Кое-что об инвестициях в пальто

Все большая часть частных инвесторов сегодня уделяет внимание технологическим компаниям и компаниям сферы кибербезопасности. Однако российский рынок пока не может похвастаться собственными публичными компаниями (хотя в ближайшем будущем история может измениться — ожидается, что в ближайшее время на публичный рынок выйдет Positive Technologies, вошедшая в этом году в топ самых дорогих компаний Рунета по версии Forbes). Однако, до тех пор нам остается изучать перспективы зарубежных ИБ-компаний. И сегодня мы сфокусируемся на Palo Alto Networks (NYSE: PANW). Компания развивает продуктовую линейку (почти всю) до противного правильно, проводит успешные (в основном) поглощения, растет стремительно, и ее акции тоже чувствуют себя неплохо. «Пальто» (так часто называют Palo Alto Networks в России) уже стала самым крупным в мире вендором сетевой безопасности и, возможно, самым крупным вендором безопасности в принципе. С последним утверждением пока можно поспорить, но, судя по темпам роста компании, спор продлится не очень долго. Это идеальный кандидат для разговора об успешности инвестиций в информационную безопасность. История акций Palo Alto в целом положительная, рекомендация прямо сейчас у многих финансовых блогеров стоит на «buy». Хотя, конечно же, ничего из ниже- и вышенаписанного ни в коем случае не является инвестиционной рекомендацией.

Сухая выжимка IPO. Просто чтобы понять, что успешный вендор ИБ успешен на IPO.

Компания провела IPO 20 июля 2012 года. Размещение, 4-е по величине в 2012 году среди технологических, оказалось успешным. За первый день торгов акции выросли на 26%, с 42 до 53 долларов. Это при том, что еще за неделю до размещения рассматривался коридор 34-37 долларов за акцию. Компания рискнула, оценила себя выше и не прогадала. Всего на продажу выставили около 10% акций. Вот еще интересные факты про IPO:

• итоговая оценка компании в рамках IPO: 3.741 миллиарда долларов. Продажи компании в 2011 году ― 118.6 миллионов (в 2012-м закрыли через несколько дней после IPO ― 255.1 миллиона). Мультипликатор ― почти 15;
• в 2012 году IPO технологических компаний были немного под вопросом. Дело в том, что в том же году в мае на биржу очень неудачно вышел Facebook. После этого каждое следующее большое размещение вызывало сомнения. Так относились к PANW, так же относились к ServiceNow, которые вышли на биржу за месяц до них. Пальто показали, что вера в кибербез у инвесторов крепка, даже если в тартарары летит что-нибудь очень важное;
• для сравнения: вместе с PANW на биржу выходили Splunk, Kayak и Qualys. Splunk занял в списке 5-е место, отстав по оценке почти на миллиард. Kayak был седьмым, Qualys замыкал третью десятку.

До конца 2012 года акции гульнули вверх до 65, в 2013 вернулись назад в 44. Но, если бы вы вложились в «Пальто» 20 июля 2012 года и не продавали бы вообще ничего и никак, сегодня вы бы оказались достаточно довольным человеком. Значительно более довольным, чем если бы положили деньги на депозит, и даже в два с лишним раза более довольным, чем если бы положили их в S&P500:

Что нового принесла Palo Alto

В истории Palo Alto Networks есть три момента, которые можно считать прорывными: появление Next Generation Firewall (NGFW), продажа подписочных сервисов к NGFW из облака, большой акцент на защиту новой модели потребления IT ― снова из облака. Технологически компания придумала только первый, поэтому и поговорим о нем.

На дворе середина двухтысячных. Уже есть Facebook, Dropbox, куча приложений, которые связаны с бизнес-деятельностью предприятий. Все они работают через веб. Технически это значит, что приложения ходят в интернет точно так же, как и пользователь, который пошел читать новости. Возникает вопрос: как запретить одни приложения и разрешить другие? Старые межсетевые экраны на периметре предприятий решали эту задачу фильтрацией по портам и адресам. С новыми приложениями, которые все ходят по одним и тем же портам (веб — это 80 и 443), и в условиях, когда список целевых адресов для приложения подгружается из интернета и постоянно меняется, такой вариант точно не работает.

NGFW от Palo Alto умеет разбирать соединение на запчасти, определять, к какому приложению оно относится, и применять нужные политики. Из общего веб-потока данных на предприятии теперь можно, к примеру, выдернуть Facebook и запретить именно его при необходимости. Если говорить серьезно ― появление NGFW позволило хоть как-то внедрять и контролировать политики безопасности, связанные с использованием интернета и основанные на веб-приложениях внутри предприятий. До этого для вменяемого решения задачи нужно было закупать несколько железок у разных вендоров, сопрягать все это вместе и дополнительно раскатывать какое-то количество клиентских агентов на каждую машину в офисе. Это долго, сложно и утомительно, поэтому, если честно, так почти никто не делал.

Быстрый разбор и фильтрация на уровне приложений ― не единственная возможность NGFW. В нем (или в них, как в классе решений), появились site-to-site VPN для связывания удаленных офисов в единую сеть, фильтрация обращений извне к веб-приложениям и множество других сервисов, о которых мы поговорим дальше. Но начало всему положила проблема применения политик безопасности там, где победил веб.

Ранние годы, взлет до IPO, облачные подписки

История плохо сохранила цифры продаж 2007 года, а дальше картина в миллионах долларов стала выглядеть так:

Понятно, что сильно играет эффект низкой базы, и вечным такой рост быть не может. Он и не был таким, хотя меньше, чем на 50% в год компания росла только в 2016 году, да и то с результатом 48.5%. Но все же очевидно, что идея NGFW выстрелила, создала новый рынок. На этом рынке был явный лидер. Он хотел расти дальше и рос, но до выхода на IPO не спешил набивать портфель явным «леваком», чтобы увеличить Тotal Addressable Market. С 2007 по 2012 в портфеле компании появились:

• Обычный NGFW;
• Виртуальный NGFW (то же самое, но на виртуальной машине) – 2012;
• NGFW для SMB и маленьких удаленных офисов (заодно для того, чтобы делать единую частную сеть) – 2011;
• Централизованное управление NGFW в рамках предприятия – Panorama, 2012;
• WildFire – 2011;
• GlobalProtect – 2011.

Первые четыре пункта в той или иной степени связаны с NGFW: эксплуатируют одну и ту же технологию и ее успех. Компания не размывала фокус и методично расширяла границы (и аудиторию) созданного рынка.

WildFire ― это, кажется, первая в мире облачная песочница, которую Palo Alto начала продавать по подписке. Это бизнес-находка компании, прорыв номер два, который оказал существенное влияние на дальнейший рост. Идея снова легко объясняется на пальцах. Из интернета в сеть клиента едут файлы. Файлы могут содержать зловреды. Давайте будем запускать эти файлы в виртуальной среде и смотреть, как именно они себя ведут: очень вредоносно или нет. Дальше будем решать, стоит ли по этому поводу что-нибудь предпринимать. П(р)одается все это под соусом дополнительной степени защиты от сложных целенаправленных атак.

Теперь самое интересное. Все то же самое и в это же время (или чуть раньше) делает FireEye, который вкладывает маркетинговые средства в раскрутку необходимости песочниц. Но FireEye продает железные песочницы, которые нужно:

• сначала заказать, оплатить полностью и сразу (а стоят они как самолет);
• привезти и засунуть куда-то в стойку;масштабировать, если поток стал больше;
• чинить, если сломалось железо и вообще как-то обслуживать;продавать и каждый раз делить выручку с производителем недешевого железа.

Всех этих недостатков лишен WildFire: у тебя есть NGFW от «Пальто», ты доплачиваешь помесячно за использование, файлы улетают куда-то в облако, а тебе нужно просто смотреть за тем, чтобы они туда действительно улетали. Это «не очень» с точки зрения тех, кому важно, чтобы данные не покидали периметр (таким потом дали On-Premise-вариант), но «очень и очень» для тех, кто просто хочет прозрачности и экономии средств на ИБ. Прекрасный вариант для клиента. Не менее прекрасный апселл для компании, требующий нулевых изменений в инфраструктуре клиента, нулевых логистических расходов и дающий большую экономию на железе за счет масштаба. А еще доход от подписок целиком идет в ARR, что повышает привлекательность компании для инвесторов.

Идея снова взлетела, и клиенты начали массово покупать облачный песок. К 2016 году у Palo Alto было 34000 клиентов ― 12800 (38%) из них использовали WildFire. В 2017 году у компании было 42500 клиентов, и уже 19000 (45%) из них использовали WildFire.

GlobalProtect, обеспечивающий единую контролируемую точку выхода в интернет для удаленных сотрудников, был не так популярен. Зато вышедшие позже подписочные URL Filtering и Threat Prevention стали еще более востребованы. В том же 2017 году их использовали 72% и 87% клиентов Пальто соответственно.

Компания оценила успех подписочных сервисов, не стала останавливаться на достигнутом и продолжает добавлять новые подписки по сей день. Судя по инвесторским презентациям, большинство клиентов, однажды начав использовать одну из подписок, уже не отказывается от нее.

Взлет и после IPO: развитие бизнеса, третий дизрапт

Став публичной компанией и получив много денег, «Пальто» все-таки занялась любимым делом всех публичных компаний: скупкой перспективных и не совсем стартапов. 9 лет и несколько миллиардов долларов позволили приобрести 16 компаний, которые принесли:

• экспертизу в безопасности, защите от угроз и расследованиях (которой не было или почти не было в самом начале);
• сервисное направление;
• новые облачные подписки;
• линейку продуктов для защиты предприятий Cortex, в которую входят XDR (купили 2 эндпойнта), периметровый NDR, SOAR и др.;
• самую полную на рынке защиту облачных ресурсов, которая и стала третьим большим направлением инвестиций, а затем и успехом компании.

Из 16 купленных компаний восемь относились к безопасности доступа к облакам и приложений в самих облаках. Пальто не хватала с рынка самые горячие и хайповые пирожки, покупки выглядят как часть долго реализуемой стратегии.

В 2021 облачная безопасность принесет Palo Alto примерно 600 миллионов из общих 4200. Это немного, если учесть, сколько было потрачено на покупки, и все еще заметно меньше, чем NGFW с его суперуспешными подписками. С другой стороны, направление NGFW ежегодно растет на 17% ― рост все еще есть, но уже совсем не такой быстрый. При этом ежегодный прирост направления облачной безопасности ― 90%. Учитывая всевозрастающую любовь развитых рынков к облачным технологиям, можно предположить, что уже в следующем году доля облачной платформы в общем пироге доходов станет значительно более заметной.

Вообще же выручка компании после IPO росла следующим образом:

• рост никогда не был ниже двузначных показателей, и только один раз в 2020 году был ниже 20%. Компания объяснила это достаточно просто: «В привлечении новых клиентов мы все еще сильно зависим от основного паровоза ― железных и виртуальных NGFW». Попробуйте доставить железку в дата-центр, когда те, кто принимают, те, кто настраивают, и даже те, кто везут, сидят дома из-за пандемии, а на дата-центре висит большой амбарный замок. После отмены локдауна все вернулось на свои места: в 2021 году ожидается рост в 24%, если так все и продолжится, то в 2022-м доходы компании перешагнут отметку в 5 миллиардов.
• в 2019 году доходы от сетевой безопасности Palo Alto превзошли доходы от сетевой безопасности Cisco. Пальто официально стала самым большим вендором сетевой безопасности в мире.
• в 2019 году у компании было 65000 клиентов, и это на 20% больше, чем в 2018-м. Видимо, в ковидном 2020-м году этот показатель сильно не увеличился, поэтому в последнее время он исчез из публичных источников. Тем не менее, учитывая, что среди 65000 персональных пользователей нет вообще, а отказаться от использования железного оборудования совсем не просто, ― компания устойчива, и сходу даже сложно предположить, что может поколебать ее дальнейшее благополучие в ближайшие годы.

Коротко про Платформы в Palo Alto

У компании интересный подход к продуктовому портфелю. Портфель делится на три платформы:

• Strata – сетевая безопасность, включает NGFW и прилегающие сервисы и продукты;
• Cortex – теперь автоматизация Security Operations Center, до этого странное Secure the Future, до этого Advanced EndPoint Protection – защита эндпойнтов + система автоматизации реагирования;
• Prisma Cloud – все, что связано с безопасностью в облаках.

Компания постоянно пытается объединить три разных компонента в некоторую общую единую стройную красивую структуру, но замаха на безопасность вообще всего предприятия не делает. Вместо этого подчеркивается, как хороша каждая из платформ в своей области, и как все вместе они помогают клиентам стать более безопасными с разных сторон. Сложно судить, почему так. Может, это серьезный план и так лучше с точки зрения маркетинга. А может – для полного цикла не хватает экспертов в безопасности (компания-то исходно чисто продуктовая), и с их появлением и дальнейшим переосознанием масштабов и сложности задач обеспечения безопасности Large Enterprise – нас ждут новые продукты и новые платформы от Palo Alto. Или же оттачивание экспертизы в отдельных нишах, а не покрытие всего спектра задач кибербезопасности, и является стратегией компании. На второй путь робко указывает, например, вливание большого количества ресурсов в Unit42 – экспертное подразделение, занимающееся исследованиями, расследованиями, реагированием на инциденты и т.д.

Все-таки не без дегтя

Может показаться, что Palo Alto делает все идеально. Но это не так. Сегодня слабым местом видится история со второй из трех платформ: Cortex, она же XDR+SOAR.

Свой первый эндпойнт, Traps, компания купила в 2014 году. Через три года после покупки, в конце 2017-го, Traps использовали 1400 клиентов. Трех лет с головой хватило бы для доработки и полноценной интеграции продукта. Но цифра 1400 звучит хорошо только сама по себе. Рядом с общим числом клиентов, которых 42500, это всего лишь 3%.

Второй эндпойнт, Secdo, был куплен в 2018-м. В 2019 году на базе Secdo, Traps и еще пары купленных продуктов был объявлен XDR Cortex. В 2019 компания докупила лидера на рынке SOAR Demisto, заявила об открытой платформе с возможностью интеграции любых сторонних вендоров и вообще всячески декларировала окончательный и бесповоротный успех. Второе (или третье) маркетинговое переобувание и докупки особенного успеха не принесли. К марту 2021 у Cortex XDR было 2400 клиентов.

При этом логика развития направления понятна и разумна с точки зрения безопасности: мы знаем все про сеть клиента (мы на ней сидим), давайте дадим возможность защищать еще и конечные точки. Таким образом мы дадим заказчику необходимый готовый набор для защиты предприятия. Большая история всегда выглядит лучше, чем нишевая. Так поступали на рынке множество раз: сетевики покупали эндпойнты, эндпойнтные компании делали или покупали сетевую безопасность. Но вот какая штука: ни разу купленная технология в паре «сеть―эндпойнт» не повторяла успеха материнской в плане продаж. Бывало так, что купленная технология побеждала в конкурсах. Бывало так, что занимала лидирующие места в Gartner Magic Quadrants. Но чтобы стала хотя бы наполовину такой же успешной, как родная технология материнской компании, ― таких случаев история, кажется, не знает.

Возможно, при этом Cortex успешен и прибылен. У Palo Alto, наверняка, есть какое-то количество клиентов, которые предпочитают покупать безопасность в одном магазине, они-то и покупают Cortex. И еще, скорее всего, сколько-то клиентов принесет история открытой платформы, построенной на базе Demisto. И для полной истории безопасности облака никак не обойтись без защиты, собственно, самих облачных серверов (конечных точек) и мониторинга трафика между ними.

Но все-таки, по доходам Cortex ― это явно не сетевая безопасность. И даже явно не облачная. И две попытки маркетингового переобувания истории с эндпойнтами говорят, что компания понимает это.

Еще немного о покупках

Покупки Palo Alto интересны с еще одной стороны. Основатель компании Нир Зук, помимо всех прочих талантов и достижений, провел 5 лет в израильской армии (IDF), в Unit 8200, подразделении, отвечающем за сбор информации, электронную разведку, вопросы шифрования и компьютеры. Википедия утверждает, что, по слухам, именно в Unit 8200 был создан поразивший иранские атомные станции вирус Stuxnet.

Любопытно, что 7 из 16 компаний (в том числе оба эндпойнта и все оставшиеся компании, которые послужили базой для Cortex, включая Demisto), купленных Palo Alto, тоже основаны выходцами из IDF.

Продолжая тему армии и спецслужб.

В 2013 году первой покупкой Palo Alto стала Morta, стартап, основанный выходцами и экспертами из АНБ и находившийся в режиме «мы не скажем вам, что мы делаем». Что делала Morta, знает теперь только Palo Alto, а эксперты пригодились для улучшения облачной песочницы.

Сервис сканирования периметра компаний извне, Expanse, купленный Пальто в 2020 году, был основан выходцами из DAPRA, управления Министерства обороны США, отвечающего за разработку новых технологий для использования в интересах вооружённых сил.

Наконец, сервисная компания, занимающаяся реагированием на инциденты и проведением расследований, Crypsis Group, которая вошла в состав Palo Alto также в 2020 году, тоже была не просто так. Во главе ее стоял многолетний ветеран Air Force Unit of Special Investigations, еще одного военного подразделения из США.

Вместе с компаниями, в Palo Alto вливались и основатели, правда, некоторые из них уже покинули Пальто.

Кажется, что в списке купленных компаний не завязаны на вооруженные силы каких-нибудь стран только те, что основаны этническими выходцами не из США и Израиля: индийцами, китайцами и т.д. Правда, не исключено, что про них мы просто знаем чуть меньше.

Самый важный человек в компании

Если вы думаете инвестировать в компанию перед выходом на IPO ― обязательно присмотритесь, кто в ней что делает и что это за люди.

У Palo Alto Networks было как минимум два президента, пара финансовых директоров, множество талантливых руководителей направлений (в том числе, из поглощенных стартапов), и всего один CTO. Он же основатель, он же главный визионер, он же эксперт в сетевой безопасности, он же серийный предприниматель, он же человек, придумавший NGFW, он же раньше других осознавший широкие горизонты облаков. Нир Зук утверждает, что строил компанию, в которой ему удобно бы было работать, и случайно или нет, построил лидера рынка. После IDF Нир:

• трудился в CheckPoint (межсетевые экраны и сетевая безопасность), куда его позвал сослуживец по IDF и сооснователь компании Гил Швед (Gil Shwed) и которую он покинул в 1998 году, когда компания стала слишком бюрократичной и не хотела развивать новые продукты и технологии (в том числе закрыли один из проектов Нира, сделанный полуподпольно в свободное время);
• основал компанию OneSecure, Managed Service Provider в сетевой безопасности, которую через два с половиной года поглотил NetScreen. Он, в свою очередь, в 2004 году был куплен Juniper;
• покинул Juniper после года работы (точнее ожидания), остался без денег, развелся (неизвестно в каком порядке), практически переехал в гараж и основал Palo Alto;
• в 2012 году, выведя компанию на IPO, следует полагать, переехал из гаража, потому что даже 5% акций это немало (Нир оставил себе ровно в пять раз меньше, чем обычно берут основатели, и раздал остальное ранним сотрудникам компании).

В 2014 Juniper обвинил Palo Alto в нарушении интеллектуальной собственности. В иске фигурировали 11 патентов, все на бывших сотрудников NetScreen, три из них были выписаны лично на Нира. Компании договорились, и Palo Alto заплатила за примирение 175 миллионов долларов в деньгах и акциях.

В 2018 Palo Alto обогнала по доходам компании старых друзей из CheckPoint.

В 2019 Palo Alto стала самым крупным вендором сетевой безопасности в мире.

В 2022 году, похоже, компания обгонит Juniper, причем не в продаже решений по безопасности, а в абсолютных величинах.

Желание делать новые продукты и вводить инновации может и не привести начинание к успеху. Но отсутствие инноваций и новых продуктов, а также политика и соглашательство в больших дозах ― не приведут к нему точно.

Выводы

Вообще текст получился настолько длинный, что выводы хочется написать короткие и без пояснений. Вышеизложенное объясняет наш путь к ним:

1. IPO компании с дизраптом будет успешным, даже если вокруг на бирже все не так радужно.
2. Один дизрапт прекрасен для IPO. Для дальнейшего стремительного развития компания должна искать новые возможности и предлагать что-то еще.
3. Palo Alto не пошла типичным для подготовки к IPO путем создания продуктов-затычек с целью максимального расширения Тotal Аddresable Мarket и улучшения мнения инвесторов. У компании была своя стратегия, которая заключалась в расширении собранного рынка. Вместо ТАМ сработал факт кратного роста продаж.
4. Пальто продолжает расти достаточно быстро для четырехмиллиардной компании. Пока не видно, что сможет затормозить этот рост.
5. Выбирая компанию для инвестиций в IPO, смотрите на ее культуру и тех, кто стоит во главе. Затормозить и стать еще одной корпоративной культурой ужасно легко. Прорывы, как правило, совершают любопытные бунтари и революционеры.

P.S. 23 августа вышел годовой отчет компании. Количество клиентов увеличилось до 85000, выручка перевалила за 4 миллиарда, план роста на 2022 год: 24-25%. После публикации отчета акции PANW уверенно прибавили 20%.

Ждём ответного хода от Positive Technologies.