Omówienie wyników spółki Palo Alto Networks za 1Q’26

Żadna inne spółka skupiona ściśle na cybersecurity nie osiąga większych przychodów niż Palo Alto Networks. choćby największa gwiazda sektora, a więc Crowdstrike notuje przychody o ponad 50% niższe niż Palo Alto. Tak wysokie przychody Palo Alto Networks wynikają z tego, iż spółka stara się być obecna w zasadzie w każdym obszarze cybersecurity. Zanim przejdę do omówienia wyników kwartalnych (spółka ma przesunięty rok obrotowy, więc raportowali trzeci kwartał 2026 roku) poniżej krótkie omówienie tego czym zajmuje się Palo Alto.

Wprowadzenie

Jak już wspomniałem Palo Alto Networks stara się być obecne w każdym elemencie cyberbezpieczeństwa i stanowi to najważniejszy punkt ich strategii. w tej chwili Palo Alto Networks skupione jest przede wszystkim na:

1. Network Security – ich platforma sieciowa obejmuje rozwiązania typu zero trust, w tym m.in.:
   
   • SASE (Secure Access Service Edge) – rdzeniem tego rozwiązania jest platforma Prisma Access zabezpieczająca użytkowników pracujących z dowolnego miejsca i na dowolnym urządzeniu oraz Prisma Browser skupiona na zapewnianiu bezpieczeństwa podczas korzystania z przeglądarki internetowej.
   
   • Firewalle Nowej Generacji – hardware, sprzętowe zapory sieciowe skupione na zabezpieczaniu środowisk, które działają on-premise (a więc na własnych serwerach i centrach danych a nie w chmurze).
   
   • Prisma AIRS – platforma zaprojektowana do ochrony całego ekosystemu AI u klienta, w maju wzmocniona sfinalizowaniem przejęcia firmy Portkey, która monitoruje i kontroluje zachowanie autonomicznych agentów AI.
   
   • Strata Cloud Manager („SCM”) – narzędzie do centralnego zarządzania bezpieczeństwem sieciowym wspierane przez copilota, który rozpoznaje i pomaga usuwać zagrożenia.
   
2. Security Operations – za ten segment bezpieczeństwa odpowiada platforma Cortex zapewniająca:
   
   • Endpoint security – bezpieczeństwo urządzeń końcowych typu komputer, tablet, laptop, telefon.
   
   • SIEM – zarządzanie informacjami i zdarzeniami bezpieczeństwa (potocznie zbieranie i analizowanie logów).
   
   • SOAR – orkiestracja i automatyzacja reagowania na incydenty bezpieczeństwa.
   
   • Agentic Endpoint Security – technologia uzyskana od przejętego w tym roku startup’u Koi Security. Koi wnosi rozwiązania w zakresie monitorowania i zabezpieczania skryptów, wtyczek i modeli AI na urządzeniach końcowych.
   
   • Cloud Security – bazujące przede wszystkim na usłudze SaaS Cortex Cloud chroni zarówno środowiska multi-cloud jak i hybrid-cloud od kodu, przez chmurę aż po operacje bezpieczeństwa. W ramach Cortex Cloud oferowane są coraz nowsze rozszerzania i dodatki, który pozwalają skalować klienta (np. wirtualne firewalle).
   
3. Observability – dzięki niedawnemu przejęciu firmy Chronosphere, Palo Alto Networks zyskało ekspozycję na ten fragment rynku i może dostarczać swoim klientom monitoring w czasie rzeczywistym w całej infrastrukturze chmurowej, aplikacjach, oraz monitorować obciążenia AI. Przy ciągle rosnącej liczbie danych, narzędzia z gatunku observability są niezbędne dla dużych firm.
   
4. Identity Security – ofertę w tym segmencie Palo Alto Networks znacznie poszerzyło dzięki przejęciu izraelskiej firmy CyberArk. Dzięki temu oferują platformę Idira, zaprojektowaną do zabezpieczenia tożsamości ludzi, agentów AI i tożsamości maszynowych (na przykład aplikacje, roboty, certyfikaty, konta serwisowe). Oprogramowanie Palo Alto monitoruje, ale także identyfikuje agentów AI, przypisuje im tożsamości i ogranicza im dostęp tylko do tych zasobów, które są niezbędne dla realizacji przez agenta konkretnego zadania.

Szeroki zakres działania spółki świetnie obrazuje poniższa grafika od Spear-Invest gdzie Palo Alto jest obecne w zasadzie w każdym elemencie ekosystemu bezpieczeństwa. choćby jeżeli nie byli w jakimś obszarze wiodącym podmiotem, jak na przykład w Identity i Data Flow to weszli w niego dzięki skutecznym przejęciom (CyberArk i Chronosphere). Z kolei w przypadku ochrony maili udało im się urosnąć organicznie poprzez stworzenie odpowiedniego modułu w swojej platformie Cortex. Strategią spółki jest platformizacja, a więc dostarczanie klientom rozwiązań w każdym obszarze cyberbezpieczeństwa po to aby klient jak najwięcej swoich wydatków zostawiał właśnie na platformach Palo Alto Networks, skuszony tym iż spółka stanowi tzw. one-stop shop.

Wyniki potwierdzają, iż strategia działa

Spółka pomimo swoich rozmiarów dalej rośnie szybko. Wzrost przychodów rok do roku wyniósł 31%, ale oczywiście, trzeba pamiętać iż spółka Palo Alto Networks realizuje swoją strategię również poprzez przejęcia. Z wyłączeniem CyberArk i Chronosphere przychody wzrosłyby o solidne 14 %. Zarówno przychody jak i wartość RPO (wartość zobowiązań klientów, które dopiero w kolejnych kwartałach będą rozpoznawane jako przychód) oraz zysk na akcje były powyżej wcześniejszych estymacji.

Spółka podniosła także guidance na kolejny kwartał zarówno jeżeli chodzi o przychody, wartość RPO jak i zysk na akcję. Prognozy zostały podniesione nieco powyżej wcześniejszych estymacji.

W przypadku Palo Alto Networks ważniejszymi metrykami niż wysokość przychodów i ich dynamika jest jednak NGS ARR, czyli roczna powtarzalna wartość przychodów z produktów i subskrypcji „nowej generacji”, takich jak Prisma, Cortex, Idira, Observability, AI itp. Tutaj wzrost rok do roku wyniósł 28%, a przy dodaniu dwóch niedawno przejętych firm wynosił blisko 60%.

Kolejnymi ważnymi metrykami są te, które wprost monitorują postępy w realizacji strategii platformizacyjnej.

• Liczba platformizacji: Rok do roku liczba dokonanych platformizacji wzrosła o 32% z 1 250 do 1 650. jeżeli dodać do tego klientów przyciągniętych z przejętych firm CyberArk i Chronosphere to ta liczba rośnie nam do 2 280. Tutaj należy poczynić ważne zastrzeżenie: Liczba platformizacji nie jest tożsama z liczbą klientów. Każdy klient spółki może nabić do pięciu platformizacji, ponieważ w ramach Palo Alto działa pięć platform. W zależności od rodzaju platformy klient musi rocznie zostawiać w niej kwoty od 100 000 dolarów do miliona dolarów, aby zostać uznanym za „splatformizowanego”. Zestawienie obejmuje 5 000 największych klientów Palo Alto Networks.
• Net Revenue Retention dla klientów platformizowanych – (NRR) pokazuje, o ile procent rok do roku rośnie przychód z klienta, u którego dokonano już platformizacji. W przypadku ostatniego kwartału spółka zaraportowała ten wskaźnik na poziomie 120% i to bez uwzględniania tego co wniosły ze sobą wyżej wspomniane przejęte firmy.

Klient, który dokonał platformizacji nie tylko zostawia w spółce więcej pieniędzy, ale też rosną koszty przejścia, bo rezygnacja z usług Palo Alto robi się tym trudniejsza im firma głębiej i na więcej sposób wnika w biznes swojego klienta. Klient „splatformizowany” to także klient chętniej sięgający po najnowocześniejsze rozwiązania Palo Alto Networks co uzasadnia założenie, iż w przypadku wprowadzania kolejnych modułów czy usprawnień to ci klienci będę jednymi z pierwszych kupców.

Udane integracje przejętych podmiotów

To co rzuca się w oczy to szybszy niż pierwotnie zakładano czas potrzebny na sfinalizowanie przejęć i i integrację nowych podmiotów. Palo Alto, z racji swoich rozmiarów, ma olbrzymi potencjał dystrybucyjny i bardzo wiele relacji biznesowych z największymi firmami. Chronosphere jako firma znacznie mniejsza nigdy nie miałaby szans dotrzeć tak gwałtownie do tak wielkiej liczby klientów, choćby mając genialną strategię go-to market. Palo Alto wie jak robić cross selling. Dość powiedzieć, iż jeszcze kwartał temu wskaźnik rocznych powtarzalnych przychodów (ARR) z segmentu Observability (ARR) wynosił około 200 milionów dolarów. w tej chwili wynosi już 300 milionów. Co więcej, oprogramowanie Chronosphere jest wykorzystywane także w rozwiązaniach Cortex XSIAM i pozwala optymalizować wolumeny danych, które mielą się w Cortexie obniżając koszty funkcjonowania platformy.

Synergie prezentują się korzystnie także w przypadku przejęcia CyberArk, który był jednak firmą wyraźnie większą od Chronosphere więc efekt bazy nie jest tak imponujący jak w przypadku Chronosphere.

Nowe rozwiązania AI

Chociaż Palo Alto Networks kojarzy się z licznymi przejęciami (stąd ich platforma składa się de facto z 5 platform, które były nabywane w drodze przejęć) to potrafi także dalej rozwijać kupione produkty. Tempo wdrożeń kolejnych rozwiązań wygląda imponująco, a zdecydowana większość powstała wewnątrz spółki. Im więcej kolejnych takich modułów tym lepsze perspektywy na dalszy wzrost sprzedaży krzyżowej i utrzymywania wysokiego wskaźnika NGS ARR, zwłaszcza iż w przypadku części tych rozwiązań klient jest także naliczany w systemie usage-based a więc od użycia a nie od stanowiska pracy (licencji).

Endpoint security przeżywa renesans

Jeszcze niedawno firmy cybersecurity skupione na dostarczaniu ochrony dla urządzeń końcowych musiały się mierzyć z narracją o SaaSapocalypse. No bo przecież skoro wielu pracowników straci pracę to ich służbowe komputery, laptopy, tablety i telefony nie będą potrzebowały ochrony. Na ten moment jednak sytuacja wygląda zgoła odmiennie. Zapotrzebowanie na ochronę endpoint rośnie dlatego iż pojawiły się nowe zagrożenia związane z wykorzystaniem agentów AI. Jedną rzeczą jest rozpoznać tożsamość agenta wewnątrz sieci firmy i nadać mu adekwatne uprawnienia do buszowania po jej zasobach. Zupełnie innym rodzajem zagrożenia (za zneutralizowanie którego można klienta naliczyć po raz kolejny) jest zagrożenie związane z wykorzystywaniem agentów w urządzeniach końcowych.

Jak na ostatniej konferencji wynikowej wskazał CEO spółki: „Kiedy patrzysz na te narzędzia do vibe codingu, to nie jest tylko aplikacja do kodowania. Dostajesz do tego:

skills [pakiety możliwości i funkcji, które dany agent potrafi wykonać za pośrednictwem platform deweloperskich],

hooks [mechanizm, który pozwala „podpiąć się” pod konkretne zdarzenie w systemie lub aplikacji i automatycznie wywołać własny kod, gdy to zdarzenie nastąpi],

skrypty [lokalne pliki z instrukcjami, które są generowane „w locie” przez agentów AI, aby wykonać złożone operacje systemowe],

serwery MCP [uniwersalny most pomiędzy modelem AI a systemem operacyjnym lub zewnętrznymi narzędziami; jeżeli serwer MCP zostanie zainfekowany, haker uzyskuje pełny dostęp do infrastruktury firmy bez generowania typowych alarmów wirusowych]

i mnóstwo innych rzeczy. Więc to wygląda prawie tak, jakby na istniejącym już endpoincie pojawił się zupełnie nowy ekosystem endpointów. I to wymaga specjalnych, dedykowanych funkcji bezpieczeństwa. Nie da się tego załatwić dodaniem kilku nowych opcji i stwierdzeniem, iż teraz zabezpieczamy nowy, agentyczny endpoint.”

Podobne wnioski płyną choćby z konferencji wynikowej Crowdstrike’a, która miała miejsce w tym samym tygodniu. W przeszłości te firmy lubiły wypłacać sobie kuksańce: przykładowo gdy Palo Alto Networks wskazywał kilka kwartałów na obniżony popyt i wydłużone cykle sprzedażowe Crowdstrike od razu spieszył donieść, iż oni tego pogorszenia popytu nie widzą. w tej chwili obie firmy mówią jednym głosem zarówno jeżeli chodzi o perspektywy dla endpoint jak i o znaczeniu modelu Mythos dla branży.

Model Mythos będzie katalizatorem dla cybersecurity

Rywalizacja pomiędzy spółkami cybersecurity odbywa się nie tylko na gruncie liczb, ale także na gruncie narracji. Bez fajerwerków na konferencji, bez pokazywania inwestorom przewagi własnej strategii, spółkom z tego sektora trudno jest zasłużyć na wycenę premium.

Podczas tej konferencji wynikowej punkt ciężkości jeżeli chodzi o narrację, został oczywiście położony na temat związany z modelem Mythos. Nikesh Arora CEO Palo Alto wskazał na trzy główne katalizatory wynikające z cyklu rozwoju AI:

1) AI wywołuje drastyczny wzrost ruchu sieciowego. Agent AI uruchamia w tle setki automatycznych mikro połączeń, pobiera dane z mnóstwa różnych serwerów generując niespotykany wcześniej ruch. Te zapytania muszą być kontrolowane i filtrowane co wymaga zapewnienia ochrony w czasie rzeczywistym.

2) Zautomatyzowana ochrona jest dziś nieodzowna. O ile jeszcze parę lat temu na automatyzację ochrony można było patrzeć poprzez pryzmat kosztów czy efektywności dziś nie ma dla niej alternatywy. jeżeli atak hakerski jest przeprowadzony nie przez człowieka ale przez maszyny i dzieje się to z prędkością za którą człowiek nie jest w stanie nadążyć to automatyzacja jest jedyną odpowiedzią.

3) Warstwa tożsamości agentów jest kluczowa. Żeby agenci mogli być efektywni potrzebują dostępu do zasobów i danych firmy. Żeby nie było z tego więcej szkody niż pożytku nie można przyznać agentom pochopnie zbyt wielu uprawnień, trzeba więc nadawać im tożsamości i stosować zasady jak w przypadku dostępu do zasobów przez ludzi.

Sprzedaż sprzętu potwierdza tę narrację

Hardware sprzedawany przez Palo Alto Networks zanotował swój najlepszy kwartał od dekady. Wraz ze wzrostem ruchu w internecie rosną wydatki na serwery, firewalle i software z tym związany. O ile hardware stanowi na papierze 10% przychodów spółki to pełni on istotny element moatu. jeżeli klient nabędzie hardware od spółki to de facto jest skazany na kupowanie usług serwisowych i rozwiązań software od Palo Alto. Wtedy także spółka może stosować sprzedaż krzyżową bez ponoszenia ponownych, pełnych kosztów pozyskania klienta. Chociaż jest to kontrintuicyjne to w przypadku Palo Alto marża na rozwiązaniach sprzętowych jest wyższa niż na subskrypcyjnych. Wzrost sprzedaży w segmencie hardware był okupiony obniżeniem marży co wpłynęło też na ogólny mix marży spółki.

Na poniższym slajdzie interesujący jest też istotny wzrost przychodów w segmencie SASE, zwłaszcza, iż inne spółki skupione na SASE jak Zscaler czy Netskope pokazały mało porywający guidance.

Ryzyka

Podstawowym ryzykiem, które od dawna towarzyszy analizom na temat Palo Alto Networks to ryzyko integracyjne. Palo Alto przejmuje kolejne startupy i platformy i zawsze pojawia się ryzyko, iż w końcu się tymi przejęciami zakrztuszą, iż ich kultura organizacyjna zmieni się na gorsze, iż produkty nie będą wystarczająco dobrze zintegrowane, a innowacyjne podejście jakiegoś startupu zostanie stłamszone przez reguły gry jakimi rządzi się duża korporacja. Z tym ryzykiem nierozerwalnie wiąże się także ryzyko wizerunkowe. Źle zintegrowana technologia może prowadzić czy to do wycieku danych czy to do awarii, które mogą nadszarpnąć wiarygodność spółki.

Osobiście uważam te ryzyka za przesadzone. Żadna inna spółka, choćby Crowdstrike, nie ma tak szerokiej ekspozycji na tak wiele segmentów cybersecurity. Co za tym idzie, nikt inny nie może się pochwalić lepiej zintegrowaną ofertą software’u niż Palo Alto Networks. Dostawcy firewalli jak np. Fortinet czy liderzy w SASE jak Zscaler również nie mają wszystkich rozwiązań w ramach własnej platformy i posiłkują się partnerstwami z innymi podmiotami co również rodzi obawy o brak jednolitego interfejsu czy inne problemy integracyjne.

Z kolei w przypadku ryzyka reputacyjnego potknięcia takich firm jak Crowdstrike, Microsoft, Amazon czy Cloudflare pokazują, iż rynek tego typu historie wybacza coraz szybciej, więc również tego ryzyka bym nie wyolbrzymiał.

Podsumowanie

Spółka Palo Alto Networks zanotowała kolejny bardzo dobry kwartał. Powiedziałbym, iż był zgodny z oczekiwaniami jeżeli chodzi o kwestie mniej przyjemne spowodowane kosztami około akwizycyjnymi i cyklami sprzedażowymi. Można więc było spodziewać się presji na marżach i braku zysku w tym kwarta. Z kolei to co zaskoczyło pozytywnie to tempo integracji technologii, wysoki poziom sprzedaży krzyżowej, dynamicznie postępująca platformizacja i istotne wzrosty przychodów w takich aspektach jak hardware, SASE i endpoint.

Nie jestem fanem modeli DCF, bo ich zawodność najbardziej jest widoczna przy takich firmach jak Palo Alto. Ktoś mógł zbudować fajny model DCF 2 lata temu, ale z pewnością nijak nie uwzględnił w nim kosztów tak drogich akwizycji na jakie zdecydowała się spółka.

Nie sposób jednak nie zauważyć, iż wskaźniki wycen są na historycznie rekordowych poziomach. Wyceny mówią coś o jakości spółki, mówią też coś o oczekiwaniach wobec spółki. Te, w tym momencie, są moim zdaniem bardzo wygórowane. Palo Alto jest na pewno w najlepszym momencie swojej historii. Jej platformy nigdy nie były tak szerokie i różnorodne. Popyt na niektóre z ich rozwiązań nigdy nie był tak wysoki. Moat w postaci kosztów przejścia wydaje się poszerzać dzięki postępom w realizacji strategii platformizacyjnej.

Osobiście kupiłem Palo Alto Networks równo 3 miesiące temu po 158.50 dolarów za akcje. W tym roku, biorąc pod uwagę to jak parabolicznie zachowuje się rynek zdecydowałem się na modyfikację mojego podejścia i częstszą rotację na spółkach, których nie traktuję jako multibaggery. Z tego powodu, parę dni temu Palo Alto Networks wypadł z mojego portfela. Nie dlatego, iż rozczarowały mnie wyniki, ale dlatego iż w niecałe 3 miesiące moja stopa zwrotu przewyższyła to co spodziewałem się na tej spółce osiągnąć w rok. jeżeli będzie okresowa słabość na kursie to nie wykluczam powrotu.

Rating wynikowy 3+/5

Dla przypomnienia – nasza skala ratingowa mieścić się będzie w przedziale od 1 do 5, gdzie:

• 1/5 – to dla nas ogromne rozczarowanie,
• 2/5 – rozczarowanie,
• 3/5 – wynik zgodny z naszymi oczekiwaniami (bez rewelacji),
• 4/5 – wynik powyżej naszych oczekiwań,
• 5/5 – duże, pozytywne zaskoczenie.

Do zarobienia,
Łukasz Analizy Fundamentalne USA