社区

在本次俄乌冲突之中，网络战成为地面站的先行者，扮演了十分重要的角色，俄罗斯黑客们通过各种网络攻击手段对乌克兰的政府网站、银行等机构的网络进行了轮番轰炸，导致乌克兰的很多系统一度崩溃，网络安全的重要性再度凸显。

伴随事件催化，美股的网络安全板块近几个交易日强势反弹，网安的几个龙骨头包括PANW/FTNT/CRWD/S/ZS/NET/OKTA$Okta Inc.(OKTA)$ 等集体大幅度反弹，其中派拓网络$Palo Alto Networks(PANW)$  成为近期第一个创新高的科技股，可谓是苦难深重的纳斯达克科技阵营中的一点红。

Palo Alto Networks是一家网络安全公司，为企业、服务供应商和政府机构提供新一代网络安全平台，从而确保他们的网络安全。公司核心产品是Next-Generation防火墙。该公司使企业，服务提供商和政府实体能够在所有位置连续获得全面的可见性和上下文保护所有用户，应用程序，数据，网络和设备。该公司提供涵盖广泛用例的网络安全产品，使最终客户能够保护其网络，远程员工，对服务边缘，分支机构位置，公共和私有云的访问，并提升其安全运营中心。

在防火墙领域，被Gartner及弗若斯特列为领导者，在WAN 边缘基础设施、零信任访问领域也被认定为领导者，可以看到派拓网络是不折不扣的网安龙头之一，3年前公司只是在防火墙领域被评为领导者，但是3年后的今天，公司已经在7个细分的网络安全子领域被评为领导者，包括防火墙、零信任、SD-WAN、SOAR、XDR、ZTNA等领域。

本文，我们先来一起回顾本轮俄罗斯对于乌克兰的网络攻击，然后介绍公司的产品及公司财务运营、未来展望，来回答以下问题：

1. Palo Alto Networks是一家怎样的公司，公司的主要产品包括哪些？

2. 行业演进及未来的趋势展望，公司未来发展的核心驱动力是什么？

3. 为什么网络安全在当下变得越来越重要？

4. 行业的发展空间有多大，TAM边界在哪儿？

近期俄罗斯网络攻击乌克兰回顾

在过去的十几天里，俄罗斯和乌克兰之间的冲突大幅升级，包括网络攻击的显著增加。从 2 月 15 日开始，一系列分布式拒绝服务 (DDoS) 攻击开始。这些攻击在过去一周持续不断，影响了乌克兰政府和银行机构。2 月 23 日，乌克兰发现了一种名为 HermeticWiper 的擦除器恶意软件新变种。不久之后，还观察到新一轮的网站篡改攻击影响了乌克兰政府组织。

DDoS 攻击影响乌克兰政府和银行机构 2 月 15 日，乌克兰网络警察报告称，居民正在积极接收假短信。这些消息很可能是为了引起人们的恐慌，因为他们声称自动取款机出现故障。 在观察到短信后不久，发生了几次DDOS攻击。这些袭击影响了乌克兰政府组织，包括国防部、外交部、乌克兰武装部队和公共资助的广播公司乌克兰广播电台。此外，攻击还针对两家银行机构，PrivatBank 和 Oschadbank。对 DDoS 攻击的初步调查表明，Mirai 和 Meris 机器人网络可能已被用于攻击。

2 月 18 日，英美都将这些 DDoS 攻击归咎于俄罗斯的主要情报局 (GRU)。 过去一周，乌克兰继续观察到针对其政府和金融机构的 DDoS 攻击相对稳定。但是，目前尚未确定正在进行的攻击的归属。

乌克兰 CERT 确实在 RaidForums 上发现了一个名为“Carzita”的用户的帖子，该帖子暗示其他参与者也可能出于未公开的原因发起 DDoS 和污损攻击。

2月23 日，一个名为conhosts._exe的恶意文件（SHA256：1bc44eef75779e3ca1eefb8ff5a64807dbc942b1e4a2672d77b9f6928d292591）从乌克兰基辅的一个组织上传到公共恶意软件存储库。此可执行文件是一个签名文件，具有来自名为 Hermetica Digital Ltd. 的组织的有效签名。此签名证书已被其颁发者明确吊销。执行后，此文件会枚举硬盘驱动器上的所有文件，擦除分区信息，然后强制系统重新启动，允许攻击者指示恶意软件休眠一段时间或关闭系统。

此外，负责实际擦除活动的内核模块来自名为 EaseUS Partition Master 的合法应用程序。该软件被设计为免费的分区软件，可以重新组织磁盘空间以获得更好的性能。

在追踪这一威胁时，早期报告显示，该恶意软件已针对乌克兰的一家金融机构以及拉脱维亚和立陶宛的两家为乌克兰政府提供服务的承包商部署。此外，ESET 研究人员警告说，他们发现这种恶意软件安装在乌克兰的“数百台机器”上。

在发现擦除器恶意软件的同时， 2 月 23 日目睹了第二轮网站破坏。这些攻击似乎复制了一个月前 1 月 14 日利用 OctoberCMS 漏洞的攻击中观察到的消息模板，同时添加了.洋葱网址和一条红色字体的消息，翻译为“您需要证明吗，请参阅最后的链接。” .onion网站链接到一个自称为“自由平民”的实体，并提供出售包含乌克兰公民个人数据的数据库。在过去 24 小时内，泄密部分的实体名单已扩大到 48 个gov.ua域和一家为飞机和直升机制造发动机的乌克兰公司 ( motorsich[.]com )。

一些西方政府已向其民众发布了建议，以应对可能破坏、禁用或破坏关键基础设施的网络攻击。乌克兰危机已经导致俄罗斯网络活动增加。未来的攻击可能针对美国和西欧组织，以报复对俄罗斯政府增加制裁或其他政治措施。

因此网络安全被推到了风口之上，派拓网络成为近期第一个创新高的科技股。

公司产品介绍

公司使企业、服务提供商和政府实体能够以全面的可见性和上下文，在所有位置持续保护所有用户、应用程序、数据、网络、云和设备。公司提供涵盖广泛的零信任用例的网络安全产品，使公司的最终客户能够保护他们的网络、远程和混合劳动力、分支机构以及公共和私有云，并推进他们的安全运营中心 (“SOC”) . 公司相信，其产品组合能够通过先进的安全功能实现零信任企业，同时通过提高运营效率和消除对孤立点产品的需求来降低组织的总拥有成本。通过专注于在五个基本领域创造价值的解决方案来做到这一点：

时至今日，网络安全现在以多种形式提供，采用不同的技术

伴随行业的不断演进，需要更多样化的网络安全手段以及更全面的平台，本文的主角，派拓网络提供一流的网络安全平台，保障整个企业的安全性

公司主要的业务包含以下模块：

•网络安全：

通过ML 支持的下一代防火墙实现网络安全，该防火墙有多种形式，包括物理、虚拟和容器化设备，以及云交付服务。网络安全也包括附加云交付安全服务，例如威胁预防、WildFire、URL 过滤、高级 URL 过滤、DNS 安全、物联网安全、GlobalProtect、SD-WAN、企业数据丢失防护（“企业 DLP”）、SaaS 安全API 和 SaaS 安全内联，可保护ML 支持的下一代防火墙、Prisma 和 Cortex 产品线中的内容、应用程序、用户和设备，从而在广泛的应用程序中实现一流的安全性。Panorama 是公司的网络安全管理解决方案，以硬件或虚拟机的形式提供，可以集中管理供公司所有的防火墙，无论其外形尺寸、位置或规模如何。

•安全访问服务边缘节点：

Prisma Access 是业界最完整的云交付安全平台，与 Prisma SD-WAN、SaaS Security API 和 SaaS Security Inline 一起，提供全面的安全访问服务边缘 (“SASE”) 产品，用于保护远程员工和启用云交付分支。

•云安全：

通过Prisma 安全产品实现云安全。Prisma Cloud 是业界最全面的云原生应用保护平台 (“CNAPP”)，可保护多云和混合云环境以及云原生应用，在整个部署生命周期中集成安全性。VM 系列和 CN 系列在多云和混合云环境中实施内联网络安全。

•安全分析和自动化：

通过Cortex 产品组合提供下一代端点安全、安全分析和安全自动化解决方案。其中包括业界领先的扩展检测和响应平台 Cortex XDR，用于预防、检测和响应复杂的网络安全攻击，Cortex XSOAR 用于安全编排、自动化和响应（“SOAR”），Cortex Xpanse 用于攻击面管理（“ASM ”) 和 Cortex Data Lake 允许客户跨端点、网络和云收集和分析大量上下文丰富的数据。这些产品作为软件或 SaaS 订阅交付。

•威胁情报和安全咨询（Unit 42）：

通过Unit 42 威胁研究和安全咨询团队，使安全团队在攻击之前、期间和之后拥有最新的威胁情报和深厚的网络安全专业知识。Unit 42 提供事件响应、风险管理、董事会咨询和主动网络安全评估服务。

新季度业绩分析及展望

从近期披露的业绩来看，上个季度业绩继续创下历史新高，全面超过上个季度的展望，FCF比率达到惊人的33.5%，展望也非常好。

- 第二财季收入同比增长 30% 至 13 亿美元

- 第二财季账单同比增长 32% 至 16 亿美元，连续五个季度保持较高增速。

- 剩余履约义务同比增长 36% 至 63 亿美元，连续5个季度保持35%以上的增速，这非常可贵。

- 经调整自由现金流同比增长 33% 至 4.41 亿美元

从历史业绩表现来看，公司的业绩也堪称优秀，十年单季度收入增长超过十倍，近期收入还在加速，公司的经营性现金流也非常好，占收入的比例也非常高，最近一个季度经营性现金流占收入的比重为36.67%。

公司的加速增长反映了公司的产品组合（包括产品、订阅和支持）的更多采用。伴随着公司继续扩大已安装的最终客户群，公司的产品组合将使公司能够从经常性收入中受益。

截至 2022 年 1 月 31 日，公司的最终客户遍布 170 多个国家/地区，代表了广泛的行业，包括教育、能源、金融服务、政府实体、医疗保健、互联网和媒体、制造、公共部门和电信，并且包括几乎所有的财富 100 强公司和大多数世界2000强企业。

2022财年第二季度，公司除开订阅收入以外的产品收入增长至3.08亿美元，占总收入的23.4%，同比增长20.9%。产品收入来自公司的设备销售，主要是ML 支持的下一代防火墙，它有多种形式，包括物理、虚拟和容器化设备。

公司的 ML 支持的下一代防火墙集成了 PAN-OS 操作系统，它为整个网络安全产品线提供了一套一致的功能。公司的产品专为整个组织的不同性能要求而设计，从为小型组织和远程或分支机构设计的 PA-410 到为大型组织设计的顶级 PA-7080规模数据中心和服务提供商的使用。

2022 财年第二季度，公司实现订阅和支持收入增长至 10 亿美元，占总收入的 76.6%，同比增长 32.4%。

订阅使最终客户能够近乎实时地访问最新的防病毒、入侵防护、Web 过滤、现代恶意软件防护、数据丢失防护以及跨网络、端点和云的云访问安全代理功能。当最终客户购买公司的物理、虚拟或容器防火墙设备或某些云产品时，他们通常会购买支持以接受持续的安全更新、升级、错误修复和维修。除了使用这些设备购买的订阅外，最终客户还可以按用户、每个端点或基于容量的方式购买其他订阅。

Palo Alto Networks 董事长兼首席执行官 Nikesh Arora 表示：“在第二季度，我们的公司继续受益于我们三个安全平台的优势，这得益于强劲的网络安全需求、为混合工作构建架构的组织以及不断扩大的超大规模云足迹。”

“凭借这种优势，特别是在我们的下一代安全产品中，我们正在提高对今年收入、账单和每股收益的指导。” Palo Alto Networks 首席财务官 Dipak Golechha 表示：“随着我们继续实现加速的收入增长和强劲的现金流产生以及向股东返还资本，股东总回报处于我们第二季度业绩的最前沿。”

•客户情况：

1活跃的百万客户定义为过去 4 个季度在预订价值上花费 100 万美元或更多的客户。 预订被定义为已签订合同的承诺客户义务。

2 G2K 客户代表自成立以来获得的全球 2000 家客户。 客户被定义为已购买产品和服务（不包括非转售服务）的账户。

从客户数量来看，公司的订阅收入超过百万美金的客户超过1000个，成立以来的2000家客户中有超过47%的客户购买了，Strata/Prisma/Cortex。

粗略估算，就这些客户就给公司贡献了10亿美金的收入，非常惊人，而且从2019年以来公司在超过花费超过百万客户的群体数量增速上一直保持20%的增速，疫情以来更是呈现出加速的趋势。

从地区来看，美国仍是第一大收入来源地，增速也领先其他地区，本季度来自美国的收入同比增长33.64%，超过公司整体的收入增速，反映出美国地区的客户在网络安全及云安全方面的支出要领先其他地区。

•从重要指标来看，cRPO及RPO保持良好增速，为未来的业绩增长提供了非常明确的指引。

•财务展望

对于2022财年第三季度，公司预计：

1. 总账单在15.9亿美元至16.1亿美元之间，同比增长24%至25%。

2. 总收入在13.45亿美元至13.65亿美元之间，同比增长25%至27%。

对于2022财年，公司正在广泛提高指导并期望： 也提升了上一次财报的展望

1. 总账单在68.0亿美元至68.5亿美元之间，同比增长25%至26%。

2. 总收入在54.25亿美元至54.75亿美元之间，同比增长27%至29%。

3. 调整后的自由现金流利润率在32%至33%之间。

未来看点

(一) 在数字化加速与云转型不断推进的科技浪潮之下，暴露了更多的网络攻击可能性，因此，传统网络安全、自动化安全平台、云安全重要性不断凸显。

•转向云成为主流：企业需要越来越多地运营具有混合、多云资产

•加速数字化转型：企业需要保护用户随时随地跨任何设备和应用程序工作

•AI/ML 和自动化越来越受欢迎：企业需要更好的安全性成果，同时也减少对稀缺的 SecOps 人才的需求

•日益严峻的安全形势：攻击的扩散推动了对更好的需求威胁情报和熟悉客户端架构的值得信赖的合作伙伴，大流行加速了三个核心技术趋势，增加企业攻击面

而攻击者正在利用这个更大的攻击面

JBS 勒索软件 - 美国、中国/AU 设施关闭/富士通黑客/爱尔兰的国民健康/服务勒索软件

/殖民管道勒索软件/DDoS攻击比利时政府/威瑞森和微软黑客/北约、英国、荷兰军舰假数据/1,182 名英国特种部队士兵数据泄露/美国能源部核武器供应连锁攻击、日本奥运会数据泄露/东南亚APT/南非港口和货运暂停/卡塞亚黑客/1,500 个 SMB 被勒索/白俄罗斯、斯洛伐克、伊朗政府被突破/俄罗斯选举黑客/T-Mobile 被黑/意大利COVID 19疫苗等等网络安全事件不断发生，疫情以来数字化加速的趋势给黑客们更多的可以攻击的点，这必然导致公司所面临市场的TAM不断扩张。

(二) 公司的TAM在各个业务产品线都出现了明显的扩张给公司提供了更大的发展空间，根据相关咨询公司的估计到2024年公司所处领域的市场空间有望达到1100亿美金，这是一个非常庞大的数字。

我们强烈看好在网络安全重要性提升，以及转云及多云融合趋势下派拓网络的投资机会，公司的三大平台协同性开始显现，而在零信任时代，公司也占据了非常有利的地位：

网络传输安全+云原生安全+安全操作中心自动化，三大平台协同发力

1. 传输网络安全以实现混合工作和云交付安全：这在云计算加速的趋势下将迎来更加速的发展，转云及多云融合带来更多网络安全的需求。

从Q2的数据来看，使用prisma sase的客户数量同比大增62%，从1221增长至1983个（Prisma SASE 包括 Prisma Access 和 Prisma SD-WAN 的独特客户，不包括 Sinefa 收购的客户。 包括 PANOS SD-WAN 和SaaS Security 订阅除了 Prisma Access 和 Prisma SD-WAN，22 年第二季度的客户总数为 2,915，比 21 年第二季度的 1,759 客户数增加了 66%。）

公司的平台方法解决了一个庞大且不断增长的网络安全市场，

面临三大增长动力

1. 36% 复合年增长率： SASE 由混合工作和更多的云应用来驱动

2. 13% 复合年增长率：软件防火墙由多云融合的趋势来驱动

3. 引入新安全服务（物联网、DLP、NG-CASB）：硬件更换价值

2. 云原生平台安全：Prisma Cloud，业界最大的云安全解决方案，客户数量同比增速27%至1810个，客户需要越来越多的功能来保护他们的云环境

Prisma Cloud：保护“完整云堆栈”的云平台，公司的Prisma 云平台，提供云安全监控管理、云工作负载保护、云网络安全、云基础设施管理，提供全方位的云安全管理措施。

公司的愿景是一步步从云安全监控到工作负载保护、云网络安全、云基础设施管理等环节进入到DevSecOps（在应用程序开发的生命周期中引入安全性，从而尽可能地减少漏洞并使安全性更接近IT和业务目标）。

在21年Q4季度，公司的云工作负载保护收入同比增长122%，当下的收入规模还比较小。

而具体到云安全的市场空间，分析如下：

● 公共云支出预计将继续同比增长>25%

● 云安全的预计支出稳定在公有云支持的6-7%左右，也就是1000亿美金地公有云支出里面有60-70亿美金为云安全的支出。预计到2024年全球云安全市场的规模将超过200亿美金。

● 多云和混合云会将公司定位为，不二的安全伙伴选择

● 云安全软件供应链将进一步扩大我们所面临的市场目标

目前，prisma 云平台客户数达到2703个，YOY+47%，其中财富2000强的客户数量为512个，YOY+39%，超过50%的客户使用了至少两个模块，超过20%的客户使用了至少3个模块。

3. 快速增长的 SOC 自动化的强劲表现机会，安全运营中心 (SOC)： SOC 的目标是检测并响应所有威胁，不断增加的警报量使大多数 SOC 不堪重负，因此提升SOC中心的智能化迫在眉睫。

根据gartner的统计，每天的安全预警中，仅仅只有17%能被自动化处理，其余大多数要通过手动的方式，28%的预警事实上是被忽略了的。

目前，cortex平台主要包括三个部分:

•cortex XPANSE平台，主要用于发现并减少整个攻击面:提供内部交叉相关资产视图外向内映射，了解曝光，新的攻击以及如何，袭击已经展开（包括供应链曝光和状态漏洞）

•cortex XDR平台，公司的Cortex XDR平台定位为下一代 SOC 的核心产品，它集成了 &标准化所有数据，推动 AI/ML 分析。

•Cortex XSOAR：用于安全的端到端工作流自动化操作； 它使 SOC 能够专注于关键警报

● 预期的安全操作同比增长约 15%，由机器学习分析和自动化来驱动

● 端点保护市场，预计将维持 20%的增速，由 EDR 推动到 XDR 的 CAGR过渡

● 漏洞评估市场预计将增长，同比增长 24%，需要监控企业攻击面

根据gartner的估计，到2024年全球SOC中心的市场规模有望达到450亿美金，复合增速非常高，相比于2021年将增长50%。

公司cortex平台的客户增长加速，XPANSE平台客户数增长57%，cortex XDR平台的客户数19-21年三年的年均复合增速高达168%，Cortex XOAR过去三年的复合增速也达到了93%，覆盖了财富100强里面74个客户。

使用公司cortex产品的客户，Q2增长至3232个客户，27 个 XMDR 专业化合作伙伴，包括 KPMG、Expel 和 Telefonica，完成26 笔超过 100 万美元的交易，包括 1800 万美元的多产品交易。

4. 网安的一个场景：零信任，零信任需要整体一致的方法，在所有关键领域都可操作，派拓网络的零信任基础架构是最完善的。

从身份认证到设备及工作负载管理，访问控制，网络及数据传输四个方面，在用户侧、应用软件侧、基础设施侧都要同步实施。

而对于派拓网络来说，因为公司的三个平台都是零信任，部署它们共同为零信任企业奠定了坚实的基础。

5. 从重大更新的角度来看，公司的每一年都保持了极大的研发投入，也从侧面反映出公司的技术领先性，每一年的产品迭代都在加速，2022年上半年预计的重大更新就有22次，去年全年一共29次。

PS:主要产品版本定义为具有重要的新功能、新的或附加模块或订阅服务、新的软件或硬件设备模型、重要的 PAN-OS、获得的功能和重要的新平台支持的完整或点版本。

(三) 公司的未来业绩展望为2024年达到80亿美金的收入，达到100亿美金的billing订单，未来三年的复合增速23%，总体增速尚可。

公司正在网络安全增长最快的市场中，捕捉下一代网络安全的机会，下一代网络安全的收入提升是公司未来的主要增速来源。

下一代安全产品的 ARR（年化经常性收入） 是截止报告期最后一天的所有有效合同的年化分配收入，包括 VM 系列和相关服务，以及某些云交付的安全服务，预计将保持快速增长，全年有望实现17.5亿美金的ARR收入，同比去年全年的11.8亿美金，将大幅度增长45%，2024年的目标收入是做到32.5亿美元，收入占比为40.26%。

(四) 从估值及安全边际的角度，公司现金流比率超过30%，目前PS 10倍出头在网络安全公司的估值是最低的，未来伴随网络的重要性不断提升，公司的估值中枢有望上移。

从现金流的角度，公司的经调整的自由现金流流比率近五年一直维持在30%以上，这是非常好的数据，这也是公司近期在科技股不断调整的浪潮中，还能保持股价不大跌的核心原因之一，超强的现金流比率给了市场较强的信心。

从PS的角度，公司目前 PS-TTM为12倍，已经相较于疫情前的6-7倍翻倍，核心点在于疫情以来公司传统的防火墙收入占比不断下移，订阅收入占比不断提升，估值中枢就开始上移。

目前派拓网络的估值水平，相较于Crowdstrike/Cloudflare/SentinelOne/Okta/FTNT/Zscaler等网安龙头的估值有明显的安全边际，我们认为派拓网络是值得中长期重点跟踪的云安全公司，尤其是在当下，俄乌冲突升级之下，新一代网络安全的十年黄金期正拉开帷幕，我们也非常看好，网安未来的发展趋势，包括微软$微软(MSFT)$ 在内的巨头都是可以长期跟踪的对象。