奇安信:高增长的背后,探究网安龙头的成长密码(深度)| 国君计算机
公司深度系列
— 作者:李沐华 —
1.奇安信核心竞争力之一:最全产品线与解决方案
1.1.起步于终端安全和网关产品
奇安信是国内政企网络安全龙头,产品线最全,to B安全收入体量最大。2014年6月成立以来,公司在网络安全市场“高举高打”,数年时间即跻身至行业头部。公司网络安全产品营收由2017年6.71亿元增长至2020年41.00亿元到42.50亿元(业绩预告数据),远高于行业整体增速。高速成长固然与公司突出的战略目标、市场打法相关,在背后起到关键支撑的则是全面的产品布局、扎实的解决方案提供能力。许多人认为网络安全产品同质化程度较高,技术不那么重要,奇安信是如何做的?我们从公司起步的终端安全领域展开分析。
终端安全是以往政企网络安全的薄弱环节,也是最难做的产品之一。原因在于,其他的IT产品如服务器、交换机,都有专业的运维人员负责,而使用PC终端的人多不懂技术,容易“中招”。从供给的视角看,传统的技术手段强调网络隔离、网络拦截,但缺少纵深防御能力。面对APT(高级可持续威胁)这样的新型攻击,终端是攻击的起点和终点,传统手段往往是无能为力的。这也说明网络安全行业具备强技术壁垒,特别是在攻防对抗技术迭代的背景下,头部企业需要保持领先的安全技术水平,以满足网络威胁对抗能力需求。
奇安信2014年切入终端安全市场。公司最初做政企客户的国产替代,受益于国产化产业大趋势,逐步取代赛门铁克、迈克菲这些海外厂商。后推出一体化终端管理产品天擎,为软件形态,采用license收费模式,具有集中管理和控制、终端安全防护、漏洞和补丁管理、运维管控、移动存储管理、主机审计、EDR(检测与响应)、威胁评估和终端数据安全等9大功能模块,包括约60项细分功能。特别强调的是,天擎不只是一款传统防病毒软件,而是融合了EDR这一主动的安全方法,能够让用户知道攻击者何时进入网络,并在攻击发生时检测攻击路径,帮助用户及时对安全事件作出反应。EDR的优势还体现在对大数据和AI的应用上,对未知威胁的应对能力更强。
2019年7月通过技术迭代推出新版天擎。新版终端安全产品对病毒扫描引擎、行为管理引擎、云端支持平台这些核心构成部分进行了升级替换,确保了公司在技术、知识产权上的自主化。2020年4月,新版天擎通过了国际权威反病毒实验室Virus Bulletin组织的VB100测评。
国内终端安全市场中,奇安信位列榜首。根据IDC的统计数据,奇安信2019年以23.5%的份额位列国内终端安全市场第一,其次为亚信安全和迈克菲,前三家合计占据近40%份额。纵向看,外资厂商正逐渐退出国内市场,本土厂商由于政策原因而潜力更大,深信服、天融信、绿盟科技等也在参与其中;横向看,国外多采用SaaS订阅制,国内一次性销售模式在未来有升级的可能性,进度要考虑B端、G端客户对SaaS模式的接受程度。根据招股说明书,2019年,奇安信天擎中标多个行业龙头企业订单,相关收入达到4.22亿元,同比增长121.85%;产品平均单价为76.39元,同比增长25.13%,提价源于功能的日益完善。
1.2.产品线不断扩充,重点布局新赛道
通过外延并购完善产品线。进军终端安全市场后,奇安信同步开启产品线的扩充,主要采取并购的形式。根据招股说明书,截至2019年12月31日,在纳入并表范围的53家子公司中,有27家为收购取得。这说明在网络安全市场中,快速起量并非易事,奇安信的崛起并不代表行业壁垒低。2014年,奇安信收购网神股份,其产品覆盖边界安全、安全检测、安全隔离、主机安全及安全管理五大领域;赛迪顾问2015年发布的报告指出,网神的优势产品包括防火墙、IDS/IPS、VPN、SOC等;网神在奇安信体系中地位重要,2019年实现营收28.21亿元,占奇安信合并报表营收的89.43%。2016年,奇安信收购网康科技,布局了上网行为管理、流量管理市场。
目前,奇安信网络安全产品包括三类:基础架构安全产品、新一代IT基础设施防护产品以及大数据智能安全检测与管控产品。公司的产品体系同信息化的发展和攻防技术的演进相伴相生,在安全牛2020年3月发布的第七版中国网络安全行业全景图中,覆盖全部15个一级安全领域和71个二级细分领域,是入围细分领域最多的网络安全企业。
重点细分赛道份额与技术领先。类似于其他头部网络安全厂商,面对碎片化的市场,奇安信同样在一些细分赛道上具有规模和技术的优势。根据赛迪顾问2020年8月发布的报告,2019年,公司新一代IT基础设施防护产品体系中的终端安全领域、大数据智能安全检测与管控产品体系中的安全管理平台和云安全领域、安全服务市场份额第一。公司的终端安全技术、第三代安全引擎技术、大数据安全分析技术、漏洞挖掘技术、软件定义安全技术、威胁情报技术等处于行业领先地位。
在新赛道上重点布局。网络安全行业的新赛道是未来的主航道,梳理各大网络安全厂商产品线,可发现基本都在围绕态势感知、云安全、SD-WAN、工业互联网安全、身份安全、物联网安全这些新兴领域进行扩充。奇安信的差异体现在两点。
研发投入的强度。奇安信2019年研发投入占营收比例依然高达33.20%,全部费用化,而行业平均水平约为20%。这固然与规模效应尚未完全显现有关,但奇安信对云计算、大数据等新技术运用下产生的新业态、新场景重点投入,研发涉及的领域也十分广泛,项目数量较多。另一点在于,奇安信一直强调对研发平台的建设,把核心技术能力以平台的形式在公司内部输出,包括网络流量智能解析与调度、安全大数据存储与分析、安全可视化分析与展示以及云端安全管控能力,避免重复研发。
聚焦行业头部客户,影响力巨大。以态势感知这一产品为例,可分为监管侧与被监管侧,二者对产品的需求特征不同,因而项目体量、产品技术架构也有所区别。奇安信、安恒在监管侧的安全职能机构有较大影响力;深信服则深耕被监管侧的SMB市场。奇安信的相关产品分为三类,差异化在于大数据驱动:①网络空间安全态势感知与通报处置平台,对整个城市的攻击做研判,2017年曾为国家主管部门提供WannaCry勒索病毒全国爆发实时情况;②NGSOC,应用在企事业单位总部,主要是网络安全数据的分析处理;③天眼,具备实网攻防能力,使用天眼的防护单位在演习中表现突出,用户的真实攻防体验好。除了政府和监管部门以外,来自大型企业的收入也在拉动奇安信的收入增速。
1.3.解决方案为何重要:从甲方视角把握解决方案的意义所在
解决方案是“甲方视角”的产物。网络安全产品、服务、解决方案,三者看似不好区分,其实把握住“甲方视角”即可。在一份合同中,网络安全厂商是乙方,需要向甲方交付不同功能的各条线安全产品,产品的参数也满足要求,但甲方的安全防御体系就构建完成了吗?其实未必,可能还有很远的路要走。网络安全厂商需要站在“甲方视角”,对标甲方信息系统保障的本质需要,将产品深度耦合为解决方案。
基于统计网络安全行业市场规模的三种方法,我们具体探讨解决方案的意义所在。第一,根据产品细分,如硬件、软件、服务这样的三分法,或是防火墙、IDS/IPS、Web安全、终端安全、VPN这样的功能划分法,然后加总求和;第二,根据场景细分,特别是新场景,如云计算、物联网、大数据、工业互联网、移动安全等;第三,根据下游客户所处行业细分,传统行业最典型的便是政府、运营商,仍有较大挖掘潜力的如教育、医疗等行业。
随着数字化转型不断深入,政企客户IT体系发生巨大的变化,信息资产数量增多、价值提升,网络安全的威胁来源和攻击手段也趋向复杂。传统上局部的、零散的、依靠单点技术的安全产品,由于缺乏联动,难以满足全面的网络安全要求。一般来说,客户根据业务应用的差异在不同区域部署相应的设备,比如在网络出口部署防火墙、入侵检测设备,Web服务器区前部署Web防火墙,终端部署管控与杀毒等。但各类产品配置方法和监控日志形式各异,运维管理非常复杂;而且,仅采购和简单“堆砌”几类产品,也难以阻挡恶意的网络攻击。政府、企业构建全面的安全防护体系显得尤为重要,不过由于内部安全技术人员的匮乏,整体的网络安全解决方案受到期待。
云计算、物联网等新业态、新场景需要相应专业有效的安全解决方案。从有线网络到无线网络,从互联网到物联网,从数据到大数据、云计算,信息技术的发展日新月异,网络安全也被赋予了新的内涵。云计算的广泛应用引入了云安全、虚拟化安全这些新兴概念,分散的物联网终端可用于发起网络攻击,工业互联网的演进让工业网络安全成为焦点。安全厂商提供的“打包式”解决方案将更有针对性,我们以云计算为例,具体展开分析。
下游客户的行业属性、需求特征指引对应的安全解决方案。一般来说,网络安全行业的下游客户先将安全建设需求汇总后确定建设方案,然后通过项目招投标的方式来确定供应商。对于网络安全厂商而言,将产品、服务以提供解决方案的业务模式实现,既可解决客户的安全难点,也可拉动自身的产品系列整体销售,提升市场占有率。当然前提是产品线要完备,正如华为安全产品领域总裁宋端智所说,政府客户一般不会仅仅因为单个产品出色就选择某个厂商。根据国君计算机团队对行业的跟踪,政府、特殊行业、运营商、金融这些传统客户的市场规模增速正在逐渐放缓,增量在于等保2.0这类的新政策和态势感知等新产品,而教育、医疗、公共事业、交通等行业由于渗透率低,还有较大的增长潜力。
1.4.主打技术、行业、渠道三类解决方案
解决方案不少见,少见的是出色的安全理念。就拿行业解决方案来说,一家厂商总归在某个或若干个行业深耕过,有拿得出手的解决方案,也能够落地创收。奇安信最大的特色在于提出了一些靠前的安全理念,反复强调国内安全投入占比依然偏低,在行业内外形成了相当的影响力。“数据驱动安全”、“44333”、“内生安全”等在公司材料和董事长齐向东的演讲中常常看到,这些理念夯实了公司将产品协同联动起来的能力,并在解决方案中得以实现。
致力打造“三位一体”的网络安全防御体系。奇安信网络安全解决方案由产品出发,分别是低位(设备和软件防御能力)、中位(大数据人工智能分析态势感知能力)和高位(威胁情报收集与分析能力)。低位相当于一线作战部队,中位相当于指挥中心,高位相当于情报中心。产品不是用于堆叠的,而是基于“数据驱动安全”的技术理念,强调各个层面的设备体系化的协同联动效应。在1.0时期,采用大数据技术来提升安全产品的检测与响应能力;在2.0时期,通过数据来增强技术协同与人机协同;在3.0时期,提出了整体防护和系统规划的新安全思想。
推出技术、行业客户、渠道推广三类解决方案。技术解决方案是对软硬件产品的升级组合,对某一类问题的适用性更强,如零信任身份安全解决方案针对远程办公情境下企业业务系统的安全问题,其他的技术解决方案还包括等保2.0解决方案、大数据安全解决方案等。行业客户方案主要对接奇安信重点服务的政府部门、央企、银行等单位,公司对不同行业的需求差异、客户的需求演变等问题有较长时间的把握,解决方案能够与其信息化环境深度融合。渠道推广方案是一个亮点,这类方案与渠道深度绑定,促进了渠道伙伴的做大做强;奇安信有两类渠道,一类是面对中大型终端客户的项目合作伙伴,另一类是面向SMB的经销商,2019年带来的营收分别为12.51亿元、9.08亿元。
2.奇安信核心竞争力之二:业内最强大的安全服务团队
2.1.安全服务大时代正在到来
安全服务市场仍是蓝海。国内安全服务市场依然是一片蓝海,目前渗透率较低,启明星辰首创了城市安全运营业务,而奇安信则因安全服务人员规模的高速扩张和在一系列网络安全活动中的表现而受到关注。我们先从安全服务市场的基本情况谈起。
全球网络安全服务与产品市场接近五五分。在欧美发达地区,安全服务市场已较为成熟。根据Gartner的统计,2019年全球安全服务市场规模为619.22亿美元,同比增长6.30%,占网络安全行业市场规模的49.78%;其中,安全托管、安全咨询分别占安全服务市场规模的18.73%、36.90%。2019年安全产品(即软硬件)市场占比达到50.22%,首度超过服务市场,原因在于风险管理产品等新类别的加入。
我国网络安全服务市场占比明显低于全球水平。中国网络安全市场起步较晚,且安全服务市场处于萌芽发展阶段,故结构分布上与海外有较大差别;但整体服务能力与国际水平接近,根据国情提供的个性化服务更具优势。根据IDC预测,2020年我国安全服务市场规模为22.25亿美元,占网络安全行业市场规模的28.2%,低于全球水平近20%;我国安全服务市场最大的三个细分子市场依次为安全托管(包括驻场托管、远程托管、云托管)、安全集成、安全咨询。而2020年硬件、软件市场占比分别为53.5%和18.3%。安全服务占比偏低,原因无外乎以下几个方面。
合规作为行业的主要驱动力之一,促进了行业规模的增长,但在促进客户安全意识提升这方面的作用较有限。许多客户的目的是通过合规检查,购买一些硬件盒子,有的甚至可能没有把设备真正用起来;也有的客户买了安全服务,但也是合规目的,如简单的系统评估、安全加固等服务,内容较为单一。
安全服务本身不直接创造价值、效率,且不存在实体,较难确定实际价值。网络安全是信息化的配套工程,过去一段时间内仅仅是一种辅助性的职责,在资金保障上并未和信息化同步。一些政企客户由于财务方面的原因,更倾向于购买安全硬件这类的实体产品,方便入账。
服务的质量与水平较低。许多人对安全服务的印象是安装产品、做售后,但这只是产品的附加品。同时,过去安全服务的技术手段相对传统,更多在于人工检查、加固以及渗透测试等,形式单一。
但近几年来,两股力量开始加快网络安全服务的布局,主因是需求侧开始意识到了安全服务的价值。一方面,数字化转型、护网行动成为行业新的驱动力,安全建设的攻防属性强化,目的由合规向“有用”转型,“安全产品+安全服务”的整体解决方案更受欢迎。另一方面,政府这类单位对安全服务的接纳程度在增强:在重大活动期间购买安全服务,如有媒体报道,北京世园会期间,相关部门支付近200万元保障信息及网络安全;到采购日常的安全服务项目,特别是政务云将传统IT交付方式转变为服务交付方式,政务云安全服务也被政府所认可。
网络安全厂商:聚焦传统安全服务和城市安全运营业务。前者包括渗透测试、漏洞扫描、网站监测、源代码审计、应急响应等服务,后者代表着类云业务的模式,核心是数据分析服务与安全能力输出。财务端,总体来看,安全服务在各大上市公司收入中的占比较低,但增长速度高,毛利率的差别同业务具体构成有关。城市安全运营业务尚处在蓝海阶段,根据国君计算机团队的产业调研和测算,其带来的新增市场空间在数十亿元级,且客户粘性强,奇安信、启明星辰、深信服、绿盟科技都有布局,但市场整体渗透率低,大家之间还没有明显的竞争。
公有云厂商:进军安全云。我们要区分云安全和安全云这两个概念,云安全指云平台的安全问题,安全云是提供SaaS形式的服务和产品。公有云厂商在提供自身云平台的安全防护之外,还可以订阅的形式进一步提供安全服务。以腾讯云为例,其提供T-Sec安全专家服务,可以提供安全咨询、网站渗透测试、应急响应、等保合规等服务,帮助用户在上云前、中、后获得合适的安全解决方案。
2.2.奇安信服务团队规模最大,深耕应急护网重保
奇安信拥有国内目前最强大的安全服务团队。根据招股说明书,奇安信至2019年末技术支持及安全服务人员共2545人,占比为36.91%。分拆这部分员工的具体构成,包括应急响应团队、售前团队、产品服务交付团队,2017年以来增长最为迅猛的是应急响应团队,强调实战能力,能快速铺至客户的业务现场,至2019年末共1243人,侧面验证了奇安信在全国范围内的网络安全活动中的高活跃度。未来,相较于营收增速,公司人员数量的增速会有所放缓,核心员工的保有率及中长期职业发展是重点关注的内容之一。
奇安信满足政企客户三大需求:应急响应、护网和重大安保。应急响应事件中,政府部门、医疗卫生、事业单位三大行业的办公终端和业务系统是网络攻击者的主要目标。仅2019年,奇安信即处置千余起网络安全应急响应事件,参与了27个部委、30家央企以及22个省市客户的护网工作,参与了国家和地方重大活动网络安全保障任务50余次,其中包括投入超过1000人支撑70周年国庆网络安保。2019年12月,公司成为北京2022年冬奥会和冬残奥会组委会网络安全服务和杀毒软件赞助商,将为两大赛事提供系统的网络安全保障。
奇安信为什么如此活跃?我们的理解是,公司参与这些活动,与客户面对面打交道,在解决了客户应急、护网、重保这三大需求的同时,获得了与客户合作的粘性、认可度,客户有问题时会想到奇安信。
一方面,做大安全服务收入。网络安全“三同步”来临,即和信息化同步规划、建设和运行。在规划阶段,奇安信提供安全咨询与规划服务;在运行阶段,提供安全分析与响应服务;同时,将实网攻防和数据运营等应用于运行阶段,改造了传统的安全服务,形成安全评估与测试服务、安全情报和运营服务。分析公司财务数据,有两个发现:第一,最“高调”的安全分析与响应服务收入占比较低,表明公司目前在这方面以“打市场”为主;第二,公司安全服务的“人效比”仍较低,处于投入初期的阶段,以安全服务收入除以应急响应团队人数,可得2019年人均创收29.55万元,是公司整体水平的65%,伴随公司进入高质量发展阶段,更强调精细化、高效率,人均创收水平有望逐步提升。
安全咨询与规划:通常在客户项目建设之前进行,提供网络安全框架体系的规划设计。2018年后,公司把业务关口前移,从单纯的产品供应商向甲方规划咨询服务商转型,参与的项目都是3-4年。具体包括,①网络安全体系规划设计服务,帮助政企进行安全体系规划;②分保安全服务,主要针对一些单位的涉密信息系统安全建设;③等保安全服务,基于等保2.0标准,提供安全评估服务。
安全分析与响应:在客户已经具有网络安全防护体系并全面运行的过程中进行,通过分析来发现客户的系统是否存在被攻击等安全事件,并对安全事件进行响应处置。具体包括,①应急响应服务,在用户发生安全事件时,提出解决方案;②追踪溯源服务,确定网络攻击源,采取隔离等手段限制攻击;③实战攻防服务,协助公安、网信等监管单位组织护网行动,在不破坏系统的前提下,以实战化的形式检验参演单位安全防御体系;④安全重保服务,确保重要活动期间的关键信息系统和数据资产安全。
安全评估与测试:为客户评估其已有的网络安全系统是否完善,以及是否存在的问题和缺陷,并给出修补措施和建议。具体包括,①风险评估服务,发现可能存在的安全漏洞和风险;②失陷检测服务,定位Web应用系统访问日志中的攻击者痕迹,复盘入侵事件;③资产发现服务,探测企业互联网资产的暴露面;④下一代渗透测试服务,提供渗透测试、补天安全漏洞情报、Github泄露监测等服务;⑤红队评估服务,模拟黑客APT实战攻击的手法,发现企业系统、技术、人员和基础架构中存在的安全隐患和薄弱环节。
安全情报与运营:为客户的信息及网络系统的安全运行及安全评估与测试服务、安全分析与响应服务提供可靠的情报支撑。奇安信安全运营模式的创新体现在“两产品、两服务”上,①以威胁情报为代表的数据订阅云化产品;②基于云计算的安全运营云化产品,客户可以将网络或终端防护托管给公司的云端安全清洗中心,公司实现多租户的云安全服务;③基于远程平台支持安全运营服务,由公司专家远程支持现场工程师;④基于城市/行业安全运营中心的“管家式”安全服务,为支付服务费的客户提供优质的网络安全防护服务,包括在客户现场安装必要的设备和派出必要的人员。
另一方面,拉动网络安全产品、解决方案的销售以及老客户的复购。安全服务不应只看重收入,还应关注能带动多少产品的销售。通过专业化的服务,为用户提供良好、有效的解决方案,将给网络安全厂商带来积极的市场反馈。根据公司投资者关系活动记录材料,以护网行动为例,由于其强调实网作战,拉动了态势感知、NGSOC、天眼等检测类产品收入在2020年前三季度的高速增长,整体同比增速达到60%;也带动了云安全、工控安全这些新赛道相关产品的销售。这样就形成了一个闭环,产品使得安服效率提升,安服经验又有利于产品解决更多问题。
2.3.首发募资涉及两大服务项目
公司首发募资建设项目中,涉及安全服务的主要为安全服务化建设项目、工业互联网安全服务中心建设项目,体现了公司经营战略的发展方向。
安全服务化建设项目主要围绕安全运营服务和云端SaaS(安全云)服务。奇安信打造安全服务化体系,是对网络安全产品的补充,符合国家政策导向。项目总投资9.53亿元,44.97%为工程建设费用,41.91%为项目建设及其他费用。建设内容包括支撑平台、产品体系、服务中心三个部分,目标是将产品与人紧密结合,即形成“云+地”的组合能力,解决安全体系建设中周期长、人员能力不足、管理复杂等问题,满足政企客户对安全运营日益增长的需求。
技术和人才储备为安全服务化建设项目构建基础。公司主要客户是大型政企客户,在服务过程中,积淀了相应的技术与人才基础。技术上来说,公司已有的技术积累、研发经验,可以用于项目中支撑平台的建设;同时,公司已经为政府、企业、互联网等客户提供Sec-SaaS服务,积累了大量的在线对抗、运营经验与数据。人才方面,公司通过大规模扩张,形成了一支专业的安全运营人才队伍,下一步还将围绕Sec-SaaS服务的技术水平引进人才。
工业互联网安全服务中心建设项目将构建“1+20+4000”的服务网络。由于工业企业的信息化水平参差不齐,工控设备在制造之初并未考虑到安全问题,信息安全能力几乎空白,为网络安全厂商提供了机遇。国家政策层面对工业互联网安全保障能力较弱的问题也十分重视,工控安全成为近几年来行业的热点。项目总投资6.95亿元,建设1个安全核心能力平台+20个城市/产业集群安全服务支撑中心+工业安全防御产品体系及工业安全服务,为4000家以上工业互联网企业及工业关键基础设施建立安全管理中心,提供工业安全防护、监测、安全托管服务。
公司已初步构建工业安全防护产品体系。目前,公司在领域内发布了安全态势、安全检测、主机防护三类产品,团队为比亚迪、长安福特、华菱安赛乐米塔尔汽车板、海尔、航天云网、智能云科等提供了工业安全服务,工控安全实验室逐步运行。基于此,公司将面向新型工业关键基础设施安全需求,对已有产品进行升级改造,并在重点区域和产业集群建设安全服务中心,就近为工业客户提供服务。
合规声明:本文节选自国泰君安正式研究报告《公司核心竞争力:解决方案全面和强大安全服务团队》,如需报告原文PDF请后台留言。
网络安全相关报告
3. 海外网络安全和云计算大厂发展趋势(百页PPT) | 国君计算机
6. 为什么教育和医疗行业未来两年是网安公司必争之地?| 产业调研
12. 绿盟科技:有一种上车机会叫低于预期(深度)| 国君计算机
16.网络安全产品从入门到精通
17.海外专题:寻找中国网络安全公司中的Palo Alto(深度)| 国君计算机
18. 奇安信基本面及虎符生态战略解密(30页PPT)| 国君计算机
19. 迪普科技:中国应用交付产业的希望(深度)| 国君计算机
20. 为什么网络安全公司纷纷布局EDR(深度)| 国君计算机
22. Zscaler:云安全服务与接入领头羊(30页PPT)| 计算机文艺复兴
25.深信服:SASE蓝海中的耀眼新星(深度)| 国君计算机
- end -
欢迎加入行业交流群!
欢迎所有对计算机产业研究和投资感兴趣的盆友(包括云计算、网络安全、医疗IT、金融科技、人工智能、自动驾驶等)后台留言加入我们的行业交流群。我们的目标是建立系统的计算机产业研究框架,提高整个A股的IT行业研究水平,减少韭菜数量,普度众生。