Palo Alto Networks – инвестиции в кибербезопасность

Кое-что об инвестициях в пальто

Все большая часть частных инвесторов сегодня уделяет внимание технологическим компаниям и компаниям сферы кибербезопасности. Однако российский рынок пока не может похвастаться собственными публичными компаниями (хотя в ближайшем будущем история может измениться — ожидается, что в ближайшее время на публичный рынок выйдет Positive Technologies, вошедшая в этом году в топ самых дорогих компаний Рунета по версии Forbes). Однако, до тех пор нам остается изучать перспективы зарубежных ИБ-компаний. И сегодня мы сфокусируемся на Palo Alto Networks (NYSE: PANW). Компания развивает продуктовую линейку (почти всю) до противного правильно, проводит успешные (в основном) поглощения, растет стремительно, и ее акции тоже чувствуют себя неплохо. «Пальто» (так часто называют Palo Alto Networks в России) уже стала самым крупным в мире вендором сетевой безопасности и, возможно, самым крупным вендором безопасности в принципе. С последним утверждением пока можно поспорить, но, судя по темпам роста компании, спор продлится не очень долго. Это идеальный кандидат для разговора об успешности инвестиций в информационную безопасность. История акций Palo Alto в целом положительная, рекомендация прямо сейчас у многих финансовых блогеров стоит на «buy». Хотя, конечно же, ничего из ниже- и вышенаписанного ни в коем случае не является инвестиционной рекомендацией.

Сухая выжимка IPO. Просто чтобы понять, что успешный вендор ИБ успешен на IPO.

Компания провела IPO 20 июля 2012 года. Размещение, 4-е по величине в 2012 году среди технологических, оказалось успешным. За первый день торгов акции выросли на 26%, с 42 до 53 долларов. Это при том, что еще за неделю до размещения рассматривался коридор 34-37 долларов за акцию. Компания рискнула, оценила себя выше и не прогадала. Всего на продажу выставили около 10% акций. Вот еще интересные факты про IPO:

итоговая оценка компании в рамках IPO: 3.741 миллиарда долларов. Продажи компании в 2011 году ― 118.6 миллионов (в 2012-м закрыли через несколько дней после IPO ― 255.1 миллиона). Мультипликатор ― почти 15;

в 2012 году IPO технологических компаний были немного под вопросом. Дело в том, что в том же году в мае на биржу очень неудачно вышел Facebook. После этого каждое следующее большое размещение вызывало сомнения. Так относились к PANW, так же относились к ServiceNow, которые вышли на биржу за месяц до них. Пальто показали, что вера в кибербез у инвесторов крепка, даже если в тартарары летит что-нибудь очень важное;

для сравнения: вместе с PANW на биржу выходили Splunk, Kayak и Qualys. Splunk занял в списке 5-е место, отстав по оценке почти на миллиард. Kayak был седьмым, Qualys замыкал третью десятку.

До конца 2012 года акции гульнули вверх до 65, в 2013 вернулись назад в 44. Но, если бы вы вложились в «Пальто» 20 июля 2012 года и не продавали бы вообще ничего и никак, сегодня вы бы оказались достаточно довольным человеком. Значительно более довольным, чем если бы положили деньги на депозит, и даже в два с лишним раза более довольным, чем если бы положили их в S&P500:

Что нового принесла Palo Alto

В истории Palo Alto Networks есть три момента, которые можно считать прорывными: появление Next Generation Firewall (NGFW), продажа подписочных сервисов к NGFW из облака, большой акцент на защиту новой модели потребления IT ― снова из облака. Технологически компания придумала только первый, поэтому и поговорим о нем.

На дворе середина двухтысячных. Уже есть Facebook, Dropbox, куча приложений, которые связаны с бизнес-деятельностью предприятий. Все они работают через веб. Технически это значит, что приложения ходят в интернет точно так же, как и пользователь, который пошел читать новости. Возникает вопрос: как запретить одни приложения и разрешить другие? Старые межсетевые экраны на периметре предприятий решали эту задачу фильтрацией по портам и адресам. С новыми приложениями, которые все ходят по одним и тем же портам (веб — это 80 и 443), и в условиях, когда список целевых адресов для приложения подгружается из интернета и постоянно меняется, такой вариант точно не работает.

NGFW от Palo Alto умеет разбирать соединение на запчасти, определять, к какому приложению оно относится, и применять нужные политики. Из общего веб-потока данных на предприятии теперь можно, к примеру, выдернуть Facebook и запретить именно его при необходимости. Если говорить серьезно ― появление NGFW позволило хоть как-то внедрять и контролировать политики безопасности, связанные с использованием интернета и основанные на веб-приложениях внутри предприятий. До этого для вменяемого решения задачи нужно было закупать несколько железок у разных вендоров, сопрягать все это вместе и дополнительно раскатывать какое-то количество клиентских агентов на каждую машину в офисе. Это долго, сложно и утомительно, поэтому, если честно, так почти никто не делал.

Быстрый разбор и фильтрация на уровне приложений ― не единственная возможность NGFW. В нем (или в них, как в классе решений), появились site-to-site VPN для связывания удаленных офисов в единую сеть, фильтрация обращений извне к веб-приложениям и множество других сервисов, о которых мы поговорим дальше. Но начало всему положила проблема применения политик безопасности там, где победил веб.

Ранние годы, взлет до IPO, облачные подписки

История плохо сохранила цифры продаж 2007 года, а дальше картина в миллионах долларов стала выглядеть так:

Понятно, что сильно играет эффект низкой базы, и вечным такой рост быть не может. Он и не был таким, хотя меньше, чем на 50% в год компания росла только в 2016 году, да и то с результатом 48.5%. Но все же очевидно, что идея NGFW выстрелила, создала новый рынок. На этом рынке был явный лидер. Он хотел расти дальше и рос, но до выхода на IPO не спешил набивать портфель явным «леваком», чтобы увеличить Тotal Addressable Market. С 2007 по 2012 в портфеле компании появились:

Обычный NGFW;
Виртуальный NGFW (то же самое, но на виртуальной машине) – 2012;
NGFW для SMB и маленьких удаленных офисов (заодно для того, чтобы делать единую частную сеть) – 2011;
Централизованное управление NGFW в рамках предприятия – Panorama, 2012;
WildFire – 2011;
GlobalProtect – 2011.

Первые четыре пункта в той или иной степени связаны с NGFW: эксплуатируют одну и ту же технологию и ее успех. Компания не размывала фокус и методично расширяла границы (и аудиторию) созданного рынка.

WildFire ― это, кажется, первая в мире облачная песочница, которую Palo Alto начала продавать по подписке. Это бизнес-находка компании, прорыв номер два, который оказал существенное влияние на дальнейший рост. Идея снова легко объясняется на пальцах. Из интернета в сеть клиента едут файлы. Файлы могут содержать зловреды. Давайте будем запускать эти файлы в виртуальной среде и смотреть, как именно они себя ведут: очень вредоносно или нет. Дальше будем решать, стоит ли по этому поводу что-нибудь предпринимать. П(р)одается все это под соусом дополнительной степени защиты от сложных целенаправленных атак.

Теперь самое интересное. Все то же самое и в это же время (или чуть раньше) делает FireEye, который вкладывает маркетинговые средства в раскрутку необходимости песочниц. Но FireEye продает железные песочницы, которые нужно:

сначала заказать, оплатить полностью и сразу (а стоят они как самолет);
привезти и засунуть куда-то в стойку;масштабировать, если поток стал больше;
чинить, если сломалось железо и вообще как-то обслуживать;продавать и каждый раз делить выручку с производителем недешевого железа.

Всех этих недостатков лишен WildFire: у тебя есть NGFW от «Пальто», ты доплачиваешь помесячно за использование, файлы улетают куда-то в облако, а тебе нужно просто смотреть за тем, чтобы они туда действительно улетали. Это «не очень» с точки зрения тех, кому важно, чтобы данные не покидали периметр (таким потом дали On-Premise-вариант), но «очень и очень» для тех, кто просто хочет прозрачности и экономии средств на ИБ. Прекрасный вариант для клиента. Не менее прекрасный апселл для компании, требующий нулевых изменений в инфраструктуре клиента, нулевых логистических расходов и дающий большую экономию на железе за счет масштаба. А еще доход от подписок целиком идет в ARR, что повышает привлекательность компании для инвесторов.

Идея снова взлетела, и клиенты начали массово покупать облачный песок. К 2016 году у Palo Alto было 34000 клиентов ― 12800 (38%) из них использовали WildFire. В 2017 году у компании было 42500 клиентов, и уже 19000 (45%) из них использовали WildFire.

GlobalProtect, обеспечивающий единую контролируемую точку выхода в интернет для удаленных сотрудников, был не так популярен. Зато вышедшие позже подписочные URL Filtering и Threat Prevention стали еще более востребованы. В том же 2017 году их использовали 72% и 87% клиентов Пальто соответственно.

Компания оценила успех подписочных сервисов, не стала останавливаться на достигнутом и продолжает добавлять новые подписки по сей день. Судя по инвесторским презентациям, большинство клиентов, однажды начав использовать одну из подписок, уже не отказывается от нее.

Взлет и после IPO: развитие бизнеса, третий дизрапт

Став публичной компанией и получив много денег, «Пальто» все-таки занялась любимым делом всех публичных компаний: скупкой перспективных и не совсем стартапов. 9 лет и несколько миллиардов долларов позволили приобрести 16 компаний, которые принесли:

экспертизу в безопасности, защите от угроз и расследованиях (которой не было или почти не было в самом начале);
сервисное направление;
новые облачные подписки;
линейку продуктов для защиты предприятий Cortex, в которую входят XDR (купили 2 эндпойнта), периметровый NDR, SOAR и др.;
самую полную на рынке защиту облачных ресурсов, которая и стала третьим большим направлением инвестиций, а затем и успехом компании.

Из 16 купленных компаний восемь относились к безопасности доступа к облакам и приложений в самих облаках. Пальто не хватала с рынка самые горячие и хайповые пирожки, покупки выглядят как часть долго реализуемой стратегии.

В 2021 облачная безопасность принесет Palo Alto примерно 600 миллионов из общих 4200. Это немного, если учесть, сколько было потрачено на покупки, и все еще заметно меньше, чем NGFW с его суперуспешными подписками. С другой стороны, направление NGFW ежегодно растет на 17% ― рост все еще есть, но уже совсем не такой быстрый. При этом ежегодный прирост направления облачной безопасности ― 90%. Учитывая всевозрастающую любовь развитых рынков к облачным технологиям, можно предположить, что уже в следующем году доля облачной платформы в общем пироге доходов станет значительно более заметной.

Вообще же выручка компании после IPO росла следующим образом:

рост никогда не был ниже двузначных показателей, и только один раз в 2020 году был ниже 20%. Компания объяснила это достаточно просто: «В привлечении новых клиентов мы все еще сильно зависим от основного паровоза ― железных и виртуальных NGFW». Попробуйте доставить железку в дата-центр, когда те, кто принимают, те, кто настраивают, и даже те, кто везут, сидят дома из-за пандемии, а на дата-центре висит большой амбарный замок. После отмены локдауна все вернулось на свои места: в 2021 году ожидается рост в 24%, если так все и продолжится, то в 2022-м доходы компании перешагнут отметку в 5 миллиардов.

в 2019 году доходы от сетевой безопасности Palo Alto превзошли доходы от сетевой безопасности Cisco. Пальто официально стала самым большим вендором сетевой безопасности в мире.

в 2019 году у компании было 65000 клиентов, и это на 20% больше, чем в 2018-м. Видимо, в ковидном 2020-м году этот показатель сильно не увеличился, поэтому в последнее время он исчез из публичных источников. Тем не менее, учитывая, что среди 65000 персональных пользователей нет вообще, а отказаться от использования железного оборудования совсем не просто, ― компания устойчива, и сходу даже сложно предположить, что может поколебать ее дальнейшее благополучие в ближайшие годы.

Коротко про Платформы в Palo Alto

У компании интересный подход к продуктовому портфелю. Портфель делится на три платформы:

Strata – сетевая безопасность, включает NGFW и прилегающие сервисы и продукты;

Cortex – теперь автоматизация Security Operations Center, до этого странное Secure the Future, до этого Advanced EndPoint Protection – защита эндпойнтов + система автоматизации реагирования;

Prisma Cloud – все, что связано с безопасностью в облаках.

Компания постоянно пытается объединить три разных компонента в некоторую общую единую стройную красивую структуру, но замаха на безопасность вообще всего предприятия не делает. Вместо этого подчеркивается, как хороша каждая из платформ в своей области, и как все вместе они помогают клиентам стать более безопасными с разных сторон. Сложно судить, почему так. Может, это серьезный план и так лучше с точки зрения маркетинга. А может – для полного цикла не хватает экспертов в безопасности (компания-то исходно чисто продуктовая), и с их появлением и дальнейшим переосознанием масштабов и сложности задач обеспечения безопасности Large Enterprise – нас ждут новые продукты и новые платформы от Palo Alto. Или же оттачивание экспертизы в отдельных нишах, а не покрытие всего спектра задач кибербезопасности, и является стратегией компании. На второй путь робко указывает, например, вливание большого количества ресурсов в Unit42 – экспертное подразделение, занимающееся исследованиями, расследованиями, реагированием на инциденты и т.д.

Все-таки не без дегтя

Может показаться, что Palo Alto делает все идеально. Но это не так. Сегодня слабым местом видится история со второй из трех платформ: Cortex, она же XDR+SOAR.

Свой первый эндпойнт, Traps, компания купила в 2014 году. Через три года после покупки, в конце 2017-го, Traps использовали 1400 клиентов. Трех лет с головой хватило бы для доработки и полноценной интеграции продукта. Но цифра 1400 звучит хорошо только сама по себе. Рядом с общим числом клиентов, которых 42500, это всего лишь 3%.

Второй эндпойнт, Secdo, был куплен в 2018-м. В 2019 году на базе Secdo, Traps и еще пары купленных продуктов был объявлен XDR Cortex. В 2019 компания докупила лидера на рынке SOAR Demisto, заявила об открытой платформе с возможностью интеграции любых сторонних вендоров и вообще всячески декларировала окончательный и бесповоротный успех. Второе (или третье) маркетинговое переобувание и докупки особенного успеха не принесли. К марту 2021 у Cortex XDR было 2400 клиентов.

При этом логика развития направления понятна и разумна с точки зрения безопасности: мы знаем все про сеть клиента (мы на ней сидим), давайте дадим возможность защищать еще и конечные точки. Таким образом мы дадим заказчику необходимый готовый набор для защиты предприятия. Большая история всегда выглядит лучше, чем нишевая. Так поступали на рынке множество раз: сетевики покупали эндпойнты, эндпойнтные компании делали или покупали сетевую безопасность. Но вот какая штука: ни разу купленная технология в паре «сеть―эндпойнт» не повторяла успеха материнской в плане продаж. Бывало так, что купленная технология побеждала в конкурсах. Бывало так, что занимала лидирующие места в Gartner Magic Quadrants. Но чтобы стала хотя бы наполовину такой же успешной, как родная технология материнской компании, ― таких случаев история, кажется, не знает.

Возможно, при этом Cortex успешен и прибылен. У Palo Alto, наверняка, есть какое-то количество клиентов, которые предпочитают покупать безопасность в одном магазине, они-то и покупают Cortex. И еще, скорее всего, сколько-то клиентов принесет история открытой платформы, построенной на базе Demisto. И для полной истории безопасности облака никак не обойтись без защиты, собственно, самих облачных серверов (конечных точек) и мониторинга трафика между ними.

Но все-таки, по доходам Cortex ― это явно не сетевая безопасность. И даже явно не облачная. И две попытки маркетингового переобувания истории с эндпойнтами говорят, что компания понимает это.

Еще немного о покупках

Покупки Palo Alto интересны с еще одной стороны. Основатель компании Нир Зук, помимо всех прочих талантов и достижений, провел 5 лет в израильской армии (IDF), в Unit 8200, подразделении, отвечающем за сбор информации, электронную разведку, вопросы шифрования и компьютеры. Википедия утверждает, что, по слухам, именно в Unit 8200 был создан поразивший иранские атомные станции вирус Stuxnet.

Любопытно, что 7 из 16 компаний (в том числе оба эндпойнта и все оставшиеся компании, которые послужили базой для Cortex, включая Demisto), купленных Palo Alto, тоже основаны выходцами из IDF.

Продолжая тему армии и спецслужб.

В 2013 году первой покупкой Palo Alto стала Morta, стартап, основанный выходцами и экспертами из АНБ и находившийся в режиме «мы не скажем вам, что мы делаем». Что делала Morta, знает теперь только Palo Alto, а эксперты пригодились для улучшения облачной песочницы.

Сервис сканирования периметра компаний извне, Expanse, купленный Пальто в 2020 году, был основан выходцами из DAPRA, управления Министерства обороны США, отвечающего за разработку новых технологий для использования в интересах вооружённых сил.

Наконец, сервисная компания, занимающаяся реагированием на инциденты и проведением расследований, Crypsis Group, которая вошла в состав Palo Alto также в 2020 году, тоже была не просто так. Во главе ее стоял многолетний ветеран Air Force Unit of Special Investigations, еще одного военного подразделения из США.

Вместе с компаниями, в Palo Alto вливались и основатели, правда, некоторые из них уже покинули Пальто.

Кажется, что в списке купленных компаний не завязаны на вооруженные силы каких-нибудь стран только те, что основаны этническими выходцами не из США и Израиля: индийцами, китайцами и т.д. Правда, не исключено, что про них мы просто знаем чуть меньше.

Самый важный человек в компании

Если вы думаете инвестировать в компанию перед выходом на IPO ― обязательно присмотритесь, кто в ней что делает и что это за люди.

У Palo Alto Networks было как минимум два президента, пара финансовых директоров, множество талантливых руководителей направлений (в том числе, из поглощенных стартапов), и всего один CTO. Он же основатель, он же главный визионер, он же эксперт в сетевой безопасности, он же серийный предприниматель, он же человек, придумавший NGFW, он же раньше других осознавший широкие горизонты облаков. Нир Зук утверждает, что строил компанию, в которой ему удобно бы было работать, и случайно или нет, построил лидера рынка. После IDF Нир:

трудился в CheckPoint (межсетевые экраны и сетевая безопасность), куда его позвал сослуживец по IDF и сооснователь компании Гил Швед (Gil Shwed) и которую он покинул в 1998 году, когда компания стала слишком бюрократичной и не хотела развивать новые продукты и технологии (в том числе закрыли один из проектов Нира, сделанный полуподпольно в свободное время);

основал компанию OneSecure, Managed Service Provider в сетевой безопасности, которую через два с половиной года поглотил NetScreen. Он, в свою очередь, в 2004 году был куплен Juniper;

покинул Juniper после года работы (точнее ожидания), остался без денег, развелся (неизвестно в каком порядке), практически переехал в гараж и основал Palo Alto;

в 2012 году, выведя компанию на IPO, следует полагать, переехал из гаража, потому что даже 5% акций это немало (Нир оставил себе ровно в пять раз меньше, чем обычно берут основатели, и раздал остальное ранним сотрудникам компании).

В 2014 Juniper обвинил Palo Alto в нарушении интеллектуальной собственности. В иске фигурировали 11 патентов, все на бывших сотрудников NetScreen, три из них были выписаны лично на Нира. Компании договорились, и Palo Alto заплатила за примирение 175 миллионов долларов в деньгах и акциях.

В 2018 Palo Alto обогнала по доходам компании старых друзей из CheckPoint.

В 2019 Palo Alto стала самым крупным вендором сетевой безопасности в мире.

В 2022 году, похоже, компания обгонит Juniper, причем не в продаже решений по безопасности, а в абсолютных величинах.

Желание делать новые продукты и вводить инновации может и не привести начинание к успеху. Но отсутствие инноваций и новых продуктов, а также политика и соглашательство в больших дозах ― не приведут к нему точно.

Выводы

Вообще текст получился настолько длинный, что выводы хочется написать короткие и без пояснений. Вышеизложенное объясняет наш путь к ним:

IPO компании с дизраптом будет успешным, даже если вокруг на бирже все не так радужно.

Один дизрапт прекрасен для IPO. Для дальнейшего стремительного развития компания должна искать новые возможности и предлагать что-то еще.

Palo Alto не пошла типичным для подготовки к IPO путем создания продуктов-затычек с целью максимального расширения Тotal Аddresable Мarket и улучшения мнения инвесторов. У компании была своя стратегия, которая заключалась в расширении собранного рынка. Вместо ТАМ сработал факт кратного роста продаж.

Пальто продолжает расти достаточно быстро для четырехмиллиардной компании. Пока не видно, что сможет затормозить этот рост.

Выбирая компанию для инвестиций в IPO, смотрите на ее культуру и тех, кто стоит во главе. Затормозить и стать еще одной корпоративной культурой ужасно легко. Прорывы, как правило, совершают любопытные бунтари и революционеры.

P.S. 23 августа вышел годовой отчет компании. Количество клиентов увеличилось до 85000, выручка перевалила за 4 миллиарда, план роста на 2022 год: 24-25%. После публикации отчета акции PANW уверенно прибавили 20%.

Ждём ответного хода от Positive Technologies.

Источник 📢