上传人:新**
编号:112938
2023-01-18
PDF
31页
1.48MB
《全球SaaS云计算行业产业系列报告62:信息安全防护手段&策略均面临变革板块迎来配置时机-230117(31页).pdf》由会员分享,可在线阅读,更多相关《全球SaaS云计算行业产业系列报告62:信息安全防护手段&策略均面临变革板块迎来配置时机-230117(31页).pdf(31页珍藏版)》请在三个皮匠报告文库上搜索。
1、 证券研究报告证券研究报告 请务必阅读正文之后第请务必阅读正文之后第 30 页起的免责条款和声明页起的免责条款和声明 信息安全:信息安全:防护手段防护手段&策略均面临变革,板策略均面临变革,板块迎来配置时机块迎来配置时机 全球 SaaS 云计算产业系列报告 622023.1.17 中信证券研究部中信证券研究部 核心观点核心观点 陈俊云陈俊云 前瞻研究首席 分析师 S1010517080001 许英博许英博 科技产业首席 分析师 S1010510120041 刘锐刘锐 前瞻研究分析师 S1010522110001 云化的渗透、远程办公的普及、云化的渗透、远程办公的普及、IT 技术堆栈的复杂化,使
2、得传统信息安全体系技术堆栈的复杂化,使得传统信息安全体系在面对复杂、隐蔽、高频的恶意软件攻击愈加力不从心,在面对复杂、隐蔽、高频的恶意软件攻击愈加力不从心,安全防御体系亟待变安全防御体系亟待变革革。在防护手段方面,我们看到在防护手段方面,我们看到数据驱动下的主动防御渐成主流,防御体系延数据驱动下的主动防御渐成主流,防御体系延展至云端负载展至云端负载;在防护策略方面,零信任和;在防护策略方面,零信任和 SASE 的渗透显著缓解了企业对于的渗透显著缓解了企业对于IT 边界拓展的担忧。在行业变革期,我们看到边界拓展的担忧。在行业变革期,我们看到新一代安全厂商持续获得市场份新一代安全厂商持续获得市场份
3、额,且头部厂商凭借其额,且头部厂商凭借其性能性能、品牌、客户等优势持续扩大领先优势。、品牌、客户等优势持续扩大领先优势。立足当立足当下,尽管宏观环境带来了一定压力,下,尽管宏观环境带来了一定压力,行业的行业的内在逻辑并未变化。中长期来看,内在逻辑并未变化。中长期来看,安全在企业安全在企业 IT 开支中的优先地位、以及防范手段开支中的优先地位、以及防范手段&策略变革驱动的成长并未发策略变革驱动的成长并未发生改变,生改变,当前当前较低的估值水平提供了较优的较低的估值水平提供了较优的配置配置时机。时机。安全重要性日益凸显,底层技术面临变革安全重要性日益凸显,底层技术面临变革。1)外部变化:在企业数字
4、化、云化加速推进的大背景下,伴随全球数据量以及 IT 技术堆栈的迅速增加,恶意软件攻击的频次、隐蔽性日益上升,企业因恶意软件入侵造成的经济成本和社会成本也在快速增加,信息安全重要性愈加凸显。2)内部变化:根据 IDC 的调研数据,到 2024 年,欧美企业 IT 部署中 44%将为公有云,较 2020 年的 25%提升近 80%。传统的安全防御体系难以对云端负载执行有效的防御策略,云原生技术的渗透、多云战略的普及更是增加了安全防御的难度。与此同时,随着云计算和移动设备的快速普及,企业计算环境日益分散,网络边界日益模糊,传统基于网络位置的信任策略面临挑战。传统安全防御体系亟待变革,新一代信息安全
5、厂商应运而生。防护手段:防护手段:数据驱动下的主动防御渐成主流,防御体系延展至云端负载数据驱动下的主动防御渐成主流,防御体系延展至云端负载。1)端点安全:随着恶意威胁由原来的盲目、直接转变为目标精确、持久隐秘,传统端点安全产品机制被动、低效且臃肿的问题愈发突出。而下一代端点安全产品 EDR(端点检测与响应)通过轻量级的前端代理收集数据,在后端云平台执行数据的集成和分析,实现基于“行为”的主动防控。IDC 预计全球企业端点安全市场规模将在 2026 年增长至 206 亿美元,2021-2026 年 CAGR 为14.9%。2)XDR:XDR(扩展检测与响应)作为 EDR 的自然演进,能够整合多源
6、、孤立、海量的告警,并进行数据集成与综合关联分析,提供更加精准与有价值的告警。据 IDC 数据,2021 年-2026 年,全球云原生 XDR 市场规模预计将从 1.7 亿美元快速增长到 21.2 亿美元,对应 CAGR 为 66.1%。3)云安全:伴随数字化、云化的持续渗透,多云/混合云/微服务架构显著增加了 IT 堆栈的动态性及复杂度,传统安全防护难以胜任,云安全因此迅速崛起。据 IDC统计,2021 年全球云工作负载安全市场规模为 22 亿美元,预计到 2026 年将增长至 51 亿美元,对应 CAGR 为 18.5%。防护策略:防护策略:零信任与零信任与 SASE 迅速普及显著缓解了迅
7、速普及显著缓解了企业对于企业对于 IT 边界拓展的担边界拓展的担忧忧。1)零信任:零信任网络访问(ZTNA)基于端点、网关、身份认证工具的集成,实现了基于身份而非网络位置的新一代防护策略。根据 Gartner 预测,到 2023 年,将有 60%的企业逐步淘汰远程 VPN 访问,转向零信任网络访问。ZTNA 核心组件为身份认证和访问管理(IAM)和安全网关产品,分别负责验证用户身份与确保合法用户仅在允许范围内进行精细访问。2)SASE:SASE(安全访问服务边缘)强调将 SDN(软件定义网络)能力和各类网络安全能力融合至各个边缘节点中,实现端点安全的集中化、一体化控制,这一方面将使得网络安全厂
8、商加速平台化的整合,技术能力全面的头部厂商有望强者恒强;另一方面也在持续推动网络安全产品软件化、云化的进程。市场格局:市场格局:新一代安全厂商快速获得份额,新一代安全厂商快速获得份额,头部效应明显。头部效应明显。伴随着防范手段和 全球全球 SaaS 云计算产业系列报告云计算产业系列报告 622023.1.17 请务必阅读正文之后的免责条款和声明 2 防范策略的全面变革,行业格局将迎来重塑,顺应行业趋势的新一代厂商有望快速获得份额。头部厂商将通过内部研发和外延并购等手段实现功能扩充与平台化的延展,并依赖集成交付的产品组合及客户、品牌、数据积累层面的领先优势持续扩大市场份额。2021 年,在端点安
9、全领域,我们看到微软、Crowdstrike、SentinelOne 等具有新一代端点安全方案的厂商在快速获得份额,而 Trend Micro、博通(收购赛门铁克)、Trellix 等传统端点安全厂商则在逐步失去份额;在 IAM 市场,微软、Okta 等现代身份认证厂商实现了份额的显著增长,而博通(收购 CA)、Oracle 等传统方案的份额则持续下降。估值估值&业绩:业绩:板块估值显著回调,配置价值显现。板块估值显著回调,配置价值显现。估值方面,估值方面,目前美股安全板块 EV/S NTM 为 5.8x,显著低于 2015 年至今 8x 左右的平均估值水平;如果将增速纳入考量,目前美股安全板
10、块 EV/S/G NTM 为 0.26x,距离 2015 年至今 0.4x 左右的平均估值水平亦差异显著。此外,结合财务/战略收购领域对标的的估值水平,目前板块整体估值亦处于历史低位。考虑到企业安全开支的刚性以及板块中长期的高确定性趋势,我们认为估值进一步向下的空间有限,而向上的弹性则较为明显。业绩方面,业绩方面,22Q3 财报披露完成后,板块 CY 2023 平均收入增速一致预期出现了明显下调,绝大多数个股也在进行业绩预期的持续修正。从近期安全板块的整体增长情况来看,疫情后加速增长的情况已经过去,而宏观环境对下游需求的压制亦逐渐体现。我们判断,2023H1,宏观环境仍将对板块业绩造成持续的压
11、力;而进入下半年,伴随经济环境的逐步复苏以及基数压力的明显减弱,板块增速有望实现反弹。从中长期的角度,安全在企业 IT 开支中的优先地位、以及防范手段&策略变革驱动的成长并未发生改变,当下较低的估值水平提供了较优的配置时机。风险因素:风险因素:原油价格上行导致欧美高通胀进一步失控风险;美债利率快速上行风险;针对科技巨头的政策监管持续收紧风险;全球宏观经济复苏不及预期风险;宏观经济波动导致欧美企业 IT 支出不及预期风险;全球云计算市场发展不及预期风险;云计算企业数据泄露、信息安全风险;行业竞争持续加剧风险等。投资策略投资策略:疫情后数字化、云化的加速推进,以及远程办公场景的迅速渗透,使得企业信
12、息安全的重要性日益凸显。而端点侧、云侧、威胁数据侧的防范手段正在经历重大变革,ZNTA、SASE 等新一代防范策略亦在迅速渗透。市场空间不断延展,竞争格局亦迎来新一轮洗牌。立足当下,尽管宏观环境带来了一定压力,但内在逻辑并未变化。中长期来看,安全在企业 IT 开支中的优先地位、以及防范手段&策略变革驱动的成长并未发生改变,当下较低的估值水平提供了较优的配置时机。从短期配置的角度,我们认为 Crowdstrike、微软、Palo Alto 等盈利能力较优、平台化进展顺利的企业在当下时点更为稳健;而Zscaler、Sentinelone、Cloudflare 等增速较快、盈利能力偏弱的标的则有望在
13、下半年实现更优的弹性。重点公司盈利预测、估值及投资评级重点公司盈利预测、估值及投资评级 公司公司 代码代码 市值(亿美市值(亿美元)元)估值方法估值方法 估值估值 2021A 2022E 2023E 2024E 微软 MSFT.O 17,833 P/FCF 27.7 26.2 22.0 18.0 Fortinet FTNT.O 382 P/FCF 33.9 28.0 20.8 22.2 Zscaler ZS.O 155 PS 14.2 10.1 7.8 6.0 Cloudflare NET.N 144 PS 22.0 14.8 11.0 8.2 Palo Alto Networks PANW.
14、O 420 P/FCF 24.7 22.0 18.4 15.8 Crowdstrike CRWD.O 233 P/FCF 51.3 36.7 27.7 20.8 Sentinelone S.N 40 PS 19.8 9.6 6.2 4.3 资料来源:彭博,中信证券研究部 注:股价为 2023 年 1 月 13 日收盘价;预测数据来自彭博一致预期 SXkXpNsQVVmVvZYXuW6MbPaQtRmMmOtQkPqQpOfQrQoR8OrQqOuOrMxOuOnOqN 全球全球 SaaS 云计算产业系列报告云计算产业系列报告 622023.1.17 请务必阅读正文之后的免责条款和声明 3 目录
15、目录 安全重要性日益凸显,底层技术面临变革安全重要性日益凸显,底层技术面临变革.6 外部变化:恶意软件攻击日趋复杂,信息安全重要性日益凸显.6 内部变化:企业上云、远程办公对信息安全提出了新的挑战.9 防护手段防护手段&策略均面临变革,行业竞争格局迎来重策略均面临变革,行业竞争格局迎来重塑塑.10 防护手段:端点安全由静态变为动态,从被动变为主动.10 防护手段:XDR 成为主流发展趋势,渗透率有望快速提升.13 防护手段:云安全迅速崛起.17 防护策略:零信任、SASE 迅速普及.19 防护策略:SASE 将整合的网络安全能力推向边缘.21 市场格局:新一代安全厂商快速获得份额,市场份额持续
16、向头部集中.23 板块估值显著回调,配置价值显现板块估值显著回调,配置价值显现.24 板块估值:回调至历史低位.24 板块业绩:不利宏观环境下增速承压,中长期趋势依然明朗.26 风险因素风险因素.28 投资策略投资策略.28 全球全球 SaaS 云计算产业系列报告云计算产业系列报告 622023.1.17 请务必阅读正文之后的免责条款和声明 4 插图目录插图目录 图 1:全球数据量及同比增速(ZB,%).6 图 2:网络安全关键词在企业文档中的出现频次.7 图 3:后疫情时代企业最需要购买/建立的 IT 应用(%).8 图 4:全球应用工作负载部署位置(%).9 图 5:云迁移对于公司安全开支
17、的影响(%).9 图 6:在云计算推动下,预计支出将获得增加的安全技术(%).9 图 7:欧美远程办公的劳动力占比(%).10 图 8:针对端点的攻击组成.11 图 9:端点安全产品发展进程.12 图 10:海量数据具有规模效应,竞争壁垒不断强化.12 图 11:20152021 年商用 PC 出货量及增速(百万台,%).13 图 12:全球端点安全市场收入规模及增速(十亿美元,%).13 图 13:On-Premise 与 SaaS 软件总体成本占比(3 年).13 图 14:XDR 模型架构.14 图 15:2022 年 Gartner 安全运营成熟度曲线.16 图 16:云原生 XDR
18、市场总收入(百万美元).16 图 17:SIEM 市场总收入及增速(百万美元,%).16 图 18:Crowd XDR 联盟.17 图 19:全球云工作负载市场规模及增速(百万美元,%).17 图 20:IaaS+PaaS 市场规模(十亿美元).18 图 21:云安全占公有云市场(IaaS+PaaS)的比例(%).18 图 22:全球虚拟机数量及增速(百万,%).18 图 23:全球容器实例数量及增速(百万,%).18 图 24:部署容器和 k8s 时面临的挑战.18 图 25:CWPP 能力金字塔模型.19 图 26:企业安全体系的演变进程.19 图 27:ZTNA 主要架构.20 图 28
19、:全球 IAM 市场规模及增速(百万美元,%).20 图 29:全球安全网关市场规模及增速(百万美元,%).21 图 30:SASE 的主要参与方.22 图 31:全球网络安全软件市场规模及增速(百万美元,%).23 图 32:全球安全即服务(Security as a Service)市场规模及增速(百万美元,%).23 图 33:2021 年全球端点安全市场份额(%).24 图 34:2021 年全球端点安全市场份额获得者及丢失者 Top5.24 图 35:2021 年全球 IAM 市场份额(%).24 图 36:2021 年全球 IAM 市场份额获得者及丢失者 Top5.24 图 37:
20、美股软件 SaaS 板块 EV/S NTM 及十年期国债收益率(%).25 图 38:美股安全板块 EV/S NTM 表现.25 图 39:美股安全板块 EV/S/G NTM 表现.25 图 40:美股安全板块重点公司 EV/S NTM 水平.26 图 41:美股重点软件 SaaS 公司 CY 2023 平均收入增速一致预期变化(%).27 图 42:美股主要安全类软件 SaaS 公司 CY 2023 平均收入增速一致预期变化(%).27 图 43:美股主要安全类软件 SaaS 公司 CY 2023 收入增速一致预期调整(%).28 全球全球 SaaS 云计算产业系列报告云计算产业系列报告 6
21、22023.1.17 请务必阅读正文之后的免责条款和声明 5 图 44:美股安全板块平均 Billings 增速水平(%).28 表格目录表格目录 表 1:主流恶意软件类型.6 表 2:2021 年全球信息安全大事纪.7 表 3:EDR 的核心功能.12 表 4:XDR 的核心能力.14 表 5:XDR 与 SIEM 对比.15 表 6:IAM 各细分市场介绍.21 表 7:SASE 的关键组件.22 表 8:全球信息安全领域大型并购估值.26 表 9:安全领域重点跟踪公司盈利预测.29 全球全球 SaaS 云计算产业系列报告云计算产业系列报告 622023.1.17 请务必阅读正文之后的免责
22、条款和声明 6 安全重要性日益凸显,底层技术面临变革安全重要性日益凸显,底层技术面临变革 外部变化外部变化:恶意软件攻击日趋复杂,:恶意软件攻击日趋复杂,信息信息安全重要性日益凸显安全重要性日益凸显 伴随移动互联网和 AIoT 的蓬勃发展,以及企业数字化和云化的持续推进,全球数据量以及企业部署和管理的 IT 技术堆栈都在迅速增加。这一方面意味着恶意攻击者通过勒索软件、间谍软件等恶意软件行为满足自身利益的动机和诉求日益增强,恶意攻击的频次和隐蔽性日益上升;另一方面,也意味着企业或政府机构因恶意软件入侵造成的经济成本、声誉成本和社会成本也在快速增加。2021 年,根据 Check Point 发布
23、的Cyber Security Report 2022,我们看到恶意软件通过入侵网络管理平台 Solarwinds Orin 进而向 Solarwinds 本身以及 Solarwinds 所服务的客群进行入侵和破坏,导致全球近 2,000 家企业和机构受到波及,其中包括美国司法部下属的各执法机构;也看到全球最为流行的开源日志库产品 Apache Log4j 被报告存在远程代码/命令执行漏洞,攻击者能够利用该漏洞对被攻击服务器进行远程访问和控制,由于该漏洞的威胁面巨大并且全球存在大量未修补漏洞的系统,攻击者持续利用该漏洞尝试发起攻击并在此过程中影响许多企业机构。此外,REvil 勒索软件集团对肉
24、类加工巨头 JBS 以及 IT 公司 Kaseya 的企业客户发起的勒索软件攻击、Mirai 僵尸网络对某金融组织发起的有史以来最大的分布式拒绝服务(DDoS)攻击等均造成了广泛而严重的损失。图 1:全球数据量及同比增速(ZB,%)资料来源:IDC(含预测),中信证券研究部 表 1:主流恶意软件类型 恶意软件类型 介绍 案例 勒索软件 一种使用加密技术使目标无法访问其数据直到支付赎金的软件。受害组织在付款之前部分或完全无法运作,但不能保证付款会产生必要的解密密钥或所提供的解密密钥会正常运作 Ryuk 间谍软件 在用户不知情的情况下收集有关用户活动的信息,如密码、pin、支付信息和非结构化消息
25、Darkhotel 恶意广告软件 此类软件在安装后频繁弹出广告,消耗系统资源,让其运行变慢 Fireball 木马软件 把自己伪装成理想的代码或软件。一旦被下载,它就可以控制系统,达到恶意目的 Emotet 蠕虫病毒 针对操作系统的漏洞,通过网络、电子邮件和移动存储等进行复制和传熊猫烧香 0%10%20%30%40%50%60%70%80%90%100%020406080100120140160180200全球数据量(ZB)同比增速 全球全球 SaaS 云计算产业系列报告云计算产业系列报告 622023.1.17 请务必阅读正文之后的免责条款和声明 7 播。可用于 DDoS 攻击、窃取敏感数据
26、、勒索软件攻击等 Virus Virus 一段代码,它将自己插入到应用程序中,并在应用程序运行时执行。一旦应用执行,病毒就可以被用来窃取敏感数据、发起 DDoS 攻击、进行勒索软件攻击。与木马和蠕虫不同,Virus 只有在应用程序运行时,方可进行执行或复制 CIH 病毒 Rootkit 使恶意行为者利用充分的管理凭证,远程控制受害者的计算机。Zacinlo Keyloggers 通过键盘记录器窃取密码、银行信息和其他敏感信息 Olympic Vision 僵尸网络病毒 根据命令执行自动任务的软件,可以用来执行 DDoS 攻击 Echobot 无文件非恶意软件 使用合法程序感染电脑。不依赖于文件
27、,并且留下很少的足迹,使其难以检测。Astaroth 资料来源:Check PointCyber Security Report 2022,中信证券研究部 图 2:网络安全关键词在企业文档中的出现频次 资料来源:Google Trend,中信证券研究部 表 2:2021 年全球信息安全大事纪 时间时间 事件内容事件内容 2021.01 2021 年 1 月,美国司法部证实,该公司受到 Solarwinds 供应链攻击的影响,3%的员工邮箱被侵入以窃取敏感数据。美国司法部在美国联邦调查局(FBI)、美国缉毒局(Drug enforcement Agency)和美国法警局(US Marshals
28、Service)等一系列执法机构拥有逾 10 万名员工。司法部是 SolarWinds Orion 的买家,该工具被黑客用来执行这次攻击,导致多达 18000名 SolarWinds 客户遭受攻击。美国司法部(Department of Justice)表示,它是在平安夜得知自己是受害者的,并透露其一小部分 Microsoft Office 365 电子邮件账户被入侵。2021.02 2021 年 2 月,流行音乐流媒体平台 Spotify 遭到了虚假认证攻击,而就在三个月前,类似事件也发生过。这次攻击使用了从 10 万名用户账户中窃取的凭证,并利用了一个恶意的 Spotify 登录数据库。S
29、potify 收到了该攻击的报告,这促使该公司对受影响的用户进行了密码重置,使被盗的证书无效。该公司在一份声明中表示这次攻击与 Spotify 自身的安全漏洞无关,网络犯罪分子利用人们在多个在线账户和平台上重复使用相同的密码来进行证书填充。攻击者只需构建自动脚本,系统地尝试窃取的 id 和密码,攻击各种类型的账户。2021.03 2021 年 3 月 2 日,Volexity 报告了对 Microsoft Exchange Server 漏洞 CVE-2021-26855、CVE-2021-26857、CVE-2021-26858 和 CVE-2021-27065 的大肆利用。进一步的调查发现
30、,攻击者利用零日漏洞窃取多个用户邮箱的全部内容。此漏洞可远程利用,不需要身份验证、特殊知识或对特定环境的访问。据估计,有 25 万台服务器成为攻击的受害者,其中包括美国约 3 万个组织的服务器和英国的 7000 台服务器。欧洲银行管理局、挪威议会和智利金融市场委员会(CMF)也受到了影响。2021.04 2021 年 4 月,美国国家安全局(NSA)、网络安全和基础设施安全局(CISA)和联邦调查局(FBI)发布了一份联合咨询警告,称 APT29 在针对美国目标的持续攻击中利用了五个漏洞。根据该报告,APT29 经常利用公开的漏洞对脆弱的系统进行广泛的扫描和利用,以获得认证证书,以便进一步访问
31、。APT29 最近的活动包括破坏 SolarWinds Orion 软件更新,通过部署 WellMess 恶意软件针对 COVID-19 研究机构,以及利用 VMware 漏洞(当时是零日漏洞)。2021.05 2021 年 5 月,一次勒索软件攻击关闭了 Colonial Pipeline 的日常运营,该管道运输了美国东海岸消耗的 45%的燃料,包括柴油、汽油和航空燃油。美国联邦调查局(FBI)发表声明确认,一个名叫“Darkside”的黑客团伙是这次攻击的幕后黑05000100001500020000250003000035000400004Q052Q064Q062Q074Q072Q084
32、Q082Q094Q092Q104Q102Q114Q112Q124Q122Q134Q132Q144Q142Q154Q152Q164Q162Q174Q172Q184Q182Q194Q192Q204Q202Q214Q212Q22网络安全勒索软件 全球全球 SaaS 云计算产业系列报告云计算产业系列报告 622023.1.17 请务必阅读正文之后的免责条款和声明 8 手。Colonial Pipeline 是美国最大的成品油管道,全长 5500 英里(8851 公里),从德克萨斯州休斯顿市向纽约港输送超过1 亿加仑的原油。DarkSide 使用“勒索软件即服务”(RaaS)模式,依靠附属程序执行网络攻
33、击。Colonial Pipeline 支付了近 500 万美元的赎金,以换取解密密钥。随后,美国联邦调查局(FBI)宣布,他们已经取回了赎金账户的私钥,并追回了支付的 63.7 个比特币。2021.06 2021 年 6 月,美国肉类加工巨头 JBS 遭遇勒索软件攻击,影响了其北美和澳大利亚业务。联邦调查局将这次攻击归咎于 REvil 勒索软件集团。这次袭击迫使 JBS 暂时关闭了在美国的所有牛肉工厂。该公司在加拿大的一家工厂也受到了影响,该公司暂停了在澳大利亚的牛肉和羊肉捕杀,直到工厂恢复运营。6 月 9 日,JBL 在美国的首席执行官透露,该公司向黑客支付了 1100 万美元,这是一个“
34、非常痛苦但必要的决定”,尽管该公司能够从自己的备份中恢复其大部分系统。2021.07 2021 年 7 月,REvil 勒索软件集团针对多个托管服务提供商(MSPs)及其客户进行了供应链攻击。黑客成功植入了 IT 公司 Kaseya 的 VSA 补丁管理和客户端监控工具的恶意软件更新,其中包括恶意软件安装程序。估计有 1000 家公司受到了攻击。REvil 在 7 月 4 日的周末发动了大规模的供应链攻击,影响了 Kaseya 的众多客户,并要求数百万美元的赎金。Kaseya 在其网站上发布了安全建议,警告所有客户在调查期间立即关闭他们的 VSA 服务器,以防止攻击扩散。为了攻破 Kaseya
35、 内部的 VSA 服务器,REvil 使用了一个正在修复的零日漏洞。此前,荷兰漏洞披露研究所(DIVD)的安全研究人员向 Kaseya 披露了该漏洞,Kaseya 在向客户推出该补丁之前对其进行了验证。然而,REvil 勒索软件团伙比 Kaseya抢先一步,利用该漏洞实施了攻击,勒索金额从 4.5 万美元到 500 万美元不等。在对 Kaseya VSA 服务器的攻击中,REvil 的附属公司最初针对的是 Kaseya 的 MSSP,目的很明确,就是要向 MSSP 的客户传播信息。从 MSSP 到实际客户,攻击呈指数级增长。2021.08 有史以来最大的分布式拒绝服务(DDoS)攻击是在 20
36、21 年 8 月份检测到的,每秒有 1720 万次请求。此次攻击是由 Mirai僵尸网络促成的,目标是金融行业的一个组织。在这次特定事件中,流量来自全球 125 个国家的 2 万多个机器人,其中近 15%的攻击来自印度尼西亚,其次是印度、巴西、越南和乌克兰。Mirai 于 2016 年首次被发现,目标是物联网(IoT)设备,如闭路电视摄像头和路由器。此后出现了许多僵尸网络的变种,目标设备的列表扩大到包括 Linux 路由器和服务器,Android 设备等等。2021.09 在美国总统拜登宣布疫苗授权后,Check Point Research 发现全球范围内伪造新冠疫苗证书的黑市激增。黑市扩展
37、到 28个国家,包括奥地利、阿联酋、巴西、英国、新加坡等。伪造疫苗证书的价格也在全球范围内上涨,包括美国,从 100美元翻了一番到 200 美元。2021.10 2021 年 10 月,负责多次勒索软件攻击的 REvil 勒索软件团伙的基础设施在三个月内第二次被攻破并被强行摧毁,导致他们的行动陷入停顿。在此之前,REvil 的泄密网站“快乐博客”曾在 7 月份被关闭(同时,REvil 的一个帮派头目“UNKN”可疑失踪),而在 9 月份,该网站又被其残存的一个帮派头目重新启用。2021.11 2021 年 11 月 14 日,历史上最臭名昭著的僵尸网络之一 Emotet 在 10 个月前被国际
38、联合执法行动摧毁后死灰复生。当已经感染了欺骗机器人木马的机器开始下载和执行最新版本的 Emotet 时,Emotet 利用欺骗机器人僵尸网络启动了它的操作。Emotet 本身的回归甚至比以前更加强大,它的工具箱中增加了一些新功能,比如更新的加密方案、控制流混淆和新的交付方法。2021.12 12 月 9 日,Apache 日志包 Log4j 2 2.14.1 及以下版本(CVE-2021-44228)中报告了一个急性远程代码执行(RCE)漏洞。Apache Log4j 是最流行的 java 日志库,从其 GitHub 项目下载了 40 多万次。Log4j 库几乎嵌入到我们熟悉的每一个互联网服务
39、或应用程序中,包括 Twitter、Amazon、Microsoft、Minecraft 等等。自疫情爆发以来,原始漏洞的新变体被迅速引入在不到 24 小时内超过 60 个。这显然是近年来互联网上最严重的漏洞之一。资料来源:Check PointCyber Security Report 2022,中信证券研究部 图 3:后疫情时代企业最需要购买/建立的 IT 应用(%)资料来源:IDC,中信证券研究部 14.98%15.70%18.89%21.25%23.29%23.79%25.49%26.76%31.05%36.05%0.00%5.00%10.00%15.00%20.00%25.00%30
40、.00%35.00%40.00%企业应用程序企业架构用户体验(UX)流程自动化软件开发技术支持人工智能数据分析IT 运维网络安全 全球全球 SaaS 云计算产业系列报告云计算产业系列报告 622023.1.17 请务必阅读正文之后的免责条款和声明 9 内部内部变化变化:企业上云、远程办公对:企业上云、远程办公对信息信息安全提出了新的挑战安全提出了新的挑战 IT 基础设施加速向云端迁移,基础设施加速向云端迁移,信息信息安全迎来变数和机遇。安全迎来变数和机遇。目前,IT 基础设施云化部署已成为高确定性趋势,根据 IDC 数据,存储在公有云中数据已经在 2020 年追平传统数据中心,且占比仍将不断提
41、升;同样根据 IDC 的调研数据,到 2024 年,预计欧美企业IT 部署中 44%将为公有云,较 2020 年的 25%提升近 80%。此前部署在本地的工作负载向云端的迁移,对企业传统的网络安全体系提出了挑战,一方面传统的安全防御体系主要用来保护本地部署的工作负载和数据安全,但难以对云端负载执行有效的防御策略;另一方面,云原生技术渗透带来的应用架构变革(容器、微服务等),以及多云战略的普及等,使得企业 IT 架构日趋复杂且动态,显著增加了安全防御的难度。但与此同时,公有云自身高弹性、高延展性的特点使得海量安全数据的储存、关联、分析成为可能,新一代安全厂商能够利用基于数据集持续训练和优化 ML
42、 算法,用基于 AI 的主动防御取代过去基于历史数据的被动防御,显著提升防范能力、规避相关损失。因此,我们认为云迁移带来的防御范围和防御难度的升级将显著增加公司的安全开支,而利用公有云优势提供防御服务的新一代安全厂商将受益最为明显。图 4:全球应用工作负载部署位置(%)资料来源:IDC(含 2024 年预测),中信证券研究部 图 5:云迁移对于公司安全开支的影响(%)资料来源:AlphaWise,中信证券研究部 图 6:在云计算推动下,预计支出将获得增加的安全技术(%)资料来源:IDC,中信证券研究部 0%10%20%30%40%50%60%70%80%90%100%截至2020截至2021截
43、至2024本地部署场地租用托管公有云0%10%20%30%40%50%60%70%80%90%100%推动增加几乎无影响负面影响Oct-20Oct-210%10%20%30%40%50%60%70%80%全球全球 SaaS 云计算产业系列报告云计算产业系列报告 622023.1.17 请务必阅读正文之后的免责条款和声明 10 远程办公远程办公快速渗透,企业快速渗透,企业网络边界日益模糊网络边界日益模糊。传统的安全体系下,企业大部分开销被用于保障流量在网络内外的传输安全,即将所有企业流量汇集到网关,同时通过网络外围防火墙阻止所有不良流量。网络外围安全系统通过网络位置来划分“信任区域”,外部不受信
44、任,内部则属于受信特权网络。但这种基于网络位置的安全体系存在着天然缺陷,一旦被渗透到信任区域,将无法有效隔离和保护数据资产。随着云计算和移动设备的快速普及,企业计算环境日益分散,网络边界日益模糊,网络外围的安全也越来越难以得到保护:当员工开始移动时,VPN 通过扩展网络将内部信任扩展到远程员工,而攻击者会通过非法获取 VPN 凭据以滥用此信任;当需要外部访问时,服务又会移动到 DMZ(demilitarized zone,为了解决安装防火墙后外部网络的访问用户不能访问内部网络服务器的问题而设立的一个非安全系统与安全系统之间的缓冲区)中,从而使它们暴露给攻击者。究其本质,过度的隐性网络信任,会产
45、生过度的潜在风险。在这种背景下,零信任网络访问(ZTNA)和安全访问服务边缘(SASE)应运而生并快速普及。图 7:欧美远程办公的劳动力占比(%)资料来源:IDC,中信证券研究部 防护手段防护手段&策略均面临变革,行业竞争格局策略均面临变革,行业竞争格局迎来重塑迎来重塑 防护手段:端点安全由防护手段:端点安全由静态变为动态,从被动变为主动静态变为动态,从被动变为主动 随着网络威胁行为从盲目粗暴转变为精确隐秘,端点安全产品不断进化,从静态变为动态,从被动变为主动,从基于“特征”变为基于“行为”。当前,端点安全市场处于变革时期,新一代端点安全产品将迎来高速发展。端点概念不断扩展,端点安全至关重要端
46、点概念不断扩展,端点安全至关重要。端点是用于访问组织数据和网络的任何连接设备,随着新设备的不断涌现,端点的定义持续扩大,包括服务器、移动设备、工业系统、物联网设备、汽车等。大多数企业通常都将安全工作和防御控制集中在网络边界,认为这是抵御潜在攻击者的最佳方式。但是一旦攻击者绕过公司防火墙和其他外围安全控件通过端点进入内网,往往就可以自由施0%10%20%30%40%50%60%70%全部美国欧洲疫情前2020H12H2020 全球全球 SaaS 云计算产业系列报告云计算产业系列报告 622023.1.17 请务必阅读正文之后的免责条款和声明 11 展了。更糟糕的是,尽管边界控制可能会阻止外部的不
47、良行为者闯入,但这无助于防止内部威胁。因此,端点安全是企业安全防护体系的重要一环。安全威胁形态演化升级,传统端点安全产品问题凸显。安全威胁形态演化升级,传统端点安全产品问题凸显。最早期的网络威胁源自所谓的病毒,因此最早的终端防护手段就是杀毒软件和防火墙。然而随着恶意威胁由原来的盲目、直接、粗暴转变为有目标、精确、持久隐秘,传统端点安全产品的问题愈发突出:(1)应对机制是被动的,只有受到攻击后才能感知和捕获;(2)无法有效防御具有针对性的攻击,例如利用恶意软件的变种、脚本化工具将恶意软件加壳使其随机产生新的恶意软件等;(3)传统防御产品依靠特征库的更新来发现新的恶意威胁,但随着攻击者们使用不同技
48、术逃避传统的检测和防御,同时每天新增恶意样本,这种检测手段显得力不从心,整体规模也愈发臃肿。EPP(终端保护平台)的出现一定程度上弥补了传统杀毒软件的劣势,但同样存在无法应对未知威胁、多个功能模块堆叠等问题。图 8:针对端点的攻击组成 资料来源:Kaspersky,中信证券研究部 基于行为进行主动防控,新一代端点安全产品优势显著。基于行为进行主动防控,新一代端点安全产品优势显著。在此背景下,下一代端点安全产品诞生并占据有利地位。其中最具代表性的便是 EDR(端点检测与响应),通过对端点进行持续检测,发现异常行为并对其进行分析,结合机器学习和人工智能检测和防护未知威胁。新一代端点安全产品具备两大
49、核心特征:(1)基于“行为”进行主动防控。EDR 不仅仅通过“特征”进行“预防”,更依靠“行为”进行“检测”,并且进行“响应”。同时,EDR 不仅着眼于单个终端的防御,而是对各个终端的事件进行关联分析,还原整个攻击的流程,描绘出攻击事件的全貌。(2)轻量级代理。利用轻量级引擎将经典安全功能进行一体化设计,降低客户部署及运维成本。长期来看,新一代端点安全产品具有的主动防御和轻量级代理两大特点已成为端点安全产品发展的趋势。全球全球 SaaS 云计算产业系列报告云计算产业系列报告 622023.1.17 请务必阅读正文之后的免责条款和声明 12 表 3:EDR 的核心功能 功能功能 描述描述 终端安
50、全行为数据的采集和存储 从全网的终端设备中持续收集安全相关数据,并实时的将采集到的终端安全数据统一存储在云端数据库中 实时分析和威胁检测 将终端数据与来自威胁情报服务的数据实时关联,使用高级分析和机器学习算法,在已知威胁或可疑活动发生之前实时识别 威胁事件的调查和分析 提供终端安全大数据搜索的能力,能够针对威胁事件进行深入的钻取分析,还原出威胁事件的时间轴,追溯其来源,分析影响范围、造成损失等相关信息 自动威胁响应 对威胁事件进行快速响应 资料来源:IBM,中信证券研究部 图 9:端点安全产品发展进程 资料来源:COMTACT,中信证券研究部 图 10:海量数据具有规模效应,竞争壁垒不断强化
51、资料来源:中信证券研究部绘制 利用海量数据训练算法行业领先的精确度、更低的误报率吸引更多客户从所有客户的端点中收集数据 全球全球 SaaS 云计算产业系列报告云计算产业系列报告 622023.1.17 请务必阅读正文之后的免责条款和声明 13 市场规模:市场规模:我们认为,新一代端点安全方案的渗透驱动了全球端点安全市场的持续快速增长:1)疫情催化下的远程办公场景催化了商业 PC 的需求,而物联网和智能汽车等新兴产业的发展也为端点安全市场的增长提供了强劲动力;2)部署在云端的现代端点安全方案提升了防范效果、降低了客户运维成本,整体 ARPU 较传统端点安全产品亦能够有一定程度的提升;3)轻量级的
52、代理以及统一的后端云平台显著降低了新功能 cross-sale 的难度及复杂度,进一步扩展了市场空间。根据 IDC 数据,2021 年-2026 年,全球企业端点安全市场规模预计将以 14.9%的年均复合增长率增长,从 103 亿美元增长到 206 亿美元;其中,服务器安全市场从 25 亿美元增长到 55 亿美元,年均复合增长率为 14.4%;其他端点安全市场从 78 亿美元增长到 152 亿美元,年均复合增长率为 16.6%。图 11:20152021 年商用 PC 出货量及增速(百万台,%)资料来源:IDC,中信证券研究部 图 12:全球端点安全市场收入规模及增速(十亿美元,%)资料来源:
53、IDC(含预测),中信证券研究部 注:2022 年及以后为预测 图 13:On-Premise 与 SaaS 软件总体成本占比(3 年)资料来源:Kaspersky,中信证券研究部 防护手段:防护手段:XDR 成为主流发展趋势,渗透率有望快速提升成为主流发展趋势,渗透率有望快速提升 可演进式集成安全架构,可演进式集成安全架构,有效提升有效提升安全防护的有效安全防护的有效性性。XDR(Extended Detection And Response:扩展检测与响应)于 2018 年由 Palo Alto 首席技术官 Nir Zuk 提出,其-6%-4%-2%0%2%4%6%8%10%12%14%1
54、151201251301351401451501552015201620172018201920202021商用PC出货量(除教育行业)YoY0%5%10%15%20%25%0246810121416202120222023202420252026服务器安全现代端点安全YoY12%54%9%21%9%36%12%22%25%0%10%20%30%40%50%60%70%80%90%100%On-PremiseSaaS软件许可/软件订阅硬件基础设施实施成本人力成本内部管理费用 全球全球 SaaS 云计算产业系列报告云计算产业系列报告 622023.1.17 请务必阅读正文之后的免责条款和声明 1
55、4 将检测范围扩大到终端之外,是一种跨多个安全层收集并自动关联信息以实现快速威胁检测的方法。XDR 是端点检测与响应(EDR)的自然演进,在发展过程中逐渐结合了安全信息和事件管理(SIEM)、安全编排自动化和响应(SOAR)、以及网络流量分析(NTA),集中安全数据和事件响应。面对不断加速的数字化转型和纷繁复杂的网络攻击,XDR 可促进威胁防御、检测、响应等安全功能之间的协同和互操作,帮助企业提升威胁检测和响应的效率和效果。图 14:XDR 模型架构 资料来源:腾讯安全网站,中信证券研究部 提供更多可见性和背景信息,通过整体检测和响应策略消除安全孤岛提供更多可见性和背景信息,通过整体检测和响应
56、策略消除安全孤岛。当前,传统安全系统面临着更加隐蔽、更加智能、更具破坏性的新一代网络攻击,高级威胁的发现越来越难以通过单一的安全能力来实现。多个安全设备产生的缺乏有效信息的海量告警、孤岛式安全能力建设的缺陷、现有安全产品自动化能力不高、企业被动的安全防御策略等现实困境,使得企业急需寻找一种新的网络安全防护措施。XDR 横跨各种端点、网络、SaaS 应用、云基础设施等各种可以处理的 IT 资源,将原本分布于各种检测系统的孤立海量告警进行整合,通过在各种检测系统之上的数据集成与综合关联分析,呈现给用户更加精准和有价值的告警,显著提高了安全人员的工作效率。同时,XDR 还具备与单一的安全工具之间的
57、API 对接与基础的编排能力,从而能够快速地实施告警响应与威胁缓解。表 4:XDR 的核心能力 核心能力核心能力 具体描述具体描述 全局安全控制点 支持对终端、网络、云和工作负载的安全防护和控制能力,获取更大范围的安全可见性,支持跨产品、跨层级的安全数据获取、威胁检测和事件响应。安全集成和互操作能力 把各种安全日志、告警等数据进行汇总,以便于进一步的威胁分析;联动不同层面的安全产品,阻断不安全的访问请求、隔离被攻陷的主机、修复系统漏洞/问题、降低用户权限、下发检测策略等响应执行操作。大数据处理和机器学习分析能力 汇聚了全局的安全数据(包括各种安全日志、告警、网络流量、外部威胁情报等),比单个安
58、全产品提供更加强大的威胁检测能力。海量安全数据的处理需要 全球全球 SaaS 云计算产业系列报告云计算产业系列报告 622023.1.17 请务必阅读正文之后的免责条款和声明 15 核心能力核心能力 具体描述具体描述 具备大数据存储、传输、分析等能力,需要依赖机器学习等人工智能算法增强对高级威胁的分析、攻击杀伤链的理解和还原;让安全人员可以聚焦处理数量有限、真正有影响的安全事件。自动化编排能力 提供自动化的技术和工具,减少需要企业安全人员手动操作的频率和人为操作出错的概率,提高安全运营效率;XDR 支持安全响应任务的编排能力,让用户对文件、权限、主机和网络执行经过预先设计编排过的手动和自动的补
CSNC:2022年9月中国坚果炒货行业报告(英文版)(39页).pdf
灼鼎咨询:乘用车自动驾驶行业研究报告(39页).pdf
stateofai:2022人工智能全景报告(英文版)(114页).pdf
挪威银行(Norges Bank):2022年金融基础设施报告(英文版)(56页).pdf
圣农发展-公司深度研究:养殖屠宰优势提升食品双翼齐飞-221108(41页).pdf
德勤:迈向生态共建的车用操作系统之路(2022)(30页).pdf
2022年新能源汽车产业分析报告(28页).pdf
上海财经大学:2022年第三季度中国宏观经济形势分析与预测报告——全球经济低迷背景下的中国经济发展(31页).pdf
2022年长沙市区域画像报告(45页).pdf
普华永道-中国新能源行业产业洞察专题:扬帆正当时跨界入局储能万亿赛道(15页).pdf
2022年长春市区域画像报告(45页).pdf
2022年智能装备产业分析报告(28页).pdf
机械国防行业:培育钻石供需低渗透率原石龙头成长空间大-220511(52页).pdf
瀚蓝环境-公司深度报告:“规模优先、资本优先”打造全面对标无废城市的“瀚蓝模式2.0”-220510(28页).pdf
计算机行业:自主可控大势不可阻挡信创有望估值修复-220511(33页).pdf
京东集团-从品类视角看京东的核心竞争力-220511(33页).pdf
景业智能-公司深度报告:核工业新星冉冉升起受益后处理市场需求增长-220511(24页).pdf
家电行业:产品&供应链视角深度拆解冰箱升级路径-220511(52页).pdf
社会服务行业专题研究:餐酒复苏对比观察每于寒尽觉春生-220511(23页).pdf
康泰生物-深度报告:估值底部出现新产品放量贡献弹性业绩-220510(34页).pdf
雷电微力-厚积薄发高增长:聚焦毫米波有源相控阵微系统-220511(25页).pdf
卫星化学-轻烃一体化龙头积极布局新能源新材料产业-220511(32页).pdf
维力医疗-深度研究报告:有望受益产品升级和营销改革-220511(20页).pdf
奥普特-中小盘首次覆盖报告:以基恩士为鉴看国内机器视觉龙头崛起之路-220511(31页).pdf
通信行业:国内云计算行业投资可能回暖建议关注华为产业链-230115(17页).pdf
边缘计算产业联盟:边缘计算产业联盟2022年运作报告(9页).pdf
前瞻研究行业全球SaaS云计算产业系列报告61:从北美云巨头看云计算平台厂商的核心竞争力-230106.pdf(30页)
IDC&浪潮:2022-2023中国人工智能计算力发展评估报告(31页).pdf
通信行业电信运营商系列:云计算业务高速增长运营商有望价值重估(32页).pdf
通信行业运营商深度报告:运营商战略聚焦云计算迎来高速增长与价值重估-221229(42页).pdf
中国企业发展研究中心:2022中国云计算创新活力报告(50页).pdf
苏州农商行:2022基于云计算的多级防控交易反欺诈系统报告(22页).pdf
云计算行业全球SaaS云计算产业系列报告60:美股软件SaaS企业2023年业绩预期调整到哪里了?-221215(20页).pdf
线上健身第一股-keep招股说明书(463页).pdf
蜜雪冰城招股说明书-连锁茶饮第一股(724页).pdf
QuestMobile:2022年中国短视频直播电商发展洞察报告(30页).pdf
QuestMobile:2022新中产人群洞察报告(37页).pdf
町芒:2022现制茶饮行业研究报告(47页).pdf
麦肯锡:2023中国消费者报告:韧性时代(33页).pdf
罗振宇2023“时间的朋友”跨年演讲完整PDF.pdf
QuestMobile:2021新中产人群洞察报告(30页).pdf
锐仕方达&薪智:2022年薪酬白皮书(105页).pdf
美团:2022新餐饮行业研究报告(74页).pdf