垄断与商品化背景下的网络安全三大整合策略

我国的网络安全产业已经发展了20余年，大大小小的企业几乎覆盖了网络安全的所有领域。随着安全需求的逐渐递增，安全产品也朝着平台化、规模化发展，这就倒逼着安全厂商需要整合越来越多的安全能力，并与其产品相融合。这个过程，也就是很多人口中的“市场整合”。

现阶段，市场整合的趋势越发明显。无论是新攻击载体的出现、安全团队必要的工具数量的增加，还是经济衰退对网络安全的影响等等，都是安全市场整合的信号。现在，整合似乎都是一个显而易见、迫在眉睫的问题，而且在许多人的心目中，是不可避免的。

当人们提到“整合”一词时，通常指的是导致安全工具数量减少的市场趋势。简单地说，就是市面上的安全产品太多，且无法持续。市场整合的结果，就是用户会拥有更少的工具。当然，这是对现实的极大简化，但从这个角度出发并不能帮助我们了解市场整合的现状。

网络安全领域正在发生三种类型的“整合”：行业整合、支出/工具整合以及平台化。这三种趋势在某种程度上是独立的，但三者又是相互关联的。

01网络安全行业整合的背后

行业整合：基本原理

当大公司收购小型初创企业以扩大其产品组合、增加新的收入来源并解决更多问题时，就会出现行业整合。这种类型的整合是行业并购活动的主要驱动力。

网络安全领域的并购活动一直很活跃。导致合并的一个关键因素是公共市场对大型企业继续扩张和增加收入的预期。由于现有企业拥有完善的分销渠道，它们有能力简单地将新产品和功能接入现有系统并开始销售。它们所需要的只是一种可以包装和销售的产品，这种产品既有需求，又能与公司的其他产品互补。

行业整合的另一个重要原因是，网络安全的创新通常都是买来的，而不是内部开发的。网络安全创新的速度和领域是由进攻方，也就是黑客组织决定的。安全企业要想自信地预测几十年后哪些新领域将具有相关性，并提前在这些领域积累专业知识，在经济上是不可行的，也是不可能的。为了保持相关性，大公司必须放眼外部，要么不断获取新的能力，雇佣最优秀的团队，要么为精明的创始人提供绝佳的退出机会，并鼓励其创造更多的单点解决方案。

行业整合是一个持续的线性过程

行业整合是一个持续的线性过程，而不是在短期内网络安全公司数量大幅减少。虽然目前已知的市场类别将不断整合，导致并购增多、参与者减少，但新的威胁将不断出现，随之而来的是新的单点解决方案和新的市场类别，这将带来更多的整合、更新的类别，如此循环往复。

行业整合趋势是单向的：多家公司合并成一家公司，而不是相反。这意味着，如果没有其他因素的影响，经过足够长的时间，网络安全市场注定会变成只有几家大企业参与。然而，现实情况是，每年新进入者的数量高于并购交易的数量，这就导致了行业正在整合，但供应商数量却在持续增长的局面。

行业整合的危险

虽然大多数安全领导者和从业人员倾向于认为网络安全行业整合是件好事，但也存在一些弊端。供应商的减少自然会导致寡头垄断甚至独家垄断，这对买家来说并不是好事，因为他们要面对供应商锁定、高昂的价格、过时的技术堆栈以及其他在低竞争市场中常见的挑战。

值得明确的是，行业整合并不等于平台化（创建平台）。有的买家并没有组建平台化的计划，而有的则未能执行，最终会出现一个堆砌着过时技术且互不关联的工具集。

02网络安全领域的支出/工具整合

支出/工具整合：基本原理

当安全团队寻求减少工具数量的方法时，就会出现支出/工具整合。通常情况下，大型企业对维护和集成大量安全产品的痛苦感受最深。有时，因为安全堆栈变得庞大且复杂，维护一个符合要求的 CI/CD 管道甚至需要5-10人，这种情况并不少见。对于大型企业来说，有超过数十种不同的工具需要测试、集成、调试和维护，而且每种工具每隔一两年就会发生变化，这就要求企业重新循环上述工作。

支出/工具整合的主要驱动力是节约成本和避免重复劳动。当预算越来越紧张时，安全团队需要用更少的资源完成更多的任务，这就迫使他们更好地优化和合理安排安全堆栈。这包括审查现有供应商的能力，了解他们是否能够解决更多问题，从而不再需要引入新的小型、单点解决方案，以及重新谈判合同，减少供应商的数量。

从现有的安全堆栈中提取尽可能多的价值至关重要，因为许多已知的安全漏洞本来是可以通过现有的解决方案来预防，只要这些解决方案配置得当、保持更新。

支出/工具整合趋势的一个子集是捆绑大型企业（最著名的是微软）的一种策略，鼓励安全领导者转向Microsoft 365 E5等平台，节省安全预算并以折扣价获得安全功能，以换取更大的 IT 合同。

支出/工具整合是一个持续的周期性过程

支出/工具整合是一个持续、循环的过程。当新的攻击载体和问题领域出现时，客户别无选择，只能采用更新的解决方案，无论这些解决方案的粒度有多大。这导致安全堆栈不断扩大，以至于安全团队不得不重新评估其供应商，并想办法减少工具的数量。随着新的问题领域逐渐被揭开神秘的面纱并得到更好的理解，曾经需要单独供应商提供的服务就变成了更大平台的一个小功能（行业整合和并购活动加速了这一过程）。

在整合某些产品的同时，又会出现新的问题领域，迫使安全团队购买更多的工具，并重新启动这一循环。

开支/工具整合的风险

虽然支出和工具整合通常会带来积极的结果，帮助企业降低技术复杂性，从而减少攻击面，消除重复，减少供应商数量等，但其中也有一些弊端。

支出/工具整合最显著的两个弊端是锁定供应商，以及公司不得不选择一般的解决方案而不是最佳工具。随着安全团队所依赖的供应商数量的减少，每个合作伙伴的力量都在增加，他们迫使客户锁定的能力也在增加，让客户同意严格的合同条款、提高价格等等。此外，工具整合可能导致安全领导者牺牲质量来降低堆栈的复杂性，最终只能选择平台供应商提供的效率较低的工具。

值得注意的是，减少供应商数量并不一定会减少工具数量，从一家公司购买多种产品也并不一定会降低技术复杂性。通过并购组装平台而不是从头开始集成大量单点解决方案的企业，可能会面临与多家供应商合作一样多（甚至更多）的痛苦。

03网络安全中的平台化

平台化：基本原理

当大型供应商致力于组建安全平台时，就会出现平台化。与行业整合不同的是，平台化的重点不是简单地拥有一大批互不关联的工具，而是将它们整合到一个平台中。此外，平台化与行业整合并无必然联系：

● 公司可以收购小型初创企业，而无需将它们整合到一个平台中。

● 公司可以在内部或主要在内部建立大型平台，而不必严重依赖并购。

平台化是一个以战略为主导的单向过程

平台化是对多种因素的自然反应：

● 安全厂商正在为其产品组合增加新的产品和功能，无论是通过内部构建还是通过并购。

● 安全团队正在寻求集成、连贯的体验，而不是处理数十（甚至数百）个互不关联的解决方案。

平台化是一个由供应商主导的单向过程。这意味着，与周期性的支出/工具整合不同，安全厂商的发展方向是单一的，通常是在其平台上增加更多的功能。此外，平台化要求供应商采用特定的战略和特定的产品构建方式。公司可以购买小型初创公司，而无需将它们整合到一个平台中，因此，它们需要有意愿和能力将不同的工具连接到一个体验中。

平台化的风险

平台化是有代价的，任何单体平台都会随着规模的扩大而变得不那么安全。有机会使用过 SAP、Salesforce 或 Workday 等大型传统平台的人都知道，平台越大，效率就越低。此外，大型平台还存在着以下风险：

● 大型平台承担着更多的技术债务。

● 大型平台的支持渠道不畅。

● 大型平台难以实施，尤其是在需要定制的领域。

● 大型平台成本高昂，因为大多数客户要为他们永远用不上的功能付费。

● 大型平台之所以昂贵，是因为它们嵌入客户工作流程的程度越深，覆盖的领域越多，就越难更换，平台供应商对买方的控制力就越强。

最后也是很重要的一点，平台越大，暴露面就越大，最终引入的漏洞也就越多。更重要的是，坏人更容易集中精力在一个工具上打洞，而这个工具可以打开所有的门，从而导致最大的安全平台也可能成为最不安全的故障点。

要了解客户对平台的期望，首先需要了解该平台是如何构建的。由同一供应商从头开始构建的平台更加强大、集成度更高、可扩展性更强，并能提供统一的体验。另一方面，由被收购公司在其技术成熟之前拼接而成的平台可能会存在各种各样的挑战：

● 同一平台的不同组件可能使用不同的技术构建，因此不具备可扩展性和互操作性。

● 同一平台的不同组件可能有其自身的局限性，或以与产品其他部分不一致的独特方式运行。

由产品收购组装而成的平台往往会有较多的技术债务，总拥有成本也会随之增加。

一般来说，通过将大量独立的初创公司拼接在一起而组建的安全平台，很少会带来比购买者预期更好的体验。

04每个行业都有走向垄断的趋势

网上流传着这样一张图片，说明了国防工业发生了什么，以及它是如何从众多小供应商变成几家大企业集团的。

国防工业整合—Anduril

这张图似乎是 20 多年前的，所以它不能完全体现当今市场的状况。尽管如此，它还是很好地说明了整体方向。

Packy McCormick是这样解释国防工业整合的。并购在国防工业中并不是一个新概念。在 1993 年的一次晚宴上，美国国防部副部长Bill Perry告诉最大的国防承包商的首席执行官们，军方今后将减少开支，并敦促他们进行整合。他们照做了，数十家规模较小的国防承包商变成了五大国防巨头：洛克希德-马丁公司、波音公司、雷神公司、诺斯罗普-格鲁曼公司和通用动力公司。

05网络安全是否也会走上类似的道路并被垄断？很难明确回答这个问题。

美国政府明白，它需要竭尽全力保卫国家经济和关键基础设施。在实践中，这可能意味着一刀切地允许谷歌、思科、Palo Alto 和 CrowdStrike 等大型企业收购它们需要的任何公司，以加强自身能力。如果事关国家安全，即使存在反垄断问题，联邦贸易委员会也不太可能阻止合并。

虽然这只是一种猜测，但我们可以理解这其中的道理。竞争和健康的市场经济固然重要，但在政府眼中，竞争和健康的市场经济是否比国家安全更有价值，还有待考究。网络安全相当于 “最后的晚餐”，可能会在十年或更短的时间内引发大规模市场整合的趋势。不过，政府不太可能像国防领域那样推动网络安全行业迅速整合。

另一个行业整合的好例子来自制药行业。

医药行业增长的基础—M&A

的确有人以生物技术和大型制药公司为例，认为网络安全也将走同样的道路。支持这一观点的论据相当薄弱，因为他们忽略了大型制药公司必须进行整合的主要原因。

推动制药业变革的最重要因素是不断增长的药物开发成本。大多数公司已无力再进行研发以寻找创新化合物。最常被引用的一项关于药物开发成本的研究指出，如果将管线失败的因素考虑在内，开发一种新药——一种新的活性药物成分（API）——平均成本约为 14 亿美元。从合成到获得批准通常需要 10 年时间，从而导致开发一种新药的平均总成本达到 26 亿美元。

成本增加的一个根本原因是医学的进步。为了创造价值，新药要么需要解决以前无法解决的问题，要么需要比市场上已有的药物好得多。

毋庸置疑，网络安全的资金密集程度远不及制药业。安全领域的研发需要成本，但我们主要讨论的是人才和基础设施的成本，这与制药业相比要划算得多。

另一个在讨论中不断出现的整合例子是银行业。

“四大”银行寡头垄断的形成过程

提高运营效率、政府监管以及业务扩张的雄心壮志是导致美国银行业合并的因素。罗斯商学院商业法助理教授Jeremy Kress表示，三次不同的银行兼并浪潮促成了美国银行业的快速整合。

首先，在 20 世纪 80 年代和 90 年代，政策制定者废除了长期以来限制银行在单一州内经营的地域限制。银行获准跨州扩张后，许多银行与邻州的贷款机构合并，形成了一批规模较大的地区性银行。

接下来，银行不仅规模开始扩大，业务范围也开始扩大。1999 年，《格拉姆-里奇-比利雷法案》取消了大萧条时期对投资银行和销售保险等活动的限制。许多银行通过兼并向这些新业务扩张，如花旗集团收购旅行者保险公司，大通曼哈顿银行与投资银行摩根大通合并。

第三次银行兼并浪潮始于 2008 年金融危机期间，当时几家金融巨头收购了倒闭的公司，大部分是在政府的援助下进行的。摩根大通收购了贝尔斯登（Bear Stearns）和华盛顿互惠银行（Washington Mutual），美国银行吞并了美林证券（Merrill Lynch）和乡村银行（Countrywide），富国银行（Wells Fargo）与瓦乔维亚银行（Wachovia）合并。这些由危机引发的合并造就了今天主导美国金融业的巨型金融集团。

网络安全行业似乎与银行业的基本要素不同：它基本上不受监管，不受地域限制，而且作为一个软件行业，它已经可以利用庞大的运营效率。

其实还有很多行业，包括食品、饮料、汽车、石油和天然气等。所有（或大多数）行业似乎都倾向于合并，有证据支持这一假设。早在 2002 年，Graeme K. Deans、Fritz Kroeger 和 Stefan Zeisel 就在《哈佛商业评论》上发表了一篇题为“合并曲线”的文章中表示，一旦一个行业形成或放松管制，它将经历四个阶段的整合。

整合曲线

现实中，网络安全领域的不同细分市场目前正处于该曲线的不同阶段，其中绝大多数处于第一阶段（开放）和第二阶段（规模）之间。

目前，有几个因素正在推动网络安全的垄断。首先是初创公司的渠道困境，虽然开办一家安全公司的障碍很少，但增长障碍却很大。大型现有企业受益于强大的分销渠道（包括直接分销和通过渠道合作伙伴分销），而新进入者却很难引起买家的注意。

其次是买家数量，网络安全工具的买家数量有限。虽然我们喜欢说“安全是每个人的问题”，但现实情况是，大多数网络安全公司的目标客户都是数千家大中型公司。

第三是人情市场的存在。网络安全的购买过程在很大程度上依赖于信任，再加上建立信任需要很长时间，这就解释了为什么公司向现有客户追加销售要比向新的潜在客户进行首次销售容易得多。

第四是风险投资。很大一部分网络安全公司是由风险投资支持的。风险投资期望公司在五到十年内退出；如果不能上市，目标就是被收购。网络安全领域的大多数细分市场都太小，不适合建立上市公司，因此绝大多数成功的退出案例都是并购。

最后则是用户正试图整合他们的支出，减少供应商的数量。

从长远来看，网络安全行业没有理由不走类似的道路，成为一个高度整合的市场，而且很可能是寡头垄断市场。尽管如此，我们还是无法轻易预测这将会是什么样子，因为有太多的因素会影响到谁能生存下来，谁会慢慢淡出并从行业市场地图上消失。

此外，获得“足够好”的工具的成本有时可能过高，因此网络安全领域的买家不得不寻找创新的想法，那就是从创新型初创企业那里购买。许多初创企业最终会被大型企业收购，但安全行业已经习惯了这种循环。

反垄断研究人员认为，如果前四家公司控制的市场份额超过 60%，那么这个市场就是“紧密寡头垄断”。就目前而言，网络安全还没有达到这种程度，但如果按照目前的趋势继续下去，我们很可能很快就会进入一个由少数几家公司控制的安全市场。许多拥有优秀产品的早期初创企业正在苦苦挣扎，难以为继，而现在却可能被财大气粗的现有企业廉价收购，这对它们的发展毫无帮助。

具有讽刺意味的是，尽管网络安全领域的大多数人都在为行业整合而努力，但这些安全领域的领导者却往往不喜欢供应商锁定、长期合同、强制性最低标准以及缺乏创新。整合虽然减少了工具的数量，但也导致了独家垄断和寡头垄断的产生，为进入市场设置了重重障碍，使那些由充满激情的创新者创建的初创企业无法成为竞争对手。

06每个产品类别都有商品化的趋势

有时，人们所说的行业整合实际上是商品化的众多方面之一。商品化是指一种产品或一组产品成为商品，失去其独特性，变得可以与同类其他产品互换的过程。商品化的产品外观相同、成本相同、性能相同。

以下是网络安全商品化的一些因素：

在许多市场类别中，大量竞争者都在以类似的产品争夺相同的市场。

● 行业内的公司难以区分并解释自己的解决方案如何优于同类产品，而是依赖于相同的营销语言。

● 买家很难对不同供应商的说法进行测试和验证。

● 由于需要不断创新以跟上对手的步伐，安全公司不得不迅速在产品中加入新的理念、功能和方法，以与竞争对手的产品相匹敌。这导致公司开始提供越来越相似的产品。

不同标准、框架和最佳实践的存在要求技术标准化，不同产品和服务之间的界限也因此不断模糊。

使大多数网络安全行业无法实现商品化的原因是，买家很难发现、理解和轻松比较价格，很难获得产品，也很难了解不同产品的属性。

一旦市场类别商品化，买家就会越来越喜欢平台或最佳解决方案。此外，产品或能力变成了购买过程中必须勾选的复选框。

杀毒软件就是一个很好的例子。2024 年，很少有客户会关心他们公司使用的防病毒软件是由哪家供应商提供的，甚至更少客户会购买同类最佳的防病毒软件。更糟糕的是，许多商业端点检测和响应（EDR）及其他供应商只是在转售相同的通用第三方防病毒软件，并将其改头换面为自己的产品，而大量安全从业人员都认为 Windows Defender 已经足够好了。