报告标题:《AI驱动网络安全供需提升,架构迭代引领行业变革——美股网络安全行业深度报告》
报告发布日期:2024年6月20日
分析师:付天姿CFAFRM(执业证书编号:S0930517040002)
联系人:宾特丽亚
股价表现和估值:23年美股主要网络安全公司的股价明显跑赢大盘,主要由估值抬升驱动,CrowdStrike、PaloAltoNetworks、Zscaler等公司股价表现强劲,截至24M4多数网络安全公司PS估值位于五年均值以下。
企业网络安全支出维持强劲。24年全球信息安全支出有望同比增长14.3%,增速较快的细分领域是云安全、数据隐私安全、基础设施保护。CIO调查显示,24年80%企业提高网络安全投资,网络安全在IT预算中的占比逐年提升。
生成式AI使网络安全攻防升级。网络攻击的门槛降低,23年网络攻击数量提升,社会工程攻击、Web应用程序攻击在生成式AI的帮助下更加容易。但AI也加强了网络安全工具的监测和应对能力:1)AI/ML技术强化威胁检测和安全保护能力;2)生成可视化安全日志;3)嵌入AI助手降低技术门槛。
网络安全产业链涵盖端点安全、网络监控、权限管理等环节。1)端点安全:包括威胁情报和识别、安全评估与风险管理、防御技术部署等;2)网络监控:包括云安全、安全信息和事件管理等;3)权限管理:包括身份和访问管理、数据隐私保护等;4)其他:包括应急响应和事故处理、安全培训、合规等。
端点安全:微软和CrowdStrike双寡头基本形成。端点安全旨在保护接入网络的设备,主要分为EPP、EDR、XDR三种类型。22年全球端点安全市占率前二的微软、CrowdStrike市场份额分别为19%、15%,整体呈现供应商整合趋势,两家公司在第三方竞争格局和安全技术评估中整体领先其他公司。
云安全:云发展带来网络安全架构变革,竞争格局尚不稳定。云安全解决方案主要分为CNAPP、CWPP、CSPM等类型,TrendMicro、PaloAltoNetworks为龙头企业,相比端点安全市场更为分散,CrowdStrike技术评估较为领先。
身份和访问管理/安全信息和事件管理:市场成熟,竞争格局稳定。身份和访问管理市场规模24-32年CAGR有望达到13.2%,龙头为Okta、微软;安全信息和事件管理市场规模24-29年CAGR有望达到17.1%。
安全访问服务边缘(SASE):高速发展的新兴网络安全架构。随着边缘计算、云服务和混合网络的兴起,SASE架构可以解决传统架构的复杂性和延迟性问题。SASE的核心技术包括边缘计算、零信任网络访问等。Netskope、Zscaler、PaloAltoNetworks是安全服务边缘(SSE)行业领导者。
风险提示:行业竞争加剧风险、AI技术发展不及预期、行业政策风险。
【投资聚焦】
生成式AI使网络安全攻防升级。生成式AI使网络攻击的门槛降低,全球网络攻击数量增多、效率提升。同时,生成式AI赋能网络安全解决方案,提升企业应对网络攻击的能力,主要手段包括:1)AI/ML技术强化威胁检测和安全保护能力;2)生成可视化安全日志;3)嵌入AI助手降低技术门槛。
我们的创新之处
美股网络安全行业以SaaS服务为主,供应商数量多、各具特色,针对不同的细分领域提供差异化的服务。因此,我们在行业分析中加入了详细的公司横向对比,梳理网络安全产业链的各个环节,对于每个产业链环节的竞争格局进行深入分析,从产品阵营、技术评估、AI集成等方面分析龙头企业的竞争优势。例如,我们深入研究了端点安全领域15家供应商,分析每家公司的差异化服务、技术优势、产品优势以及潜在的风险和挑战。
此外,我们将行业发展历程和产业内在规律结合起来,论证网络安全产业如何持续发展、不断焕发新的生命力。例如,端点安全从传统的本地部署转向云原生平台和SaaS服务,云服务、物联网的发展以及远程办公需求的提升,促使了云安全、安全访问服务边缘等全新安全架构的诞生。
股价上涨的催化因素
长期催化因素:生成式AI的快速发展对数据治理和隐私保护提出了更高的要求,网络安全环境的变化有望催生网络安全架构的转型,形成行业市场规模的第二成长曲线,类似SASE、零信任等网络安全新概念可能逐步涌现。
投资观点
【正文内容】
1、美股网络安全公司23年股价表现强劲,主要受估值增长驱动
1.123年美股网络安全公司股价明显跑赢大盘
2023年美股软件公司中,网络安全公司市值涨幅居前。2023年标普北美技术软件指数市值上涨54.2%,大幅跑赢标普500指数,标普北美技术软件指数成分股中15家网络安全公司总市值涨幅为77.0%。CrowdStrike、PaloAltoNetworks、Zscaler、Varonis、SentinelOne等网络安全公司股价涨幅均明显跑赢标普北美技术软件指数。
23年多数网络安全公司股价集中在23Q4上涨。23Q1-23Q2美股软件公司股价主要受生成式AI投资情绪提振,23Q3因美债收益率上升、CPI数据高于预期等利空因素影响而承压,23Q4随着美债收益率下降、市场降息预期强化而上涨。标普北美技术软件指数中:1)CrowdStrike、Zscaler、Varonis、SentinelOne、Qualys五家公司在23Q4期间股价涨幅相对其他季度更高,主要受到业绩强劲、降息预期强化等因素的影响;2)PaloAltoNetworks、N-able、Tenable、Fortinet四家公司在23Q1或23Q2期间股价涨幅相对其他季度更高,主要受到生成式AI投资热点的驱动。
24年以来股价表现优异的公司与23年有一定的差异。标普北美技术软件指数成分股中,23年股价涨幅跑赢标普北美技术软件指数的网络安全公司共有8家;24Q1标普北美技术软件指数中股价涨幅前三的网络安全公司为CrowdStrike、Zscaler、PaloAltoNetworks,涨幅分别达到53.1%、29.9%、24.4%,24Q2以来(截至6月17日)CrowdStrike股价小幅回调,Zscaler、PaloAltoNetworks股价继续强势上涨。标普北美技术软件指数以外的美股网络安全公司中,仅SyberArk在23年和24年以来均跑赢标普北美技术软件指数。主营业务为硬件响应和事故处理的Everbridge虽然在23年股价下跌,但24年至今股价强劲增长52.7%,明显领先于其他网络安全公司。
网络安全公司股价上涨主要由估值抬升驱动。23年美股主要网络安全公司中,年底相较于年初Forward12个月营收预期提升最明显的公司是Zscaler、CrowdStrike和SentinelOne,分别为36.1%、33.7%、30.1%,其余网络安全公司的Forward12个月营收预期多数为正增长,仅Genasys下降4.2%。整体来看,23年美股网络安全公司的市值增长主要驱动力是估值的提升,PaloAlto、CrowdStrike、Varonis的23年PS-NTM估值分别提升89.0%、87.4%、84.2%。
1.2网络安全公司PS-NTM多数位于五年均值以下
2023年股价涨幅居前的网络安全公司PS-NTM多处于低位。截至2024年6月17日,标普北美技术软件指数中15家网络安全公司中,PaloAltoNetworks、CrowdStrike、A10Networks、N-able的PS-NTM估值高于五年平均水平,Rapid7、Everbridge、Zscaler的PS-NTM估值位于五年平均水平的50%以下。
2、生成式AI驱动网络安全供需增长,企业网络安全预算占比上升
2.1全球信息安全和风险管理支出规模稳健增长
2024年全球信息安全和风险管理支出有望达到2149.5亿美元。根据Gartner统计和预测,2019年-2024年全球信息安全支出同比增速呈上升趋势,2024年有望达到2149.5亿美元,同比增长14.3%。在细分领域中,安全服务、基础设施保护、网络安全设备支出占比最高,2024年有望分别达到41.9%、15.5%、11.3%。生成式AI使得网络攻击的门槛降低,同时也加强了网络安全工具的监测和应对能力,有望在供需两侧同时促进全球信息安全支出的增长;同时,24年全球主要国家大选、地缘政治冲突升级等因素也为信息安全提出了更高的要求。
2022-2024E增速较快的细分领域是云安全、数据隐私和安全、基础设施保护。根据Gartner统计和预测,2024年云安全、数据隐私、数据安全、基础设施保护的用户支出同比增速有望达到24.7%、24.5%、17.4%、17.5%。
1)云安全:24年全球云服务行业有望从周期底部复苏,提升云安全的需求。根据Gartner预测,2024年云访问安全代理软件(CASB)和云工作负载保护平台(CWPP)总支出将达到70亿美元,同比增长24.7%;基于云的检测和响应解决方案,如端点检测和响应(EDR)和托管检测和响应(MDR)的需求也将增加。
3)基础设施保护:基础设施保护在全球信息安全支出中的占比仅次于安全服务,兼具较高的市场份额和较快的增长率。作为网络安全的核心,基础设施保护对于国家战略安全和私营部门信息安全都具有十分重要的意义。
2.2美国网络安全政策发展历程
23M3美国政府发布《国家网络安全战略》,旨在构建安全稳固的数字生态系统。该战略强调政府必须协调使用所有国家力量工具来保护国家安全、公共安全和经济繁荣,并围绕五大支柱构建合作:捍卫关键基础设施、破坏和摧毁威胁行为者、塑造市场力量以提高弹性、投资于下一代技术、建立国际伙伴关系
2.3生成式AI的快速发展使网络安全攻防升级
不同网络安全攻击类型受生成式AI影响程度不同,其中社会工程攻击、Web应用程序攻击在生成式AI的帮助下变得更加容易。社会工程攻击主要指通过欺诈的方式诱骗他人泄露信息,如钓鱼电子邮件、钓鱼网站等,其技术门槛较低,生成式AI驱动的自然语言编程工具可轻松胜任。例如,Zscaler报告中展示使用ChatGPT创建钓鱼网页只需七次Prompt。Web应用程序攻击主要指针对在Web服务器上运行的程序和软件的攻击,生成式AI可以更高效地发现漏洞并快速生成定制化的攻击脚本,并且由AI生成的恶意代码更加灵活多变,使得攻击行为更难被标准的入侵检测系统和入侵防御系统检测到。
表5:不同网络攻击类型受生成式AI影响程度的分析
生成式AI赋能网络安全解决方案,提升企业应对网络攻击的能力。23年以来网络安全公司陆续推出生成式AI驱动的功能,主要包含以下几方面能力:1)AI/ML技术强化威胁检测和安全保护能力:AI技术融入网络安全产品体验,技术壁垒主要在于各公司积累的安全日志和响应数据。2)生成可视化安全日志:对公司网络安全状况进行分析,生成可视化、可交互的安全日志,帮助员工快速了解公司安全漏洞,生成定制化的应对方案。3)AI聊天机器人助手:将聊天机器人嵌入网络安全云原生平台,使用自然语言交互降低安全员的技术门槛。
2.424年网络安全成为企业IT预算的首选
2024年企业普遍增加网络安全支出。根据Gartner,由于云支出激增,全球范围内企业的软件和IT服务支出将在2024年实现两位数的增长。Gartner预计,2024年全球公有云服务支出将同比增长20.4%,增长主要来自云供应商的价格上涨和云工作负载的提高。网络安全是软件和IT服务支出增长的另一个重要驱动力,根据IANS安全预算基准报告,2020-2023年网络安全预算在企业IT预算中所占的比例从8.6%逐步上升至11.6%。
云技术产业模块变革推动下,网络安全和风险管理支出普遍预测高增长。根据Gartner,2024年全球安全和风险管理支出预计将增长14.3%,总额为2150亿美元,显著高于2023年的1881亿美元。这种增长的推动因素包括云技术的持续采用、混合劳动力的持续存在、生成式人工智能的快速发展以及不断变化的监管环境,迫使安全和风险管理(SRM)领导者增加在该领域的支出,同时采用技术安全功能,在整个组织的数字生态系统中提供更高的可见性和响应能力,该方法旨在重组安全操作,兼顾安全性和敏捷性。
随着技术的发展和网络威胁的增加,企业越来越重视网络安全的投资。根据Gartner统计,首席信息官(CIO)在2024年技术投资的首要领域包括网络安全、数据分析和云平台。网络安全领域层面,受访者对2024年的投资预期呈上升趋势,有80%的受访者预计会增加投资,只有1%的受访者预计会减少投资,大多数受访者认为网络安全领域的投资将增加。
3、网络安全产业链环节各司其职,应对不断变化的信息环境
3.1网络安全产业链涵盖端点安全、网络监控、权限管理等环节
端点安全主要分为三个环节:1)威胁情报和识别:收集和分析有关网络威胁的信息,帮助组织预防可能的安全事件;2)安全评估与风险管理:识别潜在漏洞和风险,制定风险管理策略;3)防御技术部署:基于评估结果,部署相应的防御技术和措施,以防止安全威胁。
网络监控的具体形式包括:1)云安全:帮助企业保护云上数据和应用;2)网络监控与管理:持续监控网络活动,及时发现和响应异常事件。
应急响应和事故处理:当安全事件发生时,迅速响应以减轻影响。此外,安全培训和意识提升、网络安全合规与标准也是产业链的重要环节。
多数网络安全供应商提供综合性网络安全服务,但在业务上各有侧重。例如,端点安全业务包含威胁情报与识别、安全评估与风险管理、防御技术部署等多个产业链环节,代表公司包括传统网络安全公司Trellix、提供综合安全服务的微软、端点安全SaaS供应商CrowdStrike,侧重于安全访问服务边缘和零信任的Zscaler,侧重于网络安全硬件的CheckPoint、Fortinet,侧重于Web应用安全的Cloudflare,侧重于安全评估和风险管理的Tenable和Qualys等。
身份和访问管理、网络监控与管理、数据安全与隐私保护、三个产业链环节相对独立,分别有不同的龙头公司。身份访问管理(IAM)的代表公司主要包括Okta、微软、ForgeRock、PingIdentity等,安全信息和事件管理(SIEM)的代表公司主要包括Exabeam、Securonix、Splunk等,数据安全与隐私保护的代表公司主要包括Varonis、N-able、Symantec、DigitalGuardian等。
多数网络安全供应商提供SaaS解决方案。相比传统的本地化安全解决方案,SaaS网络安全解决方案的优势在于:1)降低成本:SaaS安全方案帮助企业节省大量的安全硬件购买、安装、维护和升级的费用,对于预算有限的中小型企业尤其有利。2)提高效率:SaaS安全方案可以快速部署,使企业能够立刻使用新的安全解决方案。3)易于扩展和适应性强:随着企业的发展,SaaS安全方案可以方便地进行扩展或缩减,以满足企业的需求。4)减轻人力资源压力:CrowdStrike提供配套的后端服务,包括安全更新和维护,因此企业可以将更多精力投入其核心业务。
3.2端点安全:微软和CrowdStrike双寡头格局基本形成
端点安全解决方案主要分为端点保护平台(EPP)、端点检测和修正(EDR)、扩展检测和响应(XDR)三个类型。1)EPP:基于云的端点网络安全管理,扫描和监控各种威胁;2)EDR:检测可疑设备行为并向安全团队发送警报,擅长解决可能逃避EPP的威胁,如新兴恶意软件;3)XDR:进一步增强EDR的功能,将检测范围拓展到端点之外,提供网络和云的数据活动完整视图。
2022年全球企业端点安全市场规模达131亿美元,同比增长29.2%。根据IDC数据,2022年全球企业端点安全市场份额的前三名分别为微软、CrowdStrike、TrendMicro,分别为18.9%、15.1%、7.6%。2022年微软、CrowdStrike端点安全收入同比分别增长108.9%、56.2%。
端点安全行业整体呈现供应商整合的趋势,微软、CrowdStrike的市场份额增长较快。根据IDC,对比2020年和2022年全球企业端点安全市场份额,微软、CrowdStrike市场份额分别增加了11.4pcts和5.9pcts,Sophos、TrendMicro、Trellix、Broadcom四家公司的市场份额均有所下降。市场份额排名前六的公司总份额从2020年的49.7%上升到2022年的55%,显示出端点安全行业整体呈现供应商整合的趋势,市场份额向头部公司集中。
微软、CrowdStrike是端点安全行业的领导者。根据Gartner魔力象限,端点安全行业的领导者包括微软、CrowdStrike、TrendMicro、SentinelOne、McAfee、Sophos等公司。2021-2023年,微软、CrowdStrike相较于同业公司的领先程度逐渐扩大,双寡头的局面逐渐形成,其中微软具备较强的执行力,基于广泛的云服务客户群体提供集成化的综合网络安全服务,CrowdStrike则具备更长远的战略目光,积极探索端点安全与AI技术的集成。ESCT、FireEye、Vmware、Cisco、Broadcom等公司位于端点安全行业的第二梯队。
端点安全的行业领导者往往具备广泛的产品能力,通过AI集成、SaaS服务以适应不断变化的网络安全态势。根据IDC,端点安全市场份额靠前的公司包括微软、CrowdStrike、TrendMicro等。
1)技术优势:三家供应商的设备漏洞管理技术均相对领先,其他技术领域各具优势,微软擅长攻击中断和欺骗技术,CrowdStrike擅长移动威胁防御和客户安全咨询,TrendMicro擅长网络浏览器政策控制、防钓鱼保护。根据Forrester的EDR供应商技术评估,22Q2的评估结果显示CrowdStrike兼具强大的实时响应能力和策略性,微软和TrendMicro同为EDR技术的领导者;23Q4的评估结果显示CrowdStrike的EDR策略性下降、TrendMicro的EDR策略性提升,Bitdefender成为新晋的EDR技术领导者。
2)SaaS服务:三家供应商均通过SaaS解决方案的方式提供网络安全服务,与云计算和云安全的产业趋势相契合。相比本地化解决方案,SaaS解决方案使企业客户通过云服务快速部署和管理安全解决方案,避免繁琐的本地安装工作。
3)AI集成:三家供应商均提供AI集成,利用AI技术提升威胁检测和安全事件响应的效率。同时,微软和CrowdStrike均推出了生成式AI的工具,可以在评估网络安全或解决安全事件后自动生成日志,以自然语言询问企业可能的安全漏洞,大幅降低安全员维护网络安全的门槛。
3.3云负载安全(CWS):云计算的发展带来网络安全架构变革,竞争格局尚不稳定
云负载安全解决方案主要分为云原生应用程序保护平台、云工作负载保护平台、云安全态势管理三种类型。1)云原生应用程序保护平台(CNAPP):将多种工具和功能整合到一个软件解决方案中,在整个软件开发生命周期中提供端到端的安全防护;2)云工作负载保护平台(CWPP):可为不同类型的云环境工作负载提供持续的威胁监控和检测;3)云安全态势管理(CSPM):自动识别和修复跨云基础架构的安全风险,集成风险评估、事件响应、DevOps等功能。
相比端点安全,云负载安全要求企业的安全策略具备更强的动态性和灵活性。企业部署云工作负载的方式主要分为公有云、私有云、混合云、多云四种方式。公有云的部署方式经济效益最高,但高度依赖第三方云服务商的安全能力;私有云提供了增强的安全性和合规性,但部署价格较为昂贵;混合云和多云的部署方式更加灵活,有利于企业的成本控制,可以通过第三方云安全SaaS解决方案来保证混合云和多云环境的安全性。
云负载安全SaaS解决方案比起云厂商的原生安全服务存在诸多优势。1)技术壁垒:微软、亚马逊、谷歌等云提供商整合了综合性的网络安全服务,保护企业的云端资产,但网络安全软件公司在细分领域有更深的数据和技术积累,比如CrowdStrike的AI驱动解决方案、Zscaler的零信任架构等。2)定制化和灵活性:SaaS公司能提供更灵活和定制化的解决方案,满足特定行业或企业的需求。3)第三方中立性:SaaS解决方案可以在混合云环境中部署,且独立于云服务供应商,避免了云资产和数据安全由同一家供应商掌握的潜在风险。
全球云负载安全市场规模快速扩张,美洲地区增速较快。根据IDC统计和预测,2022年全球云负载市场规模约为26.02亿美元,2027年全球云负载市场规模有望达到58.33亿美元,2022-2027年复合增长率达到17.5%。分地区来看,美洲地区的云负载市场规模和预期增速领先于其他地区。2022年EMEA(欧洲、中东、非洲)、APJ(亚太地区和日本)、美洲地区的市场份额分别为22.8%、25.5%、51.6%,2022-2027年EMEA地区市场规模复合增长率为16.8%,APJ地区市场规模复合增长率为17.2%,美洲地区市场规模复合增长率为18%。
TrendMicro、PaloAltoNetworks等公司为全球云负载安全市场的龙头企业。根据IDC统计,2022年全球云负载安全市场份额前六名为TrendMicro、PaloAltoNetworks、微软、CrowdStrike、CheckPoint和Broadcom,市场份额分别为16.0%、7.8%、6.6%、5.9%、5.4%、4.8%。相比端点安全,云负载安全的市场份额更为分散,市占率前六名的公司占据了46.5%的市场份额。
PaloAltoNetworks、CrowdStrike的云负载安全技术评估结果超越TrendMicro成为行业的领导者。由于全球公有云市场的快速发展,云负载安全的技术竞争格局尚不稳定。根据Forrester的EDR供应商技术评估,19Q4的评估结果显示TrendMicro兼具强大的实时响应能力和策略性,McAfee和Bitdefender同为EDR技术的领导者;24Q1的评估结果显示TrendMicro难以维持行业领先的技术水平,而PaloAltoNetworks、CrowdStrike成为新晋的EDR技术领导者,其中PaloAltoNetworks具备更强的实时响应能力,CrowdStrike具备更强的策略性。
图17:19Q4、24Q1Forrester云负载安全供应商技术评估报告
云负载安全的市场份额提高受益于全球公有云IaaS+PaaS市场规模的快速增长。2017-2022年,全球公有云IaaS+PaaS市场收入维持30%以上的增速;SaaS市场收入2022年同比增长19.5%。2022年全球公有云IaaS+PaaS+SaaS市场收入为5458亿美元,同比增长22.9%。1)随着全球化的拓展和跨地区合作的扩张,企业上云需求不断扩大。2)云服务所具有的节约运营成本、灵活的团队合作和简化工作流程的能力得到了更多企业的认可。2022年大型企业贡献了超50%的全球公有云市场份额。3)疫情带来企业对远程办公的广泛需求,经济的不确定性促使云服务提供商提升产品竞争力。
与传统的本地架构相比,公有云带来了更多网络安全挑战。云安全策略在许多方面与端点安全策略存在差别:1)数据泄露:在云中的发生方式与本地攻击不同,不依赖恶意软件,而是利用错误配置、访问不足、凭据被盗和其他漏洞。2)混合云导致的可见性降低和管理分散:在混合云和多云环境中的工作负载往往导致分散的控制和管理,从而在产生端点、工作负载、流量等环节产生监控盲点,留下安全漏洞;3)配置错误:在数据和资产向云端迁移的过程中,应用程序容易受到错误配置的影响,造成账户权限过于宽松、日志记录不足等安全漏洞。
表11:企业在云环境中面临的安全挑战
3.4身份和访问管理(IAM)、安全信息和事件管理(SIEM):市场相对成熟,竞争格局较为稳定
预计2024-2032年全球身份和访问管理市场规模将以13.2%的复合增速增长。根据Gartner,2023年全球身份和访问管理市场规模约为162亿美元,预计2032年市场规模将增长至493亿美元,2024-2032年复合增长率约为13.2%。
Okta、微软是身份和访问管理行业的领导者。根据Gartner魔力象限,身份和访问管理行业的领导者包括Okta、微软、PingIdentity、ForgeRock等公司,其中Okta具备较强的执行力,具备成熟的产品服务和稳定的客户群,微软则具备长远的战略目光,积极探索身份访问管理与AI等前沿技术结合。CyberArk、IBM、MicroFocus等公司位于第二梯队。
安全信息和事件管理(SIEM)是网络安全的重要组成部分,它通过提供实时分析来帮助企业检测潜在的安全威胁。SIEM提供以下核心功能:1)日志管理:收集、存储和分析日志数据;2)事件检测:识别和通知潜在的安全事件;3)事件响应:对检测到的事件进行响应和调查。
预计2024-2029年全球安全信息和事件管理市场规模将以17.11%的复合增速增长。根据Mordorintelligence,2024年全球安全信息和事件管理市场规模预计为71.8亿美元,预计2029年市场份额将增长至158.2亿美元,2024-2029年复合增长率约为17.11%。其中北美占据最大规模市场,而亚太市场规模增速最快。
Exabeam、Securonix、IBM和Splunk是2020-2022的行业领导者。根据Gartner魔力象限,SIEM行业的领导者包括Exabeam、Securonix、IBM、Splunk等公司,其中Exabeam具备较强的执行力,具备成熟的产品服务和稳定的客户群,IBM则具备长远的战略目光,积极探索SIEM与AI等前沿技术结合。其他一些公司如McAfee、Rapid7等位于第二梯队。
3.5安全访问服务边缘(SASE):高速发展的新兴网络安全架构,相比传统架构更适应新需求
安全访问服务边缘(SASE)是云服务、边缘计算、混合网络等新趋势下的全新网络安全架构。SASE可以为企业提供全网流量的可见性,包括本地、云、移动端访问应用和互联网的流量,并提供一系列丰富的网络安全功能。SASE的概念最早在2019年由Gartner提出,Gartner认为随着边缘计算、云服务和混合网络的兴起,传统网络安全架构已无法适用,常产生延迟、联网盲点、管理开销过大等问题,而SASE架构可以解决传统架构的复杂性和延迟性等问题。
SASE的核心技术包括边缘计算、零信任等。根据CSA2022年发布的《SASE安全访问服务边缘白皮书》,SASE有四个核心技术:边缘计算、零信任网络访问、网络即服务、安全即服务。
1)边缘计算:SASE的低延迟特性要求处理节点尽量靠近企业和用户,因此与边缘计算密不可分。边缘计算为云计算能力下沉的一种新型计算模式,在更靠近数据源所在的本地计算,尽量不将数据回传到云端,以降低延迟、减轻云端压力。
2)零信任网络访问(ZTNA):传统网络安全模型假设组织网络内所有事物都应受到信任,而ZTNA认为不能信任出入网络的任何内容,一旦进入网络,用户就可以自由地横向移动、访问和泄露权限之外的数据。ZTNA环境下,企业应用程序在公网上不可见,通过信任代理建立企业应用程序和用户之间的链接,根据身份、属性和环境动态授予访问权限。
3)网络即服务、安全即服务:网络即服务指基于网络技术,实现用户终端、分支机构、企业总部、数据中心间的数据互通和网络管理能力,安全即服务指采用云原生架构快速部署安全功能,更灵活地进行扩容和迭代更新。SASE的架构需要将网络即服务和安全即服务结合起来。
全球SASE市场规模有望快速增长。作为更加契合企业数字化转型需求的新型网络安全框架,SASE市场具备较大的增长潜力。根据Gartner预测,到2024年全球至少40%的企业将转变战略,尝试采用SASE架构,而2018年底仅有1%的企业尝试SASE架构。根据MarketsandMarkets测算和预测,2023年全球SASE市场规模约为19亿美元,2028年市场规模有望达到59亿美元,23-28年以25%的复合增长率快速扩大市场规模。
Netskope、Zscaler、PaloAltoNetworks是安全服务边缘(SSE)行业领导者。安全服务边缘(SSE)是安全访问服务边缘(SASE)的一部分,专注于保护对云服务、私有应用程序和Web访问的解决方案。根据Gartner魔力象限,24M2SSE行业的领导者包括Netskope、Zscaler、PaloAltoNetworks,同时具备强大的执行力和长远的战略目光。
4、投资建议
4.1微软:受益于供应商整合趋势,基于Azure云平台提供全面的网络安全支持
微软网络安全业务的竞争优势在于多样化的综合性解决方案,以及与微软产品生态的深度集成。22年微软网络安全业务收入超过200亿美元。截至23Q4,微软网络安全业务已拥有超过100万用户,其中70万用户使用四款以上的安全产品。微软所提供的综合性解决方案满足了企业在大部分场景下的安全需求,集成在Windows操作系统、Azure云平台和Microsoft365企业服务等微软产品生态中。同时,微软生态的广泛用户基础和海量的安全数据为微软提供丰富的反馈,进一步提升AI威胁检测、分析和响应的能力。
微软主要网络安全产品包括:1)MicrosoftDefender:提供端点保护和综合性的云安全解决方案,抵御终端、应用程序、云工作负载的网络威胁;2)MicrosoftEntra:提供身份和访问管理服务,包括权限管理、身份验证、网络访问审查等功能;3)MicrosoftSentinel:提供安全信息和事件管理服务,以及安全业务流程、自动化和响应解决方案;4)MicrosoftPurview:提供数据治理和合规性服务,包括数据分类、数据丢失防护等功能;5)MicrosoftPriva:提供隐私管理服务,包括隐私风险管理、数据访问和控制等功能;6)MicrosoftIntune:提供企业移动端管理和统一端点管理服务,帮助企业管理移动设备安全。
CopilotforSecurity将微软的综合网络安全服务和先进的大模型结合,协助企业应对安全威胁和评估风险。微软于2024年4月1日推出CopilotforSecurity,采用按需付费的灵活定价模式,使企业客户可以根据自身需求和预算控制使用量和成本,AI副驾驶助手将可触达微软丰富而全面的网络安全功能,通过更加灵活的方式应对网络威胁,快速评估风险暴露。
图30:CopilotforSecurity使用流程
CopilotforSecurity用户使用反馈较为积极。根据微软官方调研,安全工作的新手在使用CopilotforSecurity时任务准确率提高了35%,工作效率提高了26%;经验丰富的安全专业人员使用Copilot时任务准确率提高了7%,工作速度提高了22%,97%的人表示希望下次执行相同的任务时使用Copilot。
投资建议:微软提供综合的网络安全服务,涵盖端点安全、云安全、IAM、SIEM等多个产业链环节,拥有深厚的技术壁垒和丰富的安全响应数据。Gartner、Forrester等第三方机构评估结果显示,微软在端点安全、云安全、IAM等领域均处于行业领导者的位置。同时,作为云供应商的微软在MaaS服务领域具备一定的技术壁垒和先发优势,AzureAI已成为微软云服务收入增速的重要驱动力,微软的云安全业务也将受益于AI+云服务的蓬勃发展。
我们维持24-26财年收入预测2484.7/2878.6/3246.9亿美元,维持24-26财年净利润预测871.9/985.4/1124.1亿美元,维持“买入”评级。
风险提示:网络安全负面事件风险、网络安全行业竞争加剧风险、AI技术发展不及预期、与OpenAI绑定过深的风险。
4.2CrowdStrike:基于云原生平台的端点安全领导者
4.2.1公司基于云原生平台提供网络安全SaaS服务
CrowdStrike成立于2011年,顺应云时代网络安全新需求,逐渐发展为涵盖端点安全、IT运维、威胁检测、应急响应等丰富云功能的网络安全SaaS服务公司。公司构建了CrowdStrikeFalcon平台作为网络安全问题的多租户、云原生、智能的安全解决方案,检测威胁并阻止入侵;Falcon平台能够保护在笔记本电脑、台式机、服务器、虚拟机和物联网设备等终端上运行的工作负载,包括本地、虚拟化和云环境。平台目前提供27个云模块,采用SaaS模式,涵盖多个大型安全市场,包括企业终端安全、安全和IT运维、托管安全服务、可观测性、云安全、身份保护、威胁情报、数据保护和网络安全生成AI等细分领域。
CrowdStrike的主营业务基于SaaS的网络安全解决方案,改变传统的本地化安全解决方案,围绕云原生平台Falcon提供丰富的网络安全服务。
1)云安全:包括FalconCloud、FalconHorizon、Bionic产品,提供漏洞保护、威胁检测等功能。
2)端点安全和XDR:包括FalconPrevent、FalconInsightXDR等,提供防病毒功能、跨域强测、物联网、OT、医疗设备等的保护。
3)风险暴露管理:包括FalconDiscover、FalconSpotlight、FalconSurface等,实时识别客户端点中存在的漏洞,发现和映射所有面向互联网的资产。
4)威胁情报和分析:包括FalconIntelligence、FalconSandbox等,将威胁情报集成到端点保护中,并对检测到的威胁进行自动分析。
5)身份保护:包括FalconIdentityThreatProtection、身份威胁检测等,可以分辨和预防基于身份的攻击和异常。
6)IT运维管理:包括FalconforIT、FalconFoundry等,将安全和IT运营与融合进统一平台,降低用户创建定制化网络安全应用程序的门槛。
7)生成式AI:CharlotteAI拥有自然语言处理的能力,帮助安全分析师做出更快、更准确的决策。
CrowdStirke针对不同企业规模和细分功能,提供五种订阅方案。1)针对小型企业,CrowdStrike提供4.99美元/设备/月的FalconGo和8.33美元/设备/月的FalconPro,按设备数量进行收费。2)针对大型企业,CrowdStrike提供年费499.95美元的FalconPro和924.95美元的FalconEnterprise,当公司设备量超过9台时采购年费企业版更为优惠。
4.2.2CharlotteAI协助发现潜在安全漏洞,应对AI时代网络安全新需求
生成式AI工具CharlotteAI通过模拟复杂的攻击场景发现企业潜在的安全漏洞,提升员工的安全意识。23年5月CrowdStrike发布生成式AI功能CharlotteAI,旨在降低Falcon平台的技术门槛,提高安全分析师的工作效率。CrowdStrike收集了全球大量的安全事件和来自用户、设备、云工作负载的威胁情报,以及特有的人工反馈情报,构成CharlotteAI的核心竞争力。CharlotteAI的主要功能包括:1)通过生成逼真的攻击场景,帮助企业在实际受到攻击之前发现潜在的安全漏洞;2)模拟复杂的网络攻击手段,帮助企业提前准备应对策略,从而增强其网络防御能力;3)通过与CharlotteAI的互动训练,提高企业员工的网络安全意识,这在防范依赖于人为因素的攻击手段时尤为重要。
除CharlotteAI外,FalconDataProtection等新产品也为客户提供AI技术帮助。当敏感数据被复制、粘贴或上传到基于网络的商业GenAI工具时,可以立即阻止数据泄漏;CrowdStrike通过FalconforIT结合安全与信息技术释放生成性人工智能的变革力量,为现代网络安全的未来保驾护航。
图35:24年AI原生安全平台和细分领域的TAM
24年以来美国企业更加重视AI大规模普及背后的数据治理、网络安全等问题,CrowdStrike作为领先的AI驱动云原生平台,丰富的平台安全数据构成其重要的竞争壁垒。24M3CrowdStrike宣布与英伟达合作,在Falcon平台提供英伟达AI计算服务。客户可以使用该服务创建定制化AI模型,更加契合AI时代数据安全和网络安全的要求。Falcon平台使用其独特而丰富的网络威胁情报数据,帮助用户构建和训练AI网络安全模型,以及开发AI驱动的网络安全应用程序,监测网络安全漏洞,主动防御可能出现的攻击。
4.2.3财务分析:营收维持高增速,营业利润率转正
CrowdStrike收入以订阅服务为主,近五年公司营收稳步增长。CrowdStrike财年为上一年度2月1日至本年度1月31日。FY25Q1公司实现营业收入9.2亿美元(高于Refinitiv一致预期1.8%),同比增长33%,FY20Q1-FY25Q1营收同比增速从103%平稳放缓至33%。FY25Q1公司订阅服务收入8.7亿美元,占公司营业收入的95%,专业服务收入占比较低。
作为衡量收入成长性和稳定性的重要指标,CrowdStrike的ARR和净新增ARR保持稳健增长。FY21Q1-FY25Q1,公司ARR同比增速从88.2%逐步放缓至33.7%,同期的ARR同比增速与营业收入增速基本持平。从净新增ARR来看,FY23Q2-FY24Q2的净新增ARR同比增速呈放缓趋势,对应22年和23H1美国宏观经济预期不振、企业削减IT支出的背景。FY24Q3-FY24Q4公司的净新增ARR同比增速大幅回暖至27.2%,反映出企业网络安全需求的复苏。
净利润大幅超预期,营业利润率转正。FY25Q1公司实现归母净利润4626万美元。FY24Q1-FY24Q4公司毛利率稳定在75%左右,营业利润率FY24Q3首次实现转正,销售费用率从F19Q1的77.4%大幅下降到FY25Q1的38.0%,研发费用率、行政费用率也呈下降趋势。
4.2.4盈利预测与估值评级
收入拆分关键假设:CrowdStrike的营业收入以订阅收入为主,22-24财年订阅收入占公司营收比例分别为93.7%、94.2%、93.9%,专业服务收入占公司营收比例分别为6.3%、5.8%、6.1%。
1)净新增ARR、订阅收入关键假设:作为衡量SaaS公司收入稳定性的重要先验指标,公司的净新增ARR在21-24财年分别同比增长60.7%、51.1%、22.1%、6.0%。24财年净新增ARR增速明显放缓,主要系23H1美国宏观经济逆风,企业普遍削减IT支出,使网络安全公司获得新客户更具挑战性,FY24Q1、FY24Q2公司净新增ARR同比分别下降8.6%和10.0%,但FY24Q3、FY24Q4公司净新增ARR同比增速回暖至12.6%、27.2%。考虑到生成式AI的快速发展使网络安全攻防升级,25财年全球企业客户IT支出调研显示网络安全需求强劲增长,我们假设25-27财年净新增ARR分别同比增加18%、16%、15%。
21-24财年公司净新增ARR和订阅收入净增长的比例分别为1.22、1.23、1.10、1.16,考虑到随着公司客户群逐渐稳定,净新增ARR转化为订阅收入的比例总体呈下降趋势,我们假设25-27财年净新增ARR/订阅收入净增长的比例分别为1.16、1.14、1.13。综上,25-27财年公司订阅收入同比增速分别为31.1%、28.1%、25.4%。
2)专业服务收入关键假设:21-24财年公司专业服务收入同比增速分别为54.7%、31.9%、40.8%、42.8%。随着公司订阅用户数的增加和产品矩阵的逐渐成熟,公司专业服务收入有望得到持续提振,使专业服务收入增速高于订阅收入。但考虑到专业服务收入基数逐渐扩大,我们假设25-27财年公司专业服务收入同比增速呈逐年下降趋势,分别为20%、17%、16%。
综上,我们预测公司25-27财年营业收入分别为39.86、50.80、63.47亿美元,同比分别增长30.4%、27.5%、24.9%。
费用率关键假设:1)销售费用率:21-24财年公司销售费用率分别为45.9%、42.5%、40.4%、37.3%,呈下降趋势。考虑到SaaS公司前期需要投入较高的销售费用以累积客户,形成用户粘性后即可持续贡献收入,我们预测25-27财年公司销售费用率维持下降趋势,分别为35%、34.5%、33%;2)行政费用率:21-24财年公司行政费用率分别为13.9%、15.4%、14.2%、12.9%,我们假设25-27财年行政费用率维持12%的水平。3)研发费用率:21-24财年公司研发费用率分别为42.5%、14.8%、27.1%、25.2%,23-24财年研发费用率回升主要系公司持续探索AI与网络安全产品的结合形式。随着公司产品技术逐渐成熟,我们假设25-27财年公司研发费用率呈下降趋势,分别为24.5%、24.0%、23.8%。
综上,我们预测公司25-27财年归母净利润分别为2.01、3.33、5.85亿美元,同比分别增长125.0%、65.5%、75.8%。
盈利预测、估值与评级:我们预测公司25-27财年营业收入39.9/50.8/63.5亿美元,归母净利润2.01/3.33/5.85亿美元,现价对应PS24x/19x/15x。公司连续三年位列端点安全行业的领导者地位,在技术评估中领先,拥有一定的技术壁垒和丰富的产品阵营。考虑到公司营收维持高增长,云原生安全平台与生成式AI产品无缝集成,顺应AI时代网络安全新需求,首次覆盖给予“增持”评级。
4.3Zscaler:安全访问服务边缘(SASE)和零信任(ZTNA)领域的领导者
Zscaler被视为云安全领域的技术先行者,代表着网络安全架构设计的根本转变。Zscaler成立于2007年,当时正值云应用和移动性的早期阶段,公司预测随着云技术的迅速采用和员工流动性的增加,传统的外围安全方法将无法为用户和数据提供足够的保护,用户体验将越来越差,因此创立了完全云原生的安全架构。在后续发展过程中,Zscaler在其安全架构中引入安全访问服务边缘(SASE)和零信任网络访问(ZTNA),如今均成为网络安全领域的重要趋势。
Zscaler的安全访问服务边缘(SASE)解决方案凭借其领先的云安全技术和广泛的全球云服务节点网络赢得了市场的广泛认可。SASE代表了一种创新的网络安全模型,结合了广域网技术和云原生安全服务,旨在为企业提供更灵活、更安全的远程访问解决方案。ZscalerSASE通过安全网关、云防火墙、数据保护、威胁防护等一系列安全服务,为企业提供全方位的网络安全保障。此外,Zscaler的服务还能与企业现有的IT架构无缝集成,支持快速部署和简化管理。
Zscaler的零信任网络访问(ZTNA)业务是其网络安全解决方案的核心。ZTNA严格管理企业资源的身份认证和访问,提供最小化的动态访问权限,在远程办公、物联网等领域有广泛的应用。Zscaler的ZTNA业务主要优势包括:1)云原生架构:ZTNA解决方案完全基于云,提供可扩展且灵活的安全访问控制,支持企业的远程工作和数字化转型需求。2)简化的用户体验:消除传统VPN所需的复杂配置和维护,优化用户体验。3)细颗粒度的访问控制:确保只有合适的用户能够访问特定的企业资源,进一步加强了安全性。4)集成和兼容性:与企业现有的IT和安全架构无缝集成,支持多种云平台和应用,简化了部署和管理过程。
相比传统的端点安全解决方案,Zscaler的SASE解决方案更专注于网络访问安全,适合依赖云服务和数据传输的企业。我们选取CrowdStrike作为端点安全的代表公司,横向对比CrowdStrike和Zscaler各有优势:1)优势业务和适用公司:CrowdStrike更适合采用多云和混合云架构的企业,以及在大量分散设备中储存敏感信息的企业,如政府机构、金融机构、律师事务所等;Zscaler更强调云安全和访问安全,更依赖云服务、通过互联网传输远程工作的企业,如互联网公司、私营企业等。2)部署方法:CrowdStrike通过云原生平台Falcon提供终端保护,而Zscaler通过将流量重定向到其云平台提供网络层面的保护。
五、风险提示
行业竞争加剧风险:网络安全部分细分领域出现供应商整合的趋势,市场份额或将向技术领先的供应商集中;
AI技术发展不及预期:网络安全估值提升的逻辑部分来自生成式AI的发展,使网络安全供需两端同时受到催化,但AI技术发展可能不及预期;