CrowdStrike：快速进化的下一代终端安全平台

核心观点

CrowdStrike(CRWD)是全球知名的下一代终端安全厂商。公司成立于2011年，于2012-2013推出拳头产品威胁情报服务FalconX及终端检测与响应(EDR)产品Falcon Inshight，并在2017年迅速丰富终端安全产品线，先后发布下一代防病毒、IT资产管理系统、恶意软件搜索、漏洞管理、沙箱及端点设备控件等多个产品模块，且于今年推出PaaS安全平台CrowdStrike Store，构建了终端安全产品+威胁情报服务+专家服务，SaaS + PaaS 的完整安全生态。

CrowdStrike于今年6月在纳斯达克挂牌交易，2017-2019财年公司营业收入分别为0.53、1.19、2.50亿美元，同比增长125.1%、110.4%，净利润分别为-0.91、-1.36、-1.40亿美元。公司于2019年7月19日发布上市后首份财报，业绩表现及全年指引超出市场预期，公司预计2020财年营业收入为4.30- 4.36亿美元，同比增长72%至75%，目前对应PS(FY2019)为76倍，PS(FY2020)为44倍，是目前美股估值最高的网络安全企业。

公司核心竞争力体现在产品能力行业领先、完全基于云端部署及SaaS模式下强大的威胁情报能力三个方面。

1）产品能力：公司两位创始人曾任全球防病毒产品领导厂商McAfee（迈克菲）高管，公司本身具备较强的终端防病毒及威胁情报方面的技术基因。自2017年起，公司在Gartner，IDC，Forrester Wave，NSS等多个第三方权威机构的评估结果中均处于行业领先位置，作为新兴安全厂商目前已经与赛门铁克、趋势科技等头部厂商在产品能力方面处于同一水平，且在EDR、下一代防病毒、威胁情报、机器学习等新技术新方向的布局上领先于竞争对手。

2）云端部署：公司的Falcon终端安全平台完全基于SaaS模式，具备其他SaaS解决方案所拥有的共同优势，在产品的敏捷性、易用性、可拓展性、定价灵活性、持续迭代等方面要明显优于本地部署的安全产品。SaaS模式下公司通过免费试用、网络营销等“低接触式”销售，推动订阅服务客户数量连续翻倍以上增长。同时98%的留存率以及147%的净留存率分别彰显出公司Falcon产品极强的粘性，以及能够针对现有订阅客户不断增加终端覆盖数量和实现额外的云模块的交叉销售。

3）威胁情报：具备实时+大样本的威胁情报能力，SaaS模式下每个端点都能够作为数据搜集器，端点采集的威胁情报汇聚到云端，结合后端的AI能力及专家团队对数据进行处理分析，进而再赋能给终端，是公司Falcon平台+威胁情报系统的核心逻辑。这一模式具备强大的网络效应，Falcon平台覆盖的终端数量越多，所汇聚的威胁情报数据量也越丰富。根据Gartner等机构的测评结果，相比本地模式，威胁情报显著增强了Falcon产品在端点的安全能力。

终端安全技术快速演进，新兴终端安全厂商正冲击老牌厂商市场份额。终端安全市场主要分为针对PC及其他移动设备，以及针对服务器和云工作负载两大分支，这两大方向上的核心技术、产品、厂商均有所差别。随着包括黑名单、白名单等基于签名机制的防护手段在应对高级威胁时逐渐失效，以及安全威胁的复杂化正驱动终端安全技术向动态检测、取证、响应、情报等主动防御和及威胁情报阶段演进，EDR、威胁情报、AI能力等正逐渐成为终端安全厂商核心技术能力。公司目前竞争对手主要包括三类：1）迈克菲、赛门铁克等老牌防病毒厂商；2）Carbon Black、 Cylance等新兴终端安全厂商（公司属于此类）；3）Palo Alto Networks、Fortinet等网络边界安全厂商。以公司为代表的新兴终端安全厂商正冲击传统厂商的市场份额。

风险提示：行业竞争逐渐加剧的风险；新业务拓展不达预期的风险；研发投入不达预期的风险。

对我国终端安全/网络安全市场的启示

美股网络安全企业估值水平分布更加两极分化，而A股网络安全标的估值水平则相对集中。在产品、技术、模式上具备较强创新能力的新兴安全厂商如CrowdStrike、Zscaler，PS（FY2019）能够达到30倍以上，市场给予了这类具备高成长性的网络安全标的较高的估值溢价，同样对于Symantec等传统安全企业，PS（FY2019）仅在3倍左右甚至更低，对比A股网络安全标的 PS（2019E）基本处于6-12倍之间。

相比边界安全/网络安全，国内终端安全行业在市场规模和主要厂商体量方面要显著低于全球水平。全球规模排名靠前的安全厂商中有多家终端安全厂商，包括Symantec、McAfee、趋势科技等，但在我国企业级安全市场，终端安全厂商的收入体量要明显小于边界安全/网络安全厂商，且终端安全行业在整体规模上同样存在较大差距。

全球终端安全厂商对于包括EDR、威胁情报、AI等新技术的应用已经逐渐走向成熟，国内终端安全行业整体还正处于从被动防御向主动防御及威胁情报过度的初始阶段。随着近年国内终端安全市场对于新技术重视程度的不断提升，部分头部厂商包括奇安信、亚信安全、深信服等已经推出EDR、威胁情报等相关产品及服务，但和国外头部安全厂商包括Symantec、CrowdStrike等对比，无论是产品的成熟度，还是在 EDR、威胁情报、AI等新产品及新技术的应用上仍存在明显差距。这和国内用户更倾向于合规性采购，对安全产品本身重视程度不足有一定关系，国内终端安全市场在新产品和新模式的应用上仍需要本土安全厂商的持续培育。

全球市场来看SECaaS已经成为了主流模式，且已经展现出了相比本地部署的显著优越性，而国内云安全仍处于起步阶段，且受到安全行业诸多特殊因素的影响，其发展水平要滞后于其他SaaS细分赛道。全球范围内许多新兴安全厂商包括CrowdStrike 、Zscaler的产品完全基于SaaS模式，同时Palo Alto Networks、FireEye、Fortinet等网络安全厂商订阅服务收入占比均已超过产品交付，且占比仍在持续提升，传统老牌安全厂商趋势科技、赛门铁克也正在大力推进自身产品向云端迁移。然而受国内用户付费习惯、以及对数据安全问题的担心等多方面因素的影响，国内安全市场对SECaaS的接受程度仍然处于较低水平，国内的安全产品绝大部分仍基于本地或私有云的方式部署，同时在威胁情报的应用上也存在较大差距。