Guy Melamed(首席财务官兼首席运营官)
Brian Vecci(首席技术官)
Nita Marshall(摩根士丹利)
好的。欢迎大家。在我们准备期间,我将快速宣读披露信息。关于重要披露,请访问摩根士丹利研究披露网站:morganstanley.com/researchdisclosures。如果您有任何问题,请联系您的摩根士丹利销售代表。我是Nita Marshall,在摩根士丹利负责网络安全领域的研究。我们很高兴邀请到Varonis的首席财务官Guy Melamed和首席技术官Brian Vecci。好的,非常好。
或许我们可以先从这里开始,对于那些不太熟悉Varonis或总体数据安全的人,简单介绍一下公司概况。
我想从这里开始:网络安全的几乎所有方面都与数据相关,对吧?没有人闯入银行是为了偷钢笔,他们是为了钱。如今,没有人会获取账户、身份、API、代理或基础设施的访问权限,除非他们真正的目标是数据。企业在数据方面面临着挑战,因为他们拥有海量数据,不仅存在于数据中心,还分布在各种云平台、所有超大规模服务商、应用程序以及他们正在构建的所有AI工作负载中。他们面临着大量的监管风险。我拥有什么数据?数据在哪里?所有正确的控制措施是否到位?还有大量的声誉风险。他们不希望因为数据泄露而登上《华尔街日报》的头版。他们需要用更少的资源做更多的事情。他们需要能够自动修复所有这些问题。这意味着他们面临着大量的运营风险,不仅在数据保护方面,还在于确保能够有效完成所有这些工作。
我们拥有一个自动化安全平台,能够回答所有这些问题,帮助他们安全、快速、自动地实施控制措施。如果您是首席信息安全官(CISO),那么作为Varonis的客户,这意味着我们可以阻止数据泄露,防止您被罚款。我们让您从安全角度轻松自动化所有需要自动化的工作负载。我们最大限度地缩短检测和响应威胁所需的时间。如果作为CISO,您能做好所有这些事情,那么您的工作非常出色,并且可以安全、快速地部署AI,这几乎是每个人的首要任务。
我可以给出一个非技术性的答案。有时候,把我们比作某个事物会更容易理解。我们正试图在网络安全领域做信用卡公司在欺诈检测方面所做的事情。当谈到信用卡欺诈时,我们所有人在旅行时都会收到这样的短信:“这是您本人的消费吗?”“是”或“否”。信用卡公司在识别异常行为方面变得非常擅长。他们之所以能如此擅长检测异常行为,是因为他们了解我们的一切。他们知道我们购买什么、在哪里旅行、和谁一起吃饭。通过拥有全套信息,他们可以识别出是否存在异常行为。我们在数据方面做的正是同样的事情,因为我们可以看到谁打开文件、谁移动文件、谁删除文件。通过拥有这种全面的可见性,我们可以识别出某人是否打开了比平时多得多的文件,或者是否删除了他们本不应访问的文件。
无论是外部人员获取凭证以访问数据,还是员工即将离职并为下一份工作做准备,想要带走一些敏感信息。原因并不重要。我们可以帮助这些客户受到保护。正如Brian所提到的,我们主要尝试做三件事。一是确保您不会遭受网络攻击,能够受到保护。二是确保您不会因未能正确保护敏感信息而被罚款。三是AI的实施。我们可以帮助组织在实施AI时得到更好的保护,因为目前数据的使用情况确实令人担忧。
明白了。我的意思是,我想接着这个话题往下聊。我们之前强调过,随着AI的发展,数据安全变得越来越重要。攻击面在扩大,出现了各种以前甚至不认为是关键或不重要的数据类型。过去,你们曾谈到AI对你们来说是净利好,因为不良行为者比以往任何时候都更容易使用AI发起攻击。在市场方面,您看到了哪些情况,比如攻击速度或客户对AI安全的担忧程度如何?
当您询问客户不仅关于AI安全,还关于AI总体情况时,如果他们的回答前15个词中没有“数据”这个词,他们很可能是在编造,根本不知道自己在说什么。AI安全和数据安全有着极其紧密的联系。这不仅仅是因为AI让攻击者的工作变得更容易,还因为它让防御者的工作比以往任何时候都更加复杂。Guy给您举了一个例子,比如有人使用您的信用卡,信用卡公司检测欺诈。那么,在数据安全方面,我们需要确保不仅数据受到监控,而且攻击面要大得多,因为这不仅仅是一个用户。可能是一个用户与1000个代理进行交互。
这些代理实际上在做什么?那里有什么基础设施?对于您问到的AI安全,公司通常希望做几件事。他们希望盘点现有的AI工作负载。他们正在使用哪些模型,无论是基础模型还是微调模型?有哪些代理?模型和代理、最终用户、应用程序、数据存储和代码库之间是如何交互的?这就是AI世界中发生的情况。我向一个工具、应用程序或代理发出提示,现在它正在与MCP服务对话。它正在与大型语言模型对话。它正在与其他代理对话。它正在与我的代码库对话。它正在与我的数据存储和其他应用程序对话。通常是上述所有情况的某种组合。盘点并管理安全态势。所有路径、配置以及聪明人会利用的所有东西是否都设置正确?所有访问控制是否设置正确?您是否在监控事物的使用方式?是否有适当的护栏,以防止人们在提示中输入敏感信息,或者防止模型返回敏感信息?您能证明自己合规吗?
要知道,我们正在谈论安全。安全和合规是紧密相关的。有欧盟AI法案,有NIST AI风险管理框架。现在公司希望实施所有这些控制措施,以便能够安全地部署AI。这就是Varonis所做的。特别是随着最近对AllTrue.ai的收购,我们现在能够以其他公司无法比拟的深度和广度提供这些能力。这意味着如果您关注AI安全却没有与我们交流,那您就错过了机会。
是的。我的意思是,您所描述的可能就是Varonis已经在做的事情,所以,您知道的。投资者总是痴迷于什么是AI安全,什么是其他部分。这是否应该成为整个业务的推动力?是否有某些领域或产品系列我们应该看到更多与AI相关的关注?
我会给出一个定性的答案。我会让Guy谈论任何定量的内容。我们刚刚宣布收购一家名为AllTrue.ai的公司,该公司从事AI盘点、AI态势管理、AI红队测试、AI合规、监控以及LLM网关和护栏,这是对我们现有能力的补充,包括保护底层数据存储和基础设施,以及监控和保护ChatGPT和Microsoft Copilot等AI工具。我们现在能够在新的地方进行盘点,扫描和保护模型,扫描和保护代码库,扫描、保护和监控代理使用及其之间的交互。这些能力确实很重要,而且……我们几周前宣布了收购,客户的反应是——我想AllTrue.ai的人说,我们在两周内做的演示比他们公司历史上之前做的还要多。需求非常旺盛。
好的。明白了。数据安全也是一个我们看到很多初创公司的领域,特别是那些被贴上DSPM标签的公司。越来越多的竞争对手如何影响客户的销售周期或客户找到Varonis的过程?
很高兴有很多其他公司,有更多的投资资金在为我们解决的问题进行营销,这在过去并不总是这样。过去很多年,我们就像对着虚空呐喊。现在每个人终于意识到数据安全是一个非常大的问题。我不知道。这确实帮助我们进入了更多的对话。也就是说,这意味着我们面临更多的竞争。DSPM市场一直……我认为我们在20年前就创造了它,当时它并不存在,而且在很长一段时间里我们是这个领域唯一的公司。即使现在,现有的参与者也只做我们所做的一部分工作。如果您是一家初创公司,您真的只会在云端开展业务,而且您真的只会在相对容易连接的云存储中提供这种可见性。我们深入更复杂的领域。我们不仅仅在云端开展业务。
我们在本地环境开展业务。我们不仅仅在数据库中开展业务,还在文件中开展业务。我们提供更成熟的能力,我的意思是,我们自动化了其他DSPM工具无法自动化的事情。我们检测到其他DSPM工具无法检测到的事情。回答您的问题,我们现在面临更多的竞争,因为在覆盖范围上没有人能与我们相比。Varonis用于文件安全?当然。Varonis用于数据库安全?当然。Varonis用于超大规模服务商?当然。Varonis用于SaaS应用程序?是的。Varonis用于AI。在任何与数据安全或隐私相关的领域,当客户发出RFI或RFP时,我们都会参与所有这些对话。由于该领域有更多的参与者,我们面临更多的竞争。当我们正确执行销售流程时,我们的能力和平台的成熟度意味着我们的赢单率仍然很高。
补充一点,Varonis多年来的愿景一直是为客户提供单一的操作面板、单一的仪表板,让他们能够在任何使用的平台上得到更好的保护。当您考虑到,我们经常被问到关于供应商整合以及该领域发展方向的问题时。看看我们进行的一些收购,所有这些收购都是为了在更多平台上提供更多的可见性。关于电子邮件安全,我们收到了很多问题。您要进入那个领域吗?这是MDDR产品的一部分。这不是一个独立的产品。现在我们只是专注于电子邮件安全。这不是我们的意图。事实并非如此。当您将电子邮件与MDDR产品结合起来考虑,当您考虑到AllTrue.ai收购与我们提供的平台相结合时,这会变得更加有趣。一加一不等于二。这一直是我们思考路线图的前提。我认为我们正在朝着这个方向前进。
明白了。稍后我会回到你们通过收购进行平台建设的一些问题上。Guy,或许,回顾一下第四季度的收益,就像您说的,你们的转化率高于预期。简单说明一下,您在第三季度结束时受到了怎样的鼓舞。
这是一个很好的问题。进入第四季度时,当我们宣布产品终止支持时,我们有大约1.8亿美元的非SaaS ARR需要转换。我知道整个季度我们收到的头号问题是这个数字中有多少会被转换?
我们在第四季度成功转换了约6500万美元的非SaaS ARR。我认为这个数字如此之高的部分原因是终止支持的公告。它在我们的客户中产生了紧迫感,并让我们能够进行关于迁移以及迁移到SaaS的路径的对话。现在我们能够给出2026年预计转换的范围,并设定了悲观情景和乐观情景,我认为我们处于两者之间。从非常高的层面来看,进入第四季度的1.8亿美元中,三分之一已经转换。三分之一预计会转换。另外三分之一将会流失。这部分主要集中在联邦和州级客户。这个垂直领域和这类客户可能受到的影响最大。无论如何,这都会发生。
如果我们将这个过渡拖上几年,这些客户最终也会流失。我们只是在加速这个过程,因为我认为考虑到组织面临的风险,以及本地订阅价值主张和SaaS价值主张之间的巨大差异。一些其他公司多年来坚持过渡,不急于让客户迁移,他们在本地和SaaS产品之间没有那么大的差异。
对我们来说,SaaS在功能上有了飞跃,在数量级上,它比本地订阅产品更好——拖延过渡对客户没有帮助,对我们也没有帮助,对财务结构和杠杆模型也没有帮助。当我们展望2026年与宣布终止支持时的情况相比,我们现在对转换方面的预期有了明确的指导,我认为这比我们在第三季度宣布终止支持时要好得多。我认为部分原因肯定与终止支持公告及其在客户中产生的紧迫感有关。
明白了。你们在第四季度提供了很多关于业务的额外披露。随着我们进入这个日历年,您认为投资者应该关注哪些指标?
所有我们被问到的事情。不。
是的。
2025年的问题是过渡后业务将如何增长?您是否仅因为转换而增长?能否提供不包括转换的SaaS增长指标?我们在第四季度全面公开了信息,然后我们收到的前几个问题是,为什么总ARR增长了X%?这与我们被问到的所有问题都相反。我认为重点正是投资者想要的。我们提供数字,我们按季度提供转换数字。我们展示不包括转换的增长情况。我认为关注今年年底将归零的业务部分——非SaaS ARR——并不是重点。老实说,就像乐观情景和悲观情景一样。再获得500万美元的转换会有影响,但它们不如SaaS业务的增长重要。这应该是重点。这应该是那些全年都向我们询问此类信息的投资者的关注点,现在我们已经提供了这些信息,这就是重点所在。
您应该知道,投资者总是想要一些与您提供的略有不同的东西。
不。我们提供了所有被要求的信息,甚至更多,我认为。我认为我们在这方面尽可能保持透明。
是的。或许我想回到过去几周关于AI和安全的讨论,以及“网络安全可以是‘氛围编码’(vibe coding)”这一观点。我认为这通常忽略了你们拥有的竞争护城河。您如何……我可以给出自己的回应,但您可以给出更有深度的回应。
我认为您总结得非常好。
是的。
我们拥有的技术护城河有很多,而且还在不断增加,这意味着——听着,我花时间与客户交流。我不知道有谁在考虑“氛围编码”安全,根本没有。我认为没有人认为这是严肃的。有一些工具。当然有软件。有些类型的软件将面临威胁。那些像Varonis这样独特的平台不会。没有什么能像我们这样做我们所做的一切。所有这些方面,比如覆盖范围和自动化的深度和广度,我们正在使用现代工具来帮助更快地构建我们的技术。这并不是说……我认为您总结得很好。我就说到这里。是的。我们不认为这对我们的业务构成威胁。我们认为有一些AI工具将帮助我们更快地创新。Varonis以及整个数据安全领域,我认为不会受到冲击。
好的。明白了。我想更深入地谈谈AllTrue.ai,您刚才提到了它。它如何符合战略,特别是考虑到过去几年你们进行了一些小型收购,AllTrue.ai是最新的一个?
我认为AllTrue.ai,现在称为Varonis AI Atlas,将我们的可见性扩展到了新的领域,我正在重申之前说过的一些内容,但这真的很重要。现在的AI盘点,不仅仅是数据存储和支持基础设施,还包括模型、代码库和代理本身,包括它们的交互和行为,以及自动修复这些问题的能力,因为这是我们工作的关键,还有行为分析,将其与我们在威胁检测方面的工作以及我们已经在做的一流数据分类和态势管理联系起来。这有点改变游戏规则,因为如果您是任何正在构建、考虑构建或已经构建任何AI工作负载的组织,在这一点上,每个人都属于这种情况,您需要这种级别的可见性。如果一个月前问我这个问题,这就是我的答案。因为我们有一个月的时间向客户展示这个产品。我能够看到首席信息安全官们的反应,他们说,我不仅需要这个,我昨天就需要了。
您刚才向我展示的比其他任何人能做的都领先好几年。我们的路线图包括将其与Varonis数据分类和行为分析相结合,这使我们不仅能够保护AI,还能结合意图上下文来保护和监控AI。这意味着我们确切地知道什么数据以及为什么它很重要,数据如何流动,并且我们以独特的方式理解行为。AllTrue.ai为我们增加的可见性广度,以及进行AI红队测试等事情的能力。我现在可以将Varonis AI应用于您的模型,它将测试诸如越狱、偏见和提示注入等问题。通过扩展Varonis平台,用更少的人、更少的工时就能做更多的事情,这对我们来说真的是改变游戏规则。
我的意思是,Guy,终止支持的部分原因几乎是为了让销售人员专注于销售更广泛的平台。你们已经讨论过通过一些小型收购扩展到多个其他类别,AllTrue.ai是其中最新的一个。现在销售人员已经完成了转换工作,您如何看待他们专注于销售更广泛平台的过程?
2025年,我们的佣金计划显然侧重于向新客户和现有客户销售,但也从美元角度完成了很大一部分转换,我们对代表们在转换方面进行了补偿。我们多次谈到,转换实际上占用了代表们的时间,因为他们必须处理大量将客户从本地迁移到SaaS的文书工作和官僚清单。2026年,回归基础。代表们不会从转换中赚钱。他们将通过向新客户和现有SaaS客户销售来赚钱。我认为这是一个重要的组成部分,将重点放在应该关注的地方。这也是我们希望完成这一过程的部分原因,到今年年底实现100%的SaaS ARR,但在整个一年中都将重点放在正确的要素上。
明白了。从技术角度来看,您显然在谈论客户希望你们将平台扩展到所有这些不同的领域。是否有早期证据表明,销售更广泛的产品确实有效?
请记住,Interceptor、SlashNext收购是在9月完成的。AllTrue.ai是在几周前完成的,所以还处于早期阶段。从我们与客户的所有对话来看,我们对这些收购以及它们在未来几年能带给我们的前景感到非常满意。
情况没有改变。Varonis会发现并告诉您存在哪些数据以及哪些数据重要,并提供所有上下文。我们会自动修复问题。出现问题时我们会发出警报。现在我们以以前无法做到的方式为您的电子邮件提供这些功能。现在我们以以前无法做到的方式为AI提供这些功能。现在我们以以前无法做到的方式为数据库提供这些功能。对于我们的销售团队来说,这并不是改变他们的行动方式,而只是我们还能在哪些方面为您做这三件事?
明白了。关于你们拥有的数据驱动护城河,您能否谈谈随着你们将看到越来越多的数据,特别是随着我们开始使用AI,这条护城河如何增长,与该领域的竞争对手相比如何?
是的。我们拥有的技术护城河的一个重要部分是,从理念上讲,我们深入最复杂的领域,即最大的数据存储。这不仅仅是数据量,还有数据的复杂性。在像Microsoft 365这样的环境中,为了真正理解那里数据的所有上下文,您不仅仅是扫描敏感内容。您还在查看数据存储在哪里,每个人的OneDrive共享、SharePoint站点和Team站点,您还在查看所有共享链接以及身份、目录、数据、分类之间的关系……这就是我们所说的复杂领域。我们在所有地方都这样做,而且我们不走捷径,而初创公司和其他DSPM工具不得不走捷径,因为它们从未被构建为以这种方式扩展,这意味着它们实际上只给您提供基本的可见性。它们只在可以走捷径的地方这样做。从理念上讲,我们全面扫描所有内容,深入到您拥有数据的任何复杂领域。在数据量不仅在增长,复杂性也在增长的世界中,这种技术护城河是关键。我们谈论的不是1个用户,而是1个用户加上1000个代理。不是1个数据存储,而是相互连接的云数据存储星系。不仅仅是1个模型,而是有人可以在Hugging Face上访问的150万个模型。复杂性要高得多。它正在增长。我们的技术护城河建立在不走捷径地解开所有这些复杂性的核心之上,在与数据相关的复杂性增长速度比以往任何时候都快的世界中,这将为我们提供极大的帮助。
明白了。Guy,您提到了围绕激励内容改变薪酬结构。是否有其他方式,比如通过应该扩展的合作伙伴关系或其他渠道扩展,可以帮助扩大Varonis的覆盖范围?
是的。当然。我认为合作伙伴对我们所提供的产品非常感兴趣,因为我们可以为客户提供价值。我们正试图专注于正确的合作伙伴关系,而不一定是数量。重要的是质量。我们肯定在这方面投入了大量精力。我认为市场,包括微软和AWS,都是很好的合作伙伴,显然他们对我们销售的消费部分感兴趣。我们肯定专注于这一点。不过,我要说的是,我们始终希望将命运掌握在自己手中。这不像你外包出去然后就无所事事。我们肯定专注于外部销售团队和我们正在开展的营销活动,同时专注于与一些渠道合作伙伴接触。
好的。在这些会议上,我们花了很多时间讨论收入驱动因素,但这如何影响底线?您如何看待未来几年业务的利润率轨迹?
关于利润率的讨论,我认为让我们从2023年开始。当我们宣布转向SaaS时,我们制定了一个五年计划。我们设定了运营利润率、ARR贡献利润率和自由现金流的预期。人们对我们在整个过渡期间,尤其是在早期阶段产生现金的能力有些怀疑。我们在改善利润率、自由现金流以及在过渡早期(需要最大投资的时期)产生大量现金方面做得非常出色。我要说,在达到模型中的底线数字方面,我们可能比计划提前了两年,在自由现金流方面也接近计划。2026年自由现金流受到的唯一影响是那些没有转换的客户,主要是我之前提到的州和政府客户,大约在3000万至5000万美元的范围内,这部分客户不是在多年内流失,而是在一年内流失,而且您不想因为这个孤立事件而取消所有投资。2026年,随着您继续投资,这一因素会带来一定的阻力。理念没有变化,我认为我们一直是那些既关注收入又关注底线和自由现金流生成的公司之一,我们始终相信进行具有合理投资回报率的投资。这种理念没有改变。我们一直专注于实现该模型,我认为该模型的2027年数字目标仍然存在。
我们看到了实现目标的途径。我们对成本结构感到非常满意,并且在今年年底实现100% SaaS ARR之后,2027年底线会有一些好处。“快刀斩乱麻”对自由现金流有孤立的影响。我想提醒大家,我们的指导理念也没有改变。我们对收入、底线和自由现金流的指导方式与过去相同,这意味着这是起点。我们希望能做得更好。我要说的是,我们以不同理念指导的唯一KPI和指标是转换数字,有乐观情景和悲观情景。预期是我们将处于所有其他指导(包括自由现金流)的中间,这是年度的起点,希望并期望我们能做得更好,并在全年取得更好的数字。
明白了。最后一个问题,显然,最近关于基于股票的薪酬的讨论越来越多。你们如何看待基于股票的薪酬?是否需要重新平衡基于股票的薪酬和现金薪酬?你们正在进行哪些讨论?
如果您回顾几年并分析基于股票的薪酬,我们实际上关注三个指标。一是稀释方面,二是基于股票的薪酬占总ARR的比例。如果您回顾过去,这个百分比在过去几年中实际上大幅下降,我们有意识地努力确保我们从整体上考虑它。第三个组成部分是以美元计算的基于股票的薪酬。我认为如果您看看我们关注的一些因素,我们做得很好。我们显然实施了1.5亿美元的回购计划,这也抵消了一些稀释。我认为出于明显的原因,我们实施该计划是因为我们认为现在是合适的时机。这将抵消一些稀释。如果您看看基于股票的薪酬占总ARR的一些指标,我们在过去几年中显著降低了这个百分比。
明白了。好的。Guy和Brian,非常感谢你们花时间向我们介绍Varonis。
非常感谢。
非常感谢。