四家网络安全股2022 年 2 月收益回顾

收益：2022 年 2 月回顾

2 月是公共网络安全公司发布年度收益报告的一年中最繁忙的月份。本月，13 家网络安全公司发布了年度收益公告。我们有一些事情要做！

本文简要回顾了四家公司：Cloudflare、Fortinet、Mandiant 和 Qualys。如果没有一篇 10,000 字的文章，我们将没有足够的空间对所有这些内容进行深入研究。那样的深度足以得出关于每家公司的有趣见解。我们还将介绍适用于更广泛市场的一些原则（如“40 规则”）。

重点更多地放在财务上，而不是纯粹的战略上。虽然我并不渴望成为一名财经作家，但这是了解网络安全业务和战略的重要组成部分。深入金融领域对我们所有人都有好处。

为什么网络安全公司的财务状况很重要？作为从业者（绝对是投资者！），您希望与财务状况良好的公司合作。这并不是说您绝对应该避免与不这样做的公司合作，但您需要了解它可能对您产生的影响。

如果一家公司的财务状况良好，他们可以投资于创新、提供良好的服务，并做所有其他具有积极势头的有益事情。否则不可能风险收购、管理层变动，　成为缺乏动力的公司。

财务状况——尤其是在较长时期内表现出来的——通常表明公司提供的质量和价值。人们用他们的钱投票，随着时间的推移，平均法则倾向于使结果正常化。良好的营销、炒作周期、一击必杀的奇迹产品和其他策略可以提升短期业绩。如果没有可持续的基础，这种情况很少会持续。

您想要购买、合作、建立在其之上的公司——或您可能拥有的任何其他商业利益——是能够提供可靠的长期财务业绩和增长的公司。这就是我们所追求的策略。这就是我们在这里花时间关注收益、增长和整体财务业绩的原因。

关于收益。

来自 Cloudflare 的收益新闻稿：

• 第四季度总收入为 1.936 亿美元，同比增长 54%；2021财年收入总计6.564亿美元，同比增长52%

• 基于美元的净留存率达到创纪录的 125%，同比增长 600 个基点，这主要得益于大型企业客户的持续增长

• 第四季度实现创纪录的经营现金流和正的自由现金流；经营现金流为 4060 万美元，占总收入的 21%，自由现金流为 860 万美元，占总收入的 4%

我还没有以有意义的方式撰写有关 Cloudflare 的文章。他们的 2021 年收益发布是一个很好的起点。简而言之，这些结果非常棒。

正如我在Cyber​​security is Going Public中所写，Cloudflare 是我所谓的“混合”网络安全公司：

有些公司是“混合体”——两个或多个传统行业的组合。这种类型的公司无疑是公共网络安全公司的一部分。意见各不相同，有时基于财务数据，有时基于感知和信念。

它们是网络和安全性的结合，具有重要的产品供应和来自两者的收入百分比。大多数行业分析师和投资者将 Cloudflare 归类为网络安全公司。而且，正如我们稍后将讨论的，他们最近的行动证实了这一立场。

第四季度和 2021 年年度收益电话会议从一开始就很乐观——首席执行官马修·普林斯甚至引用了比尔和泰德的精彩冒险中的一句话。忽略股价波动，财务业绩看起来都不错。收入同比增长 52% 和毛利率 79% 是两个最令人印象深刻的数据。

不要担心 Cloudflare 的损失和盈利能力。只要他们年复一年地保持 50% 以上的收入增长（就像他们过去五年所做的那样），一切都很好。

解释原因的教科书方式是“40 规则”。该规则是一种管理增长投资与公司盈利能力之间紧张关系的财务精确（和负责任）的方式。TL;DR，增长和损失之间的差异最多应为 40%。

马修·普林斯在财报电话会议上以一种有趣的方式解释了这个概念：

我告诉他们的故事是想象你每年都看到你的邻居把钱塞进机器里。一年后，更多的钱出来了。年复一年，钱不断堆积起来，又被铲回。

如果一年后，你看着你的窗户，没有看到你的邻居把所有的钱都铲回机器里，你会担心，这台机器出了什么问题？

需要明确的是，我们的机器没有任何问题。只要我们能够实现非凡的增长，我们将继续投入资金以推动创新并吸引新客户。

Cloudflare 的赚钱机器运行良好。2021年，他们的营业亏损占总收入的21.2%。这项投资使收入增加了 54%。

40 规则指南会说收入增加约 20% 是好的（反映约 20% 的运营亏损，两者之间有 40% 的差异）。对于 Cloudflare，如果规则假设 20% 的增长是好的，那么 54% 的增长的实际结果是惊人的。

从视觉上看，五年的增长趋势是这样的——复利的魔力：

Cloudflare 的长期财务模型是所有新兴公共网络安全公司想要做的完美案例研究：

“长期模型”的不精确时机对于理解这个概念并不重要。投资于长期增长背后的理念是：

• 随着收入增长的复合和业务规模的扩大，销售和营销以及 G&A 等费用在收入中所占的比例逐渐降低。
• 研发保持相对稳定，因为新的本土产品产生了额外的收入。
• 盈利能力（营业利润率）随着收入的增长和费用的稳定或下降而上升。

伟大的公司就是这样建立起来的。大多数成长型公司都试图实现这种模式。并非所有人都能达到。Cloudflare 正在顺利进行中。

除了收益之外，Cloudflare 已经在 2022 年快速起步。他们显然正在扩大其在安全领域的影响力，2022 年已经进行了两次 收购。他们显然致力于将网络安全作为增长的主要驱动力，这就是他们的原因重要的是要遵循和理解。

鉴于该公司对网络安全生态系统的重要性和影响，今年我将带您更深入地了解 Cloudflare，敬请期待。

从纳斯达克：

Fortinet Inc. FTNT 2021 年第四季度非公认会计原则每股收益 (EPS) 为 1.23 美元，超过 Zacks 一致估计的 1.14 美元。

此外，收入为 9.636 亿美元，高于市场普遍预期的 9.628 亿美元，同比增长 28.8%。

在开发强大的产品和服务方面的战略投资、向邻近潜在市场扩张的努力以及增强公司的全球销售队伍有助于 Fortinet 的季度业绩。

过去 12 个月，FTNT 股票上涨了 89.2%，而证券市场行业同期下跌了 29.7%。

Fortinet 是一个稳定且始终如一的网络安全行业领导者，它没有像 Zscaler 和 CrowdStrike 这样的公司获得相同程度的炒作。当市场关注短期收益和最新的 IPO 时，很容易忽视这一点。

然而，结果不言自明。Fortinet 目前是市值最高的网络安全公司：

它也是过去一年中为数不多的提高股价的网络安全公司之一——截至上周上涨了 81.79%：

相比之下，由于科技公司的公开市场受到打击，CrowdStrike、Okta 和 SentinelOne 在过去一年都下跌了 25% 以上。

Fortinet 最令人印象深刻的统计数据之一（比今年的收益更大）是该股自 IPO 以来的整体增长。Richard Stiennon上周发布了一份有用的网络安全公司自 IPO 以来的回报分析。Fortinet 作为上市公司 11 年的年回报率为 298.24%。实际上，在 IPO 时投资的 1,000 美元现在价值 33,806 美元。在短短 10 年多的时间里，这是一个惊人的回报。

从战略的角度来看，Fortinet 在引导其生态系统部分的技术发展方面做得非常出色。Fortinet 最初的产品（大约 2002 年）是一个硬件防火墙。从那时起，网络发生了很大变化，尤其是看看当今围绕零信任和无边界安全性的炒作。许多公司在转型方面并没有那么成功。到目前为止，Fortinet 蓬勃发展。

从“蓬勃发展”的角度来看，让我们谈谈 Fortinet 盈利能力的一致性。自 2009 年首次公开募股以来，他们每年都盈利。对于那些保持得分的人来说，这已经是连续 13 年了。很多公司连13个季度的盈利都连不上，更不用说几年了。在当今以亏损为动力的高速增长公司时代，Fortinet 以其教科书式的盈利能力、营业利润率和稳定增长方式脱颖而出。

就品牌而言，他们的 2021 年第四季度财务业绩报告令人印象深刻……以最好的方式。该公司的财务状况非常健康。我读了很多这样的投资者介绍。通常的简介是一长串关于策略和可能性的有趣幻灯片，然后是亏损严重的财务报表。Fortinet 的幻灯片中有趣的幻灯片完全为零 – 只是直接提升了财务实力。

收入增长29%。连续四年增长超过20%。这使 Fortinet 完全进入 Momentum Cyber​​ 的“高增长”网络安全公司类别。请记住，2021 年的收入增长为 33 亿美元。与低于 10 亿美元相比，增长 20% 以上的 30 亿美元要困难得多，因为规模要大得多。

就背景而言，Fortinet 29% 的收入增长意味着从 2020 年到 2021 年的收入增加了 7.48 亿美元。Zscaler在其 2021 财年（2021 年9 月报告）的总收入为6.73 亿美元。因此，今年 Fortinet 现有业务的增长超过了 Zscaler 整个公司的规模。这个例子有点做作（对 Zscaler 不公平），因为 Zscaler 存在的时间不长（复合增长还没有赶上！）。不过，你明白了——Fortinet 正在大规模快速增长。

他们的利润对于任何企业来说都是巨大的，更不用说硬件业务了。毛利率为 77.5%，营业利润率为 26.2%。他们的 FortiGate 硬件业务的利润率同样令人印象深刻：产品和服务收入合计为 77.3%。对于高度依赖硬件产品的企业，您可能会期望其利润率较低。这不是这里的情况。

至于 Fortinet 的策略：不要相信任何告诉你硬件防火墙和网络已死的零信任宣言。Fortinet 的产品收入在 2021 年增长了 37%——“产品”，即硬件收入。面对技术制造商面临的毁灭性全球供应链挑战，这 37% 的增长也发生了。Fortinet 是业内仅有的能够实现这一目标的公司之一。

如果您关注商业战略，那么 Fortinet 是一家值得让更多人感到兴奋的伟大公司。执行和财务绩效的死记硬背不会成为头条新闻，但 Fortinet 值得您关注。

来自 Mandiant 的收益新闻稿：

• 持续运营收入比 2020 年第四季度增长 21%

• 持续运营的年化经常性收入从 2020 年第四季度末增长 23% 至 2.79 亿美元

• 递延收入较 2020 年第四季度末增长 44%，达到 4.1 亿美元

• 根据董事会批准的股票回购计划，在第四季度回购了 2 亿美元的普通股

然而，Mandiant 的 2021 年收益（顺便说一句，这很好！）被与微软进行收购谈判的传言所掩盖。围绕潜在收购而非收益的兴奋导致股价飙升 18%。

创始人兼首席执行官凯文·曼迪亚（Kevin Mandia）拒绝（自然地）在收益期间对传闻中的收购发表评论。在交易中间煽风点火既是冒险之举，也是扼杀交易的好方法。然而，他后来向CRN提出了这个观点：

“我们经营这家公司就像它永远是我们的一样，这就是我们要做的。”

让我们快速回到几个月前 Mandiant 剥离 FireEye 的公告。当时，我担心 Mandiant 的转型时间可能很短：

Mandiant 的产品化服务模式必须开始快速显示结果。如果不是这样，投资者将把 Mandiant 视为另一家盈利能力不佳的专业服务公司。

不幸的是，表现不佳的盈利能力看起来至少会持续到 2023 年。Mandiant 的 2021 年完整财务报表尚未发布，但在财报电话会议上宣布 2021 年第四季度的营业利润率为负 17%。他们对 2022 年的营业利润率预测为负 13% 至负 15%。

Mandiant 领导层对持续亏损的时间表一直持开放和诚实的态度——这一消息在第四季度财报电话会议上并不新鲜。他们正在尽其所能。然而，作为一家上市公司，在盈利能力和增长之间的平衡得到解决之前，它们处于弱势地位。

修复从感知开始。Mandiant 的这个迭代不是旧的 Mandiant。举个例子：您仍然认为 Mandiant 从事专业服务业务吗？再想一想。来自凯文·曼迪亚：

“我们不是服务公司。我们不会每天醒来就走，让我们最大化服务。”

Mandia 驳斥了 Mandiant 是一家专业服务企业的看法，这一点再清楚不过了。从战略的角度来看，观念的转变很重要，对于管理投资者的预期也很重要。

正如我们与 Cloudflare 讨论的那样，软件企业从投资者那里获得了更多的经营损失宽恕。CrowdStrike 是众多例子之一——过去五年平均每年的运营亏损超过 1 亿美元。宽恕的发生是因为损失是由对增长的积极投资造成的，这（如果实现的话）会在以后获得巨额和持续的利润（Cloudflare“长期模型”概念的另一个例子）。这就是为什么对 Mandiant 是什么类型的业务的看法很重要的原因之一。

Mandiant 要么是在自欺欺人，要么是他们致力于产品化服务。我会打赌后者。这是一个更加困难和冒险的选择，但它也是 Mandiant 作为一家独立公司蓬勃发展的最佳策略。

尽管有收购传闻，我仍然希望 Mandiant 有机会建立其未来愿景。我仍然对我在Mandiant 和网络安全服务的未来发表的这句话有同样的感觉：

建立成功的产品化服务业务以解决网络安全攻击等重要的社会问题是一个值得解决的有趣问题。在此过程中，Mandiant 还可能彻底改变行业内专业服务的交付模式。

在 2022 年中断或失去 Mandiant 的威胁情报和事件响应服务将是一个令人难以置信的伤害。当私营部门保护自己免受前所未有的外国网络安全威胁时，我们不能失去我们最好的资产之一。

从纳斯达克：

Qualys……公布截至 2021 年 12 月的季度收入为 1.0978 亿美元……相比之下，去年同期的收入为 9480 万美元。该公司在过去四个季度中四次超过市场普遍预期的收入。

2021 年第四季度对于 Qualys 作为一家专门从事漏洞管理的公司来说是一个有趣的时期。当 Apache Log4j 中的漏洞在 12 月被发现时，各种规模的公司都在争先恐后地管理和修补他们的系统。Qualys 处于这一系列活动的中心。

首席执行官 Sumedh Thakar 在第四季度财报电话会议上谈到了这个话题：

最近备受瞩目的勒索软件攻击和 Log4Shell 等严重漏洞凸显了组织对 Qualys VMDR 等可扩展漏洞管理解决方案的需求，该解决方案不仅可以准确检测这些漏洞，还可以通过集成的资产发现和修复功能帮助减少暴露时间。

他的评估并不夸张——他所说的完全正确。当像 Log4Shell 这样的关键、系统性和广泛影响的漏洞发生时，Qualys 证明了它的价值。聪明的公司总是希望在修补和漏洞修复方面做得尽可能好。

正如我们在第三季度所讨论的，安全工具的整合再次成为一个关键主题——显然是 Qualys 超越其漏洞管理起源的战略的核心部分。在讨论 Qualys 的第三季度业绩时，我对这种策略持怀疑态度，但在深入研究了 CrowdStrike 的策略后，我对捆绑策略的可能变得更加乐观。

另一个值得强调的有趣话题是 Qualys 将销售从自上而下转变为自下而上的计划。Sumedh Thakar 在财报电话会议上描述了这种转变的愿景：

我们的目标是为客户消除摩擦，同时让产品扩展变得简单无忧。目前可能只使用 VMDR 的客户应该能够通过单击按钮来采用我们所有的其他应用程序。

这很有趣，因为您通常不会看到自下而上的反向采用。公司传统上从自下而上的采用开始，随着时间的推移增加自上而下的企业销售，因为他们接触到更大的客户。Qualys 从自上而下的采用开始，现在正试图撤消它，或者至少创造一个更好的平衡。推理是有道理的；我们将看看它在实践中是否有效。

在财报电话会议上，Qualys 宣布其新的扩展检测和响应 (XDR) 产品现已全面上市。正如 Sumedh Thakar 所说，市场仍处于早期阶段。正如我之前在介绍 CrowdStrike 的 XDR 战略时所讨论的，进入 XDR 市场的公司通常拥有现有的端点检测和响应 (EDR) 或 SIEM 产品。Qualys 从其作为漏洞管理领导者的位置进入市场，走出了左路（继续棒球比喻）。不过，该产品确实有一些早期的吸引力，因此在 2022 年进入 XDR 之后将会很有趣。

2021 年收入增长 13%。季度环比趋势略有上升，第四季度增长 16%。这种增长水平并不引人注目，尤其是与 Cloudflare 和 CrowdStrike 等公司相比。他们在Momentum Cyber​​ 行业分析的“低增长”类别中根深蒂固。

然而，作为一家公司，Qualys 至少保持盈利。如果他们亏损并且仅以 13% 的速度增长（还记得我们与 Cloudflare 讨论过的 40 规则吗？），他们的处境将看起来很糟糕。正在取得进展，并且有一些令人兴奋的积极迹象。2022 年对于 Qualys 及其新的管理团队来说将是重要的一年。

收益，收益，收益

2 月是发布财报的最繁忙月份，因为这是大多数 12/31 年终公司完成财务报表并提交文件的时候。然而，仍有几家重要的公司即将迎来 1/31 年末（或更晚）。

在 3 月，我计划介绍几家大约在同一时间发布收益的公司：

• 身份和访问管理 (IAM) 公司（Ping Identity、SailPoint、ForgeRock 和 Okta）都在 3 月初左右公布年度收益。
• 端点检测和响应 (EDR) 公司 CrowdStrike 和 SentinelOne 在 3 月晚些时候发布了他们的年度收益。