奇安信7月22日发布投资者关系活动记录表,公司于2024年7月21日接受145家机构调研,机构类型为QFII、保险公司、其他、基金公司、海外机构、证券公司、阳光私募机构。 投资者关系活动主要内容介绍:
答:根本原因是CrowdStrike的终端安全产品更新导致的驱动程序兼容性问题,此次事件是近年来波及范围最广的IT事件之一。事件的核心原因据我们不难发现包括:1)CrowdStrike在更新测试上的不充分;2)直接进行全世界的推送,导致影响区域极大。更新的驱动程序与操作系统内核的兼容性问题是蓝屏现象的直接原因。 本次事件影响面巨大,涉及多个国家和行业,包括交通、金融、医疗、零售等。恢复难度极大,需要手动将每台受影响的终端电脑启动到安全模式,删除错误的驱动配置文件,再重新再启动系统。事件导致全世界内的终端设备出现一些明显的异常问题,恢复过程复杂且无法自动化,需要人工逐台做修复,工程量巨大。
问:从网安厂商和政企用户自身角度,怎么避免和防范大规模蓝屏此类安全问题?
答:对网安厂商来说,(1)产品发布或更新前内部的充分测试是至关重要的;(2)即使测试无法检测出所有的问题,也可以凭借灰度更新机制控制升级和发布的节奏,这一关键的流程也可以有效的进行补救。 对政企用户来说,网安产品和系统具体如何发挥作用,并不是全用户能直接感知的。用户要防范类似的意外,自身要做好产品的灰度升级,对升级要做一定的控制。这次事件给也用户警醒,安全软件自身必须做到“零事故”。
答:在网安厂商层面,通常来说在发布产品之前,会先进行灰度测试,即在产品推广到70%-80%后确定没任何问题后,再向全网推广。 对于用户层面,大部分升级用户也可以再一次进行选择来测试,测试后再选择全客户端升级。这次事件应该是是在厂商灰度测试或者用户升级测试方面出了一定的问题。
问:国内并没再次出现大面积的蓝屏现象,有零星报道但仅以外企为主,原因是什么?本次事件对国内网安产业以及奇安信会带来哪些深远的影响?
答:中国市场受这次事件影响相对来说比较小,核心点在于中国市场大多数政企用户在安全产品上使用的是国产厂商提供的产品,充足表现了国家一直在推行的IT软硬件国产化替代的重要性。事件对网安产业以及奇安信的影响,体现在以下几个方面: 1)政企用户将对安全软件提出更高要求,不仅要保障网络安全和数据安全,还要确保安全软件自身的稳定可靠运行。 2)若用户对升级没有管控能力,那这个能力一旦被反向利用,会带来更严重的危害。因此预计国内会加强对网络安全行业的国产化替代和监管,同时包括操作系统等基础软件,以确保信息与安全均由自身掌控,国内网络安全产业的自主可控生态将得到加强完善。 3)对奇安信来说,我们在产品和服务上一直追求的“零事故”目标可以给到客户极大的信心。由于本次事件主要发生在终端侧,无论是产品能力、产品质量,以及运营的方法和流程,奇安信都能做到较为成熟和先进,并获得客户的广泛认可。并且,本次事件使得客户更加重视网络安全的重要性,奇安信的产品已经经过市场的充分检验,客户会更愿意选择这样的产品,从而为奇安信带来更大的市场机会。
问:相较微软Windows,国产化操作系统厂商与安全软件协作,安全防护效果如何?
答:微软Windows作为一个开放的操作系统,尽管近年来对底层驱动层的调用需要微软签名,但应用厂商经过认证后仍旧能获得几乎与操作系统相同的权限。相比之下,国内的国产操作系统在权限控制上更严格,安全厂商与操作系统厂商协作,将所需权限封装在操作系统底层,直接提供给安全软件,减少了安全厂商与内核的联动,以此来降低大规模事件的概率。 我国在安全厂商与国产操作系统厂商结合方面较微软更顺畅,一是因为国家的发展的策略,二是因为国内操作系统厂商对于网络安全很看重,所以我国偏向于操作系统底层的设计,而国外厂商偏向于对操作系统做更多的围堵和修补。从这个层面上说,国产化安全软件与操作系统协作,经过一段时间的迭代,整体安全能力和效果能够接近和达到并最终超过国外先进厂商。
问:国内EDR(终端检测与响应)市场的格局和规模如何?奇安信在这方面的规划和布局是怎样的?
答:EDR产品虽不是新概念,但客户的真实需求和使用近两年呈现高速增长趋势,市场处于上升期,未来将有较大的市场增量,这主要得益于一系列攻防实战演练的持续推进。过去几年,攻击手法从直接攻击服务器转向攻击终端,通过钓鱼攻击获取终端控制权,再进行横向移动。传统杀毒软件难以应对这种攻击,需要用EDR产品做响应和处置。 根据IDC报告,奇安信在国内EDR市场的占有率位居第一。奇安信还会加大对终端安全产品的投入,确保在国内EDR市场的领头羊。奇安信在网络安全“零事故”的能力和经验方面具有非常明显优势,并将继续向用户交付“零事故”的结果,确定保证产品的安全和稳定运行。
问:这次CrowdStrike的安全事件是否与SaaS安全有关?能否分析下SaaS安全模式的优缺点是什么?
答:本次事件的影响范围广,还在于CrowdStrike采用了SaaS模式。SaaS的优点是能快速收集样本和网络威胁,在云端进行统一的安全分析和运营,并进行快速响应。此外,客户无需独立部署服务器,降低了成本,并能快速获取安全能力和情报更新。然而,其缺点在于客户对云化服务缺乏掌控力,因为更新是由CrowdStrike控制中心决定。 对于国内市场而言,国内对于网络安全和数据安全的要求比较高,客户自身也格外重视,国内政企用户更多采用私有化部署的模式,并且和安全厂商的云进行可控的连接,以确保可以有效的进行更新。 这次事件并不完全说明SaaS模式有一定的问题。SaaS的特性是实时更新,CrowdStrike的服务器和配置更新后,全部客户会第一时间获得更新,这是SaaS的基本能力和特性。如果通过灰度更新机制,可以在某些特定的程度上避免类似问题。国内网安的SaaS模式也在发展,一些客户逐渐接受了这种模式,但私有化部署仍然是主流,尤其是在对业务稳定性要求比较高的领域。未来预计SaaS与私有化部署这两种模式将持续并行发展,应用在不同用户场景中。
答:从安全能力等技术层面来看,奇安信与海外安全龙头公司是可以掰手腕的,甚至在某些细致划分领域优于海外竞争对手。在国际市场之间的竞争中,奇安信通过POC和功能性测试,综合得分高于海外对手,赢得了标杆性的海外项目,并创下中国网络安全企业出海最大一单,都是具体的例证;
