身份不明的发言人
Sumedh Thakar(总裁兼首席执行官)
Joo Mi Kim(首席财务官)
身份不明的参会者
Kingsley Crane(Canaccord Genuity集团)
大家好。感谢参加。我是Kingsley Crane,是Canaccord的软件分析师。今天我们有Qualys团队在场,包括CEO Sumedh Thakar和CFO Joo Mi Kim。感谢你们的到来。
谢谢。
谢谢。
那么,我们开始吧。先从最近的季度说起。你们上周公布了强劲的业绩。在客户活动、产品吸引力和宏观信号方面,你们认为有哪些关键要点?
是的,我们对这个季度相当满意。我认为10%的增长和45%的EBITDA利润率对我们来说是一个不错的季度。总体而言,宏观环境与我们第一季度看到的大致相同。因此,交易仍然受到严格审查,人们需要时间考虑如何进行更大的采购。但对我们来说,能够将净留存率从103提高到104是积极的。总体而言,我们觉得与客户的对话在风险运营中心采用更广泛的漏洞管理能力(不仅仅是扫描)方面相当积极。
因此,在客户购买额外能力方面,续约和吸引力都很好。这反映在NRR中。当然,我们在新业务方面还有更多工作要做,我们正在与合作伙伴合作,但总体而言,我们对这个季度感到满意。
你们一直在谈论漏洞管理(VM)的演变,因为你们正在将Qualys转变为统一的风险管理平台。你们能否帮助投资者理解为什么这种转变对安全买家有吸引力,以及这如何延长你们增加现有客户支出的跑道?
是的,这是个好问题。我认为,正如我们在过去多年中看到的,一切都在数字化,因此人们部署的基础设施和应用程序的广度比过去要大得多。因此,漏洞检测产生了大量的发现,并且已经到了客户无法真正修复所有检测到的问题的地步。他们需要找到对业务有影响的正确问题并优先处理。我们发现修复是唯一能让你更安全的事情。
归根结底,你可以检测和构建仪表板,但你能帮助修复正确的问题吗?因此,五年前,我们是该领域最早提出统一补丁管理概念的公司之一。当时有人怀疑这是否可行。但仅在2024年,Qualys代理就部署了1.1亿个补丁,这很好地验证了安全买家正在寻找修复能力。因此,我们看到过去几年向修复的转变很重要,现在我们发现发现的问题太多,人们希望能够优先考虑他们的预算支出,并在哪些方面可以对业务产生可衡量的影响。
因此,虽然有很多技术发现,但人们很难理解,例如,10,000个高CV发现对我每年5亿美元的业务意味着什么?如果发生攻击,我每天损失1000万美元的可能性有多大?因此,我们看到从资产管理、漏洞管理、配置管理向更广泛的风险管理的转变,这些风险管理与人们看到的货币损失相关。这就是演变的方向,我们很高兴在这方面领先于竞争对手,推出了补丁管理和资产管理能力。
你们谈到了组织处理的警报数量。还有他们试图集成到安全堆栈中的工具数量,他们的列表变得臃肿。我们通常听到买家对他们堆栈中的安全公司数量感到不知所措。在这种情况下,你们如何将你们的整合策略与更接近的同行(如Attainable或Rapid7)以及更大的公司(如CrowdStrike甚至Wiz)区分开来?
是的,很好。IT基础设施的演变非常快,对吧?从本地到云虚拟化,从虚拟化到云容器,再到现在的AI。因此,客户总是面临新的风险,而初创公司通常会迅速响应,可能提出一个关键解决方案,这导致了安全软件的臃肿,人们购买了一堆不同的工具来解决个别能力。在相邻领域总是有有意义的整合机会。
我们在漏洞管理方面进行整合,包括补丁、资产管理等。但客户也希望采取整体方法,他们希望拥有某些最佳解决方案,真正赋能他们的团队。例如,像代码扫描工具,他们希望使用自己喜欢的代码扫描工具。他们可能希望使用特定的容器安全工具,因为它在他们的环境中运行得最好。因此,我们认为在相邻领域有整合的趋势,他们希望减少工具集。
但他们也希望灵活地获得整体安全态势的单一视图,同时保留来自不同供应商的一些最佳解决方案。因此,与CISO交谈时,他们并不认为用一个供应商解决方案替换所有工具是现实的。这就是我们看到的动态,我们的风险运营中心方法是在云安全、漏洞管理、补丁管理等领域进行整合,同时让客户能够灵活地从其他工具(如IT、IoT或OT环境)中提取数据,以获得单一视图。
我们已经讨论了一些,但在最佳解决方案和平台不安全之间总是存在这种摇摆。身份现在正成为一个更激烈的战场,Palo Alto收购了CyberArk。Nikesh Arora说过的一件事(无论他是否认真)是,当他看到一个市场开始拐点时,他们会确定他们想要进入该市场,并使其成为他们平台中更重要的一部分。因此,就你们的业务而言,你们在构建平台时如何考虑广度优先深度,以及何时加倍投入现有优势与何时扩展?
这是一个非常好的问题,因为与我之前提到的类似,我们与CISO的对话是:首先,当你谈论整体风险管理时,你有基础设施安全、云安全、应用安全,而身份绝对是风险管理的一个领域。就像你的系统可能完全打了补丁,但如果身份被泄露,它仍然会带来与漏洞相同的风险。因此,有一种整体感觉,你希望有一个风险的综合视图。
基于我们与CISO的对话,Qualys采取的方法是,他们并不认为用一个供应商替换所有工具是现实的。他们认为在某些领域可以进行整合,就像我们正在做的那样。但当我们谈论风险运营中心时,就像一个正式的风险管理流程,我们的企业风险管理平台为他们提供了灵活性,他们可以在某些领域进行整合,同时保留最佳解决方案。
因此,我们解决这个问题的方式是在Black Hat上宣布了一个身份安全态势管理能力。但这个能力并不要求客户去替换他们已经拥有的所有身份安全解决方案。相反,它可以插入常见的工具(如Okta等)以提取与身份相关的风险信息,然后将其与云安全信息、基础设施安全信息结合起来,给他们一个单一的评分。因此,这让他们可以灵活地保留他们喜欢的身份解决方案,同时从更广泛的平台视角看到,如果有1亿美元的风险,这种风险发生的概率有多大,以及多少风险来自身份、云配置错误或本地安全。
因此,我们的平台方法是让客户在特定领域进行整合,并允许他们插入他们已经拥有的工具,而不是出去说“用我的解决方案替换一切,生活就会美好”。
是的,是的,这种灵活性、互操作性对客户来说真的非常重要。如果我不谈AI,那就是我的失职了。
是的。
你们最近推出了一些Agentic AI能力来增强风险运营中心。你们能否告诉我们更多关于这将如何减少运营开销,并可能减少平均解决时间?
是的,我是一个技术专家,做了很多年工程师,所以我有时会远离炒作。当AI的炒作发生时,我认为生成式AI是一个很好的起点,但我不认为有人有耐心整天坐在那里不停地提问。你需要一种方法来操作它。这就是为什么在过去一年左右的时间里,Agentic AI非常有趣,因为它真正让生成式AI在后台变得可用和可操作。
风险运营是你从1000万个发现中找出真正对你的业务有意义的20个,以防止勒索软件攻击。因此,这需要一定的工作量。他们必须查看扫描数据,必须查看扫描是否正确,扫描时间是否在最近30天内。有多少漏洞实际上是在关键资产上。因此,通过Agentic AI和MCP协议,我们真的觉得这是一个很好的机会,可以帮助客户减少他们为找出真正对业务有意义的20个问题而投入的手动工作。
因此,我们创建了网络风险代理和网络风险代理市场的概念。当你进入Qualys企业风险管理平台时,你基本上会看到可用的专业代理,你可以拖放并说“我想要一个补丁星期二代理,我想要一个勒索软件专家代理,我想要一个恶意软件专家代理”。它们非常擅长完成任务。在底层,它们将利用API应用程序、其他生成式AI LLM等,给你一个端到端的结果。这对我们的客户来说非常强大,在我们刚刚推出的预览中,他们能够说“我可以从市场中选择一个由Qualys提供的专家代理,我可以构建自己的代理”。
未来,我们看到引入合作伙伴代理的潜力,这些代理将实现一个结果。例如,如果你有Zscaler,并且你的优先级结果需要应用零信任策略,因为某个特定解决方案的问题,你可以真正做到这一点。因此,我认为Agentic AI将是每个风险运营中心都需要的东西,只是为了简化任务并减少投入的手动工作量。这是一种不同的方法,因为现在CISO可以看到他们正在用数字工作者(或任何你想称呼的方式)增强他们的安全风险管理团队。
你可以说,如果你看一些截图,你可以说“我希望让代理Sarah成为我团队的一部分,为期一周,这样她可以真正专注于分类我的补丁星期二漏洞”。这种方法得到了客户的非常积极的反馈。
这与AI和你们正在谈论的工作有关。你们可能也有意见。AI人才很昂贵。但AI也让开发者在代码创建或Agentic方面变得更高效,可能是作为数字劳动力。因此,在你们自己的业务中,你们如何看待研发成本膨胀或推动整个业务效率的利弊?
我认为它给业务带来的效率。我们有时用它来编码,用它来做客户支持等。它只是让我们能够用现有的团队做更多的事情。如果我能让同一个开发者通过使用AI生产更多的代码,或者我的客户支持代理能够更快地回答问题。或者当我们内部查看销售电话时,了解销售团队是否真的对交易感到兴奋,或者AI是否确认了这一点。我认为所有这些都只是让我们更高效,我认为这更多是关于提高生产力,能够用现有的劳动力做更多的事情,而不是减少劳动力。
因此,我们肯定看到AI在某些方面有炒作,但也有AI的用例,我们在整个组织中利用这些用例,我认为这只是在帮助我们能够做更多的事情。如果你看看我们多快就能推出Agentic AI解决方案,我认为这证明了我们的工程师和AI能力的结合,他们能够很快地利用这些能力。
是的。如果你想想我们在2023年和2024年对研发和销售营销的投资理论,研发费用在这两年增长不到5%的部分原因是因为我们在浦那的强大工程团队。我们能够利用整个浦那团队确保我们在产品路线图和GTM战略上取得进展并执行。但话虽如此,2025年对我们来说确实是一个投资年,我们投资于新产品如Agentic AI开发,以及合作伙伴优先的市场策略。
我们的研发在Q1增长了8%,在Q2增长到15%。除此之外,我们的销售和营销也同比增长了15%。因此,我们对未来的机会感到非常兴奋,并确保我们提前投资。
你们提到了浦那,所以我跳过这个问题。非常盈利的业务,50%以上的规则,40%以上的EBITDA利润率。75%的员工在美国以外,但你们在这些地区(尤其是浦那)找到并培养人才方面做得非常好,这对你们的业务是一个重要资产。你们能否告诉我们更多关于你们如何年复一年做到这一点?
是的,这对我们来说是一个很好的投资,它确实让我们能够规模化,雇佣人才来匹配我们对所有不同事情的愿景。浦那是一个大学城,有很多学院和大学,我们看到很多人从浦那以外的地方来毕业。它已经成长为印度的硅谷中心。我们大约12年前在那里开始,现在我们看到很多其他公司跟随,因为安全性。
当我们去那里时,基本上只有Semantic在那里。但现在你几乎可以看到从CrowdStrike到Symantec的所有人都在那里。因此,它已经成为一个中心,这很好,因为它让我们有很好的人才可用性和人才池,开发者真正跟上我们一直在利用的最新技术。这让我们能够做更多的事情,规模化更多,并能够用我们在不同更广泛领域的研发来增强我们的美国团队。
因此,我们对这一结果感到非常满意。
好的。联邦一直是你们最近的重点。你们刚刚举办了第二届年度公共部门风险会议。能否告诉我们更多关于该领域的一些发展,以及华盛顿特区的办公室如何加速这些发展?
是的,很好。过去几年,我们的联邦收入不到5%。因此,对我们来说,我们真的认为这是未来增长的一个大机会,过去联邦政府更多是关于本地解决方案和数据不外传。然而,过去几年随着他们现代化基础设施,我们看到FedRAMP的使用。我们大约四五年前成为FedRAMP Moderate,这对我们来说很好。但我们真的投入了。任何经历过的人都知道,获得FedRAMP High需要真正的投入和投资。
因此,我们非常兴奋上周宣布我们的平台能够获得FedRAMP High,这意味着我们是唯一一个能够在一个平台上进行资产补丁和漏洞管理以及云的FedRAMP High平台。随着我们建立团队的投入,我们及时举办了会议,关注政府效率。我们正在与联邦空间的客户合作,就像我们在商业方面看到的那样,他们也希望利用风险运营中心的概念,将所有发现分类到真正对他们的任务重要的2%。
在我们的对话中,我们也看到这是这些组织机构的领导者能够沟通的一种方式,即用相同的本地工具无法带来更多的效率。如果你看看我们在过去几个季度谈到的一些成功案例,总是用单一的Qualys解决方案替换本地扫描器和本地补丁解决方案。因此,在我们的会议上,我们讨论了政府使用的风险运营中心,以及利用和转向具有现代能力的FedRAMP High解决方案的能力,从本地扫描器转向基于云的扫描器,为这些政府机构提供更多的灵活性、效率和安全性。
因此,我们认为这是未来几年的增长机会,我们将继续投资并建立团队。现在有了FedRAMP High,我们对未来几个季度可能为我们打开的机会感到兴奋。
合作伙伴对运动至关重要。但你们最近还推出了托管风险运营中心。初始合作伙伴名单不错,包括BlueVoyant、GuidePoint、Nethive。能否告诉我们你们认为这个名单可能会如何增长,以及你们如何帮助促进该平台的发展?
是的,我们认为为了给我们的业务带来规模化增长,合作伙伴将是关键。四年前,我们是60%直接,40%合作伙伴。我认为我们做得很好,将这个比例调整为51%直接,49%合作伙伴。因此,更多的合作伙伴业务是好的,它是高效的,为我们带来了良好的追加销售,我们在保持利润率的同时做到了这一点。因此,我们认为随着我们继续与合作伙伴合作,这将是Qualys为我们的业务带来规模的机会,尤其是在我们进入云安全等领域时。
然而,与合作伙伴合作时,重要的是不要只是谈判“我可以比其他解决方案多给你三个点来转售”。我们将对话转向这些合作伙伴如何在使用Qualys时获得更多的服务业务,而不仅仅是销售其他解决方案时的几分钱。这就是我们提出托管风险运营中心概念的原因,因为客户正在寻求正式的风险管理流程。多年来,SOC一直是你用来检测威胁的工具,当有人进入你的环境时,主动风险管理。
现在有一种趋势是更好的董事会报告,更好地将风险管理与业务对齐。然而,这些客户自己没有能力做到这一点。因此,MROC允许我们密切合作的特定合作伙伴提供服务,如风险量化、风险监控、风险修复。因此,我们相信创建一个能力,即使合作伙伴过去销售过竞争解决方案,他们不需要进行替换对话,他们可以利用Qualys风险运营中心并从其他工具中提取数据来提供服务。
因此,这对他们来说是令人兴奋的。因此,与其说“转售时多赚几分钱”,如果他们能为每销售1美元的Qualys赚取5美元的服务费。这就是MROC令人兴奋的地方,它首先允许合作伙伴进入非常拥挤的MDR市场,提出一个新的产品,即围绕管理风险和风险管理。然后他们可以赚取更多的服务费,而不仅仅是简单的转售机会。因此,这令人兴奋,我们认为这可以让合作伙伴更有动力为Qualys带来更多业务,并在未来几年为我们推动规模化。
Jimmy,你们今年上半年表现非常强劲,Q2比我们近年来看到的更强劲。那么我们应该如何看待下半年增长的节奏?然后你们能否告诉我们关于明年可能增长10%以上的愿望?
是的,我们今年上半年表现非常强劲,因此我们对主要由现有客户驱动的增长感到满意。我认为一年前当我们的净美元扩张率持续下降到102%时,我们感到失望。正如Sumed提到的,它上升到103,已经在那里几个季度了。我们很高兴看到这个季度上升到104%。因此,我们对今年下半年的看法是,从当前账单的角度来看,这是一个更艰难的对比。
去年下半年我们在当前账单方面表现良好。因此,今年下半年的隐含增长率将在5%到7%左右。因此,全年将在6%到8%左右。但话虽如此,我们希望随着ETM和我们新产品的推出以及Agentic AI功能的推出,明年将开始重新加速。因此,我们继续在研发和销售营销方面进行投资,因为我们看到了2026年的加速机会。
现在对我们来说还为时过早,但我们的愿望是更好地平衡增长和盈利能力。因此,利润率收缩可能会在短期内继续。但我们确实看到了一个机会,一旦合作伙伴与直接收入的重新平衡或多或少趋于稳定,就可以期待利润率扩张。
表现非常令人印象深刻。我知道我们开始得有点晚。那么还有什么想对观众说的吗?
我认为我们对未来的机会感到非常兴奋,尤其是当我们看到合作伙伴的杠杆作用、联邦业务以及风险运营中心的新产品时。我们知道在Black Hat上我们建立了一个模拟风险运营中心。看到很多人排队体验这一点很棒。因此,这是关于创建一个引起共鸣的新类别。因此,我们对风险管理作为网络安全领域的一个领域感到非常兴奋,它实际上提供了业务成果,这将是我们的差异化因素。因此,我们将继续盈利增长,这是我们非常兴奋的事情,并期待未来几年的机会。
令人兴奋。再次感谢你们的到来。
谢谢。好的,非常感谢。