深度：Palo Alto有望成为网安领域首个千亿美元公司

最初被视为一场葬礼的预演，最终却演变成全球最大网络安全公司的一场经典成功力作。

当Palo Alto Networks将其2023年第四季度财报发布时间安排在一个星期五下午时，人们开始产生疑问。这些疑问引发了投资者对不佳业绩和降低的业绩指导的担忧。担忧转化为行动，导致PANW的股价下跌：

从那时开始，疯狂的猜测蔓延开来，包括关于CEO Nikesh Arora即将辞职的“谣言”：

这一系列离奇的事件为Palo Alto Networks 2023年第四季度财报电话会议的壮观表演铺垫了道路。在网络安全领域，我从未见过类似的情况。在电话会议之前的不确定性，以及对公司和行业未来的意外而深思熟虑的叙述，真是一场事件的转折。Nikesh Arora甚至承认了这种情况变得多么独特：“我们选择星期五显然让我们在过去的两周成为当今的话题，并使分析师的各种观点变得非常有趣。”

可以说，这一举动（无论是否故意，可能是故意的）引起了极大的关注：

与Nikesh Arora时代的五年（仍在继续）一样，Palo Alto Networks以壮观的方式交出了答卷。尽管有一些看跌的分析师估值和尤其是有关末日情景的疯狂猜测，第四季度和2023财年的收益状况都还不错，2024财年的预测也如期而至。

真正的故事在于Arora和他的团队为Palo Alto Networks和网络安全行业的未来描绘出来的愿景。对于一家公司来说，表达如此明确的观点是罕见的。更罕见的是，他们在一个星期五下午的财报电话会议上这样做。而观点如此卓越，更是极为罕见。

从技术上讲，这个事件是一个财报电话会议，但其影响远远超出了财务数据。理解Palo Alto Networks的观点，是对推动行业未来的几个最重要主题的动态反思。

将「平台化」视为战略优势

Palo Alto Networks正在进行（并希望进行）的一切工作的基本理念是平台化。如果你对流行语感到反感，不要被这个术语吓到。我认为他们在最纯粹的意义上使用了这个词：将复杂的产品和功能集成到一个具有统一数据和管理的平台中。回报是一个端到端的平台，其价值大于其各个组成部分之和。

"平台化"和"整合"之间存在重要的区别。包括其他大型网络安全公司在内，行业内的许多人在过去几个季度里一直在谈论整合。在这个背景下，他们指的是客户减少与之合作的安全供应商的数量。供应商整合是关于成本节约，而不是价值。

平台化的动因非常不同。它几乎不同于供应商整合。平台化与成本节约几乎没有关系。它可能导致产品和供应商整合，从而产生附带的成本节约。动力是为使用平台的公司提供更好的安全结果和价值。

这个区别在实践中意味着什么呢？整合≠平台化。仅仅因为你从同一家公司购买多个网络安全产品并不意味着这些产品是集成的或能够很好地协同工作。

平台化超越了整合。它是一组有意识的活动，旨在整合产品并释放没有整合平台无法实现的价值。这是一个飞轮效应-随着时间的推移，小而逐渐的胜利（新功能和模块）积累起来，创造出越来越好且更有价值的结果。

Palo Alto Networks的领导团队在解释各种产品的挑战并为平台化的优势辩护方面做得很出色。Nikesh Arora表示：

"五年前，我们的客户拥有的网络安全供应商多于IT供应商。而且客户有责任将这些供应商部署到他们的基础设施上，使它们协同工作以提供安全结果。

您可以期望在全球2000强企业中，或者可能有上万家客户，会拥有网络安全专家，试图将由高速增长的网络安全公司制造的产品进行整合。这些产品都是技术含量深厚的，需要弄清楚如何将一个供应商看到的内容或一组供应商所提供的信息与另一个供应商看到的内容进行关联。这似乎是一个无法解决的问题。

但是在过去的五年里，您会看到，开始将这些解决方案逐渐整合在一起，开始将这些各不相同的安全解决方案提供在一个共同的框架中，实际上使我们能够提供更好的安全结果。

而且，通过以这种方式进行，我们已经证明了每个组件都以最佳品牌的方式工作，都在其各自的类别中处于领先地位。然而，它们在平台上一起运作更好。"

Palo Alto Networks首席产品官Lee Klarich还提供了更多观点：

我们所做的一切都是集成的。它旨在通过集成来解决那些不能通过单一产品解决的难题。这种组合使我们的平台具有实时性，为我们的客户提供了实时的安全结果。

你可能会问，“单点产品有什么问题？在网络安全领域，我们一直在使用它们。”此外，有人对庞大的平台也存在负面看法：组成平台的个别产品不如单点解决方案。我认为Lee Klarich对这种紧张关系的解释很有见地：

“以前的尝试通常需要客户做出取舍。它们在尝试构建平台时提供的功能通常不是业界领先的。因此，客户不得不在更差的功能但在一个地方的选择，或者选择最佳的功能，这在网络安全领域是一个困难的取舍。这是我们不要求客户做的一件事。我们确保我们所做的一切在其自身领域都是业界领先的。

第二件事是确保当我们进行集成时，它们确实是在解决那些不能作为独立功能解决的难题中进行集成的。因此，这不仅仅是关于整合，尽管这是一个明显的价值。它是通过整合实现技术结果，否则无法实现的技术结果。”

构建一个拥有业界领先的最佳能力的平台就像想要又要吃蛋糕，这是一项难以实现但如果成功就会非常强大的任务。Palo Alto Networks是为数不多（也许是唯一一个？）能够在多个产品领域规模化构建最佳能力平台的网络安全公司之一。

Klarich关于集成平台价值的第二点也很重要。有一个原因使得网络安全服务成为一个800亿美元的市场（根据PANW在这次财报电话会议上的数据）。集成安全产品是困难且昂贵的。在前期有意识地进行产品集成，而不是将其留给客户自己来解决，这是一项改变游戏规则的举措，即使系统集成的繁琐工作并没有引发你的兴趣。

集成只是一个开始。解锁无法在没有集成平台的情况下实现的安全问题的能力是一场革命。在没有共同数据基础和一套在其之上运行的检测机制的情况下，要可靠地检测攻击，尤其是主动检测攻击，是不可能的。这只是一个例子——我们仍然在摸索，如果我们有一个集成平台来开始，而不是试图集成一切，我们将会取得什么样的可能性。

从更长远的角度看，Nikesh Arora进一步阐述了平台化的影响，预测未来十年将出现标准的安全平台：

在接下来的十年里，我们将会看到一种标准的安全平台，就像我们在CRM领域看到的平台，或者在人力资源领域看到的平台，正如你在财务软件领域看到的平台一样。

我们认为，在未来的十年里，我们将看到一个适用于我们客户的安全平台，而客户不必花时间来集成多个供应商，试图自行整合...这是我们实现实时和基于人工智能的安全所需要的唯一方式。

想象一下，如果你是乐观的，这个愿景就非常可能实现。之所以难以想象一个标准的安全平台，是因为它真的很难构建。Nikesh Arora和Palo Alto Networks正在进行网络安全领域的重建，类似于建设新加坡：重新构想一切，推动可能性的边界。

他们能够成功吗？时间将告诉我们——但你必须钦佩他们尝试的大胆。

将「real-time security实时安全」变为现实

实时安全是平台化理念的基础。Nikesh Arora对此进行了精辟总结：

这个理念是，当某些事情正在发生时，你能够实时、即兴地分析它，并理解它是好还是坏。这通过消除所有这些过于密集的警报或糟糕的信号噪音比，来减少了安全领域的噪音。

作为一个行业，我们已经很长时间以各种形式讨论实时安全的概念。诸如自适应认证、持续合规性和传统的防病毒扫描器等概念都是相同范式的变种。

再次强调，不要被流行语迷惑 - 底层的理念很重要。Nikesh Arora这样解释：

我们认为未来需要的是安全能够在恶意行为发生时实时中止，就在事件发生时， 我们作为一个行业仍然不擅长的是能够识别未知事件并在它们发生之前阻止它们。

为了做到这一点，需要以根本不同的方式思考安全... 这就是拥有可以从端到端工作的产品的理念。

在网络安全领域存在已久（甚至更久）的问题是，我们一直在努力缩小恶意事件发生、检测和缓解之间的差距。从正式的角度来看，这是MTTD（威胁检测时间）和MTTR（威胁响应时间）的定义。Nikesh Arora的预测是向结果、成果和速度的转变：

不再只是关于部署一堆传感器和考虑健康和安全策略。问题将是如何阻止恶意行为。我们将会更多地谈论这一点，因为今天，修复恶意行为的平均时间...是四到六天。这是不可接受的。这个时间将不得不缩短到几分钟和接近实时。

这个趣闻与从基于承诺到基于证据的安全的转变完美契合。仅仅宣称某事是“安全的”已经不再足够。我们必须证明它是安全的，并且必须在实时进行。

实时安全一直面临的挑战一直是“如何做到？”正如他所说，Nikesh Arora在回答这个问题时提出了一个强烈的观点：

现在我们正处于每个人都在谈论人工智能的阶段。实际上，那就是解决方案。解决方案是确保您摄入大量数据，即时分析它们，并能够提供卓越的安全性。

在高层次上，这个“如何”就是平台化和人工智能。任何稍有技术性的人可能对这个答案既感到好奇又不满意。Gonen Fink也提供了帮助：

我们需要用一个统一的单层架构取代这种碎片化的架构。我们需要用一个单一的数据平台取代收集数据的多个产品，用一个AI引擎取代基于数据中心的孤立检测工具。然后，自动化应该被自然地集成到流程中，而不是被视为事后添加的。

这一想法，开始初步体现，比如：

构建这样一个实时安全平台确实是一项艰巨的任务。但是，他们是正确的：我们确实需要对安全运营进行根本性的转变。Palo Alto Networks全力以赴，朝着这个未来努力前进。根据Nikesh Arora的说法，这个目标可能并不遥不可及：

我们必须确保我们拥有的每个平台都继续增长，继续与我们的客户变得越来越普及，同时还要将这些东西串联在一起。因此，我们相信在未来的五到十年内，我们将会看到这种转变，这将是可以感知到的。

要实现接近于整个公司安全体系的实时安全，这是一项突破性的成就。怀疑论者可能认为这是不可能的。他们可能是对的，但当你试图成为第一个市值达到1000亿美元的网络安全公司时，你就需要采取这些举措。

「云安全」和「应用安全」的融合

云安全和应用安全的融合并不是一个全新的想法，但我们肯定仍然处于早期阶段。这一宏观层面的趋势构成了Palo Alto Networks战略的重要组成部分。他们是少数几家具备所需规模和创新能力的公司之一。

Gartner对云安全和应用安全融合的术语是Cloud-Native Application Protection Platform（CNAPP）。以下是他们的定义：

CNAPP解决了云原生应用程序的全生命周期保护需求，从开发到生产。

首先，坏消息是：构建一个完整的CNAPP非常困难。在实际操作中，构建一个CNAPP意味着要在开发、构建（CI/CD）和生产的大部分堆栈（应用程序、工作负载、网络）上执行基本上每个安全功能。在市场术语中，构建一个CNAPP需要将5-10个其他市场合并到一个平台上。

Gartner最新的《云原生应用程序保护平台市场指南》中有一张图形，很好地解释了这种情况：

毫不奇怪，目前没有任何一家公司成功构建了一个完整的CNAPP。根据Gartner的说法：

目前没有单一供应商提供所有[完整CNAPP的]功能。CNAPP解决方案正在多个提供商中不断涌现，通常是从不同的出发点开始。

Gartner不会为像CNAPP这样的新兴市场制定魔力象限图，因此Palo Alto Networks被列为“代表性供应商”，与其他几家公司一起列出。在代表性供应商中，Palo Alto Networks在提供完整CNAPP的道路上走得最远。

以下是Palo Alto Networks在财报电话会议的前瞻性环节中描述的问题领域（由Ankur Shah提供）：

在代码阶段，有大约六种不同的工具用于扫描安全状况。在基础设施层面，您还有另一组工具。最后，在运行时，您需要用于云工作负载保护、网络安全和应用安全的工具。现在，这不是解决这个问题的正确方法，原因有两点：第一，每个工具都缺乏上下文。因此，客户不得不将所有这些工具串联在一起。

第二，正如Lee所描述的，有3300万开发人员和极少数了解代码和云的安全专业人员。采用这种具体方法，安全团队根本无法获胜。

我们认为有更好的方法。这正是我们在过去四年中坚决执行的方法，即采用集成的Code-To-Cloud代码到云的平台方法，可以帮助客户几乎实时地预防风险和突破。

在Palo Alto Networks的术语中，应用安全和云安全的融合被称为“Code-To-Cloud代码到云”。CNAPP和更多模块都包含在Prisma Cloud产品范围内。他们的“Code-To-Cloud代码到云平台”方法是我们之前讨论过的平台化和实时安全概念的一个具体示例。以下是它的工作原理：

Prisma Cloud目前通过在应用程序生命周期的每个阶段扫描安全漏洞，以及具有运行时保护功能，可以防止运行时发生违规事件。

Prisma Cloud起初是一个云安全平台，由2018年收购Evident.io和RedLock启动。在应用程序安全方面的建设和收购结合（包括最近收购的BridgeCrew和Cider）已将Prisma Cloud扩展到CNAPP和更多领域。

他们的代码到云策略进展如何？在FY23财报电话会议上，Nikesh Arora分享了Prisma Cloud自2019年5月首次推出以来，已经超过了5亿美元的ARR收入。不到五年的时间从零增长到5亿美元ARR是一个惊人的增长，超过了其他一些公开网络安全公司的总ARR。

在CNAPP市场出现明显的赢家之前，还有很长的路要走 - 或者CNAPP市场是否完全实现。网络安全领域的许多最佳公司都在争夺这个市场。这绝对是一个值得关注的市场。

AI在安全运营（以及更广阔领域）中的作用

在Palo Alto Networks的FY23财报电话会议上，讨论的最引人注目的观点之一，是AI在安全运营中的作用。这个话题也恰好是我们整个行业中最重要的话题之一，所以让我们深入探讨一下。

"人工驱动的SOC架构不起作用"无疑是Palo Alto Networks在当前形势下的明确立场的一个更为清晰的指示：

以下是Nikesh Arora的更多评论：

最大的机会是安全运营和自动化，因为我们认为当前的范式是有问题的。当前的范式是一种反应式安全范式。这种范式下，我们只能说，让我们再雇佣三百万人来解决安全问题吧。

不，我认为这不会解决问题。解决问题的方法是：让我们收集好的数据。让我们分析好的数据。让我们找出异常行为。让我们在它发生时阻止它，这样我们的客户就会获得更好的安全结果。我认为那就是我们要走的路。

一个由软件能力驱动的未来，一个由软件解决方案与安全性驱动的未来，以及一个以集成作为关键原则，旨在提供实时自主安全结果的未来。这是我们认为世界正在前进的地方，也是我们希望去的地方，我们认为我们在行业中最有可能能够实现那个未来。不仅如此，还能为我们的客户提供出色的安全结果。

这是一个非常激进的观点吧？当Palo Alto Networks在2022年2月宣布推出Cortex XSIAM平台时，自主SOC的概念遭到了广泛批评。

如果字面上理解，完全自动化的安全运营的想法可能看起来离谱。在自动化的信仰程度上，我会称自己为现实主义者。我在Tessian的一篇文章中提出了一个框架，以帮助指导有关自动化决策的文章，正好是在Cortex XSIAM发布之前不久（巧合）：

XSIAM完美地符合这一模式。它是增强和自动化的平衡，取决于风险：

自动化在前期用于分析更多数据并评估其相关性。风险较低的事件会自动进行分流。风险较高或未知的事件则移至增强象限。它们将由人类在技术的协助下进行评估，以提高调查的速度和准确性。

自动化和增强的结合提高了覆盖率（更高比例的事件得到处理）和更快的速度（MTTR从天/月减少到小时）。当然，这个例子是最佳情况，但这种情况需要更频繁地变为现实。

从业务角度来看，我可以用来反驳怀疑者的最好的例子就是"给我看看销售渠道"。这是普华永道前网络安全实践负责人经常在他面前呈现出明确但通常还不成熟的新想法时说的话。如果你不能展示出一条明确的客户渠道，说明有潜力的产品没有市场。

于是，Nikesh展示了销售漏斗。以下是来自FY23财报电话会议的对这个思考实验的回应：

我们去年十月份推出了XSIAM，并设定了在第一年内完成100多亿美元的积累的积极目标。今年还没有结束。我们已经在XSIAM中完成了2亿美元的积累。

这充分验证了我们基于结果的XSIAM价值主张在安全组织中得到了很好的回响，也表明将AI应用于转变安全运营的兴趣非常高。

XSIAM正成为我们原始的下一代防火墙发布之外增长最快的产品。XSIAM的交易规模大，周期长，有助于进一步实现我们的目标，将我们与客户的关系从供应商转化为合作伙伴。

这就是销售渠道的答案！完美的回应。不到一年时间从零增长到2亿美元的积累无疑是令人难以置信的。特别是在公司同时继续构建另外两个十亿美元业务和一个半亿美元业务的情况下。

XSIAM的爆发性增长是为什么发生的？部分原因在于自动化的承诺。客户正在押注潜力。收入是我们判断进展的最佳指标之一，而网络安全买家则用他们的钱包投票。

我们仍处在通过自动化转变安全运营的早期阶段。如果XSIAM的第一年是未来的一个标志，我们可能会完全改变安全运营。

从销售产品转向合作解决方案

在电话会议上分享的最重大突破可能看起来也是最平凡的：公司在市场推广方面的思维方式转变，从销售产品转向合作解决方案。

不要让这种转变的简单性欺骗了你。它的执行非常困难。如果成功，其影响可能比任何其他闪光话题更有影响力。

以下是电话会议上分享的GTM（市场推广）转型摘要，由BJ Jenkins分享：

Jenkins的观点相对简单易懂。但当你开始思考实施所需的细微差别以及成功后的潜在影响时，它会显得非常深刻。

大多数网络安全产品公司都是交易性的，以及上面列表中的其他所有事情。他们销售产品，然后让客户自行决定产品如何融入其各自安全项目的战略和架构。

而优秀的专业服务公司采取了相反的方式。他们是客户的战略伙伴，以及上面列表中的其他所有事情。他们与客户一起共同创建战略和转型旅程。作为战略的一部分，他们构建了预期结果。然后才进入诸如供应商选择、实施路线图以及为实现结果所需的其他一切等具体策略。

这些方法的差异是像埃森哲、普华永道、德勤等大型专业服务公司的收入比99%的网络安全产品公司要高出几个数量级的原因。最优秀的专业服务公司在帮助客户方面是世界一流的。

有许多原因导致产品公司难以成为战略合作伙伴并专注于结果。其中一个最大的限制是拥有足够规模和产品广度，以正确构建结果并捕获足够的价值，以使努力变得有价值。

制定一个良好的战略，一个实施计划，并表现良好以实现良好的结果是非常困难的，除非你亲自尝试过，否则很难理解。企业安全计划的规模和范围通常如此之大，以至于单个点产品几乎不值一提。当你处于点产品的一方时，要被视为战略合作伙伴并让客户听取你的意见是具有挑战性的。

这就是如果你是一个具有单一产品的点解决方案，为什么很难构建结果的原因。像Palo Alto Networks这样的规模化、多产品公司更有能力构建结果，因为它们拥有数十种产品和广泛的合作伙伴关系。它们从它们帮助构建的结果中获得更多的价值。这是可能的，因为它们可以提供更多，这意味着客户更有可能将它们视为战略合作伙伴。

Palo Alto Networks演示文稿中的一张图形很好地解释了这个概念和机会：

扩展广度和深度（“占领和扩展”）是每个网络安全产品公司都希望实现的结果。从销售产品转向合作解决方案是实现这一目标的方法。如果Palo Alto Networks成功，他们将获得显著的财务回报，以及在当前网络安全行业中很少见的客户价值水平。

如果「广泛的平台化」和「实时安全结果」成为现实会怎样

如果像广泛的平台化和实时安全这样的大型想法成为现实，那很可能意味着网络安全领域已经实现了几项重大成就：

• 一个集成的网络安全平台，其中包含多个领先的产品类别

• 从统一的数据层中展示了价值并改进了安全结果

• 在安全运营的覆盖范围和自动化速度方面取得了有意义的进展

Palo Alto Networks的未来不是一个整合的故事。它要实现的目标更大，也更难实现。而且最终状态更具有防御性。平台化是通过深思熟虑的产品战略、集成以及应用新的人工智能和机器学习超级能力来解决领域特定问题的漫长而艰难的道路。

问题领域和目标客户明显是企业，至少目前是这样。小型和中型市场业务部门可能会继续将点产品组合在一起，特别是当这些产品已经具有彼此的预构建集成时。

在不同的客户细分市场和产品类别中，我们可能会看到平台化以较小的规模发展。你可以认为像Okta这样的公司已经在身份验证领域做到了这一点。Cyvatar（中型市场和中小企业）、Agency（企业和个人）等公司也在不同的客户细分市场中做同样的事情。

实时安全也开始变得可能。像云安全态势管理（CSPM）、身份威胁检测和响应（IDTR）等领域的崛起是实时安全产品新浪潮的先行指标。

最终，这些产品将从初创、新兴的类别逐渐发展成为所有人都进行安全操作的方式。实时安全是不可避免的，唯一的不确定性是我们需要多长时间才能实现这一目标。

如果广泛的平台化和实时安全结果成为现实，Palo Alto Networks会发生什么？他们将成为网络安全领域的第一个1000亿美元的公司。

他们的FY23财报电话会议是公开宣布实现这一计划的盛大演绎。在过去的五年中，Palo Alto Networks的成功使他们处于一种罕见的地位，能够利用只有在他们今天的规模和动力下才可能实现的优势。无论成功与否，他们已经提高了我们在网络安全行业中的标准。

更多详情，请获取PPT阅读了解。

「Palo Alto 战略PPT」获取方式如下：

1.关注【安全喵喵站】公众号

2.后台发送报告关键词【PA】即可获取下载链接

原文链接：

https://strategyofsecurity.com/the-audacious-future-of-palo-alto-networks

声明：本文来自安全喵喵站，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。