问题意识

CrowdStrike 是一家成立于 2011 年的网络安全公司，由 George Kurtz（首席执行官）、Dmitri Alperovitch（前首席技术官）和 Gregg Marston（前首席财务官）共同创立。该公司专注于通过其云原生 Falcon 平台保护组织免受网络威胁。该平台集成了端点检测和响应 (EDR)、下一代防病毒 (NGAV)、威胁情报和托管威胁搜寻，并利用人工智能和机器学习为企业端点和工作负载提供实时保护和可见性，无论是在网络上还是离线状态下。

关于 2024 年 7 月的服务中断事件，背景如下：

2024 年 7 月 19 日，CrowdStrike 发布了一个有缺陷的更新（Channel File 291），用于其 Windows 系统的 Falcon Sensor 软件。此更新包含一个逻辑错误，导致受影响的机器出现广泛的系统崩溃和蓝屏死机 (BSOD)，全球约有 850 万个系统受到影响。此次中断影响了航空、银行、医院、制造业、零售和政府服务等多个行业，造成了估计超过 100 亿美元的重大运营和经济损失。尽管 CrowdStrike 在数小时内识别并回滚了有缺陷的更新，但许多系统仍需要手动干预才能恢复，从而延长了中断的影响。

根本原因是 Falcon Sensor 检测引擎更新中的一个错误，该错误影响了 Windows 10 及更高版本，但由于 Mac 或 Linux 系统具有不同的内核架构，因此未受影响。此次事件被认为是历史上最大的 IT 中断之一，凸显了端点安全软件在全球 IT 基础设施中的关键作用。

Sources

• [1] https://en.wikipedia.org/wiki/CrowdStrike
• [2] https://www.bitsight.com/blog/crowdstrike-outage-timeline-and-analysis
• [3] https://cybermagazine.com/cyber-security/company-profile-who-crowdstrike
• [4] https://en.wikipedia.org/wiki/2024_CrowdStrike-related_IT_outages
• [5] https://www.electronicspecifier.com/news/analysis/who-is-crowdstrike-the-company-behind-the-mass-it-outages/
• [6] https://www.umgc.edu/blog/crowdstrike

Main

我们认为，CrowdStrike Holdings Inc.已重新确立增长势头，同时仍在努力摆脱2024年7月19日全球服务中断带来的财务和声誉影响。

该公司最近实现了超出预期的年度经常性收入（ARR）净新增额再加速，展示了在云、身份和下一代安全信息与事件管理（SIEM）方面的强大平台扩张，并依靠Falcon Flex作为持久的整合杠杆。在我们看来，短期内的争论不仅集中在客户流失或Flex转换上，更在于净新增ARR表现、估值疑虑以及身份和SIEM能否在抵御日益激烈的竞争的同时，弥补核心端点业务的成熟。

CrowdStrike成功的核心动力仍然是其不懈的产品创新，这越来越体现在其平台化上。我们相信，其统一平台和大规模AI驱动的威胁防御，通过客户整合、粘性和持久的ARR增长，支撑了该公司的溢价估值。

在本期“深度分析”中，以及下周Fal.Con 2025大会召开之前，我们将结合网络安全行业背景，为您更新CrowdStrike的最新情况。我们将分享一些与主要竞争对手相关的财务指标，审视自去年夏天以来客户支出模式的变化，并指出今年活动中值得关注的关键事项。

CrowdStrike持续超越同行

让我们首先看看网络安全股票相对于科技股权重较大的纳斯达克指数的表现。

下图是CrowdStrike、Zscaler Inc.、BUG ETF、Palo Alto Networks Inc.和纳斯达克指数（顺便说一句，纳斯达克指数并未受益于近期甲骨文的飙升，因为该股票已从纳斯达克转至纽约证券交易所）的一年期表现。无论如何，我们看到CrowdStrike和ZScaler领跑，在过去12个月中上涨了70%以上。与我们之前“深度分析”报告的不同，BUG ETF上涨17%，落后于纳斯达克指数的表现，截至上周五上午，纳斯达克指数在过去一年中上涨了27%。

从五年期来看，Palo是王者，上涨了390%，但是：

盈利不可预测性、增长担忧和估值让投资者在一段时间内有所退缩。此外，最近250亿美元的CyberArk Software Ltd. 交易也对股价造成压力。但我们对这笔交易持积极态度，因为它与首席执行官Nikesh Arora的“平台化”叙事非常契合，并为Palo Alto Networks提供了更直接的、进入CrowdStrike和Microsoft Corp.强大阵地的总可用市场扩张。这是一个巨大的数字——250亿美元——但这是一笔现金加股票的交易，Palo正在利用增值的股票来扩大其产品组合和市场机会。我们喜欢这一举动。

CrowdStrike拥有溢价估值

由于这些因素，财务状况发生了变化。以下是CrowdStrike、Palo和Zscaler的简要概览。

上图显示了该领域前三大优质股票最近一个季度的数据。我们展示了营收运行率（最近一个季度乘以四）、增长率、ARR、运营和FCF利润率、手头现金、市值和运行率营收倍数。请注意，Palo Alto的ARR报告仅针对其所谓的下一代安全（NextGen Security），该业务增长率在30%以上。这里引人注目的是，CrowdStrike尽管在过去一年中面临挑战，但相对于Palo和Zscaler，它仍然保持着溢价估值。典型的软件即服务（SaaS）营收倍数通常较低，在5到8倍之间，高增长的初创公司在10到15倍之间——因此这三家公司相对于其他软件公司都以溢价交易。

从去年夏天服务中断的影响中实现V型复苏

CrowdStrike估值的持久性令人瞩目。请看下面Enterprise Technology Research关于CrowdStrike的支出数据。

上图来自ETR，展示了其“净得分”（Net Score）方法的细致性，该方法衡量平台上的支出速度。它代表了调查中约400家CrowdStrike客户中：新客户（7% – 浅绿色）；支出增长6%或更多（36% – 深绿色）；支出持平（43% – 灰色）；支出下降6%或更糟（8% – 粉色）；流失或隔离平台（6% – 亮红色）的百分比。用绿色减去红色就是净得分的蓝线，大约在30%左右。任何超过40%的都被认为是高度提升的。

CrowdStrike在去年夏天之前的峰值时期，净得分远超50%；客户流失率处于低个位数。因此，CrowdStrike尚未完全走出困境，也未完全恢复到服务中断前的最高水平。去年7月的影响是显著的，因为绿色部分被压缩，红色部分急剧上升。但请注意，这两个指标都在朝着积极的方向发展——绿色部分缓慢增长，红色部分急剧下降。此外，请注意黄线，即“渗透率”（Pervasion），它衡量安全领域的账户渗透率，该指标在服务中断后有所下降，但已良好恢复。

考虑到CrowdStrike在去年客户不满的背景下如此迅速地反弹，这一切都令人印象深刻。在ETR去年7月服务中断当天进行的一项快速调查中，100名受访客户中有96名受到影响。值得注意的是，46%的受访者表示服务中断是“显著”或“极其显著”的。当时，44%的受访者表示他们可能会替换CrowdStrike，58%的受访者表示他们会重新考虑围绕CrowdStrike进行整合的计划。

考虑的替代方案

安全客户列举了他们正在考虑作为CrowdStrike替代方案的众多堆栈选项，如下所示。

上述调查数据是在今年4月收集的，当时表示有“明确计划”替换CrowdStrike的客户比例为10%，与前一张图表中的4月数据一致。另有24%的客户表示他们仍在考虑替换（去年7月为44%）。

当被问及他们评估了哪些公司时，Palo Alto Networks和微软位居榜首，SentinelOne Inc.凭借其端点可信度位列第三，Cisco Systems Inc.和Fortinet Inc.凭借其庞大的产品组合和市场份额也受到了考虑，还有其他一些公司。

客户关怀计划：危机管理的案例研究

去年7月之后，CrowdStrike不仅仅是进行了一次道歉之旅。它对发生的事情保持透明，承担了责任，并实施了一项积极的客户关怀计划（CCP），以Falcon Flex为核心。

让我们详细解释一下。在2024年7月服务中断后，CrowdStrike迅速采取行动，通过其CCP来维护客户信任，该计划包含了大幅折扣和积分，并增加了支持以抵消中断影响。尽管该计划在短期内造成了收入逆风，但管理层战略性地利用它来推广Falcon Flex——一种灵活的许可模式，允许客户快速上手，按需使用模块，并轻松扩展到相邻解决方案。

通过Flex提供CCP，CrowdStrike希望将危机响应转化为平台发展的顺风。根据数据显示，客户不仅留了下来，而且经常扩大了使用范围，许多早期采用者“重新Flex”为更大的承诺。这一策略缓解了客户流失风险，加深了粘性，并将Flex定位为一个持久的增长杠杆，现在它支撑着CrowdStrike实现100亿美元ARR的长期目标。

CrowdStrike具有粘性

CrowdStrike的透明度、CCP以及更重要的是，从CrowdStrike这样的平台迁移并非易事，这些因素共同作用。

我们几个季度前就报道过这一点，但值得强调的是，81%的客户表示从CrowdStrike迁移并不那么容易。这是为什么呢？Falcon的代理程序深入嵌入到CrowdStrike客户的运营基础设施中。替换CrowdStrike意味着从数万个端点中移除传感器。

但更重要的是，许多流程和程序在客户那里已经固化，围绕CrowdStrike建立的技能也很难迁移。归根结底，运营和合规风险使得业务案例变得极其不利。

关于CrowdStrike的应对，它尚未完全摆脱困境。企业客户普遍认为，CrowdStrike在事件发生后表现出高于行业标准的透明度——尤其是在许多安全供应商在出现问题时会掩盖细节的情况下。尽管如此，对于那些直接受影响的人来说，仍然存在一种挥之不去的看法，即该公司在早期阶段更侧重于损害控制而非全面披露，坦率地说，我们认为这没问题。

我们知道，CrowdStrike优先调动资源帮助客户恢复正常。在我们看来，当时这比投入更多资源来查明并沟通到底发生了什么更重要。事件发生后，首要任务是帮助组织恢复在线。

从一流产品到卓越平台

CrowdStrike未来的表现并非没有风险，正如前面所示——它是一只高价股。让我们看看它的平台方法以及我们认为的ARR增长引擎。

CrowdStrike最新的披露强调了其平台业务日益增长的重要性，如上图所示。下一代SIEM、身份和云安全合计贡献了15.6亿美元的ARR，约占总额的三分之一。SIEM以95%的同比增长率脱颖而出，成为增长最快的细分市场，而云安全以7亿美元的ARR（同比增长35%）在规模上领先。身份安全规模较小但具有战略意义，ARR超过4.35亿美元（同比增长21%）。

关键在于，CrowdStrike不再仅仅是一家端点公司。它是一个平台。首席执行官George Kurtz喜欢说，这些业务本身就足够大，可以“独立IPO”，但由于它们通过Falcon集成，它们强化了整合论点并证明了平台溢价的合理性。基于这些原因，我们认为整体大于部分之和，Flex加速了跨模块的采用，并使CrowdStrike更深入地嵌入到企业安全堆栈中。

Fal.Con 2025大会展望

CrowdStrike仍然是少数几家同时具备规模和创新速度，足以支撑溢价倍数的网络安全公司之一。2024年7月的服务中断无疑留下了财务、法律和声誉上的创伤，但它也加速了公司向Falcon Flex的转型，这是一种深化客户粘性并推动多模块采用的合同模式。随着SIEM、身份和云安全现在占ARR的三分之一以上，CrowdStrike已从端点领导者转变为真正的平台整合者。

在Fal.Con 2025大会上，投资者应关注以下证明点：Flex成为默认模式、客户关怀计划逆风的消除、2027财年ARR增长的清晰度、改善安全运营中心分析师体验的新产品，以及AI主导的创新正在扩大公司护城河的证据。最后，关注生态系统杠杆和合作伙伴扩张进一步验证CrowdStrike到2031财年实现100亿美元ARR目标的迹象。

总结： CrowdStrike正以韧性和卓越的领导力驾驭波涛汹涌的市场。其平台具有粘性，创新引擎完好无损，公司仍然是定义企业安全方向的企业之一。核心问题不是CrowdStrike是否是一流的参与者——它显然是——而是随着增长正常化和竞争加剧，市场是否会继续奖励其平台溢价。在我们看来，只要执行力保持在正轨上，现有证据支持这种溢价。