公司概述:以云原生技术变革端点安全行业
CrowdStrike 成立于 2011 年,从端点安全产品起步,致力于重塑云时代的信息安全产 品,改变交付和客户体验安全产品的方式;2019 年 6 月,公司于纳斯达克交易所上市(代 码:CRWD.O)。面对日益复杂的网络环境和变化多端的攻击方式,传统的安全手段难以 应对攻击者战术手段的迅速变化;CrowdStrike 基于 Falcon 云原生平台及 Threat Graph 数据库引擎,利用前端轻量代理收集的海量企业数据和平台整合的外部威胁情报,对恶意 攻击行为予以自动检测和实时预防,使客户的防御手段持续领先于外部攻击者。FY 2023 年末,公司 ARR(年度经常性收入)达到 25.6 亿美元(+48% YoY),FY2019-FY2023 ARR CAGR 近 70%,持续在端点安全以及更为广阔的信息安全市场获得份额。
主营业务:基于 SaaS 订阅模式提供平台化安全方案
产品体系:产品模块近年来快速丰富,覆盖 6 大产品类别。成立后的第二年(2012), 公司推出威胁情报产品 Falcon X,并于次年(2013 年)推出端点安全产品 Falcon Insight, 威胁情报和端点安全产品构成公司核心 EDR(端点检测、调查和响应)产品线。2017 年 至今,公司通过内生研发和外延并购方式实现产品线的快速扩充:内生研发方面,公司一 方面发布新一代防病毒产品 Falcon Prevent、防火墙管理产品、沙箱测试产品、恶意软件 搜索引擎等进一步完善核心 EDR 产品线,另一方面也在云安全、安全&IT 运营等领域完成 了产品线的扩充;外延并购方面,公司于 2020-2022 年先后并购 Preempt Security、Humio、 Secure Circle 和 Reposify,在通过 Reposify 进一步充实既有威胁情报产品线的同时,进 入了身份保护(Preempt)、日志管理(Humio)、数据丢失保护(Secure Circle,仍处于 整合过程中)。目前,公司拥有端点安全、云安全、威胁情报、身份保护、安全&IT 运营、 日志管理六大产品类别,Falcon 平台已提供 23 个核心产品模块,覆盖多个安全细分市场。 此外,公司亦为安全团队不够完善的客户提供各项托管安全服务,并通过托管服务撬动平 台产品的销售。
收费模式:定价灵活,提供多种模块组合。公司根据端点数量,对于不同产品组合收 取不同价格:1)入门级产品 Falcon Go 为端点提供无扫描、主动的防病毒保护(NGAV), 并提供设备控制能力,但不提供威胁情报的集成以及恶意活动的即时响应功能;2)专业 版在 Falcon Go 的基础上融入了威胁情报和防火墙管理模块,能够识别威胁并推荐简单的 安全策略进行防护;3)企业版产品在专业版的基础上提供了更高的数据可见性和威胁响 应能力,并提供全天候在线的专家辅助进行威胁搜寻;4)Elite 产品进一步集成了身份保 护模块,并可拓展 XDR 集成范围;5)除产品套件外,客户亦可选择 Falcon Complete 套 餐由后台专家对端点、云工作负载和身份等提供完全托管式 24/7 全天候保护服务;6)除套餐外,公司亦提供 Falcon Spotlight、Falcon Forensics、Falcon Search Engine、Falcon Sandbox 等模块进行单独定价,单独收费。
高管&股东:管理团队经验深厚,股权结构较为分散
管理层背景:创始人富有行业洞察力,核心团队经验丰富。CrowdStrike 创始人为 George Kurtz 和 Dmitri Alperovitch,二人此前在全球最大的专业安全技术公司 McAfee 分 别担任全球首席技术官和威胁研究副总裁,在网络安全领域具有将近 30 年的丰富经验, 凭借深刻的行业洞见革新端点安全行业。此外,公司核心管理层和技术人员主要来自于思 科、微软、Tenable 等知名网络安全和软件 SaaS 公司,以及 FBI、美国国家网络安全司 等世界著名的情报、安全机构,在威胁情报、安全响应等领域均具有丰富的研发创新、工 程技术和攻防实践经验。近日,公司宣布 Daniel Bernard 加入高管团队,任首席商务官, 领导公司渠道、联盟和合作伙伴关系工作,并为公司 SMB 客群制定增长计划和营销战略。 Daniel Bernard 此前担任 SentinelOne 的首席营销官,推动了 SentinelOne 在 SMB 市场 的快速增长。我们认为,此次 Daniel 的加入有望加速公司向 SMB 客群的渗透,进一步强 化公司在全球端点安全市场的领导地位。
股权结构:股东多为机构投资者,股权结构较为分散。截至 2022 年 9 月 30 日,公 司机构股东持股比例达 75.94%,直接持有公司 5%以上股份的股东仅包括 The Vanguard Group,Inc.,其持股比例为 6.02%。总体来看,公司股权结构较为分散。
财务分析:收入快速增长,盈利能力持续提升
成长性:营业收入持续高增,未来仍有望延续较快增长。受益于新一代端点安全技术 对传统方案的颠覆,以及公司自身突出的技术性能,近年来公司订阅客户数量和使用模块 数量快速增长,带动营业收入在 2018-2023 财年的复合增长率超过 80%。随着公司产品 模块持续丰富及渗透、销售渠道的持续增加和完善,自身生态体系的逐步建立,我们预计 公司业务规模将持续扩大,未来仍有望延续较快增长。2023 财年,公司实现收入 22.41 亿美元,同比增长 54.4%;其中,订阅收入占营业收入的比例持续增加,由 2018 财年的 78.0%增长到 2023 财年的 94.2%。
盈利能力:毛利率维持高位,稳中向上。2020 财年-2023 财年,公司毛利率分别为 72.3%、75.9%、76.6%和 75.9%,保持较高水平。其中,订阅毛利率分别为 75.5%、78.6%、 78.7%和 77.9%,专业服务毛利率分别为 40.9%、45.1%、44.3%和 43.0%。总体来看, 公司毛利率受获取新订阅客户、现有订阅客户的续订,与运营云平台相关的成本等因素影 响出现小幅波动,但受益于公司云平台的规模经济优势和较强的成本管控能力,毛利率水 平整体保持稳中向上的趋势。在财报电话会议中,公司亦指引 FY24Q1 毛利率水平将实现 1pct 的环比改善。
运营效率:各项期间费用率逐年下降,有望持续优化。其中,过去公司销售费用率和 研发费用率较高,主要系公司为满足快速扩张的业务规模,陆续扩充销售团队和研发团队, 相关薪酬费用增长幅度较大。但随着公司业绩体系快速上升,公司期间费用率均出现明显 降低。2023 财年,公司销售/研发/管理费用率分别为 33.5%、19.3%、7.2%,较 2022 财 年分别变化-2.7/+0.8/-1.1pcts。目前,公司期间费用率基本稳定在较低水平,未来随着公 司运营效率提升,整体费用率有望持续优化。
行业背景:网络攻击持续升级,成为各国政府核心议题
全球数字化转型加速,网络攻击暴露面扩大。伴随移动互联网和 AIoT 的蓬勃发展, 以及企业数字化和云化的持续推进,全球数据量以及企业部署和管理的 IT 技术堆栈都在迅 速增加。这一方面意味着恶意攻击者通过勒索软件、间谍软件等恶意软件行为满足自身利 益的动机和诉求日益增强,恶意攻击的频次和隐蔽性日益上升;另一方面,也意味着企业 或政府机构因恶意软件入侵造成的经济成本、声誉成本和社会成本也在快速增加。思科在 《2020年年度互联网报告》预计,全球人均联网设备数量将从 2018年的 2.4个提高到 2023 年的 3.6 个,2018 年-2023 年复合增长率为 8.4%,其中北美和西欧地区的增速更快。伴 随着疫情后远程办公的加速渗透以及 IT 基础设施的云化加速,企业暴露在互联网中端点设 备的和工作负载不断增加,使得其数字足迹和网络攻击面变得更广、更分散、更具动态性, 进而对网络安全防范手段提出了更高要求。
勒索攻击频次&数据泄露成本持续上升,安全开支快速增长。2021 年,世界上最大的 肉食品加工商 JBS 和美国最大的燃油管道商 Colonial Pipeline 遭受勒索软件攻击,分别引 致 1100 万美元和 440 万美元的赎金,这其中并不包括声誉受损、网络修复、合规罚款等 更广泛的损失。根据 IBM 数据,全球网络攻击事件导致数据泄露的平均经济损失持续增加, 于 2022 年达到 435 万美元;根据 Google Trend,网络安全关键词在企业文档中的出现频 次持续攀升。网络攻击天然具备不对称性,网络安全人员需要阻止所有攻击,而攻击者只 需找到一个显著弱点就能成功入侵。因此,企业也大幅增加了网络安全方面的支出。IDC 预测,2026 年全球安全即服务(Security as a Service)市场规模将达到 933 亿美元,对 应 2021-2026 年 CAGR 为 16%。
端点安全:行业处于变革时期,CrowdStrike 快速获得份额
随着网络威胁行为从盲目粗暴转变为精确隐秘,端点安全产品不断进化,从静态变为 动态,从被动变为主动,从基于“特征”变为基于“行为”。当前,端点安全市场处于变 革时期,新一代端点安全产品将迎来高速发展。
端点概念不断扩展,端点安全至关重要。端点是用于访问组织数据和网络的任 何连接设备,随着新设备的不断涌现,端点的定义持续扩大,包括服务器、移动设备、工业系统、物联网设备、汽车等。大多数企业通常都将安全工作和防 御控制集中在网络边界,认为这是抵御潜在攻击者的最佳方式。但是一旦攻击 者绕过公司防火墙和其他外围安全控件通过端点进入内网,往往就可以自由施 展了。更糟糕的是,尽管边界控制可能会阻止外部的不良行为者闯入,但这无 助于防止内部威胁。因此,端点安全是企业安全防护体系的重要一环。
安全威胁形态演化升级,传统端点安全产品问题凸显。最早期的网络威胁源自 所谓的病毒,因此最早的终端防护手段就是杀毒软件和防火墙。然而随着恶意 威胁由原来的盲目、直接、粗暴转变为有目标、精确、持久隐秘,传统端点安 全产品的问题愈发突出:(1)应对机制是被动的,只有受到攻击后才能感知和 捕获;(2)无法有效防御具有针对性的攻击,例如利用恶意软件的变种、脚本 化工具将恶意软件加壳使其随机产生新的恶意软件等;(3)传统防御产品依靠 特征库的更新来发现新的恶意威胁,但随着攻击者们使用不同技术逃避传统的 检测和防御,同时每天新增恶意样本,这种检测手段显得力不从心,整体规模 也愈发臃肿。EPP(终端保护平台)的出现一定程度上弥补了传统杀毒软件的 劣势,但同样存在无法应对未知威胁、多个功能模块堆叠等问题。
基于行为进行主动防控,新一代端点安全产品优势显著。在此背景下,下一代 端点安全产品诞生并占据有利地位。其中最具代表性的便是 EDR(端点检测与 响应),通过对端点进行持续检测,发现异常行为并对其进行分析,结合机器学 习和人工智能检测和防护未知威胁。新一代端点安全产品具备两大核心特征:(1) 基于“行为”进行主动防控。EDR 不仅仅通过“特征”进行“预防”,更依靠 “行为”进行“检测”,并且进行“响应”。同时,EDR 不仅着眼于单个终端的 防御,而是对各个终端的事件进行关联分析,还原整个攻击的流程,描绘出攻 击事件的全貌。(2)轻量级代理。利用轻量级引擎将经典安全功能进行一体化设计,降低客户部署及运维成本。长期来看,新一代端点安全产品因具有主动 防御和轻量级代理两大特点已成为端点安全产品发展的趋势。
市场规模:我们认为,新一代端点安全方案的渗透驱动了全球端点安全市场的持续快速 增长:1)疫情催化下的远程办公场景催化了商业 PC 的需求,而物联网和智能汽车等新兴产 业的发展也为端点安全市场的增长提供了强劲动力;2)部署在云端的现代端点安全方案提升 了防范效果、降低了客户运维成本,整体 ARPU 较传统端点安全产品亦能够有一定程度的提 升;3)轻量级的代理以及统一的后端云平台显著降低了新功能 cross-sale 的难度及复杂度, 进一步扩展了市场空间。IDC 预测,2021 年-2026 年,全球企业端点安全市场规模将实现 14.9% 的年均复合增速,从 103 亿美元增长到 206 亿美元;其中,服务器安全市场从 25 亿美元增 长到 55 亿美元,年均复合增长率为 14.4%;其他端点安全市场从 78 亿美元增长到 152 亿美 元,年均复合增长率为 16.6%。
竞争格局:根据 IDC 数据,目前端点安全市场份额整体仍较为分散,但已经呈现出了向 新一代头部 EDR 厂商集中的明显态势,CrowdStrike 持续快速获得份额。与此同时,通过市 面主流端点安全产品的横向对比,我们亦能发现 CrowdStrike 在产品性能、跨平台兼容性和 易用性上的显著优势。
竞争格局目前仍较为分散,但已呈现明显头部集中趋势。根据 IDC 数据,2021H2 -2022H1 全球端点安全市场中份额 Top 5 的参与者分别为 CrowdStrike、微软、 Trellix、Trend Micro 和 VMware,市场份额分别为 17.7%、16.4%、8.5%、6.4%、 4.6%。从动态变化的角度,2021H2 -2022H1 全球端点安全市场 Top 4 的份额 获得者分别为 CrowdStrike、微软、SentinelOne、Palo Alto Networks,其产品 形态均为新一代 EDR 方案;而 Top 4 的份额失去者分别为博通、Trend Micro、 Trellix、ESET,均为传统端点安全方案厂商。我们看到,无论是从静态份额角 度还是从动态变化角度,CrowdStrike 均位居首位,体现其持续强化的市场地位。
架构、功能、性能均显著领先,壁垒有望持续强化。通过上述份额的分析,我 们可以看到在全球端点安全产品中,份额Top 3的获得者为 CrowdStrike、微软、 SentinelOne,我们也将对 CrowdStrike 相较于另外两家厂商的比较优势进行进 一步的探讨。1)相较于微软,公司的优势在于基于行为的防病毒引擎、无摩擦 的更新升级和交付体系、跨操作系统的兼容能力、高度集成且易用性更佳的威 胁仪表,以及专家团队的主动威胁搜寻支持。因此,尽管微软能够凭借强大的 渠道优势和 M365 和 O365 的捆绑销售赢得部分传统客户偏好,但考虑到愈演 愈烈的安全威胁以及与日俱增的相关成本,企业对于安全产品的需求在很多情 况下不能随意妥协,尤其对于数字化程度较高、网络攻击面较大的企业。根据 IDC,2021H2-2022H1,CrowdStrike 和微软分别同比增长 62.5%和 59.4%, 在份额领先的同时亦实现了增速的领先,我们认为这也印证了企业客户的选择。 2)而对于 SentinelOne,尽管 SentinelOne 面对 SMB 客户的特性推出了 AI 驱 动的主动防病毒产品,提供了较多预集成、预定义的功能,满足了部分 SMB 客 户对于易用性的需求。但 SentinelOne 的能力更多集中在端点侧,云端数据的 收集&沉淀以及威胁情报的集成均显著落后于 CrowdStrike,这使得其对于企业 层面安全风险的检测和响应能力有限,难以满足中大型企业客户的需求。但另 一方面,基于云端沉淀的海量数据以及强大的威胁情报体系,CrowdStrike 完全 有可能推出同样预集成度高、简单易用的入门级别产品,近期推出的 Falcon Go 就是一次尝试。伴随前任 SentinelOne 首席营销官 Daniel Bernard 加盟公司, 我们认为公司将在渠道、营销、产品设计等维度进行进一步的优化和调整,强 化在 SMB 客群的竞争力。
TAM 延展:产品线迅速丰富,潜在市场持续扩张
轻前端重后端的架构助力平台功能快速扩充,公司 TAM 亦持续扩张。前端轻量级的 Agent 部署,以及 Falcon 平台的数据沉淀,使得 CrowdStrike 能够实现全新模块的无摩擦 部署,在不影响端点侧性能的同时完成新概念的交付。截至目前,公司已拥有 23 个模块, 包含端点安全、托管安全服务、安全和漏洞管理、IT 运营管理、日志管理、身份保护、威 胁情报、数据保护等领域,覆盖多个安全细分市场。依靠先发优势和领先的技术水平, CrowdStrike 在 EDR 领域占据大量市场份额并积累了丰厚的客户资源,单一轻量级代理也 为 up-sell 和 cross-sell 创造了良好条件,为公司业务边界的持续扩张奠定基础。在 2022 年投资者日上,CrowdStrike 根据目前产品面向的细分市场进行测算得到 2023 年 TAM 为 761 亿美元,预计 2025 年将增长到 978 亿美元;若考虑潜在的产品计划,公司预计这一 市场空间将在 2026 年扩充至 1580 亿美元。根据公司财报,FY2023 年末公司端点安全产 品以外的新品贡献的 ARR 已经达到 5.6 亿美元(+114% YoY),占公司整体 ARR 比例已 经超过 20%。结合公司投资者材料及近期财报中的表述,我们测算得到目前 ARR 占比最 高的三项新品分别为云安全、身份保护、Humio&XDR 产品。我们将在本节对云安全和身 份保护产品的机会进行阐述,并在下一小节对 XDR 产品的机会进一步展开。
云安全产品:云安全是针对部署在云端的虚拟机、容器等工作负载的安全解决 方案,能够在漏洞风险、入侵威胁检测、主动防御、快速响应以及安全管理等 方面为工作负载提供全面的保护。我们认为,云工作负载安全市场增长主要受 到以下几点因素的驱动:1)伴随数字化、云化的持续渗透,企业部署在云端的 工作负载不断增加;2)多云、混合云的部署,以及微服务架构的持续渗透显著 增加了 IT 堆栈的动态性及复杂度,亦显著提升了安全防范的难度和重要性。根 据 IDC 数据,2021 年全球云工作负载安全市场规模为 22 亿美元,IDC 预计到2026 年将增长至 51 亿美元,对应 2021-2026 年 CAGR 为 18.5%。我们认为, 这一市场的增长空间可能被显著低估:根据 IDC,目前安全开支占企业 IT 总开支 约 10%,但目前云安全占公有云市场(IaaS+ PaaS)的比例则尚不及 2%。考虑 到云环境本身动态、复杂的特点,以及 IT 基础设施上云的持续推进,我们认为云 计算环境下的安全开支将持续增长。公司云安全产品模块包括 Falcon Horizon 和 Falcon CWP,通过单一平台以及集成的威胁情报,提供全面的可见性、检测和 修复,以保护云工作负载。保护云工作负载即保护公有云和私有云中的虚拟机、 容器和无服务器工作负载,而保护端点即保护部署在本地的 PC 和服务器等,两 类产品在很大程度上可以实现迁移复制。CrowdStrike 在端点安全领域积累了丰 富的经验和技术优势,基于此扩展 Falcon CWP 等云安全模块优势显著,而云安 全实则也是公司落地最早且贡献 ARR 最大的新品。FY 2023 年末,公司云安全 模块 ARR 达到 2.24 亿美元(+111% YoY),结合 CrowdStrike 现阶段的市场规 模预测,我们预测公司云安全产品在 CY 2022 的市场份额逼近 10%。
身份保护产品:2020 年,CrowdStrike 以 9600 万美元收购了零信任和条件访 问技术提供商 Preempt 并将其技术与 CrowdStrike Falcon 平台相结合,推出 Falcon ITP 与 Falcon ITD 模块,帮助客户实现身份保护。Falcon 平台利用行业 领先的威胁情报和丰富的遥测技术,实现准确的威胁检测,在风险增加时阻止 访问或触发 MFA(多重身份验证),从而保护关键应用程序和数据。CrowdStrike 的产品是对传统零信任网络访问架构(ZNTA)的补充:传统 ZNTA 架构通过云 网关进行分段,通过 Okta、Azure AD 等身份访问管理平台完成认证、授权及单 点登录,但对于端点侧的风险疏于防范,部分攻击者仍有可能通过获取身份凭 据以绕开认证过程,进而实现攻击横向移动。但 CrowdStrike 基于强大的行为 检测和判断能力以及云端丰富的威胁情报,能够高效发现攻击者的非常规行为, 进而执行更加严格的身份认证,抑或对安全运营团队发出高优先级告警。通过 CrowdStrike 的身份产品,企业能够较好地实现端点、网关、认证平台的零信任 闭环,将身份相关的风险事件降至最低。IDC 预计,全球 IAM 市场规模将在 2025 年达到 192 亿美元,对应 2020-2025 年 CAGR 为 11.6%,其中云产品的 CAGR 为 18.6%。根据公司财报,FY 2023 年末,公司身份保护模块 ARR 突破 1 亿美 元,实现同比三位数的增长。
XDR:EDR 的下一步演进方向,数据生态巩固平台壁垒
可演进式集成安全架构,有效提升安全防护的有效性。XDR(Extended Detection And Response:扩展检测与响应)于 2018 年由 Palo Alto 首席技术官 Nir Zuk 提出,其将 检测范围扩大到终端之外,是一种跨多个安全层收集并自动关联信息以实现快速威胁检测 的方法。XDR 是端点检测与响应(EDR)的自然演进,在发展过程中逐渐结合了安全信 息和事件管理(SIEM)、安全编排自动化和响应(SOAR)、以及网络流量分析(NTA), 集中安全数据和事件响应。面对不断加速的数字化转型和纷繁复杂的网络攻击,XDR 可促 进威胁防御、检测、响应等安全功能之间的协同和互操作,帮助企业提升威胁检测和响应 的效率和效果。
提供更多可见性和背景信息,通过整体检测和响应策略消除安全孤岛。当前,传统安 全系统面临着更加隐蔽、更加智能、更具破坏性的新一代网络攻击,高级威胁的发现越来 越难以通过单一的安全能力来实现。多个安全设备产生的缺乏有效信息的海量告警、孤岛 式安全能力建设的缺陷、现有安全产品自动化能力不高、企业被动的安全防御策略等现实 困境,使得企业急需寻找一种新的网络安全防护措施。XDR 横跨各种端点、网络、SaaS 应用、云基础设施等各种可以处理的 IT 资源,将原本分布于各种检测系统的孤立海量告警 进行整合,通过在各种检测系统之上的数据集成与综合关联分析,呈现给用户更加精准和 有价值的告警,显著提高了安全人员的工作效率。同时,XDR 还具备与单一的安全工具 之间的 API 对接与基础的编排能力,从而能够快速地实施告警响应与威胁缓解。
XDR vs SIEM:SIEM 从企业的几乎所有来源收集大量日志和数据并向安全人员发 送警报,但未考虑数据的有效性,导致安全团队被许多无法分类或调查的警报淹没而忽 略关键警报。此外,即使 SIEM 从诸多来源和传感器捕获数据,它仍然是一种发出警 报的被动分析工具,无法跨多个端点自动协调对网络威胁的一致实时响应。而 XDR 收 集的数据比 SIEM 解决方案所收集的数据更精准,减少了需要大量手动集成和调整的工 作,XDR 还能够分析多个来源的数据以验证警报,从而减少误报和整体警报量,提高了 SOC 的运营效率。另一方面,XDR 可以对网络和端点防御进行主动上下文感知调整以 消除威胁,同时提醒 SOC 团队成员进行调查。综上,XDR 可以改进威胁检测和响应, 使 SOC 实现流程的现代化、集成和自动化。尽管 SIEM 作为收集安全信息和事件最为 全面的手段仍将持续存在,但效率更高、实时性更强的 XDR 方法料将对 SIEM 的适用 场景持续渗透,实现快速的增长。
XDR 成为业内主流发展趋势,渗透率有望进一步提升。2020 年,Gartner 将 XDR 列为第一大安全技术趋势以及 2020-2021 年十大安全项目之一,并表示 XDR 解决方案 将“提高检测准确性,并提高安全运营效率和生产率”。在 Gartner 技术成熟度曲线中, 端点安全和安全运营两个领域在 2020 年和 2021 年都提及了 XDR。2022 年,XDR 站 上了安全运营成熟度曲线顶端,成为安全运营体系中最炙手可热的技术之一。根据 Gartner 的报告,2020 年使用 XDR 技术的组织少于 5%,但 Gartner 预计到 2027 年这 一数字将上升至 40%。IDC 预计,2021 年-2026 年,全球云原生 XDR 市场规模将实现 66.1%的年均复合增速,从 1.7 亿美元快速增长到 21.2 亿美元。
CrowdStrike 成立 Crowd XDR 联盟,驱动行业整合、份额集中。2021 年 2 月, CrowdStrike 宣布以 4 亿美元收购日志管理平台 Humio。传统的日志管理系统会在数据 被摄取时编制索引,而 Humio 的现代无索引架构使搜索大规模数据的速度极快,时效 性和可用性更强。CrowdStrike 的威胁图谱与 Humio 基于无索引架构的日志管理结合, 为其扩展 XDR 功能提供了先进的安全数据平台。2021 年 10 月,CrowdStrike 推出 XDR 模块,同时发起成立 Crowd XDR 联盟,启动合作伙伴包括来自云、Web、电子邮件、 身份、网络、ITOM 等安全和 IT 行业的领导者。该联盟为数据交换建立一个共享模式, 通过特定供应商的安全遥测丰富底层 XDR 数据以进行关联分析。Forrester 报告认为, “XDR 产品的生死取决于良好的 EDR 基础。XDR 提供程序将受到它们所基于的 EDR 的限制。” CrowdStrike 的 Falcon Insight XDR 以行业领先的 EDR 以及威胁图谱为基 础,基于 Humio 引入第三方遥测数据并利用 AI 实现数据、事件和流程的关联,为跨域 调查提供统一的控制台以实现威胁检测和响应。结合公司投资者演示材料及近期财报中 的表述,我们测算得到目前公司 Humio&XDR 产品 ARR 约 0.6 亿美元,新类别产品中 仅次于云安全和身份保护。而在收入贡献之外,我们认为 XDR 产品更大的意义在于建 立起了以 CrowdStrike 为核心的统一数据格式和互相集成的响应流程,这有助于推动各 类点解决方案持续向 CrowdStrike 靠拢,CrowdStrike 亦将借助生态的力量构筑更为强 大的壁垒。
竞争优势:技术领先、生态全面、客群广泛且稳定
技术优势:轻量 Agent+云端威胁图,数据飞轮持续强化竞争壁垒。
轻量级代理与威胁图紧密集成,技术性能行业领先。公司的 Falcon 平台由两个 紧密集成的专有技术组成:易于部署的单一轻量代理和基于云端的动态图数据 库。单一轻量级代理将需要分析的数据发送到云中执行繁重的工作,同时在端 点上保留必需的本地检测和预防能力。这种方法使得 CPU 使用率低于 1%,具 备占用空间更小、无需重新启动主机即可实现快速更新部署、在离线情况下也 能继续工作、对端点性能拖累较小等优势。此外,单一代理还允许公司在不增 加代理的情况下合并其他功能,实现更加简便的升级更新。轻量级代理将端点 数据发送到云中后,基于云端的威胁图以一种简单、灵活、可扩展的方式对数 据进行分析建模。威胁图每周实时处理、关联和分析超过 5 万亿个与端点相关 的事件并创建索引,同时利用 AI、行为分析等方法识别和阻止恶意活动。
立足于云原生架构,灵活性与可扩展性优势突出。在云的时代,越来越多的应 用程序迁移到云端,基于云的架构设计和开发模式需要一套全新理念去承载, 于是云原生思想应运而生。CrowdStrike 的云原生架构将端点安全和云平台合二 为一,相比传统本地部署的解决方案提供更多的灵活性和可拓展性。客户无需 在本地部署硬件设备,可随时按需调配云端资源。通过将扫描和检测引擎驻留 在云中,公司在云端统一对引擎进行持续更新,而不需要向端点代理推送新的 签名或引擎。这种方法也允许 CrowdStrike 在 Falcon 平台中随时添加新功能, 实现技术的快速迭代。部署到云中的本地解决方案需要两个代码库来维护,通 常难以拓展并且面临许多架构限制,在此对比下云原生架构的优势更加凸显。
海量数据具有规模效应,竞争壁垒不断强化。CrowdStrike 每天从所有客户收集 和分析超过 10,000 亿个与端点安全相关的事件,将所有的高保真数据存储在一 个单一模型中并利用海量数据对 AI 算法进行训练。随着客户数量增长, CrowdStrike 将收集越来越多的网络攻击事件,其算法的精确率也会逐步提升, 而更优的防御效果也将进一步吸引更多客户,实现良性循环。此外,从端点收 集的数据经过 AI/ML 算法学习后还可以被其他产品使用,所有功能都基于唯一 数据源推出,不需要额外迁移或补充数据,达到“一次收集,重复利用”的效 果。因此,CrowdStrike 的竞争壁垒也将在数据收集分析过程中不断强化。
客户资源:广泛且高粘性的客户资源,为业绩的持续快速增长提供了坚实保障。 CrowdStrike 不仅覆盖了多个行业的头部企业,其产品组合的灵活性也使中小客户数量的 增长成为可能。
不同规模的订阅客户数量增长强劲。凭借优异的产品性能、丰富的产品模块及 广泛的合作渠道,公司的订阅客户数量持续快速增长,从 2016 年的 450 名增 加到 2022 年的 23,019 名,复合增长率高达 93%。CrowdStrike 不同版本的产 品对应不同的功能和价格,能够有效满足各种规模企业的需求,为订阅客户数 量的增加打下坚实基础。2021 年 ARR 超过 100 万美元的客户数量达到 302 家, 5 年复合年增长率为 98%,ARR 在 10 万美元至 100 万美元之间的客户数量为 2482 家,5 年复合增长率为 75%,ARR 低于 10 万美元的客户数量为 13,541 个,5 年复合年增长率为 116%。
采用模块数量实现扩张,下游客户粘性较强。在通过核心 EDR 产品积累大量优 质企业客户后,公司持续推出新的功能模块;与此同时,CrowdStrike 特有的轻 代理、重云端的架构允许客户在端点无感知的情况下完成新模块的采用,不会 拖累端点性能,亦不会增加 Agent 的数量。基于以上原因,客户采用的模块数 量实现了快速扩张。2017-2021 年,采用 4、5 和 6 个或更多模块的客户占比稳 步上升,新客户订阅模块的平均数量也由 2016 年的 2.0 个上升至 2021 年的 4.7 个。由于 CrowdStrike 本身的优越性能、多功能集成、大数据持续沉淀等特点, 客户在形成使用习惯后更换难度较大,因此下游客户的粘性较强。自成立以来, 公司基于美元的净留存率和总留存率维持在较高水平,净收入留存率持续保持 在 120%以上,总留存率一直维持在 98%以上的高水平。
客户资源优质广泛。公司在下游客户中建立了良好的品牌和技术口碑,获得了 众多行业知名客户的认可。截至 2023 年 1 月 31 日,《财富》100 强中的 65 家、 《财富》500 强中的 254 家、美国前 20 大银行中的 15 家,全球企业 2000 强 中的 526 家企业都采用了 CrowdStrike 的网络安全解决方案。目前,公司已覆 盖德勤、高盛、奔驰、美国联邦政府等客户,优质广泛的客户资源是公司保持 盈利能力的重要基础。
渠道&销售:渠道合作伙伴贡献主要收入,免费试用&无接触销售提升销售效率。公 司主要通过云厂商、系统集成商、MSSP 厂商等渠道合作完成销售,而直销、Freemium 等销售方式作为辅助。
合作伙伴渠道:由于安全产品专业属性较强,合作伙伴渠道是公司合同收入的 主要来源,FY2023 公司通过合作伙伴渠道获得的收入达到总收入的 83%,合 作伙伴来源的 ARR 同比增长超过 50%。公司的渠道合作伙伴主要包括系统集 成商(SI)、托管服务提供商(MSPs/MSSPs/MDRs)、解决方案提供商、云厂 商、嵌入式 OEM 合作伙伴等。公司将继续扩大和投资于合作伙伴生态,扩大在 企业客户以及 SMB 市场的影响力。近期,公司宣布与戴尔建立多方面战略伙伴 关系,戴尔将面向全球范围内的企业客户推广 CrowdStrike 的产品。
直接销售: 除合作伙伴外,公司亦组件了自己的直销团队进行客户覆盖。 CrowdStrike 直销团队由 field sales 和 inside sales 专业人员组成,根据客户的 端点数量再进行细分,有效识别潜在客户。其中,field sales 主要面向价值量较 高的大型企业;inside sales 主要面向中型市场和 SMB。
免费试用加快获客速度,市场营销助力业绩增长。CrowdStrike 从公司网站和 AWS Marketplace 向潜在客户提供下一代防病毒模块 Falcon Prevent 的 15 天 免费试用,大大提升了潜在客户的覆盖范围,能够使得销售团队有的放矢地完 成试用客户的付费转化;同时,公司也在近期推出了新一代电商系统,希望消 除购买过程中的摩擦,推动更高的付费转化效率,而公司也在发布后观察到了 非接触购买的转化率出现了显著增长。另一方面,公司的营销组织致力于建立 品牌声誉,提高 Falcon 平台的知名度并推动客户需求。CrowdStrike 利用搜索 引擎、社交媒体持续加码网站流量,并通过与网络安全行业的领先组织发表演 讲、提供专家建议、定期发布行业报告、组织相关会议、与技术合作伙伴积极 展开联合营销等方法,让客户了解网络安全的威胁并树立公司在行业中的领导 力和品牌形象,帮助客户产生消费需求并第一时间联想起公司产品,从而为公 司创造长期价值。
未来成长性:替换传统产品+渗透现有客户+开拓海外市场+产品模块迭代更 新
替换传统端点安全产品:CrowdStrike 的产品专门用于检测、预防和响应威胁行为, 而不是试图通过识别签名阻止恶意软件。鉴于传统端点安全解决方案的局限性,许多组织 正在用 CrowdStrike 的端点安全解决方案替换现有的传统安全产品,公司也从 Symantec 和 McAfee 等传统供应商手中迅速抢占市场份额。但目前,CrowdStrike 监控端点数远小 于 TrendMicro、Symantec 等传统厂商,仍有较大渗透空间。我们认为,如果 CrowdStrike 能够达到或超过传统厂商的历史用户数量,基于其更广泛的产品模块和更高的 ARPU,公 司市场空间有望进一步扩大。
渗透现有客户:基于丰富的产品,公司不断进行 up-sell 和 cross-sell 渗透现有客户。 当客户部署公司的轻量级代理时,可以在不安全软件和硬件的情况下轻松地激活新功能,公司还提供额外模块的应用内试用以期实现更多的交叉销售。公司估计,根据 2022 财年 17 亿美元的 ARR,如果现有客户购买所有模块,其全平台机会将达到 70 亿美元。在订阅 客户中,目前大约 62%的客户拥有五个或更多模块,39%的客户拥有六个或更多模块,22% 的客户拥有七个或更多模块,我们预计随时间推移将会继续保持增长趋势。
开拓海外市场:2023 财年,CrowdStrike 约 70%的收入来自美国市场,在海外市场方 面仍有很大的发展空间。目前,公司正在增加对海外业务的投资以扩大国际客户基数,包 括增加欧洲、中东、亚太地区的员工人数,扩大当前的海外数据中心等。在欧洲、中东、 非洲和亚太地区,Symantec、McAfee 和 Kaspersky 等传统端点安全厂商仍拥有很高的市 场份额。尤其是,Kaspersky 在德国等地区占据很大一部分的市场份额,由于地缘政治风 险,这些地区的企业未来不太可能继续使用 Kaspersky 的产品。凭借 CrowdStrike 解决方 案的优异表现,其海外市场的开拓将顺利进行,成为公司后续发展的坚实基础。
拓展新的产品模块:基于 Flacon 平台,CrowdStrike 不仅能够交叉销售现有产品, 还 能依靠其云原生架构和单一代理在平台添加快速部署新的产品模块,扩展到更多细分领域。 2020 年 9 月,公司收购零信任公司 Preempt Security,增强基于身份的攻击和内部威胁的 保护;2021 年 2 月,公司收购日志分析公司 Humio,为 XDR 提供业界最先进的数据平台; 2021 年 11 月,公司收购 SecureCircle,扩展零信任产品以实施零信任数据保护;2022 年,公司收购 Reposify 为 Falcon 增加一个集成的外部攻击面管理平台。目前,云工作负 载保护、身份保护和 XDR 都是公司未来发展的重点领域。由于 CrowdStrike 产品是集成 的,每一个新模块都能为客户提供更强大丰富的安全保护,不同产品模块之间也可能产生 协同效应。例如,Reposify 使公司能够提供 IT 灰色区域或客户可能不知道的暴露区域的 额外数据,这些数据可以帮助 CrowdStrike 更好地解决漏洞管理、XDR 和云安全等领域的 问题。
小结:上市之初,公司提出了对于运营指标的目标,即希望在 FY2021 实现 77%-82%+ 的订阅毛利率、7%-9%的管理费用率和 30%+的 FCF Margin,希望在 FY2025 实现 30%-35% 的销售费用率、15%-20%的研发费用率和 20%-22%+的营业利润率。目前,公司对于FY2021 的目标均已按时或提前完成;对于 FY2025 的目标中,销售费用率和研发费用率 的目标已于 2023 财年提前完成。而我们预测,公司对于营业利润率的目标亦将在 FY25 如期实现。与此同时,公司在 2022 年投资者日上亦给出了在 FY2026 实现 50 亿以上 ARR 的目标,我们对公司中长期的高速成长抱有信心。
(本文仅供参考,不代表我们的任何投资建议。如需使用相关信息,请参阅报告原文。)
