2019年美股的IPO市场风起云涌,明星上市企业前赴后继。6月12日,一家名为CrowdStrike的网络安全独角兽登陆纳斯达克,为IPO明星版图再添一颗耀眼新星。这家公司背后的投资机构同样星光熠熠,包括CapitalG(谷歌资本)、Accel Partners、华平投资等众多顶级创投。$CrowdStrike Holdings, Inc.(CRWD)$
最初CrowdStrike将发行价定在19-23美元区间,后来由于市场对该宗IPO需求强劲,公司将发行价区间大幅提高约40%至28-30美元。上市前夜,投资者热情依然持续高涨,发行价最终定于34美元。
发行价的接连上调似乎也预示了上市首秀的超强表现:开盘即报63.5美元,盘中最高达67美元,涨幅高达97%,首日最终收涨71%,市值亦推高至114亿美元,几乎是2018年6月其最后一轮融资的四倍。
究竟CrowdStrike有什么魔力,不仅在私募市场受到顶级投资机构的青睐,在 IPO市场又掀起一股火热高潮,让我们来一探究竟。
CrowdStrike企业介绍
CrowdStrike Holdings, Inc.(NASDAQ:CRWD)成立于2011年,总部位于美国加州Sunnyvale,由两位出身安全软件制造商迈克菲(McAfee)的高管创立,其中一位就是公司首席执行官George Kurtz。
CrowdStrike是一家网络安全软件开发商,致力于重塑云时代的安全性。该公司曾参与反制了多次著名的恶意网络攻击,从而名声大噪,其中包括索尼影业遭黑客入侵事件,2016年**党全国委员会电子邮件泄漏事件(即“特朗普通俄门”事件),以及**党全国委员会的网络攻击事件。
CrowdStrike相信其正在定义一个名为安全云(Security Cloud)的新类别,其功能可以让网络安全行业脱胎换骨,就像云改变了CRM、人力资源和服务管理行业一样。CrowdStrike建立了Falcon平台来检测威胁并阻止攻击,通过采用一种全新的方法来应对网络安全威胁,该方法利用现代技术(如人工智能,AI,云计算和图形数据库)的众包数据的网络效应。
据媒体报道,Falcon平台是一个基于大数据分析的主动防御平台,可监控企业的数据,侦测零日威胁,并防止定向攻击造成的破坏。平台还可以识别恶意软件,学习攻击者特征,然后形成一套响应措施,提高对方攻击的风险和代价。
通过其Falcon平台,CrowdStrike创建了第一个多租户、云原生智能安全解决方案,能够保护在各种终端(如笔记本电脑,台式机,服务器,虚拟机)上运行的内部部署、虚拟化和基于云的环境中的工作负载机器、物联网或物联网设备。
图表 1:CrowdStrike Falcon平台图例,资料来源:CRWD招股书
主要产品服务
CrowdStrike的Falcon平台由两个紧密集成的专有技术组成:1)易于部署的智能轻量级代理;2)基于云的动态图形数据库(Threat Graph,威胁图)。Falcon平台通过基于SaaS订阅的模型集成了10个云模块,涵盖多个大型安全市场,即使在当今最复杂的攻击中也能提供全面的漏洞保护。
图表 2:CrowdStrike云模块示例,资料来源:企业官网
目前该公司为170多个国家的客户提供端点安全(Endpoint Security),安全威胁情报(Threat Intelligence)和安全和IT运营(Securityand IT Operations)服务。CrowdStrike的单一数据模型和开放式云架构使其和第三方合作伙伴能够快速创新,构建和部署新的云模块,从而为其客户提供大量附加功能。
端点安全:利用新一代防病毒、端点检测响应(EDR)和设备控制模块,结合机器学习和高级行为技术,可抵御恶意和无恶意软件攻击,实现端点活动的持续全面可见性和分析,并为管理员提供可见性和跨USB外围设备的精细控制。
安全和IT运营:提供解决IT安全、免扫描漏洞管理、一站式响应和补救解决方案的模块,以及由基于Threat Graph的精英安全专家团队提供的威胁搜寻解决方案。
安全威胁情报:通过网络威胁研究,恶意软件搜索引擎和恶意软件分析模块,提供自动化帮助,以检查检测到的威胁,进行恶意软件研究并安全地消灭可疑文件。
重要近况更新
CrowdStrike最近推出了CrowdStrike Store,这是第一个用于网络安全的基于云的应用程序“平台即服务”平台(即“PaaS”)。CrowdStrikeStore为其客户引入了一套整合性的安全云生态系统,由CrowdStrike或其他可信赖的合作伙伴提供应用程序。该平台允许客户快速轻松地发现、尝试和购买来自合作伙伴或CrowdStrike的应用程序,而无需部署和管理其他代理和基础架构,也无需经过漫长的销售、集成或实施流程。
CrowdStrike Store允许合作伙伴将新的安全应用程序推向市场并有效地定位客户群。利用Falcon平台,合作伙伴可以开发能够满足其客户需求的应用程序,而不必开发维护他们自己的Agent、投资搭建底层设施或雇用额外的销售人员。
此外,今年早些时候,公司宣布推出CrowdStrike Falcon for Mobile,这是第一款面向移动设备的企业EDR解决方案,预计将在2020财年第二季度开始商业化。Falcon for Mobile使安全团队能够在移动设备上寻找高级威胁,同时增强对恶意访问企业敏感数据活动的可视性,在保护用户隐私的同时而不影响设备性能。Falcon for Mobile利用CrowdStrike的云原生平台和单一代理架构,缩小了不同移动端点和企业防御解决方案之间的差距。
历史融资及股东情况
自2011年成立至今,CrowdStrike共进行了6轮融资,总融资金额达到4.81亿美元,主要的领投机构包括全球顶级风投Accel Partners、General Atlantic(泛大西洋投资集团)、CapitalG等。具体融资情况如下所示:
2012年2月,A轮融资2600万美元,Accel Partners领投;
2013年9月,B轮融资3000万美元,Accel Partners领投,以及创始投资者Warburg Pincus。此外,Accel Partners合伙人Sameer Gandhi加入董事会;
2015年7月,C轮融资1亿美元,CapitalG领投,投资者包括Telstra、March Capital Partners、Rackspace、Accel Partners和Warburg Pincus。此时,CrowdStrike客户已包括全球10大公司(按收入计算)中的3家,10家最大金融机构中的5家,前十大医疗保健提供商中的3家以及十大能源公司中的3家;
2017年5月,D轮融资1亿美元;同年10月,D轮第二次融资2500万美元。此轮投资由现有投资者Accel Partners领投,CapitalG和Warburg Pincus也参与此轮融资,以及新投资者March Capital Partners和CrowdStrike客户Telstra。这轮融资结束后,CRWD估值超过10亿美元。
2018年6月,E轮融资2亿美元,由Accel Partners、General Atlantic、Institutional Venture Partners领投,CapitalG与March Capital Partners继续参投。经过此轮最新融资后,CrowdStrike估值达到约30亿美元。
图表 3:CrowdStrike历次融资情况,资料来源:Crunchbase
在此次IPO前,截至2019年1月31日,共计458名股东拥有3.87亿股B类流通股(拥有10票投票权)。最大的B类股持有者是Warburg Pincus,在IPO之前拥有30.3%的公司股份;其次是 Accel,拥有20.3%的股份; CapitalG,拥有11.2%; 和CrowdStrike首席执行官Kurtz,拥有10.5%的股份。
图表 4:CrowdStrike主要股东,资料来源:CRWD招股书
全球网络安全行业及市场机会
随着云平台的迅速发展,企业采用云平台和其他网络技术使得它们越来越容易受到各种网络攻击,促使企业增加了针对网络安全解决方案的预算拨款。在数字化业务转型过程中,企业更加注重业务流程自动化所带的数字安全和应对一系列安全威胁。企业部门对将安全风险降至最低的需求的不断增长,推动了网络安全市场的高速增长。
在过去五年中,由于网络攻击造成的财务损失增加了62%以上,促使企业采用先进的网络安全解决方案来保护敏感信息免受未经批准的访问。此外,物联网设备的日益普及也促进了网络安全解决方案的采用,因为大多数物联网设备缺乏基本的安全功能,使网络犯罪分子能够利用这些漏洞进行各种非法活动。
根据2019年Global Market Insights的报告,全球网络安全市场预计将由2017的1200亿美元增长至2024年的3000亿美元。在区域分布方面,北美、西欧、亚太维持三足鼎立态势,合计市场份额超过 90%。
以美国、加拿大为主的北美地区2017年产业规模达到408.76亿美元,较2016年增长 9.2%,市场规模全球占比41.29%,牢牢占据全球最大份额;英国、德国、芬兰等16个西欧国家 2017 产业规模合计267.29亿美元,同比增长6.5%,全球占比为27%;日本、澳大利亚、中国、印度等10个亚洲国家2017年产业规模合计225.08亿美元,同比增长9.5%,全球占比22.7%。
图表 5:2016-2021全球各地区网络安全支出增长情况,资料来源:Gartner
据招股书,结合CrowdStrike在各细分市场中的经营足迹,该公司认为它在2019年的全球市场机会约为246亿美元,预计到2021年将达到292亿美元。具体市场预测情况如下:
企业端点安全。2013年,CrowdStrike推出了Falcon OverWatch和Falcon Insight云模块,并于2017年推出了Falcon Prevent,分别打破了EDR和新一代防病毒市场格局。据招股书,IDC估计该细分市场的全球市场在2019年将达到76亿美元,预计到2021年将达到87亿美元。
安全威胁情报。2012年,CrowdStrike发布了现在的Falcon X云模块来应对安全威胁情报市场。据招股书,IDC估计2019年该细分市场的全球市场规模将达到16亿美元,预计到2021年将达到20亿美元。
安全和漏洞管理。2017年,CrowdStrike发布了Falcon Spotlight云模块,以应对漏洞管理市场。据招股书,IDC估计2019年该细分市场的全球市场将达到84亿美元,预计到2021年将达到104亿美元。
IT服务管理软件。2017年,CrowdStrike发布了Falcon Discover云模块,以满足CrowdStrike首个非安全IT资产管理市场的需求。据招股书,IDC估计2019年这一细分市场的全球市场规模将达到26亿美元,预计到2021年将达到31亿美元。
托管安全服务。2018年,CrowdStrike发布了Falcon Complete云模块,以满足托管安全服务市场的需求。据招股书,IDC估计2019年这一细分市场的全球市场规模将达到248亿美元,预计到2021年将达到296亿美元。CrowdStrike估计,在2019年这一细分市场的直接可寻址机会约为44亿美元,到2021年将达到51亿美元。
关键运营指标
订阅用户群(Subscription Customers)
CrowdStrike最初是专门为大型企业提供网络安全解决方案,但得益于Falcon平台的灵活性和可扩展性,使得任何规模(从三个端点到数十万个端点)的企业都能使用其产品服务,从而极大地扩充了用户延展度。
截至2019年1月31日,CrowdStrike在全球拥有2,516个订阅客户,其中包括财富100强中的44家,全球100强企业中的37家以及前20大银行中的9家。相较于上年同期的1,242个订阅客户,同比增长103%。
图表 6:订阅用户数及同比增长率,资料来源:CRWD招股书
CrowdStrike主要通过直销团队和渠道合作伙伴网络来销售Falcon云平台和云模块。
CrowdStrike最近宣布了与戴尔公司在技术和商业化的战略合作伙伴关系,这将使戴尔的企业客户能够无缝地将Falcon平台添加到他们购买的戴尔硬件中。此外,戴尔和SecureWorks公司已同意通过其全球销售组织将Falcon平台作为首选端点安全产品推向市场。
在客户拓展策略上,CrowdStrike采用低摩擦、试用付款的方法来加强市场拓展力度,公司预计未来将持续扩大中小型企业客户的数量,而对于大型企业客户则主要采取替代或补充其现有传统安全产品的策略。从2017年12月开始,潜在客户可以直接从官方网站向获取新一代防病毒模块Falcon Prevent的15天免费试用。在2018年5月,Falcon Prevent可以从AWS Marketplace进行试用和购买。招股书称,归功于其产品有效性和灵活性,该公司监测到许多试用客户已转化为付费客户。
年度重复性收入(Annual Recurring Revenue, ARR)
ARR是衡量SaaS服务提供商的客户粘性与收入增长健康度的一个重要指标,因为SaaS公司的重复收费模式使得每年在服务收费部分至少与上一年持平,同时随着更多地增值服务推出将会带来更多的额外收入,因此ARR能够衡量SaaS企业的长期收入稳定性。
招股书显示,截至2019财年第四季度,CrowdStrike的ARR达到3.13亿美元,同比增长121%。
图表 7:CrowdStrike ARR增长趋势,资料来源:CRWD招股书
自2017年2月开始,CrowdStrike将平台从单一产品转变为多个SKU云模块的高度集成产品。公司最初推出了五个云安全模块供客户使用,并在2017年2月至2018年10月期间增加了五个额外模块。随着公司不断创新和发布新模块,Falcon集成平台已成为客户安全战略不可或缺的一部分。一部分订阅客户从一个模块开始使用,随着时间推移购买额外的模块,而另一部分客户则立即部署多个模块。下图显示了CrowdStrike在平台战略上取得的成功:截至2019年1月31日,47%的订阅客户采用了四个或更多云模块。
图表 8:使用四个及以上云模块的客户比例图,资料来源:CRWD招股书
客户净留存率(DBNRR)
CrowdStrike的集成云交付模块包括新一代防病毒、EDR、设备控制、托管威胁搜寻、IT安全、漏洞管理和威胁情报等。当客户部署Falcon平台时,他们可以选择任意数量的云模块,也可以在已部署在端点上的同一代理上实时激活其他云模块。一旦客户体验到Falcon平台的优势,通常会通过添加更多端点或购买额外模块来扩展其采用率。
类似于ARR,基于美元的净保留率(Dollar-Based Net Retention Rate, DBNRR)是衡量同一组现有客户群组在12个月期间内订阅量的增长率,意味着已有客户关系的长期价值以及未来潜在的商业化机会。
自2016年开始,CrowdStrike的DBNRR即保持在100%以上,主要归因于现有订阅客户的端点使用扩展,以及交叉销售额外的云模块。截至2017年、2018年与2019年1月31日, DBNRR分别为104%、119%和147%,呈现逐年递增趋势,同时在整个SaaS行业亦处于较高水平,表明客户群粘性的不断增强和产品满意度的提升。
图表 9:CrowdStrike基于美元的客户总/净留存率,资料来源:CRWD招股书
财务业绩分析
图表 10:2017-2019财年CrowdStrike 利润表概览
营收及盈利能力
CrowdStrike总收入从2017财年的5270万美元增加到2018财年的1.188亿美元,同比增长125%,进而增加到2019财年的2.498亿美元,同比增长110%。整体收入结构由两部分构成,分别为订阅收入和专业服务收入,2019财年两者占总收入比重分别为88%和12%。
图表 11:CrowdStrike营收结构(单位:万美元),资料来源:CRWD招股书
1)订阅收入
订阅收入主要包括Falcon平台的订阅费以及基于云的平台支持的其他云模块。得益于客户群的增长(2019年客户数同比增长103%),订阅收入规模从2017财年的3790万美元增长到2018财年的9260万美元,同比增长144%,进而增长到2019财年的2.194亿美元,同比增长137%。
订阅收入主要取决于订阅客户的数量,每个客户的端点数量以及订阅中包含的云模块的数量。新客户的订阅收入、现有客户的续订订阅收入、向现有客户销售额外端点的订阅收入以及向现有客户销售额外模块的订阅收入分别占2019财年总订阅收入的59%、23%、13%和5%。
CrowdStrike在协议期限内确认订阅收入,通常为一至三年。
盈利能力方面,2017年至2019财年期间,订阅收入的毛利率分别为36%、57%和68%。这一增长是由于公司将更多业务转移到第三方云服务提供商的主机托管数据中心,并重新谈判第三方云服务提供商的合同条款。另一方面,也是由于销售团队推动了更高的订阅利润率以及在优化渠道合作伙伴上的努力。
2)专业服务收入
专业服务收入包括事件响应和主动服务,取证和恶意软件分析以及归因分析服务带来的收入。
专业服务通常与订购Falcon平台分开出售,但客户经常在专业服务结束时额外购买Falcon平台的订阅服务。专业服务收费通常基于按小时费率、固定费用合同、一次性和持续性约定,以及固定型协议。
专业服务收入作为附加增值型服务,从2018财年的2618万美元增长到2019财年的3042万美元,同比增长16%,占总收入比例从22%下降至12%。
专业服务的毛利率从2018财年的44%下降至2019财年的41%,主要原因是专业服务人员的利用率较低。专业服务使用的时长变化较大,可能导致专业服务的毛利率波动。
成本费用分析
图表 12:三项主要费用变化趋势(单位:万美元),资料来源:CRWD招股书
2017财年到2019财年,CrowdStrike的研发投入为3915万美元、5889万美元、8455万美元,占当期营业收入的比例为74.2%、49.6%、33.8%,占比逐年下降。作为较为成熟的SaaS云安全公司,公司早期的研发投入大,一旦平台成型、稳定,研发投入会逐年降低。
一般管理费用分别为1640万美元、3254万美元、4222万美元,占当期营业收入的比例为31.1%、27.4%、16.9%,占比同样逐年下降。
销售费用方面,CrowdStrike在2017财年的销售和营销成本为5370万美元,超过了当年总收入,占总营收比例为101.9%。但在2018财年与2019财年,该项费用占总营收比例分别下降至87.8%和69.1%。
此外,在营销效率方面,以本期新增的营收除以上一期所花费的营销费用的比例计算,2018财年与2019财年的营销效率比分别为1.2倍和1.3倍,意味着在营销活动上每花费一美元能够带来更多的营收。
竞争对手及估值分析
当前,全球网络安全行业处于高度激烈但分散化的竞争状态。随着恶意软件数量的不断增加,以及网络攻击方式的日益复杂,越来越多反病毒/反恶意软件解决方案提供商进入市场,并使用最新的安全补丁不断更新其检测工具。
CrowdStrike在招股书中称,端点被认为是网络安全中最薄弱的环节,因此保护端点安全在有效加强整个网络方面发挥着关键作用。目前,CrowdStrike主要面临以下企业的竞争:
• 传统防病毒产品提供商,如McAfee Inc.和Symantec Corporation(SYMC.O)等,提供广泛的法和解决方案,具有传统的防病毒和基于签名的保护;
• 替代端点安全提供商,如Cylance Inc.和Carbon Black Inc.(CBLK.O),提供基于恶意软件或应用程序白名单技术的单点产品;
• 网络安全供应商,如Palo Alto Networks Inc.(PANW.N)和FireEye Inc.(FEYE.O) ,他们正在通过端点安全解决方案补充其基于核心周边的产品。
IPO发行信息:根据SEC文件,CrowdStrike拟发行1800万股,另外承销商还拥有额外发行270万股的选择权。若承销商行使这些超额配售选择权,那么发行在外的股票数量总计将达到1.994亿股。
我们首先利用40%法则(The Rule of 40)来大致判断CrowdStrike是否被认为是一家健康运营的SaaS企业。所谓40%法则是一个行业经验法则,旨在设计一个简单的规则来帮助软件公司解决如何平衡增长和盈利能力的复杂问题。简单来说,高增长的SaaS公司可以烧掉尽可能多的现金,以推动增长 - 只要其营收增长速度比运营利润率(或自由现金流利润率)高出40个百分点。
在估值方面,应用40法则有利于评估估值倍数的选取,也就是说,收入增长率加上利润率的总和在40%及以上的SaaS公司的交易倍数应高于40%以下的公司。以CrowdStrike为例,该公司2019财年的收入增长率为103%,运营利润率或自由现金流利润率为(55%)或(26%),两者加总的数值为48%或77%,高于40%的标杆值。
图表 13:CrowdStrike利润率情况,资料来源:CRWD招股书
对比前述的可比公司来看,如下表所示,SYMC作为老牌防病毒产品服务商,已经实现盈利,但其收入规模已步入下滑轨道,市场给予的估值倍数最低,仅为2.6x;FEYE的估值倍数同样很低,原因在于其收入增速较低,同时经营利润率为负值;CBLK与PANW的营收增速相对较高,均在20%以上,其中CBLK的亏损率较高且市值较低,PANW几近取得经营性盈利而市值已高达184亿美元,两者的估值倍数均在10x以下。
注:以上市值及市销率数据截至2019/6/7收盘;收入增速及运营利润率取自各公司最新季报。
以40%法则的角度来定性衡量各公司的经营健康程度,四家可比公司的计算值均在40%以下,总排名先后为CRWD>PANW>SYMC>CBLK>FEYE。若以PS/G的角度定量分析,由于PS/G估值法是基于P/S乘数同时考虑收入增速情况,能够将不同发展时期的SaaS公司估值情况平滑化,PS/G值越低,意味着估值越趋于低估。对比各个公司的PS/G值,总排名(剔除SYMC不可取值)先后为CBLK >PANW>CRWD >FEYE。总而言之,以目前预估的IPO市值来看,CRWD不论在业务经营健康度,还是在企业估值与发展增速的相匹配性上,均体现出令人满意的合理水平。
目前的IPO定价或许给予了CrowdStrike相对于行业平均以更高的相对P/S估值水平,我们基于以下理由分析此IPO估值合理性:
1)拥有高速的营收规模增长,且从年度重复性收入角度来看,同样取得了领先于行业的增长率。ARR的高增速意味着客户满意度的提升,愿意订阅更多CrowdStrike所提供的云模块服务;
2)极高的客户留存率,CrowdStrike的DBNRR逐年提升,并在2019财年达到了惊人的147%,远超同业水平的留存率表明客户高粘性,也意味着未来在同一群组的客户上营销费用将会减少,有利于长期利润率的提升;
3)稳固且强大的客户群体。在2015年C轮融资时,CrowdStrike客户包括全球10大公司中的3家,10家最大金融机构中的5家,前十大医疗保健提供商中的3家以及十大能源公司中的3家。根据招股书,目前公司在全球拥有2,516个订阅客户,其中包括财富100强中的44家,全球100强企业中的37家以及前20大银行中的9家。
风险提示
市场竞争环境加剧风险。网络安全行业的市场竞争激烈且分散化,其特点是技术、客户要求、行业标准、日益复杂的攻击者的快速变化以及频繁引入新的或改进的产品以应对安全威胁。
预计CrowdStrike将继续面临来自现有竞争对手以及新进入市场的激烈竞争。如果该公司无法应对这些挑战,其竞争地位可能会减弱,导致收入或市场份额下降以及增长放缓,最终对财务状况和运营结果产生不利影响。
对第三方数据或服务提供商有依赖性风险。CrowdStrike的客户依赖于Falcon平台的持续可用性。目前Falcon平台是托管在多个第三方数据中心(主要是Amazon Web Services)为客户提供服务。 因此,CrowdStrike可能会受到服务中断,或者由于不可控因素导致不能提供服务。CrowdStrike在过去遭遇过,并且预计未来也可能由于各种因素(包括基础架构变更,人为或软件错误,网站托管中断和容量限制)会不时遇到服务可用性中断或延迟。
销售周期可能很长且不可预测的风险。由于Falcon平台销售周期的长度和不可预测性,特别是对于大型组织和政府机构而言,CrowdStrike的收入确认很难预测。客户经常将订购Falcon平台视为重大战略决策,因此,在进入或扩展销售关系之前,经常需要相当长的时间来评估、测试和鉴定Falcon平台。 特别是大型企业和政府实体经常进行重要的评估过程,进一步延长CrowdStrike的销售周期。
高度依赖特定关键人员的风险。CrowdStrike未来的成功在很大程度上取决于留存管理团队成员以及整个组织中其他关键员工的能力,特别是高度依赖首席执行官George Kurtz的服务,对公司未来发展和战略方向至关重要。虽然公司已与主要人员签订雇佣协议,但关键员工(包括CEO)是“at-will”基础上服务,意味着随时可以终止雇佣关系。
精彩评论