Palo Alto的下一个收购目标，是一家EDR上市公司？

Palo Alto Networks 要收购SentinelOne，合理吗？

这是上周许多人讨论的数十亿美元问题，在（猜测性）报道有关潜在交易的消息传出后。

现在又有了新的消息，华尔街日报和路透社报道了可能收购 CyberArk 的消息。

我通常会等到交易宣布后才进行详细分析，但SentinelOne和 CyberArk 的报告都引起了极大关注，如果其中任何一笔交易成真，其影响都将非常重大，因此现在进行探讨是有意义的。

即使 CyberArk 的报道热度上升，这里也有一些适用于任何一种情况的普遍因素。

请将这些初步分析视为一种思维练习。即使这些报道完全没有根据，或者交易最终未能成行，分析如此规模的交易对我们来说仍是一次有益的学习经历。

为什么？

到目前为止，我们在网络安全领域看到的大多数私有化活动都是私募股权机构收购上市公司。当然，也有战略买家收购上市公司的情况。Cisco 收购 Splunk 和 Sophos 收购Secureworks是最近的几个例子，但这类情况要少得多。

撇开免责声明不谈，重点是：我目前不会过于认真看待这些关于 Palo Alto Networks 收购SentinelOne的报道。从战略和资金的角度来看，这笔交易既不是明显的“可行”，也不是“不可行”。

让我们来分析一下支持和反对这笔交易的理由，先从可能促成交易的原因开始。

支持这笔交易的理由

首先，即使有关于 CyberArk 收购的可靠报道，我仍然认为我们必须将SentinelOne视为一个仍在考虑范围内的选项。

在某种程度上，CyberArk 的消息使得SentinelOne的报道比单独存在时更具可信度。现在有两个信号表明 Palo Alto Networks 有意愿进行一笔变革性的交易。

我同意其他人的看法，CyberArk 的存在使SentinelOne的交易看起来不太可能——但也不应因此完全排除这种可能性。

消除端点安全领域的前三大竞争对手之一，并增加约 10 亿美元的年度经常性收入，无论从战略还是财务角度来看都具有吸引力。

尽管迄今为止在构建产品和获得一系列有利的分析师评级方面做出了良好努力，Palo Alto Networks 在端点安全领域的市场领导地位（商业上）仍然遥不可及。

将市场现实与雄心勃勃的长期财务目标、强劲的财务指标以及竞争压力结合起来，你就能开始理解为何像收购SentinelOne这样的大型交易可能会被提上议程。

让我们深入分析下。

市场份额整合

如果这笔交易达成，市场份额整合将成为主要原因之一。

尽管终端安全是网络安全中最大且最成熟的市场之一，但它仍然高度分散。以下是 IDC（通过微软）提供的市场份额快照，帮助你了解这种分散的普遍程度。该快照已有几年历史，但我们可以将这些数字视为方向性的正确参考。

微软（25.8%）和 CrowdStrike（18.1%）控制了约 45%的市场份额，之后市场变得动荡不安。SentinelOne当时约占 4%的市场份额，但年增长率达 43.1%。Palo Alto Networks 的市场份额不到 4%——他们的具体数字隐藏在 32%的“市场其他部分”中。

收购SentinelOne将使 Palo Alto Networks 的市场份额达到约 10%（大致估计）。这仍然大约是 CrowdStrike 目前市场份额的一半。对于第三名来说，这个份额不错，略高于Trellix、Broadcom（Symantec 和 Carbon Black）、Sophos 和 Trend Micro 等知名公司。

其次但仍然重要的一点是进一步整合下一代 SIEM 市场。将SentinelOne的客户加入 XSIAM 现有的约 270 个客户（截至 2025 财年第三季度）显然有助于收购的理由。

我们很少见到网络安全领域出现市场份额整合的情况。确实会发生，但这并不是我们的默认策略。网络安全行业大多是由新兴市场和公司组成的集合体。

由Thoma Bravo 支持的 Ping-ForgeRock 和Exabeam-LogRhythm 合并是两个近期的大型案例。在《网络安全的阶级难题：赢家通吃的市场动态》中，我论述了为什么我们将看到市场力量推动诸如整合之类的现象。

Palo Alto Networks 在市场份额整合方面已有一些先例。他们对 IBM 的QRadar SIEM 产品组合的部分收购，主要是为了加速 Cortex XSIAM 的市场份额增长。

Palo Alto Networks 实际上收购的是客户资源（IBM 现有的QRadar客户），而非技术。他们的目标是将QRadar客户迁移到 XSIAM（在 IBM 的支持和专业服务帮助下），而不是让客户继续使用QRadar或将产品的任何部分整合进 Cortex。

QRadar并不是SentinelOne的直接竞争对手，后者拥有更广泛且多样化的产品组合。我提到这一点是为了说明市场份额整合曾是 Palo Alto Networks 的一个因素，尽管方式略有不同。

SentinelOne将是类似策略的更大、更大胆的版本——也许是 Palo Alto Networks 在追求网络安全多平台市场领导地位过程中必需的一步。

收入加速

Palo Alto Networks 有一个大胆的长期财务目标：到 2030 年实现 150 亿美元的下一代安全（NGS）年度经常性收入（ARR）。

他们在 2025 年第三季度实现了 50 亿美元的 NGS 年度经常性收入（ARR）。这本身就令人印象深刻，同时也显示出如果他们想达到 150 亿美元的目标，还有很长的路要走。

这就是数学开始影响战略的地方。从现在的 50 亿美元增长到 2030 年的 150 亿美元，意味着约 20%的复合年增长率（CAGR）。这可能会自然发生……但我们目前所处的环境是，上市软件公司的中位数收入增长率为 11%，而 20%的增长率则使你进入前十名。

收购SentinelOne会迅速为 Palo Alto Networks 的 NGS 产品组合增加约 10 亿美元的 ARR。达到 150 亿美元的增长率突然变为 16-17%（粗略计算，仅展示收入加速的情况）。仍然很激进，但更可行得多。

因此，加快实现这一里程碑的时间表非常有吸引力——前提是收购价格和收入倍数合理。

这假设收购后强劲增长将持续（甚至加速）、客户留存率高，以及产品组合的重叠问题能够得到解决（稍后会详细说明）。这些都是重大假设，但也是大规模收购中不可避免的部分。

规模和财务状况

Palo Alto Networks 现在已经足够大，可以承担更大规模的交易。历史表明，超过十亿美元的收购对他们来说并不常见。但到了 2025 年中，Palo Alto Networks 已经与七年前 Nikesh Arora 接手时大不相同。

正如我在相关的 LinkedIn 帖子中所观察到的，SentinelOne的报道价格为 70 亿美元（或更高）将是一个非同寻常的数字——是他们最大收购金额的 10 倍。他们从未进行过超过 8 亿美元的收购。

以下是他们迄今为止披露的十大最大收购：

一位评论者正确指出，Palo Alto Networks 已经超越了他们最初的并购策略。

事实上，可以认为，为了非有机地扩展他们当前的 NGS 产品组合所需的投资，在整体上比现在进行一次大型收购所承担的风险更大且比例更高。

在过去十年中，Palo Alto Networks 在收购上的支出占其加权平均市值的比例刚刚超过 11%。这不是一个银行级别的计算，但足够精确用于比较。

尽管单笔交易规模较小，但相对于当时的规模而言，总投资金额仍然相当可观。这个计划也奏效了。没有这些收购，Palo Alto Networks 不会成为今天最有价值的独立网络安全公司。

这就引出了今天的情况，以及SentinelOne（或任何类似规模的大型收购目标……咳……CyberArk……）的现状。

Palo Alto Networks 目前的财务指标能够支持比以往更大规模的收购。你知道的……比如以数十亿美元收购一家上市公司。

几个指标进一步说明这一点：Palo Alto Networks 目前市值为 1360 亿美元，现金及等价物为 23 亿美元，且基本没有长期债务。

自 2020 年以来，企业价值已增长了四倍。他们完全有能力为 70 至 80 亿美元的收购提供资金。

Palo Alto Networks 进行了许多收购，但他们尚未充分利用其令人羡慕的财务状况。这只是理论上的，因为他们还没有选择去行使这一优势。

当然，战略选择权在他们手中。没人说他们必须进行这笔交易，或者任何他们没有战略和财务信心的交易。

关键是他们有能力做到这一点。

战略买家经常进行高达企业价值约 10%的收购。我们之所以很少在网络安全领域看到此类交易，是因为这类交易尚无必要发生。

以当前 1360 亿美元的市值计算，约 70 亿美元的收购（SentinelOne的估算值）约占 5%。约 200 亿美元的收购（CyberArk 的估算值）占 14.7%。这无疑更具挑战性——但作为公司当前规模的比例，两者都在合理范围内。

收购SentinelOne或 CyberArk 都将是一笔大交易，但对于一家市值 1300 亿美元的公司来说，这并不超出正常的战略并购范围。

如果 Palo Alto Networks 的优先事项是加速 NGS 收入，消除竞争对手，并更好地在大型竞争者面前定位自己，那么SentinelOne以中个位数倍数估值的 10 亿美元年度经常性收入在财务上具有吸引力。

但对于这样的交易，战略理由必须比“我们负担得起”更有说服力。

因素包括产品重叠、内部竞争风险，以及在端点安全领域整合市场份额是否值得从 PANW 的平台扩展路线图（Prisma Cloud、XSIAM 等）中分心。稍后将详细讨论。

财务驱动因素可能合理，但定性匹配仍然重要。

时机与竞争动态

公司及其领导者常常淡化时机和竞争动态在并购决策中的作用，但现实是它们始终是一个因素。

Nikesh Arora时代的 Palo Alto Networks 以在大多数收购时机上领先竞争对手而闻名——Protect AI 是最近的一个例子，旨在保护新兴市场中的 AI 模型。

大型网络安全竞争者没有放松，几家已经采取了重大举措。

Alphabet 以 320 亿美元收购了 Wiz。

CrowdStrike 的估值为 1176 亿美元，自去年以来增长了 29.2%。到目前为止，他们已经摆脱了去年夏季停机事件的实质性影响。

微软就是微软。没有大规模收购，但在一个全面的安全产品组合内有大量动作，直接与 Palo Alto Networks 的大部分 NGS 产品组合竞争。

Fortinet、Check Point 及其他公司也在尽其所能。

无论是传统竞争对手还是超级规模云服务商，竞争从未如此激烈。外部压力和紧迫感也比以往任何时候都更强烈。

时机和竞争不会是主要驱动力，但现在可能是采取重大行动的时候了。

我们可能正处于一个阶段，有机增长和小规模收购不足以在大规模推动增长方面产生显著影响。

像 Talon 和 Protect AI 这样的收购当然仍然重要，但它们属于需要时间发展的新兴市场。这些新兴市场的领导者机会是有限的。

Palo Alto Networks 足够大，需要多种手段来推动发展。

接下来，我们继续讨论反对这笔交易的理由。

反对这笔交易的理由

作为一个曾参与过数十亿美元网络安全收购讨论的人，我可以向你保证，完成一笔交易所需的举证责任非常高。

我们大多数大型公司在花费 5000 万或 1 亿美元收购一家明显具有互补性的较小公司时，几乎不会有任何犹豫。你仍然需要提出合理的理由，但这要容易得多。

对于 Palo Alto Networks 和SentinelOne来说，确实存在达成交易的理由——正如我们在本文上半部分所讨论的那样。但我不确定这是否足以克服反对交易的相对重大理由。

一切基本上都始于并终于产品组合的重叠以及如何合理化这些差异。许多其他子问题都源于这一核心问题。

让我们从头开始。

产品重叠

两者的产品组合有显著重叠。没有内部数据室，很难准确量化重叠的具体比例。根据这一高层次分析，我估计重叠率大约在 50%到 75%之间：

终端安全显然是SentinelOne的核心产品和皇冠上的明珠。这无疑是一项宝贵的资产——但 Palo Alto Networks 也绝非等闲之辈。

Palo Alto Networks 未披露 Cortex 平台内各产品线的收入，因此很难准确判断其终端安全业务的商业规模。

在分析师报告中通常排名靠前，并且在 MITRE ATT&CK 评估中表现位于领先者之列，前提是外部基准和分析师评级具有参考价值。

正如我们之前讨论的，整体终端安全市场份额可能并不是 Palo Alto Networks 理想中的位置，但这也不是他们产品组合中的一个巨大空白。

另一个值得注意的细节是，Palo Alto Networks 历来将终端安全视为其 Cortex 平台的附加组件，而非独立产品。我没有相关数据（Palo Alto Networks 也未披露），但我猜终端安全作为独立销售或作为新客户切入点的情况，大概介于“几乎没有”和“很少”之间。

这并不是说他们不想以端点安全为主导，只是以端点安全产品为主导将代表他们市场推广理念的改变。

在更广泛的 SecOps 产品组合中也存在大量重叠。SentinelOne在下一代 SIEM 市场上显示出了一定的吸引力，但这与 Cortex XSIAM 直接重叠。

CNAPP、SOAR/超自动化、威胁情报、暴露管理、ITDR……情况也大致相同，你明白我的意思。

唯一几乎没有重叠的情况是 Palo Alto Networks 已有而SentinelOne没有的能力。

ITDR 可能是SentinelOne最接近带来全新产品类别的领域，但 Palo Alto Networks 已经有相关产品。

Purple AI 是个未知数。SentinelOne做了一些有趣的事情，并在最近的财报电话会议中分享了客户的反馈。

然而，Palo Alto Networks 对人工智能并不陌生。他们拥有自己独特的方法，借助 Cortex XSIAM 以及众多面向客户和内部使用的案例，Nikesh Arora 多年来一直公开讨论这些内容。

整合如此多的产品、代理、数据存储库和自动化套件，注定会导致客户流失和渠道混乱。他们可能会认为收益值得承受这些痛苦，但毫无疑问：这将带来大量的痛苦。

财务权衡

Palo Alto Networks 可能处于一个有幸能够承担大型收购的有利位置，但这样的举动伴随着权衡取舍。

在单笔收购上花费 70 亿美元或更多，并且产品组合有显著重叠，可能会限制他们执行迄今为止行之有效的策略：多次收购新兴市场领导者。

这也限制了他们收购与SentinelOne规模相当或相近的其他公司的选择余地。通过我们刚刚听到的 CyberArk 报告，可以看出这种权衡的重要性。如果我是 Palo Alto Networks，必须在SentinelOne和 CyberArk 之间做选择，我会 100% 选择 CyberArk。

一次大型收购也可能限制他们在研发上的投入能力。他们的产品团队已经证明，能够在三个主要平台中既整合收购的产品，又开发新的产品。

非有机增长备受关注，但没有大量的研发投入，Palo Alto Networks 不可能取得如今的成功。

客户认知与客户留存

反对这笔交易的另一个次要观点是客户如何看待这笔交易，以及 Palo Alto Networks 是否能够保留SentinelOne客户群中的重要部分。这个点较难量化，所以我只能用轶事来描述。

以下是我在 LinkedIn 上关于这笔潜在交易的帖子中，一位 CISO 的转述评论：

许多 SentinelOne 客户明确选择 SentinelOne 是为了避免使用 Cortex XDR……许多 SentinelOne 客户将转向 CrowdStrike。

部分SentinelOne客户目前没有 Palo Alto Networks 的产品部署（且不希望有），他们中会有一定比例的客户流失。这并不是全部客户，甚至不是大多数，但业界对 Palo Alto Networks 存在一种难以言明的轻视情绪。

客户流失最终可能微乎其微。或者，它可能以不同的方式表现出来，比如新增客户数量的放缓。仅凭这一点并不足以否决这笔交易，但必须将其纳入决策依据中。

监管和反垄断审查

将两个终端安全领域的行业领导者合并，可能会像大多数大型交易一样，吸引监管机构（美国司法部和欧盟）的审查。

Ping 和 ForgeRock 在前一届政府时期顺利通过。HPE 收购 Juniper Networks 也最终达成了协议。

Alphabet-Wiz 的审查仍在进行中，预计要到 2026 年才会完成。

我当然不是反垄断专家，但根据经验来看，如果 Palo Alto Networks 收购SentinelOne，似乎也应该会获得批准。

问题是需要多长时间，因为任何重大延迟都会影响交易的预期收益。同样，这不足以单独成为阻止交易的理由，但这是必须考虑的一个因素。

谈判协议的最佳替代方案（BATNA）

如果没有 BATNA，这就不算是一个完整的案例研究！我们不会详尽探讨这个话题，但值得一提的是，如果交易未能达成，每家公司各自的替代方案。

如果 Palo Alto Networks 认为 Cortex（以及整体 NGS）的发展轨迹已经为成功奠定基础（通过有机增长和持续的并购整合），那么溢价价格加上整合风险可能会超过在终端安全市场份额提升带来的收益。

如前所述，这也为他们保留了选择进行其他大型收购的可能性，比如收购 CyberArk 或其他后期阶段的网络安全公司。

SentinelOne也仍有不错的选择。被私募股权收购并私有化将遵循过去几年许多其他上市网络安全公司采取的模式。

继续作为一家上市公司运营也是一个完全可行的选择。自上市以来，他们仍然是表现较好的纯网络安全公司之一。前路虽不易，但绝对有可能。

虽然不太可能，但值得思考

从概率角度来看，我认为这次收购不太可能发生（但仍有可能——如果考虑到 CyberArk 的存在，可能性更小）。

即使在听到关于 CyberArk 的报道之前，我也不认为这次收购会发生。

很难合理解释SentinelOne与 Palo Alto Networks 现有产品组合之间的重叠。

虽然价格对 Palo Alto Networks 来说可以接受，但产品组合重叠和整合复杂性使整体价值论点变得具有挑战性。

如果没有其他原因，像这样的情景本身就令人着迷。

关于 CyberArk ，下篇再说。

原文链接：

https://strategyofsecurity.com/p/the-case-for-and-against-palo-alto-networks-acquiring-sentinelone

声明：本文来自安全喵喵站，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。