這篇專欄介紹網絡安全相關的頂級公司的股票。網絡安全是乘着企業數字化轉型和軟件 SaaS 化兩股東風的風口上的子行業，理應有一些非常優質的公司，然而這個主要對公的行業需要仔細研究其產品和業務對於一般投資者來説相對比較晦澀，且最優質的公司集中在美國。在做研究之前我相信大家（沒有 IT 背景的讀者）跟我一樣，對網絡安全的理解停留在殺毒軟件層面，那麼就讓我們研究起來，挖掘寶藏！

對 SaaS 行業術語不瞭解的同學可以推薦閲讀我寫的UiPath 專欄。

本來想參照我寫太陽能相關的 ETF 的形式來找一個網安相關的 ETF，但是最後比較後發現這些 ETF 選股或多或少都有些問題。具體詳列如下：

管理規模在 5 億美元以上的網安 ETF 有四家，分別是 First Trust，ETFMG，貝萊德 Blackrock 和 Mirae 資管發行的。代碼分別是：（$納斯達克網絡安全 ETF - First Trust(CIBR.US) ,$網絡安全 ETF - ETFMG(HACK.US) ,$Cybersecurity&Tech ETF - iShares(IHAK.US) ，和$網絡安全 ETF - GlobalX(BUG.US) ）其中規模和歷史最長的前兩家 CIBR 和 HACK 管理資產分別在 40 億美元和 22 億美元以上，這兩家雖然規模較大，但是跟蹤的股票卻有相當部分不是純網安業務，比如兩者到包含了思科（CSCO），這種通訊服務公司相關度較低。又比如 ETFMG 的最大持倉竟然是 KnowBe4（KNBE），這家公司是做網絡安全意識培訓的（emmm）且該 ETF 持倉竟然達到了公司總股本的接近 20%，這種選股極端不透明且不值得信任（雖然表面是跟蹤某個行業指數，但這個指數確是自定的，屬於披着 ETF 外衣的主動管理基金），CIBR 的選股也奇奇怪怪，也有埃森哲，Booz AllenHamilton 這樣的諮詢公司，Juniper 這樣的通訊硬件公司，甚至英國的國防公司 BAESystems 都在裏面，比較無語，而且累計佔比還不低。

IHAK 和 BUG 這兩個稍小，IHAK 也包括了比如 DocuSign 這樣的公司（雖然是優秀的 SaaS 公司但是也不是做網安的，佔比第二大）BUG 沒有什麼選入奇怪股票，但是卻缺少了一些大的網安公司比如 Cloudflare 和 Splunk 這樣的公司。綜上，四個 ETF 都不符合既全面又完全相關的網安概念。遂決定逐一介紹以下頭部玩家，尤其是純 SaaS 股，避開硬件股：Crowdstrike$CrowdStrike(CRWD.US) ，Zscaler$Zscaler(ZS.US) ，Okta$Okta(OKTA.US) ，Palo Alto Networks，Cloudflare 和 Splunk。篇幅所限一些小於 100 億美元市值的公司沒法全部研究到，以上幾家公司分成兩部分專欄發出。

由於涵蓋公司較多難以深入研究每家公司，建議當成行業科普專欄閲讀。以此為起點自己再做功課，希望對大家有所助益。

Crowdstrike：Endpoint Detection and Response（EDR）端點探測與響應

端點檢測和響應（EDR）解決方案是保護端點（用户使用的計算機硬件設備）免受威脅的軟件解決方案。端點計算機通常收集數據，分析數據並發現潛在的網絡攻擊行為，防範侵入企圖和用户數據竊取。通常軟件安裝在端點電腦上，數據存儲於中央化的數據庫，一旦發現威脅，終端用户被提示並向其建議行動清單。（請問這跟 “殺毒軟件” 有何不同？）EDR 和一般殺毒軟件（Anti-Virus，AV）的其中一樣重要區別是：不用簡單的簽名（Signature，在防病毒世界中，簽名是唯一標識特定病毒的算法或散列（從一串文本派生的數字）或特徵檢測，而是使用 IOA（indication of Attack）檢測引擎，檢測和阻止能夠逃避傳統 AV 的安全威脅。其他功能包括防禦性響應，取證功能，數據收集和分析等。

EDR 是企業級網安最重要的分項之一。每年都排在 Gartner 十大安全項目之中，因此這個子賽道異常的擁擠，畢竟歷史上任何做過殺毒軟件的公司（且能連接互聯網的）都可以稱為 EDR 解決方案提供商。目前行業領先的競爭對手主要是：VMware Carbon Black，Symantec，McAfee，SentinelOne（即將 IPO，代碼 S）和黑莓 Cylance 等。其中 Symantec 和 McAfee 是傳統殺毒軟件廠商，仍然沿用基於簽名的防護。Carbon Black，Cylance 和 SentinelOne 代表的針對惡意軟件和應用白名單等技術的新派 EDR 企業。

傳統殺毒軟件企業的方案，即基於簽名或 IOC（indication of compromise）的檢測效率最低下，因為需要間歇性更新病毒庫找出新的簽名，是典型的被動式的防護。

先進的 EDR 解決方案應該具備以下特點：

1. Cloud-Native 雲原生（簡化部署，增強 time-to-value，降低人工及硬件成本維護成本等）；
2. Visibility 可見性（端點收集數據時完整收集攻擊數據和上下文，威脅分析更全面）；
3. 極簡客户端軟件（客户端基本上只負責收集和上傳數據，不儲存病毒庫，這樣可以解放終端計算機（電腦或服務器或虛擬機）的存儲空間和運算性能。即使更新軟件也不會有停機時間，完全做到永久實時保護）等。

當然隨着客户數的增加，中央雲端數據庫收集的數據也增加，探測和認知最新威脅的能力就會比同業優秀，降低假陽性（誤報）的可能性，減少無謂的人力損耗。EDR 企業規模做得越大，網絡效應越發明顯，其產品本身就會變得更加有競爭力。這跟大部分需要用到 AI 和 ML 的軟件公司一樣。

Crowdstrike2019 年 5 月上市，上市時其訂閲收入年增速達到了 137%，Dollar-based NetRetentionRate（DBNRR）達到 147%，ARR 達到 3.13 億美元，ARR 年增速達到 121%（截至 2019 年 1 月底）兩年後的今天，2021 年第一季度成績如下：ARR 達到 11.9 億美元，ARR 增速達到 74%，DBNRR 與大部分 SaaS 公司一樣年度公佈一次，截止到去年年底，達到 125%。作為對比，後起之秀 SentinelOne 上個月底上市招股書上披露 ARR=1.61 億，ARR 增速 116%，DBNRR=124%。

市場研究機構 IDC 的報告在 2019 年時指出，全球 EDR 市場規模在 2019 年達到 76 億美元，2021 年達到 87 億美元（CAGR 大約 7%），因此在 EDR 這個市場存在更新換代需求（基於非雲原生及非 IOA 的傳統殺毒方案）以及市場份額機會，但行業整體規模增速一般。Crowdstrike 目前除了做 EDR 產品之外也在向其他產品比如 Threat Intelligence（網安威脅情報），Vulnerability Management（漏洞管理）等其他市場拓展。這兩個市場增速也接近 10% 的 CAGR，其中威脅情報細分市場規模約 20 億美元，漏洞管理市場越 100 億美元（行業領導者是：Qualys，Rapid7，Tenable 等）

Zscaler：Secure Access Service Edge（SASE，包括 CASB，ZTNA 等）

CASB（Cloud access security broker）是另外一個常年都排在 Gartner 十大網安項目之中的分項。Gartner 預計 CASB 在 2017-2002 年五年間可以達到 46% 的 CAGR！是當前最火的網安項目。為什麼 CASB 擁有這麼高速增長的前景？因為企業網絡正在經歷一次大搬家：應用程序從企業自己的服務器及數據中心搬上了雲，而用户也不僅僅是從公司內部的電腦訪問這些應用程序，而是在任何地方，用任何設備進行訪問。因此網絡安全也需要相應的進行一次大搬家。這次遷徙是企業網絡結構自互聯網誕生以來最大的一次（幾十年一遇）

如上圖示意，目前大型企業面對的網絡管理現狀從左至右的變化：越來越多的企業級應用和軟件搬遷到雲端，而不單是處於公司自己的數據中心內。因此任何員工進入公司內部系統的訪問需要經過 VPN 網關，而任何訪問互聯網及 Saas 軟件需要經過互聯網網關。這兩重設備和應用隨着越來越多的應用移上雲端（左圖至右圖）對設備需求和安全需求也線性增加。可擴展性極差，整合複雜性增加，成本增加。最頭痛的是，如果員工使用終端設備之間直接聯繫增加且直接訪問雲端程序增加，整體網絡安全無法覆蓋。而且，即使個別巨型企業經濟上可以負擔購買和維護千萬個網關，也並不能解決安全問題。因為老一套的企業網絡安全設備無法適應互聯網上的多樣化和更復雜的安全風險。（下圖是左圖至右圖中越堆越多的黑盒子，即網關 gateway）

雲計算時代需要的是雲解決方案。

傳統 CASB 有幾大功能支柱：

第一：威脅探測（傳統通過硬件網關來完成 SecureWebGateway，SWG）：基本功能包括 URL 過濾，惡意代碼探測及過濾，網絡應用控制等；

第二：數據安全：重點功能包括 DLP（DataLossPrevention，預防數據丟失）

第三：各種行業合規性（Compliance）：比如説任何觸及支付的公司都需要符合 Payment Card Industry Data Security Standard（PCIDSS）的要求，這個行業標準規管所有主流信用卡支付網絡的維護其信息安全的標準。這個標準自從 2004 年以來已經更新了 9 稿，每一稿對於接觸支付的信息系統都進行了鉅細無遺的具體要求。舉個例子，對於無線網絡的安全要求補充文件就有 30 多頁，裏面有各個環節的安全規範建議和要求。類似的行業規範不僅存在於支付，還存在與醫療系統（HPIAA）金融系統（金融服務法現代化法案 GLBA）對於信息安全的各種規範，以上幾個只是美國的，歐洲還有其特有的安全規定。原本在企業自建系統履行合規已經是非常複雜和消耗資源的一項工程，更不用説現在雲端遷徙大環境下的複雜程度；

第四：可見性（Visibility）：與 EDR 一樣，隨着多雲端部署發展，每個接入完整鏈條的可見性都會會變差 (日誌，審計，監控都變得困難)：以往在企業廣域網整體建設在內部的前提下，可見性是相對完整的，但是在雲端部署中，需要極高的協同能力，這個任務對於公司自己的 IT 部門，基本是不可能完成的任務。務必需要第三方服務商的協助。

這四大支柱在雲計算世代都面臨全新的任務需求，威脅探測，數據保護，合規，可見性全部都要搬到開放網絡進行。除此之外，還有訪問結構改變帶來的額外安全需求：比如説公司網絡解除中央訪問的限制後，各分支機構/分公司進行開放網絡訪問都需要設立獨立的防火牆和網關，除成本高昂之外，防火牆的解密，檢視和重新加密 SSL 協議的整個過程嚴重影響防火牆表現性能。軟件定義廣域網（SD-WAN）是應對這一訪問結構轉變的普遍解決方案。現代 SASE 公司針對 SD-WAN 結構都有軟件安全保護政策，將硬件防火牆替換成雲軟件服務，減省大量的硬件投資，管理和更新等費用。

在數字化轉型過程中，絕大多數大型企業都會選擇 Zero trust network access（ZTNA）零信任網絡訪問。ZTNA 的意義在於將公司網絡建設與用户訪問應用完全分離開來。公司不再需要單獨組網，公司內部用户不論在任何地方訪問需要使用的應用程序時，並不需要進入特定的網絡，而是直接訪問應用程序本身，第三方用户也只會被授予某個時點訪問個別有需要的應用程序權限。通過 ZTNA 結構，公司不需要拉專線 VPN（翻譯：網絡提速），沒有任何公司網絡暴露在互聯網中，免於遭受 DDoS 攻擊，不需要防火牆硬件設備等。

Zscaler 的兩款產品 Zscaler Internet Access（ZIA）和 Zscaler Private Access（ZPA）分別是 SASE 之中的 CASB 產品和 ZTNA 產品。

根據 IDC 測算，每年有 177 億美元的企業 IT 花銷在傳統 CASB 領域。這個就是 SASE 類產品的市場空間。除此以外，雲端 SASE 解決方案通過減少傳統硬件網絡搭建成本和硬件器材成本來幫助企業增加 ROI。

Zscaler 在 2018 年 3 月上市前夕，DBNRR 達到 122%，上市前三年 115% 左右，calculated billings（可以簡化理解為 SaaS 的收入，因為賬單收入是提前收取，在完成合約之前不能被記錄成收入，使用 billings 來作為收入的指標是 SaaS 行業的常規）上市前三年增速分別為 55%，62% 和 44%；截止到今年 5 月底的 2021 財年第三季度，公司指引全年 billings 增速 60%，達到 8-8.8 億美元，DBNRR 達到 126%。公司毛利率在 81%，經營費用率持續下降中。

Okta： Identity and Access Management（IAM）身份管理，Privileged Access Management（PAM）特權訪問管理，Passwordless authentication 無密碼認證

Gartner 長期將身份管理 IAM 列在十大網安項目之中的分項，焦點經常轉移，比如一度網絡攻擊會針對擁有高權限訪問公司網絡的用户，PAM 一度是企業網安重點；密碼長期都有過弱的特性，容易遭攻破，所以技術條件允許情況下一般都偏好無需密碼的認證方式，等。

數字化經濟時代，身份認證是個人接觸數字世界的第一步。2017 年的一份報告（Password Expose）顯示平均每個僱員管理着接近 200 個密碼（194 個），每個月輸入密碼 154 次，耗時 36 分鐘。隨着雲端應用程序的增加，移動辦公增加，接入的移動設備增加，IoT 普及等，這個數字還在持續上升。持續增加的認證環節不僅耗時，更重要的是增加了被攻擊的風險：從管理 20 個密碼到管理 200 個，潛在被攻破的節點多了 10 倍，風險增 10 倍。

過往採用的諸多認證手段比如 SSO（Single Sign-On 單次登入），MFA（Multi-factor authentication）多要素認證（密碼 + 動態密碼器/一次性密碼/電郵短信認證/二維碼/指紋或面部識別等）本身的採納率已經不高（50%~）況且這些標準面對企業的雲端遷徙的大環境下幾乎都需要重新設計。舉個例子，如果我作為員工管理 200 個密碼，全部使用 MFA 認證方式，假設 MFA 都採用密碼 + 動態密碼器，我就要隨身攜帶 200 個這個小玩意兒，就算帶得動也翻不動。假設 MFA 採用密碼 + 短信一次性密碼，每個一次性密碼平均等待時間半分鐘，我就要花一個半小時等待。顯然傳統的身份認證方式亟需改變適應雲端時代。

如何協助企業管理好員工和顧客的身份認證是網安環節的一個重要守衞點。Okta 是全球領先的獨立第三方身份管理解決方案提供商，其雲端方案稱為身份即服務 IDaaS，或身份雲。其主要產品功能和優點有以下幾點：

-企業中央目錄：用户身份，應用程序，持有設備，賬户等互相對應關係全部集中存於一處；

-SSO：單次登錄訪問所有程序（適合企業僱員）；

-Adaptive MFA（AMFA）（適合企業僱員和顧客）：提供額外安全性，舉個例子：使用網絡版微信登入界面是典型的 AMFA 案例。當你在電腦端登錄微信，默認認證方式是 Push（發送通知到你的手機端，你點擊確認即可登上電腦版微信）但是如果失敗後（任何原因）電腦版微信會自動生成一個二維碼需要你手機掃描才可以登錄。AMFA 會智能適應（Adapt）用户使用環境，改換認證要素（MFA 中的 F：Factor）。其他的 AMFA 例子包括認證頻次等。

-賬户與設備生涯管理：自動化管理用户權限，設備增刪等。

Okta 收入模式：

Okta 的收入模式也很簡單：按人頭收費。已知二手車零售公司 Carmax 是 Okta 客户，其員工總數 26000 名。主要服務收費：

• SSO 2 美元每人每月 Adaptive SSO 5 美元每人每月；
• MFA 3 美元每人每月 Adaptive MFA 6 美元每人每月；
• 企業中央目錄： 2 美元每人每月
• 生涯管理：4 美元每人每月，高級版生涯管理 6 美元每人每月

假設初始階段公司只採用企業中央目錄，基本版 SSO 和生涯管理，收入=（2+2+4）*12*26000=250 萬美元/年。在獲取 Carmax 這個客户之後，Okta 從其僱員部分還有大約一倍的追加銷售空間，在其顧客部分也有相當的交叉銷售空間。這個上檔在 SaaS 中算比較優秀但非頂級。

公司根據行業 IDC 報告預測身份認證市場 TAM 約 170 億美元。公司 2017 年上市時披露的 DBNRR=124%，2016 全年 calculated billings=1.18 億美元，客户數>2900；2021 年一季度（截止 4 月 30 日）DBNRR=120%，客户數 10,650，收入增速 45%（2019-2022E），Calcuclated billings 達到 2.93 億（同比增 40%），值得一提的是公司扣非毛利率從 2016 年 60% 提升至 78.1%。

敬請期待下回分解：Palo Alto Networks, Cloudflare 和 Splunk。