(亿美方法21AESFTONTOZscalerZS.OflareNET.N0trikeCRWD.OneloneS.N0.3期请务必阅读正文之后的免责条款和声明3安全重要性日益凸显，底层技术面临变革 6外部变化：恶意软件攻击日趋复杂，信息安全重要性日益凸显 6内部变化：企业上云、远程办公对信息安全提出了新的挑战 9防护手段&策略均面临变革，行业竞争格局迎来重塑 10防护手段：端点安全由静态变为动态，从被动变为主动 10防护手段：XDR成为主流发展趋势，渗透率有望快速提升 13 E 防护策略：SASE将整合的网络安全能力推向边缘 21市场格局：新一代安全厂商快速获得份额，市场份额持续向头部集中 23板块估值显著回调，配置价值显现 24 板块业绩：不利宏观环境下增速承压，中长期趋势依然明朗 26 请务必阅读正文之后的免责条款和声明4插图目录图1：全球数据量及同比增速(ZB，%) 6图2：网络安全关键词在企业文档中的出现频次 7图3：后疫情时代企业最需要购买/建立的IT应用(%) 8图4：全球应用工作负载部署位置(%) 9图5：云迁移对于公司安全开支的影响(%) 9图6：在云计算推动下，预计支出将获得增加的安全技术(%) 9图7：欧美远程办公的劳动力占比(%) 10 图10：海量数据具有规模效应，竞争壁垒不断强化 12图11：2015~2021年商用PC出货量及增速(百万台，%) 13图12：全球端点安全市场收入规模及增速(十亿美元，%) 13图13：On-Premise与SaaS软件总体成本占比(3年) 13 图16：云原生XDR市场总收入(百万美元) 16图17：SIEM市场总收入及增速(百万美元，%) 16 图19：全球云工作负载市场规模及增速(百万美元，%) 17图20：IaaS+PaaS市场规模(十亿美元) 18图21：云安全占公有云市场(IaaS+PaaS)的比例(%) 18图22：全球虚拟机数量及增速(百万，%) 18图23：全球容器实例数量及增速(百万，%) 18 图28：全球IAM市场规模及增速(百万美元，%) 20图29：全球安全网关市场规模及增速(百万美元，%) 21 图31：全球网络安全软件市场规模及增速(百万美元，%) 23图32：全球安全即服务(SecurityasaService)市场规模及增速(百万美元，%)...23图33：2021年全球端点安全市场份额(%) 24图34：2021年全球端点安全市场份额获得者及丢失者Top5 24图35：2021年全球IAM市场份额(%) 24IAM得者及丢失者Top5 24图37：美股软件SaaS板块EV/SNTM及十年期国债收益率(%) 25 40：美股安全板块重点公司EV/SNTM水平 26图41：美股重点软件SaaS公司CY2023平均收入增速一致预期变化(%) 27图42：美股主要安全类软件SaaS公司CY2023平均收入增速一致预期变化(%)....27图43：美股主要安全类软件SaaS公司CY2023收入增速一致预期调整(%)...........28请务必阅读正文之后的免责条款和声明5图44：美股安全板块平均Billings增速水平(%).........................................................28表格目录 表8：全球信息安全领域大型并购估值 26表9：安全领域重点跟踪公司盈利预测 29请务必阅读正文之后的免责条款和声明6▍安全重要性日益凸显，底层技术面临变革伴随移动互联网和AIoT的蓬勃发展，以及企业数字化和云化的持续推进，全球数据量以及企业部署和管理的IT技术堆栈都在迅速增加。这一方面意味着恶意攻击者通过勒索软件、间谍软件等恶意软件行为满足自身利益的动机和诉求日益增强，恶意攻击的频次和隐蔽性日益上升；另一方面，也意味着企业或政府机构因恶意软件入侵造成的经济成本、声誉成本和社会成本也在快速增加。2021年，根据CheckPoint发布的《CyberSecurityReport2022》，我们看到恶意软件通过入侵网络管理平台SolarwindsOrin进而向Solarwinds本身以及Solarwinds所服务的客群进行入侵和破坏，导致全球近2,000家企业和机构受到波及，其中包括美国司法部下属的各执法机构；也看到全球最为流行的开源日志库产品ApacheLog4j被报告存在远程代码/命令执行漏洞，攻击者能够利用该漏洞对被攻击服务器进行远程访问和控制，由于该漏洞的威胁面巨大并且全球存在大量未修补漏洞的系统，攻击者持续利用该漏洞尝试发起攻击并在此过程中影响许多企业机构。此外，REvil勒索软件集团对肉类加工巨头JBS以及IT公司Kaseya的企业客户发起的勒索软件攻击、Mirai僵尸网络对某金融组织发起的有史以来最大的分布式拒绝服务(DDoS)攻击等均造成了广泛而严重的损失。B00全球数据量(ZB) 同比增速%%%%%%%%%%IDC证券研究部件一种使用加密技术使目标无法访问其数据直到支付赎金的软件。受害组证付款会产生必要的解密提供的解密密钥会正常运作化消息件把自己伪装成理想的代码或软件。一旦被下载，它就可以控制系统，达病毒和移动存储等进行复制和传香请务必阅读正文之后的免责条款和声明7Q5Q6Q5Q6Q7Q8Q9Q0Q1Q2Q3Q4Q5Q6Q7Q8Q9Q0Q1SVirusVirus一段代码，它将自己插入到应用程序中，并在应用程序运行时执行。一旦应用执行，病毒就可以被用来窃取敏感数据、发起DDoS攻击、进行勒索软件攻击。与木马和蠕虫不同，Virus只有在应用程序运可进行执行或复制Rootkit用充分的管理凭证，远程控制受害者的计算机。ZacinloKeyloggers通过键盘记录器窃取密码、银行信息和其他敏感信息OlympicVision僵尸网络病毒根据命令执行自动任务的软件，可以用来执行DDoS攻击Echobot无文件非恶意下很少的足迹，使其难Astaroth000网络安全勒索软件GoogleTrend信证券研究部01国司法部在美国联邦调查局(FBI)、美国缉毒局(DrugenforcementAgency)和美国法警局(USMarshalsService)等一系列司法部是SolarWindsOrion的买家，该工具被黑客用来执行这次攻击，导致多达18000SolarWindsDepartmentofJustice表示，它是在平安夜得知自己是受害者的，并透露其02021年2月，流行音乐流媒体平台Spotify遭到了虚假认证攻击，而就在三个月前，类似事件也发生过。这次攻击使用该公司在一份声明中表示这次攻击与Spotify自身的安全漏洞无关，网络犯罪分子利用人们在多个在线账户和平台上重复使用相同的密码来进行证书填充。攻击者只需构建自动脚032021-26858和CVE-2021-27065的大肆利用。进一步的调查发现，攻击者利用零日漏洞窃取多个用户邮箱的全部内容。此漏洞可远程利用，不需要身份验证、特殊知识或对特定环境的访问。据估计，有25万台服务器成为攻击的受害者，其中包括美国约3万个组织的服务器和英国的7000台服务器。欧洲银行管理局、挪威议会和智利金融市场委员会CMF也受到了影响。04安全局(NSA)、网络安全和基础设施安全局(CISA)和联邦调查局(FBI)发布了一份联合咨询警告，APT29在针对美国目标的持续攻击中利用了五个漏洞。根据该报告，APT29经常利用公开的漏洞对脆弱的系统进行rion部署WellMess恶意软件针对COVID-19研究机构，以及利用VMware漏洞(当时是零日漏洞)。05括柴油、汽油和航空燃油。美国联邦调查局(FBI)发表声明确认，一个名叫“Darkside”的黑客团伙是这次攻击的幕后黑请务必阅读正文之后的免责条款和声明8取解密密钥。随后，美国联邦调查局(FBI)宣布，他们已经取回了赎金账户的私钥，并追回062021年6月，美国肉类加工巨头JBS遭遇勒索软件攻击，影响了其北美和澳大利亚业务。联邦调查局将这次攻击归咎REvil集团。这次袭击迫使JBS暂时关闭了在美国的所有牛肉工厂。该公司在加拿大的一家工厂也受到了影JBL席执行官透露，该公司向黑客支付了1100万美元，这是一个“非常痛苦但必要的决定”，尽管该公司能够从自己的备份中恢复其大部分系0607REvilMSPs。黑客成功植入了IT公KaseyaVSA件安装程序。估计有1000家公司受到Kaseya在其网站上发布了安全建议，警告所有客户在调查期间立即关闭他们的VSA服务器，以防止攻击扩散。为了攻ilDIVD利用该漏洞实施了攻击，勒索金额从4.5万美元到500万美元不等。在对KaseyaVSA服务器的攻击中，0708备，如闭路电视摄像头和路由器。此后出现了许多僵尸网络的变种，目标设备的列表扩大到包括Linux路由器和服务080909.102021年10月，负责多次勒索软件攻击的REvil勒索软件团伙的基础设施在三个月内第二次被攻破并被强行摧毁，导致他们的行动陷入停顿。在此之前，REvil的泄密网站“快乐博客”曾在7月份被关闭(同时，REvil的一个帮派头目.1011EmotetEmotet机器人僵尸网络启动了它的111212月9日，Apache日志包Log4j22.14.1及以下版本(CVE-2021-44228)中报告了一个急性远程代码执行(RCE)漏Logj12的IT应用(%)数据分析人工智能技术支持软件开发 流程自动化UX)企业架构企业应用程序36.05%31.05%26.76%25.49%23.79%23.29%21.25%18.89%15.70%14.98%10.00%15.00%20.00%25.00%30.00%35.00%40.00%IDC证券研究部请务必阅读正文之后的免责条款和声明9部变化：企业上云、远程办公对信息安全提出了新的挑战IT基础设施加速向云端迁移，信息安全迎来变数和机遇。目前，IT基础设施云化部署已成为高确定性趋势，根据IDC数据，存储在公有云中数据已经在2020年追平传统数据中心，且占比仍将不断提升；同样根据IDC的调研数据，到2024年，预计欧美企业IT部署中44%将为公有云，较2020年的25%提升近80%。此前部署在本地的工作负载向云端的迁移，对企业传统的网络安全体系提出了挑战，一方面传统的安全防御体系主要用来保护本地部署的工作负载和数据安全，但难以对云端负载执行有效的防御策略；另一方面，云原生技术渗透带来的应用架构变革(容器、微服务等)，以及多云战略的普及等，使得企业IT架构日趋复杂且动态，显著增加了安全防御的难度。但与此同时，公有云自身高弹性、高延展性的特点使得海量安全数据的储存、关联、分析成为可能，新一代安全厂商能够利用基于数据集持续训练和优化ML算法，用基于AI的主动防御取代过去基于历史数据的被动防御，显著提升防范能力、规避相关损失。因此，我们认为云迁移带来的防御范围和防御难度的升级将显著增加公司的安全开支，而利用公有云优势提供防御服务的新一代安全厂商将受益最为明显。图4：全球应用工作负载部署位置(%)本地部署场地租用托管公有云截至2024截至2021截至20200%10%20%30%40%50%60%70%80%90%100%影响(%)Oct-20Oct-210%推动增加负面影响几乎无影响推动增加负面影响AlphaWise研究部图6：在云计算推动下，预计支出将获得增加的安全技术(%)0%IDC证券研究部请务必阅读正文之后的免责条款和声明10远程办公快速渗透，企业网络边界日益模糊。传统的安全体系下，企业大部分开销被用于保障流量在网络内外的传输安全，即将所有企业流量汇集到网关，同时通过网络外围防火墙阻止所有不良流量。网络外围安全系统通过网络位置来划分“信任区域”，外部不受信任，内部则属于受信特权网络。但这种基于网络位置的安全体系存在着天然缺陷，一旦被渗透到信任区域，将无法有效隔离和保护数据资产。随着云计算和移动设备的快速普及，企业计算环境日益分散，网络边界日益模糊，网络外围的安全也越来越难以得到保护：当员工开始移动时，VPN通过扩展网络将内部信任扩展到远程员工，而攻击者会通过非法获取VPN凭据以滥用此信任；当需要外部访问时，服务又会移动到DMZ (demilitarizedzone，为了解决安装防火墙后外部网络的访问用户不能访问内部网络服务器的问题而设立的一个非安全系统与安全系统之间的缓冲区)中，从而使它们暴露给攻击者。究其本质，过度的隐性网络信任，会产生过度的潜在风险。在这种背景下，零信任网络访问(ZTNA)和安全访问服务边缘(SASE)应运而生并快速普及。图7：欧美远程办公的劳动力占比(%)HH0200%部国IDC证券研究部▍防护手段&策略均面临变革，行业竞争格局迎来重塑防护手段：端点安全由静态变为动态，从被动变为主动随着网络威胁行为从盲目粗暴转变为精确隐秘，端点安全产品不断进化，从静态变为动态，从被动变为主动，从基于“特征”变为基于“行为”。当前，端点安全市场处于变革时期，新一代端点安全产品将迎来高速发展。端点概念不断扩展，端点安全至关重要。端点是用于访问组织数据和网络的任何连接设备，随着新设备的不断涌现，端点的定义持续扩大，包括服务器、移动设备、工业系统、物联网设备、汽车等。大多数企业通常都将安全工作和防御控制集中在网络边界，认为这是抵御潜在攻击者的最佳方式。但是一旦攻击者绕过公司防火墙和其他外围安全控件通过端点进入内网，往往就可以自由施请务必阅读正文之后的免责条款和声明11展了。更糟糕的是，尽管边界控制可能会阻止外部的不良行为者闯入，但这无助于防止内部威胁。因此，端点安全是企业安全防护体系的重要一环。安全威胁形态演化升级，传统端点安全产品问题凸显。最早期的网络威胁源自所谓的病毒，因此最早的终端防护手段就是杀毒软件和防火墙。然而随着恶意威胁由原来的盲目、直接、粗暴转变为有目标、精确、持久隐秘，传统端点安全产品的问题愈发突出：(1)应对机制是被动的，只有受到攻击后才能感知和捕获；(2)无法有效防御具有针对性的攻击，例如利用恶意软件的变种、脚本化工具将恶意软件加壳使其随机产生新的恶意软件等；(3)传统防御产品依靠特征库的更新来发现新的恶意威胁，但随着攻击者们使用不同技术逃避传统的检测和防御，同时每天新增恶意样本，这种检测手段显得力不从心，整体规模也愈发臃肿。EPP(终端保护平台)的出现一定程度上弥补了传统杀毒软件的劣势，但同样存在无法应对未知威胁、多个功能模块堆叠等问题。Kaspersky券研究部基于行为进行主动防控，新一代端点安全产品优势显著。在此背景下，下一代端点安全产品诞生并占据有利地位。其中最具代表性的便是EDR(端点检测与响应)，通过对端点进行持续检测，发现异常行为并对其进行分析，结合机器学习和人工智能检测和防护未知威胁。新一代端点安全产品具备两大核心特征：(1)基于“行为”进行主动防控。EDR不仅仅通过“特征”进行“预防”，更依靠“行为”进行“检测”，并且进行“响应”。同时，EDR不仅着眼于单个终端的防御，而是对各个终端的事件进行关联分析，还原整个攻击的流程，描绘出攻击事件的全貌。(2)轻量级代理。利用轻量级引擎将经典安全功能进行一体化设计，降低客户部署及运维成本。长期来看，新一代端点安全产品具有的主动防御和轻量级代理两大特点已成为端点安全产品发展的趋势。请务必阅读正文之后的免责条款和声明12据据全行为数据的采集和存储从全网的终端设备中持续收集安全相关数据，并实时的将采集到的终据统一存储在云端数据库中测将终端数据与来自威胁情报服务的数据实时关联，使用高级分析和机，在已知威胁或可疑活动发生之前实时识别的调查和分析提供终端安全大数据搜索的能力，能够针对威胁事件进行深入的钻取分析，还原出威胁事件的时间轴，追溯其来源，分析影响范围、造成关信息胁事件进行快速响应IBM证券研究部COMTACT研究部率究部绘制请务必阅读正文之后的免责条款和声明1321%521%54%市场规模：我们认为，新一代端点安全方案的渗透驱动了全球端点安全市场的持续快速增长：1)疫情催化下的远程办公场景催化了商业PC的需求，而物联网和智能汽车等新兴产业的发展也为端点安全市场的增长提供了强劲动力；2)部署在云端的现代端点安全方案提升了防范效果、降低了客户运维成本，整体ARPU较传统端点安全产品亦能够有一定程度的提升；3)轻量级的代理以及统一的后端云平台显著降低了新功能cross-sale的难度及复杂度，进一步扩展了市场空间。根据IDC数据，2021年-2026年，全球企业端点安全市场规模预计将以14.9%的年均复合增长率增长，从103亿美元增长到206亿美元；其中，服务器安全市场从25亿美元增长到55亿美元，年均复合增长率为14.4%；其他端点安全市场从78亿美元增长到152亿美元，年均复合增长率为16.6%。 (除教育行业) YoY % 125120 -6%201920200162017IDC证券研究部86420202120222023202420252026IDC)，中信证券研究部注：2022年及以后软件许可/软件订阅硬件基础设施实施成本人力成本内部管理费用0%iseKaspersky券研究部可演进式集成安全架构，有效提升安全防护的有效性。XDR(ExtendedDetectionAndResponse：扩展检测与响应)于2018年由PaloAlto首席技术官NirZuk提出，其请务必阅读正文之后的免责条款和声明14将检测范围扩大到终端之外，是一种跨多个安全层收集并自动关联信息以实现快速威胁检测的方法。XDR是端点检测与响应(EDR)的自然演进，在发展过程中逐渐结合了安全信息和事件管理(SIEM)、安全编排自动化和响应(SOAR)、以及网络流量分析 (NTA)，集中安全数据和事件响应。面对不断加速的数字化转型和纷繁复杂的网络攻击，XDR可促进威胁防御、检测、响应等安全功能之间的协同和互操作，帮助企业提升威胁检测和响应的效率和效果。网站，中信证券研究部提供更多可见性和背景信息，通过整体检测和响应策略消除安全孤岛。当前，传统安全系统面临着更加隐蔽、更加智能、更具破坏性的新一代网络攻击，高级威胁的发现越来越难以通过单一的安全能力来实现。多个安全设备产生的缺乏有效信息的海量告警、孤岛式安全能力建设的缺陷、现有安全产品自动化能力不高、企业被动的安全防御策略等现实困境，使得企业急需寻找一种新的网络安全防护措施。XDR横跨各种端点、网络、SaaS应用、云基础设施等各种可以处理的IT资源，将原本分布于各种检测系统的孤立海量告警进行整合，通过在各种检测系统之上的数据集成与综合关联分析，呈现给用户更加精准和有价值的告警，显著提高了安全人员的工作效率。同时，XDR还具备与单一的安全工具之间的API对接与基础的编排能力，从而能够快速地实施告警响应与威胁缓能力制点支持对终端、网络、云和工作负载的安全防护和控制能力，获取更大范围的安全把各种安全日志、告警等数据进行汇总，以便于进一步的威胁分析；联动不同层面的安全产品，阻断不安全的访问请求、隔离被攻陷的主机、修复系统漏洞/问降低用户权限、下发检测策略等响应执行操作。处理和机器学习汇聚了全局的安全数据(包括各种安全日志、告警、网络流量、外部威胁情报等)，比单个安全产品提供更加强大的威胁检测能力。海量安全数据的处理需要请务必阅读正文之后的免责条款和声明15能力具备大数据存储、传输、分析等能力，需要依赖机器学习等人工智能算法增强对高级威胁的分析、攻击杀伤链的理解和还原；让安全人员可以聚焦处理数量有需要企业安全人员手动操作的频率和人为操作出错的概率，提高安全运营效率；XDR支持安全响应任务的编排能力，让用户对文件、权限、主机和网络执行经过预先设计编排过的手动和自动的补救措施，提高。能力增强了企业用户的安全可见性，提升威胁检测时Gartner究部XDRvsSIEM：SIEM从企业的几乎所有来源收集大量日志和数据并向安全人员发送警报，但未考虑数据的有效性，导致安全团队被许多无法分类或调查的警报淹没而忽略关键警报。此外，即使SIEM从诸多来源和传感器捕获数据，它仍然是一种发出警报的被动分析工具，无法跨多个端点自动协调对网络威胁的一致实时响应。而XDR收集的数据比SIEM解决方案所收集的数据更精准，减少了需要大量手动集成和调整的工作，XDR还能够分析多个来源的数据以验证警报，从而减少误报和整体警报量，提高了SOC的运营效率。另一方面，XDR可以对网络和端点防御进行主动上下文感知调整以消除威胁，同时提醒SOC团队成员进行调查。综上，XDR可以改进威胁检测和响应，使SOC实现流程的现代化、集成和自动化。尽管SIEM作为收集安全信息和事件最为全面的手段仍将持续存在，但效率更高、实时性更强的XDR方法料将对SIEM的适用场景持续渗透，实现快速的增长。点DR整合孤立的安全工具，提高威胁可见性、减轻通常只聚焦于威胁检测与响应；可能导致对收集各类网络设备的日志数据，向安全人员发发出海量警报的被动分析工具，无法识别警，无法提供日志的上下文信息owdStrikeXDR成为业内主流发展趋势，渗透率有望进一步提升。2020年，Gartner将XDR列为第一大安全技术趋势以及2020-2021年十大安全项目之一，并表示XDR解决方案将“提高检测准确性，并提高安全运营效率和生产率”。在Gartner技术成熟度曲线中，端点安全和安全运营两个领域在2020年和2021年都提及了XDR。2022年，XDR站上了安全运营成熟度曲线顶端，成为安全运营体系中最炙手可热的技术之一。根据Gartner的报告，2020年使用XDR技术的组织少于5%，但预计到2027年这一数字将上升至40%。根据IDC数据，2021年-2026年，全球云原生XDR市场规模预计将以66.1%的年均复合增长率增长，从1.7亿美元快速增长到21.2亿美元。请务必阅读正文之后的免责条款和声明16Gartner究部0市场规模YoY%%%%%202120222023202420252026M000 YoYE%EEEEKaspersky券研究部XDR有望驱动行业平台化整合，份额向头部厂商集中。由于XDR模型致力于实现跨各类安全产品的数据集成与综合关联分析，我们认为行业内的头部厂商将显著受益：一方面，头部厂商均积极推动产品平台化演进，能够提供多种安全产品和能力的整合交付，亦能实现自身产品的数据集成；另一方面，头部厂商亦能建立全面的合作生态，与多个环节的供应商联合实现XDR的能力。2021年10月，CrowdStrike推出XDR模块，同时发起成立CrowdXDR联盟，启动合作伙伴包括来自云、Web、电子邮件、身份、网络、ITOM等安全和IT行业的领导者。该联盟为数据交换建立一个共享模式，通过特定供应商的安全遥测丰富底层XDR数据以进行关联分析，为跨域调查提供统一的控制台以实现威胁检测和响应。而PaloAlto和微软亦分别在XDR领域推出了CortexXDR与MicrosoftXDR产品。请务必阅读正文之后的免责条款和声明17Crowdstrike证券研究部云工作负载安全是针对部署在云端的虚拟机、容器等工作负载的安全解决方案，能够在漏洞风险、入侵威胁检测、主动防御、快速响应以及安全管理等方面为工作负载提供全面的保护。我们认为，云工作负载安全市场增长主要受到以下几点因素的驱动：1)伴随数字化、云化的持续渗透，企业部署在云端的工作负载不断增加；2)多云、混合云的部署，以及微服务架构的持续渗透显著增加了IT堆栈的动态性及复杂度，亦显著提升了安全防范的难度和重要性。根据IDC数据，2021年全球云工作负载安全市场规模为22亿美元，预计到2026年将增长至51亿美元，2021-2026年CAGR为18.5%。我们认为，这一市场的增长空间可能被显著低估：根据IDC，目前安全开支占企业IT总开支约10%，但目前云安全占公有云市场(IaaS+PaaS)的比例则尚不及2%。考虑到云环境本身动态、复杂的特点，以及IT基础设施上云的持续推进，我们认为云计算环境下的安全开支将持续增长。00市场规模YoYEEEEEIDC证券研究部请务必阅读正文之后的免责条款和声明180.0%0.0%aaS000IDC研究部图21：云安全占公有云市场(IaaS+PaaS)的比例(%)EEEEEIDC研究部00虚拟机数量YoY-虚拟机数量000容器实例数量YoY%%%%%%IDC研究部IDC研究部全数据管理多云或多数据中心部署/管理/集成容器的可靠性/稳定性缺乏部署或管理容器基础架构的技能或再培训缺乏开发云原生或微服务应用程序的技能或再…了解如何对容器中的应用程序进行故障排除现有应用程序与容器的兼容性实现容器的自动扩展网容器化应用程序的监控实施持久存储实施灾难恢复满足合规性/监管要求实现容器编排文化/组织/态度改变实现日志记录0%5%10%15%20%25%30%IDC证券研究部请务必阅读正文之后的免责条款和声明19Gartner究部零信任：解决企业IT边界扩展忧虑。零信任网络访问(ZTNA)假设外部和内部威胁每时每刻都充斥着网络，信任永远不应该是基于网络位置隐含的，而是要在基于细粒度的用户、设备的身份认证来获得的。因此，ZTNA仅授予特定用户对于特定服务或是应用程序的访问权限，而不是如VPN授予对于整个网络的访问权限，这种架构将很大程度限制可利用攻击面的范围。根据Gartner预测，到2023年，将有60%的企业逐步淘汰远程VPN访问，转向零信任网络访问。请务必阅读正文之后的免责条款和声明20我们认为，ZTNA的核心组件为身份认证和访问管理(IAM)和安全网关(SWG和CASB)产品。其中，身份认证和访问管理产品能够通过生物特征、行为分析、地理位置、使用设备等多种方式验证用户身份，并使用访问控制引擎为多个应用场景(B2E、B2B和B2C)的目标应用提供集中身份验证、SSO(单点登录)、会话管理和授权实施。而安全网关产品能够对网络进行端到端分段，以确保合法用户仅对其特权凭据内允许的应用程序或者Web内容进行精细访问，其中SWG(SecureWebGateway)主要充当公司设备和互联网内容间的网关，而CASB(CloudAccessSecurityBroker)主要充当公司设备和云服务间的网关。根据IDC，全球IAM市场规模预计将在2025年达到192亿美元，2020-2025年CAGR为11.6%，其中云产品的CAGR为18.6%；全球安全网关市场规模究部绘制0000留方案留方案份管理%%EEEEEIDC证券研究部请务必阅读正文之后的免责条款和声明21及增速(百万美元，%)0CASBSWGYoY20202021E2022E2023E2024E2025E%IDC证券研究部使用访问控制引擎为多个应用场景(B2E、B2B和B2C)的目标应用程序提供集中身份验证、SSO(单点登录)、会话管理和授权实施。多因素身份认证以及对现代身份协议(如SAML、OAuth2和OIDC)的支持均为访问管理的核心要指代替传统密码的一系列身份验证方法以及解决方案，MFA (多因素身份认证)是目前最为主流的身份认证方案，通过生行为分析、地理位置、使用设备等多种方式验证用户市场较为分散，访问管理厂商以及安全厂商均能提供身解决方案特权访问管理部攻击者入侵和破坏的首要对象。而PAM提供了对特权管理员帐户的精准访问控制，可以最大限度地保护敏感数据及信neIdentify身份治理管理IGA系统是IAM生态的重要组成部分，它们必须管理数量迅源，以及如何使用这些资源。Gartner究部随着企业越来越多地依赖于基于云的应用程序，并支持分布式工作流以支持远程和移动端用户，企业网络迅速超出传统的网络边缘。尽管网络的发展速度足以支持远程端点的工作流程，但绝大多数安全工具并未跟上发展的步伐。为了保护现代企业网络下的网络安全，所有端点都必须使用与其本地基础架构相同的安全和网络策略进行保护和管理，安全访问服务边缘(SASE)应运而生。SASE是Gartner于2019年提出的一个新的网络安全类别，将SD-WAN和网络安全点解决方案融合到统一的云原生服务中。Gartner预计，到2024年至少有40%的企业将制定采用SASE的明确战略，而2018年底这一比例还不到1%。请务必阅读正文之后的免责条款和声明22tworks由于SASE在底层基础架构中内置了完整的安全堆栈，所有边缘都享有统一策略的相同级别保护。当所有WAN和Internet流量通过SASE云平台时，IT人员可以完全了解网络，使得IT部门能够通过单一管理平台保持对整个网络的控制。同时，网络和安全堆栈的简化，以及多个单点产品的整合，消除了任何资本支出采购以及内部管理和维护的需要，所有成本都转化为Opex。我们认为，SASE的趋势一方面将使得网络安全厂商加速平台化的整合，技术能力全面的头部厂商有望强者恒强；另一方面，SASE也在持续推动网络安全产品云化的进程，SASE核心组件中的FwaaS、CASB、ZTNA、SWG均将加速云化。组件功能SD-WAN可实现最佳广域网管理。SASE利用SD-WAN功能提供优由、全球连接、广域网和互联网安全、云加速和远程访问SASEFWaaS以提供数字业务所需的可扩展性和弹性，并在需要的地方扩展完整的网络安全堆栈ZTNA提供了一种现代方法来保护用户的应用程序访问，应用程序访备类型等动态调整CASB帮助企业适应云计算带来的新威胁。作为SASE服务的一部分SWG解决方案保护用户免受恶意软件、网络钓鱼和其他网络传播的SASESWG护，并且无需跨多案维护策略管理SASE解决了管理多个不同产品的复杂性。真正的SASE允许用户从和管理所有网络和安全解决方案Gartner究部请务必阅读正文之后的免责条款和声明23500000000软件YoY 云服务YoY2024E2025E%%EEEM图32：全球安全即服务(SecurityasaService)市场规模及增速(百万美元，%)AIRO据安全全GRC身份认证管理0,000.000,000.000,000.000,000.000,000.000,000.000,000.000,000.000,000.0020212022E2023E2024E2025E2026E0%0%资料来源：IDC(含预测)，中信证券研究部；注：AIRO即Cybersecurityanalytics,intelligence,response,市场格局：新一代安全厂商快速获得份额，市场份额持续向头部集中我们认为，伴随着防范手段和防范策略的全面变革，行业格局将迎来重塑，顺应行业趋势的新一代厂商有望快速获得份额。与此同时，细分领域的头部厂商将通过内部研发和外延并购等手段实现功能的扩充及平台化的延展，并依赖集成交付的产品组合及客户、品牌、数据积累层面的领先优势实现份额的持续扩大。2021年，在端点安全领域，我们看到微软、Crowdstrike、SentinelOne等具有新一代端点安全方案的厂商在快速获得份额，而TrendMicro、博通(收购赛门铁克)、Trellix等传统端点安全厂商则在逐步失去份额；在IAM市场，我们亦看到微软、Okta等现代身份认证厂商实现了份额的显著增长，而博通(收购CA)、Oracle等传统方案的份额则持续下降。值得一提的是，尽管CyberArk同样是IAM市场的子领域特权访问管理(IGA)市场领先的新一代供应商，但由于其能力逐步被Okta、微软等行业领导者整合至统一的平台上，CyberArk的份额亦被逐步侵蚀。请务必阅读正文之后的免责条款和声明240%0%.0%0.0%TrTrellixBroadcomSoftware其他TrendMicroSophosESETIDC证券研究部pIDC证券研究部OktaIBMRSAThalesOracleBroadcomCyberArkSoftwareSailPointOthersIDC证券研究部pIDC证券研究部▍板块估值显著回调，配置价值显现板块估值：回调至历史低位与软件板块整体表现类似，伴随疫情后联储降息以及数字化、云化进程的加速，安全板块估值水平在2020-2021年快速攀升。但伴随政策利率抬升、市场对宏观经济不确定性担忧的加剧，板块估值在2021年11月之后迅速下行。目前美股安全板块EV/SNTM为5.8x，显著低于2015年至今8x左右的平均估值水平；如果将增速纳入考量，目前美股安全板块EV/S/GNTM为0.26x，距离2015年至今0.4x左右的平均估值水平亦差异显著。此外，结合财务/战略收购领域对标的的估值水平，目前板块整体估值亦处于历史低位。考虑到企业安全开支的刚性以及板块中长期的明确趋势，我们认为估值进一步向下的空间有限，而向上的弹性则较为明显。请务必阅读正文之后的免责条款和声明25anApr-15JulanApr-16JulanApr-17JulanApr-18JulanApr-19JulanApr-20JulanApr-15JulanApr-16JulanApr-17JulanApr-18JulanApr-19JulanApr-20JulanApr-21JulanApr-22JulTMEV/SNTM十年期国债收益率(%).0Jan-15Jan-16Jan-17Jan-18Jan-19Jan-20Jan-21Jan-22.5.0信证券研究部EVS平均EV/S50Jan-15Jan-16Jan-17Jan-18Jan-19Jan-20Jan-21Jan-22信证券研究部0信证券研究部请务必阅读正文之后的免责条款和声明26信证券研究部购方EV/NTM交NTM收入增.05.20VistaEquityWebsense.07.23CiscoSystem,Inc.Sourcefire,Inc..06.12tec.11.27maBravo.10.10maBravo.5x.11.26rry.08.08tec.5x-1%.08.22VMWareBlack.10.14maBravo.5x.07.15AdventInternational.9x.03.09ychnologyrprise.03.21Gycotic.03.03Auth0.04.27maBravo.06.03ychnologyucts.12.07.03.09Alphabet.04.11maBravoPoint.04.11-至今平均，-至今平均，-至今平均，-至今平均，-至今平均，-至今平均，信证券研究部板块业绩：不利宏观环境下增速承压，中长期趋势依然明朗伴随美国通胀数据拐点的确立，美联储本轮货币紧缩周期正接近尾声，2023年大概请务必阅读正文之后的免责条款和声明27率的衰退情形成为投资者主要关心的问题。而根据我们的统计，22Q3财报披露完成后，安全板块CY2023平均收入增速一致预期出现了明显下调，绝大多数个股也在进行业绩预期的持续修正。从近期安全板块的整体增长情况来看，疫情后加速增长的情况已经过去，而宏观环境对下游需求的压制亦逐渐体现。我们判断，2023H1，宏观环境仍将对板块业绩造成持续的压力；而进入下半年，伴随经济环境的逐步复苏以及基数压力的明显减弱，板块增速有望实现反弹。从中长期的角度，安全在企业IT开支中的优先地位、以及防范手段&策略变革驱动的成长并未发生改变，当下较低的估值水平提供了较优的配置时机。而从短期配置的角度，我们判断Crowdstrike、微软、PaloAlto等盈利能力较优、平台化进展顺利的企业在当下时点更为稳健；而Zscaler、Sentinelone、Cloudflare等增速较快、盈利能力偏弱的标的则有望在下半年实现更优的弹性。%%%%%%%%%20.0%预期，中信证券研究部%%%%%%%20.0%预期，中信证券研究部请务必阅读正文之后的免责条款和声明282022-03-252022-07-012022-09-302023-01-06.0%%%预期，中信证券研究部安全板块平均Billings增速剔除大市值公司后增速0%原油价格上行导致欧美高通胀进一步失控风险；美债利率快速上行风险；针对科技巨头的政策监管持续收紧风险；全球宏观经济复苏不及预期风险；宏观经济波动导致欧美企业IT支出不及预期风险；全球云计算市场发展不及预期风险；云计算企业数据泄露、信息安全风险；行业竞争持续加剧风险等。疫情后数字化、云化的加速推进，以及远程办公场景的迅速渗透，使得企业信息安全的重要性日益凸显。与此同时，我们观察到端点侧、云侧、威胁数据侧的防范手段正在经历重大变革，而ZNTA、SASE等新一代防范策略亦在迅速渗透，这一方面驱动了市请务必阅读正文之后的免责条款和声明29场空间的不断延展，另一方面也带来了竞争格局的新一轮洗牌。立足当下，尽管宏观环境给板块业绩估值均带来了一定的压力，但板块内在的发展逻辑并未发生变化。从中长期的角度，安全在企业IT开支中的优先地位、以及防范手段&策略变革驱动的成长并未发生改变，当下较低的估值水平提供了较优的配置时机。而从短期配置的角度，我们判断Crowdstrike、微软、PaloAlto等盈利能力较优、平台化进展顺利的企业在当下时点更为稳健；而Zscaler、Sentinelone、Cloudflare等增速较快、盈利能力偏弱的标的则有望在下半年实现更优的弹性。市值(亿美方法21ASFTONTOZscalerZS.OflareNET.N0trikeCRWD.OneloneS.N0.3主要负责撰写本研究报告全部或部分内容的分析师在此声明：(i)本研究报告所表述的任何观点均精准地反映了上述每位分析师个人对标的证券和发行人的看法；(ii)该分析师所得报酬的任何组成部分无论是在过去、现在及将来均不会直接或间接地与研究报告所表述的具体建议或观点相联系。本研究报告由中信证券股份有限公司或其附属机构制作。中信证券股份有限公司及其全球的附属机构、分支机构及联营机构(仅就本研究报告免本研究报告对于收件人而言属高度机密，只有收件人才能使用。本研究报告并非意图发送、发布给在当地法律或监管规则下不允许向其发送、发布该研究报告的人员。本研究报告仅为参考之用，在任何地区均不应被视为买卖任何证券、金融工具的要约或要约邀请。中信证券并不因收件人收到本报告而视其为中信证券的客户。本报告所包含的观点及建议并未考虑个别客户的特殊状况、目标或需要，不应被视为对特定客户关于特定证券或金本报告所载资料的来源被认为是可靠的，但中信证券不保证其准确性或完整性。中信证券并不对使用本报告或其所包含的内容产生的任何直接或间接损失或与此有关的其他损失承担任何责任。本报告提及的任何证券或金融工具均