(报告出品方/作者:国信证券,熊莉、库宏垚)
核心观点
AI和威胁情报助终端安全技术蝶变,全球市场格局已变
传统终端安全以“杀毒软件”为代表,以特征库匹配为主要技术,主要解决已知问题。随着各类未知攻击的诞生,终端安全也引入AI、威胁情报等新的技术应对。终端处,产品升级为下一代杀毒NGAV、终端检测响应EDR、云工作负载保护CWPP;云端处,威胁情报成为新的“生产资料”,为终端乃至全部安全体系赋能。IDC预计年终端安全市场将超过92亿美元,年复合增长率8.6%。
Crowdstrike实现基于云的终端安全颠覆,快速成长新王当立
Crowdstrike以威胁情报和终端安全起家,云端建设威胁图,Falcon平台的动态威胁数据库;终端部署轻量级代理,类似终端处的“传感器”。通过终端代理,客户可以实现多种SaaS安全功能订阅。除了终端安全,公司还推出多种产品组合,基础版价格已由6.99提升至8.99美元/月。凭借产品在体验端、技术端、市场端的优势,公司迅速得到市场认可。近年来公司营收增速均保持85%以上,预计年收入8.55-8.6亿美元,增速为78%。同时,公司净留存率保持%以上,各项SaaS指标优异。当前市值达到亿美金,对应今年PS在50倍以上。
市场、政策、技术推动国内终端安全市场重启,终端已成必争之地
杀毒软件是国内消费者接触最早的终端安全产品,国内早期消费级市场由江民、瑞星、金山主导,随后通过免费将时代终结。海外消费级终端安全市场依然存在,但国内外企业级均是最核心的市场。市场端,年wannacry病毒带动了终端需求的催化,近期Solarwinds事件也验证了终端保护的重要性;政策端,等保2.0进一步强调了主机安全;技术端,除了终端自身技术进化之外,在态势感知为代表的体系化安全建设中,终端已经是必不可少的一环。国内终端安全有望快速增长。
终端安全技术蝶变,威胁情报成为安全新风口
终端安全面临下一代技术升级,AI成为新驱动力
“杀毒软件”永不过时。安全的本质是攻防的较量,网络攻击有造成网络端崩溃的(如DDoS攻击),也有窃取机密数据或勒索的(如WannaCry病毒)。当边界防御被攻击突破后,终端自身的防御系统则成为关键,需要及时排查恶意软件。另一方面,内网本身存在攻击风险,如企业PC上插一个U盘,直接就从内部开始感染。尤其当前云化、移动化办公趋势明显,很多办公设备并不是永远处在被边界保护的环境中,疫情下广泛的远程办公,更是让办公终端处于“放任”状态。因此终端自身需要具备防御能力,安全产品依然刚需。
IOT终端急剧膨胀,后疫情时代,终端是安全投入的重点。物联网的快速发展必然会带来海量的IOT设备,当前除了移动化的办公设备外,服务器、打印机、销售站、可穿戴设备等均是潜在被攻击对象。即使企业上云后,云上的工作负载,如虚拟机和容器,也成为了新的终端需要被保护。后疫情时代,各办公终端、及网络场景,处于高度分散化状态,边界被打破带来了攻击面的扩大。因此根据日立发布的企业首席信息官(CIO)调查,年下半年最高IT支出优先级是网络安全。疫情改变了大多数CIO的IT计划,现在有89%的人表示他们专注于网络安全,而82%的人则致力于远程支持;有一半的人表示要增加网络安全预算。具体方向来看,有43%的CIO在身份和访问管理(IAM)上进行了投资,有34%的CIO加强了终端安全的投资。这两项技术也非常匹配当下云场景办公需求,终端安全持续受益。
技术方面,终端安全正处于变革期,下一代杀毒和终端安全响应成为新方向。以国外McAfee、国内为代表的传统杀毒软件,主要通过升级静态病毒库来与恶意软件进行匹配。该方法在面对如“无文件攻击”时会失效。而以APT为代表的高级持续性攻击,隐秘性极强,迫使传统终端安全引入新的技术,如人工智能、大数据、行为分析等技术,产品形态有终端检测响应EDR、威胁情报、沙箱技术等。
下一代杀毒NGAV(EPP):。基于签名的防病毒产品,依然是当前的主流,但是攻击的复杂性提升,导致传统杀毒软件越来越力不从心。年PonemonInstitute的一项调查发现,防病毒产品平均错过了60%的攻击。因此也诞生出下一代杀毒软件NGAV,通过引入机器学习、异常行为分析等技术,利用人工智能来识别和防止恶意行为。
终端安全响应(EDR):。EDR核心为记录,收集和存储来自端点设备活动的大量数据,从而使安全专业人员可以识别潜在威胁,调查和补救任何潜在攻击。重要的是,EDR为安全团队提供了可视性,其中包含大量数据,可以对其进行分析以磨练恶意或异常行为,并检测端点保护技术遗漏的攻击。EDR在~年连续进入Gartner的10大技术之列,成为当前终端领域最热门产品。
当前终端安全主要分两类:办公终端和云工作负载。假设极限办公IT场景只有办公终端和云(无论公有云,还是私有云)服务端,以PC为代表的终端安全主要以EPP和EDR产品为主;而以云为代表的服务终端,则是虚拟机、容器等工作负载,以CWPP产品为主。
EPP(终端保护平台,以杀毒软件为主)和EDR的组合成为终端安全的良药。EDR与EPP有一部分的价值重叠,EPP专注预防,EDR能够描述整个攻击过程,实现高级威胁的检测与响应,二者共同部署是最好的组合。EDR在~年连续进入Gartner的10大技术之列,并且认为EPP与EDR技术融合将成为总体趋势,这也带动EPP技术向AI发展的重大转变。
云上的工作负载将成为新的终端安全场景。云工作保护平台(CloudWorkloadProtectionPlatform,简称CWPP),与以解决PC和服务器终端安全的EPP、EDR不同,CWPP主要解决混合的数据中心架构中,物理机、虚拟机、容器和无服务器工作负载的安全问题,为他们提供统一的可视化和控制力。根据Gartner的定义,CWPP侧重数据和流量的问题,包括了WAF、Firewall和IPS等,并且越是靠近基座的功能越重要,越是靠近塔尖的功能越次要。CWPP部署在操作系统层,采用服务端agent+远程控制台的部署模式,agent支持云、物理、混合环境部署。随着云承载IT工作的范围越来越广,云工作负载已经成为新的场景,CWPP有望与传统EPP一样,成为新的终端安全必备。根据Gartner指引,年市场达到12.44亿美元,同比增长20.5%。
威胁情报为云端赋能打下基础,成为安全行业新“生产资料”
威胁情报弥补攻防两端信息不对称,已经成为安全必需品。当前新一代攻击者常常发起高级持续性攻击(APT)。APT是精心策划下对特定组织的攻击,其攻击隐秘性极强,通常以盗取数据为目标,并不对系统造成伤害,被攻击者可能自始至终无法察觉。例如近期美国Solarwinds事件就是典型的APT攻击。过去基于恶意程序签名的技术,以防火墙、IPS、杀毒软件为代表的老三件产品无法解决此类问题,因为这是未知领域的攻击。而通过威胁情报的大量“内外援”信息,新方法尽可能消除信息不对称。
威胁情报并非简单的“数据”和“信息”汇总。威胁情报更多是一种“知识”的概念,基于自身IT和信息资产面临的潜在威胁和攻击事件,形成上下文、机制、标示、含义和能够执行的建议等,能够为响应和处理提供决策的“知识”。威胁情报可以来自外部,如互联网公开情报源:各类安全事件、预警信息、监控数据分析、IP地址信誉等,也有情报交换、商业情报公司订阅等;也可以来自企业内部,企业自身网络基础设施产生的威胁数据,如通过提炼SEIM系统数据、异常流量、漏洞信息、日志信息等形成威胁情报。威胁情报常见部署状态为云端和本地的共享,一方面借力云端的情报助力,一方面本地形成内生性的场景,情报的“消费”和“生产”进行循环。通过共享,威胁情报可以在全行业发挥作用。
威胁情报内涵广阔,价值巨大。根据DavidJ.Bianco在《ThePyramidofPain》一文中提出的威胁情报相关指标,当“己方”掌握这些“知识”后,可以让攻击者感受相应困难的“痛苦”。威胁情报中价值最低的是Hash值、IP地址和域名,其次是网络/主机特征、攻击工具特征,对攻击者影响最大的是TTP(战术、技术和行为模式)类型的威胁情报。威胁情报的内涵早已超过传统的基于特征的病毒库,成为防护策略定制的新“生产资料”。
威胁情报赋能同样提升终端能力。在终端安全领域,基于各个端点广泛的检测、攻防、行为等数据,后台对各信息进行聚和、关联分析。形成威胁情报后,进而指导终端做出响应。终端安全领域,传统以特征库升级为主,威胁情报技术已产生了深刻的变革。除此之外,威胁情报还能用在传统产品上,如防火墙、IDPS等,形成实时的最新策略。同时,威胁情报还可以应用到业务安全中,如防欺诈;网络资产管理也可应用。随着威胁情报逐步普及,市场持续扩大,IDC预计年市场规模达到22亿美金。
终端安全领域格局已变——传统没落,新王当立
终端安全市场持续增长。根据《IDC全球企业级终端安全预测,-》数据,年全球企业级终端安全市场规模达到61.46亿美元,年将超过92亿美元,年复合增长率8.6%。其中传统EPP产品增速已经放缓,而EDR产品成为重要增长动力。
终端领域著名玩家众多,但行业领导者已经更替。无论是企业级终端市场,还是消费级终端市场,最耳熟能详的是McAfee(迈克菲)、Symantec(赛门铁克-诺顿)、Kaspersky(卡巴斯基)等传统杀毒软件厂商,多数消费者在购置PC时也使用他们的预装安全产品。在企业级终端市场,传统厂商市场份额较高,Symantec、TrendMicro(趋势科技)、McAfee占据了40%的市场份额。然而根据Gartner最新的终端安全魔力象限,新兴终端安全厂商Crowdstrike已经跃升为行业领导者。Crowdstrike在技术和市场上均表现优异,虽然当前市场份额仍较小,但是超高速增长下,公司持续侵蚀传统厂商的份额。公司基于云原生的SaaS方案,已经开始颠覆行业格局。
防火墙龙头也纷纷加大终端布局,但思路仍以边界为主。传统防火墙类厂商将内网按照边界圈起来保护,但随着移动办公、云和多种IOT终端的兴起,边界正被不断打破。边界外的终端设备对整个网络造成风险,因此防火墙厂商均加入了终端安全模块。边界安全厂商的优势在于基于自身防火墙平台,打造云网端一体的防护。因此,防火墙龙头通过收购,纷纷加大了终端布局;但是基于防火墙厂商的发展路径,终端更多是整体解决方案的补充。目前在终端领域,海外边界安全厂商仍处于追赶者角色。
Fortinet在年10月收购终端安全公司enSilo,增强了公司安全平台的终端解决能力。enSilo在被收购之前就已经是FortinetSecurityFabric的合作伙伴,并已完成与FortiGateNGFW,FortiSandbox沙盒方案,FortiSIEM和FortiClientFabricAgent的联动。
PaloAltoNetworks在年3月以2亿美元收购一家安全初创公司Cyvera,其旗舰产品为TRAPS。TRAPS对未修复的漏洞、无文件攻击、应用漏洞利用均有较好的效果,但是缺乏事后补救工具和响应机制,仍需要其他产品配合。PaloAlto始终认为防护才是最重要的,检测和响应永远只能是其次;这个理念和近两年企业安全的主流价值观存在一些冲突。公司以网络端为核心,NGFW边界平台提供强大支撑,TRAPS成为与防火墙联动的模块,是整体方案的有益补充。
终端安全领域赛道拥挤,Crowdstrike通过新技术突围。目前终端安全玩家主要分为三类:传统杀毒厂商、网络安全厂商(收购)、新兴终端厂商。纵观终端安全发展历史,传统杀毒软件厂商众多,且依然占据较大市场。然而终端领域已经不再是基于特征库签名的McAfee和Symantec主导的时代,新兴厂商基于白名单、AI等技术已经得到市场认可。相比于其他新兴终端厂商,Crowdstrike基于云端平台,通过威胁情报、大数据、AI等新技术成为行业领导者,市场上的高速增长,也确认了公司成为终端安全的新王。
终端安全的云化:从Crowdstrike看云端颠覆
基于云的终端安全,Crowdstrike带来技术和商业模式双重变革
终端领域的SaaS,Crowdstrike新架构重塑终端安全。Crowdstrike成立于年,由两位传统杀毒软件McAfee的高管创立。公司以威胁情报起家,开启EDR产品的黄金赛道,不断推出新产品实现交叉销售。公司曾因索尼影业遭黑客入侵事件,“特朗普通俄门”事件而名声大噪。相比于传统杀毒厂商基于特征签名只能解决已知威胁,公司创建了一个云安全平台Falcon,基于大数据和AI的主动防御平台,以SaaS的模式提供多种安全服务,包括端点安全、安全与IT运营、威胁情报,能够解决未知威胁。终端安全基于各种海量设备布置(PC、服务器、移动、IOT、虚拟机云工作负载等),SaaS模式让各端点更简单的部署、扩展和管理,迅速得到市场的欢迎。
公司核心技术是基于云端的威胁图平台,以及基于海量终端的轻量级代理。
威胁图(ThreatGraph):Falcon平台的动态威胁数据库。威胁图基于云原生架构,汇聚海量终端的数据,同时利用自有的和第三方的威胁情报,通过AI和模式匹配技术来寻找恶意活动,包括攻击能力,动机,归因和威胁指标。威胁图每周实时处理,关联和分析全球客户中超过4万亿个与端点相关的事件,使每分钟的攻击决策指标达到1.34亿,并为数十亿字节的历史数据编制索引以进行探索和搜索。各端点独立的事件看似没有直接关系,但是通过AI的分析,可以挖掘未知威胁。威胁图可以为客户提供实时和历史的可见性,深入了解端点处发生的事件。
轻量级代理(LightweightAgent):Falcon平台对于每个终端放置的“传感器”。代理设计轻巧,消耗CPU少于1%,且无需重启部署,以静默的方式自动执行,每个传感器每天传输约5-8MB,对用户终端没有干扰。该传感器主要是捕获和记录终端数据,上传给Falcon平台,并保护终端安全;且保留了端点上必需的本地检测和预防功能,在离线情况下也能工作。轻量代理实现了数据众包的模式,每个端点均贡献自身的威胁数据,形成广泛的网络效应。该传感器以机器学习的方式工作,同时还能兼容本地的第三方杀毒软件。
产品模块持续迭代,跨入IT运维领域。威胁情报当前已经成为网络安全建设必不可少的“生产资料”,Crowdstrike也是以威胁情报起家,通过将威胁情报赋能,不断推出新的产品,例如终端安全领域的EDR引领行业变革。公司从年2月开始,开始由单一产品向多模块发展,实现交叉销售和多模块集成订阅。凭借公司掌握的海量终端,公司进一步衍生至IT运营业务,现在已经覆盖端点安全、IT运营、托管服务、威胁情报、云安全。年9月公司以9万美元收购PreemptSecurity,加强零信任的能力,进军身份保护领域。同时,公司年推出PaaS安全平台CrowdStrikeStore,支持第三方安全应用,打造SaaS+PaaS的完整安全生态。公司模块数快速增加,已由年初的11个模块,发展至当前的16模块,多个模块预计在年推出。
模块增加,带来产品组合价格提升空间。终端领域成为Crowdstrike掘金的第一蓝海,公司按照部署端点数量和时间进行订阅收费,提供专业版、企业版、高级版多种产品组合。随着产品模块供给端的增加,以及组合灵活性的提升,产品价格也有所提升。专业版以NGAV为核心,价格由6.99提升至8.99美元/月;企业版以NGAV和EDR为核心,价格由14.99提升至15.99美元/月;高级版以NGAV、EDR、ITHygiene为核心,价格由17.99提升至18.99美元/月。公司产品没有本地版本,自始至终坚持订阅模式,占营收比达到91%。
海量终端下,Crowdstrike开启七大增长战略。海外来看,终端领域一直有传统杀毒软件厂商占据。Crowdstrike是基于云模式的SaaS终端安全产品,其成长逻辑优于传统设备厂商,大量客户可以实现快速海量终端部署,且云端助力比本地产品具备更好的效果。基于公司Falcon平台技术的领先性,公司具备替代老一代产品的能力。同时,不断丰富的产品模块供给,也提供了多种交叉销售的市场机会。而海量的移动、物联网终端也是公司新的增长点;同时还有机会切入IT运维等非安全领域。在政府客户和全球市场,公司也持续投资布局深入。
业务边界扩大,Crowdstrike覆盖市场空间持续增长。公司以威胁情报起家后,凭借Falcon平台云原生的架构,不断赋能和挖掘新的功能模块。Falcon也成为公司的孵化器,不断推出新产品,进入终端、漏洞管理、托管服务、以及IT运维管理类非安全领域。根据IDC和公司测算,公司目前产品覆盖的市场年达到亿美元,在9%的复合增速下,年有望达到亿美元。
具体来看,公司各细分产品和对应市场均有一定规模,其中终端和漏洞管理较大。相对于亿美元以上的市场空间,公司上一财年收入仅为4.81亿美元,成长空间广阔。尤其云端结合有望成为普遍的IT架构,随着海量移动、IOT等终端快速增长,公司成长边界仍会持续突破
云和AI下的正循环,Crowdstrike竞争优势强大
体验端:终端安全产品具备C端触角,云端SaaS用户体验成为关键因素之一。PC上的安全软件是企业和消费者用户最常接触到的安全产品,传统模式下本地安装,配合实时更新的病毒库,整体产品较为臃肿,对本地CPU及内存消耗较大,因此常会造成“卡顿”现象。因此与网络端安全产品不同,终端安全软件用户体验极其重要,Crowdstrike基于云原生的SaaS优势明显,公司可以在24小时内将Falcon平台部署到全球超过10万个端点,通过单一的轻量级代理,可以实施激活其他云模块。公司的轻量级代理设计轻巧,不用重启部署,也没有操作也没;且消耗CPU不超过2%,每天仅需上传5-8M数据。经过AI的训练,即使离线状态也能正常工作。根据GartnerPeerInsights“客户之声”的调查统计,Crowdstrike在整体评价、推荐意愿、产品力、评估签约、集成部署、服务支持等多个方面位居前二,其良好的用户体验获得客户的广泛认可
技术端:众包效应显著,基于AI的分析形成正反馈。凭借Crowdstrike在广泛客户终端的部署,数据汇聚到Falcon平台,可以进行充分的训练,实现产品更高的检测率和更低的误报率,进而吸引更多客户,其数据贡献也会更多。新一代终端安全厂商均是以AI为核心技术,公司Falcon已经早在年就被认证为传统杀毒软件的替代品。公司在AV-Comparatives、SELabs、VirusTotal等多个第三方测评中均名列前茅,基于云的AI技术让公司与传统厂商在性能和检测率上拉开差距。
市场端:Crowdstrike技术能力同样深受市场认可。公司已经是EPP魔力象限的领导者。除此之外,根据Gartner终端保护平台(EPP)关键能力报告,在A类客户中(具备“前瞻性”的小型组织,将技术建设视为竞争力,愿意在新技术上进行投入),公司关键功能排名第一。在B类客户(最大的组织,受到预算和人员限制,等待新技术成为主流之后再考虑实施)、C类客户(中型组织,预算更为严格,看重产品稳定性和运营成本),公司也保持了前三名的排名。同样,在ForresterWave年终端保护平台矩阵中,对各厂商当前产品力、战略演进、市场地位做了14项评分,其中有10项Crowdstrike获得第一。
当前Crowdstrike主要竞争者有传统杀毒厂商McAfee和Symantec,新兴终端安全厂商CarbonBlack和SentinelOne,分别和对手一一对比。
CrowdstrikeVSMcAfee。McAfee在消费者领域的用户体验较差,臃肿的本地部署和高CPU消耗让用户难以接受。公司在EDR等新技术领域投入滞后数年,基于签名的技术已经落后于新兴的基于AI的检测。虽然McAfee近年来持续加强AI、威胁情报、云安全的投入,但当前Crowdstrike基于云的更轻巧的方案和更有效的全新产品更能满足客户需求,公司难以阻挡被Crowdstrike抢夺市场份额。
McAfee是杀毒软件鼻祖,在市场份额和知名度上依然占据领先,目前在消费者领域,McAfee保护了6亿台设备,但其近10年发展波折较大。年英特尔以76.8亿美元收购了McAfee,希望将网络安全功能整合到芯片中,以更深层次侦测网络威胁。但英特尔对McAfee的业务整合并不顺利,年又将其出售。年10月,McAfee成功二次上市,市值约70亿美元左右。年McAfee实现收入26.35亿美元,同比增长9.38%;其中消费者C端实现收入13.03亿美元(+12%),企业B端实现收入13.32亿美元(+7%)。
CrowdstrikeVSSymantec。Symantec各产品较为分散,如EDR和威胁情报等均需要单独产品,多种部署方式也容易造成版本混乱。Crowdstrike云端部署更为简洁,集成性更高。Symantec于年底也发布了SymantecEndpointProtection14解决方案,基于终端和云端的人工智能技术,但是市场认为该产品与真正的下一代产品性能和体验上仍有差距。
Symantec目前占据终端安全市场最大的市场份额,年公司将企业安全业务以亿美元出售给博通,数月后,博通又将Symantec卖给了爱尔兰的埃森哲,埃森哲主要从事企业咨询、信息安全咨询和运营等业务。Symantec的消费者业务更名为NortonLifeLock,由其收购的著名杀毒软件Norton和身份保护LifeLock组成,继续保持上市公司地位,目前市值约亿美元左右。NortonLifeLock在上一财年收入24.9亿美元,同比增长1.38%。
CrowdstrikeVSCarbonBlack。CarbonBlack主打基于大数据分析的云交付安全平台,技术创新性与Crowdstrike相似。CarbonBlackEDR产品较强,但威胁情报相对单薄,且其最初的“白名单机制”有效但难以扩展。Crowdstrike在威胁情报和服务上更为完善,且第三方测评认可度更高。
CarbonBlack成立于年,在年之前采用Bit9名称。公司同样聚焦下一代终端安全,其“白名单机制”技术与当时的终端产品思路完全不同。年公司遭受黑客攻击,暴露终端检测和响应方面的缺陷,随即收购CarbonBlack,并年正式改名。CarbonBlack于年上市,年被虚拟化巨头VMware以21亿美元收购。对于云里的“终端”——云工作负载,VMware需要加强虚拟机、容器等新终端的安全。CarbonBlack年收入达到2.1亿美元,同比增长30%,收入体量已经被同期Crowdstrike超过,且Crowdstrike增速显著更高。
CrowdstrikeVSSentinelOne。SentinelOne同样强调AI技术的应用,在EPP上具备优势,但是EDR仍在完善中,且威胁情报功能不全面。SentinelOne会在设备本地进行大量运算,因此CPU消耗高。Crowdstrike在云端体验更好,且产品完整性和成熟度更高。
SentinelOne成立于年,以AI技术前瞻性地预判出终端安全,而非出问题后再解决。公司强项在EPP,自信可打败任何勒索软件,推出“网络威胁担保”服务:如果客户感染了勒索软件,最高可获万美元损害赔偿。年2月,公司完成2亿美金融资,估值已超过11亿美金。SentinelOne表示,目前多家客户中包括数百家全球强企业,并且在过去12个月中收入实现增长%。
技术和服务优势让Crowdstrike脱颖而出。公司产品优势主要在体验、技术、市场方面,总结来说,主要是云原生、AI、单一代理;威胁情报、7*24小时服务、整体解决方案。公司对传统(McAfee为代表)和同样新兴(CarbonBlack为代表)的终端安全厂商均形成压制。尤其传统竞争对手被资本裹挟较多,增速放缓,也显示其无法及时跟进最新的技术转型。而同样新兴的厂商也成为巨头布局的补充,VMware收购CarbonBlack,重心在云工作负载的终端。同样,与Crowdstrike颇有渊源的Cylance也被黑莓收购,重心在QNX部门,车联网的新终端。当前终端市场预计持续增长,Crowdstrike在技术和市场上均成为领导者,成长势如破竹
新终端龙头快速增长,SaaS各项指标表现优异
营收快速增长,持续超预期。Crowdstrike近年来营收增速均保持85%以上,年(年1月31日年报,近似年全年业绩)公司实现收入4.81亿美元,同比增长92.7%;年前三季度,公司实现收入6.1亿美元,同比增长85%。单Q3收入2.32亿美元,再次超出二季度指引的2.11-2.15亿美元。公司也再次上调全年收入指引,预计21财年(近似于年)收入8.55-8.6亿美元,增速为78%。公司表观利润依然为负,但公司已经连续3个季度实现Non-GaaP盈利,Q3实现盈利0.32亿元,预计全年Non-GaaP也实现盈利。
订阅模式为主体,递延收入健康增长。公司以SaaS模式提供终端安全服务,订阅收入占比达到90%以上。年订阅收入为4.36亿,同比增长99%,20Q3增速达到了88%。随着订阅产品的增加,毛利率由16年的36%,提升至当前的77%。服务业务年收入为0.45亿,同比增长50%,20Q3增速达到56%。得益于订阅业务的快速增长,公司年递延收入达到5.71亿美元,同比增长97%;Q3达到7.63亿美元,同比增长70%。
ARR持续高增长,净留存率保持%以上。Crowdstrike年度经常性收入ARR保持高速增长,20Q3达到9.07亿美元,同比增长81%;其中有1.17亿美元是本季度新增ARR。公司ARR净留存率近年来保持%以上,FY21Q1-Q3虽没有具体披露,但也在%以上,主要是因为现有客户内部端点的扩展,以及新增的云模块订阅。公司ARR毛留存率也保持在98%的高水平。
客户数保持高增长,多产品扩张路线推进顺利。Q3公司订阅客户数达到家,同比增长85%,本季度新增名客户,仍保持较高增长。同时,订阅不少于4个模块的客户持续增加,占比达到61%;订阅不少于5个模块的客户占比也达到44%,订阅不少于6个模块的客户占比达到22%。公司不断加大产品布局,新产品认可度逐步提升。
核心SaaS指标亮眼。年公司新增客户家,销售费用增速低于客户增速,公司CAC进一步下降,Q3整体有所回升。ARR增速也低于客户数量增长,新客户一般开始的订阅较少,因此MRR有所下降。随着客户后续订阅模块增加,预期MRR有望回升。公司当前季度客户毛留存率为98%(月度水平更高),按照当前假设,年公司LTV/CAC超过5倍,20Q3也有4.6倍。
费用率持续下降,人员保持高增长。受益于SaaS模式的规模效应,公司各项费用率水平持续下降。年公司研发费用率下降为27.0%;销售费用率下降为55.5%;管理费用率为18.5%,比年略有上升;Q3也进一步下降。公司员工数量也保持较快增长,公司年人员达到人,同比增长58.7%。其中研发人员增速较为稳定,销售和管理人员增速较快。
现金流逐步好转。公司经营活动现金流和自由现金流均在年转正,经营活动现金流达到1亿美元,FCF达到0.12亿美元。Q3二者均有明显提升,FCF达到1.95亿美元,且公司已经连续5个季度实现正的自由现金流。FCFMargin也提升至32%。
Crowdstrike成为市值最高的网络安全公司。凭借先进的云原生架构,以及超高速的增长,公司成为网络安全领域的超新星,市值达到亿美元,是当前市值最高的网络安全公司。公司当前仍在高投入高增长过程中,利润体量较小。参考PS估值,对于20年公司约8.6亿美元的收入指引,当前PS达到了52倍。在众多SaaS公司中,估值也是处于较高的一类。公司开辟了终端安全SaaS模式,不断的网络攻击,以及海量的终端市场,均是公司持续增长的动力,市场也给予了极高的期待。
国内终端安全需求重启,新领域成必争之地
国内终端安全发展史:杀毒软件时代被免费终结
江民、瑞星、金山主导杀毒软件的黄金时代。早期盗版系统和软件广为流传,网络病毒和木马泛滥,最臭名昭著的是“熊猫烧香”病毒,它将PC系统里的多种文件锁定成熊猫图表,中毒企业和政府机构已经超过千家,迅速传播造成极为恶劣的影响。同时,在PC产业发展初期,电脑相对来说仍是“奢侈品”,因此杀毒软件成为终端安全的刚需品。国内第一代杀软厂商以江民、瑞星、金山为代表,以光盘出售产品,且当时-元的价格并不便宜,却受到了市场的广泛追捧,掘到了市场第一桶金。
首先是江民,发布国内第一款杀毒软件,-年快速发展,KV曾占据市场80%的份额;公司为了反盗版,在产品中加入了“逻辑炸弹”,也一度遭到市场巨大谴责。然后是瑞星,通过OEM的方式,与各个PC厂商合作,迅速扩大市场份额,桌面小狮子形象深入人心;在CIH病毒肆虐时,公司做到第一个清除病毒,也一战成名;鼎盛时期,公司一年杀毒软件能卖7亿元。最后是金山,金山毒霸以低价的市场策略起步,很快市场份额升至第二,仅次于瑞星;后期更是率先宣布“软件免费、服务有偿”,通过升级病毒库收取月费和年费。因此,在年左右,光盘杀软时代形成了江民、瑞星、金山三足鼎立的态势。
以免费杀毒最终接管消费者的PC桌面。互联网与PC的普及,也将杀毒软件带入网络时代,同时也吸引了McAfee、Norton等海外厂商的进入,面对新型的攻击,技术上也有进步,但商业模式变化并不大,部分厂商开始向企业级市场切入,比如瑞星。5年,免费杀毒横空出世,激进的产品策略以及强烈的广告宣传下,尤其是消费者的PC迅速被占领。而以此为入口,通过游戏、广告等互联网打法迅速变现,成为互联网安全龙头。随后,桌面杀毒软件也进化成更互联网化的“安全管家”版本,提供多种非“杀毒”类的功能,承载了用户PC管理和运维的工作。时至今日,在PC安全产品的市场渗透率为97.84%,持续排名市场第一;同时,凭借云端的“安全大脑”,进一步开拓政企市场。
Windows进一步内嵌杀毒软件,也挤压了第三方杀毒软件的市场空间。微软早年通过收购也形成了自己的终端安全能力,并于5年就推出了测试版,9年微软正式推出免费独立杀毒软件MicrosoftSecurityEssentials(MSE),但年MSE在AV-TEST的测试中成绩极差,因此也一直没有成为市场的选择。桌面上运行的安全软件,需要和操纵系统进行适配,同时对PC性能产生一定影响。因此,基于Windows系统天然的优势,微软MicrosoftDefender持续进步,已经连续两次在AV-TEST中排名第一。AV-TEST是位于德国的独立组织,评估基于Windows系统的杀毒产品;在年8月发布的“家庭用户最佳防病毒软件”报告中,WindowsDefender在三个关键类别(性能,保护和可用性)上获得了满分,与多家知名杀毒厂商并列第一。随着MicrosoftDefender在Windows最新操作系统的原生集成普及,以及消费者对于杀毒产品的淡化,消费领域的第三方杀毒软件市场进一步被挤压。
免费让终端安全被市场忽视,但攻击并未减少,而是转向企业级。早期的病毒制作都有“炫技”的成分,如“熊猫烧香”会直观的将用户PC破坏的面目全非。对于黑客组织而言,隐秘的在“地下”盗取数据而不暴露是更有利的,而且企业级客户的价值显然更大。因此近年来在消费者领域,大规模安全事件在逐步减少,但网络安全风险却没有丝毫下降,政企市场仍面临严峻风险:如年“永恒之蓝”,以及最近的Solarwinds事件。根据微软的调查,44%的攻击是面向IT基础设施单位,政府、金融领域也是被攻击的常客。从国外市场来看,消费级安全市场仍有传统杀毒厂商主导,企业级终端安全市场成为发展方向。
市场、政策、技术推动企业级终端安全市场重生,成为安全必争之地
终端安全是长期被忽视的优质企业安全赛道。以杀毒软件为代表的终端安全,是消费者最常接触的产品,但是国内消费级市场已经被免费策略归零,互联网厂商仅仅把安全作为获取消费者的入口。随着近年来勒索病毒肆虐,企业级终端安全市场逐渐升温,且有望演化出新的商业模式。目前Gartner将终端安全市场分为三类产品:其中针对PC及其他移动设备的终端安全包括EPP(包括防病毒、个人防火墙、端口及设备控制等功能)和EDR(和EPP相互融合、但目前仍为独立市场),而CWPP主要包含指针对物理机器、虚拟机、容器和无服务器工作负载的安全产品。另一方面,根据赛迪的分类,除了终端防病毒(EPP)和终端检测响应(EDR),终端安全领域还包括主机监控、终端管理等产品,帮助企业统一管理和审计数量庞大的终端设备,也是企业级终端市场常见产品。
勒索病毒持续肆虐,近年来终端安全行业增速向上。北信源是终端安全领域最早上市的公司,终端安全产品线全面,主打终端安全管理,也有防病毒类产品,主要面向政企市场。溢信科技也是以终端安全业务为核心,主要包括主机监控审计、终端检测响应、终端安全管理,当前已经终止了上市。虽然公司收入规模仍较小,但也服务了2万家企业,超过万台终端。年由于“永恒之蓝”wannacry勒索病毒爆发,全球IT产业均遭受重创。受到事件催化,政企对终端安全投入增加,两家偏终端管理类的安全厂商从17年开始增速显著向上。年全球RSAC大会中,下一代终端安全成为热点,端点技术正经历由防病毒到威胁检测和响应的复兴,而EDR类产品也从17年开始进入国内市场范畴。国内终端安全市场也吸引了更多玩家,行业整体开始加速。
市场、政府、技术三方面原因推动企业级终端安全市场重塑:
政策方面,等保2.0带来市场对“主机安全”重新
转载请注明:http://www.0431gb208.com/sjszlfa/4024.html
