https://www.informationsecurity.com.tw/seminar/2021twcert/
https://www.informationsecurity.com.tw/seminar/2021twcert/

觀點

翻開資安大廠購併史

2004 / 09 / 07
邱詩琁
翻開資安大廠購併史

網路大廠思科購併資安廠商
提到網路科技業的購併,不得不令人第一個聯想到思科(Cisco),這個全球網路設備領導廠商,素以「購併」聞名,購併已經成了其企業文化之一。在現任總裁錢伯斯的帶領下,從1993年成功收購Crescendo公司後,至2004年6月為止,思科共計已完成了88件的購併案,其中自然不乏和網路安全、資訊安全相關的廠商。思科也在不斷的購併過程中,把自己推向「網路巨人」的地位。目前思科在全球67個國家已有超過400個以上的分支據點,擁三萬四千多名員工。

思科有三大企業哲學:「聆聽客戶的需求」、「掌握所有的可用技術」、「提供客戶各種不同的選擇」。併購成了思科完成自我使命的最佳方法。十年多來,思科買下了無數公司,為自己帶進先進的技術、優秀的人才,讓思科的產品線多到令人眼花撩亂,不過思科所相中的囊中物主要還是針對四大方向:無線(Wireless)、語音(Voice)、儲存(Storage)及安全(Security)。除了為人熟知的幾大天價購併案之外,思科也買下了不少擁有先進技術的資安公司。

最近期的為今年3月思科以3900萬美元收購了私人公司Riverhead Networks,主要是為了取得Riverhead所開發的防毒認證技術。同樣在3月,思科另外以500萬美元的現金收購安全技術新創公司Twingo Systems,取得Twingo的一種生產存取安全套件的關鍵技術,以鞏固外部網路的安全技術防線。思科同時也表示,在過去幾個月裡,他們不斷強化安全產品,並且為路由器增加了新的功能。

而在去年1月,思科以價值1.54億美元的股票收購一家未上市網路安全公司Okena,Okena公司雖小,卻擁有極具潛力的主機端入侵偵測及預防的技術,取得Okena技術後,思科當時提出了不同於其他廠商的「入侵預防」( Intrustion Prevention )概念,不是在網路閘道做防堵,而是在最關鍵的主機端去辨識異常的行為。同年11月,思科宣佈了和防毒大廠的合作計畫,提出了思科自我防禦網路(Self-Defending Network, NAC)的架構藍圖,其中所提到的在終端佈署Cisco安全代理程式,所指的便是來自Okena的技術。

其實回顧思科精彩的購併歷史,較早和安全發生關係的購併案要屬1997年6月以4億250萬美元收購 Global Internet Software Group,取得Centri Security Manager Windows NT防火牆技術。對於思科來說,雖然收購路由器廠商,語音、光纖技術格外重要,不過思科也明白,網路安全和網路密不可分,挾著網路設備的領導地位優勢,思科的PIX防火牆便拿下了防火牆市場的大半江山。

購併專家的購併哲學
稱思科為併購專家並不為過,不僅經驗老到,思科的併購理念也為人所津津樂道。思科旗下擁有一支專門的收購團隊,曾被媒體記者暱稱為「特種部隊」,迅速有效率的收購行動被稱做「閃電行動」。「特種部隊」的任務便是要確保被收購公司的每位員工都能進入狀況,瞭解新的職銜、熟悉新的上司;完成所有健保和其他的福利文件交接;並讓新員工瞭解公司的內部網站等。通常,思科會在併購案成交當天或之後沒多久,讓對方的產品通通換上思科標籤。購併的新公司和思科的融合當然是越快越好,「特種部隊」會讓購併完成後在數月內便步上正軌,有時甚至是數週之內。

第一次成功購併Crescendo的美好經驗,讓錢伯斯信心大增,胃口也隨之大開。「閃電行動」雖然不斷,不過皆需符合錢伯斯的購併理念。錢伯斯曾立志要在每個市場區塊中坐擁第一名或第二名的寶座,拿下每個市場區塊大餅的百分之五十,收購的公司便要有助完成這個目標。併購Crescendo兩年後,Crescendo為思科帶來了五億美金的收入。雖然連串的購併行為曾被喻為是「瘋狂大採購」,不過錢伯斯不斷強調,他並不想收購無意被合併的公司。收購過程中,他著重於贏得對方的心,而非強取豪奪。

錢伯斯認為適合收購的公司必需具備成長迅速、專業、其企業文化和思科吻合等特性。思科併購的對象多數是擁有即將橫掃市場的先進技術的小公司,員工多半為七十至一百人左右,思科內部暱稱這些對象為「思科小朋友」(Cisco Kids)。且收購的公司必須位於矽谷思科總部辦公室附近,以利新加入的員工仍能就近上班。

由此可見,錢伯斯最在乎的是「人」,雖然是為了取得先進技術,不過他明白這些技術掌控在人腦中,因此如何留住人才是他判定購併案是否成功的準則。他在接受媒體訪問時,便曾提道,這一行,要取得技術,就得吸收人才。「如果你不能留住人才,你的投資可以說是一敗塗地。…我們把這些人放在第一優先順位,注意怎麼將他們融入思科,然後再談怎麼經營。」因此,思科多半是以極其慷慨、誘人的股價交換方式留住人才。有些人甚至將被思科併購,視為買房夢想得以成真的踏腳石。

錢伯斯會讓被購併公司的高階主管繼續獲得重用,並藉此留住下面的員工。除了2001年因為網路泡沫、經濟衰退,使得思科不得不走上裁員一途外,思科從來沒有因為任何一件購併案而裁撤人員。事實上,他希望留住越多越好。錢伯斯對員工的重視和友善,讓他曾經被新聞媒體喻為「美國最好的老闆」。

下一步,思科想買誰?不僅代表可能是撼動市場的抉擇外,似乎也象徵著矽谷地區又會多了些幸運兒。

以購併來鞏固領導地位的賽門鐵克
另一位談資安購併絕不能漏掉的就屬賽門鐵克。相較於思科,以「網路安全領導廠商」為使命的賽門鐵克,其購併的公司範圍當然大部份都落在資安領域中。賽門鐵克近年很顯然地,也是欲藉由購併來完成並保住它在網路安全市場的領導地位。今年7月,它又買下了另一家反垃圾郵件廠商TuneTide,希望藉由TuneTide的多層次過濾技術強化原本的垃圾郵件過濾技術,未來將整合進賽門鐵克閘道端的安全解決方案中。在此之前,5月份時,賽門鐵克才以價值3.7億美元的現金交換購併了反垃圾郵件大廠Brightmail,隨即便推出了Symantec Brightmail Anti-Spam 6.0產品。賽門鐵克的購併歷史,反映出了資安市場、技術演進的歷程,為了在變動快速的資安市場中維持不敗,賽門鐵克當然會緊抓市場、趨勢不放。

以工具軟體起家的賽門鐵克,1998年購併了IBM防毒業務及數位免疫系統防毒技術,正式跨入企業防毒領域。1999年4月,在IBM服務長達28年的約翰?湯普森(John W. Thompson)接掌賽門鐵克公司,擔任董事會主席暨執行長職務,積極地朝「企業資訊安全廠商」定位轉型,首先喊出了「網路安全」並非僅限於「防毒」,以及「整合」的觀念,隨後便大刀闊斧地進行技術擴張,購併成了最佳方法。

賽門鐵克率先提出了「混合式威脅(Blended Threat)」將取代傳統惡意程式攻擊的概念。而2001年出現的混合式病蟲Code Red、SirCam、Nimda等利用多種管道入侵,造成全球各地災情慘重,則凸顯了它所強調的現代網路安全防護,需要的是「整合式防禦」。為了朝全方位資安廠商發展,賽門鐵克陸陸續續購併了多家資安廠商,從內容安全、防火牆、交叉比對技術、SSL VPN到目前最受關注的反垃圾郵件技術。

翻開賽門鐵克購併史,其中幾件購併案讓賽門鐵克跨入一個個新市場。1999年7月,購併URLabs獲得網路存取控制與動態內容掃描工具,正式進入內容安全領域;2000年2月,購併L-3 Network Security,取得弱點評估解決方案,正式進入弱點管理領域;2000年12月,購併當時的防火牆領導廠商AXENT Technologies,奠定了在企業資訊安全市場領導地位,今年8月亞太區產品行銷經理Robert Pregnell來台介紹賽門鐵克的「政策遵循」產品ESM時;便提到ESM早期的技術是來自AXENT。

2002年8月,賽門鐵克一口氣以現金併購了入侵偵測領導廠商Recourse、安全委外服務廠商Riptech,和弱點回應及早期預警服務廠商SecurityFocus,正式跨入入侵偵測、早期預警領域,並強化了安全委外服務(MSS)的比重。Recourse的產品現在成為Symantec ManHunt、Symantec Decoy Server產品;Ripteck則強化了賽門鐵克MSS的服務;SecurityFocus的服務已轉為賽門鐵克的早期預警服務DeepSight。

不過,賽門鐵克頻繁的收購動作除了引起市場側目外,看在另一端強調專注於各別領域研發的廠商眼裡,顯然並不看好。由於資訊安全的複雜性,有些專家、廠商認為,一家廠商不可能把所有事情都做到最好,更何況都採用同一家廠牌的產品,若產品被發現弱點而遭到攻擊,很有可能一敗塗地。且他們認為資安領域中,使用者偏好的是每項產品的領導品牌,除了代表技術的專精外,更相信知名品牌所帶來的信任、安全感。

因此,這類廠商傾向和其他廠商採取策略聯盟的合作方式,而非將他們買下。賽門鐵克雖然看似有些樹大招風,不過卻也同時強調,購併後他們投入了更大的心血在整合各項安全技術的研究上,而不僅只是換個牌子而已。以2003年會計年度來說,賽門鐵克投入研發的費用達總營收的14%。賽門鐵克亞太區企業銷售部門資深總監David Sakes便指出,賽門鐵克並不會將產品上的競爭對手視為主要的威脅。相反的,驅使賽門鐵克不斷研發精進的動力則是客戶對於網路安全日益提高的「安全」及「管理」需求,大部分的客戶希望能夠有效的整合各式各樣的網路安全投資,並使管理流程盡可能的透明化,達到「最大化保障,最小化管理」的理想境界。

因此,除了併購後顯而易見的效益:跨入新市場、減少競爭對手,大家最關心的還是技術能否完美整合,這點尚待時間來證明。

近來的資安購併案
*Juniper併防火牆領導商NetScreen

去年以來的購併案當中,另一個受矚目的購併案便屬網路設備廠商Juniper購併了防火牆/VPN、入侵預防的領導廠商NetScreen。不同於思科偏好資安領域中小而美的「思科小朋友」,Juniper跨足資安領域,一買就買下了市場的領導廠商,迅速進入市場並拿下了高市佔率。Juniper的快速整合動作亦不遑多讓,宣佈收購幾個月後,便推出了Juniper NetScreen的網路安全設備,涵括了防火牆、入侵預防、SSL VPN等產品。

Juniper表示,他們也察覺到了客戶的需求。「網路安全正逐漸發展成形,我們的客戶也經常表示網安領域是他們近年所關注的焦點。」Juniper除了以NetScreen的產品為主,並將和其他的廠商合作,來提供全方位的資安解決方案。Juniper在併購NetScreen之前,已先購併了一家路由器廠商Unisphere Networks,此次收購將他們推向寬頻遠端存取伺服器亞太區的領導地位。因此,第一次成功的購併經驗,促使了Juniper開始展開更積極的購併動作,既然非市場的早期進入者,Juniper第二次的購併,買的同樣是市場的領導者NetScreen。

Juniper並表示,目前在業務線和產品線的整合都非常順利。Juniper制定了一個30/60/90天的計劃,確保每個員工都知道哪些重要事項需要最先完成。為了結合NetScreen和Juniper的通路事業夥伴,Juniper最近還發佈了最新的J-Partner夥伴合作計畫。

*McAfee併購弱點管理廠商Foundstone

McAfee於今年8月中旬宣佈敲定對弱點管理領導廠商Foundstone的併購案,以現金8,600萬美元達成協議。McAfee表示,將結合兩者的產品優勢,提供業界第一個具備動態風險管理的解決方案。並在交易完成後,開始銷售Foundstone全系列的產品。

原名NAI(Network Associates, Inc)的McAfee,在將Magic輔助平台技術與Sniffer Technologies網路管理產品售出後,於今年7月宣佈更名為McAfee, Inc。在買和賣之間,McAfee表明了將專注於資訊安全領域的新定位,並以去年購併知名廠商IntruVert所取得的IPS產品和技術為主力。而以往包含防毒軟體、IPS產品的網路安全產品線品牌名McAfee,因為比公司名還響亮,因此更名為McAfee,NAI名號也就此於資安市場中消失。

*CA收購反間諜軟體廠商PestPatrol

組合國際電腦CA今年8月宣佈收購了反間諜軟體(anti-spyware)廠商PestPatrol。PestPatrol產品將納入CA eTrust安全產品線旗下,以CA eTrust PestPatrol的名稱在市場銷售,並將納入eTrust Treat Management軟體組合中。以往由PestPatrol研究中心所提供的電腦用戶有關刪除惡意程式和預防感染的免費諮詢服務,將併入CA的安全諮詢服務當中。

CA董事長王嘉廉素有「購併大王」之稱,CA以「儲存」和「安全」做為公司產品的兩大主軸,CA旗下產品眾多,被比喻為是企業軟體市場中的「微軟」。不過CA輝煌的購併歷史當中,多數和安全產品線的關係不大。CA表示,eTrust底下完整的防毒、防火牆、入侵偵測、弱點管理等解決方案,多是自行開發。

*F5收購Web應用防火牆廠商MagniFire

安全應用流量產品領導廠商F5 Networks則於今年5月31日和Web應用防火牆廠商MagniFire WebSystems簽署股票交換協定,F5以2,900萬現金買下MagniFire的100%股票。F5表示,MagniFire在市調機構Gartner 2003年下半年的企業防火牆Magic Quadrant中被列為「遠見者」(visionary)。因此,F5相信收購MagniFire後,對於目前被熱門討論的應用層防火牆產品市場,F5已經取得了極為優渥的籌碼。

F5去年買入了另一安全廠商uRoam以及其FirePass SSL VPN產品,再加上此次的收購,可見F5欲藉由購併,一步步補足遠端存取解決方案的安全能力。FirePass產品可提供使用者存取應用時的保護,而TrafficeShield產品則能確保只有合法的流量才能抵達Web應用程式。F5並會將它們整合進其應用流量管理(Application Traffic Management)架構中。

*SafeNet和 Rainbow合併

另外,今年3月完成合併程序的SafeNet和 Rainbow,合併後以在那斯達克市值較高的SafeNet為名。兩家公司合併的特殊點在於,去年收購了SSH的SafeNet,為上游安全晶片的設計製造者,並提供開發安全產品的開發工具(Toolkit);Rainbow則是以資訊安全的硬體產品聞名,因此合併後的SafeNet成了結合了上游的晶片設計,至下游的安全成品的公司,屬於資安業界少有的縱向併購例子。客戶群也因此囊括了晶片、開發工具所面對的製造業、資安廠商,及成品銷售的一般企業客戶。

SafeNet亞太區副總裁陳泓表示,購併當然是希望一加一能夠大於2,而SafeNet期許的是,結合Rainbow後,可以一加一大於三。此次購併,對於向來在亞太區著墨不深的SafeNet而言,也可藉由Rainbow以往在亞太區的員工和知名度,更快速地進入亞太市場。

資安購併以「技術導向」為多
一般企業併購可大致分為,版圖導向或技術導向。版圖導向的購併是為了擴張市場版圖,因此購併主要的考量點是,被併公司的營收高低及公司的客戶人數,因為看重的是購併公司所帶來的客戶數,因此合併之後,常見大幅的裁員動作,以避免資源的重複浪費,他們要的是「客戶」。

另一種為技術導向,是為了獲得新技術以加速進入市場。由於技術存在於人腦之中,因此評估的方向是對方公司有多少員工,而留住這些員工才算取得了先進技術和未來發展。所以多是採取換股的方式,留住員工來為新公司繼續效力。思科的多起購併案便是如此,錢伯斯便曾表示:「我們每次的收購在每個人身上都花上五十萬到兩百萬美元,可以說是天價。如果你沒有留住這些人,就等於讓你的持股人和客戶蒙受巨額損失。」

在資安領域中,為了取得新技術,一般以換股方式較為普遍,當然也有以擴張市場版圖為主要目的者,採取現金購買方式的也不少。

購併成效留給時間證明
在購併、結盟新聞不斷的年代,廠商的分分合合仿若一齣齣戲碼,因此也常被比喻為婚姻關係,錢伯斯也曾說:「購併成功的關鍵在於選擇,就像結婚一樣,如果只約會一次就結婚,婚姻不太可能圓滿。如果你知道擇偶條件,並花很多時間研究和追求,成功機率就會提高。」而我們在看待這一齣齣戲碼時,也有如霧裡看花,檯面上的把手言歡,不代表下台後能和平共處。底下也許暗潮洶湧,購併畢竟不是一件簡單事,即使思科「特種部隊」已經將購併企業化,甚至流程化了,他們仍得謹慎地看待每次的行動。

不管是內行人還是外行人,看門道還是看熱鬧,有時事情難以預料,婚姻是兩家人的結合,購併是兩家公司、無數人的結合,人員會帶來許多的變數,只能說時間會證明一切。思科當年要收購交換器廠商Crescendo時,股票分析師也不看好,甚至因此導致了思科有史以來第一次的股票下挫。但隔年7月,思科賺到了第一個10億元的年收入,比前年足足多出了一倍。

賽門鐵克當初購併Riptech和SecurityFocus時也不被看好,Riptech提供的是管理服務和資料分析及管理平臺,當時有人認為想要同時扮演好產品和服務的供應商並不容易。不過現在看來,資安業者越來越強調服務,提供專業良好的「服務」是促成產品購買的利器,也是拉開和同業產品削價競爭的方法。SecurityFocus則是因為原本是世界各地資訊安全組織和網路好手提供情報、交換資訊的社群管道,變成了網安大廠的囊中物,彷彿讓它變了味。

賽門鐵克資深總監David Sakes認為,如果只是為了提昇市占率或破壞競爭,則購併後的整合很容易產生問題。若有全面性的政策及清楚的展望,才能克服購併所帶來的挑戰。

留意這些廠商動向,除了你也可能是股東之一外,若身為產品的採購者,你還得留意你信賴的品牌怎麼消失不見了?後續的維護服務將由誰接手?產品採購窗口是否易手?現在廠商明白,若是收購一家品牌知名度不低的產品,可別太早改換了牌子,消費者可是會認牌的。多半是保留其原來品牌型號,再將自己公司名冠在前面,猶如冠夫姓般。另一點是,若你正在為資安廠商效力(外商的可能性較高),你希望被買嗎?你希望誰是那位買家?想想,若是可以現賺一棟房子,筆者也願意接受新的企業文化、搬到新的辦公室、認識更多的合作伙伴。(當然我知道這不會發生在我的身上。)

購併後人員如何整合?
針對科技購併中,最重要的留住人才,並進行人力整合方面,人員評選可分為四種方法:「接管法」、「變革法」、「第三方評介」、「揭榜法」。

採用「接管法」和「變革法」時,會採用「優勝者勝出」的方法,由新的主管或兩家公司原先的主管來做人員的評鑑和挑選;「第三方評介」是由中立的第三方機構,通常是獵人頭公司,採用面試或360度反饋的方式來進行人力評估,雖然較公正客觀,但耗費的時間不少。「揭榜法」則是指在兩家公司內部對所有空缺職位公開招聘,任何員工都可申請,但此法也相當耗時,且被認為會破壞了員工發展的延續性。

併購後的前100天被認為是整合的黃金期,若不妥善處理人力問題,恐怕求才網站上的履歷表會暴增,其他同業也可能虎視眈眈地想當那隻「黃雀」。在此期間內需完成的工作包括:規劃新的營運策略、訂定執行新營運策略的核心能力、調整組織架構、建立互信的領導團隊、建立績效管理制度、整體獎酬制度,以及建立自動化的人才資產(eHR)系統等。

企業購併的考量點
企業在進行購併決策時通常會考慮以下幾個層面:

1.被購併企業的資產是否有利用價值,是否有利於增強企業的資產實力。 2.被購併企業的市場、銷售管道、品牌是否可被利用,是否有助於增強企業的經營實力。以上這兩點是最常見的購併動機。

3.被購併企業的人才價值,是否有利於增強企業的人員實力。

4.被購併企業是否有先進的前景,看好的專有技術或產品,是否有利於增強企業的知識實力。第三點或第四點事互為關聯的,而有的案例是,有些企業是為了重金挖創新人才過來,若挖角不成,乾脆買下了整家公司。

5.被購併企業是否有可供利用的先進的管理方法、管理概念等,是否有利於增強企業的管理實力。


其他,比較非科技業購併所考量的主要重點還包括:

6.被購併企業獲取原材料的渠道是否可被利用,或被購併企業是否可進入企業上下游的產品鏈。

7.是否能帶給企業實質性好處的優惠政策可供利用,是否有獲取社會資源或開展專門業務的特殊權力,例如上市融資權等。