三种网络安全行业整合模式深度解读

注：本文写于PANW更新及其引发的所有关于平台化的讨论之前几周。之后，这篇文章没有经过编辑，我相信它在今天仍然和以前一样具有现实意义。

在过去几年里，我一直在讨论网络安全行业的复杂性、细微差别和错综复杂性。在讨论过程中，我观察到了网络安全领域的“戈德温定律”：“随着网络安全在线讨论时间的延长，有人提出该行业将进行整合的概率接近为1”。

“市场正在整合”：无论面临什么问题，人们都会这么说。无论是需要保护的新攻击载体的出现、安全团队必须依赖的工具数量的增加，还是经济衰退对网络安全的影响等等，整合似乎是一个显而易见、迫在眉睫的问题，而且在许多人的心目中，是我们的问题不可避免的答案。

在这篇文章中，我将深入探讨整合的话题，解释不同类型的整合是什么，这对行业意味着什么，以及为什么我们不太可能在短期内由一两家大厂商来集中管理所有的安全问题。

术语定义：网络安全的整合类型

当人们说到“整合”一词时，通常指的是一种导致安全工具数量减少的市场趋势。简单地说，就是“我们有太多的安全产品，这是不可持续的。市场将进行整合，最终我们将拥有更少的工具”。然而，这是对现实的极大简化，从这个角度出发，无助于我们了解实际发生的情况。

网络安全领域正在发生三种类型的“整合”：行业整合、支出/工具整合以及平台化。这三种趋势各自独立，但又相互关联。

网络安全行业整合

行业整合：基本要素

当大公司收购小型初创企业以扩大其投资组合、增加新的收入来源并解决更多问题时，就会出现行业整合。这种类型的整合是行业并购活动的主要驱动力。

网络安全领域的并购活动一直很活跃。导致合并的一个关键因素是，公共市场预期大型企业将继续扩张并增加收入。由于现有企业拥有完善的分销渠道，它们有能力简单地将新产品和功能接入现有系统并开始销售。它们所需要的只是一种能够包装和销售的产品，这种产品既有需求，又能与公司的其他产品互补。

正如我之前所讨论的，行业整合的另一个重要原因是，网络安全创新往往是买来的，而不是内部开发的。网络安全创新的步伐和领域是由进攻方决定的，安全企业要想自信地预测几十年后哪些新领域将具有相关性，并提前在这些领域积累专业知识，在经济上是不可行的，也是不可能的。为了保持相关性，大公司必须放眼外部--不断获取新的能力，雇佣最优秀的团队，为精明的创始人提供绝佳的退出机会，并随之鼓励创造更多的单点解决方案。

行业整合是一个持续的线性过程

行业整合是这一领域的持续状态，而不是一个几年后就会完成、并导致网络安全公司减少的过程。虽然目前已知的市场类别将不断整合，导致更多并购和更少的参与者，但新的威胁将继续出现，随之而来的是新的单点解决方案、新的市场类别、更多的整合、新的类别，等等，不一而足。

行业整合的趋势是单向的：多家公司合并成一家公司，而不是相反。这意味着，如果没有其他因素的影响，经过足够长的时间，我们注定会落得一个只有几家大公司的局面。然而，现实情况是，每年新进入者的数量高于并购交易的数量，这就导致了行业正在整合，但厂商数量却在持续增长的局面。

行业整合的弊端

虽然大多数安全领导者和从业人员倾向于认为网络安全行业的整合是件好事，但也存在一些弊端。我将在本文稍后部分讨论这方面的问题。在这里，我只想说，厂商的减少自然会导致寡头垄断甚至垄断，这对买家来说并不是好事，因为他们要面对厂商锁定、高昂的价格、过时的技术堆栈，以及其他在低竞争市场中常见的挑战。

值得明确的是，行业整合并不等于平台化（创建平台）。一些买家选择不考虑将多种工具整合为一个统一的体验，而许多将创建平台视为其战略一部分的买家则未能执行，最终将过时的、互不关联的工具组合成了一个庞然大物。

网络安全支出/工具整合

支出/工具整合：基本要素

当安全团队想方设法减少工具数量时，就会出现支出/工具整合。大型企业对必须维护和集成大量安全产品的痛苦感受最深。当安全堆栈变得如此庞大和复杂，以至于仅仅维护一个符合要求的CI/CD管道就成了一项5-10人的工作时，这种情况并不少见。有数十种不同的工具需要测试、集成、调试和维护，而且每种工具每隔一两年就会发生变化，这就要求人们重新开始，往复循环。

支出/工具整合的主要驱动力是节约成本和消除重复覆盖。当预算越来越紧张时，安全团队需要用更少的资源完成更多的任务，这就迫使他们更好地优化和合理安排安全堆栈。这包括审查现有厂商的能力，了解他们在哪些方面可以解决更多问题，从而不再需要引入新的小型、细粒度解决方案，重新谈判合同，减少厂商关系的数量。从现有的安全堆栈中提取尽可能多的价值至关重要，因为许多已知的安全漏洞本来是可以通过客户已经支付的解决方案来预防的，只要这些解决方案配置得当、保持更新，而且客户了解其厂商提供的所有功能。

支出/工具整合趋势的一个子集是捆绑--大型企业（最著名的是微软）的一种策略，鼓励安全领导者转向365 E5等平台，节省安全预算并以折扣价获得安全功能，以换取更大的IT合同。

支出/工具整合是一个持续的周期性过程

支出/工具整合是一个持续、循环的过程。当新的攻击载体和问题领域出现时，客户别无选择，只能采用初创公司提供的创新型最佳解决方案，无论这些解决方案的粒度如何。这导致安全堆栈不断扩大，以至于安全团队不得不重新评估他们的厂商，并想办法减少工具的数量。随着新的问题领域逐渐被揭开神秘的面纱并得到更好的理解，曾经需要单独厂商提供的服务就变成了更大平台的一个小功能（行业整合和并购活动加速了这一过程）。

在整合某些产品的同时，又会出现新的问题领域，迫使安全团队购买更多的工具，重新开始这个循环。

支出/工具合并的弊端

虽然支出和工具整合通常会带来积极的结果，帮助公司降低技术复杂性，从而减少攻击面，消除重复的覆盖范围，减少厂商关系的数量等，但其中也存在一些权衡。

支出/工具整合最显著的两个弊端是锁定厂商，以及公司不得不选择普通解决方案而非最佳工具。随着安全团队所依赖的厂商数量的减少，每个合作伙伴的力量都在增加，他们迫使客户锁定的能力也在增加，让客户同意严格的合同条款、提高价格等等。此外，工具整合可能导致安全领导者牺牲质量来降低堆栈的复杂性，最终只能选择平台厂商提供的效率较低的工具。

值得注意的是，减少厂商数量并不一定会减少工具数量，从一家公司购买多种产品也并不一定会降低技术复杂性。通过并购组装平台而不是从头开始将其打造为一个解决方案的厂商，以及购买了大量单点解决方案却没有尝试将其整合的公司，可能会带来与与多家公司合作一样多（甚至更多）的痛苦。

网络安全平台化

平台化：基本要素

当大型厂商致力于组建安全平台时，就会出现平台化。与行业整合不同的是，平台化的重点不是简单地拥有一大批互不关联的工具，而是将它们整合到一个平台中。此外，平台化与行业整合并无必然联系：

公司可以收购小型初创企业，而无需将其整合到一个平台中。
公司可以在内部或主要在内部建立大型平台，而不必严重依赖并购。

平台化是一个以战略为主导的单向过程

平台化是对多种因素的自然反应：

安全厂商正在通过内部构建或并购的方式，为其产品组合增加新的产品和功能。
全团队正在寻求集成、连贯的体验，而不是处理数十个（甚至数百个）互不关联的解决方案。
平台化是一个由厂商主导的单向过程。这意味着，与周期性的支出/工具整合不同，安全厂商的发展方向是单一的，通常是在其平台上增加更多的功能。此外，平台化要求厂商采用特定的战略和特定的产品构建方式。正如我所讨论的那样，企业可以购买小型初创公司，而无需将它们整合到一个平台中，因此，它们需要有意愿和能力将不同的工具连接到一个体验中。

平台化的弊端

平台化是有代价的。正如我在之前的一篇文章中所解释的，"......任何单体平台都会随着规模的扩大而变得不那么安全。有机会使用过SAP、Salesforce或Workday等大型传统平台的人都知道，平台越大，效率就越低。而且：

大型平台淹没在技术债务中。
大型平台的支持渠道不畅。
大型平台变得异常难以实施，尤其是在需要定制的领域。
大型平台之所以昂贵，是因为大多数客户要为他们永远用不上的众多功能付费。
大型平台之所以昂贵，是因为它们嵌入客户工作流程的程度越深，覆盖的领域越多，就越难更换，平台厂商对买方的控制力也就越强。

最后重要的一点是，平台越大，其暴露面就越大，最终引入的漏洞也就越多。更重要的是，坏人更容易集中精力在一个能打开所有门的工具上打洞，从而导致最大的安全产品也可能成为最不安全的单一故障点。

要了解客户对平台的期望，首先需要了解该平台是如何构建的。由同一厂商从头开始构建的平台更加强大、集成度更高、可扩展性更强，并能提供统一的体验。另一方面，那些在技术成熟之前就被收购的公司拼接起来的平台则会带来各种各样的挑战：

同一平台的不同组件可能使用不同的技术构建，因此不具备可扩展性和互操作性。
同一平台的不同组件可能有各自的局限性，或以独特的方式运行，与产品的其他部分不一致。
通过收购产品组建的平台往往会有较多的技术债务，总拥有成本也会随之增加。

一般来说，将大量独立的初创公司拼接在一起而形成的安全平台，很少能带来比购买者预期的更集成的体验。

每个行业都有走向垄断的趋势

网上流传着这样一张图片，说明了国防工业发生了什么，以及它是如何从众多小厂商变成几家大企业集团的。

Image source: Defense Industry Consolidation, Anduril

这张图似乎是20多年前的，所以我不会依靠它来了解当今市场的状况。尽管如此，它还是很好地说明了整体方向。

Packy McCormick是这样解释国防工业中发生的事情的："并购在国防工业中并不是一个新概念。在1993年的一次晚宴上，美国国防部副部长比尔-佩里（Bill Perry）告诉最大的国防承包商的首席执行官们，军方今后将减少开支，并敦促他们进行整合。他们照做了。数十家规模较小的国防承包商变成了五大国防巨头：洛克希德-马丁公司、波音公司、雷神公司、诺斯罗普-格鲁曼公司和通用动力公司"。

网络安全是否也会走上类似的道路并被垄断？很难明确回答这个问题。

美国政府明白，它需要竭尽所能保卫国家经济和关键基础设施。在实际操作中，这可能意味着对谷歌、思科、Palo Alto和CrowdStrike等大型企业一揽子放行，允许它们收购任何需要加强自身能力的公司。如果事关国家安全，即使存在反垄断问题，联邦贸易委员会也不太可能阻止合并。虽然这只是一种猜测，但我们可以理解这其中的道理。竞争和健康的市场经济固然重要，但在政府眼中，竞争和健康的市场经济是否比国家安全更有价值，还有待观察。网络安全相当于"最后的晚餐"，可能会在十年或更短的时间内引发大规模市场整合的趋势。不过，政府的行动不太可能像国防领域那样推动网络安全行业迅速整合。

另一个行业整合的好例子来自制药业。

Source: M&A: Fundamental to Pharma Industry Growth

的确有人以生物技术和大型制药公司为例，认为网络安全也将走同样的道路。支持这一观点的论据相当薄弱，因为他们忽略了大型制药公司必须进行整合的主要原因。"推动制药业变革的最重要因素是不断增长的药物开发成本。大多数公司已无力再进行研发以寻找创新化合物。最常被引用的一项关于药物开发成本的研究指出，如果将管线失败的因素考虑在内，开发一种新药--一种新的活性药物成分（API）--平均成本约为 14 亿美元。从合成到获得批准通常需要10年时间，因此12亿美元的资本成本会累积到下图中，从而导致开发一种新药的平均总成本达到26亿美元。成本增加的一个根本原因是医学的进步。为了创造价值，新药要么需要解决以前无法解决的问题，要么需要比市场上已有的药物好得多。开发成本的另一个驱动因素是不断提高的监管要求"。-资料来源是什么推动了医药行业的并购？

毋庸置疑，网络安全远没有制药业那样资本密集型。安全领域的研发需要成本，但我们主要讨论的是人才和基础设施的成本，这与制药业相比要划算得多。

另一个在讨论中不断出现的合并例子是银行业。

Source: The Making of the “Big Four” Banking Oligopoly in One Chart

提高运营效率、政府监管以及业务扩张的雄心壮志是导致美国银行业合并的因素。罗斯商学院商业法助理教授杰里米-克雷斯（Jeremy Kress）解释说："三次不同的银行兼并浪潮促成了美国银行业的快速整合。首先，在20世纪80年代和90年代，政策制定者废除了长期以来限制银行在单一州内经营的地域限制。银行获准跨州扩张后，许多银行与邻州的贷款机构合并，形成了一批规模较大的地区性银行。接下来，银行不仅规模开始扩大，业务范围也开始扩大。1999年，《格拉姆-里奇-比利雷法案》取消了大萧条时期对投资银行和销售保险等活动的限制。许多银行通过兼并向这些新业务扩张，如花旗集团收购旅行者保险公司，大通曼哈顿银行与投资银行摩根大通合并。第三波银行兼并浪潮始于2008年金融危机，当时几家金融巨头收购了倒闭的公司，通常是在政府的帮助下进行的。摩根大通收购了贝尔斯登（Bear Stearns）和华盛顿互惠银行（Washington Mutual），美国银行吞并了美林证券（Merrill Lynch）和乡村银行（Countrywide），富国银行（Wells Fargo）与瓦乔维亚银行（Wachovia）合并。这些由危机引发的合并造就了今天主宰美国金融业的巨型金融集团"。

网络安全行业的基本要素似乎与银行业不同：它在很大程度上不受监管，不受地域限制，而且作为一个软件行业，它已经可以利用较大的运营效率。

我还可以列举许多其他行业，从食品和饮料到汽车、石油和天然气等等。所有（或大多数）行业似乎都倾向于合并，有证据支持这一假设。早在2002年，Graeme K. Deans、Fritz Kroeger 和 Stefan Zeisel就在《哈佛商业评论》上发表了一篇题为"合并曲线"的文章。这篇文章是对发表前13年内完成的1,345起大型兼并的研究总结，文章认为，一旦一个行业形成或放松管制，它将经历四个阶段的整合。

Source: The Consolidation Curve

我强烈推荐这篇短文给任何希望了解行业整合框架的人。根据我的观察，网络安全领域的不同细分市场目前正处于曲线的不同阶段，其中绝大多数处于第一阶段（开端）和第二阶段（规模）之间。

有几个因素正在推动网络安全的垄断，其中包括：

虽然创办一家安全公司的障碍很少，但发展却面临着巨大的障碍。大型现有企业得益于强大的分销渠道（包括直接分销和通过渠道合作伙伴分销），而新进入者却很难引起买家的注意。

网络安全工具的买家数量有限。虽然我们喜欢说“安全是每个人的问题”，但现实情况是，大多数网络安全公司的目标客户都是那几千家大中型公司。

网络安全的购买过程在很大程度上依赖于信任。再加上建立信任需要很长时间，这就解释了为什么公司向现有客户追加销售要比向新的潜在客户进行首次销售容易得多。

很大一部分网络安全公司是由风险投资支持的。风险投资期望公司在五到十年内退出；如果不能上市，目标就是被收购。网络安全领域的大多数细分市场都太小，不适合建立上市公司，因此绝大多数成功的退出案例都是并购。

客户正在努力整合他们的支出，减少厂商的数量。

从长远来看，网络安全行业没有理由不走类似的道路，成为一个高度整合的市场，而且很可能是一个寡头垄断的市场。尽管如此，我们还是无法轻易预测这将会是什么样子，因为有太多的因素可能会影响到谁会生存下来，谁会像许多市场领导者之前所做的那样淡出并从行业市场地图上消失。此外，获得"足够好"的工具的成本有时可能过高，因此网络安全领域的买家不得不寻找创新的想法，这意味着从创新型初创企业那里购买。许多初创企业最终会被大型企业收购，但我们已经习惯了这种循环。

反垄断研究人员通常认为，如果前四家公司控制的市场份额超过60%，那么这个市场就是"紧密寡头垄断"。就目前而言，网络安全还没有达到这种程度，但如果目前的趋势继续下去，我们很可能很快就会陷入一个由少数几家公司控制的世界。许多拥有优秀产品的早期初创企业正在苦苦挣扎，难以为继，而现在却被资金雄厚的现有企业以低廉的价格收购，这对它们的发展毫无帮助。

具有讽刺意味的是，当网络安全领域的大多数人都在为行业整合而努力时，这些安全领导者却往往不喜欢厂商锁定、长期合同、强制性最低标准以及缺乏创新。整合减少了工具的数量，但也导致了垄断和寡头垄断的产生，为进入市场设置了重重障碍，使那些由充满激情的创新者创建的初创企业无法成为竞争对手。

每个产品类别都有商品化的趋势

有时，人们所说的行业整合实际上是商品化的许多方面之一。商品化是指一种产品或一组产品成为商品，失去其独特性，变得可以与同类其他产品互换的过程。商品化的产品外观相同、成本相同、性能相同。

以下是为网络安全商品化创造条件的一些因素：

在许多市场类别中，大量竞争对手都在以类似的产品争夺相同的市场。
行业内的公司很难区分和解释自己的解决方案如何优于同类产品，而是依赖于相同的营销语言。
买家发现很难，而且往往不可能对不同厂商的说法进行测试和经验验证。
由于需要进行创新以跟上对手的步伐，安全公司不得不迅速在其产品中添加新的理念、功能和方法，以与竞争对手的产品相匹敌。这导致公司开始提供越来越相似的产品。
不同标准、框架和最佳实践的存在要求技术标准化，不同产品和服务之间的界限也随之不断模糊。

使大多数网络安全行业无法实现商品化的原因是，买家很难找到、理解和轻松比较价格，很难获得产品，也很难了解不同的产品属性。

一旦市场类别商品化，买家就会越来越喜欢平台或最佳解决方案。此外，在购买过程中，产品或能力只是一个必须勾选的复选框。

杀毒软件（AV）就是一个很好的例子。2024年，很少有客户会关心自己公司使用的防病毒产品是由哪家厂商提供的，而希望购买同类最佳防病毒产品的客户更是少之又少。更糟糕的是，许多商业端点检测和响应（EDR）及其他厂商只是在转售相同的通用第三方防病毒软件，并将其改头换面为自己的产品，而大量安全从业人员都认为Windows Defender已经足够好了。