ServiceNow 77.5 億美元收購 Armis：雲端資安態勢管理新局

2024 年 3 月，ServiceNow 宣佈以 77.5 億美元收購 Armis，標誌著雲端資安領域一次重要的戰略擴張。Armis 以「零接觸」設備可見性與即時威脅情境為核心，專注於管理 IoT、OT 與傳統雲端環境中的非傳統設備。此併購不僅為 ServiceNow 的 ITSM 生態系帶來更完整的安全管道，也為企業 CSPM（Cloud Security Posture Management）提供全新視覺化與自動化能力。

Armis 的核心技術與 ServiceNow 的互補

零接觸設備可見性：Armis 透過行為分析、協議解析，無需代理即可識別數千萬級設備（PC、OT、工控、IoT）。
即時威脅情境：結合威脅情報，將設備行為映射至 ATT&CK 技術，提供可操作的安全洞察。
自動化修復：與 ServiceNow ITSM 互動，可在「安全事件」流程中自動產生工作項、執行腳本或觸發修復工作流。

ServiceNow 的 ITSM、ITOM 與安全运营平台（Security Operations）已成為企業運維與安全協同的標準解決方案。將 Armis 的設備可見性注入其中，企業能在一個平台上完成「發現 – 評估 – 回應」的全流程，減少跨系統切換所帶來的延遲與錯誤。

對企業 CSPM 的影響

1️⃣ 擴展可見性：傳統 CSPM 主要聚焦雲服務配置（S3 bucket、IAM 等），Armis 的設備層面覆蓋能將可見性延伸至工控網路與邊緣設備，降低零日攻擊窗口。

2️⃣ 自動化修復：Armis 的「安全情境」可直接映射至 ServiceNow 的「安全工作項」，讓工具自動啟動修復腳本，縮短平均回應時間（MTTR）。

3️⃣ 合規與治理：合併後的報表可同時呈現雲端配置與設備安全合規狀態，協助企業滿足 ISO 27001、NIST 800‑53 等標準。

MITRE ATT&CK 對應

T1046 – Network Service Scanning：Armis 可偵測網路服務變化，及時揭露未授權服務。
T1087 – Account Discovery：透過協議分析，識別非授權帳號或服務帳戶。
T1135 – File and Directory Discovery：監控設備上的檔案結構變更，偵測惡意檔案植入。
T1140 – Deobfuscate/Decode Files or Information：對可疑檔案進行解碼，評估是否為加密或隱蔽的惡意程式。

實務落地建議

在 ServiceNow 平台中啟用 Armis 連接器，確保「安全事件」工作項與「IT服務」工作項能同步更新。
設計多層安全檢測規則：結合雲配置、網路流量與設備行為，提升偵測率。
將 Armis 報表整合進 SOC Dashboard，讓安全分析師一眼即可看到跨平台的威脅狀況。
定期評估合併後的資安治理框架，確保符合最新法規與行業標準。

結論

ServiceNow 收購 Armis 不僅是一次資本市場的震撼，更是企業在「雲端 + 物聯網」環境下安全治理的關鍵一步。透過雙方技術的深度整合，企業將擁有從雲端配置到邊緣設備的全景可見性與自動化修復能力，進一步實現零接觸安全與快速回應。未來，隨著 IoT 與 OT 的持續擴張，這樣的整合將成為企業數位化轉型不可或缺的基礎。