行业整合的四个阶段

二十年前，《哈佛商业评论》（Harvard Business Review）发表了一项研究，分析了超过1300起大型并购案例。作者 Graeme K. Deans、Fritz Kroeger 和 Stefan Zeisel 发现，每个行业在其兴起或 解除管制之后，都会遵循一条相同的路径，他们称之为整合的四个阶段：opening（开创期）、scale（规模期）、focus（聚焦期）和 balance and alliance（均衡与联盟期）。他们认为，走完全程通常需要大约25年，不过未来的行业演进速度会更快。

第一阶段：Opening（开创期）

这是一个新行业成形的阶段。先行者们争相通过建立规模、全球扩张和保护其创意来获得优势。目标是在竞争对手追赶上来之前建立壁垒。

第二阶段：Scale（规模期）

接下来是追求增长的竞赛。在这一阶段，排名前三的玩家通常控制着15%到45%的市场份额。正如 《哈佛商业评论》的作者们所解释的：“由于此阶段发生大量的收购，公司必须磨练其并购整合技能。这包括学习如何在吸收新公司的同时谨慎保护其核心文化，并专注于留住被收购公司的最优秀员工。建立一个可扩展的 IT 平台对于快速整合被收购的公司也至关重要。竞相进入第三阶段的公司必须是行业内首批在最重要市场中占领其主要竞争对手的玩家，并应扩大其全球影响力。”

第三阶段：Focus（聚焦期）

在聚焦阶段，竞争白热化，随着最强大的玩家为争夺主导地位而战，我们开始看到巨型交易的出现。通常，场上会剩下5到12家主要公司，而前三名控制着高达70%的市场份额。初创公司面临一个选择：要么被收购，要么被碾压。

第四阶段：Balance and Alliance（均衡与联盟期）

最后，兼并重组的速度放缓。一旦达到第四阶段，前三名公司可能拥有高达70%至90%的市场份额，而对于其余的玩家来说，游戏基本结束——他们要么被碾压，要么变得无足轻重，无法实现任何有意义的规模。像烟草、软饮料和国防等行业已经在这个阶段存在了超过20年。

《哈佛商业评论》的文章以一个关键的教训结尾：“最终，一家公司的长期成功取决于它如何顺应整合的曲线而上。速度就是一切，管理者的并购能力至关重要，尤其是在整合的中间阶段。那些根据如何推动自己沿阶段上升来评估每一个战略和运营举措的公司，那些及早占领关键阵地并最快沿曲线攀升的公司，将是最成功的。行动迟缓的公司最终会成为收购目标，并可能消失。大多数公司试图置身事外，或者更糟的是，忽视这场竞赛，根本无法存活到终局。”

对于任何对整合如何发生感兴趣的人，我强烈推荐阅读原文^[1]。

国防工业的整合

国防工业是行业整合如何展开的一个绝佳案例。

早在1993年，时任美国国防部长的 Les Aspin 与美国最大国防承包商的高级领导们共进了一场晚宴，这场晚宴作为“最后的晚餐”（Last Supper）而载入史册。传达的信息直截了当：冷战的预算已成过去，五角大楼再也无法支撑在军备竞赛期间发展起来的、由主承包商和分包商组成的庞大网络。随着合同减少和预算收紧，美国国防部向业界明确表示，广泛的整合不仅是意料之中，更是生存的必要条件。

参加晚宴的人都领会了这一信息。在随后的十年里，国防部门见证了美国现代工业史上最大规模的并购浪潮之一。洛克希德公司与马丁·玛丽埃塔公司合并成为洛克希德·马丁公司。Northrop 收购了 Grumman 成为 Northrop Grumman（诺斯洛普•格鲁门公司，简称诺格）。波音吞并了麦道，而雷神公司则与休斯公司的国防部门进行了合并。数百家中层和专业供应商被并入更大的企业集团，创造出数量更少但规模庞大的主导承包商，它们有能力维持先进的研究与开发项目并处理大规模、复杂的 采购项目。

这次整合重塑了美国的国防工业基础。一方面，它创造了更稳定、财务更安全、能够投资于下一代技术并竞争数十亿美元项目的 项目。另一方面，它减少了竞争，使五角大楼的选择更少，并增加了对少数“too-big-to-fail”（大到不能倒）公司的依赖。其长期效应是国防部门变得更加集中、活力减弱，并且更加依赖一个由专业分包商组成、服务于少数核心巨头的生态系统，这一结构至今仍在影响美国的国防采购。你们中的许多人可能见过这张图，如果你没见过，我相信你会觉得它很有趣。

如果你想更深入地了解国防技术的发展，请查看 Packy McCormick 的这篇文章^[2]。

Cybersecurity 早已度过了其“最后的晚餐”时刻

网络安全行业正在经历一场整合浪潮，其速度远超许多人的想象。这绝非像某些人所想的那样，仅仅是因为 CISO 们希望减少工具数量——这些变化发生在宏观层面。

在过去的二十年里，我们看到成千上万资金雄厚的初创公司涌入市场，其驱动力来自于不断增加的数据泄露事件、日益增长的客户需求、法规强制要求以及似乎源源不断的风险投资。快进到今天，很明显，供应商格局正日益被 Palo Alto Networks、CrowdStrike、Fortinet、Zscaler、Cisco、Microsoft、Google、IBM、Cloudflare、Check Point 和 Okta 等十多家巨头所主导。这些公司不仅仅是进行内部建设；它们已将收购转变为一条持续的研发渠道，吸收了二百家初创公司以加速创新并锁定市场份额。

要理解正在发生的事情，将整合的四个阶段框架应用于网络安全会很有帮助。

第一阶段：Emergence（兴起）

准确指出网络安全作为一个行业的真正开端是件棘手的事，因为它与网络安全作为一个实践的诞生并不完全吻合。有些人可能会将网络安全市场的开端追溯到早期的防火墙供应商，如 Check Point（1993年）、McAfee（1987年），甚至是 Sophos（1985年）的创立，而另一些人则追溯到商业互联网的兴起和首次重大攻击。我认为这些论点都有其道理。我们网络安全市场的最初开端可以追溯到1980年代中期。那是一个形成时期，与 CISO 角色的诞生同时发生（第一位拥有CISO头衔的人是 Steve Katz，他于1995年在 Citicorp 被任命担任此职）。

尽管如此，我们所知的“现代网络安全”诞生于2000至2010这十年间。正是在这个时期，像 Palo Alto Networks (2005)、Fortinet (2000)、Zscaler (2007)、Cloudflare (2009)、Okta (2009)、Proofpoint (2002)、Mimecast (2003)、Tenable (2002)、Qualys (1999)、CrowdStrike (2011)、KnowBe4 (2010) 等众多公司相继成立。这些公司所做的，正是《哈佛商业评论》研究人员所建议的：为规模而建，全球扩张，并迅速积聚力量，以至于变得“大到不能倒”。在此之前的一切都奠定了基础，但正是这批公司真正将网络安全从一个小众问题转变为一个全球市场。

第二阶段：Scale（规模期）

2010年代释放了大规模的扩张。网络安全初创公司的数量爆炸式增长，如今有超过5000家公司在争夺 CISO 的注意力。这十年以惊人的收购步伐为标志。像 Palo Alto、CrowdStrike、Cloudflare 等已经站稳脚跟的玩家磨练了兼并重组整合的技巧（尽管并非没有失误，且有些公司做得比其他公司更好）。过去5-7年的行业一直由资本和整合共同推动的激进增长所定义。疫情以及勒索软件的增加也极大地推动了这一增长。

第三阶段：Focus（聚焦期）

今天，我相信我们已经从规模期跨越到了聚焦期。迹象已显而易见，不容忽视。顶级玩家的名单已经明朗化：Palo Alto、Cisco、CrowdStrike、Zscaler、Cloudflare、Okta、Fortinet、Microsoft、Sophos、Google、IBM 和 Check Point。巨额交易越来越普遍：Google 收购 Wiz、Cisco 收购 Splunk，以及最近宣布的 Palo Alto 收购 CyberArk 都只是其中的几个例子。看起来像未开垦的领地，实际上完全符合聚焦期的预期。对于初创公司来说，打造一个独立巨头的梦想正在消逝；最现实的结果是被收购，而这一现实正在助推加速整合的并购循环。即使是行业内资金最雄厚的规模化扩张公司，如 Wiz、Cyera 等，在我看来，也都是从第一天起就是作为收购目标而建立的。

这是许多人没有意识到的：在现代网络安全行业兴起二十年后，我们并非处于又一个整合的“周期”中。我曾经也这么认为，但在对这个领域了解更多之后，我确信我们正处在一场一代人一遇的转变之中，即整合的第三阶段，其全貌只有在十年后回过头来看才能被完全理解。初创公司不再主要是品类创造者；它们已成为巨头们的实际研发部门（而在这方面，没有谁比以色列执行得更好）。行业的权力中心已经确立，收购策略已经完善，未来的战斗不再是谁将脱颖而出，而是谁能幸存下来。

一图看懂网络安全的整合

我制作了下面这张图表，以展示我们是如何走到这一步的。如果你将它与本文开头展示国防工业整合图进行比较，你会看到我所看到的。网络安全正在重蹈覆辙，这不是因为巧合，而是因为它遵循着行业成熟和整合的自然周期。

尤其有趣的是，收购方本身的特点和策略大相径庭。例如：

• Palo Alto Networks 以收购市场领导者而闻名，并愿意为此支付高价。他们的策略大胆、激进，并专注于掌控整个品类。

• Fortinet 则相反，它学会了如何在不支付过高价格的情况下扩展其能力。该公司经常收购那些自身难以取得突破的公司。

• Cloudflare 采取了另一种方法：他们优先收购才华横溢、积极进取、充满干劲的团队，通常连同优秀的技术一并收购，即使这些业务本身在商业上并不成功。在许多方面，他们购买的既是产品，也是人才和创新能力。

所有这些都说明，虽然网络安全整合的轨迹与其他行业并无不同，但当今巨头们的策略手册却截然不同，每个人都以不同的方式处理问题，在不同的资产中看到价值。

这最终将我们引向本文的重点：美国网络安全二十年整合历程图。就是这张。

对于有兴趣仔细研究的人，这里有更高质量的PDF^[3]

关于这些整合集群，有很多可以说的，多到每家公司的图表都足以单独写成一篇文章。现在，我将把结论留给你们自己去得出，因为这张图胜过千言万语。不可否认的是：在短短二十年里，超过200家公司实际上已经整合成了11个主导玩家。

“200”这个数字是保守估计，因为它只包括我找到的公司，要统计完整的数量是不可能的。你看到的大多数公司代表的是全公司收购，但还有很多交易从未成为头条新闻。这11家巨头中的大多数都至少进行过一次未见报的收购，无论是从一家失败的初创公司购买知识产权资产，还是通过悄无声息的人才收购来增加人才等等。

Palo Alto Networks：安全行业整合中最引人注目的力量

在首席执行官 Nikesh Arora 的领导下，Palo Alto Networks 将作为在加速网络安全大整合过程中扮演了最关键角色的公司而载入史册。今天的 Palo Alto 是37家（！）不同公司的集合体，这还不包括那些未公开的交易。除了头条新闻中的收购，Palo Alto 还通过未见诸新闻稿的交易，收购了知识产权、客户群和工程团队。其中一些是来自无法独立生存的初创公司的“收购式招聘”或知识产权 转让，而另一些，比如它从 IBM 收购资产的交易，则大到足以公开。让 Palo Alto 的玩法尤其有趣的是，该公司已经掌握了收购、吸收和整合安全解决方案到其核心产品中的策略。

Cisco：安全行业整合中最具影响力的力量

如果你问大多数安全领域的人谁是网络安全公司的最大收购方，答案几乎肯定是 Palo Alto Networks。这很合理，因为该公司比任何人都更努力地推动整合的叙事（或者如他们所说的“平台化”），而且我们已经看到他们整合了超过30家公司。然而，尽管 Palo Alto 可能是最引人注目的收购方，但它并非最大的。这个头衔属于 Cisco，它在过去二十年里吸收了超过40家（!）安全公司。Cisco 的策略与 Palo Alto 不同：Cisco 往往允许被收购的公司作为独立的 （业务单元）继续运营，而不是将它们整合到一个单一的平台中。

结语

如果你期望这篇文章会以一些颠覆性的结论或建议结尾，那我恐怕要让你失望了：我两者都没有。我所阐述的，仅仅是我如何看待我们走到今天这一步，以及事情将如何发展。

我常说，关于未来的预测往往经不起时间的考验，但我相信这一个不会。网络安全并没有那么独特，所以像每个行业一样，它也会经历不同的阶段。《哈佛商业评论》的研究可能已有二十多年的历史，但它在今天依然像最初发表时一样具有现实意义。如果你想要证据，我建议你回顾一下原始研究中的这张图表，并思考它在过去二十年里发生了怎样的变化（剧透一下，所有行业都至少前进了一个阶段，许多行业甚至不止一个）。我认为今天的网络安全介于二十年前的橡胶与轮胎生产商和飞机制造商之间的某个位置。

网络安全已经进入了一个整合和混乱的十年，然后最终会落入少数巨头手中。像 Palo Alto、CrowdStrike、Fortinet、Microsoft、Cisco 和 Google 这样的公司都明白这一点。这就是为什么他们花费数十亿美元来收购现有最优秀的技术和人才，竞相确保自己在顶端的地位。

如同任何剧变一样，总会有赢家和输家。一方面，CISO 们希望减少工

具数量是合情合理的（当你需要周旋于50到100甚至更多碎片化产品之间时，整合的吸引力是不可否认的）。另一方面，他们今天所拥有的选择自由不太可能持久。随着行业收缩到少数几个主导玩家，竞争将会减少，随之而来的，真正创新的压力也会减小。大多数安全从业人员没有完全意识到这一切发生得有多快，但话又说回来，大多数创始人和风投也没有。不同之处在于，创始人和风投可能会从整合中获益，至少在短期内是这样。同样需要明确的是，整合是一个独立于 LinkedIn 或 Reddit 上人们抱怨的过程。从这个意义上说，未来是早已注定的。

对于初创公司创始人和投资者来说，好消息是，当行业进行整合时，机会并不会消失。将会发生的是，机会将改变形态。随着网络安全巨头变得越来越大，随着创始人的离开（这里展示的11家公司中有5家仍由其创始人管理），他们自然会失去创新能力，并将不得不继续收购新的玩家。然而，将会改变的是他们愿意支付的金额（将会减少）以及他们进行的收购数量（也将会减少）。可以把它想象成一场“抢椅子”游戏：音乐仍在播放，但没人知道它何时会停止，或者当它停止时还剩下多少座位。

原文链接：

https://ventureinsecurity.net/p/20-years-of-cybersecurity-consolidation

引用链接

[1] The Consolidation Curve: https://www1.qa.hbr.org/2002/12/the-consolidation-curve[2] Anduril: Acquiring Prime:Analyzing Anduril's M&A Strategy and the Future of Defense: https://www.notboring.co/p/anduril-acquiring-prime[3] 20 years of cybersecurity consolidation: https://drive.google.com/file/d/1irF3aL129WuZEIR7DBOXSPD7x6Eq911h/view?usp=sharing