《CrowdStrike-美股公司投资价值分析报告:新一代端点安全领导者安全开支整合者-230321(42页).pdf》由会员分享,可在线阅读,更多相关《CrowdStrike-美股公司投资价值分析报告:新一代端点安全领导者安全开支整合者-230321(42页).pdf(42页珍藏版)》请在三个皮匠报告上搜索。
1、 证券研究报告证券研究报告 请务必阅读正文之后第请务必阅读正文之后第 41 页起的免责条款和声明页起的免责条款和声明 新一代端点安全领导者,安全开支整合者新一代端点安全领导者,安全开支整合者 CrowdStrike(CRWD.OQ)投资价值分析报告2023.3.21 中信证券研究部中信证券研究部 核心观点核心观点 陈俊云陈俊云 前瞻研究首席 分析师 S01 许英博许英博 科技产业首席 分析师 S41 刘锐刘锐 前瞻研究分析师 S01 作为全球端点安全市场的领导者,作为全球端点安全市场的领导者,CrowdStrike 在在 202
2、1H2-2022H1 全球端点全球端点安全市场中安全市场中份额占比份额占比 18%,从静态份额的角度和动态份额获得的角度均位列全,从静态份额的角度和动态份额获得的角度均位列全球第一球第一。与此同时,公司与此同时,公司亦凭借易于扩展的平台架构实现了身份保护、日志管亦凭借易于扩展的平台架构实现了身份保护、日志管理理&XDR、云安全领域的有效扩展和快速增长,、云安全领域的有效扩展和快速增长,FY2023 年末公司端点安全产年末公司端点安全产品以外的新品贡献的品以外的新品贡献的 ARR 已经达到已经达到 5.6 亿美元(亿美元(+114%YoY),占公司整体),占公司整体ARR 比例已经超过比例已经超
3、过 20%。基于公司在核心端点安全市场的领导者地位及不断基于公司在核心端点安全市场的领导者地位及不断强化的竞争壁垒,以及公司在身份保护、云安全、强化的竞争壁垒,以及公司在身份保护、云安全、XDR、数据丢失保护等诸多、数据丢失保护等诸多领域的渗透及快速增长,我们看好公司长期的发展空间及投资价值。领域的渗透及快速增长,我们看好公司长期的发展空间及投资价值。CrowdStrike:全球领先的新一代端点安全厂商。:全球领先的新一代端点安全厂商。CrowdStrike 成立于 2011 年,从端点安全产品起步,致力于重塑云时代的信息安全产品,改变交付和客户体验安全产品的方式。面对日益复杂的网络环境和变化
4、多端的攻击方式,传统的安全手段难以应对攻击者战术手段的迅速变化;CrowdStrike 基于 Falcon 云原生平台及 Threat Graph 数据库引擎,利用前端轻量代理收集的海量企业数据和平台整合的外部威胁情报,对恶意攻击行为予以自动检测和实时预防,使客户的防御手段持续领先于外部攻击者。目前,公司拥有端点安全、云安全、威胁情报、身份保护、安全&IT 运营、日志管理六大产品类别,Falcon 平台已提供23 个核心产品模块,覆盖多个安全细分市场。FY 2023 年末,公司 ARR(年度经常性收入)达到 25.6 亿美元(+48%YoY),FY2019-FY2023 ARR CAGR近 7
5、0%。行业分析:端点安全优势强化,新兴行业分析:端点安全优势强化,新兴市场多点开花。市场多点开花。随着网络威胁行为从盲目粗暴转变为精确隐秘,端点安全产品不断进化,从静态变为动态,从被动变为主动,从基于“特征”变为基于“行为”。IDC 预计,2021 年-2026 年,全球企业端点安全市场规模将实现 14.9%的年均复合增速,从 103亿美元增长到 206亿美元。目前端点安全市场份额已经呈现出了向新一代头部 EDR 厂商集中的明显态势,CrowdStrike 持续快速获得份额。与此同时,通过市面主流端点安全产品的横向对比,我们亦能发现 CrowdStrike 在产品性能、跨平台兼容性和易用性上的
6、显著优势。依靠先发优势和领先的技术水平,CrowdStrike 在 EDR 领域占据大量市场份额并积累了丰厚的客户资源,单一轻量级代理也为 up-sell 和cross-sell 创造了良好条件,为公司业务边界的持续扩张奠定基础。在 2022 年投资者日上,CrowdStrike 根据目前产品面向的细分市场进行测算,得到 2023年 TAM 为 761 亿美元,且预计 2025 年将增长到 978 亿美元;若考虑潜在的产品计划,公司预计这一市场空间将在 2026 年扩充至 1580 亿美元。根据公司财报,FY2023 年末公司端点安全产品以外的新品贡献的 ARR 已经达到 5.6 亿美元(+1
7、14%YoY),占公司整体 ARR 比例已经超过 20%。公司分析:技术公司分析:技术&生态构筑核心壁垒,生态构筑核心壁垒,客群广泛且稳定。客群广泛且稳定。1)技术优势:)技术优势:前端轻量级的代理以及后端的威胁图数据库,使得公司能够在不影响端点性能的前提下不断丰富平台的功能和性能;与此同时,持续丰富的数据集以及不断强化的算法模型亦为公司提供了持续强化的竞争壁垒。2)客户资源:)客户资源:公司的订阅客户数量持续快速增长,从 2016 年的 450 名增加到 2022 年的 23,019 名,复合增长率高达 93%,新客户订阅模块的平均数量也由 2016 年的 2.0 个上升至 2021年的 4
8、.7 个;客户粘性方面,公司净收入留存率持续保持在 120%以上,总留存率一直维持在 98%以上的高水平。3)渠道)渠道&销售:销售:由于安全产品专业属性较强,系统集成商、托管服务提供商等合作伙伴渠道是公司合同收入的主要来源,FY2023 公司通过合作伙伴渠道获得的收入达到总收入的 83%,而免费试用的产品模块亦大大提升了潜在客户的覆盖范围,能够使得销售团队有的放矢地完 CrowdStrike(CRWD.OQ)投资价值分析报告投资价值分析报告2023.3.21 请务必阅读正文之后的免责条款和声明 2 成试用客户的付费转化。长期成长性:持续深耕核心市场,不断延展新模块、新区域长期成长性:持续深耕
9、核心市场,不断延展新模块、新区域。1)替换传统端点)替换传统端点安全产品:安全产品:目前,CrowdStrike 监控端点数远小于 TrendMicro、Symantec 等传统厂商,面向超过 6 亿的全球商用 PC+服务器安装基数仍有巨大渗透空间。2)渗透现有客户:渗透现有客户:公司估计,根据 2022 财年 17 亿美元的 ARR,如果现有客户购买所有模块,其全平台机会将达到 70 亿美元。在订阅客户中,目前大约 62%的客户拥有五个或更多模块,39%的客户拥有六个或更多模块,22%的客户拥有七个或更多模块,我们预计随时间推移订阅收入将会继续保持增长趋势。3)开开拓海外市场:拓海外市场:2
10、023 财年,CrowdStrike 约 70%的收入来自美国市场,在海外市场方面仍有很大的发展空间。目前,公司正在增加对海外业务的投资以扩大国际客户基数,包括增加欧洲、中东、亚太地区的员工人数,扩大当前的海外数据中心等。4)拓展新的产品模块:拓展新的产品模块:公司成立以来持续通过内生研发和外延并购扩充平台产品模块,其中基于对 Preempt Security、Humio、Reposify 等公司的并购推出的身份保护、XDR&日志管理、EASM 等产品均取得了显著的协同效果,FY2023 均实现了三位数的增速。风险因素:风险因素:企业 SaaS 端点安全解决方案需求走弱的风险;产品更新迭代风险
11、;公司客户拓展不力的风险;市场竞争加剧的风险;遭受数据泄露、网络攻击的风险;核心人员流失的风险;公司海外业务扩张不及预期的风险等。盈利预测与盈利预测与投资建议投资建议:作为新一代端点安全产品的领导者,Crowdstrike 在持续快速获得端点安全市场份额的同时,亦实现了身份保护、日志管理&XDR、云安全领域的有效扩展和快速增长,正在成为全球安全开支的有力整合者。我们预计公司 FY2024/25/26 营业收入分别为 30.0/38.4/47.9 亿美元,对应同比增速分别为 34%/28%/24.6%;Non-GAAP 净利润分别为 5.8/7.6/9.9 亿美元,对应同比增速分别为 54.6%
12、/26.9%/27.0%;自由现金流分别为 9.1/12.3/15.8 亿美元,对应同比增速分别为 34.3%/35.1%/28.8%。基于公司在核心端点安全市场的领导者地位及不断强化的竞争壁垒,以及公司在身份保护、云安全、XDR、数据丢失保护等诸多领域的渗透及快速增长,我们看好公司长期的发展空间及投资价值。项目项目/年度年度 2021 2022 2023E 2024E 2025E 营业收入(百万美元)1,452 2,241 3,004 3,844 4,791 营业收入增长率 YoY 66.0%54.4%34.0%28.0%24.6%Non-GAAP 营业利润(百万美元)196 356 513
13、 708 982 Non-GAAP 净利润(百万美元)161 368 579 759 992 增长率 YoY NA 128.4%54.6%26.9%27.0%FCF(百万美元)442 677 909 1,229 1,583 增长率 YoY 50.8%53.2%34.3%35.1%28.8%PFCF 71 46 35 26 20 PS 22 14 10 8 7 资料来源:彭博,中信证券研究部预测 注:股价为 2023 年 3 月 17 日收盘价 9WfYeUdXbUeZbZcWaQcM7NtRmMoMmPeRqQmPeRoMtR6MmMxOMYnMqRwMrNxO CrowdStrike(CRW
14、D.OQ)投资价值分析报告投资价值分析报告2023.3.21 请务必阅读正文之后的免责条款和声明 3 目录目录 公司概况:全球领先的新一代端点安全厂商公司概况:全球领先的新一代端点安全厂商.6 公司概述:以云原生技术变革端点安全行业.6 主营业务:基于 SaaS 订阅模式提供平台化安全方案.7 高管&股东:管理团队经验深厚,股权结构较为分散.10 财务分析:收入快速增长,盈利能力持续提升.11 行业分析:端点安全优势强化,新兴市场多点开花行业分析:端点安全优势强化,新兴市场多点开花.13 行业背景:网络攻击持续升级,成为各国政府核心议题.13 端点安全:行业处于变革时期,CrowdStrike
15、 快速获得份额.15 TAM 延展:产品线迅速丰富,潜在市场持续扩张.20 XDR:EDR 的下一步演进方向,数据生态巩固平台壁垒.25 公司公司分析:技术分析:技术&生态构筑核心壁垒,长期机会明确生态构筑核心壁垒,长期机会明确.29 竞争优势:技术领先、生态全面、客群广泛且稳定.29 未来成长性:替换传统产品+渗透现有客户+开拓海外市场+产品模块迭代更新.34 风险因素风险因素.37 盈利预测盈利预测.38 收入&费用预测.38 盈利预测及投资建议.39 CrowdStrike(CRWD.OQ)投资价值分析报告投资价值分析报告2023.3.21 请务必阅读正文之后的免责条款和声明 4 插图目
16、录插图目录 图 1:公司发展历程.6 图 2:公司历史 EV/S NTM 水平.6 图 3:公司上市以来市值表现(亿美元).6 图 4:CrowdStrike 模块组成.7 图 5:公司股权结构.11 图 6:公司营业收入及增速(百万美元,%).12 图 7:公司收入结构.12 图 8:公司毛利率(%).12 图 9:公司订阅、专业服务毛利率水平(%).12 图 10:公司期间费用率(%).13 图 11:公司净利润及净利率(%).13 图 12:公司三类现金流(百万美元).13 图 13:全球数字经济增加值规模及占 GDP 比重(万亿美元,%).14 图 14:各地区人均联网设备数量(个).
17、14 图 15:全球数据泄露平均成本(万美元).14 图 16:网络安全关键词在企业文档中的出现频次.14 图 17:全球安全即服务(Security as a Service)市场规模及增速(百万美元,%)15 图 18:针对端点的攻击组成.16 图 19:端点安全产品进程.17 图 20:20152021 年商用 PC 出货量及增速(百万台,%).18 图 21:全球端点安全市场收入规模及增速(十亿美元,%).18 图 22:On-Premise 与 SaaS 软件总体成本占比(3 年).18 图 23:2021H2-2022H1 全球端点安全市场份额(%).19 图 24:2021H2-
18、2022H1 全球端点安全市场份额获得者及丢失者.19 图 25:公司 TAM(潜在市场空间).20 图 26:CrowdStrike 细分市场 TAM 及相关产品模块.21 图 27:FY 2023 年末公司端点安全产品以外新品 ARR 结构.21 图 28:公司新品(除云安全)ARR(百万美元).21 图 29:全球云安全市场规模及增速(百万美元,%).22 图 30:全球云安全市场份额(%).22 图 31:IaaS+PaaS 市场规模(十亿美元).22 图 32:云安全占公有云市场(IaaS+PaaS)的比例(%).22 图 33:全球虚拟机数量及增速(百万,%).23 图 34:全球
19、容器实例数量及增速(百万,%).23 图 35:ZTNA 主要架构.23 图 36:ZTNA 体系中完善了基于端点侧的身份验证.24 图 37:全球 IAM 市场规模及增速(百万美元,%).24 图 38:XDR 模型架构.26 图 39:2022 年 Gartner 安全运营成熟度曲线.27 图 40:云原生 XDR 市场总收入(百万美元).27 图 41:SIEM 市场总收入及增速(百万美元,%).28 图 42:Crowd XDR 联盟.29 CrowdStrike(CRWD.OQ)投资价值分析报告投资价值分析报告2023.3.21 请务必阅读正文之后的免责条款和声明 5 图 43:威胁
20、图主要功能.29 图 44:威胁图降低企业 TCO.29 图 45:CrowdStrike 云原生平台元素.30 图 46:CrowdStrike 云原生平台元素.31 图 47:订阅客户数量及其增速.31 图 48:不同规模客户的数量.31 图 49:订阅不同模块数量的客户占比.32 图 50:基于美元的总留存率与净留存率.32 图 51:订阅不同模块数量的客户占比.32 图 52:CrowdStrike 部分核心客户.32 图 53:Go-To-Market 策略.34 图 54:主流端点安全厂商监控端点数(百万台).34 图 55:现有客户购买所有模块时实现的 ARR.35 图 56:F
21、Y23 公司按地区划分的收入情况.35 图 57:公司各模块构成.36 表格目录表格目录 表 1:公司主要产品及功能.7 表 2:公司产品相关时间线.8 表 3:CrowdStrike 定价模式.10 表 4:公司核心管理层和技术人员.10 表 5:2020 年-2022 年部分国家网络安全相关政策文件梳理.15 表 6:EDR 的核心功能.17 表 7:CrowdStrike 与其他网络安全供应商对比.19 表 8:IAM 各细分市场介绍.25 表 9:XDR 的核心能力.26 表 10:XDR 与 SIEM 对比.27 表 11:CrowdStrike 的合作伙伴网络.33 表 12:Cr
22、owdStrike 并购历程梳理.36 表 13:公司目标运营模式.37 表 14:收入及费用率预测.38 表 15:盈利预测及估值.39 CrowdStrike(CRWD.OQ)投资价值分析报告投资价值分析报告2023.3.21 请务必阅读正文之后的免责条款和声明 6 公司概况:公司概况:全球领先的新一代端点安全厂商全球领先的新一代端点安全厂商 公司概述:公司概述:以云原生技术变革端点安全行业以云原生技术变革端点安全行业 CrowdStrike 成立于 2011 年,从端点安全产品起步,致力于重塑云时代的信息安全产品,改变交付和客户体验安全产品的方式;2019 年 6 月,公司于纳斯达克交易
23、所上市(代码:CRWD.O)。面对日益复杂的网络环境和变化多端的攻击方式,传统的安全手段难以应对攻击者战术手段的迅速变化;CrowdStrike 基于 Falcon 云原生平台及 Threat Graph数据库引擎,利用前端轻量代理收集的海量企业数据和平台整合的外部威胁情报,对恶意攻击行为予以自动检测和实时预防,使客户的防御手段持续领先于外部攻击者。FY 2023年末,公司 ARR(年度经常性收入)达到 25.6 亿美元(+48%YoY),FY2019-FY2023 ARR CAGR 近 70%,持续在端点安全以及更为广阔的信息安全市场获得份额。图 1:公司发展历程 资料来源:公司公告,公司官
24、网,中信证券研究部 图 2:公司历史 EV/S NTM 水平 资料来源:彭博,中信证券研究部 图 3:公司上市以来市值表现(亿美元)资料来源:彭博,中信证券研究部 055404550Jul-19Jul-20Jul-21Jul-220.0100.0200.0300.0400.0500.0600.0700.0Jun-19Jun-20Jun-21Jun-22 CrowdStrike(CRWD.OQ)投资价值分析报告投资价值分析报告2023.3.21 请务必阅读正文之后的免责条款和声明 7 主营业务主营业务:基于基于 SaaS 订阅模式提供订阅模式提供平台化安全平台化安全方案方案
25、 产品体系产品体系:产品模块产品模块近年来近年来快速丰富快速丰富,覆盖覆盖 6 大产品类别大产品类别。成立后的第二年(2012),公司推出威胁情报产品 Falcon X,并于次年(2013 年)推出端点安全产品 Falcon Insight,威胁情报和端点安全产品构成公司核心 EDR(端点检测、调查和响应)产品线。2017 年至今,公司通过内生研发和外延并购方式实现产品线的快速扩充:内生研发方面,内生研发方面,公司一方面发布新一代防病毒产品 Falcon Prevent、防火墙管理产品、沙箱测试产品、恶意软件搜索引擎等进一步完善核心 EDR 产品线,另一方面也在云安全、安全&IT 运营等领域完
26、成了产品线的扩充;外延并购方面,外延并购方面,公司于 2020-2022 年先后并购 Preempt Security、Humio、Secure Circle 和 Reposify,在通过 Reposify 进一步充实既有威胁情报产品线的同时,进入了身份保护(Preempt)、日志管理(Humio)、数据丢失保护(Secure Circle,仍处于整合过程中)。目前,公司拥有端点安全、云安全、威胁情报、身份保护、安全&IT 运营、日志管理六大产品类别,Falcon 平台已提供 23 个核心产品模块,覆盖多个安全细分市场。此外,公司亦为安全团队不够完善的客户提供各项托管安全服务,并通过托管服务撬
27、动平台产品的销售。图 4:CrowdStrike 模块组成 资料来源:公司官网 表 1:公司主要产品及功能 产品类别产品类别 产品名称产品名称 产品产品功能功能 端点安全&XDR Falcon Insight XDR 提供端点检测、调查和响应(EDR&XDR),提供全面持续的可见性和深入分析,阻止潜在的违规行为 Falcon Prevent 利用机器学习和人工智能检测已知和未知的网络攻击并快速阻止,替代原始的防病毒产品 Falcon Firewall management 提供对防火墙功能的集中管理,允许客户创建、实施和维护防火墙策略 Falcon Device Control 为管理员提供了
28、对 USB 外围设备的高度可见性和精细控制 CrowdStrike(CRWD.OQ)投资价值分析报告投资价值分析报告2023.3.21 请务必阅读正文之后的免责条款和声明 8 云安全 Falcon Horizon 支持跨平台部署,主动监控和修复云相关错误配置、漏洞和基于身份的风险,实现快速检测和响应 Falcon CWP 为所有云工作负载提供全面的漏洞保护,获得可见性并防范高级威胁,与 DevOps 和 CI/CD 集成,优化云资源并确保应用程序的安全 Discover for Cloud and Containers 提供跨多云环境的云资产、安全配置、工作负载和容器的全面可见性,帮助客户降低
29、风险并减少攻击面 威胁情报 Falcon Intelligence Recon 进行深度数据采集,提供对客户潜在威胁的实时可见性,这些风险包括但不限于数字欺诈、数据盗窃曝光、社交媒体假冒 Falcon Intelligence 利用内置的对手情报增强客户的 SOC 和事件响应团队,并提前了解攻击者的下一步行动 Falcon Sandbox 允许客户通过在虚拟机中安全引爆未知文件来分析恶意行为 Falcon Search Engine 恶意软件搜索引擎,快速搜索大量恶意软件样本数据集 Falcon Surface 支持客户发现和映射所有面向互联网的资产,提示相关风险敞口,从而降低攻击面和组织风险
30、 身份保护 Falcon ITD 无需引入日志文件,能够实时、准确地检测基于身份的威胁,利用 AI 和行为分析提供深入的可操作见解。适合只需要基于身份的威胁事件警报和威胁搜寻,但不需要自动预防威胁的组织 Falcon ITP 通过 AI、行为分析和灵活的策略引擎,实现准确的威胁检测和基于身份攻击的实时预防,强制实施条件访问 安全&IT运营 Falcon Discover 识别客户网络中的恶意系统和应用程序,并监控客户环境中特权帐户的使用。该模块还支持安全之外的用例,例如应用license 管理、AWS 支出分析和资产清单 Falcon Spotlight 实时监控所有端点的漏洞状态,为客户及时
31、提供所需的漏洞相关信息,以减少遭受攻击的风险 Falcon Forensics 简化了实时和历史取证数据的收集、分析流程,事件响应者可以使用预设仪表板快速识别相关数据以加快调查速度 Falcon File Vantage 文件完整性监控,能够监控受保护系统上的所有文件,可提高合规性并提供相关的上下文数据 日志管理 Falcon LogScale 高性能、无索引的云日志管理解决方案,允许客户从任何数据源收集日志,并实时搜索和查询流式数据 托管服务 Falcon Complete 为客户提供全面的监控、管理、响应和补救解决方案,旨在为缺乏完善 SOC 团队的组织带来企业级安全方案。公司还提供Fal
32、con Cloud Workload Protection Complete、Falcon Identity Threat Protection Complete 和 Falcon Complete LogScale 作为附加组件,以扩展托管服务至云安全、身份保护和日志管理模块 Falcon OverWatch OverWatch 是公司提供的一项威胁搜寻解决方案,由安全专家团队构成。安全团队利用 Threat Graph 全天候主动搜寻平台中收集的遥测数据,以识别可能发生的新威胁和攻击。资料来源:公司官网,中信证券研究部 表 2:公司产品相关时间线 年份 月份 事件 2012 7月 推出威胁
33、情报模块 2013 2月 入选MIT Tech Review 颠覆性公司50强榜单 6月 推出端点检测及响应模块 8月 推出托管威胁搜寻模块 2015 2月 入选福布斯最具潜力公司榜单 8月 被世界经济论坛评为技术先锋 2016 3月 开设EMEA总部 6月 开设APJ总部 8月 入选Inc杂志全美增长最快公司500强榜单 11月 端点安全技术获得CRN最佳技术创新奖;入选德勤科技Fast 500榜单 2017 2月 入选Gartner端点安全保护平台魔力象限中的远见者;推出新一代防病毒产品Falcon Prevent;推出Secops模块IT HYGIENE 3月 获得Sans Instit
34、ute最佳威胁情报奖 CrowdStrike(CRWD.OQ)投资价值分析报告投资价值分析报告2023.3.21 请务必阅读正文之后的免责条款和声明 9 4月 被IDC评为端点威胁分析和保护领域全球领导者;开设拉美总部 7月 推出恶意软件搜索模块;入选福布斯Cloud 100名单 11月 推出漏洞管理模块 2018 4月 推出托管检测和响应模块 6月 被Forrester Wave评为端点安全套件的领导者 7月 被Forrester Wave评为端点检测和响应领域的领导者 8月 推出设备控制模块 9月 获得FedRAMP授权;在福布斯Cloud 100名单中排名第6 10月 被IDC评为美国事
35、件准备、响应和弹性服务领域的领导者 2019 2月 推出PaaS平台CrowdStrike Store 3月 推出移动版EDR;被Forrester Wave评为网络安全事件响应服务领域的领导者 6月 公司于纳斯达克上市 8月 入选Gartner端点安全保护平台魔力象限中的领导者 11月 推出防火墙管理模块 2020年 2月 推出云工作负载保护模块;推出端点恢复服务 3月 被Forrester Wave评为外部威胁情报服务领域的领导者 9月 收购Preempt Security,进入身份保护领域 10月 推出取证模块Falcon Forensics、云安全态势管理模块、暗网/隐蔽网络威胁情报模
36、块 2021 2月 收购Humio,强化日志管理及XDR功能 3月 被Forrester Wave评为托管检测和响应领域的领导者 5月 推出安全编排、自动化和响应框架 7月 推出托管威胁情报服务 10月 推出托管云工作负载保护服务;推出CrowdXDR联盟;推出文件完整性监控模块 11月 收购SecureCircle,推出数据保护产品,强化零信任产品体系 12月 在财富未来50强榜单中排名第一 2022 3月 推出托管身份威胁防范服务 4月 获得IL-4授权以保护美国国防部资产;引入云原生应用程序保护功能(CNAPP)6月 推出Asset Graph;推出集中存储解决方案 7月 推出云威胁搜寻
37、服务;推出软件构成分析(for CNAPP)8月 推出AI驱动的攻击指标;ARR突破20亿美金 9月 推出IT HYGIENE for IoT;推出可观测性模块以及托管可观测性服务;收购外部攻击面管理(EASM)厂商Reposify,可视化并保护组织面向互联网的风险敞口 资料来源:公司官网,中信证券研究部 收费模式:收费模式:定价灵活,提供多种模块组合。定价灵活,提供多种模块组合。公司根据端点数量,对于不同产品组合收取不同价格:1)入门级产品 Falcon Go 为端点提供无扫描、主动的防病毒保护(NGAV),并提供设备控制能力,但不提供威胁情报的集成以及恶意活动的即时响应功能;2)专业版在
38、Falcon Go 的基础上融入了威胁情报和防火墙管理模块,能够识别威胁并推荐简单的安全策略进行防护;3)企业版产品在专业版的基础上提供了更高的数据可见性和威胁响应能力,并提供全天候在线的专家辅助进行威胁搜寻;4)Elite 产品进一步集成了身份保护模块,并可拓展 XDR 集成范围;5)除产品套件外,客户亦可选择 Falcon Complete 套餐由后台专家对端点、云工作负载和身份等提供完全托管式 24/7 全天候保护服务;6)除 CrowdStrike(CRWD.OQ)投资价值分析报告投资价值分析报告2023.3.21 请务必阅读正文之后的免责条款和声明 10 套餐外,公司亦提供 Falc
39、on Spotlight、Falcon Forensics、Falcon Search Engine、Falcon Sandbox 等模块进行单独定价,单独收费。表 3:CrowdStrike 定价模式 版本版本 价格(价格($/端点端点/年年)主要功能主要功能 包含模块包含模块 Falcon Go$299.95/五台设备 提供下一代防病毒产品和设备控制产品,为公司入门级别产品 Falcon Prevent、Falcon Device Control Falcon Pro$499.95/五台设备 提供网络攻击保护、检测恶意活动,并为企业提供即时响应功能 Falcon Prevent、Falco
40、n Intelligence、Falcon Device Control、Falcon Firewall management Falcon Enterprise$924.95/五台设备 提供更高级别的数据可见性和威胁响应能力,并提供专家支持的威胁搜寻 Falcon Prevent、Falcon Intelligence、Falcon Device Control、Falcon Firewall management、Falcon Insight XDR、Flacon Overwatch Falcon Premium$999.95/五台设备 在企业版本的基础上,提供增强的可见性,识别客户网络中
41、的恶意系统和应用程序,并监控客户环境中特权帐户的使用 Falcon Prevent、Falcon Intelligence、Falcon Device Control、Falcon Firewall management、Falcon Insight XDR、Flacon Overwatch、Falcon Discover Falcon Elite 需具体咨询 在Premium的基础上增加对于身份防护的支持,并可拓展 XDR 集成范围 Falcon Prevent、Falcon Intelligence、Falcon Device Control、Falcon Firewall managem
42、ent、Falcon Insight XDR、Flacon Overwatch、Falcon Discover、Falcon Identity Protection Falcon Complete 需具体咨询 为客户的端点、云工作负载和身份提供完全托管式 24/7 全天候保护服务 由 CrowdStrike 专家团队提供全面的端点保护服务 资料来源:公司官网,中信证券研究部 高管高管&股东:管理团队经验深厚,股权结构较为分散股东:管理团队经验深厚,股权结构较为分散 管理层背景:管理层背景:创始人富有行业洞察力,核心团队经验丰富创始人富有行业洞察力,核心团队经验丰富。CrowdStrike 创始
43、人为George Kurtz 和 Dmitri Alperovitch,二人此前在全球最大的专业安全技术公司 McAfee 分别担任全球首席技术官和威胁研究副总裁,在网络安全领域具有将近 30 年的丰富经验,凭借深刻的行业洞见革新端点安全行业。此外,公司核心管理层和技术人员主要来自于思科、微软、Tenable 等知名网络安全和软件 SaaS 公司,以及 FBI、美国国家网络安全司等世界著名的情报、安全机构,在威胁情报、安全响应等领域均具有丰富的研发创新、工程技术和攻防实践经验。近日,公司宣布 Daniel Bernard 加入高管团队,任首席商务官,领导公司渠道、联盟和合作伙伴关系工作,并为公
44、司 SMB 客群制定增长计划和营销战略。Daniel Bernard 此前担任 SentinelOne 的首席营销官,推动了 SentinelOne 在 SMB 市场的快速增长。我们认为,此次 Daniel 的加入有望加速公司向 SMB 客群的渗透,进一步强化公司在全球端点安全市场的领导地位。表 4:公司核心管理层和技术人员 姓名姓名 职务职务 从业经历从业经历 George Kurtz 联合创始人,首席执行官 Kurtz 是国际公认的安全专家、作家、企业家和演说家,在安全领域拥有 30 多年的经验,曾在传统网络安全企业 McAfee 担任执行副总裁和全球首席技术官。1999 年,Kurtz
45、成立了安全产品和服务公司 Foundstone,Inc.,后被 McAfee 收购;2011 年他和 Dmitri Alperovitch 创立了 CrowdStrike,目前担任首席执行官 Michael Sentonas 总裁 在网络安全领域拥有 20 多年的经验,曾在 McAfee 担任首席技术官,2016 年加入CrowdStrike 后历任技术战略副总裁、首席技术官等。Shawn Henry 首席安全官 曾在美国联邦调查局(FBI)工作,作为执行助理主任监督了 FBI 一半的调查行动,包括 FBI 在全球范围内的所有刑事和网络调查、国际业务,以及 FBI 对重大调查和灾难的关键事件响
46、应。他还负责管理全球范围内的计算机犯罪调查,并因其在提高 FBI网络能力方面的领导作用而获得总统级功勋执行官奖 Daniel Bernard 首席商务官 曾在多家高速增长的 SaaS、网络安全公司(包括 Dropbox 和 Cylance)领导渠道合作伙伴关系和业务开发。上一段工作中,他担任 SentinelOne 的首席营销官,并因改变公司品牌和市场知名度而受到广泛认可。Burt Podbere 首席财务官 曾在担任 OpenDNS,Inc.和 Net Optics,Inc.担任首席财务官 Amol Kulkarni 首席产品与工程官 曾在 Microsoft 担任多项执行工程角色,拥有 1
47、5 项技术创新专利 CrowdStrike(CRWD.OQ)投资价值分析报告投资价值分析报告2023.3.21 请务必阅读正文之后的免责条款和声明 11 Jennifer Johnson 首席营销官 曾为领先的网络安全和技术公司进行全球营销,包括 Tenable(代码:TENB)和Amplitude(代码:AMPL)Adam Meyers 情报总监 曾担任 SRA 国际网络安全情报总监 Thomas Etheridge 首席全球专业服务官 拥有 30 多年的管理咨询和软件服务经营,曾在 Broadcom、Aveksa、Hewlett Packard和 Imperva 担任全球服务副总裁 Ste
48、ve Mcmahon 首席信息官,运营副总裁 在高科技领域拥有超过 25 年的经验,曾在 Splunk,Inc.担任 CIO、云运营副总裁 Jerry Dixon 首席信息安全官 曾在美国国家网络安全司和美国国土安全部计算机应急准备小组(US-CERT)担任执行主任、在思科担任事件响应总监、在美国运通担任威胁情报和事件响应副总裁 资料来源:公司官网,中信证券研究部 股权结构:股权结构:股东多为机构投资者,股权结构较为分散股东多为机构投资者,股权结构较为分散。截至 2022 年 9 月 30 日,公司机构股东持股比例达 75.94%,直接持有公司 5%以上股份的股东仅包括 The Vanguar
49、d Group,Inc.,其持股比例为 6.02%。总体来看,公司股权结构较为分散。图 5:公司股权结构 资料来源:Refinitiv,中信证券研究部 财务分析:收入快速增长,盈利能力持续提升财务分析:收入快速增长,盈利能力持续提升 成长性成长性:营业收入营业收入持续持续高增,高增,未来仍有望延续较快增长未来仍有望延续较快增长。受益于新一代端点安全技术对传统方案的颠覆,以及公司自身突出的技术性能,近年来公司订阅客户数量和使用模块数量快速增长,带动营业收入在 2018-2023 财年的复合增长率超过 80%。随着公司产品模块持续丰富及渗透、销售渠道的持续增加和完善,自身生态体系的逐步建立,我们预
50、计公司业务规模将持续扩大,未来仍有望延续较快增长。2023 财年,公司实现收入 22.41亿美元,同比增长 54.4%;其中,订阅收入占营业收入的比例持续增加,由 2018 财年的78.0%增长到 2023 财年的 94.2%。CrowdStrikeThe Vanguard Group,Inc.Jennison Associates LLCBlackRock Institutional Trust Company,N.A.Voya Investment Management LLCAllianz Global Investors U.S.LLCState Street Global Advis
51、ors(US)Matrix Capital Management Company,LPT.Rowe Price Associates,IncClearBrigeInvestments,LLCGeode Capital Management,L.L.C.6.02%4.44%3.98%2.48%2.44%1.95%1.37%1.30%1.35%1.29%CrowdStrike(CRWD.OQ)投资价值分析报告投资价值分析报告2023.3.21 请务必阅读正文之后的免责条款和声明 12 图 6:公司营业收入及增速(百万美元,%)资料来源:公司公告,中信证券研究部 图 7:公司收入结构(百万美元)资料
52、来源:公司公告,中信证券研究部 盈利能力:盈利能力:毛利率维持高位毛利率维持高位,稳中向上稳中向上。2020 财年-2023 财年,公司毛利率分别为72.3%、75.9%、76.6%和 75.9%,保持较高水平。其中,订阅毛利率分别为 75.5%、78.6%、78.7%和 77.9%,专业服务毛利率分别为 40.9%、45.1%、44.3%和 43.0%。总体来看,公司毛利率受获取新订阅客户、现有订阅客户的续订,与运营云平台相关的成本等因素影响出现小幅波动,但受益于公司云平台的规模经济优势和较强的成本管控能力,毛利率水平整体保持稳中向上的趋势。在财报电话会议中,公司亦指引 FY24Q1 毛利率
53、水平将实现1pct 的环比改善。图 8:公司毛利率(%)资料来源:公司公告,中信证券研究部 图 9:公司订阅、专业服务毛利率水平(%)资料来源:公司公告,中信证券研究部 运营效率:运营效率:各项期间费用率逐年下降各项期间费用率逐年下降,有望持续优化,有望持续优化。其中,过去公司销售费用率和研发费用率较高,主要系公司为满足快速扩张的业务规模,陆续扩充销售团队和研发团队,相关薪酬费用增长幅度较大。但随着公司业绩体系快速上升,公司期间费用率均出现明显降低。2023 财年,公司销售/研发/管理费用率分别为 33.5%、19.3%、7.2%,较 2022 财年分别变化-2.7/+0.8/-1.1pcts
54、。目前,公司期间费用率基本稳定在较低水平,未来随着公司运营效率提升,整体费用率有望持续优化。0%20%40%60%80%100%120%140%050002500营业收入YoY050002500FY2018 FY2019 FY2020 FY2021 FY2022 FY2023订阅收入专业服务收入0%10%20%30%40%50%60%70%80%90%FY2018 FY2019 FY2020 FY2021 FY2022 FY20230%10%20%30%40%50%60%70%80%90%FY2018FY2019FY2020FY2021FY2022F
55、Y2023订阅专业服务 CrowdStrike(CRWD.OQ)投资价值分析报告投资价值分析报告2023.3.21 请务必阅读正文之后的免责条款和声明 13 图 10:公司期间费用率(%)资料来源:公司公告,中信证券研究部 图 11:公司净利润及净利率(百万美元,%)资料来源:公司公告,中信证券研究部 图 12:公司三类现金流(百万美元)资料来源:公司公告,中信证券研究部 行业分析:端点安全优势强化,新兴市场多点开花行业分析:端点安全优势强化,新兴市场多点开花 行业背景:网络攻击持续升级,成为各国政府核心议题行业背景:网络攻击持续升级,成为各国政府核心议题 全球数字化转型加速,网络攻击暴露面扩
56、大全球数字化转型加速,网络攻击暴露面扩大。伴随移动互联网和 AIoT 的蓬勃发展,以及企业数字化和云化的持续推进,全球数据量以及企业部署和管理的 IT 技术堆栈都在迅速增加。这一方面意味着恶意攻击者通过勒索软件、间谍软件等恶意软件行为满足自身利益的动机和诉求日益增强,恶意攻击的频次和隐蔽性日益上升;另一方面,也意味着企业或政府机构因恶意软件入侵造成的经济成本、声誉成本和社会成本也在快速增加。思科在2020年年度互联网报告 预计,全球人均联网设备数量将从2018年的2.4个提高到2023年的 3.6 个,2018 年-2023 年复合增长率为 8.4%,其中北美和西欧地区的增速更快。伴随着疫情后
57、远程办公的加速渗透以及 IT 基础设施的云化加速,企业暴露在互联网中端点设备的和工作负载不断增加,使得其数字足迹和网络攻击面变得更广、更分散、更具动态性,进而对网络安全防范手段提出了更高要求。0%20%40%60%80%100%FY2018 FY2019 FY2020 FY2021 FY2022 FY2023销售费用率研发费用率管理费用率-120%-100%-80%-60%-40%-20%0%20%40%-300400净利润净利率-800-600-60080010001200FY2018FY2019FY2020FY2021FY2022FY
58、2023经营活动产生的现金流投资活动产生的现金流筹资活动产生的现金流 CrowdStrike(CRWD.OQ)投资价值分析报告投资价值分析报告2023.3.21 请务必阅读正文之后的免责条款和声明 14 图 13:全球数字经济增加值规模及占 GDP 比重(万亿美元,%)资料来源:中国信通院,中信证券研究部 图 14:各地区人均联网设备数量(个)资料来源:Cisco2020 年年度互联网报告(含预测),中信证券研究部 勒索攻击频次勒索攻击频次&数据泄露成本持续上升,安全开支快速增长数据泄露成本持续上升,安全开支快速增长。2021 年,世界上最大的肉食品加工商 JBS 和美国最大的燃油管道商 Co
59、lonial Pipeline 遭受勒索软件攻击,分别引致 1100 万美元和 440 万美元的赎金,这其中并不包括声誉受损、网络修复、合规罚款等更广泛的损失。根据 IBM 数据,全球网络攻击事件导致数据泄露的平均经济损失持续增加,于 2022 年达到 435 万美元;根据 Google Trend,网络安全关键词在企业文档中的出现频次持续攀升。网络攻击天然具备不对称性,网络安全人员需要阻止所有攻击,而攻击者只需找到一个显著弱点就能成功入侵。因此,企业也大幅增加了网络安全方面的支出。IDC预测,2026 年全球安全即服务(Security as a Service)市场规模将达到 933 亿美
60、元,对应 2021-2026 年 CAGR 为 16%。图 15:全球数据泄露平均成本(万美元)资料来源:IBM,中信证券研究部 图 16:网络安全关键词在企业文档中的出现频次 资料来源:Google Trend,中信证券研究部 37%38%39%40%41%42%43%44%45%46%055404520021全球数字经济增加值规模占GDP比重024688年人均联网设备数量2023年人均联网设备数量05003003504004505002014 2015 2016 2017 2018 2019 2020
61、2021 2022全球数据泄露平均成本050000000250003000035000400004Q054Q064Q074Q084Q094Q104Q114Q124Q134Q144Q154Q164Q174Q184Q194Q204Q21网络安全勒索软件 CrowdStrike(CRWD.OQ)投资价值分析报告投资价值分析报告2023.3.21 请务必阅读正文之后的免责条款和声明 15 图 17:全球安全即服务(Security as a Service)市场规模及增速(百万美元,%)资料来源:IDC(含预测),中信证券研究部;注:AIRO 即 Cybersecurity an
62、alytics,intelligence,response,and orchestration;GRC 即 Governance,risk,and compliance software 表 5:2020 年-2022 年部分国家网络安全相关政策文件 时间时间 颁布主体颁布主体 政策名称政策名称 政策内容政策内容 2020.12 欧盟委员会 网络安全战略 利用监管、投资和政策工具,提供韧性、技术主权与领导力;建设预防、阻止与响应的实践能力;发展全球开放网络空间 2021.02 法国政府 网络安全国家战略 向个人、企业、地方和国家机构提供网络安全解决方案;培养更多网络安全从业人才 2021.06
63、 中华人民共和国第十三届全国人民代表大会常务委员会 数据安全法 确立数据分级分类管理以及风险评估;落实数据安全保护责任 2021.06 美国政府 国家安全战略临时战略 组建高层次网络安全决策智囊团;加大对网络安全领域的投入;开展盟友沟通,加强政策协调 2021.06 北约 北约综合网络防御政策 北约和成员国应根据各自职责保护关键信息系统,并为有需要的成员国提供应对网络攻击的协助 2021.12 中国国家互联网信息办公室、国家发展和改革委员会等十三部门联合发布 网络安全审查办法 将网络平台运营者开展数据处理活动影响等情形纳入网络安全审查;增加证监会作为网络安全审查工作机制成员单位;完善国家安全风
64、险评估因素等 2022.01 英国政府 国家网络安全战略:2022-2030 年 对英国政府如何确保公共部门有效应对网络威胁进行了阐释 2022.02 欧盟委员会 数据法案 消除私营和公共部门获取数据的障碍,强化个人和企业对其数据的控制 2022.03 美国参议院 加强美国网络安全法案 赋予关键基础设施运营者网络攻击报告义务 2022.04 澳大利亚政府 2022 年安全立法修正案(关键基础设施保护)法案 为基础设施引入风险管理,以免受网络攻击和其他严重安全威胁 资料来源:各国政府部门官网,各地区机构、组织官网,中信证券研究部 端点安全端点安全:行业处于变革时期:行业处于变革时期,CrowdS
65、trike 快速获得份额快速获得份额 随着网络威胁行为从盲目粗暴转变为精确隐秘,端点安全产品不断进化,从静态变为动态,从被动变为主动,从基于“特征”变为基于“行为”。当前,端点安全市场处于变革时期,新一代端点安全产品将迎来高速发展。端点端点概念不断扩展,端点安全至关重要概念不断扩展,端点安全至关重要。端点是用于访问组织数据和网络的任何连接设备,随着新设备的不断涌现,端点的定义持续扩大,包括服务器、移0.00%5.00%10.00%15.00%20.00%25.00%0.0010,000.0020,000.0030,000.0040,000.0050,000.0060,000.0070,000.
66、0080,000.0090,000.00100,000.0020212022E2023E2024E2025E2026EAIRO端点安全GRC身份认证管理信息和数据安全网络安全yoy CrowdStrike(CRWD.OQ)投资价值分析报告投资价值分析报告2023.3.21 请务必阅读正文之后的免责条款和声明 16 动设备、工业系统、物联网设备、汽车等。大多数企业通常都将安全工作和防御控制集中在网络边界,认为这是抵御潜在攻击者的最佳方式。但是一旦攻击者绕过公司防火墙和其他外围安全控件通过端点进入内网,往往就可以自由施展了。更糟糕的是,尽管边界控制可能会阻止外部的不良行为者闯入,但这无助于防止内部
67、威胁。因此,端点安全是企业安全防护体系的重要一环。安全威胁形态演化升级,安全威胁形态演化升级,传统端点安全产品问题凸显传统端点安全产品问题凸显。最早期的网络威胁源自所谓的病毒,因此最早的终端防护手段就是杀毒软件和防火墙。然而随着恶意威胁由原来的盲目、直接、粗暴转变为有目标、精确、持久隐秘,传统端点安全产品的问题愈发突出:(1)应对机制是被动的,只有受到攻击后才能感知和捕获;(2)无法有效防御具有针对性的攻击,例如利用恶意软件的变种、脚本化工具将恶意软件加壳使其随机产生新的恶意软件等;(3)传统防御产品依靠特征库的更新来发现新的恶意威胁,但随着攻击者们使用不同技术逃避传统的检测和防御,同时每天新
68、增恶意样本,这种检测手段显得力不从心,整体规模也愈发臃肿。EPP(终端保护平台)的出现一定程度上弥补了传统杀毒软件的劣势,但同样存在无法应对未知威胁、多个功能模块堆叠等问题。图 18:针对端点的攻击组成 资料来源:Kaspersky 基于行为进行主动防控,新一代基于行为进行主动防控,新一代端点安全端点安全产品优势显著。产品优势显著。在此背景下,下一代端点安全产品诞生并占据有利地位。其中最具代表性的便是 EDR(端点检测与响应),通过对端点进行持续检测,发现异常行为并对其进行分析,结合机器学习和人工智能检测和防护未知威胁。新一代端点安全产品具备两大核心特征:(1)基于“行为”进行主动防控。EDR
69、 不仅仅通过“特征”进行“预防”,更依靠“行为”进行“检测”,并且进行“响应”。同时,EDR 不仅着眼于单个终端的防御,而是对各个终端的事件进行关联分析,还原整个攻击的流程,描绘出攻击事件的全貌。(2)轻量级代理。利用轻量级引擎将经典安全功能进行一体化 CrowdStrike(CRWD.OQ)投资价值分析报告投资价值分析报告2023.3.21 请务必阅读正文之后的免责条款和声明 17 设计,降低客户部署及运维成本。长期来看,新一代端点安全产品因具有主动防御和轻量级代理两大特点已成为端点安全产品发展的趋势。表 6:EDR 的核心功能 功能功能 描述描述 终端安全行为数据的采集和存储 从全网的终端
70、设备中持续收集安全相关数据,并实时的将采集到的终端安全数据统一存储在云端数据库中 实时分析和威胁检测 将终端数据与来自威胁情报服务的数据实时关联,使用高级分析和机器学习算法,在已知威胁或可疑活动发生之前实时识别 威胁事件的调查和分析 提供终端安全大数据搜索的能力,能够针对威胁事件进行深入的钻取分析,还原出威胁事件的时间轴,追溯其来源,分析影响范围、造成损失等相关信息 自动威胁响应 对威胁事件进行快速响应 资料来源:IBM,中信证券研究部 图 19:端点安全产品进程 资料来源:COMTACT 市场规模:市场规模:我们认为,新一代端点安全方案的渗透驱动了全球端点安全市场的持续快速增长:1)疫情催化
71、下的远程办公场景催化了商业 PC 的需求,而物联网和智能汽车等新兴产业的发展也为端点安全市场的增长提供了强劲动力;2)部署在云端的现代端点安全方案提升了防范效果、降低了客户运维成本,整体 ARPU 较传统端点安全产品亦能够有一定程度的提升;3)轻量级的代理以及统一的后端云平台显著降低了新功能 cross-sale 的难度及复杂度,进一步扩展了市场空间。IDC 预测,2021 年-2026 年,全球企业端点安全市场规模将实现 14.9%的年均复合增速,从 103 亿美元增长到 206 亿美元;其中,服务器安全市场从 25 亿美元增长到 55 亿美元,年均复合增长率为 14.4%;其他端点安全市场
72、从 78 亿美元增长到 152 亿美元,年均复合增长率为 16.6%。CrowdStrike(CRWD.OQ)投资价值分析报告投资价值分析报告2023.3.21 请务必阅读正文之后的免责条款和声明 18 图 20:20152021 年商用 PC 出货量及增速(百万台,%)资料来源:IDC,中信证券研究部 图 21:全球端点安全市场收入规模及增速(十亿美元,%)资料来源:IDC(含预测),中信证券研究部 注:2022 年及以后为预测 图 22:On-Premise 与 SaaS 软件总体成本占比(3 年)资料来源:Forrester,中信证券研究部 竞争格局:竞争格局:根据 IDC 数据,目前端
73、点安全市场份额整体仍较为分散,但已经呈现出了向新一代头部 EDR 厂商集中的明显态势,CrowdStrike 持续快速获得份额。与此同时,通过市面主流端点安全产品的横向对比,我们亦能发现 CrowdStrike 在产品性能、跨平台兼容性和易用性上的显著优势。竞争格局目前仍较为分散,但已呈现明显头部集中趋势。竞争格局目前仍较为分散,但已呈现明显头部集中趋势。根据 IDC 数据,2021H2-2022H1 全球端点安全市场中份额 Top 5 的参与者分别为 CrowdStrike、微软、Trellix、Trend Micro 和 VMware,市场份额分别为 17.7%、16.4%、8.5%、6.
74、4%、4.6%。从动态变化的角度,2021H2-2022H1 全球端点安全市场 Top 4 的份额获得者分别为 CrowdStrike、微软、SentinelOne、Palo Alto Networks,其产品形态均为新一代 EDR 方案;而 Top 4 的份额失去者分别为博通、Trend Micro、Trellix、ESET,均为传统端点安全方案厂商。我们看到,无论是从静态份额角度还是从动态变化角度,CrowdStrike 均位居首位,体现其持续强化的市场地位。-6%-4%-2%0%2%4%6%8%10%12%14%00201
75、720021商用PC出货量(除教育行业)YoY0%5%10%15%20%25%024682420252026服务器安全现代端点安全YoY12%54%9%21%9%36%12%22%25%0%10%20%30%40%50%60%70%80%90%100%On-PremiseSaaS软件许可/软件订阅硬件基础设施实施成本人力成本内部管理费用 CrowdStrike(CRWD.OQ)投资价值分析报告投资价值分析报告2023.3.21 请务必阅读正文之后的免责条款和声明 19 图 23:2021H2-2022H1 全球端点安全市场份额(
76、%)资料来源:IDC,中信证券研究部 图 24:2021H2-2022H1 全球端点安全市场份额获得者及丢失者 资料来源:IDC,中信证券研究部 架构、功能、性能均显著领先架构、功能、性能均显著领先,壁垒有望持续强化壁垒有望持续强化。通过上述份额的分析,我们可以看到在全球端点安全产品中,份额Top 3的获得者为CrowdStrike、微软、SentinelOne,我们也将对 CrowdStrike 相较于另外两家厂商的比较优势进行进一步的探讨。1)相较于微软,公司的优势在于基于行为的防病毒引擎、无摩擦的更新升级和交付体系、跨操作系统的兼容能力、高度集成且易用性更佳的威胁仪表,以及专家团队的主动
77、威胁搜寻支持。因此,尽管微软能够凭借强大的渠道优势和 M365 和 O365 的捆绑销售赢得部分传统客户偏好,但考虑到愈演愈烈的安全威胁以及与日俱增的相关成本,企业对于安全产品的需求在很多情况下不能随意妥协,尤其对于数字化程度较高、网络攻击面较大的企业。根据IDC,2021H2-2022H1,CrowdStrike 和微软分别同比增长 62.5%和 59.4%,在份额领先的同时亦实现了增速的领先,我们认为这也印证了企业客户的选择。2)而对于 SentinelOne,尽管 SentinelOne 面对 SMB 客户的特性推出了 AI 驱动的主动防病毒产品,提供了较多预集成、预定义的功能,满足了部
78、分 SMB 客户对于易用性的需求。但 SentinelOne 的能力更多集中在端点侧,云端数据的收集&沉淀以及威胁情报的集成均显著落后于 CrowdStrike,这使得其对于企业层面安全风险的检测和响应能力有限,难以满足中大型企业客户的需求。但另一方面,基于云端沉淀的海量数据以及强大的威胁情报体系,CrowdStrike 完全有可能推出同样预集成度高、简单易用的入门级别产品,近期推出的 Falcon Go就是一次尝试。伴随前任 SentinelOne 首席营销官 Daniel Bernard 加盟公司,我们认为公司将在渠道、营销、产品设计等维度进行进一步的优化和调整,强化在 SMB 客群的竞争
79、力。表 7:CrowdStrike 与其他网络安全供应商对比 功能功能 CrowdStrike Carbon Black Cylance McAfee Microsoft SentinelOne Symantec 检测 通过机器学习、行为分析和集成威胁情报提供无签名保护 基于签名的防病毒引擎 无签名 基于签名,使用附加模块可以实现有限的基于行为检测 基于签名的防病毒引擎 无签名,但检测和响应能力有限,且 AI 局限在防病毒环节 依赖签名和扫描 更新维护 无摩擦更新,无需重启 需要重启 需要重启 需要重启 需要重启 需要重启 需要重启 17.7%16.4%8.5%6.4%4.6%4.5%4.3%
80、3.7%33.9%CrowdStrikeMicrosoftTrellixTrend MicroVMwareSophosESETBroadcom Software其他-2.00%-1.00%0.00%1.00%2.00%3.00%4.00%5.00%CrowdStrike(CRWD.OQ)投资价值分析报告投资价值分析报告2023.3.21 请务必阅读正文之后的免责条款和声明 20 交付 适用于所有工作负载的单一云原生平台,提供跨系统、端点的全面保护 本地和云部署版本不一致,支持系统有限 本地部署,需要额外的硬件成本和维护负 担 不同操作系统版本之间的不一致 本地部署和云版本不一致 本地部署和云版
81、本不一致 威胁情报 自 动丰富 威胁 情报,包括参与者归因、沙盒测试、恶意软件搜索等 威胁情报有限 不提供真正的集成威胁情报 基本记录和响应功能,支持有限的威胁搜索 针对特定威胁具有单独仪表板,需要不断切换 仅提供小部分IoC,不提供对手归因、战术发现以及沙盒等 需要几个额外产品提供可见性和威胁情报 主 动 威 胁搜寻 专家团队提供 24/7主动搜寻并提供建议 对威胁进行验证和分类,而不是主动搜寻 对威胁进行监控和分类,而不是主动搜寻 与 DXC 技术合 作,提 供24/7警报监控和威胁搜索 主要使用AI进行威胁搜寻,不提供和人类专家的互动 对威胁进行监视、分类和调查,而不是主动威胁搜寻 需要
82、额外产品进行远程调查和响应 资料来源:公司官网,中信证券研究部 TAM 延展延展:产品线迅速丰富产品线迅速丰富,潜在市场,潜在市场持续扩张持续扩张 轻前端重后端的架构助力平台功能快速扩充,公司轻前端重后端的架构助力平台功能快速扩充,公司 TAM 亦持续扩张亦持续扩张。前端轻量级的Agent 部署,以及 Falcon 平台的数据沉淀,使得 CrowdStrike 能够实现全新模块的无摩擦部署,在不影响端点侧性能的同时完成新概念的交付。截至目前,公司已拥有 23 个模块,包含端点安全、托管安全服务、安全和漏洞管理、IT 运营管理、日志管理、身份保护、威胁情报、数据保护等领域,覆盖多个安全细分市场。
83、依靠先发优势和领先的技术水平,CrowdStrike 在 EDR 领域占据大量市场份额并积累了丰厚的客户资源,单一轻量级代理也为 up-sell 和 cross-sell 创造了良好条件,为公司业务边界的持续扩张奠定基础。在 2022年投资者日上,CrowdStrike 根据目前产品面向的细分市场进行测算得到 2023 年 TAM 为761 亿美元,预计 2025 年将增长到 978 亿美元;若考虑潜在的产品计划,公司预计这一市场空间将在 2026 年扩充至 1580 亿美元。根据公司财报,FY2023 年末公司端点安全产品以外的新品贡献的 ARR 已经达到 5.6 亿美元(+114%YoY)
84、,占公司整体 ARR 比例已经超过 20%。结合公司投资者材料及近期财报中的表述,我们测算得到目前 ARR 占比最高的三项新品分别为云安全、身份保护、Humio&XDR 产品。我们将在本节对云安全和身份保护产品的机会进行阐述,并在下一小节对 XDR 产品的机会进一步展开。图 25:公司 TAM(潜在市场空间)资料来源:公司 2022 年投资者演示文件(含预测)CrowdStrike(CRWD.OQ)投资价值分析报告投资价值分析报告2023.3.21 请务必阅读正文之后的免责条款和声明 21 图 26:CrowdStrike 细分市场 TAM 及相关产品模块 资料来源:公司 2022 年投资者演
85、示文件(含预测)图 27:FY 2023 年末公司端点安全产品以外新品 ARR 结构 资料来源:公司财报,中信证券研究部 图 28:公司新品(除云安全)ARR(百万美元)资料来源:公司财报,中信证券研究部 云安全云安全产品:产品:云安全是针对部署在云端的虚拟机、容器等工作负载的安全解决方案,能够在漏洞风险、入侵威胁检测、主动防御、快速响应以及安全管理等方面为工作负载提供全面的保护。我们认为,云工作负载安全市场增长主要受到以下几点因素的驱动:1)伴随数字化、云化的持续渗透,企业部署在云端的工作负载不断增加;2)多云、混合云的部署,以及微服务架构的持续渗透显著增加了 IT 堆栈的动态性及复杂度,亦
86、显著提升了安全防范的难度和重要性。根据 IDC 数据,2021 年全球云工作负载安全市场规模为 22 亿美元,IDC 预计到云安全身份保护Humio&XDR其他产品0.0%20.0%40.0%60.0%80.0%100.0%120.0%140.0%0.050.0100.0150.0200.0250.0300.0350.0400.0FY 2021FY 2022FY 2023新品ARRYoY CrowdStrike(CRWD.OQ)投资价值分析报告投资价值分析报告2023.3.21 请务必阅读正文之后的免责条款和声明 22 2026 年将增长至 51 亿美元,对应 2021-2026 年 CAGR
87、 为 18.5%。我们认为,这一市场的增长空间可能被显著低估:根据 IDC,目前安全开支占企业 IT 总开支约 10%,但目前云安全占公有云市场(IaaS+PaaS)的比例则尚不及 2%。考虑到云环境本身动态、复杂的特点,以及 IT 基础设施上云的持续推进,我们认为云计算环境下的安全开支将持续增长。公司云安全产品模块包括 Falcon Horizon 和Falcon CWP,通过单一平台以及集成的威胁情报,提供全面的可见性、检测和修复,以保护云工作负载。保护云工作负载即保护公有云和私有云中的虚拟机、容器和无服务器工作负载,而保护端点即保护部署在本地的 PC 和服务器等,两类产品在很大程度上可以
88、实现迁移复制。CrowdStrike 在端点安全领域积累了丰富的经验和技术优势,基于此扩展 Falcon CWP 等云安全模块优势显著,而云安全实则也是公司落地最早且贡献 ARR 最大的新品。FY 2023 年末,公司云安全模块 ARR 达到 2.24 亿美元(+111%YoY),结合 CrowdStrike 现阶段的市场规模预测,我们预测公司云安全产品在 CY 2022 的市场份额逼近 10%。图 29:全球云安全市场规模及增速(百万美元,%)资料来源:IDC(含预测),中信证券研究部(2022 及以后为预测数据)图 30:全球云安全市场份额(2021 年,%)资料来源:IDC,中信证券研究
89、部 图 31:IaaS+PaaS 市场规模(十亿美元)资料来源:IDC(含预测),中信证券研究部 图 32:云安全占公有云市场(IaaS+PaaS)的比例(%)资料来源:IDC(含预测),中信证券研究部 0%5%10%15%20%25%004000500060002022420252026全球云安全市场规模YoYTrend MicroTrellixSophosPalo Alto NetworksCheck PointLaceworkCrowdStrike其他0500300350400450PaaSIaaS0.0%0.2%0.4%
90、0.6%0.8%1.0%1.2%1.4%1.6%20212022E2023E2024E2025E CrowdStrike(CRWD.OQ)投资价值分析报告投资价值分析报告2023.3.21 请务必阅读正文之后的免责条款和声明 23 图 33:全球虚拟机数量及增速(百万,%)资料来源:IDC(含预测),中信证券研究部 图 34:全球容器实例数量及增速(百万,%)资料来源:IDC(含预测),中信证券研究部 身份保护身份保护产品:产品:2020 年,CrowdStrike 以 9600 万美元收购了零信任和条件访问技术提供商 Preempt 并将其技术与 CrowdStrike Falcon 平台相
91、结合,推出Falcon ITP 与 Falcon ITD 模块,帮助客户实现身份保护。Falcon 平台利用行业领先的威胁情报和丰富的遥测技术,实现准确的威胁检测,在风险增加时阻止访问或触发 MFA(多重身份验证),从而保护关键应用程序和数据。CrowdStrike的产品是对传统零信任网络访问架构(ZNTA)的补充:传统 ZNTA 架构通过云网关进行分段,通过 Okta、Azure AD 等身份访问管理平台完成认证、授权及单点登录,但对于端点侧的风险疏于防范,部分攻击者仍有可能通过获取身份凭据以绕开认证过程,进而实现攻击横向移动。但 CrowdStrike 基于强大的行为检测和判断能力以及云端
92、丰富的威胁情报,能够高效发现攻击者的非常规行为,进而执行更加严格的身份认证,抑或对安全运营团队发出高优先级告警。通过CrowdStrike 的身份产品,企业能够较好地实现端点、网关、认证平台的零信任闭环,将身份相关的风险事件降至最低。IDC 预计,全球 IAM 市场规模将在 2025年达到 192 亿美元,对应 2020-2025 年 CAGR 为 11.6%,其中云产品的 CAGR为 18.6%。根据公司财报,FY 2023 年末,公司身份保护模块 ARR 突破 1 亿美元,实现同比三位数的增长。图 35:ZTNA 主要架构 资料来源:Zscaler,中信证券研究部绘制 0%5%10%15%
93、20%25%00500600700虚拟机数量YoY-虚拟机数量0%10%20%30%40%50%60%70%004000500060007000容器实例数量YoY CrowdStrike(CRWD.OQ)投资价值分析报告投资价值分析报告2023.3.21 请务必阅读正文之后的免责条款和声明 24 图 36:ZTNA 体系中完善了基于端点侧的身份验证 资料来源:Cloudflare 图 37:全球 IAM 市场规模及增速(百万美元,%)资料来源:IDC(含预测),中信证券研究部 0.0%5.0%10.0%15.0%20.0%25.0%05,00010,
94、00015,00020,00025,000201920202021E2022E2023E2024E2025E身份管理身份验证B2C身份管理特权身份管理身份治理管理遗留方案YoY CrowdStrike(CRWD.OQ)投资价值分析报告投资价值分析报告2023.3.21 请务必阅读正文之后的免责条款和声明 25 表 8:IAM 各细分市场介绍 细分市场细分市场 主要功能主要功能 主要玩家主要玩家 访问管理 使用访问控制引擎为多个应用场景(B2E、B2B 和 B2C)的目标应用程序提供集中身份验证、SSO(单点登录)、会话管理和授权实施。多因素身份认证以及对现代身份协议(如 SAML、OAuth2
95、 和 OIDC)的支持均为访问管理的核心要素。Okta、微软、Ping Identify、IBM、Oracle、CA 身份认证 指代替传统密码的一系列身份验证方法以及解决方案,MFA(多因素身份认证)是目前最为主流的身份认证方案,通过生物特征、行为分析、地理位置、使用设备等多种方式验证用户身份。MFA 是访问管理的核心要素。市场较为分散,访问管理厂商以及安全厂商均能提供身份认证解决方案 特权访问管理 特权账户是 IT 王国的钥匙,能够提供对 IT 基础设施、应用程序、DevOps 工具和关键业务数据的完全访问和控制,也是外部攻击者入侵和破坏的首要对象。而 PAM 提供了对特权管理员帐户的精准访
96、问控制,可以最大限度地保护敏感数据及信息。CyberArk、Thycotic、BeyondTrust、Centrify、One Identify 身份治理管理 IGA 系统是 IAM 生态的重要组成部分,它们必须管理数量迅速增长的身份和权限的生命周期,以使公司了解当前谁可以访问哪些资源,谁应该访问这些资源,以及如何使用这些资源。Sailpoint、Saviynt、IBM、Omada、One Identify、Oracle 资料来源:Gartner,中信证券研究部 XDR:EDR 的下一步演进方向,数据生态巩固平台壁垒的下一步演进方向,数据生态巩固平台壁垒 可演进式集成安全架构可演进式集成安全架
97、构,有效提升有效提升安全防护的有效安全防护的有效性性。XDR(Extended Detection And Response:扩展检测与响应)于 2018 年由 Palo Alto 首席技术官 Nir Zuk 提出,其将检测范围扩大到终端之外,是一种跨多个安全层收集并自动关联信息以实现快速威胁检测的方法。XDR 是端点检测与响应(EDR)的自然演进,在发展过程中逐渐结合了安全信息和事件管理(SIEM)、安全编排自动化和响应(SOAR)、以及网络流量分析(NTA),集中安全数据和事件响应。面对不断加速的数字化转型和纷繁复杂的网络攻击,XDR 可促进威胁防御、检测、响应等安全功能之间的协同和互操作
98、,帮助企业提升威胁检测和响应的效率和效果。CrowdStrike(CRWD.OQ)投资价值分析报告投资价值分析报告2023.3.21 请务必阅读正文之后的免责条款和声明 26 图 38:XDR 模型架构 资料来源:腾讯安全网站 提供更多可见性和背景信息,通过整体检测和响应策略消除安全孤岛提供更多可见性和背景信息,通过整体检测和响应策略消除安全孤岛。当前,传统安全系统面临着更加隐蔽、更加智能、更具破坏性的新一代网络攻击,高级威胁的发现越来越难以通过单一的安全能力来实现。多个安全设备产生的缺乏有效信息的海量告警、孤岛式安全能力建设的缺陷、现有安全产品自动化能力不高、企业被动的安全防御策略等现实困境
99、,使得企业急需寻找一种新的网络安全防护措施。XDR 横跨各种端点、网络、SaaS应用、云基础设施等各种可以处理的 IT 资源,将原本分布于各种检测系统的孤立海量告警进行整合,通过在各种检测系统之上的数据集成与综合关联分析,呈现给用户更加精准和有价值的告警,显著提高了安全人员的工作效率。同时,XDR 还具备与单一的安全工具之间的 API 对接与基础的编排能力,从而能够快速地实施告警响应与威胁缓解。表 9:XDR 的核心能力 核心能力核心能力 具体描述具体描述 全局安全控制点 支持对终端、网络、云和工作负载的安全防护和控制能力,获取更大范围的安全可见性,支持跨产品、跨层级的安全数据获取、威胁检测和
100、事件响应。安全集成和互操作能力 把各种安全日志、告警等数据进行汇总,以便于进一步的威胁分析;联动不同层面的安全产品,阻断不安全的访问请求、隔离被攻陷的主机、修复系统漏洞/问题、降低用户权限、下发检测策略等响应执行操作。大数据处理和机器学习分析能力 汇聚了全局的安全数据(包括各种安全日志、告警、网络流量、外部威胁情报等),比单个安全产品提供更加强大的威胁检测能力。海量安全数据的处理需要具备大数据存储、传输、分析等能力,需要依赖机器学习等人工智能算法增强对高级威胁的分析、攻击杀伤链的理解和还原;让安全人员可以聚焦处理数量有限、真正有影响的安全事件。自动化编排能力 提供自动化的技术和工具,减少需要企
101、业安全人员手动操作的频率和人为操作出错的概率,提高安全运营效率;XDR 支持安全响应任务的编排能力,让用户对文件、权限、主机和网络执行经过预先设计编排过的手动和自动的补救措施,提高局部威胁发现、全局快速响应的的能力。威胁情报能力 通过提供或集成威胁情报服务,增强了企业用户的安全可见性,提升威胁检测时效性和能力。资料来源:Gartner,腾讯安全,中信证券研究部 CrowdStrike(CRWD.OQ)投资价值分析报告投资价值分析报告2023.3.21 请务必阅读正文之后的免责条款和声明 27 XDR vs SIEM:SIEM 从企业的几乎所有来源收集大量日志和数据并向安全人员发送警报,但未考虑
102、数据的有效性,导致安全团队被许多无法分类或调查的警报淹没而忽略关键警报。此外,即使 SIEM 从诸多来源和传感器捕获数据,它仍然是一种发出警报的被动分析工具,无法跨多个端点自动协调对网络威胁的一致实时响应。而 XDR 收集的数据比 SIEM 解决方案所收集的数据更精准,减少了需要大量手动集成和调整的工作,XDR 还能够分析多个来源的数据以验证警报,从而减少误报和整体警报量,提高了SOC 的运营效率。另一方面,XDR 可以对网络和端点防御进行主动上下文感知调整以消除威胁,同时提醒 SOC 团队成员进行调查。综上,XDR 可以改进威胁检测和响应,使 SOC 实现流程的现代化、集成和自动化。尽管 S
103、IEM 作为收集安全信息和事件最为全面的手段仍将持续存在,但效率更高、实时性更强的 XDR 方法料将对 SIEM 的适用场景持续渗透,实现快速的增长。表 10:XDR 与 SIEM 对比 产品产品 优点优点 缺点缺点 XDR 整合孤立的安全工具,提高威胁可见性、减轻安全人员的负担 通常只聚焦于威胁检测与响应;可能导致对单一厂商过度依赖 SIEM 收集各类网络设备的日志数据,向安全人员发送警报,支持取证与合规 发出海量警报的被动分析工具,无法识别警报优先性,无法提供日志的上下文信息 资料来源:公司官网,中信证券研究部 XDR 成为业内主流发展趋势成为业内主流发展趋势,渗透率有望进一步提升渗透率有
104、望进一步提升。2020 年,Gartner 将 XDR 列为第一大安全技术趋势以及 2020-2021 年十大安全项目之一,并表示 XDR 解决方案将“提高检测准确性,并提高安全运营效率和生产率”。在 Gartner 技术成熟度曲线中,端点安全和安全运营两个领域在 2020 年和 2021 年都提及了 XDR。2022 年,XDR 站上了安全运营成熟度曲线顶端,成为安全运营体系中最炙手可热的技术之一。根据Gartner 的报告,2020 年使用 XDR 技术的组织少于 5%,但 Gartner 预计到 2027 年这一数字将上升至 40%。IDC 预计,2021 年-2026 年,全球云原生
105、XDR 市场规模将实现66.1%的年均复合增速,从 1.7 亿美元快速增长到 21.2 亿美元。图 39:2022 年 Gartner 安全运营成熟度曲线 资料来源:Gartner 图 40:云原生 XDR 市场总收入(百万美元)资料来源:IDC(含预测),中信证券研究部 注:2022 年及以后为预测 0%20%40%60%80%100%120%0500025002022420252026市场规模YoY CrowdStrike(CRWD.OQ)投资价值分析报告投资价值分析报告2023.3.21 请务必阅读正文之后的免责条款和声明 28 图 41:SI
106、EM 市场总收入及增速(百万美元,%)资料来源:IDC(含预测),中信证券研究部 CrowdStrike 成立成立 Crowd XDR 联盟联盟,驱动行业整合驱动行业整合、份额集中、份额集中。2021 年 2 月,CrowdStrike 宣布以 4 亿美元收购日志管理平台 Humio。传统的日志管理系统会在数据被摄取时编制索引,而 Humio 的现代无索引架构使搜索大规模数据的速度极快,时效性和可用性更强。CrowdStrike 的威胁图谱与 Humio 基于无索引架构的日志管理结合,为其扩展 XDR 功能提供了先进的安全数据平台。2021 年 10 月,CrowdStrike 推出 XDR模
107、块,同时发起成立 Crowd XDR 联盟,启动合作伙伴包括来自云、Web、电子邮件、身份、网络、ITOM 等安全和 IT 行业的领导者。该联盟为数据交换建立一个共享模式,通过特定供应商的安全遥测丰富底层 XDR 数据以进行关联分析。Forrester 报告认为,“XDR 产品的生死取决于良好的 EDR 基础。XDR 提供程序将受到它们所基于的 EDR的限制。”CrowdStrike 的 Falcon Insight XDR 以行业领先的 EDR 以及威胁图谱为基础,基于 Humio 引入第三方遥测数据并利用 AI 实现数据、事件和流程的关联,为跨域调查提供统一的控制台以实现威胁检测和响应。结
108、合公司投资者演示材料及近期财报中的表述,我们测算得到目前公司 Humio&XDR 产品 ARR 约 0.6 亿美元,新类别产品中仅次于云安全和身份保护。而在收入贡献之外,我们认为 XDR 产品更大的意义在于建立起了以 CrowdStrike 为核心的统一数据格式和互相集成的响应流程,这有助于推动各类点解决方案持续向 CrowdStrike 靠拢,CrowdStrike 亦将借助生态的力量构筑更为强大的壁垒。0%2%4%6%8%10%12%14%00400050006000700020212022E2023E2024E2025E2026E市场规模YoY CrowdStrik
109、e(CRWD.OQ)投资价值分析报告投资价值分析报告2023.3.21 请务必阅读正文之后的免责条款和声明 29 图 42:Crowd XDR 联盟 资料来源:公司官网 公司分析:公司分析:技术技术&生态生态构筑核心壁垒,构筑核心壁垒,长期机会明确长期机会明确 竞争优势竞争优势:技术领先、生态全面、技术领先、生态全面、客群广泛且稳定客群广泛且稳定 技术技术优势优势:轻量轻量 Agent+云端威胁图,数据飞轮云端威胁图,数据飞轮持续强化竞争壁垒持续强化竞争壁垒。轻量级代理与威胁图紧密集成轻量级代理与威胁图紧密集成,技术性能行业技术性能行业领先领先。公司的 Falcon 平台由两个紧密集成的专有技
110、术组成:易于部署的单一轻量代理和基于云端的动态图数据库。单一轻量级代理将需要分析的数据发送到云中执行繁重的工作,同时在端点上保留必需的本地检测和预防能力。这种方法使得 CPU 使用率低于 1%,具备占用空间更小、无需重新启动主机即可实现快速更新部署、在离线情况下也能继续工作、对端点性能拖累较小等优势。此外,单一代理还允许公司在不增加代理的情况下合并其他功能,实现更加简便的升级更新。轻量级代理将端点数据发送到云中后,基于云端的威胁图以一种简单、灵活、可扩展的方式对数据进行分析建模。威胁图每周实时处理、关联和分析超过 5 万亿个与端点相关的事件并创建索引,同时利用 AI、行为分析等方法识别和阻止恶
111、意活动。图 43:威胁图主要功能 资料来源:公司官网 图 44:威胁图降低企业 TCO 资料来源:公司官网 CrowdStrike(CRWD.OQ)投资价值分析报告投资价值分析报告2023.3.21 请务必阅读正文之后的免责条款和声明 30 立足于立足于云原生架构云原生架构,灵活性灵活性与与可扩展性可扩展性优势突出优势突出。在云的时代,越来越多的应用程序迁移到云端,基于云的架构设计和开发模式需要一套全新理念去承载,于是云原生思想应运而生。CrowdStrike 的云原生架构将端点安全和云平台合二为一,相比传统本地部署的解决方案提供更多的灵活性和可拓展性。客户无需在本地部署硬件设备,可随时按需调
112、配云端资源。通过将扫描和检测引擎驻留在云中,公司在云端统一对引擎进行持续更新,而不需要向端点代理推送新的签名或引擎。这种方法也允许 CrowdStrike 在 Falcon 平台中随时添加新功能,实现技术的快速迭代。部署到云中的本地解决方案需要两个代码库来维护,通常难以拓展并且面临许多架构限制,在此对比下云原生架构的优势更加凸显。图 45:CrowdStrike 云原生平台元素 资料来源:公司投资者演示文件 海量海量数据数据具有规模效应具有规模效应,竞争竞争壁垒不断强化壁垒不断强化。CrowdStrike 每天从所有客户收集和分析超过 10,000 亿个与端点安全相关的事件,将所有的高保真数据
113、存储在一个单一模型中并利用海量数据对 AI 算法进行训练。随着客户数量增长,CrowdStrike 将收集越来越多的网络攻击事件,其算法的精确率也会逐步提升,而更优的防御效果也将进一步吸引更多客户,实现良性循环。此外,从端点收集的数据经过 AI/ML 算法学习后还可以被其他产品使用,所有功能都基于唯一数据源推出,不需要额外迁移或补充数据,达到“一次收集,重复利用”的效果。因此,CrowdStrike 的竞争壁垒也将在数据收集分析过程中不断强化。CrowdStrike(CRWD.OQ)投资价值分析报告投资价值分析报告2023.3.21 请务必阅读正文之后的免责条款和声明 31 图 46:Crow
114、dStrike 数据飞轮 资料来源:公司财报,中信证券研究部绘制 客户资源客户资源:广泛且高粘性的客户资源广泛且高粘性的客户资源,为业绩为业绩的的持续快速增长持续快速增长提供提供了了坚实保障坚实保障。CrowdStrike 不仅覆盖了多个行业的头部企业,其产品组合的灵活性也使中小客户数量的增长成为可能。不同不同规模的订阅客户数量增长规模的订阅客户数量增长强劲强劲。凭借优异的产品性能、丰富的产品模块及广泛的合作渠道,公司的订阅客户数量持续快速增长,从 2016 年的 450 名增加到 2022 年的 23,019 名,复合增长率高达 93%。CrowdStrike 不同版本的产品对应不同的功能和
115、价格,能够有效满足各种规模企业的需求,为订阅客户数量的增加打下坚实基础。2021年ARR超过100万美元的客户数量达到302家,5 年复合年增长率为 98%,ARR 在 10 万美元至 100 万美元之间的客户数量为2482 家,5 年复合增长率为 75%,ARR 低于 10 万美元的客户数量为 13,541个,5 年复合年增长率为 116%。图 47:订阅客户数量及其增速 资料来源:公司投资者演示文件,中信证券研究部 图 48:不同规模客户的数量 资料来源:公司投资者演示文件,中信证券研究部 利用海量数据训练算法行业领先的精确度、更低的误报率吸引更多客户从所有客户的端点中收集数据0%50%1
116、00%150%200%05000000025000客户数量YoY020004000600080004000FY2017FY2021FY2022ARR$1M的客户$100KARR$1M的客户ARR$100K的客户 CrowdStrike(CRWD.OQ)投资价值分析报告投资价值分析报告2023.3.21 请务必阅读正文之后的免责条款和声明 32 采用模块数量实现扩张,采用模块数量实现扩张,下游客户粘性较强下游客户粘性较强。在通过核心 EDR 产品积累大量优质企业客户后,公司持续推出新的功能模块;与此同时,CrowdStrike 特有的轻代理、重云端的架
117、构允许客户在端点无感知的情况下完成新模块的采用,不会拖累端点性能,亦不会增加 Agent 的数量。基于以上原因,客户采用的模块数量实现了快速扩张。2017-2021 年,采用 4、5 和 6 个或更多模块的客户占比稳步上升,新客户订阅模块的平均数量也由 2016 年的 2.0 个上升至 2021 年的 4.7个。由于 CrowdStrike 本身的优越性能、多功能集成、大数据持续沉淀等特点,客户在形成使用习惯后更换难度较大,因此下游客户的粘性较强。自成立以来,公司基于美元的净留存率和总留存率维持在较高水平,净收入留存率持续保持在 120%以上,总留存率一直维持在 98%以上的高水平。图 49:
118、订阅不同模块数量的客户占比 资料来源:公司投资者演示文件,中信证券研究部 图 50:基于美元的总留存率与净留存率 资料来源:公司投资者演示文件,中信证券研究部 客户资源优质广泛客户资源优质广泛。公司在下游客户中建立了良好的品牌和技术口碑,获得了众多行业知名客户的认可。截至 2023 年 1 月 31 日,财富100 强中的 65 家、财富500 强中的 254 家、美国前 20 大银行中的 15 家,全球企业 2000 强中的 526 家企业都采用了 CrowdStrike 的网络安全解决方案。目前,公司已覆盖德勤、高盛、奔驰、美国联邦政府等客户,优质广泛的客户资源是公司保持盈利能力的重要基础
119、。图 51:公司优质广泛的客户资源 资料来源:公司投资者演示文件 图 52:CrowdStrike 部分核心客户 资料来源:公司官网 0%10%20%30%40%50%60%70%80%FY2018FY2019FY2020FY2021FY20224+5+6+90%100%110%120%130%140%150%总留存率净留存率 CrowdStrike(CRWD.OQ)投资价值分析报告投资价值分析报告2023.3.21 请务必阅读正文之后的免责条款和声明 33 渠道渠道&销售销售:渠道合作伙伴贡献主要收入,免费试用:渠道合作伙伴贡献主要收入,免费试用&无接触销售提升销售效率无接触销售提升销售效率
120、。公司主要通过云厂商、系统集成商、MSSP 厂商等渠道合作完成销售,而直销、Freemium等销售方式作为辅助。合作伙伴渠道:合作伙伴渠道:由于安全产品专业属性较强,合作伙伴渠道是公司合同收入的主要来源,FY2023 公司通过合作伙伴渠道获得的收入达到总收入的 83%,合作伙伴来源的 ARR 同比增长超过 50%。公司的渠道合作伙伴主要包括系统集成商(SI)、托管服务提供商(MSPs/MSSPs/MDRs)、解决方案提供商、云厂商、嵌入式 OEM 合作伙伴等。公司将继续扩大和投资于合作伙伴生态,扩大在企业客户以及 SMB 市场的影响力。近期,公司宣布与戴尔建立多方面战略伙伴关系,戴尔将面向全球
121、范围内的企业客户推广 CrowdStrike 的产品。直接销售:直接销售:除合作伙伴外,公司亦组件了自己的直销团队进行客户覆盖。CrowdStrike 直销团队由 field sales 和 inside sales 专业人员组成,根据客户的端点数量再进行细分,有效识别潜在客户。其中,field sales 主要面向价值量较高的大型企业;inside sales 主要面向中型市场和 SMB。免费试用加快获客速度,免费试用加快获客速度,市场营销助力业绩增长市场营销助力业绩增长。CrowdStrike 从公司网站和AWS Marketplace 向潜在客户提供下一代防病毒模块 Falcon Pre
122、vent 的 15 天免费试用,大大提升了潜在客户的覆盖范围,能够使得销售团队有的放矢地完成试用客户的付费转化;同时,公司也在近期推出了新一代电商系统,希望消除购买过程中的摩擦,推动更高的付费转化效率,而公司也在发布后观察到了非接触购买的转化率出现了显著增长。另一方面,公司的营销组织致力于建立品牌声誉,提高 Falcon 平台的知名度并推动客户需求。CrowdStrike 利用搜索引擎、社交媒体持续加码网站流量,并通过与网络安全行业的领先组织发表演讲、提供专家建议、定期发布行业报告、组织相关会议、与技术合作伙伴积极展开联合营销等方法,让客户了解网络安全的威胁并树立公司在行业中的领导力和品牌形象
123、,帮助客户产生消费需求并第一时间联想起公司产品,从而为公司创造长期价值。表 11:CrowdStrike 的合作伙伴网络 类别类别 描述描述 代表企业代表企业 商店合作伙伴 在 公 司 平 台 上 构 建 应 用 程 序,客 户 可 以 在CrowdStrike Store 中试用、购买和部署其应用程序 exabeam、Dragos 技术合作伙伴 在 Falcon 平台上构建增值解决方案,通过集成推动端点安全功能创新 Zscaler、netskope、sumo logic、proofpoint 解决方案提供商合作伙伴 为公司产品添加集成或专业服务,发展差异化的下一代端点保护业务 CDW、Con
124、sortium Networks、GuidePoint security 云合作伙伴 使用 Falcon 平台为基于云的工作负载提供端点保护和可见性 AWS、Google Cloud、Red Hat 服务合作伙伴 通过为客户提供 CrowdStrike 的领先网络安全解决方案、情报和专业知识来发展业务 包括系统集成商(SI)、托管服务提供商(MSPs/MSSPs/MDRs)和咨询公司 嵌入式 OEM 合作伙伴 与 CrowdStrike 的产品和解决方案紧密集成并迅速推广,帮助合作伙伴提供卓越的客户解决方案 bitgalss、Opswat、CounterFlow 资料来源:公司官网,中信证券研
125、究部 CrowdStrike(CRWD.OQ)投资价值分析报告投资价值分析报告2023.3.21 请务必阅读正文之后的免责条款和声明 34 图 53:Go-To-Market 策略 资料来源:公司投资者演示文件 未来成长性:未来成长性:替换传统产品替换传统产品+渗透现有客户渗透现有客户+开拓海外市场开拓海外市场+产品模块迭代更产品模块迭代更新新 替换传统端点安全产品替换传统端点安全产品:CrowdStrike 的产品专门用于检测、预防和响应威胁行为,而不是试图通过识别签名阻止恶意软件。鉴于传统端点安全解决方案的局限性,许多组织正在用 CrowdStrike 的端点安全解决方案替换现有的传统安全
126、产品,公司也从 Symantec和 McAfee 等传统供应商手中迅速抢占市场份额。但目前,CrowdStrike 监控端点数远小于 TrendMicro、Symantec 等传统厂商,仍有较大渗透空间。我们认为,如果 CrowdStrike能够达到或超过传统厂商的历史用户数量,基于其更广泛的产品模块和更高的 ARPU,公司市场空间有望进一步扩大。图 54:主流端点安全厂商监控端点数(百万台)资料来源:各公司财报,中信证券研究部 渗透现有客户渗透现有客户:基于丰富的产品,公司不断进行 up-sell 和 cross-sell 渗透现有客户。当客户部署公司的轻量级代理时,可以在不安全软件和硬件的
127、情况下轻松地激活新功能,00500600700 CrowdStrike(CRWD.OQ)投资价值分析报告投资价值分析报告2023.3.21 请务必阅读正文之后的免责条款和声明 35 公司还提供额外模块的应用内试用以期实现更多的交叉销售。公司估计,根据 2022 财年17 亿美元的 ARR,如果现有客户购买所有模块,其全平台机会将达到 70 亿美元。在订阅客户中,目前大约 62%的客户拥有五个或更多模块,39%的客户拥有六个或更多模块,22%的客户拥有七个或更多模块,我们预计随时间推移将会继续保持增长趋势。图 55:现有客户购买所有模块时实现的 ARR 资料来源:公司投资者
128、演示文件 开拓海外市场开拓海外市场:2023 财年,CrowdStrike 约 70%的收入来自美国市场,在海外市场方面仍有很大的发展空间。目前,公司正在增加对海外业务的投资以扩大国际客户基数,包括增加欧洲、中东、亚太地区的员工人数,扩大当前的海外数据中心等。在欧洲、中东、非洲和亚太地区,Symantec、McAfee 和 Kaspersky 等传统端点安全厂商仍拥有很高的市场份额。尤其是,Kaspersky 在德国等地区占据很大一部分的市场份额,由于地缘政治风险,这些地区的企业未来不太可能继续使用 Kaspersky 的产品。凭借 CrowdStrike 解决方案的优异表现,其海外市场的开拓
129、将顺利进行,成为公司后续发展的坚实基础。图 56:FY2023 公司按地区划分的收入情况 资料来源:公司财报,中信证券研究部 美国欧洲、中东、非洲亚太地区其他 CrowdStrike(CRWD.OQ)投资价值分析报告投资价值分析报告2023.3.21 请务必阅读正文之后的免责条款和声明 36 拓展新的产品模块拓展新的产品模块:基于 Flacon 平台,CrowdStrike 不仅能够交叉销售现有产品,还能依靠其云原生架构和单一代理在平台添加快速部署新的产品模块,扩展到更多细分领域。2020 年 9 月,公司收购零信任公司 Preempt Security,增强基于身份的攻击和内部威胁的保护;2
130、021 年 2 月,公司收购日志分析公司 Humio,为 XDR 提供业界最先进的数据平台;2021 年 11 月,公司收购 SecureCircle,扩展零信任产品以实施零信任数据保护;2022年,公司收购 Reposify 为 Falcon 增加一个集成的外部攻击面管理平台。目前,云工作负载保护、身份保护和 XDR 都是公司未来发展的重点领域。由于 CrowdStrike 产品是集成的,每一个新模块都能为客户提供更强大丰富的安全保护,不同产品模块之间也可能产生协同效应。例如,Reposify 使公司能够提供 IT 灰色区域或客户可能不知道的暴露区域的额外数据,这些数据可以帮助 CrowdS
131、trike 更好地解决漏洞管理、XDR 和云安全等领域的问题。图 57:公司各模块构成 资料来源:公司投资者演示文件 表 12:CrowdStrike 并购历程 时间时间 并购标的并购标的 标的介绍标的介绍 意义意义 2020.09 Preempt Security 领先的零信任和条件访问技术供应商 将 Preempt 的技术添加到 Falcon 平台中,为客户提供增强的零信任安全能力 2021.02 Humio 日志管理和分析企业 利用 Humio 的技术,可以提取并关联来自任何日志、应用程序或源中的数据,进一步扩展 XDR 功能 2021.11 SecureCircle 数据保护厂商,可以
132、将零信任安全扩展到端点数据上 借助 SecureCircle 技术,在设备层面、身份层面和数据层面实施零信任保护 2022.09 Reposify 外部攻击面管理(EASM)平台供应商 将EASM纳入其威胁情报产品套件中,为客户提供差异化的 EASM 体验 资料来源:公司官网,中信证券研究部 小结:小结:上市之初,公司提出了对于运营指标的目标,即希望在 FY2021 实现 77%-82%+的订阅毛利率、7%-9%的管理费用率和 30%+的 FCF Margin,希望在 FY2025实现30%-35%的销售费用率、15%-20%的研发费用率和 20%-22%+的营业利润率。目前,公司对于 Cro
133、wdStrike(CRWD.OQ)投资价值分析报告投资价值分析报告2023.3.21 请务必阅读正文之后的免责条款和声明 37 FY2021 的目标均已按时或提前完成;对于 FY2025 的目标中,销售费用率和研发费用率的目标已于 2023 财年提前完成。而我们预测,公司对于营业利润率的目标亦将在 FY25如期实现。与此同时,公司在 2022 年投资者日上亦给出了在 FY2026 实现 50 亿以上 ARR的目标,我们对公司中长期的高速成长抱有信心。表 13:公司目标运营模式 Non-GAAP Measure Current Target(%of Revenue)FY18 FY19 FY20
134、FY21 FY22 FY23 Year Expected to Maintain Target Subscription GM%77-82%+57%69%75%79%79%78%FY21 S&M 30-35%87%67%50%40%36%33%FY25 R&D 15-20%46%31%24%20%19%19%FY25 G&A 7-9%21%14%12%9%8%7%FY21 Operating Margin%20-22%+-100%-46%-14%7%14%16%FY25 Free Cash Flow%30%+-74%-26%3%33%30%30%FY21 资料来源:公司投资者演示文件(含预测)
135、,中信证券研究部 风险因素风险因素 企业企业 SaaS 端点安全解决方案需求走弱端点安全解决方案需求走弱的风险:的风险:目前,SaaS 端点安全解决方案仍处于早期阶段,未来增长存在一定不确定性。若未来出现缺乏客户认可、企业支出减少、宏观经济恶化、数据泄露等情况,对该解决方案的需求将会减少,进而对公司业绩产生不利影响。产品产品更新更新迭代风险:迭代风险:若公司无法针对技术迭代以及不断演变的安全威胁成功改进现有的产品和服务,将对公司现有的竞争地位和经营业绩产生负面影响。公司公司客户拓展不力的风险:客户拓展不力的风险:全球经济疲软、地缘政治冲突、客户财务困难及 IT 支出缩减可能导致公司潜在客户流失
136、、订阅期限缩短、销售周期延长、订阅模块减少等情况,从而对公司经营产生不利影响。市场竞争加剧的风险:市场竞争加剧的风险:网络安全行业竞争激烈且分散,公司面临来自现有竞争对手及新进对手的威胁。若公司无法预测并妥善应对来自竞争对手的挑战,将面临市场份额丢失的风险。此外,由于竞争加剧,企业可能被迫降低产品价格,进而面临利润率下降的风险。遭受遭受数据数据泄露泄露、网络攻击的风险:、网络攻击的风险:作为网络安全解决方案的提供商,公司可能成为网络攻击的目标。若发生员工疏忽、产品漏洞、恶意攻击等情况,公司的客户数据、知识产权将受到损害,对公司声誉及经营业绩产生重大影响。CrowdStrike(CRWD.OQ)
137、投资价值分析报告投资价值分析报告2023.3.21 请务必阅读正文之后的免责条款和声明 38 核心人员流失的风险:核心人员流失的风险:近年来,由于全球各国企业和政府频遭网络安全攻击,对专业人才的需求与日俱增,若公司核心研发、销售、管理人员流失,将对公司经常状况产生不利影响。公司公司海外业务扩张不及预期海外业务扩张不及预期的风险:的风险:目前,公司海外业务占比较低,海外业务扩张是公司未来增长战略之一。扩展海外业务将使公司面临收款期限变长、相关费用增加、管理沟通不融洽、地缘政治冲突等风险 盈利预测盈利预测 收入收入&费用费用预测预测 收入方面,我们基于净收入留存率的假设对存量客户收入进行测算,基于
138、客户留存率、客户数以及 ARPU 的预测对新增客户收入贡献进行测算,并给予 Attach Rate 的假设对专业服务收入进行测算。我们预计公司 FY2024/25/26 营业收入分别为 30.0/38.4/47.9 亿美元,对应同比增速分别为 34%/28%/25%。毛利率方面,考虑到公司底层云运营成本的规模效应、订阅收入占比的进一步提升以及 SMB 客群占比的增加,我们预计公司整体毛利率将持续获得优化,逐步向 80%靠拢,预计公司 FY2024/25/26 毛利率分别为76.3%/77.1%/77.9%。费用率方面,考虑到公司将在 2024 年加大对于 SMB 客群的渗透,我们预计这将短期抬
139、升销售费用率,而研发和管理费用率则有望伴随收入规模扩大而继续下行,我们预计公司 FY 2024/25/26 销售费用率为 34%/33.5%/33.0%,研发费用率为18.4%/18.4%/17.9%,管理费用率为 6.8%/6.7%/6.5%。表 14:收入及费用率预测(Non-GAAP)FY22A FY23A FY24E FY25E FY26E 收入预测收入预测 Subscription Revenue 1359.5 2111.7 2842.0 3647.4 4557.0 yoy 69.0%55.3%34.6%28.3%24.9%Professional Services Revenue
140、92.1 129.6 161.7 196.5 234.1 yoy 31.9%40.8%24.8%21.5%19.1%Attach Rate 6.8%6.1%5.7%5.4%5.1%Total revenue 1,451.6 2,241.2 3,003.7 3,843.9 4,791.1 yoy 66.0%54.4%34.0%28.0%24.6%ARR 1731.3 2559.7 3414.5 4297.0 5348.9 yoy 64.9%47.8%33.4%25.8%24.5%成本及费用预测成本及费用预测 Gross Profit 1,111.2 1,701.7 2,292.3 2,962.0
141、 3,732.2 Gross Margin 76.6%75.9%76.3%77.1%77.9%Sales&Marketing 524.8 749.9 1,022.1 1,289.2 1,583.0 CrowdStrike(CRWD.OQ)投资价值分析报告投资价值分析报告2023.3.21 请务必阅读正文之后的免责条款和声明 39%of Revenue 36.2%33.5%34.0%33.5%33.0%Research&Development 269.3 433.7 551.9 705.5 855.4%of Revenue 18.5%19.3%18.4%18.4%17.9%General&Adm
142、inistration 121.0 162.5 205.7 259.2 312.1%of Revenue 8.3%7.2%6.8%6.7%6.5%资料来源:彭博,中信证券研究部预测 盈利盈利预测预测及投资建议及投资建议 综合上述预测,我们预计公司 FY2024/25/26营业收入分别为 30.0/38.4/47.9亿美元,对应同比增速分别为 34%/28%/24.6%;Non-GAAP 净利润分别为 5.8/7.6/9.9 亿美元,对应同比增速分别为 54.6%/26.9%/27.0%;自由现金流分别为 9.1/12.3/15.8 亿美元,对应同比增速分别为 34.3%/35.1%/28.8%
143、。基于公司在核心端点安全市场的领导者地位及不断强化的竞争壁垒,以及公司在身份保护、云安全、XDR、数据丢失保护等诸多领域的渗透及快速增长,我们看好公司长期的发展空间及投资价值。表 15:盈利预测及估值 项目项目/年度年度 FY2022 FY2023 FY2024E FY2025E FY2026E 营业收入(百万美元)1,452 2,241 3,004 3,844 4,791 营业收入增长率 YoY 66.0%54.4%34.0%28.0%24.6%Non-GAAP 营业利润(百万美元)196 356 513 708 982 Non-GAAP 净利润(百万美元)161 368 579 759 9
144、92 增长率 YoY NA 128.4%54.6%26.9%27.0%FCF(百万美元)442 677 909 1,229 1,583 增长率 YoY 50.8%53.2%34.3%35.1%28.8%PFCF 71 46 35 26 20 PS 22 14 10 8 7 资料来源:彭博,中信证券研究部预测 注:股价为 2023 年 3 月 17 日收盘价 CrowdStrike(CRWD.OQ)投资价值分析报告投资价值分析报告2023.3.21 请务必阅读正文之后的免责条款和声明 40 利润表(百万美元)指标名称指标名称 2021 2022 2023E 2024E 2025E 营业收入 1,
145、452 2,241 3,004 3,844 4,791 营业成本 383 601 791 977 1,171 毛利率 73.6%73.2%73.7%74.6%75.6%销售费用 617 904 1,219 1,530 1,869 销售费用率 42.5%40.4%40.6%39.8%39.0%研发费用 371 608 800 1,009 1,216 研发费用率 25.6%27.1%26.6%26.2%25.4%管理费用 223 317 388 483 578 管理费用率 15.4%14.2%12.9%12.6%12.1%营业利润 -143 -190 -194 -155 -43 营业利润率 -9.
146、8%-8.5%-6.5%-4.0%-0.9%财务费用 25 25 25 25 25 财务费用率 1.7%1.1%0.8%0.7%0.5%其他收益净额 8 56 123 135 135 利润总额 -160 -160 -97 -45 67 所得税 72 22 31 58 99 净利润 -232 -182 -128 -103 -32 调整净利润 161 368 579 759 992 资产负债表(百万美元)指标名称指标名称 2021 2022 2023E 2024E 2025E 货币资金 1,997 2,455 3,374 4,611 6,203 应收账款 368 626 877 1,131 1,4
147、02 其他流动资产 206 559 723 852 1,003 流动资产 2,571 3,640 4,973 6,594 8,608 固定资产 261 492 684 906 1,156 其他长期资产 787 894 938 1,001 1,084 非流动资产 1,047 1,386 1,621 1,907 2,240 资产总计 3,618 5,027 6,595 8,502 10,848 递延收入 1,137 1,727 2,470 3,254 4,185 应付账款 48 45 27 33 42 其他流动负债 223 336 355 444 536 流动负债 1,407 2,109 2,85
148、2 3,731 4,763 长期借款 740 741 741 741 741 其他长期负债 434 689 938 1,211 1,536 非流动性负债 1,174 1,430 1,679 1,952 2,277 负债合计 2,581 3,539 4,531 5,682 7,040 普通股 0.12 0.12 0.12 0.12 0.12 资本公积及其他 1,991 2,612 3,315 4,175 5,195 留存收益 -965-1,148-1,283-1,394-1,433 股东权益合计 1,038 1,487 2,063 2,819 3,808 负债股东权益总计 3,618 5,027
149、 6,595 8,502 10,848 现金流量表(百万美元)指标名称指标名称 2021 2022 2023E 2024E 2025E 净利润 -232 -182 -128 -103 -32 营运资本变动 217 212 266 279 342 折旧摊销 56 77 93 103 107 其他非现金项目 534 834 962 1,276 1,524 经营现金流 575 941 1,193 1,554 1,940 资本开支 -112 -235 -245 -275 -295 其他投资活动现金流 -452 -322 -39 -50 -63 投资现金流 -565 -557 -284 -325 -35
150、7 发行与回购股票 66 68 9 9 9 债务变化 -1.80 -1.59 -其他 8 11 -融资现金流 73 77 9 9 9 汇率变动 -5 -3 -现金净变化 78 459 918 1,238 1,592 主要财务指标 指标名称指标名称 2021 2022 2023E 2024E 2025E 增长率(%)营业收入 66.0%54.4%34.0%28.0%24.6%营业利润 NA NA NA NA NA 净利润 NA NA NA NA NA 利润率(%)毛利率 73.6%73.2%73.7%74.6%75.6%营业利润率 -9.8%-8.5%-6.5%-4.0%-0.9%净利率 -16
151、.0%-8.1%-4.2%-2.7%-0.7%回报率(%)净资产收益率 -22.4%-12.3%-6.2%-3.7%-0.9%总资产收益率 -6.4%-3.6%-1.9%-1.2%-0.3%其他(%)资产负债率 71.3%70.4%68.7%66.8%64.90%股利支付率 0.0%0.0%0.0%0.0%0.0%资料来源:公司公告,中信证券研究部预测 41 分析师声明分析师声明 主要负责撰写本研究报告全部或部分内容的分析师在此声明:(i)本研究报告所表述的任何观点均精准地反映了上述每位分析师个人对标的证券和发行人的看法;(ii)该分析师所得报酬的任何组成部分无论是在过去、现在及将来均不会直接
152、或间接地与研究报告所表述的具体建议或观点相联系。一般性声明一般性声明 本研究报告由中信证券股份有限公司或其附属机构制作。中信证券股份有限公司及其全球的附属机构、分支机构及联营机构(仅就本研究报告免责条款而言,不含 CLSA group of companies),统称为“中信证券”。本研究报告对于收件人而言属高度机密,只有收件人才能使用。本研究报告并非意图发送、发布给在当地法律或监管规则下不允许向其发送、发布该研究报告的人员。本研究报告仅为参考之用,在任何地区均不应被视为买卖任何证券、金融工具的要约或要约邀请。中信证券并不因收件人收到本报告而视其为中信证券的客户。本报告所包含的观点及建议并未考
153、虑个别客户的特殊状况、目标或需要,不应被视为对特定客户关于特定证券或金融工具的建议或策略。对于本报告中提及的任何证券或金融工具,本报告的收件人须保持自身的独立判断并自行承担投资风险。本报告所载资料的来源被认为是可靠的,但中信证券不保证其准确性或完整性。中信证券并不对使用本报告或其所包含的内容产生的任何直接或间接损失或与此有关的其他损失承担任何责任。本报告提及的任何证券或金融工具均可能含有重大的风险,可能不易变卖以及不适合所有投资者。本报告所提及的证券或金融工具的价格、价值及收益可跌可升。过往的业绩并不能代表未来的表现。本报告所载的资料、观点及预测均反映了中信证券在最初发布该报告日期当日分析师的
154、判断,可以在不发出通知的情况下做出更改,亦可因使用不同假设和标准、采用不同观点和分析方法而与中信证券其它业务部门、单位或附属机构在制作类似的其他材料时所给出的意见不同或者相反。中信证券并不承担提示本报告的收件人注意该等材料的责任。中信证券通过信息隔离墙控制中信证券内部一个或多个领域的信息向中信证券其他领域、单位、集团及其他附属机构的流动。负责撰写本报告的分析师的薪酬由研究部门管理层和中信证券高级管理层全权决定。分析师的薪酬不是基于中信证券投资银行收入而定,但是,分析师的薪酬可能与投行整体收入有关,其中包括投资银行、销售与交易业务。若中信证券以外的金融机构发送本报告,则由该金融机构为此发送行为承
155、担全部责任。该机构的客户应联系该机构以交易本报告中提及的证券或要求获悉更详细信息。本报告不构成中信证券向发送本报告金融机构之客户提供的投资建议,中信证券以及中信证券的各个高级职员、董事和员工亦不为(前述金融机构之客户)因使用本报告或报告载明的内容产生的直接或间接损失承担任何责任。评级说明评级说明 投资建议的评级标准投资建议的评级标准 评级评级 说明说明 报告中投资建议所涉及的评级分为股票评级和行业评级(另有说明的除外)。评级标准为报告发布日后 6 到 12 个月内的相对市场表现,也即:以报告发布日后的 6 到 12 个月内的公司股价(或行业指数)相对同期相关证券市场代表性指数的涨跌幅作为基准。
156、其中:A 股市场以沪深 300指数为基准,新三板市场以三板成指(针对协议转让标的)或三板做市指数(针对做市转让标的)为基准;香港市场以摩根士丹利中国指数为基准;美国市场以纳斯达克综合指数或标普 500 指数为基准;韩国市场以科斯达克指数或韩国综合股价指数为基准。股票评级股票评级 买入 相对同期相关证券市场代表性指数涨幅 20%以上 增持 相对同期相关证券市场代表性指数涨幅介于 5%20%之间 持有 相对同期相关证券市场代表性指数涨幅介于-10%5%之间 卖出 相对同期相关证券市场代表性指数跌幅 10%以上 行业评级行业评级 强于大市 相对同期相关证券市场代表性指数涨幅 10%以上 中性 相对同
157、期相关证券市场代表性指数涨幅介于-10%10%之间 弱于大市 相对同期相关证券市场代表性指数跌幅 10%以上 42 特别声明特别声明 在法律许可的情况下,中信证券可能(1)与本研究报告所提到的公司建立或保持顾问、投资银行或证券服务关系,(2)参与或投资本报告所提到的公司的金融交易,及/或持有其证券或其衍生品或进行证券或其衍生品交易,因此,投资者应考虑到中信证券可能存在与本研究报告有潜在利益冲突的风险。本研究报告涉及具体公司的披露信息,请访问 https:/ 本研究报告在中华人民共和国(香港、澳门、台湾除外)由中信证券股份有限公司(受中国证券监督管理委员会监管,经营证券业务许可证编号:Z2037
158、4000)分发。本研究报告由下列机构代表中信证券在相应地区分发:在中国香港由 CLSA Limited(于中国香港注册成立的有限公司)分发;在中国台湾由 CL Securities Taiwan Co.,Ltd.分发;在澳大利亚由 CLSA Australia Pty Ltd.(商业编号:53 139 992 331/金融服务牌照编号:350159)分发;在美国由 CLSA(CLSA Americas,LLC 除外)分发;在新加坡由 CLSA Singapore Pte Ltd.(公司注册编号:198703750W)分发;在欧洲经济区由 CLSA Europe BV 分发;在英国由 CLSA(
159、UK)分发;在印度由 CLSA India Private Limited 分发(地址:8/F,Dalamal House,Nariman Point,Mumbai 400021;电话:+91-22-66505050;传真:+91-22-22840271;公司识别号:U67120MH1994PLC083118);在印度尼西亚由 PT CLSA Sekuritas Indonesia分发;在日本由 CLSA Securities Japan Co.,Ltd.分发;在韩国由 CLSA Securities Korea Ltd.分发;在马来西亚由 CLSA Securities Malaysia S
160、dn Bhd分发;在菲律宾由 CLSA Philippines Inc.(菲律宾证券交易所及证券投资者保护基金会员)分发;在泰国由 CLSA Securities(Thailand)Limited 分发。针对不同司法管辖区的声明针对不同司法管辖区的声明 中国大陆:中国大陆:根据中国证券监督管理委员会核发的经营证券业务许可,中信证券股份有限公司的经营范围包括证券投资咨询业务。中国香港:中国香港:本研究报告由 CLSA Limited 分发。本研究报告在香港仅分发给专业投资者(证券及期货条例(香港法例第 571 章)及其下颁布的任何规则界定的),不得分发给零售投资者。就分析或报告引起的或与分析或报
161、告有关的任何事宜,CLSA 客户应联系 CLSA Limited 的罗鼎,电话:+852 2600 7233。美国:美国:本研究报告由中信证券制作。本研究报告在美国由 CLSA(CLSA Americas,LLC 除外)仅向符合美国1934 年证券交易法下 15a-6 规则界定且 CLSA Americas,LLC 提供服务的“主要美国机构投资者”分发。对身在美国的任何人士发送本研究报告将不被视为对本报告中所评论的证券进行交易的建议或对本报告中所述任何观点的背书。任何从中信证券与 CLSA 获得本研究报告的接收者如果希望在美国交易本报告中提及的任何证券应当联系CLSA Americas,LLC
162、(在美国证券交易委员会注册的经纪交易商),以及 CLSA 的附属公司。新加坡:新加坡:本研究报告在新加坡由 CLSA Singapore Pte Ltd.,仅向(新加坡财务顾问规例界定的)“机构投资者、认可投资者及专业投资者”分发。就分析或报告引起的或与分析或报告有关的任何事宜,新加坡的报告收件人应联系 CLSA Singapore Pte Ltd,地址:80 Raffles Place,#18-01,UOB Plaza 1,Singapore 048624,电话:+65 6416 7888。因您作为机构投资者、认可投资者或专业投资者的身份,就 CLSA Singapore Pte Ltd.可
163、能向您提供的任何财务顾问服务,CLSA Singapore Pte Ltd 豁免遵守财务顾问法(第 110 章)、财务顾问规例以及其下的相关通知和指引(CLSA 业务条款的新加坡附件中证券交易服务 C 部分所披露)的某些要求。MCI(P)085/11/2021。加拿大:加拿大:本研究报告由中信证券制作。对身在加拿大的任何人士发送本研究报告将不被视为对本报告中所评论的证券进行交易的建议或对本报告中所载任何观点的背书。英国:英国:本研究报告归属于营销文件,其不是按照旨在提升研究报告独立性的法律要件而撰写,亦不受任何禁止在投资研究报告发布前进行交易的限制。本研究报告在英国由 CLSA(UK)分发,且
164、针对由相应本地监管规定所界定的在投资方面具有专业经验的人士。涉及到的任何投资活动仅针对此类人士。若您不具备投资的专业经验,请勿依赖本研究报告。欧洲经济区:欧洲经济区:本研究报告由荷兰金融市场管理局授权并管理的 CLSA Europe BV 分发。澳大利亚:澳大利亚:CLSA Australia Pty Ltd(“CAPL”)(商业编号:53 139 992 331/金融服务牌照编号:350159)受澳大利亚证券与投资委员会监管,且为澳大利亚证券交易所及 CHI-X 的市场参与主体。本研究报告在澳大利亚由 CAPL 仅向“批发客户”发布及分发。本研究报告未考虑收件人的具体投资目标、财务状况或特定
165、需求。未经 CAPL 事先书面同意,本研究报告的收件人不得将其分发给任何第三方。本段所称的“批发客户”适用于 公司法(2001)第 761G 条的规定。CAPL 研究覆盖范围包括研究部门管理层不时认为与投资者相关的 ASX All Ordinaries 指数成分股、离岸市场上市证券、未上市发行人及投资产品。CAPL 寻求覆盖各个行业中与其国内及国际投资者相关的公司。印度:印度:CLSA India Private Limited,成立于 1994 年 11 月,为全球机构投资者、养老基金和企业提供股票经纪服务(印度证券交易委员会注册编号:INZ000001735)、研究服务(印度证券交易委员会注册编号:INH000001113)和商人银行服务(印度证券交易委员会注册编号:INM000010619)。CLSA 及其关联方可能持有标的公司的债务。此外,CLSA 及其关联方在过去 12 个月内可能已从标的公司收取了非投资银行服务和/或非证券相关服务的报酬。如需了解 CLSA India“关联方”的更多详情,请联系 Compliance-I。未经中信证券事先书面授权,任何人不得以任何目的复制、发送或销售本报告。未经中信证券事先书面授权,任何人不得以任何目的复制、发送或销售本报告。中信证券中信证券 2023 版权所有。保留一切权利。版权所有。保留一切权利。