威胁情报是态势感知的有效补充,国内市场正在快速发展
威胁情报是关于IT或信息资产所面临的现有或潜在威胁的循证知识,包括情景、机制、指标、推论与可行建议,这些知识可为威胁响应提供决策依据。威胁情报可以帮助企业和组织快速了解到敌对方对自己的威胁信息,帮助他们提前做好威胁防范、更快速地进行攻击检测与响应、更高效地进行事后攻击溯源。企业和机构通过对威胁情报的交换和共享,联合安全各方的力量,整合信息资源实现更大范围内的快速响应,以对抗不停进化的安全威胁,进行更有效的安全防御。
威胁情报是构建主动防御能力体系的关键。威胁情报是以预测、防护、检测、响应四个阶段组成的自适闭环应安全体系,进行持续监控与分析。将威胁情报和内外部信息相关联,能帮助企业或组织对于攻击有更清晰的认识,从而对威胁进行事先防御。
国内威胁情报主要为态势感知、安全运营中心等平台做支撑,提供全面准确的威胁情报。威胁情报在很大程度上并非孤立存在,而是作为基础能力落地到具体的安全产品和服务中,国内威胁情报的应用场景除攻击检测与防御与攻击溯源外,最主要的是为安全运营中心(SOC)或态势感知平台作支撑。情报驱动的态势感知平台和安全运营中心都具有融合分析大数据的能力,既能和内部数据进行关联分析,实现对自身的感知能力,又可以调用外部开源或威胁情报接口,获取最新的外部资讯,形成对外的感知能力。IDC认为,如果缺乏威胁情报的输入和大数据分析能力,态势感知平台就无法有效比对和检测攻击信息,因此难以发挥作用。
威胁情报日益重要,等保2.0首次提出对威胁情报检测系统和威胁情报库的要求。等保二、三、四级都提出对威胁情报检测系统的硬性要求,测评对象中增加了一项“威胁情报检测系统”;等保三级和四级要求引入威胁情报库,并需要升级到最新版本。等保2.0对于威胁情报的要求体现了国家对建设网络安全环境的重视,企业应用威胁情报已经成为必然选择。
众多海外安全龙头厂商都提供威胁情报服务,国内安全厂商也纷纷参与进来。威胁情报在网络安全防护的重要性日益显现,海外网络安全头部企业如Symantec、McAfee、FireEye等都提供威胁情报服务。目前,国内众多安全厂商纷纷进入该领域,包括奇安信、深信服、绿盟科技、天融信、亚信安全等。
奇安信领跑国内市场,亚信安全、腾讯安全、绿盟科技等处于行业领先地位。根据《IDC MarketScape:中国威胁情报安全服务(TISS)市场,2018厂商评估》(IDC)报告显示,IDC对国内具有代表性的11家威胁情报安全服务提供商进行了深度研究,其中奇安信、亚信安全和腾讯安全等企业处于“领导者”象限。安全牛对国内外15家威胁情报厂商进行调研,结果显示奇安信、绿盟科技、亚信安全、安恒信息等厂商出于领先者地位。
随着威胁情报的重要意义日益凸显,市场规模也在持续扩张,预计2021年市场规模将达到20亿元。《IDC全球威胁情报服务预测,2017-2021》(IDC)报告指出,2016年全球威胁情报服务市场规模已达11.8亿美元,2021年将达到20亿美元,复合增长率为11.2%,全球的威胁情报服务市场保持健康稳定的增长态势。Gartner预测,2022年将有20%的大型企业会使用商业威胁情报为其安全战略提供信息,而目前这一占比不到10%。
威胁情报2015年进入中国市场,目前仍处于快速发展初期阶段,安全牛预计2020年我国威胁情报市场规模在12亿元左右,3年复合增速达到35%-59%。政府、金融、能源、电信等重点行业市场用户对威胁情报的认知度不断提升,市场需求持续增加。据安全牛估算,2017年我国威胁情报的各种形态带来的收入为5亿到8亿元,约占整个安全市场的1.25%到2%,预计2020年我国威胁情报市场规模将超过12亿元,2017-2020年复合增速达到35%-59%。随着威胁情报市场的逐渐成熟和服务提供商技术能力和服务水平的不断提升,威胁情报安全服务在企业打造威胁生命周期服务体系过程中将起到越来越关键的作用。
APT持续高发,主动防护系统重要性日益凸显
APT(Advanced Persistent Threat)是指高级持续性威胁,本质上是某组织对特定对象展开的持续有效的攻击活动,具有强烈的政治、经济目的。APT(高级可持续威胁)攻击堪称网络空间中的军事对抗,攻击者会长期持续地对特定目标进行精准打击。这种攻击活动通常具有极强的隐蔽性和针对性,掺杂了大量的人工智能、躲避手段、情报手段、社会工程等多维度的变化,给各级政府部门、行业组织和企业单位带来了极大的麻烦。中国是APT攻击的主要受害国之一。
近年来APT攻击持续高发,广西和北京是受到APT攻击最多的地区,企业和政府部门则成为主要的攻击对象,占比达到56%。腾讯安全《全球高级持续性威胁(APT)2019年上半年研究报告》指出,中国依然是 APT 攻击的主要受害国,从被攻击地域分布来看,2019年上半年大陆受APT攻击最多的地区为广西和北京;从行业分布来看,大陆被攻击对象大多是国企/央企、私营企业和政府部门,合计占比达到56%。
APT的攻击链条主要分为扫描侦测、渗透入侵、植入隐匿、控制利用和盗取破坏五个阶段。无论是APT还是普通网络攻击,都会先针对性地收集信息,寻找易受攻击的系统突破点,然后通过钓鱼邮件和网页等方式渗透入侵。在入侵成功后建立长期控制机制,通过远程控制命令达到盗取破坏目的,一般APT攻击者更关注数字资产,收集目标系统数据并向外部传输。
传统防御体系无法检测未知的新病毒,以沙箱技术和蜜罐技术为代表的主动防御机制被应用到APT防护过程中。传统的被动防御方法,包括病毒检测软件、防火墙、入侵检测技术等,因无法检测到未知的新病毒及以变种病毒而无法抵抗APT攻击。受需求拉动,各厂商相继涉足APT防护领域,开始转向主动防御,寻求解决方案以应对0day、未知木马病毒、新型僵尸网络等各种未知威胁。目前在对抗APT攻击的各种方法中,大多数使用沙箱技术和蜜罐技术等诱骗机制,模拟内部网的日常活动,构建攻击者感兴趣的环境,把入侵者的火力吸引到自己身上,通过分析入侵者的行为,挖掘攻击者的行为模式,这样既能够消耗攻击者的资源,又保护了其他的主机信息。
等保2.0对入侵防范新增需求,APT防护系统有望迎来快速增长。等保2.0针对二级及以上的信息系统,在“安全通用要求-入侵防范”部分新增了“应在关键网络节点处检测、防止或限制从内部发起的网络攻击行为”、“应采取技术措施对网络行为进行分析,实现对网络攻击特别是新型网络攻击行为的分析”等要求,与APT的防护系统相对应,并且针对云平台提出了“入侵防范”的要求,APT防护产品有望迎来新增长。
目前,以腾讯安全、奇安信、启明星辰、安恒信息、绿盟科技等为代表的安全厂商均对APT攻击研发了自己的解决方案。
主动防御产品有望反向拉动基础安全产品的增长
主动防御产品赋能基础安全产品,形成一体化解决方案
传统安全建设以单点为主,数据无法流通很容易形成数据孤岛。传统的信息安全建设主要是部署修改的安全设备和安全系统,如防火墙、VPN、IDS/IPS、防病毒系统等,这些安全设备和系统能较好地解决某个方面的安全问题。不过随着网络应用规模和复杂程度的不断提高,当企业内部出现新的安全问题时,复杂的网络环境让传统的安全工作无从下手,传统安全技术对高持续性威胁(APT)无能为力,围墙式的防御体系也不再适应当前的网络环境。
与此同时,政企以往采用分散招标,很难形成各种网安产品的立体联动防御和大数据分析,入围的安全厂商无法提供有效的整体服务。由于网络安全行业的产品线众多,大到集团公司小到部门,都可能需要针对单个产品进行单独招标,并且为了防止一家独大,往往出现刻意分散招标的情况,导致网络安全行业出现小公司林立、市场集中度较为分散的格局。而由于分散招标,很难形成各种网安产品的立体联动防御和大数据分析,入围的网络安全公司也很难提供有效的整体安全服务。
网络安全行业开始从单一产品逐步向整体解决方案和服务演进,建设方式也有望从单点到整体。信息安全需求已经从单一的产品向整体的安全防护发展,对于整体安全解决方案相关的招标数量也开始上升,预计拥有完整软硬件方案及系统集成能力的厂商将具备更强的竞争优势,且这些厂商在面对新兴市场安全问题时也具备更为成熟的综合实力。
主动防御产品态势感知、威胁情报、APT防护等都以大数据为核心,与基础安全产品防火墙、WAF设备、主机管理产品、路由和交换设备等产生联动,赋能传统安全设备,实现从检测、响应场景到全面的安全防护。
态势感知在利用大数据、AI等新技术进行分析、感知、预判的基础上,还需要基础安全能力的支持。作为以安全大数据为基础的态势感知,通过在以往的安全事件包括各种攻击手段的特征如可执行文件的行为,异常的流量等溯源获取经验。与此同时,态势感知还会与基础安全产品打通接口,通过终端检测防护系统、流量类检测系统、独立日志采集等手段获取数据进行多维度地分析。IPS、防火墙、木马分析以及动态检测等产品都是态势感知数据获取的来源,数据获取后形成可视化的解决方案。通过与各个部位有机协同,网络安全态势感知为核心的解决方案具备体系对抗能力,突破了传统系统单兵作战的技术缺陷,大幅提高解决方案的防御能力和生存能力。
威胁情报主要作为基础能力,赋能更多的基础安全产品。作为情报数据驱动的安全市场,在建立“大数据安全分析平台”或“态势感知平台”项目的过程中,将引用威胁情报技术作为支撑,并将内、外数据进行关联分析,实现全面感知网络威胁。根据Gartner的报告,威胁情报通常是安全产品的差异化因素和能力核心,如防火墙和统一威胁管理系统、入侵检测和防御、SWG和安全电子邮件网关、端点保护、Web应用防火墙、分布式拒绝服务攻击防御产品、安全信息和事件管理、漏洞管理、安全协调、MSS、托管检测和响应等。目前国内“威胁情报”还属于发展初期,独立的采购需求并不高,更多的是作为基础能力,落地到厂商的典型产品和服务中。
主动防御产品优势的厂商有望通过安全运营中心模式迅速发展
安全运营中心(SOC)是一种迅速发展的网络安全管理技术,与以往单一的安全系统相比,SOC最大的优势是为统一安全管理提供了完整平台,提高了对于安全威胁的精确检测能力和一体化响应能力。安全运营中心将政府和企事业单位的网络安全业务进行集中托管,为客户提供有效的整体安全服务,通过专业的安全运维人员和专家分析团队为客户提供7*24小时的安全监测和感知能力,并且在各个城市安全运营中心间建立横向沟通机制,在各个运营中心的系统层面建设威胁情报传递功能,建立安全事件的快速应急响应体系,从而有效提高应对网络安全事件的防御能力,保障政府机构和企事业单位的信息系统正常、持续运行。
基础安全产品是智慧城市安全运营的基石,为安全运营提供大数据分析基础。作为第三方服务形式,智慧城市安全运营中心在服务的过程中需要处理来自不同系统、平台和应用程序的大量数据,这些数据的主要来源是布局在用户端的基础网络安全产品。因此,基础安全产品是构成智慧城市安全运营的基石。
态势感知、威胁情报等主动防御产品是智慧城市安全运营的重要手段,对网络风险实现快速应急响应。智慧城市安全运营中心以大数据和人工智能为核心技术,对收集在用户端部署的防火墙、入侵检测、日志系统、防病毒系统等有关的日志和流量数据,通过网络安全态势感知、通报预警和协同联动等重要手段,实现快速有效的感知、预警、调度、处置全市网络安全风险,提升管理效率和应急响应能力。
运营需要技术领先、全面综合的安全能力,主动防御产品优势的网络安全厂商纷纷投入城市级安全运营中心的建设。安全运营需要技术领先、全面综合的安全能力,网络安全细分行业众多,许多厂商仅具备一个或数个细分行业的产品能力,难以实现主动防御产品与基础安全产品的联动,不具备独立运营的能力。2017年12月,启明星辰开启了国内首个智慧城市安全运营中心—成都安全运营中心,之后陆续在杭州市、济南市、昆明市、郑州市等地开展安全运营中心业务。除启明星辰外,奇安信、安恒信息、绿盟科技等主动防御产品优势的厂商都提出了城市安全解决方案,这些网络安全厂商有望快速发展。
风险因素
1) 等保2.0落地不及预期:行业主要由政府及大型企业需求拉动,政企对安全的投入大小受政策影响较大,等保2.0落地过程存在诸多不确定性。
2) 行业竞争加剧毛利下降:行业目前的平均毛利率维持在70%左右,存在产品同质化的趋势以及低价竞标的情况,行业竞争加剧将导致业内公司盈利水平下降。
3) 产业发展不及预期:随着网络攻击的复杂化,用户对网络安全需求越来越高,行业公司产品/服务不能及时更新用户对安全需求的风险。
行业投资策略
2019年12月,等保2.0正式开始实施。等保2.0在1.0的基础上对安全要求进行全面细化和提高,未来企业投入有望持续加大。信息安全板块的基本面会逐步改善,边际向上,维持行业“强于大市”评级。在此基础上,等保2.0更加注重全方位主动防御和动态防御,主动防御和预测类安全产品如态势感知平台、威胁情报服务等在等保2.0背景下有望迎来发展机遇,并将拉动基础安全产品的销售。我们推荐主动防御领域积累深厚、业务布局完整充分受益行业爆发的信息安全领军级公司:推荐深信服、启明星辰、安恒信息,关注南洋股份、绿盟科技、奇安信(未上市)。
重点公司介绍
深信服:投产匹配初获验证,云+安全共促成长
全年业绩超预期,Q4单季加速增长,还原激励费用后增长更为亮眼。此前深度报告强调的“公司投入产出匹配渐入佳境”的逻辑获得初步验证,公司2019年全年归母净利预计7.06-7.66亿元与我们7亿+预期匹配,且显著超出市场预期。其中,受益于安全与云营业收入的较快增长,Q4单季公司归母净利润约3.93亿元-4.53亿元,同比增长约36% -56%。Q4单季扣非利润为3.89-4.54亿元,同比增长39%-63%,主营业务对公司业绩成长支撑作用显著;此前三个季度(2019Q1-Q3)公司扣非业绩的同比增速分别为-273%/14%/32%,整体呈现加速增长态势。2019年公司激励费用约1.3亿,还原激励费用影响后全年业绩约为8.19-8.79亿,同比增长30%-40%(2018年还原激励后业绩约为6.28亿)。
网络安全高速增长,云业务打开发展空间。正如我们之前所预计,公司的网安业务取得较快增长。公司一方面在品类上拓展,由基础的VPN、上网行为管理,逐步向下一代防火墙、态势感知等核心产品成功拓展;另一方面,在下游赛道上,继续深耕中小企业赛道,并持续与合作伙伴一道向金融、电信、政务、公安等行业赛道发力拓展。安全业务有望在中短期为公司业务规模增速提供有力支持。云业务以超融合为基础、软件定义存储SDS、网络SDN等创新产品不断构建出混合云完整方案,支撑业务空间中长期持续打开。
投入转化拐点来临,行业景气度攀升,看好2020年业绩持续释放。作为战略投入期的2019年,公司在研发渠道费用持续投入、股份支付费用较2018年增长较多的情况下,公司依然交出了优异的业绩表现。同时公司的加速扩张为后续业务发展打下了良好基础,伴随着信息安全行业与云计算景气度的攀升,和公司投入产出匹配不断优化,预计公司有望迎来收入利润协同增长的业绩拐点。
风险因素:销售费用占比持续提升;传统安全领域的恶性竞争致使毛利大幅下滑;募投项目发展不及预期。
投资建议:公司“云+安全”业务高速增长、产品打磨实现行业领军、研发渠道投入产出持续优化正不断得到公司基本面验证。维持2019-2021年归母净利润预测7.36/9.85/13.29亿元。维持目标价至178元,对应目标市值729亿元。维持“买入”评级。
启明星辰:收入增速逐季提升,行业景气持续助力
业绩符合预期,收入增速逐季提升。2019年公司前三季度实现营收15.83亿元,同比+21.57%;归母净利0.97亿元,同比-17.93%;扣非净利0.78亿元,同比+239.18%;公司扣非增速好于含非主要是去年同期确认子公司投资收益影响。分季度来看,公司Q3实现收入7.01亿元,同比+24.77%,收入增速逐步改善。费用端方面,前三季度销售/管理/研发费用率分别为27.63%/7.24%/27.74%,较去年同期-1.78pcts/-1.27pcts/-2.60pcts,公司费用优化成果显著。
等保2.0带动行业需求上升,公司核心产品市场份额领先有望充分收益。5月13日,等保2.0正式发布,并将于今年12月正式实施,预计中长期将带动信息安全投入的增加。根据CCID最新发布的数据显示,公司IDS/IPS、UTM、SOC、数据安全等产品的市场占有率连续多年排名第一,2018年分别达到16.6%、21.4%、23.5%、9.9%。公司有望充分受益等保2.0带来的行业需求扩容。
安全服务及结果导向的整体解决方案成为发展趋势,安全运营业务前景可期。9月27日,工信部起草的《关于促进网络安全产业发展的指导意见(征求意见稿)》提出,针对网络安全专业性强、技术演进快、应用难度大的特点,倡导“安全即服务”的理念,鼓励网络安全企业由提供安全产品向提供安全服务和解决方案转变。作为整体解决方案的安全运营业务,目前公司已在全国形成20多个城市级安全运营中心,今年上半年新增运营业务订单过亿元。我们预计公司安全运营中心业务将持续推进,全年订单有望达到4亿元。
风险因素:等保2.0落地不及预期;行业竞争加剧;安全运营中心建设不及预期。
投资建议:受益于行业需求扩容带来公司核心业务的增长,我们看好公司作为行业龙头将持续受益下游需求拉动与市场份额提升助力。我们上调2019-2021年EPS预测至0.84/1.06/1.32元(原预测0.74/0.89/1.06元),对应PE 48/38/30X,维持“买入”评级。
相关研究
本文节选自中信证券研究部已于2020年1月21日发布的报告《计算机行业信息安全专题报告—主动防御引领,信安需求爆发》,具体分析内容(包括相关风险提示等)请详见相关报告。
