1、请务必阅读正文之后的免责条款部分 全球视野全球视野 本土智慧本土智慧 行业行业研究研究 Page 1 证券研究报告证券研究报告深度报告深度报告 软件与服务软件与服务 信息安全深度剖析信息安全深度剖析 2 超配超配 （维持评级） 2021 年年 01 月月 04 日日 一年该行业与一年该行业与上证综指上证综指走势比较走势比较 行业专题行业专题 海外海外网安巨头如何映射国内网安巨头如何映射国内 Crowdstrike 终端云安全可复制终端云安全可复制 AI 和威胁情报助终端安全技术蝶变，全球市场格局已变和威胁情报助终端安全技术蝶变，全球市场格局已变 传统终端安全以“杀毒软件”为代表，以特征库匹配为

2、主要技术，主要 解决已知问题。随着各类未知攻击的诞生，终端安全也引入 AI、威胁情 报等新的技术应对。终端处，产品升级为下一代杀毒 NGAV、终端检测 响应 EDR、云工作负载保护 CWPP；云端处，威胁情报成为新的“生产 资料” ，为终端乃至全部安全体系赋能。IDC 预计 2022 年终端安全市场 将超过 92 亿美元，年复合增长率 8.6%。 Crowdstrike 实现基于云的终端安全颠覆，快速成长新王当立实现基于云的终端安全颠覆，快速成长新王当立 Crowdstrike 以威胁情报和终端安全起家， 云端建设威胁图， Falcon 平台 的动态威胁数据库；终端部署轻量级代理，类似终端处的

3、“传感器” 。通 过终端代理，客户可以实现多种 SaaS 安全功能订阅。除了终端安全， 公司还推出多种产品组合，基础版价格已由 6.99 提升至 8.99 美元/月。 凭借产品在体验端、技术端、市场端的优势，公司迅速得到市场认可。 近年来公司营收增速均保持 85%以上，预计 2020 年收入 8.55-8.6 亿美 元，增速为 78%。同时，公司净留存率保持 120%以上，各项 SaaS 指 标优异。当前市值达到 470 亿美金，对应今年 PS 在 50 倍以上。 市场、政策、技术推动国内终端安全市场重启，终端已成必争之地市场、政策、技术推动国内终端安全市场重启，终端已成必争之地 杀毒软件是国

4、内消费者接触最早的终端安全产品，国内早期消费级市场 由江民、瑞星、金山主导，随后 360 通过免费将时代终结。海外消费级 终端安全市场依然存在，但国内外企业级均是最核心的市场。市场端， 2017 年 wannacry 病毒带动了终端需求的催化， 近期 Solarwinds 事件也 验证了终端保护的重要性；政策端，等保 2.0 进一步强调了主机安全； 技术端，除了终端自身技术进化之外，在态势感知为代表的体系化安全 建设中，终端已经是必不可少的一环。国内终端安全有望快速增长。 投资建议：投资建议：终端安终端安全价值全价值深远，关注关键卡位厂商深远，关注关键卡位厂商 终端安全具备五大价值：C 端触角

5、的产品、持续收费的模式、威胁情报 的“探针” 、安全运维的衍生、万物即可终端的市场。重点关注关键技术 和市场卡位厂商：奇安信、深信服、安恒信息、山石网科、360 等。 风险提示：风险提示： 疫情反复影响全社会 IT 支出；行业竞争加剧。 重点公司盈利预测及投资评级重点公司盈利预测及投资评级 公司公司 公司公司 投资投资 昨收盘昨收盘 总市值总市值 EPS PE 代码代码 名称名称 评级评级 （元）（元） （亿（亿元）元） 2020E 2021E 2020E 2021E 300454 深信服 买入 248.01 1014 2.23 3.06 111.22 81.05 688561 奇安信-U 买

6、入 126.10 857 -0.18 0.21 - 600.48 688023 安恒信息 买入 260.10 193 1.78 2.49 146.12 104.46 688030 山石网科 买入 37.80 68 0.57 0.73 66.32 51.78 资料来源：Wind、国信证券经济研究所预测 相关研究报告：相关研究报告： 计算机行业专题： 从供需格局看银行 IT 高景 气 2020-12-15 PDF 行业专题报告： PDF 群雄逐鹿： Adobe、 金山、福昕各领风骚 2020-09-18 信息安全深度剖析 1：从奇安信看信息安全 新玩法、新技术、新市场和新格局 2020-07-09

7、 医疗信息化行业快评：上海市将互联网医疗 纳入医保报销，互联网医疗再下一城 2020-02-23 医疗信息化行业快评： “疫情+再融资”新规 双 推 动 医 疗 信 息 化 蓬 勃 发 展 2020-02-17 独立性声明：独立性声明： 作者保证报告所采用的数据均来自合规渠 道，分析逻辑基于本人的职业理解，通过合 理判断并得出结论，力求客观、公正，其结 论不受其它任何第三方的授意、影响，特此 声明 0.6 0.8 1.0 1.2 1.4 1.6 J/20M/20M/20J/20S/20N/20 上证综指软件与服务 请务必阅读正文之后的免责条款部分 全球视野全球视野 本土智慧本土智慧 Page

8、2 投资摘要投资摘要 关键结论与投资建议关键结论与投资建议 终端安全价值重启，重点关注终端领域技术和市场具备卡位优势的厂商。传统 以特征库匹配技术为代表的终端安全， 已经进入以 AI 和威胁情报为基础的技术 升级。以 Crowdstrike 为代表的终端厂商，验证了云化下技术和商业模式的双 重变革。 国内终端安全在市场、 政策、 技术的推动下， EDR 产品呈现较快增长， 已经成为各厂商必争之地。终端安全具备 C 端触角的产品、持续收费的模式、 威胁情报的“探针” 、安全运维的衍生、万物即可终端的市场五大价值。重点关 注关键技术和市场卡位厂商：奇安信、深信服、安恒信息、山石网科、360 等。

9、核心假设或逻辑核心假设或逻辑 第一，AI 和威胁情报已经给终端安全带来新的技术蝶变，终端已经成为云网端 安全一体化建设的必备。 叠加勒索病毒泛滥催化市场需求， 等保 2.0 政策推动， 终端安全有望迎来高速发展期。 第二，以 Crowdstrike 为代表的终端安全厂商成为新王，无论是产品本身的技 术优势，还是商业上各种订阅服务的组合，都验证了终端安全云化的优越性。 与市场预期不同之处与市场预期不同之处 第一，市场认为企业级终端安全仅仅是信息安全领域一个小版块，当前市场不 大，难有太大的成长空间。我们认为，终端价值深远，其具备 C 端触角、持续 收费、威胁情报、运维衍生等多个优势；而且未来万物

10、皆可为智能终端，市场 空间理论没有边界。 第二，市场认为安全产品同质化竞争，难以形成海外厂商的竞争优势。我们认 为，终端产品相比于其他安全产品，具备企业员工用户直观的体验。较差的产 品将直接影响办公体验，必将被市场淘汰。国内头部厂商，在技术和市场上已 经取得了优势。 股价变化的催化因素股价变化的催化因素 第一，信息安全事件爆发。近期 Solarwinds 被攻击事件对美国造成了极严重的 影响， 恶意软件会将其自身植入受害者终端， 进一步感染网络。 该事件催化下， 美股 APT厂商 Fireeye和终端安全 Crowdstrike均股价大涨。 安全事件的爆发， 会倒逼全球加大信息安全投入。 第二

11、，新兴安全领域的高增长。美国以云安全为代表的 Crowdstrike、Zscaler、 OKTA 等厂商增速较高，市场也给予了较高的估值。国内安全厂商也在加大新 兴领域安全的投入，例如终端安全、威胁情报、云安全资源池等，新兴安全收 入占比的提升将提升公司整体估值。 核心假设或逻辑的主要风险核心假设或逻辑的主要风险 第一，疫情影响持续，全社会 IT 及安全开支缩减。 第二，全行业竞争加剧，各厂商陷入同质化价格战导致毛利率下降。 oPqPoOsPwPnMtMpOmRtOqO9P8QbRtRnNpNmNkPpPnMkPrRqNaQmMvMxNrNyRNZpPqM 请务必阅读正文之后的免责条款部分 全

12、球视野全球视野 本土智慧本土智慧 Page 3 内容目录内容目录 终端安全技术蝶变，威胁情报成为安全新风口终端安全技术蝶变，威胁情报成为安全新风口 . 6 终端安全面临下一代技术升级，AI 成为新驱动力 . 6 威胁情报为云端赋能打下基础，成为安全行业新“生产资料” . 8 终端安全领域格局已变传统没落，新王当立 . 10 终端安全的云化：从终端安全的云化：从 Crowdstrike 看云端颠覆看云端颠覆 . 12 基于云的终端安全，Crowdstrike 带来技术和商业模式双重变革 . 12 云和 AI 下的正循环，Crowdstrike 竞争优势强大 . 15 新终端龙头快速增长，SaaS

13、 各项指标表现优异 . 19 国内终端安全需求重启，新领域成必争之地国内终端安全需求重启，新领域成必争之地 . 22 国内终端安全发展史：杀毒软件时代被免费终结 . 22 市场、政策、技术推动企业级终端安全市场重生，成为安全必争之地 . 25 看好终端安全云转型，推荐关键卡位厂商看好终端安全云转型，推荐关键卡位厂商 . 27 终端领域的价值深远，国内有望复制 Crowdstrike . 27 奇安信企业级终端安全龙头，云网端布局最全面 . 28 深信服迅速迭代，终端安全进入市场前五 . 30 安恒信息终端是态势感知的必要环节 . 30 360再次迈向政企市场，推出政企终端安全产品 . 31 山

14、石网科基于云工作负载，云格唯一入选 Gartner CWPP 目录 . 31 亚信安全收购趋势科技中国区业务，终端安全不容小觑 . 32 火绒安全终端安全新玩家，反病毒引擎被多家厂商 OEM . 32 微步在线威胁情报初长成，SaaS 化安全服务快速增长 . 34 风险提示风险提示 . 34 国信证券投资评级国信证券投资评级 . 35 分析师承诺分析师承诺 . 35 风险提示风险提示 . 35 证券投资咨询业务的说明证券投资咨询业务的说明 . 35 请务必阅读正文之后的免责条款部分 全球视野全球视野 本土智慧本土智慧 Page 4 图图表表目录目录 图图 1：终端被攻击的形式：终端被攻击的形式

15、 . 6 图图 2：广泛的终端类型：广泛的终端类型 . 6 图图 3：日立对疫情后：日立对疫情后 CIO 的的 IT 支出调查支出调查 . 6 图图 4：新型攻击持续推动终端防御体系进化新型攻击持续推动终端防御体系进化 . 7 图图 5：杀毒软件：杀毒软件 EPP 技术升级至检测响应技术升级至检测响应 EDR . 7 图图 6：EPP 和和 EDR 的异同的异同 . 8 图图 7：云工作保护平台（：云工作保护平台（CWPP）主要能力）主要能力 . 8 图图 8：威胁情报系统框架：威胁情报系统框架 . 9 图图 9：威胁情报各级别的价值：威胁情报各级别的价值 . 9 图图 10：威胁情报对终端赋

16、能：威胁情报对终端赋能 . 10 图图 11：终端安全全球市场份额：终端安全全球市场份额 . 10 图图 12：终端安全魔力象限：终端安全魔力象限 . 10 图图 13：Palo Alto 对终端安全的布局对终端安全的布局 . 11 图图 14：Crowdstrike 产品架构和模块组成产品架构和模块组成 . 13 图图 15：Crowdstrike 产品和价格产品和价格 . 14 图图 16：Crowdstrike 各产品市场空间各产品市场空间 . 15 图图 17：客户对各厂商：客户对各厂商 EDR 产品评价（产品评价（1/2） . 16 图图 18：客户对各厂商：客户对各厂商 EDR 产

17、品评价（产品评价（2/2） . 16 图图 19：Crowdstrike 核心技术的网络效应核心技术的网络效应 . 16 图图 20：Gartner 端点保护平台关键能力排名端点保护平台关键能力排名. 17 图图 21：Forrester Wave 端点保护平台矩阵端点保护平台矩阵 . 17 图图 22：Crowdstrike 收入增长（亿美元）收入增长（亿美元） . 19 图图 23：Crowdstrike 利润表现（亿美元）利润表现（亿美元） . 19 图图 24：Crowdstrike 订阅收入（亿美元）订阅收入（亿美元） . 20 图图 25：Crowdstrike 递延收入（亿美元）

18、递延收入（亿美元） . 20 图图 26：Crowdstrike ARR（亿美元）（亿美元） . 20 图图 27：Crowdstrike 基于美元的基于美元的 ARR 留存率留存率 . 20 图图 28：Crowdstrike 客户数客户数 . 21 图图 29：Crowdstrike 订阅不少于订阅不少于 4 个模块的客户比例个模块的客户比例 . 21 图图 30：Crowdstrike 费用率水平费用率水平 . 21 图图 31：Crowdstrike 员工数量员工数量 . 21 图图 32：Crowdstrike 现金流表现（亿美元）现金流表现（亿美元） . 22 图图 33：Crow

19、dstrike 估值水平（估值水平（PS TTM） . 22 图图 34：瑞星杀毒软件以光盘形式出售：瑞星杀毒软件以光盘形式出售 . 23 图图 35：熊猫烧香病毒：熊猫烧香病毒 . 23 图图 36：Microsoft Defender 测评第一测评第一 . 24 图图 37：美国常被网络攻击的行业：美国常被网络攻击的行业 . 24 图图 38：终端安全细分：终端安全细分 . 25 图图 39：北信源软件收入（亿元）：北信源软件收入（亿元） . 25 图图 40：溢信科技收入（亿元）：溢信科技收入（亿元） . 25 图图 41：等保对主机安全的要求：等保对主机安全的要求 . 26 图图 42

20、：2018 年医疗行业勒索病毒情况年医疗行业勒索病毒情况 . 26 图图 43：终端安全成为安全体系不可或缺的组成：终端安全成为安全体系不可或缺的组成 . 26 图图 44：国内终端安全市场规模（百万美元）：国内终端安全市场规模（百万美元） . 28 图图 45：终端安全市场份额：终端安全市场份额 . 28 图图 46：奇安信终端安全管理系统（天擎）：奇安信终端安全管理系统（天擎） . 28 图图 47：奇安信终端安全部署方式：奇安信终端安全部署方式 . 28 图图 48：奇安信：奇安信 Virus Bulletin 测评结果测评结果. 29 图图 49：中国终端安全检测与响应市场矩阵：中国终

21、端安全检测与响应市场矩阵 . 29 图图 50：奇安信终端安全（天擎）收入（亿元）：奇安信终端安全（天擎）收入（亿元） . 29 图图 51：2020 上半年安全分析和威胁情报市场份额上半年安全分析和威胁情报市场份额 . 29 图图 52：深信服深信服 EDR 产品技术领先产品技术领先 . 30 图图 53：安恒：安恒 EDR 与各类安全能力形成闭环与各类安全能力形成闭环 . 30 图图 54：360 终端安全管理系统终端安全管理系统 . 31 请务必阅读正文之后的免责条款部分 全球视野全球视野 本土智慧本土智慧 Page 5 图图 55：山石云格架构：山石云格架构 . 32 图图 56：山石

22、云格入选山石云格入选 Gartner CWPP 全球市场指南全球市场指南 . 32 图图 57：亚信终端安全全景图：亚信终端安全全景图 . 32 图图 58：火绒发展历程：火绒发展历程 . 33 图图 59：火绒产品优势：火绒产品优势 . 33 图图 60：威胁情报对各类产品赋能：威胁情报对各类产品赋能 . 34 表表 1：终端安全厂商分类：终端安全厂商分类 . 11 表表 2：公司发展历程：公司发展历程 . 12 表表 3：Crowdstrike 主要产品主要产品 . 13 表表 4：Crowdstrike 成长战略成长战略 . 14 表表 5：公司各细分产品和市场：公司各细分产品和市场 .

23、 15 表表 6：Crowdstrike 和和 McAfee 产品对比产品对比 . 17 表表 7：Crowdstrike 和和 Symantec 产品对比产品对比 . 18 表表 8：Crowdstrike 和和 Carbon Black 产品对比产品对比 . 18 表表 9：Crowdstrike 和和 SentinelOne 产品对比产品对比 . 19 表表 10：Crowdstrike 主要优势主要优势 . 19 表表 11：Crowdstrike CAC 和和 LTV 计算计算 . 21 表表 12：杀毒软件时代发展历程：杀毒软件时代发展历程 . 23 表表 13：360 政企安全中

24、标大单政企安全中标大单 . 31 请务必阅读正文之后的免责条款部分 全球视野全球视野 本土智慧本土智慧 Page 6 终端安全终端安全技术蝶变，威胁情报成为安全新风口技术蝶变，威胁情报成为安全新风口 终端安全面临下一代技术升级，终端安全面临下一代技术升级，AI 成为新驱动力成为新驱动力 “杀毒软件”永不过时“杀毒软件”永不过时。安全的本质是攻防的较量，网络攻击有造成网络端崩 溃的（如 DDoS 攻击） ，也有窃取机密数据或勒索的（如 WannaCry 病毒） 。当 边界防御被攻击突破后，终端自身的防御系统则成为关键，需要及时排查恶意 软件。另一方面，内网本身存在攻击风险，如企业 PC 上插一个

25、 U 盘，直接就 从内部开始感染。尤其当前云化、移动化办公趋势明显，很多办公设备并不是 永远处在被边界保护的环境中，疫情下广泛的远程办公，更是让办公终端处于 “放任”状态。因此终端自身需要具备防御能力，安全产品依然刚需。 图图 1：终端被攻击的形式终端被攻击的形式 资料来源：国信证券经济研究所整理 IOT 终端急剧膨胀终端急剧膨胀，后疫情时代，终端是安全投入的重点，后疫情时代，终端是安全投入的重点。物联网的快速发展 必然会带来海量的 IOT 设备， 当前除了移动化的办公设备外， 服务器、 打印机、 销售站、可穿戴设备等均是潜在被攻击对象。即使企业上云后，云上的工作负 载，如虚拟机和容器，也成为

26、了新的终端需要被保护。后疫情时代，各办公终 端、及网络场景，处于高度分散化状态，边界被打破带来了攻击面的扩大。因 此根据日立发布的企业首席信息官（CIO）调查，2020 年下半年最高 IT 支出优 先级是网络安全。疫情改变了大多数 CIO 的 IT 计划，现在有 89的人表示他 们专注于网络安全，而 82的人则致力于远程支持；有一半的人表示要增加网 络安全预算。具体方向来看，有 43的 CIO 在身份和访问管理（IAM）上进行 了投资，有 34%的 CIO 加强了终端安全的投资。这两项技术也非常匹配当下云 场景办公需求，终端安全持续受益。 图图 2：广泛的终端类型广泛的终端类型 图图 3：日立

27、对疫情后日立对疫情后 CIO 的的 IT 支出调查支出调查 资料来源：高盛，国信证券经济研究所整理 资料来源：安全牛，国信证券经济研究所整理 请务必阅读正文之后的免责条款部分 全球视野全球视野 本土智慧本土智慧 Page 7 技术方面，技术方面，终端安全终端安全正正处于变革期，下一代杀毒和终端安全响应成为新方向处于变革期，下一代杀毒和终端安全响应成为新方向。 以国外 McAfee、国内 360 为代表的传统杀毒软件，主要通过升级静态病毒库 来与恶意软件进行匹配。该方法在面对如“无文件攻击”时会失效。而以 APT 为代表的高级持续性攻击，隐秘性极强，迫使传统终端安全引入新的技术，如 人工智能、大

28、数据、行为分析等技术，产品形态有终端检测响应 EDR、威胁情 报、沙箱技术等。 图图 4：新型攻击持续推动新型攻击持续推动终端终端防御体系进化防御体系进化 资料来源：国信证券经济研究所整理 下一代杀毒下一代杀毒 NGAV（EPP） ： 。基于签名的防病毒产品，依然是当前的主流，但是 攻击的复杂性提升， 导致传统杀毒软件越来越力不从心。 2019年Ponemon Institute 的一项调查发现，防病毒产品平均错过了 60的攻击。因此也诞生出下一代杀毒 软件 NGAV，通过引入机器学习、异常行为分析等技术，利用人工智能来识别和防 止恶意行为。 终端安全响应终端安全响应（EDR） ： 。EDR

29、核心为记录，收集和存储来自端点设备活动的大 量数据，从而使安全专业人员可以识别潜在威胁，调查和补救任何潜在攻击。 重要的是，EDR 为安全团队提供了可视性，其中包含大量数据，可以对其进行 分析以磨练恶意或异常行为， 并检测端点保护技术遗漏的攻击。 EDR 在 2016 2019 年连续进入 Gartner 的 10 大技术之列， 成为当前终端领域最热门产品。 图图 5：杀毒软件杀毒软件 EPP 技术升级至检测响应技术升级至检测响应 EDR 资料来源：国信证券经济研究所整理 当前终端安全主要分两类当前终端安全主要分两类：办公终端和云工作负载办公终端和云工作负载。假设极限办公 IT 场景只有 办公

30、终端和云（无论公有云，还是私有云）服务端，以 PC 为代表的终端安全 主要以 EPP 和 EDR 产品为主；而以云为代表的服务终端，则是虚拟机、容器 等工作负载，以 CWPP 产品为主。 EPP（终端保护平台，以杀毒软件为主）和（终端保护平台，以杀毒软件为主）和 EDR 的组合成为终端安全的良药的组合成为终端安全的良药。 EDR 与 EPP 有一部分的价值重叠，EPP 专注预防，EDR 能够描述整个攻击 过程， 实现高级威胁的检测与响应， 二者共同部署是最好的组合。 EDR在 2016 2019 年连续进入 Gartner 的 10 大技术之列,并且认为 EPP 与 EDR 技术融合 将成为总

31、体趋势，这也带动 EPP 技术向 AI 发展的重大转变。 请务必阅读正文之后的免责条款部分 全球视野全球视野 本土智慧本土智慧 Page 8 图图 6：EPP 和和 EDR 的异同的异同 资料来源：FreeBuf、国信证券经济研究所整理 云上的工作负载云上的工作负载将成为新的终端安全场景将成为新的终端安全场景。云工作保护平台（Cloud Workload Protection Platform，简称 CWPP） ，与以解决 PC 和服务器终端安全的 EPP、 EDR 不同，CWPP 主要解决混合的数据中心架构中，物理机、虚拟机、容器和 无服务器工作负载的安全问题，为他们提供统一的可视化和控制力

32、。根据 Gartner 的定义， CWPP 侧重数据和流量的问题， 包括了 WAF、 Firewall 和 IPS 等，并且越是靠近基座的功能越重要，越是靠近塔尖的功能越次要。CWPP 部 署在操作系统层，采用服务端 agent+远程控制台的部署模式，agent 支持云、 物理、混合环境部署。随着云承载 IT 工作的范围越来越广，云工作负载已经成 为新的场景，CWPP 有望与传统 EPP 一样，成为新的终端安全必备。根据 Gartner 指引，2019 年市场达到 12.44 亿美元，同比增长 20.5%。 图图 7：云工作保护平台云工作保护平台（CWPP）主要能力）主要能力 资料来源：青藤云

33、安全、国信证券经济研究所整理 威胁情报威胁情报为云端赋能打下基础，成为安全行业新“生产资料”为云端赋能打下基础，成为安全行业新“生产资料” 威胁情报弥补攻防两端信息不对称，已经成为安全必需品威胁情报弥补攻防两端信息不对称，已经成为安全必需品。当前新一代攻击者 常常发起高级持续性攻击（APT） 。APT 是精心策划下对特定组织的攻击，其攻 击隐秘性极强，通常以盗取数据为目标，并不对系统造成伤害，被攻击者可能 自始至终无法察觉。例如近期美国 Solarwinds 事件就是典型的 APT 攻击。过 去基于恶意程序签名的技术，以防火墙、IPS、杀毒软件为代表的老三件产品无 法解决此类问题， 因为这是未

34、知领域的攻击。 而通过威胁情报的大量 “内外援” 请务必阅读正文之后的免责条款部分 全球视野全球视野 本土智慧本土智慧 Page 9 信息，新方法尽可能消除信息不对称。 威胁情报威胁情报并非简单的并非简单的“数据”和“信息”“数据”和“信息”汇总汇总。威胁情报更多是一种“知识” 的概念，基于自身 IT 和信息资产面临的潜在威胁和攻击事件，形成上下文、机 制、标示、含义和能够执行的建议等，能够为响应和处理提供决策的“知识” 。 威胁情报可以来自外部，如互联网公开情报源：各类安全事件、预警信息、监 控数据分析、IP 地址信誉等，也有情报交换、商业情报公司订阅等；也可以来 自企业内部，企业自身网络基

35、础设施产生的威胁数据，如通过提炼 SEIM 系统 数据、异常流量、漏洞信息、日志信息等形成威胁情报。威胁情报常见部署状 态为云端和本地的共享，一方面借力云端的情报助力，一方面本地形成内生性 的场景，情报的“消费”和“生产”进行循环。通过共享，威胁情报可以在全 行业发挥作用。 图图 8：威胁情报系统框架威胁情报系统框架 资料来源：CIO 时代、国信证券经济研究所整理 威胁情报威胁情报内涵广阔，内涵广阔， 价值巨大价值巨大。 根据 David J. Bianco 在 The Pyramid of Pain 一文中提出的威胁情报相关指标，当“己方”掌握这些“知识”后，可以让攻 击者感受相应困难的“痛

36、苦” 。威胁情报中价值最低的是 Hash 值、IP 地址和域 名，其次是网络/主机特征、攻击工具特征，对攻击者影响最大的是 TTP(战术、 技术和行为模式)类型的威胁情报。威胁情报的内涵早已超过传统的基于特征的 病毒库，成为防护策略定制的新“生产资料” 。 图图 9：威胁情报威胁情报各级别的价值各级别的价值 资料来源：FreeBuf、国信证券经济研究所整理 威胁情报赋能同样提升终端能力威胁情报赋能同样提升终端能力。 在终端安全领域， 基于各个端点广泛的检测、 攻防、行为等数据，后台对各信息进行聚和、关联分析。形成威胁情报后，进 而指导终端做出响应。终端安全领域，传统以特征库升级为主，威胁情报技

37、术 已产生了深刻的变革。除此之外，威胁情报还能用在传统产品上，如防火墙、 请务必阅读正文之后的免责条款部分 全球视野全球视野 本土智慧本土智慧 Page 10 IDPS 等，形成实时的最新策略。同时，威胁情报还可以应用到业务安全中，如 防欺诈；网络资产管理也可应用。随着威胁情报逐步普及，市场持续扩大，IDC 预计 2021 年市场规模达到 22 亿美金。 图图 10：威胁情报对终端赋能威胁情报对终端赋能 资料来源：火绒安全、国信证券经济研究所整理 终端安全领域格局已变终端安全领域格局已变传统没落，新王当立传统没落，新王当立 终端安全市场持续增长终端安全市场持续增长。根据IDC 全球企业级终端安

38、全预测，2018-2022 数据，2017 年全球企业级终端安全市场规模达到 61.46 亿美元，2022 年将超 过 92 亿美元， 年复合增长率 8.6%。 其中传统 EPP 产品增速已经放缓， 而 EDR 产品成为重要增长动力。 终端领域著名玩家众多终端领域著名玩家众多，但但行业领导者已经更替行业领导者已经更替。无论是企业级终端市场，还 是消费级终端市场，最耳熟能详的是 McAfee（迈克菲） 、Symantec（赛门铁克 -诺顿） 、Kaspersky（卡巴斯基）等传统杀毒软件厂商，多数消费者在购置 PC 时也使用他们的预装安全产品。在企业级终端市场，传统厂商市场份额较高， Syman

39、tec、Trend Micro（趋势科技） 、McAfee 占据了 40%的市场份额。然而 根据 Gartner 最新的终端安全魔力象限， 新兴终端安全厂商 Crowdstrike 已经跃 升为行业领导者。Crowdstrike 在技术和市场上均表现优异，虽然当前市场份额 仍较小，但是超高速增长下，公司持续侵蚀传统厂商的份额。公司基于云原生 的 SaaS 方案，已经开始颠覆行业格局。 图图 11：终端终端安全全球市场份额安全全球市场份额 图图 12：终端终端安全魔力象限安全魔力象限 资料来源：Gartner，国信证券经济研究所整理 资料来源：Gartner，国信证券经济研究所整理 16% 12

40、% 12% 7% 6% 6% 5% 5% 4% 4% 23% Symantec Trend Micro McAfee Eset Sophos Kaspersky Tanium Crowdstrike Carbon Black IBM Others 请务必阅读正文之后的免责条款部分 全球视野全球视野 本土智慧本土智慧 Page 11 防火墙龙头也纷纷加大终端布局防火墙龙头也纷纷加大终端布局，但思路仍以边界为主但思路仍以边界为主。传统防火墙类厂商将 内网按照边界圈起来保护，但随着移动办公、云和多种 IOT 终端的兴起，边界 正被不断打破。边界外的终端设备对整个网络造成风险，因此防火墙厂商均加 入了

41、终端安全模块。边界安全厂商的优势在于基于自身防火墙平台，打造云网 端一体的防护。因此，防火墙龙头通过收购，纷纷加大了终端布局；但是基于 防火墙厂商的发展路径，终端更多是整体解决方案的补充。目前在终端领域， 海外边界安全厂商仍处于追赶者角色。 Fortinet 在 2019 年 10 月收购终端安全公司 enSilo， 增强了公司安全平台的终 端解决能力。enSilo 在被收购之前就已经是 Fortinet Security Fabric 的合作伙 伴，并已完成与 FortiGate NGFW，FortiSandbox 沙盒方案，FortiSIEM 和 FortiClient Fabric Ag

42、ent 的联动。 Palo Alto Networks在 2014年 3月以 2亿美元收购一家安全初创公司 Cyvera， 其旗舰产品为 TRAPS。 TRAPS 对未修复的漏洞、无文件攻击、应用漏洞利用 均有较好的效果，但是缺乏事后补救工具和响应机制，仍需要其他产品配合。 Palo Alto 始终认为防护才是最重要的，检测和响应永远只能是其次；这个理念 和近两年企业安全的主流价值观存在一些冲突。公司以网络端为核心，NGFW 边界平台提供强大支撑， TRAPS 成为与防火墙联动的模块，是整体方案的有 益补充。 图图 13：Palo Alto 对终端安全的布局对终端安全的布局 资料来源：Palo

43、 Alto Networks，国信证券经济研究所整理 终端安全领域赛道拥挤，终端安全领域赛道拥挤，Crowdstrike 通过新技术突围通过新技术突围。目前终端安全玩家主 要分为三类：传统杀毒厂商、网络安全厂商（收购） 、新兴终端厂商。纵观终端 安全发展历史，传统杀毒软件厂商众多，且依然占据较大市场。然而终端领域 已经不再是基于特征库签名的 McAfee 和 Symantec 主导的时代，新兴厂商基 于白名单、 AI 等技术已经得到市场认可。 相比于其他新兴终端厂商， Crowdstrike 基于云端平台，通过威胁情报、大数据、AI 等新技术成为行业领导者，市场上 的高速增长，也确认了公司成为

44、终端安全的新王。 表表 1：终端安全厂商分类终端安全厂商分类 竞争对手竞争对手 代表厂商代表厂商 技术特点技术特点 传统杀毒厂商 McAfee、Symantec 传统的基于特名的防病毒技术，与已知病毒库的匹配 网络安全厂商 Palo Alto、Fireeye 以边界安全为核心，通过收购或自研，补充终端安全能力 新兴终端安全厂商 Cylance、Carbon Black 基于纯恶意软件或应用程序白名单技术的端点产品 资料来源: 国信证券经济研究所整理 请务必阅读正文之后的免责条款部分 全球视野全球视野 本土智慧本土智慧 Page 12 终端安全的云化：从终端安全的云化：从 Crowdstrike

45、 看云端颠覆看云端颠覆 基于云的终端安全，基于云的终端安全，Crowdstrike 带来技术和商业模式双重变革带来技术和商业模式双重变革 终端领域的终端领域的 SaaS，Crowdstrike 新架构新架构重塑终端安全重塑终端安全。Crowdstrike 成立于 2011 年，由两位传统杀毒软件 McAfee 的高管创立。公司以威胁情报起家，开启 EDR 产品的黄金赛道， 不断推出新产品实现交叉销售。 公司曾因索尼影业遭黑客入侵事 件， “特朗普通俄门”事件而名声大噪。相比于传统杀毒厂商基于特征签名只能解 决已知威胁，公司创建了一个云安全平台 Falcon，基于大数据和 AI 的主动防御平 台

46、，以 SaaS 的模式提供多种安全服务，包括端点安全、安全与 IT 运营、威胁情 报，能够解决未知威胁。终端安全基于各种海量设备布置（PC、服务器、移动、 IOT、虚拟机云工作负载等） ，SaaS 模式让各端点更简单的部署、扩展和管理，迅 速得到市场的欢迎。 表表 2：公司发展历程：公司发展历程 时间时间 大事件大事件 2011 年 11 月 Crowdstrike 成立 2012 年 7 月 推出威胁情报产品 2013 年 6 月 推出单一解决方案 EDR 2013 年 8 月 推出威胁搜索云模块（threat hunting） 2017 年 2 月 推出 IT 卫生云模块（IT hygie

47、ne），开启多产品市场策略 2017 年 2 月 推出下一代防病毒云模块（NGAV） 2017 年 7 月 推出恶意软件搜索云模块（Malware search） 2017 年 11 月 推出沙箱和漏洞管理云模块（Sandbox and vulnerability management） 2018 年 4 月 推出端点保护即服务（Falcon Complete）云模块 2018 年 8 月 推出设备控制（device control）云模块 2019 年 2 月 推出首个基于开放云的用于端点安全的应用程序平台，以及业界首个受信任的第三方应 用生态系统（Crowdstrike Store） 20

48、19 年 3 月 推出首个针对移动设备的企业 EDR 解决方案 2020 年 10 月 Falcon 平台已发展到 16 个云模块，覆盖企业工作负载安全，安全和漏洞管理，托管安 全服务，IT 运营管理和威胁情报服务 资料来源: Crowdstrike 官网、国信证券经济研究所整理 公司核心技术是基于云端的威胁图平台，以及基于海量终端的轻量级代理。 威胁图（威胁图（Threat Graph） ：） ： Falcon 平台的动态威胁数据库平台的动态威胁数据库。威胁图基于云原生架 构，汇聚海量终端的数据，同时利用自有的和第三方的威胁情报，通过 AI 和模式 匹配技术来寻找恶意活动，包括攻击能力，动机

49、，归因和威胁指标。威胁图每周实 时处理， 关联和分析全球客户中超过 4 万亿个与端点相关的事件， 使每分钟的攻击 决策指标达到 1.34 亿，并为数十亿字节的历史数据编制索引以进行探索和搜索。 各端点独立的事件看似没有直接关系，但是通过 AI 的分析，可以挖掘未知威胁。 威胁图可以为客户提供实时和历史的可见性，深入了解端点处发生的事件。 轻量级代理轻量级代理 （Lightweight Agent） ： Falcon 平台对于每个终端放置的 “传感器”平台对于每个终端放置的 “传感器” 。 代理设计轻巧，消耗 CPU 少于 1%，且无需重启部署，以静默的方式自动执行， 每个传感器每天传输约 5-

50、8 MB，对用户终端没有干扰。该传感器主要是捕获和记 录终端数据，上传给 Falcon 平台，并保护终端安全；且保留了端点上必需的本地 检测和预防功能，在离线情况下也能工作。轻量代理实现了数据众包的模式，每个 端点均贡献自身的威胁数据， 形成广泛的网络效应。 该传感器以机器学习的方式工 作，同时还能兼容本地的第三方杀毒软件。 请务必阅读正文之后的免责条款部分 全球视野全球视野 本土智慧本土智慧 Page 13 图图 14：Crowdstrike 产品架构和模块组成产品架构和模块组成 资料来源: Crowdstrike 官网、国信证券经济研究所整理 产品模块持续迭代，跨入产品模块持续迭代，跨入