这篇专栏介绍网络安全相关的顶级公司的股票。网络安全是乘着企业数字化转型和软件 SaaS 化两股东风的风口上的子行业，理应有一些非常优质的公司，然而这个主要对公的行业需要仔细研究其产品和业务对于一般投资者来说相对比较晦涩，且最优质的公司集中在美国。在做研究之前我相信大家（没有 IT 背景的读者）跟我一样，对网络安全的理解停留在杀毒软件层面，那么就让我们研究起来，挖掘宝藏！

对 SaaS 行业术语不了解的同学可以推荐阅读我写的UiPath 专栏。

本来想参照我写太阳能相关的 ETF 的形式来找一个网安相关的 ETF，但是最后比较后发现这些 ETF 选股或多或少都有些问题。具体详列如下：

管理规模在 5 亿美元以上的网安 ETF 有四家，分别是 First Trust，ETFMG，贝莱德 Blackrock 和 Mirae 资管发行的。代码分别是：（$First Trust Nasdaq Cybersecurity(CIBR.US) ,$ETFMG Prime Cyber Security ETF(HACK.US) ,$iShares Cybersecurity and Tech ETF(IHAK.US) ，和$Global X Cybersecurity ETF(BUG.US) ）其中规模和历史最长的前两家 CIBR 和 HACK 管理资产分别在 40 亿美元和 22 亿美元以上，这两家虽然规模较大，但是跟踪的股票却有相当部分不是纯网安业务，比如两者到包含了思科（CSCO），这种通讯服务公司相关度较低。又比如 ETFMG 的最大持仓竟然是 KnowBe4（KNBE），这家公司是做网络安全意识培训的（emmm）且该 ETF 持仓竟然达到了公司总股本的接近 20%，这种选股极端不透明且不值得信任（虽然表面是跟踪某个行业指数，但这个指数确是自定的，属于披着 ETF 外衣的主动管理基金），CIBR 的选股也奇奇怪怪，也有埃森哲，Booz AllenHamilton 这样的咨询公司，Juniper 这样的通讯硬件公司，甚至英国的国防公司 BAESystems 都在里面，比较无语，而且累计占比还不低。

IHAK 和 BUG 这两个稍小，IHAK 也包括了比如 DocuSign 这样的公司（虽然是优秀的 SaaS 公司但是也不是做网安的，占比第二大）BUG 没有什么选入奇怪股票，但是却缺少了一些大的网安公司比如 Cloudflare 和 Splunk 这样的公司。综上，四个 ETF 都不符合既全面又完全相关的网安概念。遂决定逐一介绍以下头部玩家，尤其是纯 SaaS 股，避开硬件股：Crowdstrike$CrowdStrike(CRWD.US) ，Zscaler$Zscaler(ZS.US) ，Okta$Okta(OKTA.US) ，Palo Alto Networks，Cloudflare 和 Splunk。篇幅所限一些小于 100 亿美元市值的公司没法全部研究到，以上几家公司分成两部分专栏发出。

由于涵盖公司较多难以深入研究每家公司，建议当成行业科普专栏阅读。以此为起点自己再做功课，希望对大家有所助益。

Crowdstrike：Endpoint Detection and Response（EDR）端点探测与响应

端点检测和响应（EDR）解决方案是保护端点（用户使用的计算机硬件设备）免受威胁的软件解决方案。端点计算机通常收集数据，分析数据并发现潜在的网络攻击行为，防范侵入企图和用户数据窃取。通常软件安装在端点电脑上，数据存储于中央化的数据库，一旦发现威胁，终端用户被提示并向其建议行动清单。（请问这跟 “杀毒软件” 有何不同？）EDR 和一般杀毒软件（Anti-Virus，AV）的其中一样重要区别是：不用简单的签名（Signature，在防病毒世界中，签名是唯一标识特定病毒的算法或散列（从一串文本派生的数字）或特征检测，而是使用 IOA（indication of Attack）检测引擎，检测和阻止能够逃避传统 AV 的安全威胁。其他功能包括防御性响应，取证功能，数据收集和分析等。

EDR 是企业级网安最重要的分项之一。每年都排在 Gartner 十大安全项目之中，因此这个子赛道异常的拥挤，毕竟历史上任何做过杀毒软件的公司（且能连接互联网的）都可以称为 EDR 解决方案提供商。目前行业领先的竞争对手主要是：VMware Carbon Black，Symantec，McAfee，SentinelOne（即将 IPO，代码 S）和黑莓 Cylance 等。其中 Symantec 和 McAfee 是传统杀毒软件厂商，仍然沿用基于签名的防护。Carbon Black，Cylance 和 SentinelOne 代表的针对恶意软件和应用白名单等技术的新派 EDR 企业。

传统杀毒软件企业的方案，即基于签名或 IOC（indication of compromise）的检测效率最低下，因为需要间歇性更新病毒库找出新的签名，是典型的被动式的防护。

先进的 EDR 解决方案应该具备以下特点：

1. Cloud-Native 云原生（简化部署，增强 time-to-value，降低人工及硬件成本维护成本等）；
2. Visibility 可见性（端点收集数据时完整收集攻击数据和上下文，威胁分析更全面）；
3. 极简客户端软件（客户端基本上只负责收集和上传数据，不储存病毒库，这样可以解放终端计算机（电脑或服务器或虚拟机）的存储空间和运算性能。即使更新软件也不会有停机时间，完全做到永久实时保护）等。

当然随着客户数的增加，中央云端数据库收集的数据也增加，探测和认知最新威胁的能力就会比同业优秀，降低假阳性（误报）的可能性，减少无谓的人力损耗。EDR 企业规模做得越大，网络效应越发明显，其产品本身就会变得更加有竞争力。这跟大部分需要用到 AI 和 ML 的软件公司一样。

Crowdstrike2019 年 5 月上市，上市时其订阅收入年增速达到了 137%，Dollar-based NetRetentionRate（DBNRR）达到 147%，ARR 达到 3.13 亿美元，ARR 年增速达到 121%（截至 2019 年 1 月底）两年后的今天，2021 年第一季度成绩如下：ARR 达到 11.9 亿美元，ARR 增速达到 74%，DBNRR 与大部分 SaaS 公司一样年度公布一次，截止到去年年底，达到 125%。作为对比，后起之秀 SentinelOne 上个月底上市招股书上披露 ARR=1.61 亿，ARR 增速 116%，DBNRR=124%。

市场研究机构 IDC 的报告在 2019 年时指出，全球 EDR 市场规模在 2019 年达到 76 亿美元，2021 年达到 87 亿美元（CAGR 大约 7%），因此在 EDR 这个市场存在更新换代需求（基于非云原生及非 IOA 的传统杀毒方案）以及市场份额机会，但行业整体规模增速一般。Crowdstrike 目前除了做 EDR 产品之外也在向其他产品比如 Threat Intelligence（网安威胁情报），Vulnerability Management（漏洞管理）等其他市场拓展。这两个市场增速也接近 10% 的 CAGR，其中威胁情报细分市场规模约 20 亿美元，漏洞管理市场越 100 亿美元（行业领导者是：Qualys，Rapid7，Tenable 等）

Zscaler：Secure Access Service Edge（SASE，包括 CASB，ZTNA 等）

CASB（Cloud access security broker）是另外一个常年都排在 Gartner 十大网安项目之中的分项。Gartner 预计 CASB 在 2017-2002 年五年间可以达到 46% 的 CAGR！是当前最火的网安项目。为什么 CASB 拥有这么高速增长的前景？因为企业网络正在经历一次大搬家：应用程序从企业自己的服务器及数据中心搬上了云，而用户也不仅仅是从公司内部的电脑访问这些应用程序，而是在任何地方，用任何设备进行访问。因此网络安全也需要相应的进行一次大搬家。这次迁徙是企业网络结构自互联网诞生以来最大的一次（几十年一遇）

如上图示意，目前大型企业面对的网络管理现状从左至右的变化：越来越多的企业级应用和软件搬迁到云端，而不单是处于公司自己的数据中心内。因此任何员工进入公司内部系统的访问需要经过 VPN 网关，而任何访问互联网及 Saas 软件需要经过互联网网关。这两重设备和应用随着越来越多的应用移上云端（左图至右图）对设备需求和安全需求也线性增加。可扩展性极差，整合复杂性增加，成本增加。最头痛的是，如果员工使用终端设备之间直接联系增加且直接访问云端程序增加，整体网络安全无法覆盖。而且，即使个别巨型企业经济上可以负担购买和维护千万个网关，也并不能解决安全问题。因为老一套的企业网络安全设备无法适应互联网上的多样化和更复杂的安全风险。（下图是左图至右图中越堆越多的黑盒子，即网关 gateway）

云计算时代需要的是云解决方案。

传统 CASB 有几大功能支柱：

第一：威胁探测（传统通过硬件网关来完成 SecureWebGateway，SWG）：基本功能包括 URL 过滤，恶意代码探测及过滤，网络应用控制等；

第二：数据安全：重点功能包括 DLP（DataLossPrevention，预防数据丢失）

第三：各种行业合规性（Compliance）：比如说任何触及支付的公司都需要符合 Payment Card Industry Data Security Standard（PCIDSS）的要求，这个行业标准规管所有主流信用卡支付网络的维护其信息安全的标准。这个标准自从 2004 年以来已经更新了 9 稿，每一稿对于接触支付的信息系统都进行了巨细无遗的具体要求。举个例子，对于无线网络的安全要求补充文件就有 30 多页，里面有各个环节的安全规范建议和要求。类似的行业规范不仅存在于支付，还存在与医疗系统（HPIAA）金融系统（金融服务法现代化法案 GLBA）对于信息安全的各种规范，以上几个只是美国的，欧洲还有其特有的安全规定。原本在企业自建系统履行合规已经是非常复杂和消耗资源的一项工程，更不用说现在云端迁徙大环境下的复杂程度；

第四：可见性（Visibility）：与 EDR 一样，随着多云端部署发展，每个接入完整链条的可见性都会会变差 (日志，审计，监控都变得困难)：以往在企业广域网整体建设在内部的前提下，可见性是相对完整的，但是在云端部署中，需要极高的协同能力，这个任务对于公司自己的 IT 部门，基本是不可能完成的任务。务必需要第三方服务商的协助。

这四大支柱在云计算世代都面临全新的任务需求，威胁探测，数据保护，合规，可见性全部都要搬到开放网络进行。除此之外，还有访问结构改变带来的额外安全需求：比如说公司网络解除中央访问的限制后，各分支机构/分公司进行开放网络访问都需要设立独立的防火墙和网关，除成本高昂之外，防火墙的解密，检视和重新加密 SSL 协议的整个过程严重影响防火墙表现性能。软件定义广域网（SD-WAN）是应对这一访问结构转变的普遍解决方案。现代 SASE 公司针对 SD-WAN 结构都有软件安全保护政策，将硬件防火墙替换成云软件服务，减省大量的硬件投资，管理和更新等费用。

在数字化转型过程中，绝大多数大型企业都会选择 Zero trust network access（ZTNA）零信任网络访问。ZTNA 的意义在于将公司网络建设与用户访问应用完全分离开来。公司不再需要单独组网，公司内部用户不论在任何地方访问需要使用的应用程序时，并不需要进入特定的网络，而是直接访问应用程序本身，第三方用户也只会被授予某个时点访问个别有需要的应用程序权限。通过 ZTNA 结构，公司不需要拉专线 VPN（翻译：网络提速），没有任何公司网络暴露在互联网中，免于遭受 DDoS 攻击，不需要防火墙硬件设备等。

Zscaler 的两款产品 Zscaler Internet Access（ZIA）和 Zscaler Private Access（ZPA）分别是 SASE 之中的 CASB 产品和 ZTNA 产品。

根据 IDC 测算，每年有 177 亿美元的企业 IT 花销在传统 CASB 领域。这个就是 SASE 类产品的市场空间。除此以外，云端 SASE 解决方案通过减少传统硬件网络搭建成本和硬件器材成本来帮助企业增加 ROI。

Zscaler 在 2018 年 3 月上市前夕，DBNRR 达到 122%，上市前三年 115% 左右，calculated billings（可以简化理解为 SaaS 的收入，因为账单收入是提前收取，在完成合约之前不能被记录成收入，使用 billings 来作为收入的指标是 SaaS 行业的常规）上市前三年增速分别为 55%，62% 和 44%；截止到今年 5 月底的 2021 财年第三季度，公司指引全年 billings 增速 60%，达到 8-8.8 亿美元，DBNRR 达到 126%。公司毛利率在 81%，经营费用率持续下降中。

Okta： Identity and Access Management（IAM）身份管理，Privileged Access Management（PAM）特权访问管理，Passwordless authentication 无密码认证

Gartner 长期将身份管理 IAM 列在十大网安项目之中的分项，焦点经常转移，比如一度网络攻击会针对拥有高权限访问公司网络的用户，PAM 一度是企业网安重点；密码长期都有过弱的特性，容易遭攻破，所以技术条件允许情况下一般都偏好无需密码的认证方式，等。

数字化经济时代，身份认证是个人接触数字世界的第一步。2017 年的一份报告（Password Expose）显示平均每个雇员管理着接近 200 个密码（194 个），每个月输入密码 154 次，耗时 36 分钟。随着云端应用程序的增加，移动办公增加，接入的移动设备增加，IoT 普及等，这个数字还在持续上升。持续增加的认证环节不仅耗时，更重要的是增加了被攻击的风险：从管理 20 个密码到管理 200 个，潜在被攻破的节点多了 10 倍，风险增 10 倍。

过往采用的诸多认证手段比如 SSO（Single Sign-On 单次登入），MFA（Multi-factor authentication）多要素认证（密码 + 动态密码器/一次性密码/电邮短信认证/二维码/指纹或面部识别等）本身的采纳率已经不高（50%~）况且这些标准面对企业的云端迁徙的大环境下几乎都需要重新设计。举个例子，如果我作为员工管理 200 个密码，全部使用 MFA 认证方式，假设 MFA 都采用密码 + 动态密码器，我就要随身携带 200 个这个小玩意儿，就算带得动也翻不动。假设 MFA 采用密码 + 短信一次性密码，每个一次性密码平均等待时间半分钟，我就要花一个半小时等待。显然传统的身份认证方式亟需改变适应云端时代。

如何协助企业管理好员工和顾客的身份认证是网安环节的一个重要守卫点。Okta 是全球领先的独立第三方身份管理解决方案提供商，其云端方案称为身份即服务 IDaaS，或身份云。其主要产品功能和优点有以下几点：

-企业中央目录：用户身份，应用程序，持有设备，账户等互相对应关系全部集中存于一处；

-SSO：单次登录访问所有程序（适合企业雇员）；

-Adaptive MFA（AMFA）（适合企业雇员和顾客）：提供额外安全性，举个例子：使用网络版微信登入界面是典型的 AMFA 案例。当你在电脑端登录微信，默认认证方式是 Push（发送通知到你的手机端，你点击确认即可登上电脑版微信）但是如果失败后（任何原因）电脑版微信会自动生成一个二维码需要你手机扫描才可以登录。AMFA 会智能适应（Adapt）用户使用环境，改换认证要素（MFA 中的 F：Factor）。其他的 AMFA 例子包括认证频次等。

-账户与设备生涯管理：自动化管理用户权限，设备增删等。

Okta 收入模式：

Okta 的收入模式也很简单：按人头收费。已知二手车零售公司 Carmax 是 Okta 客户，其员工总数 26000 名。主要服务收费：

• SSO 2 美元每人每月 Adaptive SSO 5 美元每人每月；
• MFA 3 美元每人每月 Adaptive MFA 6 美元每人每月；
• 企业中央目录： 2 美元每人每月
• 生涯管理：4 美元每人每月，高级版生涯管理 6 美元每人每月

假设初始阶段公司只采用企业中央目录，基本版 SSO 和生涯管理，收入=（2+2+4）*12*26000=250 万美元/年。在获取 Carmax 这个客户之后，Okta 从其雇员部分还有大约一倍的追加销售空间，在其顾客部分也有相当的交叉销售空间。这个上档在 SaaS 中算比较优秀但非顶级。

公司根据行业 IDC 报告预测身份认证市场 TAM 约 170 亿美元。公司 2017 年上市时披露的 DBNRR=124%，2016 全年 calculated billings=1.18 亿美元，客户数>2900；2021 年一季度（截止 4 月 30 日）DBNRR=120%，客户数 10,650，收入增速 45%（2019-2022E），Calcuclated billings 达到 2.93 亿（同比增 40%），值得一提的是公司扣非毛利率从 2016 年 60% 提升至 78.1%。

敬请期待下回分解：Palo Alto Networks, Cloudflare 和 Splunk。