许多关于安全行业退出的讨论,都以"XX大厂会收购他们"而告终。然而,初创企业退出的实际情况,要复杂得多。
要想了解并购情况很难,主要原因是缺乏关于被收购公司和最终倒闭公司的可靠数据。大多数资本募集都伴随着新闻稿和响亮的公告,创始人在公告中吹嘘是哪家风险投资公司主导了本轮融资,哪些著名投资人、天使投资人或财团加入了本轮融资,以及公司的估值是多少。但退出的情况并非如此:许多初创公司被收购,但收购金额"未公开",而那些倒闭的公司通常会悄无声息地消失,没有任何公告。
由于数据通常难以获得,这篇文章的很大一部分内容将基于观察,而不仅仅是确凿的数字。不过,尽管存在信息真空,但关于网络安全初创企业退出的讨论早就该开始了。
先说显而易见的事情
99.9%的网络安全初创企业不会上市
另一个残酷的事实是,大多数网络安全初创企业永远不会通过IPO上市。
正如Venture in Security之前所讨论的,"虽然大多数人认为上市意味着像你我这样的个人可以在证券交易所购买公司股票,但实际上,在IPO期间购买股票的是机构投资者--投资银行、捐赠基金、养老基金等。要让他们投入资本,他们需要确定性:比如说,当捐赠基金想下高风险赌注时,它就会投资风险投资公司;而购买上市公司的部分股份,则需要更高的确定性和合理的增长预测。一家公司要上市,通常需要年收入超过1亿至1.5亿美元,并且每年都有大幅增长。
Blossom Street Ventures调查了公司上市所需的增长速度,发现"这些公司的收入中位数比上年增长43%,平均增长51%"。例如,CrowdStrike在上市时同比增长110%,Zscaler同比增长57%,Snowflake同比增长174%。根据同一份报告,总体收入的中位数为1.68亿美元,而平均值为2.86亿美元(McAfee等公司的平均值有所偏高,其收入为26亿美元)"。
自CrowdStrike和Palo Alto等重量级公司上市以来,时代也发生了巨大变化,技术和投资方法的变化标志着不同的时代。
在2012年至2020年的"高烧钱/高增长"时期,公司可以进行IPO,但在如今的"支出管理"时代,这种做法已行不通。2.5亿至5亿美元的ARR收入取代了之前1亿至1.5亿美元ARR的上市基线。这一转变是2022年底全球加息和市场调整的直接结果,详见《安全回报2022年年度报告》。
毫不夸张地说,绝大多数网络安全公司都没有达到这些指标的途径,因此他们需要寻找其他的出路。
Palo Alto不会收购所有不进行IPO的人
我们经常看到初创企业创始人和行业观察家猜测Palo Alto会收购任何公司。如果说历史至少可以在某种程度上预测未来事件的话,那么在我们看来,大多数抱有这种一厢情愿想法的人显然都错了。只要稍加留意就会发现,Palo Alto Networks从历史上看只收购位于湾区的初创公司,或者那些创始人是以色列人(总部位于特拉维夫或纽约)的公司。在公司长达十年的收购历史中,有一次例外是收购了位于弗吉尼亚州的服务公司Crypsis Group。Palo Alto公司对收购的初创公司的整合能力非常重视,不仅在技术/产品方面,而且在地理位置/文化方面。
Palo Alto对并购的标准也非常明确和透明。以下是Nikesh Arora在公司的一次财报电话会议上对并购计划的描述:"我们已经成功收购了在邻近和新兴网络安全市场处于领先地位的公司。很多时候,在这些市场中,我们在早期已经做出了有机努力,但我们看到外部创新可以大大加快我们的上市时间。我们的目标是已经实现产品市场契合的公司,其团队可以在Palo Alto Networks内部加速创新。收入并不是我们关注的重点,但我们确保有一个坚实的计划来加速我们的业务发展。
简而言之,该公司通常会在一些品类的早期阶段收购新兴的领先企业,因为这些企业需要以比自建公司更快的速度进入市场。当然,由于Palo Alto公司在以色列和加利福尼亚州都设有办事处,他们尽可能在现有的大本营内进行扩张也是合情合理的。目前还没有迹象表明这种情况会很快改变。加利福尼亚州以外的公司或与以色列没有紧密联系的公司可能需要考虑其他收购者。
抛开这两个假设,让我们来讨论一下网络安全初创企业退出的有趣之处。
大多数初创企业的并购并不像很多人想象的那么美好
很多人认为,收购自动意味着初创企业成功地解决了问题并积累了满意的客户,买家认可了产品的价值,创始人、员工和投资者都将获得回报。事实并非如此。
在初创企业的世界里,我们学会了把失败当作成功。我们并不认为这一定是错的:毕竟,当人们多年来投入大量工作时,他们希望庆祝成果,即使这些成果没有达到他们自己、客户和投资者的期望。问题是,在外人看来,成功和失败往往是一样的。
残酷的现实是,大多数在社交媒体上被誉为成功的收购其实并不成功。其中许多交易都是火速出售和收购,无论是创始人还是投资者,更不用说员工了,都不会看到一分钱。
就数字而言,并购的正面故事往往与新闻稿的说法不同。
未披露交易
并购成功与否有很多细微差别,但有一条简便的捷径可以识别不成功的并购:寻找"未披露金额"的并购。
根据Return on Security的数据,从2022年到2024年第二季度末,共有648宗网络安全退出交易。未披露交易是常态。
在这一时期,85%以上的交易都是私下进行的,这限制了业界分析交易结果质量的能力。这在大多数情况下是有意为之,因为经济学并不总是积极的,许多因素决定了创始人或投资者从交易中获得什么。在信息披露规范得到改善之前,我们只能根据一小部分可能不具代表性的交易进行猜测。
未公开的交易可能意味着以下几种情况之一:
退出价格很低,因此公司创始人和投资者坚持不披露金额。这通常能让他们保持成功的感觉。在这种情况下,买方并不一定关心交易金额是否公开,所以保密是由创始人和投资者一方推动的。
由于是"紧急出售",包括收购方在内的所有相关方都希望保守秘密,不透露他们为倒闭公司的资产支付了多少钱。
期望与现实
公司筹集到多少资金是一系列期望的结果,这些期望有的实现了,有的没有实现。并购交易是一种信息交换功能,在市场中起着中介作用。收购价格部分基于业绩,部分基于可用市场的未来潜力,部分基于公司的内在动力和商誉。
虽然大多数数据都没有公开的收购或投资数据,但我们可以利用一些数学知识来帮助我们更好地理解现有数据。
为此,我们将引入一个视图,帮助我们了解退出的价值。
退出价值百分比(EVP)公式
这个公式计算的是一家公司筹集到的资金与后来被收购的金额之间的百分比差。虽然这不是一门精确的科学,但可以让您快速了解公司层面的投资回报率(ROI)。这个公式可以帮助您快速评估公司的预期或未来成功的承诺是否已经实现。
如果是正数,您可以迅速评估,总体而言,预期得到了满足。如果是负数,则表明公司及其投资者(很可能还有客户)的结果并不理想。
从一些备受瞩目的并购交易中,我们可以看到这一公式的作用:
如果这一分析能告诉我们什么,那就是私募股权投资公司才是网络并购领域真正的赢家,而不是创始人。
拥有良好退出机制的公司往往比许多人意识到的更具吸引力
Bessemer的"2024年网络安全趋势"报告指出:"反思过去一年价值超过1亿美元的收购,我们观察到两个主要趋势:(1)大多数被收购公司的客户在10到50家之间,主要针对其团队和产品;(2)过去一年,"纯产品"公司的收购价格有所上升,中位数约为2亿到3亿美元。
没错,许多以1亿美元或更高价收购的公司都拥有10-20个客户。同样有趣的是他们的收入。显然,没有公开的数据,但有传言--因此投资者和竞争对手通常对被收购公司的收入有一定的了解。在以超过1亿美元或更高价格退出的公司中,许多公司的ARR收入为100-500万美元,有些甚至不到100万美元。
在网络安全领域,以1-3亿美元的价格被收购是一项伟大的成就。这通常意味着创业者善于了解客户痛点,打造能够解决这些痛点的产品,并向早期用户销售。有时,这类交易需要运气,但更多时候,它们并不能说明创始人擅长建立和扩展大规模、可持续的企业。综上所述,很难说网络安全初创企业的收购是成功的标志。
收购的财务结果
再看一下公开数据,我们发现正态分布开始出现。一半以上的交易额在1亿至2.5亿美元之间,其中23%在1千万至1亿美元之间,15%在1亿至2.5亿美元之间,14%在2.5亿至5亿美元之间。
在高端领域,我们看到了一个"肥尾",出现了大量异常值。在披露的数据中,超过5亿美元的交易占30%,其中23%的交易在10亿美元到100亿美元之间。
虽然现有数据表明,退出金额集中在1,000万至2.5亿美元的范围内,但我们不能确定这是否反映了全部退出情况。85%的未披露交易可能会完全改变真实的分布情况。
Bessemer的报告还明确指出了另一个事实:除了总部位于英国的Tessian公司外,过去一年中所有价值超过1亿美元的收购都来自以色列。有趣的是,Tessian公司的收购价格并未披露,因此Bessemer最后也只是用“??”来代替。
Source: Bessemer’s “Cybersecurity trends in 2024”
收购并不意味着任何人都能赚到钱
另一个常见的误解是,收购意味着投资者、创始人和员工的发财日。这与事实相去甚远,因为每种情况都是独一无二的,因此每个人的财务结果也是独一无二的。例如
如果公司被收购(即通过紧急售卖收回一些资金),投资者可能只得到几分钱,而创始人和员工将一无所获。
如果公司财务上不成功,而且被收购的价格低于上一轮估值,风险投资人可能会行使清算优先权(假设他们在筹款时已经获得了清算优先权),这样他们就可以收回原来的投资,或者是原来投资的几倍。创始人将获得第二份报酬,而员工持有的股票可能所剩无几。
如果公司是现金收购,那么事情就简单多了。大多数金额未公开的收购并非如此。相反,创始人和员工用自己的股票换取收购公司的股票。如果收购公司也是私营企业,就无法知道最终的财务结果会是怎样。
许多并购并不能立即带来收益,大多数并购也不可能对个人财富产生有意义的影响。影响并购结果的因素非常多,从外部根本无法判断具体并购交易中谁赚了谁赔了。清算偏好、初创企业筹集的资金数额、收购类型、是现金、股票还是两者的混合、不同股东群体拥有的股份类型,这些只是必须考虑的部分因素,但还有更多因素。
服务企业引领潮流
说到网络安全行业的并购,50%以上的情况是一家服务型企业收购另一家服务型企业。最常见的是托管安全服务提供商(MSSP)或专业服务企业之间的相互收购。
风险投资通常对服务型公司持谨慎态度,因为它们不像产品型公司那样具有收入构成或一致性。这类企业因不具备"风险规模"而声名狼藉。
然而,服务占据了该行业销售额的大部分。根据埃森哲和Gartner的报告,2023年埃森哲的安全专业服务收入最高,达37.6亿美元,安全托管服务收入最高,达22.3亿美元。
即使是财务上成功的收购,最终也往往会扼杀产品的生命力
正如《哈佛商业评论》所指出的,"根据大多数研究,70%到90%的收购都以失败告终。对于这个令人沮丧的数字,大多数解释都强调了并购双方的整合问题"。
网络安全并购也不例外。买方平台与被收购产品之间的整合不足,文化、价值观和规范之间的冲突,以及其他问题都可能导致并购交易无法实现股东价值。很多优秀的网络安全产品最终在并购后夭折。不同的创始人对此会有不同的反应:对有些人来说,这完全没有问题,因为那时他们已经套现,很可能早已离开收购他们初创公司的公司;而有些人则对自己花费多年打造的产品被砍掉感到愤恨和伤心。
结束语
创业很难。我们遇到过很多聪明、勤奋、有远见的创始人,他们做了所有正确的事情,但仍然失败了。还有一些人似乎万事俱备,却因为运气、机遇、市场趋势的逆转或其他原因而获得成功。
有抱负、处于早期阶段的创业者和市场业内人士需要对大家都在庆祝的并购保持现实的态度。并非所有发布了新闻稿的交易都是成功的,也并非每笔高额交易都能为客户、创始人、投资者、员工和整个行业带来巨大的收益。
原文链接:
https://ventureinsecurity.net/p/palo-alto-isnt-going-to-buy-everyone
声明:本文来自安全喵喵站,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
