CrowdStrike：开启网安龙头登云之路.pdf

1 本报告版权属于安信证券股份有限公司。 各项声明请参见报告尾页。 CrowdStrike：开启网安龙头登云之路 开局破万象，全球端云结合安全平台开拓者 。 CrowdStrike 成立于 2011 年， 团队成员均来自信息安全产业和美国情报机关，包括 FBI， Apple， Google， 亚马逊和微软等。 CrowdStrike 的成功在于将最先进的端点保护与云端专 家情报相结合，不仅可以扫描追溯恶意软件，还可以确定攻击者本身。 CrowdStrike 和全球数十家著名企业组成技术合作伙伴，为网络安全行业 提供实时的更新和防护。 CrowdStrike 近年处于高速复合增长阶段，市值 也从上市之初的 83 亿美元，攀升至 2021 年 1 月的近 500 亿美元，实现了 六倍涨幅。基于对网络安全行业独有的认知和理念，使得 CrowdStrike 成 为 5G 时代背景下网络安全行业极具改革精神的创新引领者。 Falcon 平台，一剑破万法 。 以 CrowdStrike 端点保护和 云端专家情报模式 形成的 Falcon 平台可以补足传统防护的缺陷并提供完善的云边际保护。 CrowdStrike Falcon 在一个界面中整合了所有的应用和服务，以终端方式 会记录所有 End-Point 活动，帮助客户直观安全的理解相关行为，并同时 提供 IT 安全数据。源于可视化的特性，再辅以 CrowdStrike 自动识别的核 心能力， Falcon 有能力持续不断的为客户提供完善的安全防护。 “人 +机器 ” 的从上至下的整合模式让 CrowdStrike 可以提供完整性的保护和高等级的 可视性。从整个过程来看，多种不同保护机制被使用，如 机器学习、漏洞 利用保护功能、系统记录、行为分析和人工专家团队等。 CrowdStrike 的 Falcon 是基于端云结合架构的，同时建立在最先进的图形数据库上，为人 工智能提供动力和算力。和原始的安全解决方案不同，这种全新模式可以 直接在平台之上构建另一个程序和服务。 模块化的灵活组合 +SaaS 订阅模式，满足不同层级的客户群体 。 Falcon 平 台的功能模块灵活组合功能，让不同量级的公司可以选择最适用的产品。 CrowdStrike 同时覆盖大型企业和小型客户，美国的网络安全行业发展较 为成熟，客户对产品的需求不限于自身的规 模。 CrowdStrike 基于自身的 SaaS 模式和多模块灵活组合的能力，使得公司客户覆盖面极广。平台的 灵活性和可扩展性使公司能够无缝地向任何规模的客户提供解决方案 - 从拥有数十万个端点的客户到只有三个端点客户。这种高覆盖率和高续订 率为 CrowdStrike 带来订阅收入同比增长超过 100%，同时订阅占比逐年 保持增长并在 2019 年超过 90%。大部分的客户的订阅时限为一年，结合 2017 年和 2018 年客户留存率的 96%和 98%来看，绝大多数客户仍会选择 续订。订阅收入从 2016 年占比总营业收入 71.85%提升至 2019 年的总营 业收入占比 90.63% 投资建议： CrowdStrike 树立了网安行业 “端云联动 ”的技术标杆，引领了 未来 行业 发展的趋势。同时 SaaS 订阅模式与灵活的模块化组合成为其开 拓市场的利器。国内网安企业中，重 点 推荐产品技术路线与 CrowdStrike 最为近似的奇安信、深信服、安恒信息，建议关注天融信、启明星辰、绿 盟科技、三六零、山石网科等 。 Table_Tit le 2021 年 01 月 27 日 计算机 Table_BaseI nfo 行业专题报告 证券研究报告 投资 评级 领先大市 -A 维持 评级 Table_Fir st St ock 首选股票 目标价 评级 Table_Char t 行业表现 资料来源： Wind 资讯 % 1M 3M 12M 相对收益 3.59 7.56 -19.77 绝对收益 13.23 25.20 18.29 吕伟 分析师 SAC 执业证书编号： S1450516080010 021-35082935 胡又文 分析师 SAC 执业证书编号： S1450511050001 021-35082010 相关报告 基金四季报持仓分析：持仓继续回落， 集中度大“斜率”上行 2021-01-24 2021：智能花开， AI 满天下 2021-01-19 行动计划指明方向，工业软件机遇来临 2021-01-16 计算机板块年报业绩前瞻 2021-01-10 三山叠峦，软件定义世界的“分水岭” 2021-01-04 -4% 4% 12% 20% 28% 36% 44% 52% 2020-02 2020-06 2020-10 计算机 沪深 300 2 本报告版权属于安信证券股份有限公司。 各项声明请参见报告尾页。 风险提示： 云安全落地不及预测； SaaS 行业竞争加剧。 行业专题报告 /计算机 3 本报告版权属于安信证券股份有限公司。 各项声明请参见报告尾页。 内容目录 1. 开局破万象，全球端云结合安全平台开拓者 . 4 2. Falcon 平台，一剑破万法 . 6 3. 模块化的灵活组合 +SaaS 订阅模式，满足不同层级的客户群体 . 9 4. 投资建议 . 13 5. 风险提示 . 13 图表目录 图 1： CrowdStrike 的发展历程和重大事件 . 4 图 2： CrowdStrike 上市以来的股价走势（美元） . 4 图 3： CS 端 云结合技术 . 5 图 4：传统的安全解决方案 . 5 图 5： CrowdStrike 的 Power of One . 6 图 6： CrowdStrike 的 Power of One . 6 图 7： CrowdStrike Falcon 的管理控制台 . 7 图 8： Falcon 的流程线 . 7 图 9： Falcon 提供实时的完整攻击视图 . 8 图 10： Falcon 平台攻防 实际演示 . 8 图 11： Falcon 的平台能力 . 9 图 12：以美元留存率计算的客户留存率 . 10 图 13： CrowdStrike2016-2020 年 Q1-Q3 收入构成 . 10 图 14： CrowdStrike2016-2020 年 Q1-Q3 订阅占比 . 10 图 15：客户采用四个或更多的云模块的季度增长情况 .11 图 16：奇安信打 造了强大的端云协同联防能力 . 12 未找到图形项目表。 行业专题报告 /计算机 4 本报告版权属于安信证券股份有限公司。 各项声明请参见报告尾页。 1. 开局破万象， 全球 端云结合 安全平台开拓者 CrowdStrike 成立于 2011 年，团队成员均来自信息安全产业和美国情报机关，包括 FBI， Apple， Google，亚马逊和微软等。 CrowdStrike 的成功首先在于 解决 了 一个基本问题：由于现有的 基于扫描和防御恶意软件的方式无法解决新型的复杂攻击 ， 联合创始人 George Kurtz 和 Dmitri Alperovitch 意识到需要一种全新的方法， 该方法将最先进的端点保护与 云端 专家情报 相结合，不仅可以扫描追溯恶意软件，还可以确定攻击者本身。 CrowdStrike 和全球数十家 著名企业组成技术合作伙伴，为网络安全行业提供实时的更新和防护。 图 1： CrowdStrike 的发展历程和重大事件 、 i 数据来源 ： CrowdStrike 官网， 安信证券研究中心 整理 CrowdStrike 近年 处于 高速增长 阶段，市值从上市之初的 83 亿美元，攀升至 2021 年 1 月 的 近 500 亿美元，实现了六倍涨幅。基于对网络安全行业独有的认知和理念，使得 CrowdStrike 成为 5G 时代背景下网络安全行业极具改革精神的创新引领者。 图 2： CrowdStrike 上市以来的股价走势（美元） 数据来源 ： wind， 安信证券研究中心 超越 传统的边界安全防护 ，结合 SaaS 订阅等新的商业模式， CrowdStrike 的端云结合安全 平台提供独有三大能力： 1. 端点保护和 云端 专家情报相结合的模式 ； 2. 不断进化的终端 -CrowdStrike Falcon； 行业专题报告 /计算机 5 本报告版权属于安信证券股份有限公司。 各项声明请参见报告尾页。 3. Power of One，随事件进化的融合 安全服务 能力 。 CrowdStrike 创新 地 提出了端点保护和 云端 专家情报相结合的模式 。 传统的网络安全服务提 供的防护往往是在终端用户的 IT 架构的不同层级中设臵被动防护系统，同时配有扫描功能。 这种如同建造防御工事来守护城池的方式是无法抵御新型的现代进攻的。 端点保护和专家情 报为防卫系统提供了不断进化的能力。 这种模式等同于在建好防御工事的城池周边再外派出 很多“侦察兵”。当“侦察兵”们发现潜在攻击的时候，他们会将情报带回给 CrowdStrike 终端。基于这些情报， CrowdStrike 会观察分析攻击者的行为，从而实施阻拦。而每一次的 攻击之后，都会扩充和加深 CrowdStrike 的数据库。随着数据库的不断扩大，终端对攻击者 的攻击模式和易受攻击的目标都会有着多层次的分析，从而提供最适应的保护模式。 图 3： CS 端云结合技术 数据来源 ： CS Falcon 技术中心， 安信证券研究中心 不断进化的终端 CrowdStrike Falcon。 对于目前的网络安全市场，其中有一股最强烈的 客户需求指 出 现有的解决方案太过于复杂，而且对日已新增的现代威胁无能为力。 客户们 对 不断增长的复杂性感到无力，并对自身的安全架构失去信心。于此同时，传统的网络安全厂 商仍然将更多的组件添加到这个臃肿庞大的解决方案中。显而易见的，这让客户公司更加难 以管理，并给端点增加了负担，从而影响到整个公司的效率。 即使有些客户可以运作和管理 这些解决方案，但由于基于签名技术构建的 传统 网络安全防护不足以应对突发事件，最终的 损失仍是不可避免。 签名技术的先天性不足导致它有着大量的盲点，如无恶意文件攻击和无 视合法系统工具的权限索取（ PowerShell）等。同时，签名技术构架的防护需要人与人之间 的互动来维持。这种消耗数天、以人工的方式去调查威胁的来源显然和及时保护客户利益的 网络安全原则是背道相驰的。 图 4： 传统的安全解决方案 行业专题报告 /计算机 6 本报告版权属于安信证券股份有限公司。 各项声明请参见报告尾页。 数据来源 ：安信证券研究中心 整理 Power of One，随事件进化的融合 安全服务 能力。 CrowdStrike Falcon 结合了所有的 传统 安全功能，将 安全能力 变成一个单一的轻量级代理程序，这种程序不需要签名的授权，而是 以人工智能的方式运 行。这种方式被称为 “ THE POWER OF ONE” 。对于 Falcon，它使得 客户可以无需每日更新签名即可提供反恶意软件保护。同时它也提供新型的保护机制，比如 机器学习、行为分析和持续监控。这种主动防御的机制更适宜于当今网络现状。 Falcon 的单 一代理机制让客户公司可以轻装上阵。它包括所有传统安全解决方案的功能，如病毒防护 、 主机入侵防护 、 IOC 扫描工具 、 和沙箱等。结束了臃肿、超负载的安全网络方案，带来了一 个轻量级、低延时的网络安全综合平台。 Falcon 通过一个代理和一个管理界面来整合多种下 一代防病毒软件，从而提供完整的端点保护。 由于 Falcon 平台的性质， CrowdStrike 可以不 断的添加应用和服务用以适应不断变化的威胁形式。 图 5： CrowdStrike 的 Power of One 图 6： CrowdStrike 的 Power of One 资料来源： CrowdStrike 官网， 安信证券研究中心 资料来源： CrowdStrike 官网， 安信证券研究中心 2. Falcon 平台，一剑破万法 从 CrowdStrike 角度来看，现代攻击与 传统 攻击有着三个不同点： 1. 首先从无恶意文件感染开始，通过不向磁盘写入任何内容，攻击者可以绕过大多数 传统 的网络安全解决方案。 2. 传统 安全解决方案认定相关内臵工具是无威胁性的，导致存在大量盲点。 攻击者会使用 PowerShell 等内臵工具来逃避检测，从而绕过防护并控制系统，同时，这种现代攻击将 通过建立后门的方式持续性的存在于操作环境中。 基于后门的微小性和隐蔽性，导致大 多数的安全人员无法通过 传统 检测工具发现它们。 行业专题报告 /计算机 7 本报告版权属于安信证券股份有限公司。 各项声明请参见报告尾页。 3. 由于存在大量不可修正的技术盲点，攻击者可以利用它们轻易绕开防火墙，防病毒软件， 应用程序白名单，甚至沙箱。 然 而 ， CrowdStrike 端点保护和 云端 专家情报模式可以 终结这些缺陷并 提供完善的保护。 下图为 CrowdStrike Falcon 的管理控制台 ， Falcon 在一个界面中整合了所有的应用和服务。 左侧的工具栏为客户提供可视化的威胁识别、调查、和补救措施。对于 Falcon 来说，它将 可视化定义为安全解决方案的基本要素， Falcon 以终端方式会记录所有 End-Point 活动，帮 助客户直观安全的理解相关行为，并同时提供 IT 安全数据。可视化 地 展示了安全措施覆盖的 范围，如托管和非托管系统的信息、应用程序活动检测和特权账户 使用情况等。 图 7： CrowdStrike Falcon 的管理控制台 数据来源 ： 官网， 安信证券研究中心 源于可视化的特性，再辅以 CrowdStrike 自动识别的核心能力， Falcon 有能力持续不断 地 为客户提供完善的安全防护。 下图是 Falcon 最近自动识别的威胁活动记录，在记录中，流 程线显示了完整的袭击情况，从起源到结束。 图 8： Falcon 的 流程线 数据来源 ： Falcon 官网， 安信证券研究中心 当用户点击 BACKDOOR.EXE（后门软件）整个攻击中最明显的部分时， Falcon 已经成功 的阻止了后门软件的建立和使用。同时 Falcon 的机器学习将该文件标识为恶意软件，并阻 止了它的执行。虽然一些信息可以被 传统 的安全解决方案所展示， 但 Falcon 可以提供实时 的完整攻击视图。 而 传统 的安全解决方案需要数天甚至数周才能整合实时视图中的信息。 行业专题报告 /计算机 8 本报告版权属于安信证券股份有限公司。 各项声明请参见报告尾页。 图 9： Falcon 提供实时的完整攻击视图 数据来源 ： Falcon 官网， 安信证券研究中心 通过 Falcon，客户也可以更好的理解此类型的攻击。 Falcon 记录和挖掘了相关攻击的所有 进程。我们将 视频中的流程 其总结为 7 个步骤： 1. 首先判断出后门软件的源头来自于 Outlook 里的邮件链接，通过链接进入 IE 并被鼓励直 接下载； 2. 随着攻击者第一步成功之后，攻击行为仍持续下去。在控制了系统之后，攻击者使用了 内臵工具如 Windows 命令指示 符、 PowerShell、 WMI 和脚本文件等。这些工具足以绕 开传统的安全方案，因为它们被认定为受信任工具， 而 CrowdStrike 仍旧持续监控这些 白名单软件 。 3. 攻击者随后在 Windows 命令指示符输入具体的命令指示。在这一步，攻击者基于 PowerShell 获取了管理员凭据，并通过凭据获取了系统的密码。与此同时，攻击者还创 建了第二个管理账户，这种行为可以帮助攻击者在被人工发现首要管理账户被攻陷的情 况下还能继续使用系统。 4. 当攻击者尝试控制服务器的时候， CrowdStrike 情报软件已经检测到此域名是恶意的。 用户可以将此域名输入 Falcon 的病毒数据库进行进一步的了解。 5. 在视频中，操作者搜索此域名之后，发现它和俄罗斯的病毒软件“ FANCY BEAR”有着 紧密联系。基于此信息， CrowdStrike 提供了和病毒相关的其他替代域名。 6. 将这些域名放入内部搜索栏即可看见所有当前和以前连接过这些域名的系统。同时 Falcon 的监测团队也在 24x7 的持续性监测相关威胁域名。他们也将提供相关的指导方 案以便客户进行补救。 7. 在确认完相关连接系统之后，用户可以检查此威胁是否仍在运行。只需通过 Falcon 或 者其他安全工具包含此项威胁，攻击者会在第一时间失去访问权限。 演示者为了更好的展示流程，选择了在最后一步阻止。但事实上 Falcon 有能力在各个层面 及时阻止威胁的发生。 图 10： Falcon 平台攻防实际演示 行业专题报告 /计算机 9 本报告版权属于安信证券股份有限公司。 各项声明请参见报告尾页。 数据来源 ： Falcon 官网， 安信证券研究中心 “人 +机器”的从上至下的整合模式让 CrowdStrike 可以提供完整性的保护和高等级的 可视 性。 从整个过程来看，多种不同保护机制被使用，如机器学习、漏洞利用保护功能、系统记 录、行为分析和人工专家团队等。 CrowdStrike 的 Falcon 是基于端 云结合 架构的，同时建立 在最先进的图形数据库上，为人工智能提供动力和算力。和原始的安全解决方案不同，这种 全新 模式可以直接在平台之上构建另一个程序和服务。 从客户的角度来看， CrowdStrike 满足三项主要需求：更好的防护，立即的价值体现，和更 好性能。 1. 更好的防护体现在 Falcon 独特的多层级保护机能。从源头到结束，每一步均使用不 同的方式进行主动防护； 2. 立即的价值体现是由于 Falcon 是以 SaaS 为主，并具有静默安装程序，无需重启整 个服务器即可推送到所有的系统中； 3. 通过单一代理和单一界面即可提供服务带来了更好的性能。这种模式消耗不到 20 兆 的磁盘空间，相对于 传统 臃肿的安全解决方案来说， CrowdStrike 占据了极小的空间。 3. 模块 化 的 灵活组合 +SaaS 订阅模式 ，满足不同层级的客户群体 Falcon 平台的功能模块灵活组合功能，让不同量级的公司可以选择最适用的产品。 CrowdStrike 同时覆盖大型企业和小型客户 ，美国的网络安全行业已经发展的较为成熟，客 户对产品的需求不限于自身的规模。 图 11： Falcon 的平台能力 行业专题报告 /计算机 10 本报告版权属于安信证券股份有限公司。 各项声明请参见报告尾页。 数据来源 ： CS 官网， CS招股说明书， 安信证券研究中心 CrowdStrike 基于自身的 SaaS 模式和多模块灵活组合的能力，使得公司客户覆盖面极广。 平台的灵活性和可扩展性使 公司 能够无缝地向任何规模的客户提供解决方案 -从拥有数十万 个端点的客户到只有三个 端点 客户。 大部分的客户的订阅时限为一年，结合 2017 年和 2018 年客户留存率的 96%和 98%来看，绝大多数客户仍会选择续订。 图 12： 以美元留存率计算的客户留存率 数据来源 ： 招股说明书， 安信证券研究中心 这种高覆盖率和高续订率为 CrowdStrike 带来 订阅 收入同比增长超过 100%，同时订阅 占比 逐年保持增长并在 2019 年超过 90%。 订阅收入从 2016 年占比总营业收入 71.85%提升至 2019 年的总营业收入占比 90.63%。 图 13： CrowdStrike2016-2020 年 Q1-Q3收入构成 图 14： CrowdStrike2016-2020 年 Q1-Q3订阅占比 行业专题报告 /计算机 11 本报告版权属于安信证券股份有限公司。 各项声明请参见报告尾页。 资料来源： Wind， 安信证券研究中心 资料来源： Wind， 安信证券研究中心 订阅收入高速增长主要有两个原因： 1. 订阅客户数量快速增加：从 2016 年的 450 名增长至 2017 年 1242 名，同比增长 176%； 在 2018 年增长至 2516 名，同比增长 103%。 2. 功能模块不断创新： 从 2017 年开始， CrowdStrike 将平台从单一产品转变为多个 SKU 云模块的高度集成产品。随着平台的订阅客户逐年提升， CrowdStrike 也继续创新和发 布新模块。从最初通过 IT 卫生、下一代防病毒、 EDR、管理威胁搜索和情报模块启动 了这一战略模式，并在 2017 年 2 月至 2018 年 10 月期间增加了 5 个模块。截至 2019 年 1 月 31 日， 47%的订阅客户已经采用了四个或更多的云模块 。 图 15： 客户采用四个或更多的云模块的季度增长情况 数据来源 ： 官网，招股说明书， 安信证券研究中心 CrowdStrike 和 一些 著名的跨国 企业 和 政府机构 有着长期 业务。截至 2019 年 1 月 31 日， CrowdStrike 在全球有 2,516 家订阅客户，其中包括 “财富 ”100 强中的 44 家、全球前 100 家 行业专题报告 /计算机 12 本报告版权属于安信证券股份有限公司。 各项声明请参见报告尾页。 公司中的 37 家和前 20 大银行中的 9 家。在 2019 财政年度， 其 总收入的 77%来自美国的客 户。 未来， CrowdStike 认为销售的 重点是 针对中 小型企业 。 特别是通过 免费 的试用支付模式 ， 让 各类型的 客户参与进来， 并 定期向客户征求反馈意见，使 公司 能够了解 和适应 不断变化的需 求。 基于此项战略， CrowdStrike 已经利用这些反馈开发 出 新的云模块，比如 Falcon Insight。 类似 CrowdStrike 这种多项网络安全功能整合的体系是未来行业发展的必然趋势，作为端云 结合安全平台的改革者， CrowdStrike 的模式已经被市场所接纳。于此同时，中国市场由于 网络安全政策的不断落地和客户对网络安全的重视不断增加，端云结合的安全体系也逐渐被 客户所接受。但初期以专有云和私有云为主的模式或许更加适合中国国情，以奇安信为代表 的国内安全厂商也在进行积极布局。 图 16： 奇安信打造了强大的端云协同联防能力 数据来源 ： 奇安信， 安信证券研究中心 客户案例 实例 1. AmazonWeb 服务 AmazonWebServices(AWS)是领先的云服务提供商，支持全球许多知名企业和政府机构。 保护其数百万客户 。它 所面临的挑战 是 要求提高端点保护供 并 提 升 的 可视化 和效率。 AWS 进行了长达一年的测试，将 Falcon 平台与多个下一代和遗留供应商进行比较 ，最终 选 择部署 Falcon 平台 。 最初的部署包括 13 000 个端点。 至今为止， 平台 已经成功 运行在成千 上万的 AWS 服务器上。 CrowdStrike Falcon 为我们提供了保护，以及我们在其他提供商中所没有的功能和可见性。 “ 亚马逊网络服务 (AWS)副 CISO 2. 汇丰银行 汇丰 (HSBC)是一家全球性金融机构，在 66 个国家的 3800 个办事处开展业务。他们认识到 它的庞大规模和分布式实践 需要 在整个企业实施云优先安全策略。 2017 年，汇丰银行部署了 Falcon 平台 。 在 12 周内 覆盖了 32 万个端点。汇丰银行选择 Falcon 平台作为唯一的解决方案，有效地结合预防，检测和反应 等功 能， 在端点和实时取证 形成了 一个 云交付的解决方案。此外，汇丰银行还得益于 实时监测团队 在其整个环境中持续和积极 主动地寻找威胁。 “CrowdStrike 已经改变了汇丰的工作方式。它给了我们一个无所不包的平台的灵活性，而不 行业专题报告 /计算机 13 本报告版权属于安信证券股份有限公司。 各项声明请参见报告尾页。 仅仅是另一个 AV 产品。 ” 3. 凯悦酒店公司 凯悦是一家全球性的酒店公司，在超过 55 个国家拥有 750 多个房产。随着 Hyatt 管理层寻 求发展其安全态势，他们开始寻找一种新的防病毒和端点检测和响应 (EDR)解决方案 2017 年，凯悦开始使用 Falcon 平台 。 在几天内在 40,000 个端点部署模块，包括威胁情报、 威胁监控和恶意软件分析。自那时以来，凯悦在防止违规方面取得了显著的成效，并减少了 假阳性的数量 。 “CrowdStrike 产品是 Hyatt 网络安全生态系统的关键部分。自去年实施该平台以来，我们的 安全水平有了显著提高。一流的杀毒、端点检测和反应的独特组合，以及威胁情报和专门的 支持团队，远远超出了我们的预期。 ” 凯悦酒店公司 4. ADP， LLC 作为一家提供基于云的人力资本管理解决方案的财富 300 强公司， ADP 为其 74 万客户处理 大量高度敏感的信息，包括个人财务和健康数据。一个内 部安全小组在其全球服务器基础设 施中发现了一个 缺陷。 该基础设施包括大约 20 个数据中心，包括内部数据中心和云中数据 中心，这迫使 ADP 重新评估替代解决方案。 2016 年， ADP 在部署 了 Falcon 平台 的 Falcon Insight 和 Falcon Overwatch，最初的两个模 块仅在三个月内就在 85,000 台服务器上推出，没有中断任何员工或客户。 Falcon 平台收集 和分析的高保真度数据为 ADP 提供了前所未有的环境能见度，并提供了一种更有效的检测 威胁和阻止入侵的方法。部署进展非常顺利，在 2017 年， ADP 将 Falcon Insight 和 Falcon Overwatch 作为公司大约 100 000 台 PC 的主要端点保护技术，并增加了额外的模块： Falcon Insight、 Falcon Discoverage 和 Falcon Intelligence(现在更名为 Falcon X)。 “在我的职业生涯中， CrowdStrike Falcon 平台的部署或许是我所见过的最简单的全球安全 技术推广。通过利用该技术的云架构和 CrowdStrike 的专长，我们能够以惊人的速度和效率 部署。我们立即意识到了这一价值。 ” ADP 首席安保 干事 4. 投资建议 CrowdStrike 树立了网安行业“端云联动”的技术标杆，引领了未来 行业 发展的趋势。同时 SaaS 订阅模式与灵活的模块化组合成为其开拓市场的利器。国内网安企业中， 重点 推荐产 品技术路线与 CrowdStrike 最为近似的奇安信、深信服、安恒信息，建议关注天融信、启明 星辰、绿盟科技、三六零、山石网科等。 5. 风险提示 云安全落地不及预 测 ； SaaS 行业竞争加剧。 行业专题报告 /计算机 14 本报告版权属于安信证券股份有限公司。 各项声明请参见报告尾页。 行业 评级体系 收益评级： 领先大市 未来 6 个月的投资收益率领先沪深 300 指数 10%以上； 同步大市 未来 6 个月的投资收益率与沪深 300 指数的变动幅度相差 -10%至 10%； 落后大市 未来 6 个月的投资收益率落后沪深 300 指数 10%以上； 风险评级： A 正常风险，未来 6 个月投资收益率的波动小于等于沪深 300 指数波动； B 较高风险，未来 6 个月投资收益率的波动大于沪深 300 指数波动； Table_Aut hor Statement 分析师声明 吕伟、胡又文声明，本人具有中国证券业协会授予的证券投资咨询执业资格，勤勉 尽责、诚实守信。本人对本报告的内容和观点负责，保证信息来源合法合规、研究方法 专业审慎、研究观点独立公正、分析结论具有合理依据，特此声明。 本公司具备证券投资咨询业务资格的说明 安信证券股份有限公司（以下简称“本公司”）经中国证券监督管理委员会核准，取得 证券投资咨询业务许可。本公司及其投资咨询人员可以为证券投资人或客户提供证券投 资分析、预测或者建议等直接或间接的有偿咨询服务。发布证券研究报告，是证券投资 咨询业务的一种基本形式，本公司可以对证券及证券相关产品的价值、市场走势或者相 关影响因素进行分析，形成证券估值、投资评级等投资分析意见，制作证券研究报告， 并向本公司的客户发布。 免责声明 本报告仅供安信证券股份有限公司（以下简称“本公司”）的客户使用。本公司不会因 为任何机构或个人 接收到本报告而视其为本公司的当然客户。 本报告基于已公开的资料或信息撰写，但本公司不保证该等信息及资料的完整性、准确 性。本报告所载的信息、资料、建议及推测仅反映本公司于本报告发布当日的判断，本 报告中的证券或投资标的价格、价值及投资带来的收入可能会波动。在不同时期，本公 司可能撰写并发布与本报告所载资料、建议及推测不一致的报告。本公司不保证本报告 所含信息及资料保持在最新状态，本公司将随时补充、更新和修订有关信息及资料，但 不保证及时公开发布。同时，本公司有权对本报告所含信息在不发出通知的情形下做出 修改，投资者应当 自行关注相应的更新或修改。任何有关本报告的摘要或节选都不代表 本报告正式完整的观点，一切须以本公司向客户发布的本报告完整版本为准，如有需要， 客户可以向本公司投资顾问进一步咨询。 在法律许可的情况下，本公司及所属关联机构可能会持有报告中提到的公司所发行的证 券或期权并进行证券或期权交易，也可能为这些公司提供或者争取提供投资银行、财务 顾问或者金融产品等相关服务，提请客户充分注意。客户不应将本报告为作出其投资决 策的惟一参考因素，亦不应认为本报告可以取代客户自身的投资判断与决策。在任何情 况下，本报告中的信息或所表述的意 见均不构成对任何人的投资建议，无论是否已经明 示或暗示，本报告不能作为道义的、责任的和法律的依据或者凭证。在任何情况下，本 公司亦不对任何人因使用本报告中的任何内容所引致的任何损失负任何责任。 本报告版权仅为本公司所有，未经事先书面许可，任何机构和个人不得以任何形式翻版、 复制、发表、转发或引用本报告的任何部分。如征得本公司同意进行引用、刊发的，需 在允许的范围内使用，并注明出处为“安信证券股份有限公司研究中心”，且不得对本 报告进行任何有悖原意的引用、删节和修改。 本报告的估值结果和分析结论是基于所预定的假设，并采 用适当的估值方法和模型得出 的，由于假设、估值方法和模型均存在一定的局限性，估值结果和分析结论也存在局限 性，请谨慎使用。 安信证券股份有限公司对本声明条款具有惟一修改权和最终解释权。 行业专题报告 /计算机 15 本报告版权属于安信证券股份有限公司。 各项声明请参见报告尾页。 Table_Addr ess 安信证券研究中心 深圳市 地 址： 深圳市福田区深南大道 2008 号中国凤凰大厦 1 栋 7 层 邮 编： 518026 上海市 地 址： 上海市虹口区东大名路 638号国投大厦 3层 邮 编： 200080 北京市 地 址： 北京市西城区阜成门北大街 2 号楼国投金融大厦 15 层 邮 编： 100034 Tabl e_Sal es 销售联系人 上海联系人 潘艳 上海区域销售负责人 18930060852 侯海霞 上海区域销售总监 13391113930 朱贤 上海区域销售总监 13901836709 李栋 上海区域高级销售副总监 13917882257 刘恭懿 上海区域销售副总监 13916816630 苏梦 上海区域销售经理 13162829753 秦紫涵 上海区域销售经理 15801869965 陈盈怡 上海区域销售经理 13817674050 徐逸岑 上海区域销售经理 18019221980 北京联系人 张莹 北京区域销售负责人 13901255777 张杨 北京区域销售副总监 15801879050 温鹏 北京区域销售副总监 13811978042 刘晓萱 北京区域销售副总监 18511841987 王帅 北京区域销售经理 13581778515 游倬源 北京区域销售经理 010-83321501 侯宇彤 北京区域销售经理 18210869281 深圳联系人 张秀红 深圳基金组销售负责人 0755-82798036 胡珍 深圳基金组高级销售副总监 13631620111 范洪群 深圳基金组销售副总监 18926033448 聂欣 深圳基金组销售经理 13540211209 杨萍 深圳基金组销售经理 0755-82544825 黄秋琪 深圳基金组销售经理 13699750501 喻聪 深圳基金组销售经理 18503038620 马田田 深圳基金组销售经理 18318054097