信息安全行业深度报告：海外网安巨头如何映射国内

作者：来源：未来智库日期：2021-01-05

（报告出品方/作者：国信证券，熊莉、库宏垚）

核心观点

AI 和威胁情报助终端安全技术蝶变，全球市场格局已变

传统终端安全以“杀毒软件”为代表，以特征库匹配为主要技术，主要解决已知问题。随着各类未知攻击的诞生，终端安全也引入 AI、威胁情报等新的技术应对。终端处，产品升级为下一代杀毒 NGAV、终端检测响应 EDR、云工作负载保护 CWPP；云端处，威胁情报成为新的“生产资料”，为终端乃至全部安全体系赋能。IDC 预计 2022 年终端安全市场将超过 92 亿美元，年复合增长率 8.6%。

Crowdstrike 实现基于云的终端安全颠覆，快速成长新王当立

Crowdstrike 以威胁情报和终端安全起家，云端建设威胁图，Falcon 平台的动态威胁数据库；终端部署轻量级代理，类似终端处的“传感器”。通过终端代理，客户可以实现多种 SaaS 安全功能订阅。除了终端安全，公司还推出多种产品组合，基础版价格已由 6.99 提升至 8.99 美元/月。凭借产品在体验端、技术端、市场端的优势，公司迅速得到市场认可。近年来公司营收增速均保持 85%以上，预计 2020 年收入 8.55-8.6 亿美元，增速为 78%。同时，公司净留存率保持 120%以上，各项 SaaS 指标优异。当前市值达到 470 亿美金，对应今年 PS 在 50 倍以上。

市场、政策、技术推动国内终端安全市场重启，终端已成必争之地

杀毒软件是国内消费者接触最早的终端安全产品，国内早期消费级市场由江民、瑞星、金山主导，随后 360 通过免费将时代终结。海外消费级终端安全市场依然存在，但国内外企业级均是最核心的市场。市场端， 2017 年 wannacry 病毒带动了终端需求的催化，近期 Solarwinds 事件也验证了终端保护的重要性；政策端，等保 2.0 进一步强调了主机安全；技术端，除了终端自身技术进化之外，在态势感知为代表的体系化安全建设中，终端已经是必不可少的一环。国内终端安全有望快速增长。

终端安全技术蝶变，威胁情报成为安全新风口

终端安全面临下一代技术升级，AI 成为新驱动力

“杀毒软件”永不过时。安全的本质是攻防的较量，网络攻击有造成网络端崩溃的（如 DDoS 攻击），也有窃取机密数据或勒索的（如 WannaCry 病毒）。当边界防御被攻击突破后，终端自身的防御系统则成为关键，需要及时排查恶意软件。另一方面，内网本身存在攻击风险，如企业 PC 上插一个 U 盘，直接就从内部开始感染。尤其当前云化、移动化办公趋势明显，很多办公设备并不是永远处在被边界保护的环境中，疫情下广泛的远程办公，更是让办公终端处于 “放任”状态。因此终端自身需要具备防御能力，安全产品依然刚需。

IOT 终端急剧膨胀，后疫情时代，终端是安全投入的重点。物联网的快速发展必然会带来海量的 IOT 设备，当前除了移动化的办公设备外，服务器、打印机、销售站、可穿戴设备等均是潜在被攻击对象。即使企业上云后，云上的工作负载，如虚拟机和容器，也成为了新的终端需要被保护。后疫情时代，各办公终端、及网络场景，处于高度分散化状态，边界被打破带来了攻击面的扩大。因此根据日立发布的企业首席信息官（CIO）调查，2020 年下半年最高 IT 支出优先级是网络安全。疫情改变了大多数 CIO 的 IT 计划，现在有 89％的人表示他们专注于网络安全，而 82％的人则致力于远程支持；有一半的人表示要增加网络安全预算。具体方向来看，有 43％的 CIO 在身份和访问管理（IAM）上进行了投资，有 34%的 CIO 加强了终端安全的投资。这两项技术也非常匹配当下云场景办公需求，终端安全持续受益。

技术方面，终端安全正处于变革期，下一代杀毒和终端安全响应成为新方向。以国外 McAfee、国内 360 为代表的传统杀毒软件，主要通过升级静态病毒库来与恶意软件进行匹配。该方法在面对如“无文件攻击”时会失效。而以 APT 为代表的高级持续性攻击，隐秘性极强，迫使传统终端安全引入新的技术，如人工智能、大数据、行为分析等技术，产品形态有终端检测响应 EDR、威胁情报、沙箱技术等。

下一代杀毒 NGAV（EPP）：。基于签名的防病毒产品，依然是当前的主流，但是攻击的复杂性提升，导致传统杀毒软件越来越力不从心。2019年Ponemon Institute 的一项调查发现，防病毒产品平均错过了 60％的攻击。因此也诞生出下一代杀毒软件 NGAV，通过引入机器学习、异常行为分析等技术，利用人工智能来识别和防止恶意行为。

终端安全响应（EDR）：。EDR 核心为记录，收集和存储来自端点设备活动的大量数据，从而使安全专业人员可以识别潜在威胁，调查和补救任何潜在攻击。重要的是，EDR 为安全团队提供了可视性，其中包含大量数据，可以对其进行分析以磨练恶意或异常行为，并检测端点保护技术遗漏的攻击。EDR 在 2016～ 2019 年连续进入 Gartner 的 10 大技术之列，成为当前终端领域最热门产品。

当前终端安全主要分两类：办公终端和云工作负载。假设极限办公 IT 场景只有办公终端和云（无论公有云，还是私有云）服务端，以 PC 为代表的终端安全主要以 EPP 和 EDR 产品为主；而以云为代表的服务终端，则是虚拟机、容器等工作负载，以 CWPP 产品为主。

EPP（终端保护平台，以杀毒软件为主）和 EDR 的组合成为终端安全的良药。 EDR 与 EPP 有一部分的价值重叠，EPP 专注预防，EDR 能够描述整个攻击过程，实现高级威胁的检测与响应，二者共同部署是最好的组合。EDR 在 2016～ 2019 年连续进入 Gartner 的 10 大技术之列,并且认为 EPP 与 EDR 技术融合将成为总体趋势，这也带动 EPP 技术向 AI 发展的重大转变。

云上的工作负载将成为新的终端安全场景。云工作保护平台（Cloud Workload Protection Platform，简称 CWPP），与以解决 PC 和服务器终端安全的 EPP、 EDR 不同，CWPP 主要解决混合的数据中心架构中，物理机、虚拟机、容器和无服务器工作负载的安全问题，为他们提供统一的可视化和控制力。根据 Gartner 的定义，CWPP 侧重数据和流量的问题，包括了 WAF、Firewall 和 IPS 等，并且越是靠近基座的功能越重要，越是靠近塔尖的功能越次要。CWPP 部署在操作系统层，采用服务端 agent+远程控制台的部署模式，agent 支持云、物理、混合环境部署。随着云承载 IT 工作的范围越来越广，云工作负载已经成为新的场景，CWPP 有望与传统 EPP 一样，成为新的终端安全必备。根据 Gartner 指引，2019 年市场达到 12.44 亿美元，同比增长 20.5%。

威胁情报为云端赋能打下基础，成为安全行业新“生产资料”

威胁情报弥补攻防两端信息不对称，已经成为安全必需品。当前新一代攻击者常常发起高级持续性攻击（APT）。APT 是精心策划下对特定组织的攻击，其攻击隐秘性极强，通常以盗取数据为目标，并不对系统造成伤害，被攻击者可能自始至终无法察觉。例如近期美国 Solarwinds 事件就是典型的 APT 攻击。过去基于恶意程序签名的技术，以防火墙、IPS、杀毒软件为代表的老三件产品无法解决此类问题，因为这是未知领域的攻击。而通过威胁情报的大量“内外援”信息，新方法尽可能消除信息不对称。

威胁情报并非简单的“数据”和“信息”汇总。威胁情报更多是一种“知识” 的概念，基于自身 IT 和信息资产面临的潜在威胁和攻击事件，形成上下文、机制、标示、含义和能够执行的建议等，能够为响应和处理提供决策的“知识”。威胁情报可以来自外部，如互联网公开情报源：各类安全事件、预警信息、监控数据分析、IP 地址信誉等，也有情报交换、商业情报公司订阅等；也可以来自企业内部，企业自身网络基础设施产生的威胁数据，如通过提炼 SEIM 系统数据、异常流量、漏洞信息、日志信息等形成威胁情报。威胁情报常见部署状态为云端和本地的共享，一方面借力云端的情报助力，一方面本地形成内生性的场景，情报的“消费”和“生产”进行循环。通过共享，威胁情报可以在全行业发挥作用。

威胁情报内涵广阔，价值巨大。根据 David J. Bianco 在《The Pyramid of Pain》一文中提出的威胁情报相关指标，当“己方”掌握这些“知识”后，可以让攻击者感受相应困难的“痛苦”。威胁情报中价值最低的是 Hash 值、IP 地址和域名，其次是网络/主机特征、攻击工具特征，对攻击者影响最大的是 TTP(战术、技术和行为模式)类型的威胁情报。威胁情报的内涵早已超过传统的基于特征的病毒库，成为防护策略定制的新“生产资料”。

威胁情报赋能同样提升终端能力。在终端安全领域，基于各个端点广泛的检测、攻防、行为等数据，后台对各信息进行聚和、关联分析。形成威胁情报后，进而指导终端做出响应。终端安全领域，传统以特征库升级为主，威胁情报技术已产生了深刻的变革。除此之外，威胁情报还能用在传统产品上，如防火墙、IDPS 等，形成实时的最新策略。同时，威胁情报还可以应用到业务安全中，如防欺诈；网络资产管理也可应用。随着威胁情报逐步普及，市场持续扩大，IDC 预计 2021 年市场规模达到 22 亿美金。

终端安全领域格局已变——传统没落，新王当立

终端安全市场持续增长。根据《IDC 全球企业级终端安全预测，2018-2022》数据，2017 年全球企业级终端安全市场规模达到 61.46 亿美元，2022 年将超过 92 亿美元，年复合增长率 8.6%。其中传统 EPP 产品增速已经放缓，而 EDR 产品成为重要增长动力。

终端领域著名玩家众多，但行业领导者已经更替。无论是企业级终端市场，还是消费级终端市场，最耳熟能详的是 McAfee（迈克菲）、Symantec（赛门铁克 -诺顿）、Kaspersky（卡巴斯基）等传统杀毒软件厂商，多数消费者在购置 PC 时也使用他们的预装安全产品。在企业级终端市场，传统厂商市场份额较高， Symantec、Trend Micro（趋势科技）、McAfee 占据了 40%的市场份额。然而根据 Gartner 最新的终端安全魔力象限，新兴终端安全厂商 Crowdstrike 已经跃升为行业领导者。Crowdstrike 在技术和市场上均表现优异，虽然当前市场份额仍较小，但是超高速增长下，公司持续侵蚀传统厂商的份额。公司基于云原生的 SaaS 方案，已经开始颠覆行业格局。

防火墙龙头也纷纷加大终端布局，但思路仍以边界为主。传统防火墙类厂商将内网按照边界圈起来保护，但随着移动办公、云和多种 IOT 终端的兴起，边界正被不断打破。边界外的终端设备对整个网络造成风险，因此防火墙厂商均加入了终端安全模块。边界安全厂商的优势在于基于自身防火墙平台，打造云网端一体的防护。因此，防火墙龙头通过收购，纷纷加大了终端布局；但是基于防火墙厂商的发展路径，终端更多是整体解决方案的补充。目前在终端领域，海外边界安全厂商仍处于追赶者角色。

Fortinet 在 2019 年 10 月收购终端安全公司 enSilo，增强了公司安全平台的终端解决能力。enSilo 在被收购之前就已经是 Fortinet Security Fabric 的合作伙伴，并已完成与 FortiGate NGFW，FortiSandbox 沙盒方案，FortiSIEM 和 FortiClient Fabric Agent 的联动。

Palo Alto Networks 在 2014 年 3 月以 2 亿美元收购一家安全初创公司 Cyvera，其旗舰产品为 TRAPS。 TRAPS 对未修复的漏洞、无文件攻击、应用漏洞利用均有较好的效果，但是缺乏事后补救工具和响应机制，仍需要其他产品配合。 Palo Alto 始终认为防护才是最重要的，检测和响应永远只能是其次；这个理念和近两年企业安全的主流价值观存在一些冲突。公司以网络端为核心，NGFW 边界平台提供强大支撑， TRAPS 成为与防火墙联动的模块，是整体方案的有益补充。

终端安全领域赛道拥挤，Crowdstrike 通过新技术突围。目前终端安全玩家主要分为三类：传统杀毒厂商、网络安全厂商（收购）、新兴终端厂商。纵观终端安全发展历史，传统杀毒软件厂商众多，且依然占据较大市场。然而终端领域已经不再是基于特征库签名的 McAfee 和 Symantec 主导的时代，新兴厂商基于白名单、AI 等技术已经得到市场认可。相比于其他新兴终端厂商，Crowdstrike 基于云端平台，通过威胁情报、大数据、AI 等新技术成为行业领导者，市场上的高速增长，也确认了公司成为终端安全的新王。

终端安全的云化：从 Crowdstrike 看云端颠覆

基于云的终端安全，Crowdstrike 带来技术和商业模式双重变革

终端领域的 SaaS，Crowdstrike 新架构重塑终端安全。Crowdstrike 成立于 2011 年，由两位传统杀毒软件 McAfee 的高管创立。公司以威胁情报起家，开启 EDR 产品的黄金赛道，不断推出新产品实现交叉销售。公司曾因索尼影业遭黑客入侵事件，“特朗普通俄门”事件而名声大噪。相比于传统杀毒厂商基于特征签名只能解决已知威胁，公司创建了一个云安全平台 Falcon，基于大数据和 AI 的主动防御平台，以 SaaS 的模式提供多种安全服务，包括端点安全、安全与 IT 运营、威胁情报，能够解决未知威胁。终端安全基于各种海量设备布置（PC、服务器、移动、 IOT、虚拟机云工作负载等），SaaS 模式让各端点更简单的部署、扩展和管理，迅速得到市场的欢迎。

公司核心技术是基于云端的威胁图平台，以及基于海量终端的轻量级代理。

威胁图（Threat Graph）： Falcon 平台的动态威胁数据库。威胁图基于云原生架构，汇聚海量终端的数据，同时利用自有的和第三方的威胁情报，通过 AI 和模式匹配技术来寻找恶意活动，包括攻击能力，动机，归因和威胁指标。威胁图每周实时处理，关联和分析全球客户中超过 4 万亿个与端点相关的事件，使每分钟的攻击决策指标达到 1.34 亿，并为数十亿字节的历史数据编制索引以进行探索和搜索。各端点独立的事件看似没有直接关系，但是通过 AI 的分析，可以挖掘未知威胁。威胁图可以为客户提供实时和历史的可见性，深入了解端点处发生的事件。

轻量级代理（Lightweight Agent）：Falcon 平台对于每个终端放置的“传感器”。代理设计轻巧，消耗 CPU 少于 1%，且无需重启部署，以静默的方式自动执行，每个传感器每天传输约 5-8 MB，对用户终端没有干扰。该传感器主要是捕获和记录终端数据，上传给 Falcon 平台，并保护终端安全；且保留了端点上必需的本地检测和预防功能，在离线情况下也能工作。轻量代理实现了数据众包的模式，每个端点均贡献自身的威胁数据，形成广泛的网络效应。该传感器以机器学习的方式工作，同时还能兼容本地的第三方杀毒软件。

产品模块持续迭代，跨入 IT 运维领域。威胁情报当前已经成为网络安全建设必不可少的“生产资料”，Crowdstrike 也是以威胁情报起家，通过将威胁情报赋能，不断推出新的产品，例如终端安全领域的 EDR 引领行业变革。公司从 2017 年 2 月开始，开始由单一产品向多模块发展，实现交叉销售和多模块集成订阅。凭借公司掌握的海量终端，公司进一步衍生至 IT 运营业务，现在已经覆盖端点安全、IT 运营、托管服务、威胁情报、云安全。2020 年 9 月公司以 9120 万美元收购 Preempt Security，加强零信任的能力，进军身份保护领域。同时，公司 2020 年推出 PaaS 安全平台 CrowdStrike Store，支持第三方安全应用，打造 SaaS + PaaS 的完整安全生态。公司模块数快速增加，已由 2020 年初的 11 个模块，发展至当前的 16 模块，多个模块预计在 2021 年推出。

模块增加，带来产品组合价格提升空间。终端领域成为 Crowdstrike 掘金的第一蓝海，公司按照部署端点数量和时间进行订阅收费，提供专业版、企业版、高级版多种产品组合。随着产品模块供给端的增加，以及组合灵活性的提升，产品价格也有所提升。专业版以NGAV为核心，价格由6.99 提升至8.99 美元/月；企业版以NGAV 和 EDR 为核心，价格由 14.99 提升至 15.99 美元/月；高级版以 NGAV、EDR、IT Hygiene 为核心，价格由 17.99 提升至 18.99 美元/月。公司产品没有本地版本，自始至终坚持订阅模式，占营收比达到 91%。

海量终端下，Crowdstrike 开启七大增长战略。海外来看，终端领域一直有传统杀毒软件厂商占据。Crowdstrike 是基于云模式的 SaaS 终端安全产品，其成长逻辑优于传统设备厂商，大量客户可以实现快速海量终端部署，且云端助力比本地产品具备更好的效果。基于公司 Falcon 平台技术的领先性，公司具备替代老一代产品的能力。同时，不断丰富的产品模块供给，也提供了多种交叉销售的市场机会。而海量的移动、物联网终端也是公司新的增长点；同时还有机会切入 IT 运维等非安全领域。在政府客户和全球市场，公司也持续投资布局深入。

业务边界扩大，Crowdstrike 覆盖市场空间持续增长。公司以威胁情报起家后，凭借 Falcon 平台云原生的架构，不断赋能和挖掘新的功能模块。Falcon 也成为公司的孵化器，不断推出新产品，进入终端、漏洞管理、托管服务、以及 IT 运维管理类非安全领域。根据 IDC 和公司测算，公司目前产品覆盖的市场 2021 年达到 324 亿美元，在 9%的复合增速下，2023 年有望达到 387 亿美元。

具体来看，公司各细分产品和对应市场均有一定规模，其中终端和漏洞管理较大。相对于 300 亿美元以上的市场空间，公司上一财年收入仅为 4.81 亿美元，成长空间广阔。尤其云端结合有望成为普遍的 IT 架构，随着海量移动、IOT 等终端快速增长，公司成长边界仍会持续突破

云和 AI 下的正循环，Crowdstrike 竞争优势强大

体验端：终端安全产品具备 C 端触角，云端 SaaS 用户体验成为关键因素之一。PC 上的安全软件是企业和消费者用户最常接触到的安全产品，传统模式下本地安装，配合实时更新的病毒库，整体产品较为臃肿，对本地 CPU 及内存消耗较大，因此常会造成“卡顿”现象。因此与网络端安全产品不同，终端安全软件用户体验极其重要，Crowdstrike 基于云原生的 SaaS 优势明显，公司可以在 24 小时内将 Falcon 平台部署到全球超过 10 万个端点，通过单一的轻量级代理，可以实施激活其他云模块。公司的轻量级代理设计轻巧，不用重启部署，也没有操作也没；且消耗 CPU 不超过 2%，每天仅需上传 5-8M 数据。经过 AI 的训练，即使离线状态也能正常工作。根据 Gartner Peer Insights“客户之声”的调查统计，Crowdstrike 在整体评价、推荐意愿、产品力、评估签约、集成部署、服务支持等多个方面位居前二，其良好的用户体验获得客户的广泛认可

技术端：众包效应显著，基于 AI 的分析形成正反馈。凭借 Crowdstrike 在广泛客户终端的部署，数据汇聚到 Falcon 平台，可以进行充分的训练，实现产品更高的检测率和更低的误报率，进而吸引更多客户，其数据贡献也会更多。新一代终端安全厂商均是以 AI 为核心技术，公司 Falcon 已经早在 2016 年就被认证为传统杀毒软件的替代品。公司在 AV-Comparatives、SE Labs、VirusTotal 等多个第三方测评中均名列前茅，基于云的 AI 技术让公司与传统厂商在性能和检测率上拉开差距。

市场端：Crowdstrike 技术能力同样深受市场认可。公司已经是 EPP 魔力象限的领导者。除此之外，根据 Gartner 终端保护平台（EPP）2019 关键能力报告，在 A 类客户中（具备“前瞻性”的小型组织，将技术建设视为竞争力，愿意在新技术上进行投入），公司关键功能排名第一。在 B 类客户（最大的组织，受到预算和人员限制，等待新技术成为主流之后再考虑实施）、C 类客户（中型组织，预算更为严格，看重产品稳定性和运营成本），公司也保持了前三名的排名。同样，在 Forrester Wave 2020 年终端保护平台矩阵中，对各厂商当前产品力、战略演进、市场地位做了 14 项评分，其中有 10 项 Crowdstrike 获得第一。

当前 Crowdstrike 主要竞争者有传统杀毒厂商 McAfee 和 Symantec，新兴终端安全厂商 Carbon Black 和 SentinelOne，分别和对手一一对比。

Crowdstrike VS McAfee。McAfee 在消费者领域的用户体验较差，臃肿的本地部署和高 CPU 消耗让用户难以接受。公司在 EDR 等新技术领域投入滞后数年，基于签名的技术已经落后于新兴的基于AI的检测。虽然McAfee近年来持续加强AI、威胁情报、云安全的投入，但当前 Crowdstrike 基于云的更轻巧的方案和更有效的全新产品更能满足客户需求，公司难以阻挡被 Crowdstrike 抢夺市场份额。

McAfee 是杀毒软件鼻祖，在市场份额和知名度上依然占据领先，目前在消费者领域，McAfee 保护了 6 亿台设备，但其近 10 年发展波折较大。2010 年英特尔以 76.8 亿美元收购了 McAfee，希望将网络安全功能整合到芯片中，以更深层次侦测网络威胁。但英特尔对 McAfee 的业务整合并不顺利，2016 年又将其出售。2020 年 10 月，McAfee 成功二次上市，市值约 70 亿美元左右。2019 年 McAfee 实现收入 26.35 亿美元，同比增长 9.38%；其中消费者 C 端实现收入 13.03 亿美元（+12%），企业 B 端实现收入 13.32 亿美元（+7%）。

Crowdstrike VS Symantec。Symantec 各产品较为分散，如 EDR 和威胁情报等均需要单独产品，多种部署方式也容易造成版本混乱。Crowdstrike 云端部署更为简洁，集成性更高。Symantec于2016年底也发布了Symantec Endpoint Protection 14 解决方案，基于终端和云端的人工智能技术，但是市场认为该产品与真正的下一代产品性能和体验上仍有差距。

Symantec 目前占据终端安全市场最大的市场份额，2019 年公司将企业安全业务以 107 亿美元出售给博通，数月后，博通又将 Symantec 卖给了爱尔兰的埃森哲，埃森哲主要从事企业咨询、信息安全咨询和运营等业务。Symantec 的消费者业务更名为 NortonLifeLock，由其收购的著名杀毒软件 Norton 和身份保护 LifeLock 组成，继续保持上市公司地位，目前市值约 120 亿美元左右。NortonLifeLock 在上一财年收入 24.9 亿美元，同比增长 1.38%。

Crowdstrike VS Carbon Black。Carbon Black 主打基于大数据分析的云交付安全平台，技术创新性与 Crowdstrike 相似。Carbon Black EDR 产品较强，但威胁情报相对单薄，且其最初的“白名单机制”有效但难以扩展。Crowdstrike 在威胁情报和服务上更为完善，且第三方测评认可度更高。

Carbon Black 成立于 2002 年，在 2014 年之前采用 Bit9 名称。公司同样聚焦下一代终端安全，其“白名单机制”技术与当时的终端产品思路完全不同。2013 年公司遭受黑客攻击，暴露终端检测和响应方面的缺陷，随即收购 Carbon Black，并 2016 年正式改名。Carbon Black 于 2018 年上市，2019 年被虚拟化巨头 VMware 以 21 亿美元收购。对于云里的“终端”——云工作负载，VMware 需要加强虚拟机、容器等新终端的安全。Carbon Black 2018 年收入达到 2.1 亿美元，同比增长 30%，收入体量已经被同期 Crowdstrike 超过，且 Crowdstrike 增速显著更高。

Crowdstrike VS SentinelOne。SentinelOne 同样强调 AI 技术的应用，在 EPP 上具备优势，但是 EDR 仍在完善中，且威胁情报功能不全面。SentinelOne 会在设备本地进行大量运算，因此 CPU 消耗高。Crowdstrike 在云端体验更好，且产品完整性和成熟度更高。

SentinelOne 成立于 2013 年，以 AI 技术前瞻性地预判出终端安全，而非出问题后再解决。公司强项在 EPP，自信可打败任何勒索软件，推出“网络威胁担保” 服务：如果客户感染了勒索软件，最高可获 100 万美元损害赔偿。2020 年 2 月，公司完成 2 亿美金融资，估值已超过 11 亿美金。SentinelOne 表示，目前 3500 多家客户中包括数百家全球 2000 强企业，并且在过去 12 个月中收入实现增长 104％。

技术和服务优势让 Crowdstrike 脱颖而出。公司产品优势主要在体验、技术、市场方面，总结来说，主要是云原生、AI、单一代理；威胁情报、7*24 小时服务、整体解决方案。公司对传统（McAfee 为代表）和同样新兴（Carbon Black 为代表）的终端安全厂商均形成压制。尤其传统竞争对手被资本裹挟较多，增速放缓，也显示其无法及时跟进最新的技术转型。而同样新兴的厂商也成为巨头布局的补充， VMware 收购 Carbon Black，重心在云工作负载的终端。同样，与 Crowdstrike 颇有渊源的 Cylance 也被黑莓收购，重心在 QNX 部门，车联网的新终端。当前终端市场预计持续增长，Crowdstrike 在技术和市场上均成为领导者，成长势如破竹

新终端龙头快速增长，SaaS 各项指标表现优异

营收快速增长，持续超预期。Crowdstrike 近年来营收增速均保持 85%以上，2019 年（2020 年 1 月 31 日年报，近似 2019 年全年业绩）公司实现收入 4.81 亿美元，同比增长 92.7%；2020 年前三季度，公司实现收入 6.1 亿美元，同比增长 85%。单 Q3 收入 2.32 亿美元，再次超出二季度指引的 2.11-2.15 亿美元。公司也再次上调全年收入指引，预计 21 财年（近似于 2020 年）收入 8.55-8.6 亿美元，增速为 78%。公司表观利润依然为负，但公司已经连续 3 个季度实现 Non-GaaP 盈利， 2020Q3 实现盈利 0.32 亿元，预计全年 Non-GaaP 也实现盈利。

订阅模式为主体，递延收入健康增长。公司以 SaaS 模式提供终端安全服务，订阅收入占比达到 90%以上。2019 年订阅收入为 4.36 亿，同比增长 99%，20Q3 增速达到了88%。随着订阅产品的增加，毛利率由16年的36%，提升至当前的77%。服务业务 2019 年收入为 0.45 亿，同比增长 50%，20Q3 增速达到 56%。得益于订阅业务的快速增长，公司 2019 年递延收入达到 5.71 亿美元，同比增长 97%； 2020Q3 达到 7.63 亿美元，同比增长 70%。

ARR 持续高增长，净留存率保持 120%以上。Crowdstrike 年度经常性收入 ARR 保持高速增长，20Q3 达到 9.07 亿美元，同比增长 81%；其中有 1.17 亿美元是本季度新增 ARR。公司 ARR 净留存率近年来保持 120%以上，FY21 Q1-Q3 虽没有具体披露，但也在 120%以上，主要是因为现有客户内部端点的扩展，以及新增的云模块订阅。公司 ARR 毛留存率也保持在 98%的高水平。

客户数保持高增长，多产品扩张路线推进顺利。2020Q3 公司订阅客户数达到 8416 家，同比增长 85%，本季度新增 1186 名客户，仍保持较高增长。同时，订阅不少于 4 个模块的客户持续增加，占比达到 61%；订阅不少于 5 个模块的客户占比也达到 44%，订阅不少于 6 个模块的客户占比达到 22%。公司不断加大产品布局，新产品认可度逐步提升。

核心 SaaS 指标亮眼。2019 年公司新增客户 2915 家，销售费用增速低于客户增速，公司 CAC 进一步下降，2020Q3 整体有所回升。ARR 增速也低于客户数量增长，新客户一般开始的订阅较少，因此 MRR 有所下降。随着客户后续订阅模块增加，预期 MRR 有望回升。公司当前季度客户毛留存率为 98%（月度水平更高），按照当前假设，2019 年公司 LTV/CAC 超过 5 倍，20Q3 也有 4.6 倍。

费用率持续下降，人员保持高增长。受益于 SaaS 模式的规模效应，公司各项费用率水平持续下降。2019 年公司研发费用率下降为 27.0%；销售费用率下降为 55.5%；管理费用率为 18.5%，比 2018 年略有上升；2020Q3 也进一步下降。公司员工数量也保持较快增长，公司 2019 年人员达到 2309 人，同比增长 58.7%。其中研发人员增速较为稳定，销售和管理人员增速较快。

现金流逐步好转。公司经营活动现金流和自由现金流均在 2019 年转正，经营活动现金流达到 1 亿美元，FCF 达到 0.12 亿美元。2020Q3 二者均有明显提升，FCF 达到 1.95 亿美元，且公司已经连续 5 个季度实现正的自由现金流。FCF Margin 也提升至 32%。

Crowdstrike 成为市值最高的网络安全公司。凭借先进的云原生架构，以及超高速的增长，公司成为网络安全领域的超新星，市值达到 450 亿美元，是当前市值最高的网络安全公司。公司当前仍在高投入高增长过程中，利润体量较小。参考 PS 估值，对于 20 年公司约 8.6 亿美元的收入指引，当前 PS 达到了 52 倍。在众多 SaaS 公司中，估值也是处于较高的一类。公司开辟了终端安全 SaaS 模式，不断的网络攻击，以及海量的终端市场，均是公司持续增长的动力，市场也给予了极高的期待。

国内终端安全需求重启，新领域成必争之地

国内终端安全发展史：杀毒软件时代被免费终结

江民、瑞星、金山主导杀毒软件的黄金时代。早期盗版系统和软件广为流传，网络病毒和木马泛滥，最臭名昭著的是“熊猫烧香”病毒，它将 PC 系统里的多种文件锁定成熊猫图表，中毒企业和政府机构已经超过千家，迅速传播造成极为恶劣的影响。同时，在 PC 产业发展初期，电脑相对来说仍是“奢侈品”，因此杀毒软件成为终端安全的刚需品。国内第一代杀软厂商以江民、瑞星、金山为代表，以光盘出售产品，且当时 100-200 元的价格并不便宜，却受到了市场的广泛追捧，掘到了市场第一桶金。

首先是江民，发布国内第一款杀毒软件，1996-1998 年快速发展，KV300 曾占据市场 80%的份额；公司为了反盗版，在产品中加入了“逻辑炸弹”，也一度遭到市场巨大谴责。然后是瑞星，通过 OEM 的方式，与各个 PC 厂商合作，迅速扩大市场份额，桌面小狮子形象深入人心；在 CIH 病毒肆虐时，公司做到第一个清除病毒，也一战成名；鼎盛时期，公司一年杀毒软件能卖 7 亿元。最后是金山，金山毒霸以低价的市场策略起步，很快市场份额升至第二，仅次于瑞星；后期更是率先宣布“软件免费、服务有偿”，通过升级病毒库收取月费和年费。因此，在 2000 年左右，光盘杀软时代形成了江民、瑞星、金山三足鼎立的态势。

360 以免费杀毒最终接管消费者的 PC 桌面。互联网与 PC 的普及，也将杀毒软件带入网络时代，同时也吸引了 McAfee、Norton 等海外厂商的进入，面对新型的攻击，技术上也有进步，但商业模式变化并不大，部分厂商开始向企业级市场切入，比如瑞星。2005 年，360 免费杀毒横空出世，激进的产品策略以及强烈的广告宣传下，尤其是消费者的 PC 迅速被 360 占领。而 360 以此为入口，通过游戏、广告等互联网打法迅速变现，成为互联网安全龙头。随后，桌面杀毒软件也进化成更互联网化的“安全管家”版本，提供多种非“杀毒”类的功能，承载了用户 PC 管理和运维的工作。时至今日，360 在 PC 安全产品的市场渗透率为 97.84%，持续排名市场第一；同时，360 凭借云端的“安全大脑”，进一步开拓政企市场。

Windows 进一步内嵌杀毒软件，也挤压了第三方杀毒软件的市场空间。微软早年通过收购也形成了自己的终端安全能力，并于 2005 年就推出了测试版，2009 年微软正式推出免费独立杀毒软件 Microsoft Security Essentials（MSE），但 2013 年 MSE 在 AV-TEST 的测试中成绩极差，因此也一直没有成为市场的选择。桌面上运行的安全软件，需要和操纵系统进行适配，同时对 PC 性能产生一定影响。因此，基于 Windows 系统天然的优势，微软 Microsoft Defender 持续进步，已经连续两次在 AV-TEST 中排名第一。AV-TEST 是位于德国的独立组织，评估基于 Windows 系统的杀毒产品；在 2020 年 8 月发布的“家庭用户最佳防病毒软件” 报告中，Windows Defender 在三个关键类别（性能，保护和可用性）上获得了满分，与多家知名杀毒厂商并列第一。随着 Microsoft Defender 在 Windows 最新操作系统的原生集成普及，以及消费者对于杀毒产品的淡化，消费领域的第三方杀毒软件市场进一步被挤压。

免费让终端安全被市场忽视，但攻击并未减少，而是转向企业级。早期的病毒制作都有“炫技”的成分，如“熊猫烧香”会直观的将用户 PC 破坏的面目全非。对于黑客组织而言，隐秘的在“地下”盗取数据而不暴露是更有利的，而且企业级客户的价值显然更大。因此近年来在消费者领域，大规模安全事件在逐步减少，但网络安全风险却没有丝毫下降，政企市场仍面临严峻风险：如 2017 年“永恒之蓝”，以及最近的 Solarwinds 事件。根据微软的调查，44%的攻击是面向 IT 基础设施单位，政府、金融领域也是被攻击的常客。从国外市场来看，消费级安全市场仍有传统杀毒厂商主导，企业级终端安全市场成为发展方向。

市场、政策、技术推动企业级终端安全市场重生，成为安全必争之地

终端安全是长期被忽视的优质企业安全赛道。以杀毒软件为代表的终端安全，是消费者最常接触的产品，但是国内消费级市场已经被免费策略归零，互联网厂商仅仅把安全作为获取消费者的入口。随着近年来勒索病毒肆虐，企业级终端安全市场逐渐升温，且有望演化出新的商业模式。目前Gartner将终端安全市场分为三类产品：其中针对 PC 及其他移动设备的终端安全包括 EPP（包括防病毒、个人防火墙、端口及设备控制等功能）和 EDR（和 EPP 相互融合、但目前仍为独立市场），而 CWPP 主要包含指针对物理机器、虚拟机、容器和无服务器工作负载的安全产品。另一方面，根据赛迪的分类，除了终端防病毒（EPP）和终端检测响应（EDR），终端安全领域还包括主机监控、终端管理等产品，帮助企业统一管理和审计数量庞大的终端设备，也是企业级终端市场常见产品。

勒索病毒持续肆虐，近年来终端安全行业增速向上。北信源是终端安全领域最早上市的公司，终端安全产品线全面，主打终端安全管理，也有防病毒类产品，主要面向政企市场。溢信科技也是以终端安全业务为核心，主要包括主机监控审计、终端检测响应、终端安全管理，当前已经终止了上市。虽然公司收入规模仍较小，但也服务了 2 万家企业，超过 500 万台终端。2017 年由于“永恒之蓝”wannacry 勒索病毒爆发，全球 IT 产业均遭受重创。受到事件催化，政企对终端安全投入增加，两家偏终端管理类的安全厂商从 17 年开始增速显著向上。2016 年全球 RSAC 大会中，下一代终端安全成为热点，端点技术正经历由防病毒到威胁检测和响应的复兴，而 EDR 类产品也从 17 年开始进入国内市场范畴。国内终端安全市场也吸引了更多玩家，行业整体开始加速。

市场、政府、技术三方面原因推动企业级终端安全市场重塑：

政策方面，等保 2.0 带来市场对“主机安全”重新关注，涉及操作系统和数据库多个控制点。同时，等保 2.0 相比 1.0 在二级和三级系统测评中，更加注重了“处置安全事件”和“监测攻击行为”，而这正是以 EDR 为代表的新一代终端安全的价值点。市场方面，勒索病毒泛滥带来企业级内生需求。根据腾讯安全 2018 年的《医疗行业勒索病毒专题报告》，在全国三甲医院中，有 247 家医院检测出勒索病毒。其中以广东、湖北、江苏检出的勒索病毒最多。根据最新腾讯安全威胁情报大数据，传统企业、教育、医疗、政府机构遭受攻击依然最为严重。

技术方面，终端已成为安全体系的必选项。上文分析了终端安全向 AI、大数据、威胁情报等技术的发展，EDR 产品的推出也带动了终端市场的革新。但从整个安全体系建设来说，终端已由可有可无变成不可或缺，尤其是在建立全网态势感知的层面，需要云、网、端的联动。终端仍是被攻击和入侵的主要对象，也成为了云端威胁情报获取的天然“探针”。而国内多数企业安全公司是从网络端起家，一开始并没有终端安全能力。近年来，通过自研和并购，传统网络安全厂商也逐步补齐终端产品线。因此在政策推动和市场需求下，随着技术升级带来的更替市场，终端安全市场呈现快速发展。

此页面上的内容需要较新版本的 Adobe Flash Player。

信息安全

委员会简介

最新动态

基础软件