CrowdStrike研报:网络安全后起之秀,云安全龙头
事件
2020 年12月13日,美国政府确认包括财政部、国家安全 部、核安全委员会在内的多个政府部门遭到了黑客入侵。黑客 使用“供应链袭击”,先攻击了软件公司 Solar Winds的下载 服务器,使用工具篡改了 Orion 软件的更新包,在其中插入了 自己的恶意软件。只要用户一下载更新 Orion,就会被感染病 毒。
而网络安全公司$FireEye Inc.(FEYE)$也是是唯一一家承认被通过 恶意软件植入的 SolarWinds 平台入侵的公司,同时,微软也 在攻击 Solar Winds 的SWI时被黑客利用。
这一攻击事件在美 国造成了极大影响,网络安全领域的高级威胁防护(APT)相关的 上市公司都大涨,除了 APT专家FireEye,还包括构建了“终 端安全产品+威胁情报服务+专家服务”的“SaaS+PaaS”完 整安全生态的CrowdStrike。截止2021年2 月5 日收盘, Crowd Strike 市值达到 505.2 亿美元,是美股估值最高的网络 安全公司。
投资要点
➢Crowdstrike 与传统的网络安全软件最大的不同,是它在单纯软件服务之外提供了新一 代网络安全平台。2017年之后,公司由单一产品向多模块发展,实现交叉销售和多模块 集成订阅,覆盖端点安全、IT运营、托管服务、威胁情报、云安全。
➢ Crowdstrike 四个类型的产品服务:终端安全、威胁情报、安全和 IT 运营以及云安全。 Crowdstrike 的产品是基于云的 SaaS 终端安全产品,企业可以实现快速海量终端部署, 在云端助力比本地产品效果更好。由于很早就采用了订阅制,避免了单独软件售卖的客 户留存尴尬,公司得以差异化产品定价,长期持续获得订阅收入。
➢ 行业格局:网络安全行业需求,在疫情背景下远程工作成为流行趋势环境下迎来爆炸性 增长。云上的工作负载也成为了新的需要被保护的终端。Gartner 预测到2021 年,安全 产品对应细分市场 TAM 将从2019 年估计为 246亿美元增长至 292 亿美元。
➢ 运营特点:CrowdStrike在终端安全市场和漏洞管理这两块较大。订阅客户数从 2017财 年的 450 家增加到了 2021 财年 Q3 的 8416 家,单个季度的同比增长对比没有低于过 80%。
➢ 业绩表现:2020 财年获收入为 4.81 亿美元,同比增长 92.7%;2021 财年前三季度获得 收入6.10 亿美元,同比增长 85.1%,上市以来单季营收均超预期。其中,订阅服务收入 占比较大且不断上升,订阅服务与专业服务至 2020 财年两者占比分别为 91%和 9%。 由于前者毛利率较高,也拉升了公司整体毛利率,2021 财年Q3 达到了 73.53%。地理 上来看,美国地区的收入占了72%,公司在加大国际市场的开拓,未来国际收入有望突 破50%。营销费率已逐步下降,从2017财年的104%下降至2021财年第三季的47.9%。
➢ 核心指标: ARR(年度经常性收入)从2019 财年的3.13 亿美元上升至2021 财年Q3 的9.07 亿美元。以美元计价的净留存率在2020 财年一起啊保持在100%以上,2021财 年Q3 财报透露前三季度依然保持 120%。 LTV / CAC 在2020 财年达到了 5.04,2021 财年第Q3 也有4.64 之高。Rule of 40长期在60以上,2021Q3 为75.5。
估值
美股SaaS 板块中位数的动态 EV/Sales 估值为14.4 倍,高增长(增速超过 30%)子板块 中位数 22.5 倍。鉴于CrowdStrike 良好的收入增长和 40法则数值,我们相信公司能够取 得行业上游的估值。以网络安全行业的公司来进行对比,下一年的 EV/Sales 平均值为 24.92。稍激进地假设 2025 财年CrowdStrike 的EV/Sales 回归24.92 倍,以公司 WACC 折现计算的 2021年EV 为573.2 亿美元,即市值583.4 亿美元。以2.21 亿总股本来算, CrowdStrike 的每股价值为 263.6 美元。
风险提示
➢ 网络安全行业竞争激烈,传统安全企业转型云安全领域,导致价格战
➢ 销售成本居高不下,影响利润和现金流
➢ 国际化扩展不及预期
➢ 运营杠杆优化不及预期
Crowdstrike 公司简介
Crowdstrike 成立于2011 年,最初由两位传统杀毒软件 McAfee 的高管创立,团队主要成员来自于信息安全产业(如$微软(MSFT)$、$亚马逊(AMZN)$)以及情报执法机关(FBI)。
公司在2012 年推出直至当前其安全系统核心的威胁情报(Threat Intelligence)模块Falcon,2013 年6 月推出EDR产品Falcon Inshight,8 月推出威胁狩猎模块 Falcon OverWatch。
2017 年之后,公司由单一产品向多模块发展,实现交叉销售和多模块集成订阅,覆盖端点安
全、IT运营、托管服务、威胁情报、云安全。
2018 年推出Falcon Complete 和设备控制(Device Control)模块。
2019年推出PaaS 安全平台 CrowdStrike Store,支持第三方安全应用,打造“SaaS+PaaS”的完整安全生态。根据 2019 年上市时公开发布的招股说明书,CrowdStrike 在 IPO 之前一共经历了 5 轮融资,最近的一轮是 2019年1 月由Accel、General Atlantic 和IVP 领投的4.79 亿美元,投后估值为30 亿美元。Crowdstrike 的产品与服务
Crowdstrike 与传统的网络安全软件最大的不同,是它在单纯软件服务之外提供了新一代网络安全平台。总的来说,CrowdStrike 提供了四个类型的产品服务(四条产品线):
1. 终端安全(Endpoint Security):提供给客户公司的信息安全 SaaS服务平台Falcon。
实时的攻击威胁监测、攻击归因和实时的病毒防护;
2. 威胁情报(Threat Intelligence):提供异常监控和相关专有威胁的信息库 Falcon DNS。甄别出潜在的攻击信息,做出相应防护举措;
3. 安全和IT 运营(Security and IT Operations):定制化的防护服务 Falcon Intelligence Portal。提供定制化的建议、信息,来方法高级别、大范围的网络攻击。
4. 云安全(Cloud Security):用于风险可视化和评估,事件响应,合规性监视和 DevOps集成,可自动跨云基础架构识别和补救风险。
Crowdstrike 各细分产品和对应市场均有一定规模,其中关于C 端的终端和漏洞管理的规模较大。
在收费模式上,因为很早就采用了订阅制,避免了单独软件售卖的客户留存尴尬。CrowdStrike 在端点安全按照部署端点数量和时间,提供 Falcon 套餐的专业版、企业版、高级版多种产品组合,并差异化定价。
专业版以NGAV 为核心,定价从 6.99/月美元提升至 8.99 美元/月;
企业版以NGAV 和EDR为核心,定价从 14.99/月美元提升至 15.99 美元/月;
高级版以 NGAV、EDR、IT Hygiene 为核心,定价从 17.99/月美元提升至 18.99 美元/月。
此外,客户也可以选择专门定制 Falcon Complete 套餐。
由于Crowdstrike 是基于云的 SaaS 终端安全产品,企业可以实现快速海量终端部署,在云端助力比本地产品效果更好。由于产品模块丰富,Crowdstrike 也提供了多种交叉销售的市场机会,包括移动终端、物联网终端也是公司新的增长点。
Crowdstrike 的业务边界与市场容量
网络安全包含的范围非常广,从业务、网关、端点、物联网、身份访问、内容、测评等多个维度都有不同的而业务标准。而目前的网络安全市场终端安全市场,主要分为针对硬件及其他移动设备的终端安全,以及针对服务器和云工作负载的终端安全两大分支。
云工作负载保护平台的兴起
Logic Monitor 的数据显示,在2020 年有83%的企业工作负载将在云计算中,而与之形成鲜明对比的是,据 IDC 的数据,2019年开始全球市场物理机销量已进入负增长。
网络安全行业需求,在疫情背景下远程工作成为流行趋势的情况下,迎来爆炸性的增长。远程服务器、智能手机和连接设备的广泛使用增加了端点的数量。而这种趋势将在中长期内持续下去,因此对强大的端点保护的需求至关重要。此外,免受身份和信息的威胁构成了智能安全体系结构的基础。
总得来说,安全产品的刚需化会不断加强,后疫情时代,终端是安全投入的重点。
除了移动化的办公设备外,服务器、打印机、销售站、可穿戴设备等均是潜在被攻击对象。云上的工作负载也成为了新的需要被保护的终端。而各办公终端及网络场景处于高度分散化状态。
根据Kaseya的调查,2020 年,IT 企业高管最关心的问题就是网络安全。
从技术上来看,终端安全市场分为终端防护平台(EPP)、终端检测与响应系统(EDR)、云工作负载保护平台(CWPP)三个部分。
其中,EPP市场包括防火墙、杀毒软件等基本成熟的功能,市场总体基本维持平稳增长。EDR更在于监视终端以检测可疑活动,捕获可疑数据进行分析进行安全取证及调查,而随着云技术的发展,基于云的部署方式正逐渐成为主流,云数据提供了更强大的检测分析功能。EDR在2016-2019 年连续进入 Gartner 10 大技术之列。
CWPP则是针对现代混合、多云数据中心体系结构中服务器工作负载的独特保护需求主要解决混合的数据中心架构中,物理机、虚拟机、容器和无服务器工作负载的安全问题,为他们提供统一的可视化和控制力。
根据Gartner 的统计,市场上提供 CWPP服务的主要公司并不多,其中一些传统的专业性工具企业通过收购的方式进入 CWPP。
高级威胁频发增加云端安全需求
以APT为代表的高级持续性攻击,隐秘性极强,难以发现,他们的目的并不一定是对系统造成伤害,更重要的是盗取数据。这迫使传统终端安全引入新的技术,如人工智能、大数据、行为分析等技术,并且对终端检测响应、威胁情报、沙箱技术等产品形态进行升级。
近期的 SolarWinds 事件就是 APT攻击,传统的杀毒软件和防火墙并不能解决问题,因为它主要攻击的是未知领域。
所谓威胁情报系统就是在网络空间里,找出网络威胁(各种网络攻击)的直接或间接证据,这些证据就隐藏在大量威胁源中,系统会在海量数据中甄别出你感兴趣的内容,要理解威胁情报系统所做的工作还必须对攻击事件有所了解。
当发生网络入侵事件后,网管首先要确定入侵源,实现这一目的主要通过日志、流量(异常流量意味着某种攻击活动,如内网主机在与某僵尸网络进行通讯)。要实现威胁情报分析,首先需要它能够实现态势感知,能理解威胁并能够预测即将呈现的状态,以实现决策。
三大云安全工具
“云安全”的概念所涉范围非常广,Gartner 曾提出三大云安全管理工具,分别是 CASB、CSPM 和 CWPP。CWPP 主要覆盖 IaaS 场景,适合 IaaS 服务,而 CASB 覆盖了 SaaS、PaaS、IaaS 三个区域,主要体现在 SaaS 上,应用场景也更强。而 CSPM 主要是解决 IaaS安全问题,同时能解决部分 PaaS 安全问题。
同时,CWPP 和CSPM 功能会产生协同作用,许多供应商都在追求这一策略。该组合将创建CNAPP 的新类别,以扫描开发中的工作负载和配置并在运行时保护工作负载和配置。
根据CrowdStrike 的招股书披露,预计到2021 年,安全产品对应细分市场 TAM 将从2019年估计为 246亿美元增长至 292亿美元。其中,端点安全 87亿美元,威胁情报 22 亿美元,安全漏洞管理 104亿美元,IT服务管理软件 31亿美元,托管安全服务 51亿美元。
CrowdStrike 运营特点及优势
产品架构
CrowdStrike 在网络安全各细分产品和对应市场均有一定规模,其中终端安全市场和漏洞管理这两块较大。Crowdstrike 基于云原生 SaaS 的优势明显,可在 24小时内将 Falcon 平台部署到全球超过 10万个端点。
Crowdstrike 在整体评价、推荐意愿、产品力、评估签约、集成部署、服务支持等多个方面位居。前二,其良好的用户体验获得客户的广泛认可。
订阅客户
CrowdStrike 早期客户群体是大型的企业,后来通过免费试用的营销方式加大中小型公司的
拓展,2017 年,公司为潜在客户提供 15天免费试用 Falcon Prevent。2018 年5 月,公司在 AWS 市场上提供 Falcon Prevent 的试用和购买。截至 2019年1 月31日,公司约三分之二的订阅客户是员工数少于 1000 人的企业。公司的订阅客户数从 2017 财年的 450 家增加到了 2021 财年 Q3 的 8416 家,单个季度的同比增长对比没有低于过 80%。同时,至 2021 财年 Q3,订阅不少于 4 个模块的客户持续增加,占比达到 61%;订阅不少于 5 个模块的客户占比也达到 44%,订阅不少于 6 个模块的客户占比达到 22%。营收增长
由于Crowdstrike 订阅用户量激增,近年来的收入增长也保持较高增速。2020 财年(截止 2020年 1 月31 日)获得的收入为 4.81 亿美元,同比增长 92.7%;2021 财年前三季度获得收入 6.10 亿美元,同比增长 85.1%。值得一提的是,2020 年第三季度获得收入 2.32 亿美元,同比增长 85.8%,超过华尔街一致预期的 2.13 亿美元。用营收结构上看,公司收入分为订阅服务和专业服务两部分,在 2019 财年两大类的收入占比分别为 87.8%及 12.2%,2020 财年两大类营收占比分别为 91%和 9%,至 2021 财年第三季度,订阅服务占比更是上升至 92%,订阅服务的占比不断提升,也反映了在了订阅用户的增长及高粘性上。从地区上来看,美国地区的收入占了 72%,欧洲、中东和非洲占了 14%,而亚太地区的收入从21 财年第一季度的 8%略微增长至 9%。此外,反映公司另一个收入性指标的 ARR(年度经常性收入)也同样保持高速增长。2019 财年结束为 3.13 亿美元,至 2020 财年结束有 6 亿美元,2021 财年第三财季,已经上升至9.07 亿美元,同比增长 81%,单季新增 1.17 亿美元。留存率
公司的以美元计价的净留存率在 SaaS 相关行业中也保持领先。至 2020 财年,以美元计价的净留存率保持在 120%以上。 2021 财年第三季度财报透露了前三季度依然保持 120%以上较高的留存率。利润率
公司的订阅服务业务毛利率较高,因此其收入占比的提升将显著拉升公司整体毛利率。 20182020 财年,公司的毛利率分别为 58.99%、66.45%和71.46%。2021 财年第三季的毛利率达到了 73.53%。同时,公司的 EBITDA 利润率也在 21 财年第三季度缩窄至-8.88%,有望在第四财季转正。运营效率
CrowdStrike 也是典型的高增长、高消耗的互联网成长企业。运营费用支出较大,运营杠杆较高,这也是造成亏损的主要原因。营销端的费用支出向来是 CrowdStrike 的大头,不过公司营销费率已逐步下降,从 2017财年的104%下降至2021 财年第三季的 47.9%。当然,随着进一步打入国际市场增大全球客户群体,将继续对营销进行大量的收入。
核心SaaS指标
以 SaaS 行业的关键指标 LTV / CAC(客户终身价值 Life time Value,客户获取成本Customer Acquisition Cost)来看,CrowdStrike 的LTV / CAC 比率从 2018 财年以来的每个季度都在 3.0 以上,且2020财年更是达到了 5.04,说明在获取新客户方面的实力强大(一般良好基准是 3:1,优秀的标准是 4:1,5:1 是伟大)。21财年第三财季也有 4.64 之高。LTV/CAC:客户终身价值/客户获取成本;
CAC 比率:(当期销售总费用+当期营销总费用)/新增客户数
可以看到,公司的虽然用了较高的运营杠杆,但是规模扩张明显和老客户收入贡献占比的提
升,而得到较快上升。
“40 法则”:公司营收增速与净利润率的总和。
由于收入高增长,且亏损在不断缩窄,CrowdStrike 的40法则数值在所有 SaaS 上市公司中还是处于较高水平。主要的正向驱动因素
强劲地业绩增长可能持续高于分析师预期。CrowdStrike 上市以来每一个季度的业绩都超过预期,尽管 21 财年的增速已经下降到 100%以下,但是华尔街一致预期依然在未来两年内给与50%以上的收入增速。
加速增长的订阅收入持续拉升利润率。由于毛利率更高的订阅收入相对定制的专业服务来说更容易获得增长,同时,由于固定成本的边际效益提升,公司整体的毛利率在不断提升。
加速在国际市场的渗透。21 财年第三季度,来自国际地区的收入依然只有 27%,我们预期未来国际市场收入能扩大至 50%。
继续蚕食传统安防软件的市场份额。CrowdStrike 是最早进入云安全领域的公司之一,比传统的杀毒软件、反恶意软件有更大的增量空间。同时,公司可以在某些领域参与与传统安防软件公司的收购和并购,增大线端实力。
加速 to G 的渗透。政府、军队等重要的政府部门是网络安全行业的重要买家,云安全也是近年来政府部门加大投入的重要方向。目前,政府方面的收入在 CrowdStrike 的整体营收占比并不高,预期未来能加速渗透。
估值讨论
美股SaaS 板块的估值中枢一直都高于大盘。板块中位数的动态 EV/Sales(N12M)估值为14.4 倍,高增长(增速超过30%)子板块中位数 22.5 倍,中等增速(15%-30%)子板块中位数13.8 倍,低增长(15%以下)子板块为 7.1 倍,最高前 5 估值的中位数是 40倍。
除了部分低增长的传统软件公司以外,SaaS 软件业常用的估值方法主要是 EV/Sales 和EV/FCFF。而一些SaaS 公司自由现金流暂且为负(SaaS 商业模式决定了获客成本先于客户价值实现,因而当期利润率低于传统授权模式。而且会计记账中的递延收入,也使得现金流量表会好于损益表),因而 EV/Sales是最通行的可比估值指标。
我们选择如下公司作为 CrowdStrike 的同业对比公司:CrowdStrike 的EV/Sales 在上市以后几乎都超过同业平均水平。我们预计 CrowdStrike 未来 5 个财年的收入将以 44%的 CAGR 增长,至 2025 财年营收达到30 亿美元。下一年同业平均 EV/Sales 的 24.92 倍。如果至 2025 财年,CrowdStrike 的营收倍数达到同一水平,并且按照当前 6.9%的WACC 来进行折现,则回到 2021 财年,公司 EV 为573.2亿美元,相当于市值 583.4 亿美元。
以 2.21 亿总股本来算,CrowdStrike 的每股价值为 263.6 美元。不过,这也是只能给头部企业的额外溢价估值。$CrowdStrike Holdings, Inc.(CRWD)$
免责声明:上述内容仅代表发帖人个人观点,不构成本平台的任何投资建议。
[微笑]
[微笑]
[强]
[微笑] [微笑]
[微笑]
[微笑] [微笑]
[微笑] [微笑]
[微笑] [微笑]
[强] [强]
[强]