今年早些时候,我跟朋友Rak Garg写了一篇关于Palo Alto崛起的文章,探讨了他们成为首家千亿美元级安全公司发展之路。
那份报告已经发布了9个月,所以我想写一篇关于Palo Alto(PANW)如何实现这一目标的最新报告,并探讨一下他们的平台整合战略。PANW最近结束了2023财年的工作,并在该财年举办了中期投资者更新报告会。在这次报告会上(之前的报告会很有戏剧性),他们向投资者介绍了他们的战略愿景,并向我们提供了有关其业务健康状况的大量数据。
今天的文章将对这次演示和最近的财报电话会议进行分析。我将深入分析PANW的三大业务组合,以及他们在网络、安全运营和云安全领域创建网络安全平台的方法。
关键摘要:
平台整合是2023年整个软件行业的主旋律。特别是像网络安全这样的分散行业,有4000多家供应商和30多个子市场类别,我在上一篇文章中已经讨论过这一点。然而,我们很少看到任何分析来定义或阐述这种平台整合在企业中的实际表现。最近,PANW为我们提供了三个大型安全市场的案例。
让我们回顾一下,近六年前,Palo Alto曾是一家以防火墙软件著称的安全公司,在新市场的扩张以失败告终,首席执行官也多次更换。然而,自从Nikesh Arora于2018年接手以来,他们已经成功地从核心防火墙扩展到三个平台。这些平台可分为网络安全(防火墙和SASE)、云安全和Cortex安全操作中心(SOC)平台。
事实证明,这一战略是成功的,如今,Palo Alto的下一代安全产品(即云和软件产品)的收入已超过32亿美元,目前占收入的比例略低于40%,预计在未来2-3年内将增长到50%以上。在这些较新的平台中,SASE的总收入已超过10亿美元,Prisma Cloud的总收入超过5亿美元,Cortex SOC业务的预订额已达到10亿美元。
下一个决定Palo Alto成败的重要增长动力,是他们在未来3-5年内对SASE和XSIAM 2.0业务组合的执行情况。SASE是一个竞争更加激烈的市场,但也是安全领域规模最大、增长最快的市场之一。他们对如何在这一市场开展业务有清晰的路线图,但在XSIAM方面就不那么清晰了。XSIAM业务是一个新产品,它整合了安全运营中的许多点解决方案,但客户对它的大规模反应如何,还存在许多未知数。尽管如此,该产品几乎没有竞争对手,这意味着如果他们能打入这一市场,将创造大量机会。
在最近发布的2024财年第一季度业绩报告中,他们展示了为什么他们正进一步接近成为首家千亿美元级的安全公司。他们报告的季度收入为18亿美元,预计2024年全年收入将增长到82亿美元,同比增长率约为20%。这一增长与强劲的底线指标相结合,非美国通用会计准则利润率为26%,自由现金流利润率为38%,证明了他们的一些做法是行之有效的。
值得注意的是,这是PANW第一个季度的业绩表现明显优于Fortinet、Checkpoint、思科和Juniper等许多网络同行,它们的增长都是个位数/削减收入增长。本季度的业绩进一步证明了PANW已从传统的安全厂商中脱颖而出,并应与ZScaler和Crowdstrike等新兴厂商更紧密地归类。
围绕PANW的核心故事是平台化,将多点解决方案整合到一个中央平台上,并向其多年来建立的6万名庞大客户安装群进行倒卖。从最近的指标来看,这一战略似乎进展顺利,我们将在下文逐一探讨。
网络安全的平台化
在网络安全领域,我们经常听到供应商整合的说法,但几乎没有任何成果。企业使用的安全工具平均数量从30多种到60-70多种不等,这取决于企业的规模。此外,管理这些不断增长的工具的安全人才也非常缺乏。
Palo Alto终于以实际案例向我们展示了什么是安全平台、以及由此产生的结果。事实上,Palo Alto并没有将其战略仅仅称为整合多个安全点解决方案,而是将其战略称为平台化。这意味着什么呢?我的朋友科尔-格罗姆斯(Cole Gromus)写了一篇题为《Palo Alto的大胆未来》(值得一读)的好文章。他区分了平台化和供应商整合。
整合≠平台化。供应商整合的重点是节约成本,而不是价值。平台化的驱动因素截然不同。它与供应商整合不同。虽然平台化可能涉及产品和供应商的整合,但省钱只是副产品。主要驱动力是为使用平台的公司实现更好的安全成果和价值。平台化不仅仅是整合,还包括有意识地整合产品和释放价值的活动,如果没有整合的平台,这些活动是不可能实现的。
PANW的平台化是一种更加精打细算的平台建设方式。因此,平台化和标准化是一个亟待解决的问题。值得注意的是,由于网络安全的架构各不相同,因此必须有一个平台来覆盖网络安全的所有领域。相反,平台化只能发生在网络安全的细分领域。例如,Crowdstrike可以很容易地整合安全分析和端点领域的产品,Okta也可以很容易地整合身份访问管理(IAM)和邻近身份市场的产品,而不是由Crowdstrike或Okta来涉足防火墙这样的新市场。实现这一目标的唯一途径是进行大规模收购,但要将这些收购并入一个集成平台仍是不可能的。因此,通过关键细分市场实现平台化是明智之举,而这正是Palo Alto正在做的事情。
Nikesh2018年被任命为CEO时,在他的第一次公开访谈中就谈到,虽然他不具备网络安全方面的技术能力,但他广泛的领导经验,从领导软银到在谷歌早期领导市场营销,以及在T-Mobile担任财务方面的领导职务,都将对Palo Alto利用其在防火墙方面的优势创建一个大型安全平台起到关键作用。到目前为止,Nikesh已经兑现了这一承诺,其股价目前处于历史高位,自2018年以来的表现比一些领先的科技公司高出300%。其成功的很大一部分原因在于他们拓展了更多新市场,并兑现了建立安全平台的承诺。从他们最近的两次财报电话会议/投资者推介会上,我们获得了很多关于这一平台化战略的证据。让我们深入了解一下。
Palo Alto的平台
Palo Alto凭借其最初的防火墙产品找到了产品与市场的契合点,随后将业务扩展到安全运营(SecOps,SOC)领域,并最终扩展到云安全领域。公司发现,从产品到平台的过渡最初充满挑战,2014-2018年间的早期收购未能有意义地增加新类别的市场份额。如今,PANW在三大领域提供30多种产品:
1.网络安全(零信任):该产品组合专注于提供网络服务和网络安全。该平台的未来TAM估计,在未来两年内,围绕SASE的更多基于云的零信任网络服务将继续增长:
A.核心防火墙产品(硬件、软件和虚拟防火墙形式)。
B.安全访问服务边缘(SASE)业务。
2.Prisma云安全(从代码到云):Prisma Cloud有12个以上的模块,侧重于从开发/构建到保护云基础设施和云上运行时工作负载的代码安全。该平台的TAM依赖于在云上构建和部署的新应用程序的激增,因为更好的人工智能代理可提高开发人员的工作效率。
3.安全运营中心(自主SOC)平台:Cortex业务的核心是提供优化安全分析师工作的产品和服务。这是最大的TAM,因为它包括XDR、EDR、SIEM、SOAR和EASM市场规模的组成部分。PANW的愿景是创建一个由人工智能驱动的集中式平台,该平台可以统一大多数解决方案,从而优化SOC的工作。
在我与Rak合作的第一篇文章中,我们介绍了这些业务部门的历史、演变过程,以及取得今天成就的关键收购。请点击如下链接阅读。在本报告的其余部分,我将介绍这些业务在过去几个月中的最新进展。
(https://softwareanalyst.substack.com/p/the-race-to-100b-the-palo-alto-networks)
迄今为止的平台之旅
网络安全(零信任)平台
1)核心防火墙产品
Palo Alto的核心产品一直是防火墙。复习下防火墙知识:防火墙存在于企业的内网应用程序、网站、员工、校园(图片左侧)和互联网(图片右侧)之间,用于过滤和控制数据流;如果没有防火墙,任何人都可以通过互联网直接访问公司的内部网络。PANW的防火墙/网络安全可分为以下功能。
1.硬件防火墙产品可确保数据中心和校园的安全。
2.确保云网络安全的软件防火墙业务。
3.SASE,可确保混合工作和远程分支机构的安全。
PANW防火墙业务一直保持低个位数增长。他们的产品收入涵盖了以硬件为中心的大部分防火墙业务,预计在24财年将达到16亿美元,同比增长约4%,没有太大的增长空间。
过去,甚至在老式企业中,当用户主要在办公室而应用程序在数据中心时,网络安全是由集中式防火墙提供的。然而,随着越来越多的工作负载迁移到云,越来越多的数据中心被虚拟化,许多公司正在转向虚拟防火墙和SASE等网络架构。因此,硬件防火墙只会越来越少。
管理层重申,他们预计不会有太大的增长,因为他们认为防火墙的可寻址市场在未来5年内将以较低的个位数增长率增长。没有必要高度关注这项业务,因为管理层预计不会在此进行更多投资,而且随着时间的推移,预计这项业务与公司的核心重点将失去关联性。我认为,他们应该在未来3-5年内退出这项业务,并将所有资源分配给SASE。
2)安全访问服务边缘(SASE)
SASE是企业网络安全的未来,这个市场将是PANW千亿美元故事的核心(如果不是主要)部分,因此,我有必要在这里进行更深入的探讨。
SASE Tailwinds
Gartner预计,SASE市场的年增长率将达到29%,到2027年将超过250亿美元。目前,SASE是增长最快的安全类别之一,这主要得益于几个方面。SASE允许将许多较小的网络安全工具整合到一个较大的SASE伞下。例如,SASE将 SWG、FWaaP、CASB等产品整合为一体。随着云技术的采用和混合型员工的增加,企业正在寻找方法来安全高效地扩展其网络安全基础设施,而无需在访问互联网时通过集中式数据中心重新路由流量。分支机构和卫星办公室的增长是另一个顺风因素。一般企业在分支机构或卫星办公室拥有更多用户,这种增长的部分原因是向新市场扩张或收购小公司。
PANW应该全力以赴
PANW最新报告称,SASE业务同比增长60%,总收入超过10亿美元。他们还发现,在500万美元或以上的网络安全交易中,有35%包含SASE,而一年前这一比例还不到10%。正如前面简要提到的,我认为随着时间的推移(3年内),PANW应该将硬件防火墙业务的所有资源都部署到SASE上,并充分利用这种发展势头。
在SASE中,PANW的市场份额仅次于Zscaler(其ARR为19亿美元)。不过,PANW可以利用其卓越的网络能力(SD-WAN)赢得更多市场,尤其是在公共部门(根据其S1文件,他们在公共部门的市场份额约为12%)。今年8月,他们被评为单一供应商SASE的唯一领导者。今年早些时候,他们在Gartner的SSE魔术象限和Forrester的零信任边缘浪潮中被评为领导者。这些荣誉的获得大多是由于他们的联网/NGFW功能与SSE核心功能的完美结合。
Talon Security扩大了SASE的机会
对Talon Security的收购将进一步扩大其在SASE领域的市场机会。一直以来,公司都将一种名为"远程浏览器隔离"(RBI)的技术作为SASE解决方案的一部分。RBI在网络/端点层面发挥作用,将终端用户的浏览会话与本地网络和设备隔离开来。它可在用户/员工浏览互联网或访问公司应用程序时提供保护。这种隔离可确保在浏览网页时遇到的任何恶意内容都不会进入用户的设备或企业网络。RBI与SASE相辅相成,企业可以在所有网络流量中一致地执行安全策略,与SASE的集中策略管理保持一致,尤其适用于拥有许多远程非托管设备和承包商员工的企业。多达36%的员工将自己归类为独立工作者,许多人在为企业提供咨询时使用的是非托管设备。此外,员工越来越多地使用个人设备访问业务应用程序。安全团队不得不以安全风险为代价,或采用虚拟桌面基础架构(VDI)等繁琐的技术,从而在员工的灵活性上难以取舍。收购Talon有助于解决这一问题。Talon拥有下一代新兴企业浏览器产品,与Prisma SASE结合后,用户可以从任何设备安全地访问公司资源,同时保持较高的员工体验。
总结下PANW的SASE机会,正如Gartner的排名所强调的那样,PANW的竞争优势在于其单一供应商产品,即在一个中央架构中结合网络和安全服务的能力。他们的许多竞争对手,如Zscaler或Cloudflare,都没有PANW多年来建立的这种网络骨干(围绕SD-WAN)。大多数安全支出占比较高的大型企业都属于公共部门或金融/保险垂直行业,它们仍然依赖混合方法来实施SASE。PANW在赢得这些垂直市场方面占尽先机,因为这些企业拥有新旧混合的网络架构。对于一个增长近30%的市场,再加上PANW约两位数的市场份额,没有理由不在未来2-3年内将其打造成一个总收入超过30亿美元的业务。
网络安全零信任平台
PANW在其网络产品组合中的最终愿景,是创建一个集中式零信任网络安全平台,将这三种产品(防火墙和SASE)集中到一个统一的管理平面中。这意味着网络团队可以更轻松地控制、配置和统一分析进出企业的流量。
客户仍然可以根据自己的需要各买一个,但现在所有的东西都集成到了一个安全堆栈中。他们强调,30-35%的防火墙是软件,这意味着硬件仍占很大一部分。在这里,我唯一的问题是要了解将硬件和软件防火墙与SASE结合在一起并加以实施的难度有多大。虽然这些技术非常相似,都是在网络层面运行,但我认为很难做到"零信任",尤其是在有硬件防火墙的情况下。我认为一切都会朝着SASE的方向发展,在未来5年内,他们会退出硬件防火墙业务,或者变得无关紧要。值得注意的是,防火墙将继续在网络安全架构中发挥重要作用,并将永远如此,但PANW最终应退出这一业务,并将其长期留给思科、Checkpoint或Fortinet。
云安全(代码到云)
Prisma Cloud是PANW的核心云安全产品,旨在保护企业在云中的代码、工作负载和基础设施的各个方面。PrismaCloud自2019年5月首次推出以来,现已创造了超过5亿美元的ARR,成为最大的云安全业务。虽然我们不知道其增长率,但有必要强调的是,Crowdstrike最近分享了其云安全模块的ARR已突破2.96亿美元,同比增长率达到70%。CRWD云业务的很大一部分主要迎合云工作负载保护,他们最近收购了一家开发者安全公司Bionic.ai,以扩大他们的业务范围,但他们缺乏PANW的产品广度。
Prisma Cloud是最全面的云安全解决方案,涵盖云中的开发、构建和运行时领域。目前,他们在三大领域提供12个以上的模块:
1.确保代码安全:他们拥有代码扫描产品,如SCA、SAST、IaC扫描、CI/CD扫描和机密扫描产品。这些产品主要用于帮助开发人员检测其代码和开源工具中的漏洞。(值得注意的是,在上一次财报电话会议上,他们特别指出,与其他模块相比,他们的IaC扫描和CI/CD安全模块是云安全领域增长的重要推动力)。
2.确保云基础设施的安全:他们的产品侧重于确保部署到云上的虚拟机、容器、无服务器和工作负载的安全。它包括云安全态势管理(CSPM)和云工作负载保护(CWP)。
3.确保运行时应用程序的安全:他们拥有云基础设施身份和管理(CIEM)以及网络应用程序/API产品,可确保云上应用程序在运行时的安全。
云安全平台
Gartner在其云原生应用保护平台市场指南中对云安全平台进行了一瞥,并给出了理论解释。然而,Palo Alto正在创建终极云安全平台,涵盖代码到云的所有领域(尽管大部分是通过收购实现的)。最新加入的是收购Dig Security,为这个云安全产品组合增加了数据安全态势管理(DSPM)。这个云平台是每个云安全初创公司的愿景或长期目标的黄金标准。
我们需要一个云安全领域的供应商整合者,特别是考虑到这还是一个相对早期的市场,这一点很有意思,但我认为我们在这个市场上需要的比网络安全更多。现在,企业用户平均使用100多个应用程序,随着人工智能的发展,这一趋势只会加速。开源工具和风险的数量正在急剧增长。代码中的一个漏洞或开源组件中的一个风险,如果在开发过程中没有被发现,那么一旦部署到云中,风险就会成倍增加。因此,关键在于实时发现风险,但许多公司不得不部署不同的产品,如用于云环境的Wiz公司的CSPM和用于代码扫描的Synk公司的SAST工具,所有这些都使风险变得支离破碎。
PANW则另辟蹊径,打造了一个集成的代码到云产品。他们对企业的宣传是,您可以购买一个集成平台,该平台具有跨代码到云的上下文。这种说法很有吸引力,因为许多代码扫描工具缺乏运行时部署代码的上下文。Synk收购了云安全厂商Fugue,试图实现这一目标,但要做好这一点似乎还需要时间。PANW的方法旨在确保如果云中存在风险,可以追溯到代码层面,反之亦然。
他们在演讲中提供了一个演示。他们提供了客户在这个云平台上成功签署多个8位数合同的例子,比如一家大型全球SaaS供应商签署了价值1800万美元的Prisma Cloud协议,在这个产品组合中消费模块,这表明企业开始在这个云平台上实现标准化。这是一个很难解决的问题,我们仍处于早期阶段,但这个产品很有潜力。它为云安全的最终目标设定了标准。
Cortex:安全运营中心(SOC)转型
PANW最大胆的愿景在于其Cortex产品组合。他们的愿景是创建全球首个自主SOC平台。这一宏伟愿景旨在将SIEM、EDR、XDR、SOAR和EASM等安全产品的组件整合到一个大型平台上,以实现SOC的现代化和自动化。
如果我们回过头来了解一下背景,就会发现PANW收购了几家公司来构建这个产品组合,以便在EDR领域与Crowdstrike、Microsoft和SentinelOne竞争。然而,与在网络和云计算领域的市场占有率相比,他们在Cortex的市场份额和主导地位方面一直举步维艰。Cortex产品组合包括以下产品:
CortexXDR:XDR和EPP/EDR与Cortex数据湖合并。
XSOAR:安全编排自动化与响应(SOAR)
XPANSE:外部攻击面管理(EASM)
XSIAM:SIEM+SOAR,实现由人工智能/ML驱动的自主安全操作
大型企业的安全分析团队历来使用这五种产品来检测、调查和应对威胁。安全团队每天都要进行上下文切换,管理不同的安全产品,调查安全日志数据/指标,以应对威胁。PANW希望将一切整合到一个名为XSIAM的系统中。
XSIAM(扩展SIEM)
在任何一家普通企业中,开始并了解现代SOC团队所面临的问题是非常重要的。关于大多数SOC面临的问题,Forrester首席分析师Allie Mellen是这方面的领军人物之一。这里和这里有两篇博客涉及现代SOC所面临的挑战/碎片化问题。许多安全团队每天都会收到数以千计的警报,其中许多都是误报。这些数据来自端点、身份、云或攻击面产品等。安全分析师每天收到的大量警报导致每月有大量数据流入SOC,需要高效的存储。此外,数据过载也给分析人员有效处理和解释数据带来了挑战。企业不可能雇用更多的分析师来应对日益增长的数据问题。XSIAM 2.0时代到来了。
XSIAM 2.0是一个新的解决方案,它将现有的三个产品--用于端点预防和检测的Cortex XDR、用于自动威胁响应的Cortex XSOAR和用于攻击面的Cortex Expanse--整合到一个平台中。XSIAM背后的理念是为SOC团队收集数据、完善数据并生成洞察力。
第一步是从端点、网络、身份系统、云和应用程序收集数据。第二步是摄取、规范化和创建数据映射。最后一步是利用人工智能(+3000个模型)为SOC生成洞察力,以分析低置信度信号,将它们与原始数据拼接在一起,并获取足够的上下文来自动解决其中的大部分问题,只向用户呈现所有事件和每个事件的完整上下文,但更强调主动保持领先和预测威胁。例如,如果分析师在XSIAM中使用AI/ML收到2400多条警报,那么所有这些警报都可以压缩成分析师需要重点关注的93个可操作事件。
所有工作的关键在于,确保所有工作尽可能实现自动化,以便安全分析人员能够专注于更复杂的安全任务。此外,还要强调平均检测时间(MTTD)和实时解决安全事件。这正是许多安全分析师多年来梦寐以求的愿景,但考虑到实现这一目标所需的数据基础设施和架构,这是一个棘手的问题。
PANW提供的一些指标显示,这项业务正在取得一些进展。他们的Cortex客户已突破5000家里程碑。在推出XSIAM的一年内,他们的预订额从零到2亿美元,再到现在超过10亿美元。不过,值得注意的是,该产品对企业来说是高价产品。迄今为止,平均ACV超过100万美元,承诺期为3-5年。从长远来看,XSIAM有可能取代Splunk在企业中的作用。由于Splunk计划与思科整合,这将为PANW提供一些短期获胜机会。
我对这项业务的潜力越来越有信心,但我认为,要完全看到实质性收益,大约需要3年时间。PANW也意识到这不会一蹴而就。这就是他们称之为SOC转型的原因。XSIAM不可能在一夜之间轻松安装。它要求企业取代那些已融入公司基因的旧安全产品,如SIEM工具,并让安全团队适应使用XSIAM,因为XSIAM可以处理所有这些工作流程。
几项财务更新
实现平台扩张是一回事,在此过程中保持盈利增长又是另一回事。PANW成功地紧紧抓住了这一点,而没有侵蚀股东价值。预计到2024财年末,Palo Alto的营业收入将达到81.8亿美元,同比增长20%,同时保持28%的营业利润率和37%的稳定FCF利润率。
本季度的头条新闻是,他们的营收账单比预期少了2%。不过,管理层明确解释说,这主要是因为客户更愿意签订短期合同,而不是长期合同。他们优先考虑给予客户灵活性。从基本的客户需求来看,我们发现收入仍然具有弹性,因为RPO增长了25%,cRPO增长了22%。这表明,需求和客户维系强劲,使得账单变得不那么重要。
最后,从Palo Alto最近一个季度的业绩中可以看出,它正在进一步与传统竞争对手区分开来。尽管目前硬件防火墙市场增长放缓,但PANW的表现却明显优于同行。例如,PANW实现了16%的营业额增长,并保持了17-19%的年度增长指导。与此同时,其一些主要竞争对手的业绩却出现了反差:
Fortinet的销售额同比增长6%,预计下一季度增长-6%。
思科实现了7%的环比增长,并将下一季度的收入预期下调至-6%。
Checkpoint的销售额同比增长了-5%,预计下一季度也将实现个位数增长。
目前,PANW的新一代软件业务总收入达32.3亿美元,同比增长超过53%。目前,PANW83%的收入来自经常性来源。尽管还有很长的路要走,但PANW正在进一步与传统的同行区分开来,并与Crowdstrike和Zscaler等公司更加一致。
平台游戏
Palo Alto的平台化战略已全面启动,而且似乎正在取得进展。超过56%的G200客户购买了PANW三大平台产品(Strata、Prisma和Cortex)之一。他们提供了四个例子,说明大型企业如何在上一季度签订了多笔八位数的交易,其中大部分是已经使用了PANW网络安全解决方案(利用安装基础)的客户签订的。此外,2000万美元以上的交易比1000万美元以上的交易增长更快,因为他们的市场推广活动在销售平台方面似乎越来越成功。
PANW对如何实现这种平台化采取了非常审慎的态度。PANW首席产品官Lee Klarich在中期更新演示中强调了这一点。
我们正在做的第二件事是,确保在整合时,它们能够真正整合在一起,解决那些作为独立能力无法解决的难题。因此,我们的重点不仅仅是整合,尽管这确实能带来价值。我们的目标是通过整合提供技术成果,这是其他方式无法实现的。
平台化进程需要时间,沿途也会有坎坷。目前,PANW已率先解决了这一整合问题,其结果已在财务数据中显现出来。他们下一步的首要任务是看平台化是否能让他们在网络安全领域占据更多的市场份额。当被问及Palo Alto的主要优先事项时,Nikesh说,他正试图将Palo Alto的市场份额从个位数提高到中两位数,就像Salesforce在CRM领域所做的那样。在一个拥有4000多家供应商的市场中,这是一项极其艰巨的任务,但凭借这些关键产品的发布、吸引力和不断增长的网络安全市场,我相信他们能够实现这一目标。
相关链接:
https://softwareanalyst.substack.com/p/platform-consolidation-in-cybersecurity
声明:本文来自安全喵喵站,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
