正文如下

1．     网络安全行业研究框架思考

1．1     行业驱动因素框架

国内网络安全产业即将迈入千亿规模,是计算机板块增速最快的子行业之一。目前,网络安全已经成为网络、计算、存储外的第四大IT基础设施,根据Gartner的数据统计,2020年全球安全市场规模达1238亿美元。而国内安全市场,从2013年开始,随着国家对网络安全重视程度的不断提升,行业基本保持在年均20%以上的中高速增长,且能够预见到未来5年也将大概率延续这一高景气度,市场规模即将达到千亿量级。但与此同时,中国的安全支出占IT支出的比重仍远低于美国以及全球平均水平,根据IDC的数据,我国安全支出占IT支出比重仅为1．84%,相较于美国的4．78%还有很大差距。从中长期看,随着安全意识乃至安全采购需求的不断转变,国内网络安全占IT支出比重仍有很大的提升空间。

从安全行业的驱动因素框架来看,我们认为网络安全行业的驱动力主要来自于三个方面,分别是政策合规驱动、IT基础架构驱动和安全攻防驱动。三大驱动因素在短期、中期、长期,对于行业在总量以及结构上,都会产生不同程度的影响。

第一个驱动因素是政策合规,无论在全球还是在国内,政策合规都是安全行业最直接的驱动力,能够在短期内直接刺激行业景气度的显著提升。从2017年的《网络安全法》到2019年的“等保2．0”,再到今年出台的《数据安全法》和工信部《网络安全行动计划》,政策频出叠加近年来常态化开展的HW行动,都通过直接或间接的方式带动了下游政企安全支出的不断增加。从全球市场来看,政策与合规同样也是安全采购的核心驱动力,最典型的就是2018年欧盟出台的通用数据保护条例GDPR,GDPR在全球范围内拥有广泛的影响力,所有涉及在欧洲用户及相关业务的企业都会受到GDPR的限制。对于违反GDPR条例的公司,最高处罚金额达到年度营业额的4%或2000万欧元,包括万豪、英国航空、谷歌等全球知名企业都曾被处以巨额罚款。GDPR直接带动了相关机构安全支出的快速增长,包括德勤、毕马威、IBM、埃森哲等全球顶尖的咨询公司的安全咨询业务在2017-2018年的增长都非常的亮眼。

第二个驱动因素是IT基础架构的演进,每一轮IT产业浪潮的背后,都会伴随网络安全行业的快速发展。网络安全产业的第一轮快速发展期从1990年前后开始到2000年代中期,信息化和网络基础设施的建设带动了安全产业从0到1的发展;第二轮加速成长期从2010年开始,本质上是云计算、移动互联网、物联网、工业互联网等新一轮IT基础设施的驱动,目前我们仍处在第二轮加速成长期的中期;展望未来,5G、AI、万物互联以及企业的数字化转型有望驱动网络安全产业进入第三轮快速成长期。

第三个驱动因素是安全攻防的驱动,不同的时期存在不同的安全威胁,而不同的安全威胁又会催生出不同形式的安全需求和安全技术。在2000年前后,病毒、木马、蠕虫是主要的安全威胁,带来对防火墙、防病毒等安全工具的需求;到了2007年,应用层安全攻击包括网页入侵、网站钓鱼等开始变得频繁,带来了web应用防火墙等web安全产品的需求,包括主打应用层安全的下一代防火墙也是在这一时期诞生;到了2010年前后,网络流量攻击开始流行,催生出抗D的需求;到了2013年前后,APT威胁迅速升级,催生了高级威胁检测的需求;近年来供应链攻击、勒索病毒等新的安全威胁又带来了新的安全需求。由于安全威胁和安全攻击的长期存在,安全技术和安全工具也会随之不断的更新迭代。

图表1:网络安全驱动因素框架

资料来源:方正证券研究所绘制

从我国的安全行业的发展历史来看,国内安全产业从1995年前后开始萌芽,到现在一共经历了两轮大的加速成长期。从1995年开始到2005年前后,在上网工程和信息化建设的驱动下,国内安全产业从0到1实现了跨越式发展,而在信息化渗透率提升到一定程度以后,行业增速在2008年后开始逐渐放缓;从2013年开始,在云计算、移动互联网等新一轮IT基础设施的驱动下,同时叠加棱镜门事件后国家对网络安全重视程度的显著提升,具体包括国家网络安全小组的成立,以及网络安全法,公安部151号令,等保2．0,数据安全法等政策的频繁出台,行业整体增速又重新提升到了20%以上。

图表2:网络安全行业发展历程复盘

资料来源:IDC、方正证券研究所绘制(单位:亿美元)

1．2     竞争格局与七大赛道

在网络安全行业持续保持高速增长同时,行业竞争格局上仍呈现出产品碎片化、集中度偏低的特点。根据第三方机构安全牛的分类,网络安全行业可划分为14项一级安全分类,106项二级子行业,以及近300家安全企业和相关机构。而由于产业格局的碎片化导致了行业集中度偏低,这也限制了安全厂商成长的上限,因此无论是在全球市场还是国内市场,一直都没有诞生真正意义上的“安全巨头”。历史上规模最大的安全厂商,包括全球市场的赛门铁克、IBM,以及国内市场的奇安信、启明星辰,其市占率基本处于5%-10%这一区间,行业前五大厂商合计占比约为20-30%。

图表3:安全牛网络安全全景图

资料来源:安全牛、方正证券研究所绘制

什么因素导致了网络安全产业格局的碎片化?网络安全涉及到众多的细分领域,从网络、终端、身份、数据、应用的安全,再延伸到云、工控、物联网等不同场景下安全,解决的问题不同,所涉及的安全产品和安全技术也会有所差异。并且用户在采购安全工具之后,还需要在安全团队、安全策略、安全培训、安全体系等方面进行持续投入,因此用户需求的多样化直接导致了安全产业格局的碎片化,而网络安全的两个特性又进一步加剧了行业碎片化的格局:1)网络安全的木桶原理:即信息系统整体安全水平是由安全级别最低的部分所决定的,这意味着构建一个成熟的安全体系,必须要进行全方位的投入,方方面面都要涉及到,不能有明显的短板;2)网络安全的本质是攻防对抗:即安全威胁和攻击方式是在不断演进的,从动态视角来看,“绝对安全”并不存在,因此用户必须对新的安全技术和工具保持足够的敏感,并且长期持续在新的安全技术上进行投入。

图表4:企业网络安全建设发展阶段

资料来源:方正证券研究所绘制

行业的碎片化显著加大了网络安全公司的研究难度。过去对网络安全公司的研究,特别是一些产品线较完整的综合性的安全厂商,很难对其产品线做到非常细致的拆分,更多时候是对政策、渠道、订单、业绩等进行动态跟踪,并且结合管理层、公司治理、企业文化等因素来综合判断公司的竞争力。而对于产品线的研究,我们认为需要建立一个更加有效的视角,通过对各个赛道的合理划分,基于“抓大放小”的思路去进行研究。

如何对安全赛道进行有效划分?我们认为应该基于底层技术协同和应用场景协同,即将解决同类问题,应用同类场景的产品纳入到一个统一的视角。而且从一个安全公司的成长路径来看,基本上都是从单一产品出发,然后复用底层技术来扩张产品线,最后再进行跨赛道跨领域的横向扩张,这样的划分方式也符合网络安全厂商的发展规律。因此我们从技术栈和安全域的视角出发,将网络安全行业分为网络边界安全、终端安全、身份安全、安全管理、数据安全、应用安全及安全服务7大方向,其中:

1)网络边界安全:针对网络边界进行防护的安全产品,主要产品包括防火墙、入侵检测与防御IDPS、虚拟专用网VPN、上网行为管理和抗DDoS等产品;

2)终端安全:针对PC、服务器、Iot、云工作负载等端点进行安全防护的安全产品,主要产品包括终端防病毒、终端准入控制、端点保护平台EPP和终端检测与响应EDR等产品;

3)身份安全:身份安全指用于管理用户的身份和访问权限的一类软硬件产品,以确保正确的个体,包括人、服务器、设备、API、应用,能够以正确的原因在正确的时间访问正确的资源。主要产品包括统一管理平台/4A平台、访问控制/单点登录、特权账号管理/堡垒机、密码/令牌/生物识别和零信任等产品;

4)安全管理:企业安全管理人员进行安全运营、威胁检测乃至应急响应的平台工具产品,主要包含SIEM/SOC(安全管理平台)、态势感知、高级威胁检测、日志审计和漏洞管理等产品;

5)数据安全:保护IT系统和数据不因偶然和恶意的原因遭到破坏、更改和泄露的安全产品,主要产品有数据防泄漏DLP、数据库审计、文档加密,数据分级、数据治理和容灾备份等产品;

6)应用安全:狭义上应用安全主要指针对Web进行防护的安全产品,主要产品包括Web应用防火墙、Web扫描器和网页防篡改等产品;

7)安全服务:指为增强和完善用户网络信息系统所提供的一系列的服务,通常情况下,安全服务由安全咨询、安全运营、安全集成三大部分构成。

图表5:网络安全行业赛道划分

资料来源:方正证券研究所绘制

从7大赛道的市场规模、成长性、以及竞争格局综合来看:

一大传统赛道:网络边界安全。边界安全作为网络安全行业规模最大的赛道,包含防火墙、IDPS、上网行为管理、VPN、抗D等多个“重量级”产品,整体市场规模在200亿以上,而且单看防火墙就有百亿以上的市场规模。因此对于国内的头部安全厂商而言,网络边界安全无疑是“兵家必争之地”。从赛道整体的成长性来看,虽然防火墙、上网行为管理、VPN等已经是安全行业的“老产品”,但作为政企用户安全建设的刚需,近年来也一直保持较稳定的增长。

两大高成长赛道:安全管理、安全服务。安全管理和安全服务是近年来国内网络安全行业最热门的两大赛道。其中,安全管理的主要推动力来自于态势感知的建设,并且目前的建设方向正在从监管侧转向行业级用户,此外AI/ML、UEBA及SOAR等技术的成熟也提升了安全管理平台的可用性,加速了安全管理平台的落地。而安全服务市场则是受政策合规和产业升级两大因素的共同驱动,近年来的增速在不断提升。目前头部安全厂商正在通过安全顶层设计、安全平台建设、安全运营服务的组合,持续卡位政企用户的安全预算,因此安全管理和安全服务两大赛道不仅具备很高的景气度,而且其战略价值也在不断的凸显。

三大重点关注赛道:终端安全、身份安全、数据安全。1)终端安全是国内网络安全市场最受益国产化的赛道之一,包括奇安信、亚信安全、深信服等国产终端安全龙头厂商的份额近年来都在持续提升,而且未来对外资厂商的替代仍有一定的空间;2)数据安全在今年是业界关注度最高的方向,伴随《数据安全法》的出台以及滴滴事件的催化,未来政企用户在数据分级、数据治理,以及数据全流程管理、数据保护体系的建设将成为安全支出的重点,进而带动整个赛道的景气度的提升;3)身份安全包含的细分子领域较多,过去行业整体增长较为平稳,但是随着近年来身份安全重要性的不断提升,以及零信任在国内头部政企用户中的落地,正在牵引网络安全架构从过去的“网络中心化”逐步走向“身份中心化”。

图表6:网络安全行业7大赛道

资料来源:方正证券研究所绘制(部分数据结合IDC、安全牛等第三方机构数据估算)

1．3     “新安全”与“传统安全”

如何理解“新安全”和“传统安全”的关系?“新安全”是否会对“传统安全”的研究框架造成破坏?通常情况下“新安全”可分为三大类,即新安全场景(如云安全、工控安全、移动安全等)、新安全技术(如EDR、UEBA、SOAR、零信任等)和新安全模式(主要为安全SaaS)。我们认为,新安全场景和新安全技术,很难超出网络、终端、身份等安全赛道的基本逻辑框架,而安全SaaS目前已经对网络安全的产业逻辑产生了重大影响,并带来了行业竞争格局的重大变化。

安全新场景:新的安全场景一般包括云安全、移动安全、工业安全、物联网安全、区块链安全等领域,虽然在场景上和传统安全场景存在一定差异,但在这些新场景下应用的很多安全工具从底层技术上看并没有超过“传统安全”的范畴,比较典型的就是云安全场景中虚拟化防火墙和工业安全领域的工控防火墙,即可以概括为“用老方法解决新问题”。可以看到虽然近年来诞生了很多专注在新场景下的新兴安全厂商,但是头部安全厂商依然在很多新场景下占据主导地位,并且由于很多新场景的市场空间有限,专注在单一赛道的新兴安全厂商也会很快面临成长天花板的问题。总而言之,新场景安全给行业带来了一定增量,但并未真正改变安全行业的竞争格局。

图表7:网络安全行业的技术和场景在不断进化

资料来源:方正证券研究所绘制

安全新技术:网络安全作为一个技术快速迭代的行业,每年都会有许多新的安全概念出现和新的安全技术诞生,但是真正像下一代防火墙和端点检测与响应EDR这样能够对产业格局产生重大影响的新技术少之又少,绝大部分的新技术最后并没有形成独立赛道和独立产品,而是最终融入到了“传统”的安全产品中,即以“新技术融入老产品”的方式带来了安全产业的不断进化。而且即使像下一代防火墙和EDR这样的“重磅产品”,最终也是逐渐融入到了防火墙和终端安全这两大“传统赛道”之中。

图表8:网络安全行业技术演进路径

资料来源:方正证券研究所绘制(部分关键技术)

安全新模式:安全SaaS作为一种新兴的安全模式,与传统安全方案相比,最大的不同在于安全SaaS能够通过云服务的形式将安全能力交付给用户。相较于传统的本地部署的模式,安全SaaS厂商在敏捷性、易用性、可扩展性等方面相较于传统安全厂商具备明显的优势,目前安全SaaS已经成为了全球网络安全市场的重要趋势,安全SaaS厂商竞争壁垒的提高,提升了安全厂商成长的天花板,并且已经带来了行业竞争格局的显著变化。

图表9:美股安全公司收入增速

资料来源:Wind、方正证券研究所

安全SaaS厂商竞争壁垒的提高体现在以下三个方面,分别为:基于轻量化部署所带来的边际成本的显著降低,基于数据在线所带来的网络效应,以及基于云原生架构所带来的安全能力的动态迭代。以全球安全SaaS龙头Crowdstrike为例,我们认为,Crowdstrike相比传统安全厂商拥有更深的护城河,具体体现在:

1)基于轻量化部署所带来的边际成本的显著降低:安全SaaS作为轻量化的安全方案,用户在安装、部署、实施、运维的总成本(TCO)要远低于传统本地部署的安全方案,因此Crowdstrike能够显著缩短交付和部署的周期,而且Crowdstrike的用户一旦订阅了某个模块后,在订阅其他功能模块时,不需要任何额外的部署成本,而且用户能够在云上对Crowdstrike的多个业务模块进行统一的安全管理,显著降低了管理和运维的复杂度。因此根据Crowdstrike的测算,传统安全厂商的方案的TCO高达Crowdstrike的7．5倍;

2)基于数据在线所带来的网络效应:Crowdstrike在云上的威胁情报网络具备很强的网络效应,只要Crowdstrike在其所覆盖的单个端点上检测到了某个未知威胁,云端的威胁库将实时更新,进而CrowdStrike所覆盖的所有用户的所有端点能够实时提升应对未知威胁的能力。Crowdstrike覆盖的用户和端点数量越多,其威胁情报网络的能力就越强。这也是CrowdStrike作为一家新兴安全厂商能够在安全能力上快速超越传统安全厂商的重要原因;

3)基于云原生架构所带来的安全能力的动态迭代:对于在网络安全这类技术变化非常快速的行业,我们认为,安全厂商在安全能力和安全技术上的静态领先很难形成绝对的竞争壁垒。而Crowdstrike作为云原生的安全SaaS厂商,能够基于云原生架构实现安全功能的快速开发测试及运维,并且能够将安全能力快速迭代到用户侧,而非像传统安全厂商需要将管理和组织能力发挥到极致来推动技术创新和动态迭代。

图表10:传统产品的TCO为CRWD的7．5倍

资料来源:CrowdStrike、方正证券研究所

图表11:CrowdStrike的威胁情报网络

资料来源:CrowdStrike、方正证券研究所

Crowdstrike业务边界正在持续扩展,预计2025年CrowdStrike的TAM将超过千亿美元。CrowdStrike在2013年前后的产品线仅有威胁情报和EDR,在2017年前后,公司开始基于单一的EDR产品向多SKU多产品模块的体系发展,到2019年底已经推出了IT资产管理、漏洞管理、下一代防病毒等十个彼此高度协同的云模块。目前Crowdstrike的Falcon平台上已经包含了19个模块,跨越端点安全,托管安全服务,威胁情报和身份安全(通过收购PreemptSecurity)、IT运维等领域,已经远远超出了单纯的端点安全的范畴,当前TAM达到了360亿美金(端点安全市场TAM仅为84亿美金)。特别是在今年,Crowdstrike收购了日志管理平台Humio,并将其作为一个功能模块,在云平台上集成了日志管理、应用及基础架构监控的功能,业务布局超出了网络安全的范畴,开始进入到了Datadog的领域。目前Crowdstrike已经具备强大的XDR能力,能够将所有安全产品集成到单一安全管理平台上,来帮助用户获取对自身安全态势的全局视角。

图表12:CrowdStrike的TAM预计在2025年超过千亿美元

资料来源:CrowdStrike、方正证券研究所

通过对网络安全行业近40年发展历史的复盘能够看到,多赛道多安全域多技术栈的特点限制了安全厂商的横向扩张,加上传统安全厂商难以单纯依靠技术优势来建立竞争壁垒,限制了安全厂商成长的天花板。随着全球范围内安全SaaS渗透率的不断提升,网络安全的产业结构和竞争要素正在发生重大变化,在未来千亿美金规模的全球网络安全市场,将有很大概率能够跑出收入规模超百亿美金的安全巨头。而目前国内安全SaaS产业尚处在萌芽期,安全SaaS在边界安全、终端安全以及身份安全等主要赛道上的渗透率还不到1%,在未来3-5年,随着IT基础架构的不断演变,以及头部安全厂商开始在安全SaaS领域展开布局,安全产业云化的进程未来有望加速。