(报告出品方/作者:方正证券,方闻千)
1安全服务:新趋势,新方向
1.1什么是安全服务?
什么是安全服务?广义上,网络安全服务指为增强和完善用户网络信息系统所提供的一系列的服务,通常情况下,安全服务由安全咨询、安全运营、安全集成三大部分构成。从Gartner和IDC两大机构的统计口径来看:IDC认为安全服务包括安全咨询、安全运营(MSS)、安全集成、安全教育及培训四个部分,而Gartner认为安全服务主要由安全咨询、安全外包(含MSS及驻场服务)、安全集成、硬件维护与支持四部分构成。虽然两家机构在统计口径上存在一定差异,但无论是在Gartner还是IDC的口径下,安全咨询、安全运营、安全集成都是最主要的三个部分,占据了安全服务市场90%以上的份额。
在传统安全服务之外,网络安全即服务(SECaaS,SecurityasaService)作为新兴的安全服务模式,正在成为全球网络安全市场的重要趋势。SECaaS最突出的特点就是安全的云化和服务化,将安全产品以云服务的形式交付给用户,是安全产品与安全服务的深度融合,因此在广义上也属于安全服务的范畴
1.2安全服务产业比较:市场规模与产业结构
安全服务是用户安全能力提升的必然选择。从企业安全能力提升的路径来看,安全工具只是构建安全能力的基础,在采购安全工具之后,如何用好安全工具,如何发挥安全工具最大的价值,往往需要在安全团队、安全策略以及安全体系等方面进行持续投入。对于大多数企业用户而言,面临的现实问题是自身安全能力和安全预算的不足,往往需要借助第三方专业安全厂商,来帮助自己实现安全体系的建设和安全运营的外包。根据Cisco的统计数据,在全球范围内,每年有90%以上的企业和*府机构都会采购包括安全咨询、安全监测、事件响应、威胁情报等各类安全服务,完全不采购安全服务的企业占比仅6%()。而且对安全越重视,安全能力越强的企业用户,往往安全服务在其安全预算中的占比也会越高。因此在整个产业不断走向成熟的过程中,安全服务的占比也将持续提高。
从市场规模来看,安全服务占据了全球网络安全市场的半壁江山。根据Gartner的统计数据,年全球安全市场总规模约亿美金,其中安全服务市场的规模达到亿美金,占比51%。而且除了传统服务之外,Gartner预计年基于云模式交付的安全的渗透率达到12%,因此如果将SECaaS考虑在内,全球安全服务的占比将达到60%以上。未来随着SECaaS渗透率的不断提升,安全服务的占比还将持续提高。
全球安全服务市场近年来保持较高景气度,行业增速高于安全行业的整体水平。我们认为安全服务的高景气度主要是来自于以下几个因素:首先是IT基础架构的驱动,近年来随着企业的工作负载逐渐向云上迁移,网络安全形势在混合和多云环境下也变得更加严峻,对于新型IT环境下安全体系的建设正在逐渐成为近年来企业安全支出的重点;同时,*策合规也是影响企业安全服务支出的重要因素,近年全球最大的*策合规事件即年欧盟通用数据保护条例GDPR的出台,全球涉及GDPR相关的企业对于评估、审核、整改的需求驱动了安全咨询行业的快速增长,同时在国内等保2.0,个人信息保护法、数据安全法等法规条例的相继出台也明显提升了国内*企用户对安全服务的需求。
从市场结构来看,安全咨询和安全运营占据了全球安全服务市场约三分之二的份额。根据IDC的统计数据,安全咨询、MSS和安全实施的占比分别为21.9%,44.4%和33.7%;根据Gartner的数据,安全咨询、安全外包服务(包括MSS)及安全集成占比分别为36.3%、35.8%,27.9%。无论是按照Gartner还是IDC的口径,安全咨询和安全运营的合计占比均达到了三分之二。
国内安全服务市场无论从市场总规模,还是从市场结构来看,跟欧美市场相比,都存在非常明显的差距。首先在市场规模上,根据IDC、赛迪股份等机构的统计数据,目前安全服务市场总规模约在亿元左右,占安全行业总体比重仅20%,远低于全球平均水平。同时在国内安全服务市场,安全咨询和安全运营等附加值较高的安全服务占比较低,安全实施和系统集成占据了大部分的市场份额,体现出了国内外安全服务市场在产业成熟度上的差距。
我们认为,导致目前国内安全服务市场与欧美市场存在明显差距的主要原因在于:
1)缺乏安全意识:国内许多*企客户过去网络安全的预算非常有限,绝大部分的预算都是用于采购安全工具,以应付合规和审查。除了金融电信等大型用户对于安全较为重视之外,大部分机构都将安全作为成本项,没有主动提升安全能力的诉求,因此也缺乏采购安全服务的动力。
2)没有付费意愿:在国内安全咨询、安全运营等专业服务经常被安全厂商作为安全设备采购的附赠品,企业用户甚至不需要向安全服务单独付费,而实际上单独的咨询规划和运营服务的价格并不低于设备采购。
3)产业生态不成熟:国内安全服务市场从起点上就跟欧美市场存在天然的差距,欧美的安全服务市场建立在其成熟的IT及咨询产业之上,经过20多年的发展,已经形成了成熟的产业生态。而国内缺少类似IBM、Dell、德勤、埃森哲等大型厂商对安全服务市场的培育,缺少好的安全服务提供给用户,而且在定价上也不够市场化,因此国内*企用户对安全服务的接受度普遍偏低。
1.3安全服务产业比较:竞争格局与主导厂商
全球网络安全产业建立在IT产业的基石之上。以美国市场为例,美国网络安全产业的发展包含了IT产业创新所必须的全部关键要素,包括一流的教育科研机构、成熟的风险投资、有机的商业环境,以及鼓励创新、宽容失败的硅谷文化。美国网络安全产业从诞生开始就带有美国IT产业的鲜明烙印,包括IT行业巨头、电信运营商、咨询公司、国防外包承包商都是网络安全市场的重要参与者,产业链分工协作,界限分明。在全球网络安全市场,包括IBM、微软、德勤、埃森哲等IT业和咨询业巨头正在不断延伸自身的业务布局。
在全球安全服务市场,综合型IT厂商、咨询公司以及电信运营商占据主导地位,而大多数的专业安全厂商都是纯粹的安全产品供应商,并不是安全服务市场的主要参与者,这与国内网络安全市场有着非常显著的差异。
国内安全服务市场在竞争格局上,展现出了与欧美市场截然不同的态势,绿盟科技、奇安信、启明星辰、安恒信息等专业安全厂商占据了市场主导地位。而且随着近年来安全厂商对各自安全服务业务投入的不断加大,其在国内安全服务行业的市场地位还将进一步提升。
根据IDC的统计数据:
1)安全上半年绿盟科技在国内市场占有率位居第一,份额达到8.1%,奇安信以6.8%的市场份额排名第二,德勤、普华永道及启明星辰的市占率分别为6.4%、5.7%及5.5%;
2)托管安全服务:上半年,安恒信息以9.6%的份额排名第一;绿盟科技市占率达到8.6%,排名第二,其他厂商包括启明星辰、安信天行和IBM分别占据7.9%、4.8%和4.5%的份额;
3)安全集成:以集成商和渠道商为主,主要厂商有太极股份、腾讯、中国软件、东华软件、东软集团等。
1.4安全服务正在成为安全行业的战略制高点
国内安全服务市场目前已经进入快速发展期,受到*策合规和产业升级两大因素的驱动,安全服务已经成为国内网络安全市场增速最快,发展空间最大的赛道。
1)*策合规:等保2.0、关键基础设施保护条例、密码法、网络安全审查办法以及在年即将落地的个人信息保护法、数据安全法等法规条例的相继出台,*企用户对安全评估、安全测试、安全战略、安全规划的需求得以迅速提升。同时HW行动及重大活动网络安保驱动了应急常态化和防护实战化,无论是国家网络安全主管机关还是各相关企事业单位,对于攻防演练、安全评估、安全运营的需求也正在持续增加。
2)产业升级:随着国内网络安全产业成熟度的持续提升,*企用户的安全重心,将逐渐从采购安全产品以满足合规要求,转移到采购安全服务以提升安全能力,这是产业发展的必然规律。特别对于国内许多头部企业而言,在经过多年的安全建设后,继续堆设备所带来的提升已经相当有限,当前的主要问题在于如何构建一套更为有效的安全体系,并且如何让这套体系持续高效运作,这也将直接带来对专业安全服务厂商的安全顶层设计、安全运营服务的需求。中长期来看,*企用户出于降低人力成本(安全厂商通过体系化管理实现规模效应),以及应对复杂威胁和管理复杂架构的需要(专业的人做专业的事),都将持续增加对专业安全服务的采购。
安全服务正在成为国内网络安全市场的制高点,除了*企用户对安全服务的需求和采购在持续增加外,更加重要的原因是安全服务对头部*企用户“战略卡位”的重要性正在逐渐凸显。安全厂商通过为*企用户提供安全顶层设计,安全运营等服务,能够有效提升用户的“粘性”,进而带动对自身安全产品和解决方案的持续采购。因此,国内头部安全厂商目前都在持续加大在安全服务赛道上的布局。从安全咨询市场来看,一方面,新的安全法规条例近年来的不断出台直接提升了用户对安全咨询的需求,另一方面网络安全在*府和企业内部的战略层级正在不断提升,用户对安全咨询的需求正在从过去数据安全治理、渗透测试、漏洞评估等专项建设向顶层设计升级,因此安全咨询服务门槛也在不断提升。包括奇安信、安恒信息、深信服、绿盟科技、启明星辰等头部厂商都将安全咨询能力的建设作为重点发力的方向,以卡位“十四五”开局头部*企用户安全顶层设计。目前许多头部安全厂商已经具备较为完善的安全咨询能力,以绿盟科技为例,绿盟已经具备覆盖*企用户安全建设全生命周期的安全咨询能力,涵盖安全规划、建设、运营各不同阶段,并且将安全咨询与新技术、新场景进行了深度结合。
安全运营服务是国内安全厂商近年来的重点布局方向,和海外市场更为流行MSS(托管安全服务)不同,国内安全龙头厂商正在探索更加适应于本土市场的安全运营服务,其中最典型的就是城市安全运营中心。城市安全运营中心的服务主体以*府机关、监管部门以及关键信息基础设施为主,综合各个厂商的布局情况,预计全国已经有接近个城市已建成或正在建设城市安全运营中心,而且各个厂商的打法也有一定差异,比较典型的有启明星辰和安恒信息的城市安全运营中心,的城市安全大脑,奇安信的应急响应中心,以及深信服“人机共智”MSS服务等。
1)启明星辰城市安全运营中心
启明星辰于年12月在成都打造了全国首个城市安全运营中心,并在年将城市安全运营中心上升至公司的战略级业务。目前启明在全国范围内已经建设了成都、济南、宜昌、郑州、西宁、昆明、杭州等近40多个城市安全运营中心。其中许多区域的中心除了向用户提供安全运营服务之外,还需要承担安全培训、安全研究等职能。比如郑州安全运营中心就包含了运营中心和培训中心两个部分,其中运营中心还包含了安全检测中心、安全应急中心、安全研究中心、咨询服务中心、终端防护中心和云端防护中心六个子中心。启明星辰城市安全运营中心的用户主要分为三类,核心用户主要是城市*务云、大数据中心等,用户方是当地的*府相关委办局等,第二层是当地的关键基础设施、重要信息系统所属的企事业单位,最后是中小企业。城市安全运营中心采取三级联动的方式,包含了总部、省中心、地市中心三个层级,中心总部设在北京,同时在各个省会级城市形成二级区域运营中心,一个二级城市约需10-20人支撑,向*企用户提供包括7x24安全运行监测和应急响应处置在内的信息系统规划、设计、建设和运行的安全托管运营和安全监管服务。
2)安恒信息城市安全运营中心
安恒信息近年来将城市安全运营中心作为安全服务业务发展的重点,目前已经在厦门、金华、衢州等十多个城市开展城市安全运营服务。主要内容包括:1)对全市关键信息基础设施、工业互联网、城市监控等物联网系统、**机关和企事业单位重要信息系统进行全天候全方位的安全监测;2)提供网络安全协同防御和应急响应服务,会同相关主管部门建立协调机制,建立统一的联动协同的应急响应组织;3)提供集约化安全防护和处置服务,解决各单位自行建设导致的投入大、人员专业化能力不足、实际安全防御效果参差不齐等问题。
3)安全大脑
安全大脑是公司基于网络安全方面的多年实战积累,凭借安全大数据、安全专家、攻防知识库等核心优势,面向*企用户打造出一套以“安全大脑”为核心的网络安全能力体系。智慧城市安全运营中心涵盖了安全服务、安全攻防靶场、城市安全运营中心、安全人才培养、安全技术研发、初创企业扶持、安全检测等多个安全功能。目前已建成和确定建设了智慧城市安全运营中心的城市包括重庆、天津、青岛、鹤壁、上海、苏州、郑州、贵州等。
4)奇安信应急响应中心
奇安信作为国内网络安全行业龙头厂商,在实战攻击、漏洞挖掘、威胁情报等领域已经构建了强大的安全实战能力。年奇安信开始建设全国应急响应团队,目前已经建立了国内最大安全应急响应体系,按国家级、省级和地市级三个等级,主要的内容包括应急响应、重大活动保障、攻防演练和其他技术支持工作。目前奇安信应急响应体系已经覆盖全国31省市,拥有人以上的安全技术人员。在年奇安信共参与处置了余起全国范围内的网络安全应急响应事件,共支持80余个重要客户的实网攻防演练工作,涉及27个部委、30家央企以及22个省市客户的实网攻防演练工作。目前奇安信在全国10余个城市构建了智慧城市安全运营中心。
5)深信服“人机共智”安全运营服务
深信服在年发布了基于“人机共智”的安全运营服务,在长沙建设了全国安全运营中心,构建了T1、T2、T3三级专家团队共余人,分为T1安全工程师组、T2安全运营专家组、T3首席安全专家组,面向不同的客户提供7*24小时的服务。相较于国外的托管安全服务更加侧重漏洞、威胁、事件的检测和分析,公司的安全运营服务则更加切合国内用户的实际情况,会根据企业用户安全能力强弱,联合合作伙伴配合客户做深浅程度不同的处置工作,帮助客户有效解决各种安全问题。由于深信服的安全运营服务主要通过远程安全运营中心来开展,因此能够规避堆人头的方式。年下半年深信服的安全运营中心就已服务超家客户,覆盖*府、央企、教育、医疗等多个行业。
随着国内安全行业向“体系化”和“实战驱动”演变,*府、央企及关键行业对于安全厂商从整体框架、技术整合到运营服务的需求正在快速增加,行业门槛也正在逐渐提升。由于头部安全厂商在品牌和整体解决方案能力上具备显著的优势,而且考虑到一些合规性的因素,其竞争力要明显强于中小型安全厂商。
1)安全服务能力的构建需要大量的初始资源投入:首先在人员方面,安全服务厂商需要大量的高级安全专家和一线安全运维工程师的配置,以及完善的人才培养机制,并且还要针对人员进行流程化管理,以及KPI的制定、运营指标的确立、组织文化的建设等;其次厂商需要设施齐备的SOC中心,强大的软件开发能力、网络带宽保障、7×24的工作时间保障等等;最后在安全服务机制和流程上,厂商需要将人和工具等不同的要素进行有效组合,并且围绕系统框架、规划方法、模型架构和项目管理等方面来构建流程化标准化的安全服务能力。目前头部安全厂商正在围绕人员、技术、流程三个维度来构建在安全服务市场的竞争力。
2)安全咨询和安全运营对厂商的背景和品牌影响力有较高的要求:无论是*府还是企业用户,在选择安全咨询及安全运营服务时,首先面临的就是信任问题,因为安全服务商将掌握企业用户自身信息系统的运作流程和风险弱点,而大型厂商在面临信任问题时具备天然的优势,这也是为什么在全球安全服务市场占据头部位置的基本上都是IBM、德勤、埃森哲,ATT这类具备很高品牌知名度的厂商。而国内安全市场,头部安全厂商将成为安全服务市场的“关键先生”。
1.5SECaaS是引领全球网络安全行业的新趋势在传统安全服务之外,安全SaaS作为新兴安全服务,正在成为全球网络安全市场的重要产业趋势。虽然早期欧美企业用户对安全SaaS的安全性、可靠性也存在诸多顾虑,但随着IT基础架构逐渐向云上迁移,安全SaaS的渗透率也随之迅速提升。网络安全虽然是ICT产业转云最晚的赛道之一,但其转云的速度却超出了市场预期。在终端安全、身份与访问管理、网络边界安全、SIEM等网络安全行业的主要赛道上,SECaaS渗透率正在迅速提升。全球范围内,安全SaaS整体渗透率已经达到10%以上(Gartner预计年安全SaaS的渗透率为12%)。根据IDC的数据,过去几年安全SaaS的复合增速在20%以上,远超安全行业整体增速7%,而且以Crowdstrike为代表的头部安全SaaS厂商的收入增长持续超出业绩指引。Okta、Crowdstrike、Zscaler等云原生的安全厂商正在快速替代传统厂商的市场份额,近年收入增速基本保持在40%以上,目前已经成为了身份与访问管理、终端安全、网络边界安全三个赛道上的领导厂商。除了成长性高之外,安全SaaS厂商在增长的持续性和用户粘性等方面都要明显优于传统安全厂商。同时以PaloAltoNetworks、Fortinet等代表的传统安全厂商也正在积极转云,包括Paloaltonetworks的订阅及服务占比目前也已经超过了70%。
目前国内安全SaaS尚处在萌芽期,虽然许多头部安全厂商也推出了包括云抗D、云漏扫、云WAF、云网站监测等远程安全服务,包括奇安信、安恒信息、深信服、绿盟、启明等头部安全厂商都在安全SaaS领域做出了不同程度的探索,但目前在国内市场,安全SaaS在边界安全、终端安全以及身份安全等主要赛道上的渗透率还不到1%,绝大多数*企用户仍倾向于本地部署。我们预计,在未来3-5年,随着IT基础架构的不断演变,国内安全产业的云化进程有望加速,安全SaaS将从萌芽期逐渐走向成长期。
2安全咨询
2.1什么是安全咨询
什么是安全咨询?Gartner将安全咨询分为三大类别,分别为治理、策略和评估(Governance,Strategy,Assessment)、业务操作(Operations)、事件与法律响应(IncidentandLegalResponse)服务。
1)治理、策略和评估(Governance,Strategy,Assessment)主要包括安全框架设计、安全策略及安全风险评估,并提供相应的解决方案;
2)业务操作(Operations)针对企业用户配置安全、设备安全、应用安全,以及在应对安全事故时提供技术支持,主要包括了威胁检测、渗透测试、漏洞扫描、代码检测等相关技术服务;
3)事件与法律响应(IncidentandLegalResponse)服务主要协助用户搜集与网络安全事故相关的法律证据,对事件的原因进行调查和分析,并提供业务恢复和法律诉讼相关的服务。
全球安全咨询市场总规模在年达到了亿美元,约占网络安全整体规模的20%,是网络安全行业最大的赛道之一。安全咨询作为一个较为成熟的行业,近年来一直保持着平稳的增长,驱动安全咨询行业的主要因素来自于安全事件和安全*策。在及年,安全咨询行业增速高达9.2%及13.7%,相较之前几年增速有明显的提升,主要原因是欧盟《通用数据保护条例》(GDPR)的出台。GDPR规定,任何存储或者处置欧盟有关公民个人信息的公司,即使在欧盟境内没有业务,都必须遵守GDPR。而许多跨国企业都因触犯GDPR而面临巨额罚单,比如英国航空公司因年的数据泄露而面临近2亿欧元的罚款,万豪集团同样因为客户数据泄露被开出1.2亿美元的罚单。GDPR作为有史以来处罚力度最大、覆盖范围最广的条例,直接带动了从到年全球安全咨询业务需求的快速增长。因此也能看出,即使在全球范围内,网络安全依然是一个强合规的市场。
北美和欧洲两大成熟市场占据全球安全咨询行业绝大部分的份额,包括中国大陆在内的新兴市场则展现出强劲的增长态势。根据Gartner的统计数据,目前北美是全球规模最大的安全咨询市场,年占比达44.8%,其次是西欧,占比为31.3%。而大中华市场(包括中国大陆、香港、澳门、台湾等)占比仅4%。虽然除了北美和欧洲之外全球其他区域安全咨询行业市场规模仍然偏低,但目前许多新兴市场也正保持着快速增长的趋势,年大中华区安全咨询行业增速达到20.7%,领跑全球其他国家和地区。
2.2安全咨询的竞争格局及发展趋势
安全咨询行业的头部效应非常明显,安全咨询行业的“Top6”,包括四大咨询公司德勤、安永,普华永道和毕马威,以及两大IT服务商IBM和埃森哲合计占据安全咨询行业一半以上的市场份额。德勤、安永,普华永道和毕马威一直以来都稳定占据安全咨询行业前四的位置。根据Gartner统计数据,在年德勤安全咨询业务收入达29亿美金,持续多年排名行业第一,而安永,普华永道和毕马威则分别保持第二,第三和第四的位置,安全咨询收入分别为22亿、21亿及15亿美金。紧随“四大”之后的是两大IT服务巨头IBM及埃森哲,其中埃森哲在年首次超越了IBM,成为了全球第五大安全咨询厂商。除“Top6”外,其他头部厂商还有IT咨询公司凯捷、DXC,IT分销商Optiv、托管安全服务提供商Secureworks,国防外包供应商BoozAllen等。此外,全球安全咨询行业还存在数千家中小型和区域型的安全服务厂商,包括咨询公司/外包商/集成商/分销商/MSSP都是全球安全咨询行业的参与者,但总体而言,其他厂商无论在规模和竞争力上要明显逊色于“Top6”。
德勤、安永,普华永道和毕马威四大咨询公司持续多年占据安全咨询行业前四的位置,一方面得益于四大在全球范围内的品牌影响力和全球化的业务布局,另一方面作为顶级咨询公司,四大拥有强大的咨询服务能力和垂直行业经验,能够将安全咨询作为整体方案的一部分提供给用户。
紧随四大之后的是两大IT服务厂商埃森哲和IBM,相较于四大,埃森哲和IBM在ICT产业有着更深入的行业布局和更强大的技术实力,更能够向客户提供包括安全咨询、安全运营、系统集成、安全外包在内的端到端的网络安全及IT服务。
近年来头部安全咨询厂商在网络安全领域的并购步伐开始显著加快,背后的原因是客户对端到端的安全服务的需求在不断增加。对安全咨询的“TOP6”而言,一方面相较于原有的审计、IT服务等业务,安全服务市场具备更高景气度,通过并购一些新兴的安全厂商能够加强自身的安全技术能力,以持续拓展具备更高价值的安全咨询业务,比如运营技术/物联网(OT/IoT)的安全测试,云安全评估或OT环境的事件响应,而不仅仅是合规审计,配置评估等传统的安全咨询业务;另一方面通过并购能够完善对安全服务全产品线的布局,包括“四大”目前的业务也早已不局限在安全咨询领域,其在安全运营服务等领域都已经进行了深度布局。
安全咨询行业的集中度正在稳步提升。在安全咨询行业,头部厂商因为其品牌影响力,跨业务的协同能力,领先的技术实力等因素,往往成为大中型客户的首选。而且近年来随着头部厂商不断加大了对于这一赛道的投入,包括对中小型安全厂商的收购,填补了业务范围和地域覆盖上的短板,因此带来了份额的持续提升。根据Gartner的数据,安全咨询行业的CR5从年的42.7%提升到了年的44.7%,CR10从年的52.6%提升到了年的58.6%。与此同时,因为安全咨询对于安全服务人员的本地和现场服务有较高的要求,实现真正的全球化布局即使对于头部厂商而言也存在很大的挑战。而且头部厂商虽然在综合能力上有所领先,但也难以在所有的客户和项目上都能保持足够的资源投入,因此未来在安全咨询市场中小规模的安全服务商依然有其生存空间。
2.3德勤:全球安全咨询行业龙头
德勤咨询是全球咨询行业龙头,持续多年收入体量保持在全球第一的位置。相较于管理咨询领域的MBB(麦肯锡、波士顿、贝恩),IT咨询领域的埃森哲及IBM,德勤的咨询服务以综合性和全面性著称。
德勤的业务线共分为5大部分,分别为咨询(Consulting)、审计(Audit)、税务及法律(TaxLegal)、风险咨询(RiskAdvisory)和财务咨询(FinancialAdvisory),网络安全咨询(CyberRiskAdvisory)是德勤风险咨询业务最重要的组成部分。从德勤近年的发展情况来看,德勤的传统的审计业务目前已经非常成熟且稳定,根据德勤年财报,公司审计业务在年仅增长了3%,而咨询业务近年来的增速基本保持在10%以上,是德勤的重要增长引擎。其中德勤的风险咨询业务财年的收入达53亿美元,其中网络安全咨询占风险咨询业务的比重在60%左右,是风险咨询业务中最重要的组成部分。德勤的网络安全咨询与其风险咨询的其他四大板块,包括战略和声誉风险、监管风险、财务风险及运营风险咨询彼此相互关联,融合为完整的风险管理框架。
德勤在网络安全行业的布局早已不局限于安全咨询业务,目前德勤已经具备从安全咨询到安全实施及安全运营的端到端的安全服务能力。德勤的网络安全服务业务可分为安全战略(CyberStrategy)、安全防护(Secure)、安全预警(Vigilant)、安全响应及恢复(Resiliant)四大模块。
德勤近年来通过不断收购新兴安全厂商以强化自身在网络安全领域的技术能力及业务布局。年,德勤收购了独立MSSP及安全监控和网络威胁情报厂商Vigilant,作为IT咨询厂商正式进入了MSS(托管安全服务)市场;在年,德勤收购了加拿大托管安全服务市场的主要厂商之一Integrity-PaahiSolutions,同年德勤还收购了知名数字鉴识和电子取证服务公司I-AnalysisPte。在年德勤针对网络安全领域的并购活动较前几年有所放缓,但其业务增速仍然高达20%,内生增长的能力得以充分体现。年,德勤收购了网络安全公司ConvergingData,将其直接纳入到风险咨询框架下,并强化了在亚太地区市场的布局;年,德勤收购了安全厂商Zimbani,进一步加强了在澳洲和亚太地区的覆盖。
德勤强大的安全服务能力背后是其覆盖全球的网络情报中心(CyberIntelligenceCenters,CIC)。德勤目前在全球范围内拥有超过31个网络情报中心(CIC),其情报中心网络通过不断汇集关键威胁信息,对于了解潜在的安全威胁发挥了关键作用,同时德勤也会和其他第三方威胁情报方共享情报来提升风险识别的能力。基于网络情报中心(CIC),德勤能够向客户提供24x7x的托管安全服务、安全事件管理服务和威胁情报服务等。
德勤作为安全服务厂商,本身并不直接生产安全产品,但通过与全球多家领先的安全产品及技术提供商的深度合作,建立了强大的外部生态系统,联合生态合作伙伴向客户提供完整的网络安全解决方案。在安全领域,德勤的主要的合作伙伴中包括PaloAltoNetwork、Symantec等安全产品供应商,HP、Oracle、SAP等IT基础设施提供商,以及AWS等公有云厂商。
3托管安全服务(MSS)
3.1什么是MSSMSS(托管安全服务,ManagedSecurityService)
指安全厂商通过统一的安全运营平台为客户提供一系列安全服务,以满足企业对安全人员、技术和流程外包的需要。
托管安全服务(MSS)的主要职能在于支撑企业安全运营中心(SOC)有效运行。安全运营中心(SOC)并非简单由安全产品或工具组成,而是人员、工具、技术、场地、流程的有机结合。SOC通过集中统一管理安全工具,并且搜集所有IT资产的安全信息,不断监视和改善组织的安全状况,以及预防,检测,分析和响应企业所面临的网络安全事件。目前大部分中大型企业已经具备了基础的安全防护措施,包括防火墙,IDS/IPS,防病*,VPN等工具已经成为标配,因此搭建SOC,将安全工具进行统一管理的必要性也在逐渐提升。SOC的底层平台称为SIEM(安全信息和事件管理),SIEM的主要功能在于搜集来自企业内部所有IT资源的异构数据源的信息(包括日志,事件,流量、行为等),使用户对整个网络的运行状态进行实时监控和管理,并及时发布预警,提供快速响应能力。在国内安全行业习惯直接称SIEM为SOC或安全管理平台,实际上更加突出了SIEM作为安全运营中心底层支撑平台的功能。
一般情况下只有一些超大型企业会选择自建安全运营中心,并且能够持续有效运营,因为这类企业能够保证足够的IT安全预算和资源的投入,且对安全性和数据保护的要求非常严苛,因此对安全外包的选择上也会比较谨慎。对于大多数企业和*府机构而言,自建,实施,运行和维护24/7SOC的成本都会过高,而且在专业性和实际效果上会明显逊色于外部托管服务提供商(MSSP)。
首先从成本角度来看,构建SOC首先需要满足三个最核心的要素:人员,流程和技术,三者缺一不可。目前SOC功能也在不断扩展,现在一个全功能的SOC至少需要配置8至12名全职员工,包含了各级安全分析师,事件处置/调查人员,安全专家及经理,这还不包括人员流动及休假等特殊情况。除了人员之外,构建SOC还包括了流程的建设,比如人员如何实现有效协同,如何分配权限等等,而且对SIEM的实施和管理都需要IT资源的持续投入。构建一个完善的SOC至少需要耗费上百万美金,而且短期还不一定能见到明显成效。对于一个专业的MSSP而言,因为能够同时服务多个客户,具有一定的规模效应,因此能够降低向客户提供安全服务的成本。
其次从专业性上来看,大多数企业实施、管理和应用安全管理平台(安全信息和事件管理(SIEM))的门槛都非常高。目前主流的安全管理平台,比如LogRhythm的NextGenSIEM,IBM的QradarSIEM,Splunk的Analytics-DrivenSIEM,都会有合作的托管服务提供商(MSSP)来提供相应的运营服务,能够降低企业的实施和使用的门槛,而且MSSP能够帮助企业用户以相对较低的成本来利用一些新兴的安全技术。托管安全服务的另一个好处在于,企业自身的IT团队是很难实现24/7的安全检测,而对于像IBM这类大型MSSP,他们的SOC都是分布在全球各个地区,能够横跨多个时区,轮流传递工作任务,真正实现24/7的全时间段覆盖。
因此全球范围内大多数企业通过与外部托管服务提供商(MSSP)合作,将自身的安全运营流程、人员、技术外包,已经成为了非常主流的选择。在采购MSS服务后,企业仅需要搭建一些基础的功能如LM(日志管理),即可通过采购MSS+MDR服务来构建SOC,或者企业在本地部署SIEM,但采购第三方的SIEM管理服务(Co-managedSIEM)模式,让第三方来构建和运行SOC。托管安全服务供应商作为企业安全团队的延伸,能够帮助企业搭建更加成熟的网络安全体系,减轻安全运营团队的工作压力,使其更加专注于自身的核心业务。
MSS作为百亿美金级的大赛道,近年来基本维持在10%以上的快速增长。IDC、Gartner两大机构对MSS的口径存在一定差异,其中Gartner对MSS有非常严格的定义,即MSSP必须通过统一的平台进行远程交付,且具备明显的多租户特征,对于一对一的定制化的模式,比如利用客户自己的SIEM解决方案交付的托管的SIEM服务则不包含在内,可以看做狭义的MSS。相较而言,IDC所定义的MSS的范围更加宽泛。根据IDC的口径,MSS年的市场规模达到亿美金(Gartner的口径下年MSS市场规模为亿美元)。
在欧美MSS市场已经形成了非常成熟的定价和交付模式,安全服务商通过服务等级协议(SLA,service-levelagreements),能够量化所交付的MSS的等级和质量。标准且清晰的行业规范和定价模式是支撑MSS持续发展的重要基础。托管安全服务提供商根据不同等级的SLA提供不同级别的服务,定价基准包括安全设备数量和规模、数据量、端点数量、员工数量、事件数量等,并且根据平均检测时间、平均响应时间、平均报告时间等要求制定服务等级。企业客户也会评估SLA的报价,对自身的可承受风险和成本进行权衡取舍,确定是否可以接受较低等级的服务,因此一般更昂贵的服务具有更短的响应时间和更高的服务质量。而在违反了约定的SLA时,服务提供商也将按照合同要求提供相应的额外服务或罚款。除了供需双方量化服务等级的要求之外,合规要求也是驱动SLA不断完善的重要因素,比如通用数据保护法规(GDPR)和支付卡(PCI)行业标准中都包含了SLA相应的规范要求。
从定价情况看,以全球知名的安全服务商AlertLogic为例,AlertLogic针对客户提供基于SIEM的远程安全运营服务,包含了Essentials,Professional和Enterprise三条业务线,覆盖从中型企业到大型全球化跨国企业的一系列客户,公司针对这三类业务的定价参考(实际价格会根据SLA有所调整)为:Essential主要包括漏洞管理和资产可视化等一些基础服务,价格在美元/月;Professional在Essential的基础上增加了安全威胁监测和事件管理等服务,价格在美元/月;Enterprise在Professional基础上增加了托管WAF或SOC等服务,价格为4美元/月。
3.2MSS的竞争格局及发展趋势MSS
市场整体竞争格局较为分散,全球前十的MSSP市场份额合计为32.6%,前二十的MSSP市场份额为47.2%,跟安全咨询相比,MSS的集中度偏低。在MSS市场头部的厂商中,前二十大厂商仅Symantec,Trustwave是独立安全厂商,占主导的一类是IT服务商,包括IT咨询厂商、IT外包服务商,主要有IBM、埃森哲、Atos、DXCTechnology、Wipro、HCL、凯捷等,另一类是电信运营商,包括ATT、NTT、BT、Verison、DT等。无论是IT服务商还是电信运营商,均将MSS业务作为其IT整体解决方案的一部分向用户提供。MSS行业集中度偏低的原因一方面在于,MSS的业务模式已经非常成熟,且随着安全编排和自动化等技术的不断发展,MSS中包括安全事件监控等基础业务变得逐渐标准化和同质化,门槛也有所下降,导致行业参与方在不断增加。全球来看绝大多数的大型电信公司,IT外包商(ITO)和系统集成商(SI)都有涉及MSS的一些基础业务,而且许多企业因为各种原因,更愿意向综合型IT服务厂商采购一揽子服务,而非向专业MSSP进行采购;另一方面在许多国家和地区,受限于一些数据本地化相关的法律合规要求,用户只能向本地服务商进行采购。因此相较于安全咨询,MSS厂商在全球化布局上会遇到更多的限制。
早期头部MSSP通过不断并购整合来完善产品线和区域覆盖能力,目前全球MSS市场竞争格局逐渐趋于稳定。从MSS行业的发展历程来看,MSS在上世纪90年代末开始萌芽,并在年前后行业开始整合,大型的IT服务商和电信运营商包括IBM、Verizon、BT、HP、NTT开始收购垂直领域的安全厂商。到年,MSS市场逐渐从北美向全球其他区域拓展,Secureworks,Verizon,Symantec开始确立自己的领导地位,而随后IBM和AT&T凭借综合型IT服务厂商的优势逐渐赶超并且成为了行业份额排名前二的厂商,独立的MSS厂商随着市场不断的整合数量越来越少。目前来看MSS的竞争格局已经非常稳固,在最近几年内,大部分场的市场份额也一直相对停滞,大多在0.1%和0.2%之间波动。
随着安全技术的发展和安全形势的变化,MSS在近年来也正在向更高层次不断演进。早期MSS主要是针对一线安全人员的基础安全运营工作,包括防火墙、入侵检测等安全工具的管理和配置等,主要处置设备管理和合规问题。随着安全技术的不断进步,MSS也开始向安全信息与事件管理系统(SIEM)的管理,7x24小时的持续监控和告警等服务演进,以提供安全分析、情报、响应、编排的闭环服务为主。目前MSS正在向高级行为分析、大数据分析、托管检测与响应(MDR)、威胁情报、威胁狩猎等新兴领域不断发展。
随着传统的MSS市场整体增长趋缓,以托管检测及响应(MDR)为代表的新兴MSS业务正在快速兴起。根据Gartner的统计,新兴MSS服务(包括MDR,IaaS、SaaS、Iot、OT等新型IT环境下的安全监测,以及托管的网络流量分析及威胁情报等服务)在整体MSS市场的占比达到了11%,其中占主导的是托管检测及响应(MDR)服务,年均增长在20%以上,目前渗透率还不到5%。相较于传统的MSS服务,MDR能够为用户提供更深入更全面的安全服务,并和EDR(端点检测与响应)等新兴技术相互融合,进一步增强了安全威胁检测和响应的能力。随着用户对MDR需求的不断增加,专业安全厂商在安全服务市场相较于综合型厂商的竞争力也有所增强,目前MDR服务的大部分提供者都是专业安全厂商。
为什么MDR能够成为全球托管安全服务行业的重要趋势,主要原因在于MDR能够有效应对传统MSS在威胁检测和响应能力上存在的不足。MSS业务重点在日志管理和设备管理上,而MDR的侧重点在威胁检测和响应上,会采取更主动的方法来检测安全事件。MDR充分利用客户部署在端点及网络层的工具,通过行为分析,网络流量分析,威胁情报以及与安全专家的组合,为客户提供更加深度和全面的威胁监视,检测和响应的服务,而不像MSS主要依靠客户现有安全工具生成的日志来监视和检测威胁。因此MDR非常适用于许多安全框架不完善以及内部IT安全资源投入不足的企业。
3.3IBM:网络安全行业的蓝色巨人
IBM作为全球知名的信息技术产业巨头,以“蓝色巨人”之名享誉全球。在网络安全产业,IBM同样有着非常独特的地位。在年底Symantec的企业安全业务被博通收购之后,从收入规模来看,IBM正式成为了全球规模最大的网络安全厂商,而且能够同时在安全产品市场和安全服务市场均占据头部位置。
在网络安全行业,IBM借助自身强大的品牌影响力,全球化的布局和完整的安全产品线,能够向客户提供完整的IT及网络安全解决方案,同时IBM分布在全球的运营中心和情报网络也是其网络安全业务的重要支撑。IBM在全球拥有5个全天候运行的X-Force指挥中心,以及4个非24/7的SOC,分布在美国的乔治亚州和科罗拉多州,欧洲的波兰和比利时,印度班加罗尔、哥斯达黎加爱雷迪雅、巴西霍托兰达、以及日本东京等地。这些SOC能够向客户提供多种语言的支持,例如英语、西班牙语、葡萄牙语和日语,向分布在全球个国家和地区的客户提供本土化语言支持。根据IBM与许多客户的协议,SOC会将客户在运营中遇到的安全事件共享到X-Force平台,这形成了IBM安全大数据的来源,同时再通过IBM的9大安全运营中心共多名网络安全专家,每天对亿以上的安全事件进行梳理。IBM遍步全球的9个SOC,12个安全研究中心及14个安全开发实验室构建了全球顶尖的网络安全服务交付平台和情报网络。
以IBM位于波兰弗罗茨瓦夫X-Force中心为例。IBM的波兰弗罗茨瓦夫中心在年6月正式启动,雇用了超过名网络安全专家,与亚特兰大和哥斯达黎加的SOC并列为IBM的前三大的X-Force中心。弗罗茨瓦夫中心完全遵从欧盟的相关法规交付安全服务,客户数据驻留不会超出欧盟所要求的范围,主要任务是支持客户应对网络安全事件,以应对GDPR法规并提供专业服务,并充当IBM全球网络中心的枢纽。弗罗茨瓦夫的中心与其他八个IBMX-Force指挥中心通过全球网络相连,每个月平均处理一万亿次网络事件,覆盖来自个国家/地区的客户,构建了IBM的全球网络安全情报网络和交付平台。除了情报及服务交付之外,IBM的X-Force中心还承担了安全培训、安全研究等相关的职能。
IBM的安全服务业务基于IBM的“安全大脑”QRadarSIEM平台,能够为用户提供全生命周期的安全管理服务。无论客户是需要共享多租户服务,本地服务,还是混合服务,都可以通过QRadar对整个客户群进行统一管理。除了IBM自己的QRadar平台服务之外,IBM还能够支持多种其他SIEM平台,包括Splunk和ArcSight的SIEM平台。IBM主要MSS业务还包括漏洞评估和管理服务,事件响应和情报服务(IRIS),以及综合威胁管理服务(XFTM),而且IBM的认知计算系统Watson也会服务于网络安全业务,以增强IBM的MSS能力。此外,IBM的X-Force的平台整合了強大的合作伙伴生态体系,包含了CarbonBlack、Crowdstrike、Cisco、PaloAltoNetworks、Fortinet、Checkpoint等顶级安全厂商,为用户提供全生命周期的安全服务。
4安全即服务(SECaaS)
4.1什么是SECaaS
随着企业的IT基础架构及安全架构逐渐向云上迁移,安全即服务(SECaaS,SecurityasaService)正在成为全球网络安全行业近年来最重要的产业趋势,引领了行业商业模式的变革。
在SECaaS模式下,安全能力集中托管在云上,基于多租户架构,以云服务的方式向用户动态分配安全资源。相比本地部署的安全架构,SECaaS在节约成本、弹性部署、释放资源和提升能力等多个方面具备明显的优势。
1)节约成本:SECaaS无需内部硬件或庞大预算即可集成安全服务,仅在需要时才支付所需的费用,而且基于云的安全产品和服务还可以避免用户对昂贵的安全专家的需求;
2)弹性部署:SECaaS的另一大优势就是能够大幅减少产品部署的时间和成本,用户可以按需购买所需的安全资源,且能够动态扩展到平台所提供的其他安全功能模块;
3)释放资源:SECaaS简化了企业内部IT与安全团队之间的工作,将安全解决方案的部署、配置、维护、更新和管理纳入到云安全厂商的业务范畴,让内部团队可以专注于更具战略意义的业务;
4)提升能力:SECaaS厂商能够将其所覆盖的每台服务器、PC及其他设备纳入自身的情报网络,在云端安全实时动态更新病*库和特征库,向用户提供更强大的威胁情报和安全专家服务。
全球范围来看,SECaaS已经度过了萌芽期,目前正处于快速成长期。根据IDC的数据,年全球SECaaS的市场规模已经达到了93亿美金,同比增长18%,增速明显高于全球网络安全行业的平均水平。从各个细分赛道的规模来看,AIRO(分析、情报、响应、编排,主要包含SIEM和威胁情报等产品)是目前SECaaS领域最大的细分市场,规模达到27亿美金,一定程度上得益于SIEM及威胁情报相关服务天然适合于通过云的方式进行交付,其次为身份与访问管理(IAM)及终端安全市场(EndpointSecurity),规模分别为21亿及18亿美金。从成长性来看,终端安全SaaS的增速排名第一,是各个细分赛道上云速度最快的一个,其次为Web安全及AIRO。与此同时,网络边界安全(NetworkSecurity)作为网络安全行业规模最大的细分赛道,目前SECaaS的应用要滞后于终端安全和身份安全市场。虽然安全Web网关及WAF的云化程度已经较高,但是网络边界安全市场最大的赛道防火墙,受限于大流量高并发场景及内部隔离等场景对本地部署的刚性需求,其云化的难度要显著高于其他的赛道。
SECaaS与托管安全服务(MSS)及云安全(CloudSecurity)存在非常显著的区别:
1)SECaaS与MSS的区别在于:MSS更多是针对企业本地部署的安全工具,比如针对防火墙、入侵防御系统、SIEM等提供安全监控、安全管理等服务,在某些情况下,托管安全服务提供商(MSSP)可能成为SECaaS厂商的下游客户,即MSSP可以将SECaaS作为整体解决方案的一部分提供给最终企业客户。而在SECaaS模式下,安全资源和数据都是集中托管在云上的;
2)SECaaS与云安全的区别在于:云安全指针对云上IT资源进行保护的安全解决方案,云上资源包括了公有云、私有云、混合云及SaaS应用,而云安全解决方案可以部署在本地,也可以通过SECaaS的方式进行交付,而SECaaS则必须基于云和订阅的方式进行交付,可用于保护云上IT资源,也可用于保护本地的IT系统。
4.2SECaaS的竞争格局及发展趋势
SECaaS正在驱动全球网络安全行业竞争格局的变化,以Okta、Crowdstrike、Zscaler为代表的新兴SECaaS厂商正持续替代老牌安全厂商的市场份额,并且分别成了IAM、终端安全、网络边界安全三个主要赛道上的主流玩家。Okta、Crowdstrike、Zscaler在IAM、终端安全、网络边界安全市场的份额均在迅速提升,特别是Crowdstrike近三年的复合增速达到%以上,是网络安全行业历史上增速最快的厂商之一。在快速成长的同时,三家公司目前分别进入了Gartner的AM(访问管理)、EPP(端点保护平台)、SWG(Web安全网关)魔力象限的“领导者”的象限,且基本上处于魔力象限的右上角位置,这也预示着它们在主流的安全市场也已经成为了行业的领导者。
Okta是身份与访问管理(IAM)领域的云原生安全SaaS厂商,公司市值为亿美金(年2月18日),是全球市值第三大的独立安全公司。Okta于9年创立于美国旧金山,两位创始人均来自于全球SaaS鼻祖Salesforce。从创立初始,Okta便围绕企业在上云过程中,传统的身份与访问管理逐渐失效这一问题,进而打造了身份云——OktaIdentityCloud,来解决混合环境下的企业的身份与访问管理问题。在年,Gartner首次发布了身份与访问管理即服务(IDaaS)魔力象限,Okta作为一家成立仅5年的新兴安全厂商,即进入了IDaaS领导者(leaders)象限。随后Okta在年首次进入了Gartner访问管理(AM)魔力象限,且在-连续三年保持在“领导者(leaders)”位置,且从前瞻性以及执行力两大维度来看,Okta优势还在不断扩大。财年Okta收入达到5.9亿美金,同比增长47%。
Okta的身份云实际上针对的是随着企业SaaS应用不断增加,而传统的IAM工具难以有效应对新型IT环境下的身份与访问管理所产生的问题。Okta最核心的模块是单点登录系统(SSO,SingleSignOn),能够让用户通过Okta的Web门户仅进行一次身份认证,即可获得系统中其他云上SaaS应用及本地应用程序的访问权限,这一方面解决了过去企业员工需要创建多个密码,来访问不同的应用,进而带来的账号密码管理相关的安全风险;另一方面企业安全管理人员也能够通过Okta的身份云平台对所有内部和外部的应用及访问人员统一进行身份与访问管理。Okta的身份云将数千个SaaS应用预集成在云端,IT管理员仅需做简单的设置即可完成部署,而不必针对每个应用程序的API及协议再进行定制化开发。因此,Okta提供给用户的实际上是已经将所有技术细节封装好的身份云服务,能够有效降低企业对于身份与访问管理相关的IT资源投入。
CrowdStrike是全球知名的终端安全SaaS厂商。在成为全球市值最大的独立安全公司(亿美金,年2月18日)的同时,CrowdStrike也是美股增长最强劲(FY-复合增速%以上)和估值最高(PS-FY为倍)的网络安全公司。CrowdStrike凭借威胁情报和EDR(端点检测与响应)产品起家,EDR作为新兴的端点安全工具,是传统终端防病*产品的有效补充,能够有效监视终端的异常行为,捕获可疑数据进行分析、取证、调查及修复。CrowdStrike在通过EDR实现快速发展的同时,凭借云原生的端点安全平台,以及轻量级的端点安全方案,近年来不断替代老牌终端安全厂商迈克菲、赛门铁克的市场份额。目前CrowdStrike已经成为了终端安全行业的领导厂商,在年进入了Gartner魔力象限的领导者象限(Leaders),并且产品线正在从端点安全向身份安全、CWPP等领域不断横向拓展。
网络边界安全市场最具代表性的安全SaaS厂商是Zscaler,Zscaler基于直接到云(direct-to-cloud)的架构,构建了位于流量出发地和目的地之间的中间层,正在逐渐颠覆本地部署的边界安全架构。早期的企业网络架构以本地数据中心为访问的中心,随着企业对于云上应用和IT资源访问的不断增加,企业的网络环境也正在发生巨大变化:1)相比企业内网,员工更依赖开放的Internet来完成工作;2)相比本地应用,企业更多的使用Office、Salesforce、Workday等SaaS应用;3)相比本地数据中心,企业的工作负载和应用程序更多的托管在AWS、Azure等IaaS平台之上,而本地数据中心已经不再是用户访问的中心。与此同时,企业员工对于移动办公和远程办公的需求激增,办公地点不再局限于公司,家庭、机场、咖啡厅都成为了潜在的办公场景,而在这类混合环境下传统的网络边界安全防护机制正在逐渐失效。
Zscaler直接到云的架构(Direct-to-cloud)不仅改变了安全架构,也改变了企业的内部网络架构和对外部应用的访问方式。在部署了Zscaler的云之后,企业分支机构流量无需再流入总部统一执行安全策略,因此也无需依赖特定网络,包括MPLS专线租用以及VPN设备。通过Zscaler直接到云的架构,用户可以通过Internet连接到最近的Zscaler数据中心,以最短的路径到达云上应用程序或企业内部应用,实现了用户体验的大幅提升,并降低所需相关硬件设施及专线租用的投入。在Zscaler的方案部署完成后,为1个有名员工的企业和个均仅有1名员工的企业提供服务,在机制上完全无差异的,是真正的动态、弹性和多租户的云原生解决方案。
除了云原生的安全厂商之外,PaloAltoNetworks、Fortinet传统安全厂商也正在积极转云,并取得到了明显的成效。以PaloAltoNetworks(PANW)为例,PANW作为下一代防火墙的缔造者和行业龙头,目前正从过去的产品销售的模式向订阅服务和云服务全面转型,目前订阅及服务收入占比已经接近70%。PANW在年将自身的产品线重新划分成了三大方向,分别为Strata(企业安全),Prisma(云安全)和Cortex(未来安全),其中Prisma(云安全)和Cortex(未来安全)被PANW定义为Next-Gen(下一代)的业务线。如果将PANW的Next-Gen业务作一家独立的公司,那么它的体量和成长性完全可以与Okta、CrowdStrike和Zscaler三家SECaaS厂商媲美。PANW也对Next-Gen业务设定了很高的增长目标,公司预计,到财年,PANW的Next-Gen业务线的Billings(考虑递延收入的口径)将达到17.5亿美元,占公司Billings的30%。这意味着未来两年Next-Gen业务线的平均增长率将达到45%以上。
4.3Crowdstrike:下一代端点安全平台
CrowdStrike作为全球知名的下一代端点安全厂商,其产品形态和交付模式跟赛门铁克、Macfee等传统终端安全厂商有非常显著的差异。CrowdStrike的端点安全方案由本地部署的轻量级代理与云端的Falcon安全平台两部分构成,CrowdStrike本地代理大小仅为10MB左右(赛门铁克在本地部署的终端安全方案约MB,McAfee约1GB),并且集成了安全检测功能(在断网情况仍能执行基础安全功能)以及数据过滤器(回传有效数据以减少带宽资源占用)两大模块,通过将端点数据回传到云端后执行安全策略,能够有效减少本地IT资源的占用。相较于传统的端点安全方案,CrowdStrike轻量级的端点安全方案具备三个方面的优势:
1)和其他SaaS产品类似,在敏捷性、易用性、可扩展性、定价灵活性等方面要明显优于本地部署的安全产品,特别是本地部署轻量级代理具备更强的伸缩性,能够显著缩短交付和部署的周期;
2)基于云原生架构能够实现安全功能的快速迭代,特别在网络安全这类技术变化非常快速的行业,安全能力的动态迭代是安全厂商真正的竞争壁垒;
3)云上的威胁情报网络具备很强的网络效应,只要在单个端点检测到了某个未知威胁,云端的威胁库将实时更新,进而CrowdStrike所覆盖的所有用户的所有端点能够实时提升应对未知威胁的能力。
目前CrowdStrike的主要竞争对手包括赛门铁克等也正逐渐将传统的基于本地部署的安全产品向云端迁移,但相比CrowdStrike云原生的方案,在功能模块的耦合性还有可扩展性等方面存在明显差距。轻量级代理展现出了强大的快速部署能力,CrowdStrike仅需要数周就能够完成超过10万级终端的大型企业的部署,并且能大幅降低企业后续管理和运维的成本。
CrowdStrike的Falcon平台目前已经为AWS、汇丰银行、凯越酒店集团、ADP有限公司、口袋妖怪国际等全球多家大型跨国集团提供了终端安全解决方案。CrowdStrike轻量级的代理能够快速部署及实施,在服务这类超大型客户时,能够在短时间内实现对十万级终端的快速覆盖。比如公司在数天内就部署了凯越酒店的超过4万个终端,12周内部署完成了汇丰银行的超过32万个终端,三个月时间在ADP公司8.5万台服务器上完成实施,且在快速部署的同时对客户现有的业务流程不造成太大影响。CrowdStrike的订阅用户数和销售收入保持高速增长,而且通过“低接触式”销售,能够加速对新用户的覆盖。公司早期客户群体主要以大中型企业为主,包括40%以上的全球财富强、前20家银行中的9家均是公司客户。近年公司通过免费试用、网络营销等低接触式销售加大了中小型公司的拓展力度。公司于年12月开始采用试用付费模式,为潜在客户提供15天免费试用FalconPrevent,年5月,公司在AWS上提供FalconPrevent的试用和购买。截至年1月31日,公司约三分之二的订阅客户是员工数少于0人的企业。年在疫情的驱动下,公司的订阅用户数和营业收入均实现了快速增长,截止年第三财季,公司的订阅用户数达到了个,同比增长了85%。
CrowdStrike的Falcon平台具备很强的可拓展性,用户仅需在本地部署一个代理,在订阅多个安全功能模块时无需额外的部署和实施的成本,因此CrowdStrike能够针对老客户不断增加终端数量和额外功能模块的交叉销售。大部分客户在刚接触到CrowdStrike的产品时,往往从EDR或者反病*等单一安全模块的采购开始,在一段时间后即转化为公司的“重度用户”,开始订阅威胁情报、威胁狩猎等其他安全模块。在FY18Q1仅有9%的用户订阅了4个及以上的云模块,而到了FY21Q3,这一占比提升到了61%,而且公司的净留存率持续保持在%以上。
CrowdStrike的威胁情报网络具备强大的网络效应。CrowdStrike部署在每个端点上的轻量级代理都是数据搜集器,只要在单点检测到未知威胁,云端的威胁库会实时更新,进而CrowdStrike所覆盖的所有用户的所有端点能够实时提升应对未知威胁的能力。而且覆盖的终端数量越多,所汇聚的威胁情报数据量越丰富,其终端用户所具备的安全防护能力也就越强大。公司目前每周通过分布在全球数百万的端点的数据搜集,处理、关联和分析超4万亿的安全事件。同时公司还会建立安全威胁和事件的索引,作为云端能力的一部分。本地轻量级代理通过机器学习和AI等算法收集和分析未经过滤的数据,对数据进行智能过滤以确保数据的高保真度,即只将威胁检测、预防和调查所需的数据传输云上,将端点的IT资源消耗降到最低,并显著降低网络带宽的占用。
此外CrowdStrike的威胁情报服务平台FalconX还汇集了威胁情报收集、分析、搜索、输出及溯源的完整产品线。FalconX包括:1)端点情报搜集:在Falcon平台发现并隔离的所有文件都将由FalconX自动调查;2)恶意程序分析:所有针对可疑文件的分析都将在Falcon沙箱中完成;3)恶意软件搜索:自动发现恶意程序相关联的威胁及运动轨迹,以防御在未来发生类似的攻击;4)定制威胁情报:FalconX与其他安全工具共享,以保护无法安装Falcon端点保护的系统的用户;5)威胁情报溯源及防御:了解威胁的幕后发起者,以及背后的商业背景和攻击方式,部署先发制人的安全策略。威胁情报显著增强了Falcon系列产品在端点的安全能力。虽然公司的终端安全产品在离线状态下也能够使用,且每个端点都具备基础的安全功能。但在接入到云端的威胁情报库后,根据Gartner等第三方的测评结果,其安全检测效果得到了大幅提升,凸显出公司威胁情报网络和安全大数据的有效性。
基于云原生架构,CrowdStrike能够实现安全功能的快速迭代,Falcon平台功能模块的不断增加带来了公司业务边界的持续扩张。CrowdStrike在年前后的产品线仅有威胁情报和EDR,在年前后,公司开始基于单一的EDR产品向多SKU多产品模块的体系发展,到年底已经推出了IT资产管理、漏洞管理、下一代防病*等十个彼此高度协同的云模块。目前Crowdstrike的Falcon平台上已经包含了17个模块,跨越IT运营,端点安全,托管安全服务,威胁情报和身份安全(通过收购PreemptSecurity)等领域,远远超出了单纯的端点安全的范畴,TAM已经达到了亿美金(端点安全市场TAM为84亿美金)。
详见报告原文。
(本文仅供参考,不代表我们的任何投资建议。如需使用相关信息,请参阅报告原文。)
精选报告来源:。