放棄大廠收購幻想!網安初創退出路徑剖析
責編:gltian |2024-08-13 14:49:25許多關于安全行業退出的討論,都以”XX大廠會收購他們”而告終。然而,初創企業退出的實際情況,要復雜得多。
要想了解并購情況很難,主要原因是缺乏關于被收購公司和最終倒閉公司的可靠數據。大多數資本募集都伴隨著新聞稿和響亮的公告,創始人在公告中吹噓是哪家風險投資公司主導了本輪融資,哪些著名投資人、天使投資人或財團加入了本輪融資,以及公司的估值是多少。但退出的情況并非如此:許多初創公司被收購,但收購金額”未公開”,而那些倒閉的公司通常會悄無聲息地消失,沒有任何公告。
由于數據通常難以獲得,這篇文章的很大一部分內容將基于觀察,而不僅僅是確鑿的數字。不過,盡管存在信息真空,但關于網絡安全初創企業退出的討論早就該開始了。
先說顯而易見的事情
99.9%的網絡安全初創企業不會上市
另一個殘酷的事實是,大多數網絡安全初創企業永遠不會通過IPO上市。
正如Venture in Security之前所討論的,”雖然大多數人認為上市意味著像你我這樣的個人可以在證券交易所購買公司股票,但實際上,在IPO期間購買股票的是機構投資者–投資銀行、捐贈基金、養老基金等。要讓他們投入資本,他們需要確定性:比如說,當捐贈基金想下高風險賭注時,它就會投資風險投資公司;而購買上市公司的部分股份,則需要更高的確定性和合理的增長預測。一家公司要上市,通常需要年收入超過1億至1.5億美元,并且每年都有大幅增長。
Blossom Street Ventures調查了公司上市所需的增長速度,發現”這些公司的收入中位數比上年增長43%,平均增長51%”。例如,CrowdStrike在上市時同比增長110%,Zscaler同比增長57%,Snowflake同比增長174%。根據同一份報告,總體收入的中位數為1.68億美元,而平均值為2.86億美元(McAfee等公司的平均值有所偏高,其收入為26億美元)”。
自CrowdStrike和Palo Alto等重量級公司上市以來,時代也發生了巨大變化,技術和投資方法的變化標志著不同的時代。
在2012年至2020年的”高燒錢/高增長”時期,公司可以進行IPO,但在如今的”支出管理”時代,這種做法已行不通。2.5億至5億美元的ARR收入取代了之前1億至1.5億美元ARR的上市基線。這一轉變是2022年底全球加息和市場調整的直接結果,詳見《安全回報2022年年度報告》。
毫不夸張地說,絕大多數網絡安全公司都沒有達到這些指標的途徑,因此他們需要尋找其他的出路。
Palo Alto不會收購所有不進行IPO的人
我們經常看到初創企業創始人和行業觀察家猜測Palo Alto會收購任何公司。如果說歷史至少可以在某種程度上預測未來事件的話,那么在我們看來,大多數抱有這種一廂情愿想法的人顯然都錯了。只要稍加留意就會發現,Palo Alto Networks從歷史上看只收購位于灣區的初創公司,或者那些創始人是以色列人(總部位于特拉維夫或紐約)的公司。在公司長達十年的收購歷史中,有一次例外是收購了位于弗吉尼亞州的服務公司Crypsis Group。Palo Alto公司對收購的初創公司的整合能力非常重視,不僅在技術/產品方面,而且在地理位置/文化方面。
Palo Alto對并購的標準也非常明確和透明。以下是Nikesh Arora在公司的一次財報電話會議上對并購計劃的描述:”我們已經成功收購了在鄰近和新興網絡安全市場處于領先地位的公司。很多時候,在這些市場中,我們在早期已經做出了有機努力,但我們看到外部創新可以大大加快我們的上市時間。我們的目標是已經實現產品市場契合的公司,其團隊可以在Palo Alto Networks內部加速創新。收入并不是我們關注的重點,但我們確保有一個堅實的計劃來加速我們的業務發展。
簡而言之,該公司通常會在一些品類的早期階段收購新興的領先企業,因為這些企業需要以比自建公司更快的速度進入市場。當然,由于Palo Alto公司在以色列和加利福尼亞州都設有辦事處,他們盡可能在現有的大本營內進行擴張也是合情合理的。目前還沒有跡象表明這種情況會很快改變。加利福尼亞州以外的公司或與以色列沒有緊密聯系的公司可能需要考慮其他收購者。
拋開這兩個假設,讓我們來討論一下網絡安全初創企業退出的有趣之處。
大多數初創企業的并購并不像很多人想象的那么美好
很多人認為,收購自動意味著初創企業成功地解決了問題并積累了滿意的客戶,買家認可了產品的價值,創始人、員工和投資者都將獲得回報。事實并非如此。
在初創企業的世界里,我們學會了把失敗當作成功。我們并不認為這一定是錯的:畢竟,當人們多年來投入大量工作時,他們希望慶祝成果,即使這些成果沒有達到他們自己、客戶和投資者的期望。問題是,在外人看來,成功和失敗往往是一樣的。
殘酷的現實是,大多數在社交媒體上被譽為成功的收購其實并不成功。其中許多交易都是火速出售和收購,無論是創始人還是投資者,更不用說員工了,都不會看到一分錢。
就數字而言,并購的正面故事往往與新聞稿的說法不同。
未披露交易
并購成功與否有很多細微差別,但有一條簡便的捷徑可以識別不成功的并購:尋找”未披露金額”的并購。
根據Return on Security的數據,從2022年到2024年第二季度末,共有648宗網絡安全退出交易。未披露交易是常態。
在這一時期,85%以上的交易都是私下進行的,這限制了業界分析交易結果質量的能力。這在大多數情況下是有意為之,因為經濟學并不總是積極的,許多因素決定了創始人或投資者從交易中獲得什么。在信息披露規范得到改善之前,我們只能根據一小部分可能不具代表性的交易進行猜測。
未公開的交易可能意味著以下幾種情況之一:
- 退出價格很低,因此公司創始人和投資者堅持不披露金額。這通常能讓他們保持成功的感覺。在這種情況下,買方并不一定關心交易金額是否公開,所以保密是由創始人和投資者一方推動的。
- 由于是”緊急出售”,包括收購方在內的所有相關方都希望保守秘密,不透露他們為倒閉公司的資產支付了多少錢。
期望與現實
公司籌集到多少資金是一系列期望的結果,這些期望有的實現了,有的沒有實現。并購交易是一種信息交換功能,在市場中起著中介作用。收購價格部分基于業績,部分基于可用市場的未來潛力,部分基于公司的內在動力和商譽。
雖然大多數數據都沒有公開的收購或投資數據,但我們可以利用一些數學知識來幫助我們更好地理解現有數據。
為此,我們將引入一個視圖,幫助我們了解退出的價值。
退出價值百分比(EVP)公式
這個公式計算的是一家公司籌集到的資金與后來被收購的金額之間的百分比差。雖然這不是一門精確的科學,但可以讓您快速了解公司層面的投資回報率(ROI)。這個公式可以幫助您快速評估公司的預期或未來成功的承諾是否已經實現。
如果是正數,您可以迅速評估,總體而言,預期得到了滿足。如果是負數,則表明公司及其投資者(很可能還有客戶)的結果并不理想。
從一些備受矚目的并購交易中,我們可以看到這一公式的作用:
如果這一分析能告訴我們什么,那就是私募股權投資公司才是網絡并購領域真正的贏家,而不是創始人。
擁有良好退出機制的公司往往比許多人意識到的更具吸引力
Bessemer的”2024年網絡安全趨勢”報告指出:”反思過去一年價值超過1億美元的收購,我們觀察到兩個主要趨勢:(1)大多數被收購公司的客戶在10到50家之間,主要針對其團隊和產品;(2)過去一年,”純產品”公司的收購價格有所上升,中位數約為2億到3億美元。
沒錯,許多以1億美元或更高價收購的公司都擁有10-20個客戶。同樣有趣的是他們的收入。顯然,沒有公開的數據,但有傳言–因此投資者和競爭對手通常對被收購公司的收入有一定的了解。在以超過1億美元或更高價格退出的公司中,許多公司的ARR收入為100-500萬美元,有些甚至不到100萬美元。
在網絡安全領域,以1-3億美元的價格被收購是一項偉大的成就。這通常意味著創業者善于了解客戶痛點,打造能夠解決這些痛點的產品,并向早期用戶銷售。有時,這類交易需要運氣,但更多時候,它們并不能說明創始人擅長建立和擴展大規模、可持續的企業。綜上所述,很難說網絡安全初創企業的收購是成功的標志。
收購的財務結果
再看一下公開數據,我們發現正態分布開始出現。一半以上的交易額在1億至2.5億美元之間,其中23%在1千萬至1億美元之間,15%在1億至2.5億美元之間,14%在2.5億至5億美元之間。
在高端領域,我們看到了一個”肥尾”,出現了大量異常值。在披露的數據中,超過5億美元的交易占30%,其中23%的交易在10億美元到100億美元之間。
雖然現有數據表明,退出金額集中在1,000萬至2.5億美元的范圍內,但我們不能確定這是否反映了全部退出情況。85%的未披露交易可能會完全改變真實的分布情況。
Bessemer的報告還明確指出了另一個事實:除了總部位于英國的Tessian公司外,過去一年中所有價值超過1億美元的收購都來自以色列。有趣的是,Tessian公司的收購價格并未披露,因此Bessemer最后也只是用“??”來代替。
Source: Bessemer’s “Cybersecurity trends in 2024”
收購并不意味著任何人都能賺到錢
另一個常見的誤解是,收購意味著投資者、創始人和員工的發財日。這與事實相去甚遠,因為每種情況都是獨一無二的,因此每個人的財務結果也是獨一無二的。例如
- 如果公司被收購(即通過緊急售賣收回一些資金),投資者可能只得到幾分錢,而創始人和員工將一無所獲。
- 如果公司財務上不成功,而且被收購的價格低于上一輪估值,風險投資人可能會行使清算優先權(假設他們在籌款時已經獲得了清算優先權),這樣他們就可以收回原來的投資,或者是原來投資的幾倍。創始人將獲得第二份報酬,而員工持有的股票可能所剩無幾。
- 如果公司是現金收購,那么事情就簡單多了。大多數金額未公開的收購并非如此。相反,創始人和員工用自己的股票換取收購公司的股票。如果收購公司也是私營企業,就無法知道最終的財務結果會是怎樣。
許多并購并不能立即帶來收益,大多數并購也不可能對個人財富產生有意義的影響。影響并購結果的因素非常多,從外部根本無法判斷具體并購交易中誰賺了誰賠了。清算偏好、初創企業籌集的資金數額、收購類型、是現金、股票還是兩者的混合、不同股東群體擁有的股份類型,這些只是必須考慮的部分因素,但還有更多因素。
服務企業引領潮流
說到網絡安全行業的并購,50%以上的情況是一家服務型企業收購另一家服務型企業。最常見的是托管安全服務提供商(MSSP)或專業服務企業之間的相互收購。
風險投資通常對服務型公司持謹慎態度,因為它們不像產品型公司那樣具有收入構成或一致性。這類企業因不具備”風險規模”而聲名狼藉。
然而,服務占據了該行業銷售額的大部分。根據埃森哲和Gartner的報告,2023年埃森哲的安全專業服務收入最高,達37.6億美元,安全托管服務收入最高,達22.3億美元。
即使是財務上成功的收購,最終也往往會扼殺產品的生命力
正如《哈佛商業評論》所指出的,”根據大多數研究,70%到90%的收購都以失敗告終。對于這個令人沮喪的數字,大多數解釋都強調了并購雙方的整合問題”。
網絡安全并購也不例外。買方平臺與被收購產品之間的整合不足,文化、價值觀和規范之間的沖突,以及其他問題都可能導致并購交易無法實現股東價值。很多優秀的網絡安全產品最終在并購后夭折。不同的創始人對此會有不同的反應:對有些人來說,這完全沒有問題,因為那時他們已經套現,很可能早已離開收購他們初創公司的公司;而有些人則對自己花費多年打造的產品被砍掉感到憤恨和傷心。
結束語
創業很難。我們遇到過很多聰明、勤奮、有遠見的創始人,他們做了所有正確的事情,但仍然失敗了。還有一些人似乎萬事俱備,卻因為運氣、機遇、市場趨勢的逆轉或其他原因而獲得成功。
有抱負、處于早期階段的創業者和市場業內人士需要對大家都在慶祝的并購保持現實的態度。并非所有發布了新聞稿的交易都是成功的,也并非每筆高額交易都能為客戶、創始人、投資者、員工和整個行業帶來巨大的收益。
原文鏈接:
https://ventureinsecurity.net/p/palo-alto-isnt-going-to-buy-everyone