分析：Palo Alto收购CyberArk的利与弊

Palo Alto Networks 收购 CyberArk 合理吗？

没错。

这种事你编都编不出来。

关于 CyberArk 收购案的报道在我对 Palo Alto Networks-SentinelOne潜在交易的分析墨迹未干之时就已浮出水面。

不到 24 小时，消息得到证实：Palo Alto Networks 将以 250 亿美元收购 CyberArk。

这次无需再对理论交易进行分析。这真的要发生了。

我仍然震惊于一旦细节公开，交易就如此迅速地实现。对于 Palo Alto Networks 和更广泛的生态系统来说，这里有很多需要消化的地方。

本文旨在分析支持和反对该交易的理由。只是在交易宣布后，并且在掌握了 Palo Alto Networks 战略理由的公开版本可供评估的情况下，思考过程有所不同。

我将主要以 Palo Alto Networks 提供的理由作为支持该交易的依据，并在此基础上加入我自己的更多背景信息和分析。反对该交易的理由则基于我自己的判断、我所进行的讨论以及自交易首次报道以来其他人提出的观点。

简而言之：从商业战略角度来看，Palo Alto Networks 收购 CyberArk 是一个绝佳的举动。重点是商业。

这在商业上非常有意义，而且肯定比收购SentinelOne更有意义。

此举对客户是好是坏，仍有待观察，且需数年方能见分晓。

这在很大程度上将取决于 Palo Alto Networks 能否加快并改进 CyberArk 通过近期收购已着手进行的现有产品整合。此外，还将取决于与 Palo Alto Networks 其他平台（尤其是 Cortex 和 Prisma）的整合效果如何。

这就是身份市场碎片化的另一面：如果 Palo Alto Networks 搞砸了，还有数百家公司乐意取代 CyberArk 在市场中的位置。

正如 Nikesh Arora 可能会说的，他们仍需执行。

这是一篇长文。像这样具有变革意义的交易并不常见，所以一旦出现，就值得深入探讨。让我们开始吧。

支持交易的理由

如果 Palo Alto Networks 要涉足身份识别领域，他们就必须大刀阔斧地进行。

从商业角度来看，如果他们只是收购一堆小公司并试图将它们整合起来，他们根本不可能建立一个成功的身份识别业务。他们需要通过引导式进入市场，因此大规模收购是合理的。

身份市场与 Palo Alto Networks 通过整合小型公司建立其云安全业务时的成熟度完全不同。这种方法之所以奏效，是因为云安全市场仍在形成中。当时基本上没有市场领导者可供收购。

身份市场已经历了多代市场领导者（Sun、IBM、CA、Oracle 等）。市场已经经历了多轮颠覆和并购。在很大程度上，我们已经见证了这一切。

目前，我们已经拥有少数专业的身份识别公司——有些是上市公司，有些由私募股权公司所有。你可能知道它们：CyberArk、Okta、SailPoint 和 Ping Identity。然后还有微软。我们稍后会谈到它。

Palo Alto Networks 通过自行开发、收购和合作来构建一个连贯的身份识别产品，与这四家公司（加上微软和其他仍占有重要市场份额的现有公司）竞争，几乎没有胜算。

如果说有一个市场必须达成一笔大交易，那一定是身份市场。

加速平台化

Palo Alto Networks 在过去七年中的多平台演进堪称传奇。

收购像 CyberArk 这样已具规模的身份公司，并以事实上的市场领导者身份进入身份市场，将加速 Palo Alto Networks 多年来一直致力于的平台化战略。

有必要重申一下对 Palo Alto Networks 平台化战略的常见误解。他们不是，也从未是，在构建一个单一的、包罗万象的网络安全平台。

在 Nikesh Arora 时代，他们在现有的 NGFW/网络安全业务基础上，建立并发展了三个核心平台：SASE、安全运营和云安全——这些共同构成了他们的下一代安全（NGS）产品组合。

他们的战略在很大程度上是成功的。他们在下一代安全业务中建立了重要的产品组合和收入牵引力，即使没有 CyberArk，目前的年经常性收入也已超过 50 亿美元。

他们显然觉得是时候迈出下一步，进入身份市场了。

根据他们在公告中迄今为止分享的细节，身份将成为第四个平台。

这对于 Palo Alto Networks 和整个网络安全行业来说都是一个重要的里程碑。这是首次有公司在所有主要的网络安全类别中都占据领先地位。

我们从未见过一家公司在如此多的领域拥有业务足迹。关于这种策略是否能长期奏效以及是否能持续下去，仍存在未解之谜。这是该实验迄今为止进行得最远的一次。

为什么是 CyberArk？

Palo Alto Networks 进军身份识别市场的收购目标是否必须是 CyberArk？

不，但 CyberArk 是他们在现有规模的身份识别公司中最好的选择。拥有合适的财务状况和产品套件的潜在收购目标并不多。CyberArk 是一个绝佳的选择。我很惊讶他们能成功收购。

CyberArk 拥有比大多数其他现有规模的替代方案更全面的员工身份识别产品。他们拥有 PAM、SSO（尽管在市场中排名第三或第五），并且他们刚刚通过收购早期公司 Zilla 获得了 IGA。

Palo Alto Networks 任何其他可能收购的目标都需要通过附加收购来完善其全面的员工身份识别产品。

Okta 可能不愿意以其目前约 170 亿美元的市值出售，这大约是其历史最高市值的一半（甚至在收购报告发布之前就已低于 CyberArk）。Todd McKinnon 仍然是一位相对年轻的首席执行官，他看起来致力于长期发展。

Ping Identity 可能有意义，但他们的产品组合没有完善的 IGA 或 PAM 功能，即使加上 ForgeRock 也没有。Palo Alto Networks 可能也不想涉足客户身份业务。他们确实有一个目录产品，这很好——但同样，目录不是赢得身份市场的方式。

SailPoint 刚刚再次上市，并取得了成功的回报。他们主要是一家 IGA 公司，通过收购进入了 PAM 领域——但在这方面远不及 CyberArk 的深度。他们不做 SSO。这是一家很棒的公司，但对 Palo Alto Networks 来说，战略契合度没那么高。

身份市场中存在大量规模较小的公司，其产品组合的形态和规模各不相同。其中一些公司的收入达到八位数和九位数，例如 Saviynt、RSA Security、SecureAuth、1Password、Keeper、Veza、StrongDM以及数十家其他公司。

Palo Alto Networks 在这里玩的是一场完全不同的游戏。他们的计划不是通过对多个身份细分市场中的不同领导者进行价值收购，然后缓慢发展身份业务。为了在与超大规模公司和 CrowdStrike 等大型竞争对手的竞争中获胜，他们需要一笔变革性的交易。

产品扩张

从产品的角度来看，这与SentinelOne的交易在产品重叠方面是完全不同的讨论。CyberArk 为 Palo Alto Networks 带来了一系列全新的功能，而重叠程度相对较小。

有了 CyberArk，Palo Alto 将获得一套完整的员工身份管理套件：PAM、SSO、IGA、机器身份、秘密管理等等。产品几乎没有重叠——只有一些与 ITDR 相关的功能，一个大多数人不知道 CyberArk 拥有的安全浏览器，以及一些其他次要工具。

他们没有获得目录服务产品，但最好的策略可能是将这部分让给微软。在安全领域和身份管理领域，都没有击败微软的可行策略。微软就是微软。

我曾做过目录迁移，我可以告诉你：它们非常棘手。即使 Palo Alto Networks 通过这笔交易获得了一流的目录产品，也不意味着客户会购买。不信你去问问甲骨文，他们是怎么做的。客户会多次更换他们的 IGA、PAM 和 SSO 产品，然后才会更换目录。这根本不值得付出那样的痛苦。

驯服微软这条巨龙的方法是，不断用目录收入喂饱它，这样它就不会饿得发脾气，开始喷火。把这条巨龙留在它的目录角落里，然后去占领其他所有市场的份额。

Palo Alto Networks 进入身份识别市场并不是为了击败微软。他们当然希望具有竞争力——但他们足够精明，知道微软不会消失。此举旨在边缘化独立的、单一平台的身份识别公司。

有没有从业者比 CyberArk 更喜欢使用的产品？当然有。产品和可用性充其量只是次要因素。这主要是由商业和财务考虑驱动的。

我确实抱有一些希望，如果他们将 Cortex 平台化策略应用于 CyberArk，产品方面将取得进展。虽然不完美，但我所见的 Cortex 产品确实表现相对不错，尤其是考虑到他们所做事情的广度和范围。

市场融合与时机

Palo Alto Networks 提出的“为何是现在”论点中的第一部分很有趣。作为一名长期从事身份领域工作的人，我大体上认同他们对市场的看法，但有一些细微的差别。

我一直将身份视为一种安全功能，尽管这可能是我在网络安全咨询公司工作的一个因素，因为首席信息安全官是主要买家。无论如何，证据清楚地表明身份和安全正在以前所未有的方式融合。

我大致同意他们的整体论点，尽管我会以不同的方式来阐述 PAM 的扩展。也许我作为身份领域的人有些吹毛求疵。但这些意见分歧可以忽略不计。

我并不完全认同身份与 PAM 愿景完全一致，以及 PAM 应该部署到所有员工的说法。PAM 部分是 CyberArk 一直以来的说法，尤其是在机器身份出现之前，关于他们自己的增长故事。

PAM 并非需要覆盖所有人，而是 PAM 的定义本身正在改变。一个广泛的员工身份平台将包含 PAM 的各个方面，这些方面现在正被解耦并可供更多人使用。每个身份都需要更好的安全性，而不仅仅是那些特殊的身份。

我不会过分强调 PAM 部分，尽管仅凭这一点就足以成为进入身份市场的一个好理由。对我来说，这里的叙述是提供一个广泛、集成的身份平台，适用于各种不同的用户。

身份领域平台化的需求

“为何是现在”这一论断的第二部分，我完全赞同。身份识别是一个成熟的市场，但同时，仍有很大的变革空间。

作为一名前系统集成商，我深知身份识别实施的痛苦，因此我完全认同身份安全领域融合的必要性。他们所说的市场碎片化问题，句句属实。

即使最近出现了一些整合，企业市场显然正朝着融合型员工身份平台的方向发展，这才是未来的趋势。我们已经取得了很大进展，但现在说这更多是理论而非实践，仍然是公平的。

Okta 已从其单点登录（SSO）的根基扩展开来，通过有机和无机活动相结合的方式，成为一个更全面的身份平台，涵盖了 SSO、PAM、IGA 和许多其他功能。虽然已初见成效，但其发展仍处于早期阶段，在企业领域才刚刚开始获得有意义的关注。

SailPoint 也已成为一个更广泛的平台，尤其是在其作为上市公司进行第二次转型后。他们仍然没有 SSO，而且他们进行的 PAM 收购在范围和成熟度上都远不及 CyberArk。

平台化和身份安全最有趣的一点是，即使收购了 CyberArk，Palo Alto Networks 仍然无法获得一个完全成熟的平台。

CyberArk 就其本身而言，严格来说仍更像一个套件而非平台。他们拥有 PAM 已久。他们的 SSO 产品始终位列前三到前五，年经常性收入可能高达数千万美元。他们最近收购了 Zilla 用于 IGA，这仍是产品组合中处于早期阶段的补充。

PAM、SSO、机器身份/密钥管理，尤其是 IGA 之间，仍有部分尚未完全整合。CyberArk 目前已足够接近，但从产品角度来看，仍有工作要做。

机器身份和人工智能定位

关于机器身份和人工智能代理兴起的第三个“惊叹”支柱，事情开始变得有点投机，尤其是人工智能代理部分。如果进展顺利，这部分也是潜力最大的。

在 CyberArk 收购 Venafi 时，机器身份的案例已经相当成熟。这不仅仅是理论。在收购之前，双方的合作已经持续了很长时间。需求已经得到验证，以至于 CyberArk 拥有 Venafi 比与他们作为合作伙伴合作更有意义。

这笔交易还很新，其全部潜力尚待观察，但对 Palo Alto Networks 来说，能将这项收购收入囊中，并在一定程度上降低机器身份方面的风险，这很有帮助。

Venafi 是一家成熟的机器身份公司，而不是什么新奇的 NHI 初创企业。它主要关注机器的证书和基于证书的身份验证与授权，以及轮换管理。

我知道这听起来超级无聊，但这很可能是企业如何处理 AI 代理安全问题的解决方案。

关于 AI 代理应如何保障安全，目前有很多理论被提出。其中一些理论很好，我希望我们最终能制定出理想的实施标准和协议。

了解大型企业中应用程序开发的工作方式，我猜测人工智能代理的身份验证将与当今应用程序的身份验证方式非常相似。这意味着涉及密钥、API 密钥、证书、服务账户等。换句话说，这正是 CyberArk 在 PAM、秘密管理以及现在的机器身份方面已经做得很好的领域。

也许这些实现最终会变得更好，但这可能就是它的运作方式——特别是对于大型企业内部面向员工的事务。

财务条款和估值

看到 250 亿美元的头条新闻，很容易对 Palo Alto Networks 支付的金额感到不满。我理解，但这个价格至少在合理范围内。

最接近的比较案例之一是思科以 280 亿美元收购 Splunk。Splunk 在收购时的收入约为 40 亿美元，而 CyberArk 的收入刚刚超过 10 亿美元，因此 Splunk 的市盈率要合理得多。

另一个可比较的案例是 Alphabet 收购 Wiz，这是网络安全领域有史以来最高的收购倍数之一。

CyberArk 的估值倍数更接近 Splunk，可以说在收购时具有更大的上涨空间和发展势头。

从 CyberArk 的角度来看，他们没有出售的必要。我认为 250 亿美元是一个“让我心动”的价格，他们只有在获得显著溢价的情况下才愿意出售。他们通过完成 SaaS 转型，至少初步完善了全面的员工身份套件，并在各个方面都表现出色，从而使自己处于有利地位。

收购 CyberArk 绝对触及了 Palo Alto Networks 财务护栏的上限，但同样重要的是要记住，Palo Alto Networks 的股价正接近历史高点。

在这种特殊情况下，交易的很大一部分是股权。现金对价仍然可观（根据他们披露的信息，大约 15-20 亿美元），但这在总对价中仍占相对较小的比例。

这是 Palo Alto Networks 利用其势头和当前市值来发挥优势。

向上销售和交叉销售

市场推广和收入协同效应（哎呀）对于它们是支持还是反对交易的理由，结果可能好坏参半。我认为它们更有可能对 Palo Alto Networks 有利，所以我将分析包含在此处。

为什么？

与 CyberArk 的 10,000 家客户相比，Palo Alto Networks 拥有显著更多的客户（70,000+）。客户画像也大致匹配，PAM 的买家通常是成熟行业中受到严格监管的大型企业。

Palo Alto Networks 的客户群更广一些，但他们在财报发布中谈到的许多八位数大额交易，其客户画像通常与 CyberArk 的客户画像相似。

在没有看到确切客户名单的情况下，很难判断这种拉动效应，但我预计它可能双向起作用。Palo Alto Networks 将进入更多 CyberArk 目前尚未涉足的公司。反之亦然，尤其是在一些大型企业客户中，CyberArk 已经是其客户，而 Palo Alto Networks 却不是。

鉴于 Palo Alto Networks 的规模和雄心，无论他们通过何种方式获得新客户，其价值都不可低估。收购 CyberArk 为 Palo Alto Networks 提供了进入许多新客户的第一个切入点，他们不仅希望留住这些客户，还希望未来能增加其他平台。

TAM（潜在市场总额）和收入影响

Palo Alto Networks 凭借其现有平台，已拥有网络安全领域最大的潜在市场（TAM）之一。增加身份识别功能将显著扩大潜在市场，一些估算（如 Okta 和 CyberArk）将员工身份识别的潜在市场定为 500 亿美元，而非 Palo Alto Networks 在其发布中引用的 IDC 数据 290 亿美元。

无论如何，现在更具影响力的是它为 Palo Alto Networks 开启的可服务可获得市场（SOM）——更具体地说，是它所带来的增量收入和自由现金流。

CyberArk 是一家年营收达十亿美元的公司，这对于进军身份安全市场来说是一个很好的开端。它使 Palo Alto Networks 的营收已达到 100 亿美元，并且正如在SentinelOne分析中讨论的那样，显著加速并减轻了其达到 150 亿美元营收目标的压力。

集成策略与未来愿景

我预计我们将看到 Palo Alto Networks 执行他们对 Cortex 所采用的策略。

他们投入了大量的研发精力来构建一个集中式数据模型，重构并重新整合多个产品，使其成为一个更具凝聚力的平台和用户界面。

Palo Alto Networks 在未来两到五年内必须做（好吧，应该做）的是将 Cortex 集成策略应用于 CyberArk，并全面完成他们的产品集成。

我见过 Cortex 及其成果——他们整合了自研和收购的技术，并加入了云安全、数据安全、应用安全等功能。他们在前端使其看起来协调一致，做得非常出色。

在整合所有身份识别部分的基础上，更高层次的整合是将数据整合到 Cortex 中用于安全运营。所有这些身份日志数据都将输入到 Cortex 中，以实现比我们习惯的身份识别日志更高保真度的日志记录。

如果能将高保真度的身份验证和授权数据，以及云安全、应用安全、数据安全等数据输入到 Cortex 中，你就能更好地了解环境中发生的一切，然后深入分析和分类以前难以发现的警报。

与网络和 SASE 方面也有明确的联系。你已经可以看到其他公司在身份、安全浏览器、SASE、网络安全（零信任……天哪）以及 Palo Alto Networks 已经做的许多其他事情上做出了有趣的尝试。

收购 CyberArk 旨在增加身份识别功能，但更高层次的战略举措在于以更全面的方式将身份识别引入其他核心安全功能。

人工智能是看涨的理由

即使你完全不考虑代理市场带来的任何好处，并将其从交易中剔除，这仍然是一项明智的商业收购。

Palo Alto Networks 正在进入一个重要的新市场，同时增加了十亿美元的年度经常性收入，且其增长速度处于市场领先水平。

我们谁也不知道保护 AI 代理的市场究竟有多大。对这个新兴市场及其潜在收益和风险的评估完全是另一篇文章的内容，所以我们在这里不作探讨。

就这笔交易而言，无论 AI 代理未来如何发展，都属于其潜在收益的一部分。其风险相对有限。即使你完全不考虑这部分，或者设想 AI 代理彻底失败的最坏情况，这仍然看起来是一笔相当不错的交易。

仅在人类身份市场中竞争，就已经是一项相当不错的业务了。在机器身份的传统领域，也有足够的验证表明这是一项稳妥的投资。

如果没有一些人工智能方面的优势，这次收购可能不值 250 亿美元，但它仍然值 200 多亿美元吗？可能吧。

反对这笔交易的理由

重点来了：我根本看不到多少不利因素（再次强调，是从商业战略角度来看）。这是一次精明的收购。价格昂贵，但很精明。

我目前看到的大部分批评都是人们在抱怨 Palo Alto Networks、CyberArk，或者两者兼有。

如果你从纯粹的商业战略角度来看待这个问题，抛开其他动机和偏见，你很难反驳他们的理由。

但风险也随之而来。各种各样的风险。这些才是我们需要讨论的。

估值与财务权衡

如此大规模的交易，其财务风险显而易见。无论现金和股权如何分配，250 亿美元都是一笔巨额资本。

这意味着像SentinelOne这样的大规模收购目前已不可能。公平地说，我想不出还有哪项大规模收购能比进入身份市场对 Palo Alto Networks 产生更大的影响。

他们将继续在现有 NGS 平台内进行补充性收购，包括 CyberArk，只要他们觉得可能存在不足。

Palo Alto Networks 已经达到一个阶段，从零开始构建的努力程度往往与整合一次收购的努力程度相近。现在他们的 NGS 平台更加成熟，他们不需要像过去七年那样收购那么多公司。

他们仍然会进行一些相对较大的补充性收购，就像他们对 Talon 或 Protect AI 所做的那样，但现在证明的门槛更高了，而且他们的财务状况使得交易可能需要比过去更高的财务和技术门槛。

Go-to-market市场推广

如果说我们从本十年其他大型身份识别收购案中学到了什么，那就是收购后的市场推广（GTM）是一个巨大的陷阱。

Okta 和 Auth0 之间的市场推广整合就非常不顺利。合并组织并没有奏效。事实证明，销售一个自上而下的员工/客户身份平台和一个自下而上、以开发者为中心的客户身份平台是两件截然不同的事情。

Palo Alto Networks 在 GTM（市场推广）方面必须谨慎行事。销售防火墙和 NGS（下一代安全）产品组合与销售身份安全产品不同。他们最好保留 CyberArk 大部分或全部的 GTM 组织，并尽力让他们的工作更轻松。

在客户方面，客户流失的风险是真实存在的——但我当然不认为 CyberArk 的客户群会有很大一部分流失，即使他们宁愿不与 Palo Alto Networks 合作。抱怨是一回事，转换是另一回事。

关于身份识别，特别是 PAM，有一个特殊的细微之处，那就是产品具有极强的粘性。它们的实施需要数百万美元和数年时间。更换供应商不像在端点上从 CrowdStrike 切换到SentinelOne那样，只需安装一个不同的代理。这其中存在巨大的转换成本。

大多数现有的 CyberArk 客户即使不使用或不想使用 Palo Alto Networks 在安全或 IT 产品组合中其他任何产品，也只会忍受 Palo Alto Networks。

如果说会有任何客户影响，那更可能是在新客户获取方面。CyberArk 在这方面表现相当不错，尤其考虑到宏观经济环境。

相比于现有客户流失，更可能的影响是新客户选择在 PAM 和员工身份解决方案方面转向其他方向。这通常对员工身份市场中的其他公司有利，但这又是另一个话题了。

交叉销售机会是这里的不确定因素。我相信 Palo Alto Networks 的企业发展团队和他们的银行家已经对此进行了建模，并对此有很好的假设。

我预计交叉销售会取得一定程度的成功——这种成功可能不仅能抵消任何客户流失或新客户增长放缓，甚至会大大超越这些负面影响。

如果 Palo Alto Networks 能在产品方面做得很好，并简化许多 CyberArk 客户抱怨的整体采购、融资、许可和交易流程，那么这种情况尤其可能发生。

渠道关系

渠道是另一个可能存在劣势，或者至少存在重大风险的领域。

CyberArk 在网络安全领域是关于如何发展和运营合作伙伴计划的黄金标准。他们与所有全球系统集成商以及其他几个小众精品集成商都建立了良好的关系。Palo Alto Networks 无论如何都与他们中的大多数合作，但身份识别将是一种不同的能力。

我们不会看到渠道因为 CyberArk 被 Palo Alto Networks 收购就停止与 CyberArk 合作。必须谨慎确保 CyberArk 已有的渠道关系和模式继续取得成功。

Palo Alto Networks 拥有自己成功的渠道关系，并且他们已经与 CyberArk 的许多全球系统集成商（GSI）和合作伙伴展开合作。身份实施需要不同的能力，但市场推广（GTM）方面仍然相似。

整合与文化

Palo Alto Networks 对整合收购并不陌生，如今已拥有 20 多次经验。整合一家营收 10 亿美元、员工超过 4000 人的大型上市公司，比整合一家初创公司要复杂得多。

正如我们之前讨论的，从长远来看，我实际上看好他们在技术整合方面的机会。人员和流程才是我担心的地方。

必须做出艰难的人事决定。这不可避免地意味着裁员，正如我们已经从思科-Splunk、Proofpoint 的收购以及许多其他案例中看到的那样。

CyberArk 有其独特的运作方式和文化，这在过去 25 年里一直行之有效。Palo Alto Networks 也有自己的文化——这种文化在很大程度上反映了 Nikesh Arora 雄心勃勃的抱负和个性。

CyberArk 如何应对 Palo Alto Networks 不可避免地带来的关注，是这笔交易中最大的未解之谜之一。

那么，现在怎么办？

大型多领域网络安全公司历来都避开身份市场。

那个时代似乎已经结束了。这是一笔改变行业格局的交易。

接下来要关注的是市场其他部分会发生什么。

CrowdStrike、Fortinet、Check Point、Zscaler 以及其他任何想成为广泛网络安全市场领导者的公司，现在都面临着进入身份识别市场的巨大压力。

这次收购也改变了 Okta、SailPoint、Ping、Saviynt 以及其他几家独立的身份识别公司的游戏规则。它们需要完成构建端到端员工身份识别平台的工作，并找到其他差异化方式。否则，它们就需要出售。

现在，竞争白热化了。Palo Alto Networks 已经采取了行动，其在整个行业中引起的连锁反应也将同样巨大。

原文链接：

https://strategyofsecurity.com/p/the-case-for-and-against-palo-alto-networks-acquiring-cyberark

声明：本文来自安全喵喵站，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。