ServiceNow准备大战Palo Alto、CrowdStrike、思科、Zscaler还有微软

在过去几个月里，ServiceNow 接连宣布了两笔重量级收购：以超过 10 亿美元收购 Veza，以及以 77.5 亿美元收购 Armis。

后者不仅刷新了 ServiceNow 的并购纪录，也成为这家市值约 1500 亿美元、却并不以安全厂商著称的公司的最大一笔收购，颇为引人注目。

不少人据此认为，ServiceNow 正试图转型为一家安全厂商，但这种解读并不准确。更合理的理解是：ServiceNow 押注的是“工作流引力（workflow gravity）”，希望借此在网络安全领域占据关键位置。本文将尝试解释 ServiceNow 这一步棋的核心逻辑，以及为什么这一策略有现实机会让它成长为网络安全领域的重要参与者。

工作流引力效应（Workflow Gravity）的概念

要理解 ServiceNow 正在推进的这套战略，首先需要理解什么是“工作流引力”，以及它为什么重要。

如果你读过我之前关于“控制点（control points）”的深度分析，这一部分听起来会非常熟悉；如果没有，这里简单交代一下背景。网络安全的每一个职能领域，几乎都有一个高度集中的系统，绝大多数实际工作都会在这个系统中完成——我把它们称为“控制点”。例如，安全运营的核心几乎完全围绕着SIEM展开；而在身份领域，像 SailPoint 这样的身份治理平台，事实上已经成为企业身份体系的“操作系统”。

如果把视角稍微拉远，从企业整体来看，就会发现“工作发生在哪里”，主要由两个因素决定：数据引力和工作流引力。

我之前已经多次谈过数据引力。虽然提出这个概念已经过去多年，但它今天依然同样成立。简单来说，当某个系统成为某一职能领域的“记录系统（system of record）”，大量数据被集中到同一个平台后，这个平台就会自然吸引更多数据，形成一个自我强化的飞轮效应。以任何一家 SIEM 为例：企业向 SIEM 输入的数据越多，能获得的洞察就越丰富，也就越有理由把更多数据继续送进同一个系统。时间一长，就可以在这些数据之上叠加更多能力——尤其是在安全领域，本质上我们做的很多事情，只是对同一批数据进行不同方式的分析与关联。

而工作流引力关注的不是数据，而是“行动发生在哪里”。当一个系统成为实际工作的承载平台（system of action），并以此为中心，把更多工作不断吸纳进来，就形成了工作流引力。Splunk 在企业数据集中化方面取得了成功，而 ServiceNow 则几乎拿下了“企业 IT 操作系统”的位置。它已经成为一个真正的企业级“行动系统”，在统一的数据和 AI 体验之上，直接嵌入到具体工作流之中。

这是一个极其强势的位置。因为一旦掌握了工作的流转路径，就意味着可以影响、并最终主导决策是如何被做出的。

工作流引力如何形成飞轮效应

工作流引力之所以如此强大，一个关键原因在于它天然会形成飞轮。

首先，各类工作被集中到同一个平台中：事件、变更、审批、例外、任务、证据……所有这些都会沉淀为统一工作流系统中的记录。系统使用得越多，积累的上下文就越丰富。这些上下文以各种形式存在——变更历史、讨论评论、关联链接等。ServiceNow 中沉淀着海量历史信息，从“是谁发起了什么请求”，到“三年前为什么某个人需要访问某个新应用”，几乎一应俱全。每一次操作都会留下痕迹，而在绝大多数大型企业中，这些痕迹基本都集中在 ServiceNow 里。

当一个系统积累了如此多的业务与技术上下文，以及关于“什么在何时、以何种方式、出于什么原因发生变化”的完整历史之后，就具备了自动化分流、派单、优先级判断、审批和处置的能力——这是单点工具很难做到的。自动化程度越高，原本还游离在这些集中系统之外的工作，就越有动力被拉入同一套工作流之中，因为大部分实际工作早已在那里发生。

网络安全是工作流引力的理想落点

网络安全具备三大特征，使它天然就是一个“以工作流为中心”的领域。

首先，安全天生是跨职能的。几乎所有安全职能都嵌入在某种业务流程之中：云安全影响云工程，应用安全影响软件工程，身份安全横跨身份体系与 IT 运维，等等。以身份与访问管理为例，当用户提交工单申请访问某个应用时，必须有人对请求进行审查，确认是否符合策略与风险标准，再决定是否批准。流程结束后，用户获得相应权限，而整个过程会被完整记录，作为未来审计的证据。

其次，安全是一个持续性的过程（或者说，本应如此，尽管仍有不少企业停留在只依赖周期性检查的旧思维中）。仍以身份为例，仅靠季度复核来确认“对的人是否拥有合适的权限”并不够（尽管这种复核依然必要）；企业还需要确保每一次访问请求都经过评估，并充分理解每一次变更所带来的风险影响。

最后，安全是一门以“证据”为导向的学科。每一次变更都必须被记录下来，并附带清晰的风险判断和决策依据，以满足审计要求。正因为 ServiceNow 承载着企业的工作流，它也自然成为审计证据的集中地。这同样意味着，对于那些通过自动化或智能代理来减少人工 GRC 工作的企业来说，ServiceNow 本身就是一座数据金矿——当然，这已经是另一个话题了。

ServiceNow：以“看-判-行（See, Decide, Act）”为核心，吸纳安全品类的独特路径

在竞争激烈、利润丰厚的网络安全市场，从来不缺野心勃勃的参与者。几乎每一家都在围绕自身最核心的优势，寻找通往“安全平台化”的路径。

Palo Alto 起家于防火墙，如今几乎覆盖了安全的所有主要领域，近期通过收购 CyberArk 更是补齐了身份安全版图。本质上，Palo Alto 依托网络安全业务带来的充沛现金流，构建了一个广度和深度兼具的安全产品组合，并持续向市场推动“平台化”叙事，而市场也给出了积极反馈。

Cisco 是收购安全公司数量最多的厂商之一。它最初依托深厚的网络基础，通过网络业务的现金流推动安全扩张。随着收购 Splunk，Cisco 也开始拥有数据引力这一关键优势。值得注意的是，Cisco 的策略始终不同于 Palo Alto：它并不强求将被收购公司整合进一个统一平台，而是让它们相对独立运作，同时享受全球化巨头所能提供的资源与渠道。

Microsoft 则凭借“打包（bundling）”策略取得了巨大成功，让企业在原本就高度依赖其 IT 体系的前提下，自然地将大量安全能力整合到同一家厂商之中。

CrowdStrike 以终端安全这一最大细分市场之一为突破口，逐步向相邻安全领域扩展，过去十多年的高速增长已经充分证明了这一路径的有效性。

Zscaler 则依靠对网络流量的深度检测能力，不断叠加各类安全服务，成长为全球领先的安全厂商之一。近期，它通过收购 Red Canary，正式切入安全运营领域。

可以看到，所有这些“冠军候选人”都在利用不同的优势，以不同路径，追逐同一个目标。

ServiceNow 的不同之处在于，它拥有一套极为独特的优势组合。其核心能力并不在于某个具体的安全技术，而在于将跨团队、混乱而碎片化的工作，转化为可度量、可治理、可自动化、可规模化保障的结构化工作流。需要强调的是，ServiceNow 的安全野心并非新近才出现：多年来，它已经在安全运营领域持续布局，例如事件响应、漏洞管理等，并且在连接各类安全工具、提升响应效率方面积累了良好口碑。截至目前，ServiceNow 已收购了六家与安全、合规和风险管理相关的公司：Intréis（2015）、Brightpoint Security（2016）、Fairchild Resiliency Systems（2019）、Mission Secure（2024）、Veza（2025）以及 Armis（2025）。

真正不同的是这一次战略重心的变化。过去，ServiceNow 更多是“对接”安全工具；而现在，它采取的是更为激进的做法——直接收购安全领域中“可见性 + 优先级判断”开始发生的那些控制点。

Veza 和 Armis 的收购，把这一点展现得非常清楚。这两家公司都与“引力模型”高度契合。身份相关的决策会持续产生大量工作：访问申请、访问复核、例外管理、整改处置——这正是 Veza 深耕的领域。从安全角度看，身份问题的答案从来不只是“发现”，而是审批、执行和证据留存的结合，这天然属于工作流范畴。

Armis 则是一家暴露面管理平台，而暴露面管理可能是安全领域中“最适合被工作流化”的输出：被排序后的风险，明确需要采取行动——分派责任、修复、补偿性控制、例外处理等。两者都会产生大量跨组织协作：身份安全牵涉员工、IT 与安全团队；OT / IoT / 医疗设备安全则涉及设施管理、生物医疗、IT 与安全等多个部门。

简单来说，Veza 帮助 ServiceNow 掌控“谁/什么可以访问什么”，而 Armis 帮助它掌控“企业里到底有什么资产，以及它们有多危险”。这两个都是极其上游的决策节点，会向下游输送几乎所有后续安全动作。

因此，这些收购显然不是为了多增加几个安全 SKU，而是在搭建一个“安全决策发生并被执行的平台”。从结构上看，可以将其理解为 ServiceNow 正试图掌控的三层体系：看（获得安全可见性）—判（理解影响、排序、治理）—行（通过工单和工作流落地执行）。而“行”，正是 ServiceNow 最擅长、也最具引力的核心。

数据或许是新的石油，但被 AI 代理重新定义的，是工作流

人们常说，在 AI 时代，数据就是新的石油。这一点我并不反对，但这里有一个经常被忽略的细节。高质量数据的重要性并不是今天才出现的——早在十多年前，随着数据科学和机器学习在技术圈普及，这一点就已经非常明确。AI 代理的出现，并没有本质性地改变数据的重要性，它真正放大的是工作流的重要性。

当下这一代 AI，尤其是 AI 代理，使得大量过去必须由人来完成的工作具备了被自动化的可能性。当下最具颠覆性的创新，其实发生在工作流层面。而放眼全球，没有任何一个系统承载的企业级工作流数量，能与 ServiceNow 相提并论。正因如此，在我看来，ServiceNow 是最有可能从 AI 代理浪潮中受益的平台之一，包括在安全工作流自动化方面。

结语

我认为，ServiceNow 的这套战略不仅对公司本身而言是一步极其聪明的棋，对整个行业来说也可能是利好。我们常常谈“安全内生（security by design）”，强调在产品设计之初就把安全嵌入进去。这当然是一个值得追求的方向，但即便真的实现了（坦率说，我对此并不十分乐观），其实际影响也未必如很多人想象得那么大。

大多数安全风险并非源于产品设计不当，而是源于组织本身的复杂性。既然全文多次以身份为例，这里也不例外。问题并不在于应用天生就存在身份认证和授权缺陷，而在于当系统规模上升到企业级时，把这些事情持续、准确地做好，难度极高。

我们都读过类似的报告：超过 99% 的安全事件将源于配置错误。我坚信这一判断是正确的——如果不是已经发生，那么也正在发生。如果真想解决企业安全的根本问题，就必须找到一种方式，把安全真正嵌入到企业的日常工作流之中。在这件事上，我想不出还有谁能比 ServiceNow 更具优势。

如果它能打好手中的牌，并充分利用 AI 带来的杠杆效应，ServiceNow 完全有可能重塑网络安全的实践方式。

原文链接：

https://ventureinsecurity.net/p/servicenow-is-betting-on-workflow

声明：本文来自安全喵喵站，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。