并购价格 01
$7.75B 尽调报告
Armis Security
并购尽调 — ServiceNow / Armis Security($7.75B,交割 April 2026)
Armis 是 CPS 防护领域的 Gartner MQ 领导者,拥有 35+ Fortune 100 客户、$300M+ ARR 和 50%+ 同比增长;ServiceNow 以 23x ARR 收购,价格合理,但这家高增长平台龙头仍面临整合和 OT 深度风险。
封面要素
交割时 ARR 02
~$340M ARR 倍数 03
~23x ARR 增长(YoY) 04
>50% Fortune 100 客户 05
35+ NPS 06
70 累计融资 07
~$1.17B 员工人数 08
~950 公司概况
Armis Security 由 Yevgeny Dibrov(CEO)、Nadir Izrael(CTO)和 Tomer Schwartz 于 late 2015 创立,是一家网络安全平台公司,专注无代理网络暴露管理。旗舰产品 Armis Centrix™ 以被动方式发现、分类并监控所有联网资产——IT、OT、IoT 和 IoMT——无需部署代理或主动扫描器。平台由 Armis Asset Intelligence Engine 支撑,全球跟踪 7 billion+ 台设备,可在融合型企业环境中提供实时风险排序、漏洞管理和威胁检测。ServiceNow 于 April 2026 以 $7.75 billion 收购 Armis,将 Centrix 定位为 ServiceNow 企业平台中的网络暴露管理层。
- 成立时间
- 2015-10-01
- 创始人
- Yevgeny Dibrov, Nadir Izrael, Tomer Schwartz
- 创立地点
- Tel Aviv, Israel
- 总部
- San Francisco, CA (global HQ); Tel Aviv, Israel (R&D center)
- 产品
- Armis Centrix™ 是面向网络暴露管理的云原生 SaaS 平台。模块包括:资产管理与安全(CAASM)、OT/ICS 安全(借助 OTORIO Titan 支持本地 / 隔离网络)、医疗设备 / IoMT 安全、漏洞管理检测与响应(VMDR)、应用安全,以及 Early Warning(威胁情报)。平台通过 REST API v3 和 Python SDK 接入 200+ 个安全与 IT 工具(SIEM、SOAR、ITSM、NAC、CMDB)。
- 客户
- 面向医疗、制造 / OT、金融服务、联邦政府、能源 / 公用事业和教育等领域的大型企业与关键基础设施运营方。主要买方:CISO / VP of Security。客户包括 35+ 家 Fortune 100 企业,其中含九家 Fortune 10。
- 商业模式
- B2B SaaS,采用年度 / 多年订阅合同,按资产或端口计价。企业订单从 $26K(500–9,999 项资产)到面向 >10,000 项资产环境的定制定价不等。扩张路径是 land-and-expand:客户先采用核心资产管理,再扩展到 OT、IoMT、VMDR 或 Early Warning 模块。
- 阶段
- Acquired (by ServiceNow, April 2026)
- 融资情况
- 共 7 轮融资约 $1.17B。最后一轮私募:$435M Series E,估值 $6.1B(November 2025,由 Goldman Sachs Alternatives 领投)。ServiceNow 于 April 2026 以 $7.75B 收购——较上一轮私募估值溢价约 27%。
执行摘要
主要优势
- 连续两年(2025 和 2026)获评 CPS Protection Platforms 的 Gartner MQ 领导者
- 35+ Fortune 100 客户,包括 Fortune 10 中的 9 家;NPS 70
- 无代理架构叠加 70 亿+ 设备指纹数据库,拥有市场最大自有数据集
- $300M ARR(2025 年 8 月)且同比增长 >50%;收购公告时已达 $340M+
- FedRAMP Moderate + DoD IL5 授权支撑联邦扩张;FedRAMP High 正在推进
- 200+ 预构建集成,平台在 IT、OT、IoT 和 IoMT 间收敛
主要风险
- 13 个月内完成三笔收购(CTCI、Silk Security、OTORIO),OTORIO 整合仍在推进,且 80 名员工中已裁撤 45 人
- Gartner Peer Insights 评价者提示 OT 深度缺口(3.0/5,$30B+ 制造商,2025 年 12 月)
- ServiceNow 收购带来交割后整合风险;客户对路线图连续性存在不确定性
- NRR 和毛利率未披露,关键 SaaS 健康指标无法独立验证
- 收购后创始人留任(CEO Dibrov、CTO Izrael)尚无公开确认
- Microsoft Defender for IoT 作为 M365 E5 免费捆绑包积极扩张,威胁 SME 市场
未决问题
- NRR / GRR 未披露——验证 SaaS 留存逻辑的关键指标缺失
- 毛利率和 GAAP 盈利能力未知——对 $7.75B 收购而言,成本结构不透明
- OTORIO Titan 本地部署整合状态和客户迁移时间表
- 收购后创始人和关键高管留任条款
- 交割后 ServiceNow 整合路线图,以及 Centrix 产品线治理安排
目录
01公司概览
1.1 公司身份与企业沿革
Armis Inc.(以「Armis」或「Armis Security」名义运营)是一家总部位于 California 的网络安全公司,专注所有联网资产的网络暴露管理与安全——包括 IT、OT、IoT、医疗设备(IoMT)、physical AI、代码和云环境。公司由 Yevgeny Dibrov 与 Nadir Izrael 于 late 2015 创立;二人均毕业于 Technion — Israel Institute of Technology,入职前曾在学术项目中合作。创始想法来自大量客户访谈:创始人没有先做技术,而是在 Tel Aviv 的 Nadir Izrael 公寓里冷拨 CISO 和 IT 经理,寻找最大痛点,最终锁定非托管 IoT 设备造成的安全缺口。 Armis 于 2017 结束隐身期时,将总部从 Tel Aviv 迁至 California 的 Palo Alto,随后在 New York、London、Munich 和 Bucharest 设立办公室。到 2026,公司总部位于 California 的 San Francisco。除 February 2020 起短暂成为 Insight Partners 控股子公司外,Armis 在整个独立生命周期中均为私营公司。 公司核心产品 Armis Centrix™ 平台,是一个 AI 驱动、无代理的网络暴露管理系统,可发现、分类并保护组织环境中的每一台联网设备——从笔记本和服务器,到工业控制系统、医疗设备和云工作负载——无需在终端安装软件代理。截至 early 2026,平台实时跟踪近 7 billion 台设备。April 19-20, 2026,ServiceNow 完成 $7.75 billion 现金收购 Armis,并将其并入 ServiceNow 的 AI Control Tower 安全与风险组合。 [CO001, CO002, CO003, CO004, CO013, CO014]
收购后语境下,Armis 的身份、产品、客户基础、资本结构和依赖如何连接。
[CO002, CO003, CO004, CO013, CO014, CO016]1.2 创始人与高管团队
Armis 由 Yevgeny Dibrov(CEO)和 Nadir Izrael(CTO)共同创立。二人均出身以色列精英技术和军事项目,能力互补。Dibrov 曾在云安全创业公司 Adallom 的高管团队任职;Adallom 的联合创始人后来成为 Wiz 创始团队的一部分,并于 July 2015 被 Microsoft 以 $320M 收购。短暂休整后,Dibrov 立即开始搭建 Armis,并说服 Izrael 离开 Google 软件工程师岗位;Izrael 当时参与 Google Maps 和 Google Autocomplete。两位创始人均就读于 Technion 卓越项目,也曾在 Israel Defense Forces(IDF)的精英部队服役,包括 Unit 8200。 Dibrov 被广泛视为 Armis 商业化和客户成功的主要推动者,长期保持高强度全球出差,与客户和伙伴见面。Izrael 负责技术与产品愿景,主导了三起收购(CTCI、Silk Security、OTORIO),并在工程和产品组织内拥有重要跨职能权限。Cyberstarts 创始人 Gili Raanan 自 Series A 前起担任董事会主席,代表早期投资人基础。 到 2026,高管团队已明显扩容。Alex Mosher 担任 President and Chief Revenue Officer(CRO)。Jonathan Carr 担任 Chief Financial Officer。Simon Mouyal 于 March 2026 被任命为 Chief Marketing Officer,带来来自 CyberArk、athenahealth 等机构的 25+ 年网络安全与 SaaS 营销经验。Christian Terlecki 以 Senior Vice President 身份负责公共部门销售,统筹 Armis Federal 及其政府认证。 [CO001, CO003, CO004, CO005, CO006, CO007]
| 姓名 | 职位 | 背景 | 创始人-市场匹配 / 职能覆盖 | 关键人物依赖 |
|---|---|---|---|---|
| Yevgeny Dibrov | CEO 兼联合创始人 | Adallom(MSFT 以 $320M 收购),Mellanox 固件经历,Technion / IDF Unit 8200 | 客户执念、企业销售、CEO 网络;产品-市场匹配设计者 | 高 — 核心客户 / 投资者门面;公司名称来自其品牌身份 |
| Nadir Izrael | CTO 兼联合创始人 | Google Maps / Autocomplete 软件工程师,Technion / IDF | 平台架构、AI/ML 战略、三起收购(CTCI / Silk / OTORIO) | 高 — 唯一技术联合创始人;负责收购整合 |
| Alex Mosher | 总裁兼 CRO | 企业安全销售管理 | 收入战略、渠道、商业化规模化 | 中 — 收入执行关键人物,但不是联合创始人 |
| Jonathan Carr | CFO | 企业技术财务 | 资本配置、IPO 准备度、财务内控 | 中 — 是投资人财务可信度的关键 |
| Simon Mouyal | CMO(Mar 2026 任命) | CyberArk、athenahealth;25+ 年网络安全 / SaaS 营销 | 需求生成、品牌、规模化品类领导力 | 低-中 — 新加入;组织尚未形成依赖 |
| Christian Terlecki | SVP 公共部门 | 政府网络安全销售 | 联邦 / DoD / SLED 销售;FedRAMP / IL5 资质 | 中 — 对 $US 政府收入板块关键 |
| Gili Raanan | 董事会主席(投资人) | Cyberstarts 创始人;pre-Series A 起的 Armis 早期投资人 | 董事会治理、战略顾问、Israel 网络安全生态 | 低 — 董事会角色;公司层面依赖有限 |
本表覆盖截至 April 2026 已公开确认职位的具名高管。收购后整合进 ServiceNow 可能带来职位调整,目前尚未公开披露。
[CO003, CO004, CO005, CO006, CO007, CO008]1.3 融资历史、估值与投资人基础
被 ServiceNow 收购前,Armis 多轮融资合计约 $1.17 billion。公司于 2015 完成首轮种子融资,随后在 June 2017 完成 $17M Series A,April 2018 完成 $30M Series B,April 2019 完成 $65M Series C,累计融资达到 $112M。Series C 由 Sequoia Capital 领投;该机构自 Armis 在以色列的 Series A 起即支持公司。 February 2020,Insight Partners 以 $1.1 billion 估值收购 Armis——当时为以色列最大网络安全退出——取得多数股权,并提供运营支持,包括客户引荐、上市协助和战略 M&A 指导。Insight Partners 在后续轮次中仍为多数股东。February 2021,Armis 以 $2B 估值融资 $125M,投资人包括 Brookfield Technology Partners(领投)、CapitalG(Alphabet 成长基金)、Georgian 和 Insight Partners。November 2021,公司以 $3.4B 估值融资 $300M,由 One Equity Partners 领投;该机构进入董事会。 经历一段运营成熟期后,Armis 于 October 2024 以 $4.2B 估值融资 $200M,由 General Catalyst 和 Alkeon Capital(新投资人)领投,既有投资人 Brookfield Growth、Georgian、Insight Partners、CapitalG 和 One Equity Partners 参与。之后,公司在 August 2025 以 $4.5B 估值完成 tender offer,并于 November 2025 以 $6.1B 估值完成上市前最后一轮 $435M 融资,由 Goldman Sachs Growth Equity 领投,CapitalG 和新投资人 Evolution Equity Partners 参与。ServiceNow 以 $7.75B 收购,较上一轮私募估值溢价约 27%。 [CO005, CO006, CO007, CO008, CO009, CO010]
| 利益相关方 | 角色 / 类型 | 入局 / 事件 | 控制权或经济重要性 | 尽调问题 |
|---|---|---|---|---|
| Insight Partners | 领投方 / 前多数股东 | Feb 2020 以 $1.1B 收购;后续多轮融资 | 截至 $435M 轮仍为多数股东;推动运营增长与 M&A | 确认收购后持股处置;ServiceNow 现金退出条款 |
| ServiceNow (NYSE: NOW) | 收购方 | Dec 2025 宣布;April 2026 以 $7.75B 交割 | 截至 April 2026 为 100% 所有人;Armis 现为业务单元 | 审阅整合路线图、收入归因、产品独立性 |
| General Catalyst | Series D 领投方 | October 2024 — $200M 轮,估值 $4.2B | 成长股权投资人;可能有董事会席位 | 确认 ServiceNow 收购中的现金退出条款 |
| Goldman Sachs Growth Equity | pre-IPO 轮领投方 | November 2025 — $435M,估值 $6.1B | 重要 pre-IPO 持仓;原本会享有 IPO 经济收益 | 确认收购经济条款及任何锁定 / 或有对价安排 |
| CapitalG (Alphabet) | 战略与财务投资人 | Series D+ 及 $435M 轮参投方 | Alphabet 成长基金;与 Google Cloud 战略协同 | 确认收购后与 Google 的持续技术合作 |
| One Equity Partners | Series D(2021)领投方;董事 | November 2021 — $300M,估值 $3.4B | 持有董事会席位直至收购公告 | 确认收购交割前的治理与否决权 |
| Brookfield Technology Partners | Series D(2021)参投方 / Series E 领投方 | Feb 2021($125M)及 Oct 2024 参投方 | 长期持有、聚焦基础设施的投资人;契合 OT 安全投资假设 | 确认收购现金退出条款及任何持续义务 |
| Evolution Equity Partners | $435M 轮新投资人 | November 2025 | 聚焦网络安全的基金;收购前新建仓 | 确认二级转让或收购中的现金退出 |
| Yevgeny Dibrov & Nadir Izrael | 联合创始人 / 管理团队 | 2015 年以来为创始人 | 收购后仍是关键运营者;关键留任风险 | 审阅 ServiceNow 提供的雇佣协议和留任激励 |
投资人持股和董事会构成反映收购前披露;具体持股比例与收购后现金分配未公开。
[CO007, CO008, CO009, CO010, CO011, CO012]| 日期 | 事件 | 类型 | 金额 / 估值 / 状态 | 参与方 | 影响 |
|---|---|---|---|---|---|
| 2015 (late) | Dibrov 和 Izrael 在 Tel Aviv 创立;完成种子轮融资 | 创立 | 种子轮(未披露) | Dibrov、Izrael、早期天使投资人 | 公司成立,解决 CISO 指出的 IoT / 非托管设备安全缺口 |
| 2016 (early) | 招聘首批员工;推出首个 OT / IoT 安全解决方案 | 产品 | N/A | 创始团队 | Armis 从概念转向产品;早期客户验证开始 |
| 2017-06 | 携 $17M Series A 脱离隐身模式;总部迁至 Palo Alto, CA | 融资 | $17M / ~$50M 估值 | Sequoia Capital Israel、Tenaya Capital、Gili Raanan 等投资者 | 公开发布;Sequoia 背书验证市场假设 |
| 2018-04 | Series B:融资 $30M;扩展到医疗健康 / 医疗设备 | 融资 | $30M / 未披露 | Bain Capital Ventures、Sequoia Capital Israel、其他 | 进入医疗健康垂直;新增 IoMT 安全能力 |
| 2019-04 | Series C:融资 $65M;收入 YoY 增长 700%;Fortune 100 客户占比 25%+ | 融资 | $65M / 累计 $112M | Sequoia Capital、Insight Partners、Bain Capital、其他 | 规模化得到确认;企业客户牵引力强劲 |
| 2020-02 | Insight Partners 以 $1.1B 估值收购——当时 Israel 最大网络安全退出 | 治理 | $1.1B 估值 | Insight Partners(多数股东)、Adallom 团队关系 | 多数股权由 PE 持有的规模化阶段开始;Insight 提供运营资源 |
| 2021-02 | 以 $2B 估值融资 $125M;据披露收入增长 750% | 融资 | $125M / $2B 估值 | Brookfield Technology Partners(领投)、CapitalG、Georgian、Insight | 达到独角兽里程碑;当时全球第二大 IoT 安全融资轮 |
| 2021-11 | 以 $3.4B 估值融资 $300M;3 年收入增长 8,826% | 融资 | $300M / $3.4B 估值;累计 ~$600M | One Equity Partners(领投)、Insight 多数股东 | 估值显著上台阶;One Equity 加入董事会以推动收购 |
| 2024-02 | 收购 CTCI(面向 OT / IT 的攻击早期预警系统) | 产品 | 未披露 | CTCI(Israeli AI 安全初创公司) | 为 Armis Centrix 平台补上 AI 驱动的早期预警 |
| 2024-04-17 | 以 $150M 收购 Silk Security;补充漏洞优先级排序与修复 | 产品 | $150M | Silk Security(2022 年由 Yoav Nathaniel 等创立) | 新增全生命周期修复能力;平台走向端到端 |
| 2024-10 | 以 $4.2B 估值完成 $200M Series D;ARR 超过 $200M | 融资 | $200M / $4.2B 估值 | General Catalyst、Alkeon Capital、Brookfield Growth、Georgian 等投资者 | pre-IPO 定位开始;ARR 在 <18 个月内翻倍 |
| 2025-03-06 | 以 $120M 收购 OTORIO;补充本地部署 OT / CPS 安全 | 产品 | $120M | OTORIO(2018 年创立,Daniel Bren & Yair Attar) | 新增混合 / 隔离网 OT 安全;Armis 可服务隔离网关键基础设施 |
| 2025-03-17 | 收购后裁撤 OTORIO ~80 名员工中的 45 人 | 负面 | 45 人裁员 | Otorio 员工队伍 | 收购后缩减员工;保留开发,削减商业化 |
| 2025-11-05 | 以 $6.1B 估值融资 $435M(pre-IPO);ARR 达 $300M | 融资 | $435M / $6.1B 估值 | Goldman Sachs Growth Equity(领投)、CapitalG、Evolution Equity Partners | IPO 意图明确释放;累计融资 ~$1.17B |
| 2025-12-22 | ServiceNow 宣布以 $7.75B 收购 Armis | 治理 | $7.75B 现金 | ServiceNow(NYSE: NOW)、Tidal Partners(顾问) | ServiceNow 史上最大网络安全收购;IPO 路径放弃 |
| 2026-02-23 | 取得 U.S. DoD Impact Level 5(IL5)授权 | 监管 | IL5 授权 | DISA、Armis Federal | 使 Armis Centrix 符合 DoD CUI 环境要求;加速联邦收入 |
| 2026-03-04 | 被 2026 Gartner Magic Quadrant for CPS Protection Platforms 评为 Leader(第 2 年) | 产品 | Gartner Leader 认定 | Gartner、13 家受评供应商 | 验证 CPS 安全平台领导力;强化企业销售 |
| 2026-04-19 | ServiceNow 完成 Armis 收购($7.75B) | 治理 | $7.75B 现金 | ServiceNow (NYSE: NOW) | Armis 成为 ServiceNow 业务单元;团队在全球加入 ServiceNow |
里程碑日期来自公开新闻稿和新闻来源。融资金额反映已披露数字;2020 年前轮次估值为行业报道估算。
[CO001, CO005, CO006, CO007, CO008, CO009]Armis 从 2015 创立到 ServiceNow 收购于 April 2026 完成的关键事件。
部分事件日期基于新闻稿发布时间,以季度或月份呈现;确切日历日期见里程碑表。
[CO001, CO005, CO007, CO008, CO010, CO011]1.4 公司里程碑与规模指标
Armis 从创立到被收购历时十年,里程碑覆盖创立、融资、产品开发、收购、监管授权和行业认可。公司 ARR 从零增长到 November 2025 的 $300M,并在 December 2025 增至 $340M+,同比增速超过 50%。这一增长由不到十二个月内三起战略收购支撑:CTCI(February 2024,early warning)、Silk Security(April 2024,$150M,漏洞修复)和 OTORIO(March 2025,$120M,OT/CPS 本地安全)。 Armis 客户基础从 2019 覆盖超过 25% 的 Fortune 100,增长到 late 2025 超过 35%,并在 April 2026 覆盖九家 Fortune 10。已具名客户包括 United Airlines、Colgate-Palmolive、Mondelez International、Reckitt、Sysco Foods 和 Allergan,另有数十家联邦机构及州 / 地方政府实体。平台不是靠代理实现部署规模,而是靠被动网络流量分析,使其能够在全球实时跟踪近 7 billion 台设备。 在监管与合规侧,Armis 于 2023 取得 FedRAMP Moderate 和 DISA IL4 授权,并在 February 2026 取得 DoD Impact Level 5 授权,使其可服务 Department of Defense 内的 Controlled Unclassified Information(CUI)环境。公司被评为 2026 Gartner Magic Quadrant for CPS Protection Platforms 的 Leader(连续第二年),也进入 Forrester Wave for IoT Security Solutions(Q3 2025)和 Unified Vulnerability Management Solutions(Q3 2025)。 [CO015, CO016, CO017, CO018, CO019, CO020]
| 指标 | 数值 / 状态 | 日期 | 置信度 | 缺口 / 备注 |
|---|---|---|---|---|
| 收购价格 | $7.75 billion(现金) | April 2026 | 高 | ServiceNow 收购;双方已确认 |
| 最后一轮私募估值 | $6.1 billion | November 2025 | 高 | $435M pre-IPO 轮融资,估值 $6.1B;Nov 2025 完成 |
| 年度经常性收入 | $340M+(公司披露) | December 2025 | 高 | 管理层口径;具体数字未披露 |
| ARR 增长(YoY) | >50% | December 2025 | 高 | 公司披露;具体百分比未披露 |
| 累计融资额 | ~$1.17 billion | November 2025 | 高 | 已披露轮次合计;不含要约收购 |
| 员工数(收购时) | ~950 名员工 | December 2025 | 高 | 根据收购公告;交割后员工数可能不同 |
| Fortune 100 渗透 | >35% | April 2026 | 高 | Fortune 10 中 9 家;收购完成公告披露 |
| 跟踪设备数 | 近 7 billion(实时) | April 2026 | 高 | 平台级指标;公司披露 |
| FedRAMP / DoD 授权 | FedRAMP Mod, IL4, IL5 | February 2026 | 高 | IL5 于 Feb 23, 2026 取得;FedRAMP High 推进中 |
| 收入(P&L) | 未公开披露 | May 2026 | N/A | 私营公司;毛利率 / 经营亏损未知 |
ARR 和员工数来自收购公告与新闻稿中的公司披露。收入、毛利率和经营指标未公开,无法取得。
[CO013, CO014, CO015, CO016, CO018, CO023]ServiceNow 收购时(April 2026)Armis 的关键绩效指标。
ARR 和员工数为公司披露口径。总融资额按已披露轮次金额计算。
[CO013, CO015, CO016, CO018, CO023, CO024]1.5 负面发现与证据缺口
Armis 记录总体干净,未见重大安全事件或监管执法。主要负面发现来自收购后的裁员:March 2025 以 $120M 收购 OTORIO 后,Armis 裁撤 OTORIO 约 80 名员工中的 45 人——超过被收购团队一半——主要涉及销售、营销、财务和 HR,保留约 35 名开发人员。该模式符合整合导向的 M&A:削减重复的 go-to-market 职能,同时保留产品工程能力;但这仍意味着 OTORIO 组织足迹出现实质收缩。 由于 Armis 仍为私营公司,多项证据不可得。收入、毛利率、经营亏损 / 收入、现金头寸、客户集中度指标和 net revenue retention(NRR)均未公开披露。公司披露 ARR,但未披露合同结构、续约率或流失率。收购后,Armis 已成为 ServiceNow 子公司;其财务指标即便披露,也会并入 ServiceNow 合并财务报表。后续财务表现尽调需要依赖 ServiceNow 投资者披露,或直接接触管理层。 [CO031, CO030, CO036, CO015]
1.6 图表附录
02市场分析
2.1 市场边界与品类定义
Armis Centrix 主要竞争在 Gartner 定义的 Cyber-Physical Systems(CPS)Protection Platform 市场。Gartner 于 2025 通过 Magic Quadrant 正式确立该品类,评估 13 家供应商。CPS 保护平台提供无代理、被动的网络监控,可发现、分类并持续监控所有联网资产——包括 IT 设备、运营技术(OT/SCADA/PLC)、IoT 传感器、楼宇系统和联网医疗设备——无需部署软件代理,也无需可能扰乱运营的主动扫描。 必须精确定义市场边界,因为相邻品类(OT Security、IoT Security、「CPS Market」)的分析师估算会给出差异很大的 TAM。OT Security 市场(2025 年 $22-23.5B)包含硬件、服务和传统网络监控工具,抬高了规模。IoT Security 市场(2024 年 $35.5B)更宽,还包含消费者 IoT 相邻细分。最窄且最相关的估算,是 TBRC 定义的 CPS Protection Platform 市场(2025 年 $10.05B)——这个子细分最接近 Gartner MQ 范围和 Armis 的直接竞争集合。 市场不包括:面向受管计算机的 endpoint detection and response(EDR/EPP);cloud security posture management(CSPM);没有设备发现范围的纯 IT SIEM 工具;以及消费者 IoT 安全。现状替代方案是用电子表格和周期性网络扫描手工盘点资产——这套流程会系统性低估非托管 OT 和 IoT 设备,让组织缺少完整风险可见性。 Armis 的无代理架构对该市场是架构性必要条件:PLC、SCADA 系统、遗留医疗设备和嵌入式 IoT 通常运行专有或实时操作系统,无法支持软件代理。许多 OT 设备还受保修和变更控制限制,不能安装代理。这个结构性约束形成了对无代理发现的持久需求,企业 EDR 供应商无法替代。[CM001, CM002, CM003, CM004, CM005, CM023]
| 细分市场 / 类别 | 纳入支出 | 排除支出 | 主要买方 / 付款方 | 对 Armis 的意义 |
|---|---|---|---|---|
| CPS 保护平台(Gartner) | 无代理设备发现、实时 OT / IoT / IT 监控、漏洞优先级排序、覆盖所有联网资产类型的威胁检测 | 基于代理的 EDR / EPP、云 CSPM、无设备范围的纯 IT SIEM | CISO / 安全 VP(企业) | 核心市场 — Armis 是该类别 2025/2026 Gartner MQ Leader |
| OT 安全(运营技术) | SCADA / PLC / ICS 安全监控、网络分段、工业控制系统异常检测 | IT 端点安全、云安全、软件漏洞管理 | CISO + OT / 工厂经理(工业) | 核心市场 — Armis 收购 OTORIO 强化 OT 专项覆盖 |
| IoT 安全(企业) | 受管 IoT 设备、楼宇管理系统、联网设施资产 | 消费级 IoT、运营商 / 电信托管设备、智能家居设备 | CISO / IT 安全(企业) | 核心市场 — Armis 发现能力覆盖所有企业 IoT 设备类型 |
| IoMT / 医疗设备安全 | 联网医疗设备(输液泵、影像设备、监护仪)、临床 IoT | 传统医院 IT(EHR、端点)、消费者健康 app | CISO + CMIO + 生物医学工程(医疗健康) | 主要增长垂直 — Armis 已点名医疗健康板块动能 |
| CAASM(网络资产攻击面管理) | 连续资产清单、CMDB 增强、攻击面可视化、资产风险评分 | 仅漏洞扫描、EASM(仅外部)、传统手工发现工具 | CISO / 安全运营(企业) | 相邻市场 — Armis Centrix 包含 CAASM 模块;与 Axonius、JupiterOne 竞争 |
| 政府 / 联邦 CPS 安全 | 面向 U.S. DoD、文职机构和关键国家基础设施的 FedRAMP / IL5 授权 CPS 平台 | 无 FedRAMP 授权的纯商业平台 | 机构 CISO / ISSM / DoD CIO | 高增长板块 — Armis 已取得 FedRAMP Mod / IL4 / IL5;设有 Armis Federal 业务单元 |
这些市场类别并不互斥;Armis Centrix 通过统一的 Centrix 平台覆盖上述所有板块。TAM 估算会随定义显著变化;见规模测算表。
[CM001, CM002, CM003, CM004, CM005, CM023]2.2 市场规模——多种分析师口径
OT 与 CPS 安全市场有大量分析师覆盖,但估算会因方法和范围定义而显著不同。MarketsAndMarkets 估算 OT 安全市场在 2025 年为 $23.47B,并以 16.5% CAGR 增至 2030 年 $50.29B。Mordor Intelligence 的估算略低,2025 年 $22.15B,并以 13.74% CAGR 增至 2031 年 $47.95B。两者都预测市场在 5-6 年内翻倍或接近翻倍,说明不同方法下均存在强结构性增长。 更具体的代理指标是 CPS Security 市场——狭义定义排除仅硬件和仅服务的 OT 供应商——2025 年规模为 $10.05B,并以 13% CAGR 增至 2030 年 $18.51B(The Business Research Company)。这是公开市场中最接近 Gartner 定义的 CPS Protection Platform 市场的类比,而 Armis 正在其中竞争。 相邻细分提供了额外市场背景。CAASM 市场(2025 年 $1.88B,以 25% CAGR 增至 2030 年 $5.72B)增长快于核心 OT 安全市场,驱动力来自企业对连续资产情报和 AI 驱动风险排序的需求。医疗设备安全(2025 年 $7.41-8.47B)是独立且增长中的垂直市场,其中医疗 IoT 安全子细分以 28.8% CAGR 增长。更宽的 IoT 安全市场(2024 年 $35.5B,以 26.8% CAGR 增至 2030 年 $141.8B)夸大了 Armis 可触达机会,但展示了设备激增问题的规模。 设备激增是底层需求驱动:2025-2026 年全球约有 19.8 billion 台联网 IoT 设备(DemandSage),Ericsson 预计仅蜂窝 IoT 连接数就将在 2025 年底达到 4.5B。设备足迹扩大,结构性抬升了无需代理即可发现和监控设备的平台价值。 对 Armis 的自下而上 SAM 估算为 $3-8B:将每项资产每年 $20-50(来自 May 2025 伙伴价格表)应用于约 200 家 Fortune 500 企业,每家拥有 10,000-50,000 项受管资产。这只是粗略代理;实际 SAM 取决于 Armis 在医疗、政府和中端市场渠道中的扩张,而这些渠道仍处早期。Armis 当前 $340M ARR 约占该 SAM 估算的 4-11%,如果市场份额论点成立,仍有显著 runway。[CM006, CM007, CM008, CM009, CM010, CM011]
| 发布机构 | 年份 | 市场标签 | 地域 | 基准年规模($B) | 预测规模($B) | CAGR(%) | 方法论备注 | 置信度 | 局限 |
|---|---|---|---|---|---|---|---|---|---|
| MarketsAndMarkets | 2025 | OT 安全 | 全球 | 23.47 | 50.29 (2030) | 16.5% | 专家访谈 + 二手研究;454 页报告 | 中 | 宽口径可能包括服务和硬件 |
| Mordor Intelligence | 2025 | OT 安全 | 全球 | 22.15 | 47.95 (2031) | 13.74% | 自下而上 + 自上而下;包括软件、硬件、服务 | 中 | 略窄于 MarketsAndMarkets;口径差异 |
| Grand View Research | 2024 | IoT 安全 | 全球 | 35.50 | 141.77 (2030) | 26.8% | 一手和二手研究;包括解决方案 + 服务 | 中 | IoT 安全口径宽于 CPS;包括贴近消费 IoT 的部分 |
| The Business Research Company | 2025 | CPS 安全 | 全球 | 10.05 | 18.51 (2030) | 13.0% | 二手研究 + 行业访谈 | 中 | 最窄的 CPS 口径;最接近 Gartner MQ 范围的代理指标 |
| The Business Research Company | 2025 | CAASM | 全球 | 1.88 | 5.72 (2030) | 25.0% | 一手和二手研究;仅软件 | 中 | 口径仅限 CAASM 软件工具 |
| Mordor Intelligence | 2025 | 医疗设备安全 | 全球 | 8.47 | 12.56 (2030) | 8.2% | 二手研究;IoMT / 互联医疗硬件 + 软件 | 中 | 医疗垂直;窄于企业 IoT |
所有数字均以 USD 十亿计。分析师口径差异很大;CPS 安全($10B)最窄,也是最贴近 Armis 在 MQ 口径下竞争范围的代理指标。IoT 安全($35.5B)和 OT 安全($22B)把 Armis 并不直接竞争的服务和硬件也算进来,因此高估了 TAM。
[CM006, CM007, CM008, CM009, CM010, CM025]市场规模从广义 OT/IoT 安全机会向下收敛到 CPS 防护平台细分市场和 Armis 可触达 SAM;每往下一层,定义更具体、规模也更小。
SAM 估算基于合作伙伴价目表的资产计价($20-50/asset/year),应用于估计拥有 10,000-50,000 个受管资产的 Fortune 500 企业。TAM 数字合并了不同分析机构之间相互重叠的市场定义,不应直接相加。Armis ARR 为收购公告中的公司披露数字。
[CM006, CM007, CM008, CM009, CM011, CM024]两家头部分析机构对 OT 安全市场规模的估算在 2025 年分歧不大(6% 方差),但到 2030 年预测期差距扩大,反映 CAGR 假设和产品范围定义不同。
所有数字单位为十亿美元。OT 安全与 CPS 防护平台是不同市场定义,直接比较需要谨慎。CPS 防护平台是最窄、也与 Armis 竞争集最相关的指标。图中中点是低 / 高边界的算术平均,不是 Armis 估算。
[CM006, CM007, CM009, CM031, CM032, CM037]2.3 买方与细分画像
Armis Centrix 的主要买方是企业 Chief Information Security Officer(CISO),其掌握 IT 安全预算,并负责所有联网资产的设备风险。在企业 IT(Fortune 500+)中,CISO 通常通过年度安全工具预算采购,ROI 由设备可见性提升和此前非托管资产暴露降低来证明。该细分是 Armis 最强市场,并购交割时 Fortune 100 渗透率超过 35%。 医疗行业的采购权更分散,由 CISO、Chief Medical Information Officer(CMIO)和 Biomedical Engineering 共同参与。主要采用触发因素是监管——FDA 网络安全指南和 HIPAA 数据泄露通知义务带来合规驱动的紧迫性。针对医院系统的勒索软件攻击(如 Ascension Health、Change Healthcare)把医疗 CISO 推到董事会视野,带动安全投资。Armis 在该垂直已形成势能,并拥有具名客户背书。 联邦政府和 DoD 采购走不同路径,需要 FedRAMP 授权(Armis 拥有 FedRAMP Moderate、IL4 和 IL5),且往往需要正式 RFP / 招标流程。Armis Federal 作为独立业务单元运营,配备专门的 DoD 和民事机构销售。预算来自国会拨款,并带有多年承诺,但采购周期通常为 12-18+ 个月,是 Armis 组合中最长的。 工业和关键基础设施客户的买方动态最复杂:采购权在企业 CISO 与重视运营连续性的 OT / 工厂经理之间分割。OT 经理过去一直抵触可能扰乱生产的安全工具,因此 Armis 无代理、仅被动的方法成为关键要求。EU 监管制造商的 NIS2 合规紧迫性加速了 EMEA 采用。Armis 收购 OTORIO 显著加深了 OT/ICS 产品可信度和客户关系。[CM013, CM014, CM015, CM016, CM017, CM028]
| 垂直细分 | 主要买方 | 技术用户 | 预算所有者 / 付款方 | 关键采用触发因素 | Armis 覆盖 |
|---|---|---|---|---|---|
| 企业 IT / Fortune 500 | CISO | 安全运营 / SOC 分析师 | CISO 预算(IT 安全 opex/capex) | OT/IT 融合造成未受管设备可视性缺口 | 强 — >35% 的 Fortune 100;主要商业市场 |
| 医疗健康 / 生命科学 | CISO + CMIO + 生物医学工程 | 临床 IT + 生物医学团队 | IT 安全 + 合规预算;HIPAA 驱动的 capex | FDA 网络安全强制要求覆盖互联设备;医院遭勒索软件攻击 | 主要增长垂直 — 2023 点名医疗健康动能 |
| 联邦政府 / DoD | 机构 CISO + ISSM | IT 安全分析师 / FedRAMP 合规团队 | 联邦拨款;合规驱动的 capex | FedRAMP/IL5 合规要求;CISA 资产可视性指令 | 活跃 — 已取得 FedRAMP Mod/IL4/IL5;DoD 合同;Armis Federal 单元 |
| 工业 / 关键基础设施 | CISO + OT / 工厂经理 | OT 工程师 / ICS 安全分析师 | IT-OT 共享预算;NERC CIP / NIS2 合规 | NIS2 监管强制要求;OT-IT 网络融合;勒索软件瞄准 SCADA | 增长中 — OTORIO 收购增强 OT/ICS 可信度 |
| 制造业(中端市场) | IT 总监 / CISO | IT 通才 / OT 工程师 | IT 运营预算;安全团队精简 | NIS2 合规;勒索软件;保险要求覆盖 OT | 起步 — 渠道伙伴计划;SMB 对 Armis 仍处早期 |
在 OT 环境中,IT 与运营团队经常争夺预算归属;Armis 的 GTM 通常先切 CISO,再在 POC 期间扩展到 OT / 生物医学 利益相关方。政府采购还需要额外的 FedRAMP/IL 授权周期。
[CM013, CM014, CM015, CM016, CM017, CM028]买方特征随垂直行业显著变化;企业 IT 和医疗是 Armis 已验证的细分市场,政府和工业增长更快,但采购周期更长。
[CM013, CM014, CM015, CM016, CM017, CM018]企业 CPS 平台采用通常从触发式认知开始,经技术验证、采购再到扩展;最长延迟出现在 OT 专属验证阶段。
[CM028, CM029, CM035, CM013, CM016]2.4 增长驱动与采用催化剂
四股结构性力量正在推动 CPS 保护平台市场在 2026 及之后持续增长。 监管要求提供了最持久的需求底座。EU NIS2 Directive 于 October 2024 生效,要求 18 个关键行业建立资产盘点、网络监控和事件响应能力——为欧洲运营中的 OT 与 IoT 环境创造非自由裁量的网络安全支出。不合规处罚包括数百万欧元罚款和高管责任。美国监管进一步施压:面向联网医疗设备(2023)和 OT 制造环境(2025)的 FDA 网络安全指南要求 security-by-design 和上市后漏洞管理,直接利好具备设备发现和风险排序能力的平台。CISA 资产可见性指令同样要求联邦机构和关键基础设施运营方维护完整设备清单。 OT/IT 融合在结构上扩大了可触达设备池。数字化转型和 Industry 4.0 计划让过去隔离的 OT 网络上线,形成可被威胁行为者触达、却对 IT 中心安全工具不可见的联网 SCADA 系统、PLC 和传感器。Armis 估计,60-70% 的企业联网资产没有被传统终端代理覆盖——这是 Armis 平台为之而建的结构性缺口。 威胁升级带来紧迫性。2024 年,国家关联攻击针对关键基础设施增加 49%,制造业占工业网络事件的 25.7%。Change Healthcare、Colonial Pipeline 等高知名度勒索事件提升了董事会对 OT/IoT 安全风险的认知,加速预算审批。AI 驱动的威胁工具让针对 OT 环境的攻击更复杂、更定向,抬升了 AI 驱动防御平台的 ROI。 设备激增支撑长期需求。全球联网 IoT 设备为 19.8B 台(2025-2026),预计到 2034 增至 40.6B;CPS 平台覆盖的攻击面会在监管压力之外继续扩大,为未来十年提供结构性顺风。[CM018, CM019, CM020, CM021, CM022, CM036]
| 驱动因素 / 约束 | 方向 | 时点 | 对 Armis 的影响 | 尽调问题 |
|---|---|---|---|---|
| EU NIS2 指令(Oct 2024 生效) | 驱动因素 | 立即 — EU 已在 2024 开始执法;罚则在 2025+ | 在 EU 18 个行业以及有 EU 业务的全球公司中,合规驱动的采购紧迫性上升 | 核实 2025 年 Armis EMEA 管线增长中,可归因于 NIS2 合规强制要求的部分 |
| FDA 医疗设备网络安全强制要求 | 驱动因素 | 分阶段 — 新设备要求 2023;OT 制造 2025 | 推动医疗健康和制药制造垂直的 IoMT 安全支出;Armis 已建立医疗健康垂直 | 确认医疗健康 ARR 占总 ARR 的百分比和 YoY 增速 |
| OT/IT 网络融合 | 驱动因素 | 持续 — Industry 4.0 和智能制造推动加速 | 结构性扩大 Armis 可保护的设备底盘;每台新联网 OT 设备都可能成为 Armis 客户资产 | 跟踪 Armis 客户群季度设备数增长;核实 > 15% CAGR |
| 设备扩散(20B+ IoT) | 驱动因素 | 长期 — 至 2030,每年持续增长 10-15% | 每台新增互联设备都可能变成安全事件;设备数增长会同时抬高问题严重性和 Armis 价值主张 | 核实 Armis 设备跟踪指标增长(目前实时约 7B) |
| AI 驱动的威胁升级 | 驱动因素 | 立即且到 2026 持续加速 | AI 让针对 OT/IoT 目标的攻击更复杂;实时检测和响应更紧迫;Armis 销售 AI 驱动平台 | 审查 Armis AI 威胁检测能力;核实相对 Claroty、Nozomi 的差异化 |
| 市场整合(ServiceNow、Cisco、Palo Alto 收购) | 混合 | 立即 — ServiceNow-Armis 于 April 2026 交割 | 对企业客户,捆绑平台可能带来优势;但如果 Armis 产品自主性在 ServiceNow 体系下降,也会产生整合风险 | 监测 Armis 是否维持独立 GTM,还是并入 ITSM 工具包 |
| OT 安全销售周期长(6-18 个月) | 约束 | 结构性 — 由采购规定和 POC 要求驱动 | 限制收入速度;Armis 的 $340M ARR 表明,即便有这一约束,公司仍已规模化 | 要求按垂直披露胜率和销售周期长度;对标 Claroty |
| 工具泛滥疲劳 | 约束 | 当前 — CISO 预算在 2024-2025 受压 | 买方在整合安全供应商;相比点状方案,Armis 的平台打法占优,但也要与企业级巨型平台竞争 | 核实 Armis 平台扩展交易 vs. 替换交易比例 |
当前市场成熟度下,驱动因素明显压过约束。监管强制要求(NIS2、FDA)给预算提供非自由裁量的底线。核心约束风险在于 ServiceNow 收购后的整合削弱 Armis 独立 GTM 敏捷性。
[CM018, CM019, CM020, CM021, CM022, CM029]2.5 采用约束与市场风险
尽管增长轨迹强劲,CPS 保护平台市场仍面临多项采用约束,压制收入速度和可触达市场预期。 长销售周期是最重要的结构性约束。企业 OT 安全采购从初次接触到签约通常需要 6-18 个月,原因包括 OT 特定 PoC 要求、多利益相关方对齐(CISO + OT manager)、安全评估,以及政府场景中的监管认证要求。Armis 尽管有该约束,仍能扩张至 $340M ARR 以上,这一点值得注意,并说明销售 motion 高效;但天花板仍由 pipeline 容量和周期时长决定。 既有供应商切换成本真实存在。Claroty、Nozomi Networks 和 Dragos 已在工业环境建立据点;使用现有 OT 安全工具的客户面临集成迁移成本和供应商关系惯性。Armis 通常必须替换或补充现有工具,这会拉长销售周期,并在竞争性替换中降低 win rate。 市场整合制造竞争不确定性。2024-2026 的 M&A 浪潮——ServiceNow 收购 Armis($7.75B)、Cisco 收购 Splunk($28B),以及 Palo Alto 持续收购——正在压缩独立 CPS 平台市场。剩余独立公司(Claroty、Nozomi Networks)既面临捆绑型 mega-platform 提供商的有机竞争,也面临潜在整合压力。收购后,Armis 的竞争位置高度取决于 ServiceNow 是否维持其独立 go-to-market motion。 市场规模不确定削弱投资论点信心。分析师对 OT 安全的 TAM 估算在 2025 年相差 6%,到 2030 预测窗口可能进一步分化;尚无公开分析师发布可直接映射 Armis go-to-market 范围的独立 CPS 保护平台 SAM。投资人应向 ServiceNow 获取自下而上的客户 cohort 数据,以验证 Armis 市场份额轨迹。[CM029, CM030, CM031, CM032, CM033, CM034]
03竞争对手
3.1 竞争格局概览
Armis 所处市场是 Gartner 定义的「CPS Protection Platforms」品类。Gartner 于 2025 通过专门的 Magic Quadrant 正式确立该品类(评估 13 家供应商),并延续至 2026。2026 MQ 命名四家 Leaders:Armis、Claroty、Dragos 和 Nozomi Networks——与 2025 的四家 Leaders 相同。这种稳定性说明竞争格局正在成熟,头部领导者已站稳,短期内新进入者颠覆最高层级的可能性下降。Challengers 和 Niche Players 象限包括 Cisco、Fortinet、Tenable 等,主要在相邻领域竞争(NAC、防火墙、漏洞管理),而非原生 CPS 保护。 竞争格局可分为四层:(1)直接同业——pure-play CPS/OT/IoT 平台,面向同一买方,能力集重叠;(2)既有与相邻供应商——成熟 IT / 网络安全供应商,在既有企业关系上增加 OT/IoT 模块;(3)平台整合者——大型平台供应商(Microsoft、Palo Alto、Cisco)推进安全整合,可通过捆绑替代点状方案;(4)现状与内部自建——手工 CMDB 清单、无分析能力的被动抓包,或基于工业防火墙但没有专门 CPS 平台的可见性方案。Armis 在四层都面临实质竞争,短期最大威胁来自平台整合者的定价杠杆。
| 竞争对手 | 类别 / Gartner 位置 | 规模和融资(估计) | 目标细分 | 核心差异化 | 主要限制 |
|---|---|---|---|---|---|
| Armis (ServiceNow) | CPS 保护平台 — Gartner Leader 2026(第 2 年) | $340M+ ARR;$7.75B 收购价;交割时 ~950 名员工 | 企业 IT/OT/IoT/IoMT — 全部垂直;>35% Fortune 100 | 最宽平台(7B+ 设备 KB);云原生、无代理;收购后可与 ServiceNow ITSM 捆绑 | OT 协议深度弱于 Claroty/Dragos;没有内联执行;收购后存在整合执行风险 |
| Claroty | CPS 保护平台 — Gartner Leader 2026(第 2 年) | $200M+ ARR(估计);$3B+ 估值;$900M+ 总融资;800+ 名员工 | 企业 OT/IoT/IoMT — Fortune 100 中 20%;关键基础设施和医疗健康 | 最深的 OT 协议解码(450+ 个协议,梯形图逻辑级);面向 OT 买方的最低 TCO;xDome 云 + CTD 本地 | IT / 企业 IoT 覆盖较窄;IPO 准备可能拖慢 M&A 和功能速度 |
| Nozomi Networks (Mitsubishi) | CPS 保护平台 — Gartner Leader 2026;现为 Mitsubishi 子公司 | $75M 收入(2024);~$800M 隐含估值;$266M 融资;~390 名员工 | 能源、油气、公用事业、制造 — 大规模 OT 部署 | AI 驱动的异常检测很深;可视化优秀;能源 / 公用事业垂直;Mitsubishi 工业分销渠道 | 失去独立路线图;收购后 R&D 和速度不确定;规模小于 Armis 和 Claroty |
| Dragos | CPS 保护平台 — Gartner Leader 2026(第 2 年) | $154M 收入(2024);$439M 融资;$1.7B 估值;566-609 名员工 | 关键基础设施 — 电力、油气、制造、水务、交通;以北美为主 | 一流 OT 威胁情报(CHERNOVITE/VOLTZITE 威胁组织);OT 专用 IR 处置手册和 IR 预付服务;Network Perception 收购补上网络策略管理 | 没有 IT 或 IoMT 覆盖;北美以外覆盖有限(Gartner 2026 警示);纯渠道 GTM 转型进行中 |
| Forescout | CPS/NAC 既有厂商 — Gartner Niche Player;PE 持有(Advent International) | $300-500M 收入(估计);2020 以 $1.9B 被收购;~1,200 名员工;91% GDR FY2025 | 大型企业和政府;NAC 遗留安装基础;金融服务(+25% YoY)和医疗健康(+24% YoY) | NAC 型执行能力(相对纯 CPS 厂商独有);Rule of 40 超标;渠道成熟;eyeSentry 量子安全加密(2026) | 本地架构;云原生转型较慢;不在 Gartner MQ Leader 象限;端点合规需要代理 |
| Microsoft Defender for IoT 产品 | 平台整合者 — 与 M365 E5/Azure 安全许可捆绑 | Microsoft $20B+ 安全业务的一部分;未披露独立 ARR | 以 Microsoft 为中心的企业 IT/IoT — 已标准化采用 Azure 和 M365 E5 的组织 | 对 M365 E5/Azure 企业客户实际免费;深度 Azure/Sentinel 集成;大规模 AI 威胁情报;Zero Trust 和拓扑映射 | 专有 OT 协议支持有限;主要以 IT 为中心;没有 OT 专用威胁处置手册;纯 OT 部署受限 |
| Tenable OT Security | OT 漏洞管理 — 相邻(上市公司 TENB,市值 ~$5.3B) | Tenable Inc. 市值 $5.3B;OT 部门收入未单独披露 | 已使用 Tenable IT 漏洞管理(Tenable.sc/io)的 OT/ICS 环境 | IT+OT 漏洞工作流集成;OT 专用 CVE 覆盖;Tenable 品牌信任和财务持续性 | 实时威胁检测弱于 Armis;以漏洞为中心,而非以资产情报为中心;共同部署而非替代 |
| Palo Alto Networks IoT/XSIAM 平台 | 平台整合者 — SASE/防火墙原生 OT/IoT 模块(上市公司 PANW,$8B+ ARR) | PANW $8B+ ARR;IoT Security 模块位于更广的 NGFW/Prisma/XSIAM 平台内 | 已标准化采用 Palo Alto NGFW 和 Prisma SD-WAN/SASE 的大型企业 | 唯一具备原生内联执行的 CPS 相邻厂商(NGFW 阻断);XSIAM AI SOC 集成;如已部署 Palo Alto 防火墙,无需单独传感器 | 需要 Palo Alto 基础设施;对非 Palo Alto 环境支持有限;OT 协议深度弱于纯 CPS 厂商 |
规模和收入数字来自公开新闻、分析师数据库和新闻稿估计;没有供应商公开披露 ARR 或精确收入。
[CP001, CP002, CP003, CP004, CP005, CP006]轴上位置基于证据的序数评分,不是数值测量。X 轴(平台广度)反映 IT、OT、IoT、IoMT、云环境覆盖。Y 轴(OT/ICS 深度)反映协议级工业协议解码、OT 威胁情报和行业专门能力。位置来自 Gartner MQ 评分、PeerSpot 评论和独立分析师评估。
[CP001, CP002, CP003, CP004, CP005, CP010]3.2 直接竞争对手画像
Claroty(New York,创立 2015)是 Armis 最接近的同业:二者都是 Gartner Leaders,均为无代理 / 被动架构,并同时覆盖 OT、IoT 和 IoMT。Claroty 通过 January 2026 的 $100M 战略融资,累计融资 $900M+,估值 $3B+,并据报正准备以 $3.5-4B 估值 IPO。Claroty 估算 ARR 在 early 2026 达到 $200M+,员工 800+,客户覆盖 20% 的 Fortune 100。Claroty 的主要差异化是更深的 OT 协议解码——在 ladder-logic 层覆盖 Siemens S7、Rockwell CIP、Schneider Modbus/TCP——以及 OT 中心买方感知更低的 TCO。Armis 在广度(所有环境)领先,Claroty 在深度(纯 OT/ICS 环境)领先。 Nozomi Networks(San Francisco,创立 2013)于 September 2025 被 Mitsubishi Electric 收购,隐含估值约 $800M,独立路径终止。被收购前,Nozomi 收入 $75M(累计融资约 $266M),员工约 390 人,在能源、石油 / 天然气和公用事业尤其强。收购后,Nozomi 嵌入 Mitsubishi 的 OT 生态,并可能通过 Mitsubishi 工业客户基础获得分发;但其战略独立性和开发速度存在不确定性。该收购降低了独立竞争威胁,同时可能通过 OEM / 渠道提升 Nozomi 在工业垂直的触达。 Dragos(Washington DC,创立 2016)是明确的 OT 威胁情报领导者:2024 年收入 $154M,累计融资 $439M、估值 $1.7B,员工 566-609 人,并在 2026 Gartner MQ 中被评为 Leader。Dragos 的差异化来自威胁情报(OT 特定 playbook、CHERNOVITE 和 VOLTZITE 等行业特定威胁组织)、事件响应服务,以及在电力、石油 / 天然气、制造和水务行业的深度专长。2026 Gartner 报告批评 Dragos 在 North America 以外触达有限、渠道伙伴覆盖有缺口——公司正通过 pure-channel GTM 策略积极修补。Dragos 于 2024 收购 Network Perception,补充网络安全策略管理能力。
| 能力维度 | Armis Centrix | Claroty Platform | Dragos Platform | Nozomi Networks | Forescout | Microsoft Defender IoT | Tenable OT Security |
|---|---|---|---|---|---|---|---|
| 无代理发现(全部资产) | 完整 — 被动 + RF(Wi-Fi/BLE);IT 资产无需 TAP/SPAN | 完整 — 被动;OT 网络段需要 TAP/SPAN | 部分 — 仅 OT 被动;没有 IT 原生被动发现 | 完整 — 被动;所有网段都需要 TAP/SPAN | 部分 — 网络可无代理;端点合规需要代理 | 完整 — 无代理;限于联网和 Azure 注册设备 | 部分 — 仅被动 OT/ICS 段;限于 OT 网络 |
| OT 协议深度(工业协议) | 广 — 300+ 协议;强调跨全部环境的广度 | 深 — 450+ 协议;支持 Siemens/Rockwell/Schneider 梯形图逻辑解码 | 深 — OT 原生;面向电力 / 油气 / 制造的行业协议情报 | 深 — AI 驱动;能源和公用事业协议表现优秀;基线能力强 | 中 — eyeInspect 补充 OT 协议覆盖;粒度不如专注型领导者 | 有限 — 以 IT 为中心;工业环境专有 OT 协议支持有限 | 中 — OT CVE 映射漏洞扫描;行为异常检测较少 |
| IT 和企业 IoT/IoMT 覆盖 | 行业领先 — 单一平台统一 IT+OT+IoT+IoMT+云+物理 AI | 增长中 — 主要覆盖 OT/IoT/IoMT;通过 xDome 覆盖 IT,但仍从属于 OT 基因 | 有限 — IT/OT 边界仅 OT;无企业 IoT 或 IoMT | 有限 — 以 OT 为中心;可做 IT 资产发现,但属于次要能力 | 强 — NAC 基因带来广泛 IT 和企业 IoT 覆盖 | IT 领域强势 — 对托管资产原生集成 Entra ID、Defender、Intune | 集成 — Tenable.io 负责 IT 漏洞管理;需要单独实例 |
| 内联执行(阻断能力) | 无 — 仅告警;执行需第三方 NAC 或防火墙集成 | 无 — 仅告警;通过伙伴集成执行(Cisco ISE、Palo Alto) | 无 — OT 原生检测;仅提供响应指引;没有内联阻断 | 无 — 仅检测;与 Cisco 和 Fortinet 合作执行 | 是 — IT 网络基于 NAC 执行;OT 通过交换机集成执行 | 是 — 托管设备通过 Intune 和 Defender for Endpoint 执行 | 无 — 仅漏洞扫描和告警;没有内联执行能力 |
| OT/CPS 威胁情报 | 强 — ARMIS AI 平台;7B 设备行为分析;行业专用告警 | 强 — Vedere Labs 威胁研究;聚焦医疗健康和关键基础设施 | 同类最佳 — OT 专用威胁组织(CHERNOVITE、VOLTZITE);行业 IR 处置手册 | 强 — AI 异常检测;Guardian 传感器更新威胁特征 | 中 — 集成威胁源;非 OT 原生;Vedere Labs 外部情报 | IT 领域强 — Microsoft Threat Intelligence;OT 专用威胁组织或 ICS 处置手册有限 | 聚焦 CVE — 漏洞情报强;行为威胁检测能力较少 |
| 云原生 SaaS 架构 | 是 — 完全云原生 SaaS;OT 传感器可选;无需本地部署 | 双模式 — Claroty xDome(云)+ Claroty CTD(本地);支持混合部署 | 以本地为主 — 平台部署在 OT 环境;云分析可选 | 双模式 — Vantage(云分析)+ Guardian 传感器(本地);混合模型 | 以本地为主 — eyeCloud 支持混合;传统 NAC 架构限制云原生速度 | 云原生 — Azure 原生;OT 环境可通过传感器设备选择本地部署 | 混合 — Tenable.io 云 + 本地传感器;OT 传感器本地部署 |
评估基于供应商文档、PeerSpot 用户评论和独立分析师对比;实际部署配置可能不同。标为「未知」的单元格表示公开信息未披露。
[CP011, CP012, CP013, CP014, CP015, CP016]3.3 既有厂商与相邻竞争者
Forescout Technologies(Campbell, CA)是既有 network access control(NAC)和设备可见性供应商,2020 年被 Advent International(PE)以 $1.9B 收购。Forescout 公布强劲 FY2025 业绩:230+ 个新客户、58 笔超过 $1M 的交易、91% gross dollar retention,金融服务收入增长 >25%、医疗收入增长 >24%,并且连续第三年超过 Rule of 40。Forescout 约 1,200 名员工、估算 $300-500M 收入,使其在 Armis 被收购时规模更大;但其架构(本地 NAC、部分场景基于代理)不如 Armis 云原生。Forescout 借助既有企业 NAC 关系、渠道分发,以及通过 eyeSight 和 eyeInspect 产品补充的资产可见性竞争。Forescout 被 Global InfoSec Awards(2025/2026)评为 CPS Security Market Leader,并在 Gartner MQ 中为 Niche Player。 Microsoft Defender for IoT 是最重要的平台整合威胁。持有 Microsoft 365 E5/Security 和 Azure Defender for Cloud 许可的组织,可用极低增量成本获得该产品——在 Microsoft 企业协议中等同免费。其能力集在异构 OT 环境中不如 Armis 全面(尤其是非 Microsoft 协议栈和专有工业协议),但对 Microsoft-first 的企业 IT 环境而言,捆绑定价压力很强。Microsoft 让 ServiceNow 收购 Armis 成为部分缓释因素——Armis 现在可以打包进 ServiceNow 企业协议,并定位为与 Microsoft IT 中心可见性互补的 OT/IoT 层。 Tenable OT Security(前身 Indegy,2019 被 Tenable 收购)提供以漏洞为中心的 OT 发现和风险管理,受益于 Tenable 既有 IT 漏洞管理客户基础。Tenable 是上市公司(TENB,约 $5.3B 市值),这带来财务持续性,但也让创新更慢。Tenable OT 更多围绕漏洞评分以及与 Tenable.sc / Tenable.io 的集成竞争,而非实时威胁检测,因此常与 Armis 共同部署(漏洞管理 + 资产情报),而不是纯替换型竞争对手。Palo Alto Networks(PANW)将 IoT Security 作为 XSIAM/SASE 平台模块集成,通过防火墙原生执行和 Prisma SD-WAN 竞争——这是 Armis 缺少的覆盖优势(Armis 能检测,但无法 inline 阻断)。
| 供应商 | 定价模型 | 标价估计 | 合同结构 | 主要未知 | 战略影响 |
|---|---|---|---|---|---|
| Armis Centrix | 按设备 / 资产的年度 SaaS 订阅;模块化(CAASM、VMDR、OT、IoMT 模块) | ~$3,100-3,500/port(2025 伙伴标价);企业规模约 ~$20-50/device/year(估计) | 年度至多年;企业协议;Fortune 500 账户有量价折扣 | ServiceNow 捆绑定价尚未披露;实际折扣 vs. 标价未知;伙伴 vs. 直销定价差异 | 高端定价;企业规模下按设备计比点状方案更具成本效益;ServiceNow 捆绑可能显著改变经济性 |
| Claroty Platform | 按设备年度 SaaS(xDome)或永久本地许可证(CTD);模块化附加项 | 未公开披露;跨环境场景估计与 Armis 相近;中端市场据报 $50-200/device/year | 年度;多年;通过分销伙伴的 OEM/渠道定价;CTD 可选永久许可证 | 未公布标价;xDome vs. CTD 定价差异未知;折扣结构不清楚 | 相对 Armis 全平台,面向仅 OT 买方主打更低 TCO;本地永久许可证对隔离网络和受监管环境有吸引力 |
| Microsoft Defender for IoT 产品 | 包含在 Microsoft 365 E5 Security 和 Azure Defender for Cloud 计划中(零增量成本) | M365 E5 客户约 ~$0 增量;非捆绑独立部署约 ~$2/device/month($24/year) | Microsoft Enterprise Agreement;既有 M365/Azure 账单;无需单独 IoT 安全合同 | 捆绑版 vs. 独立版功能平价未完整记录;Enterprise Agreement 内 OT 覆盖层级未详述 | 对以 IT 为中心的企业构成零价格威胁;最难竞争的定价位置;在 Microsoft 标准化账户中,Armis 必须靠价值而非价格取胜 |
| Dragos Platform | OT 资产按资产年度 SaaS 订阅;含威胁情报;可选 IR 预付服务 | 未公开披露;行业报告估计 $100-300/OT asset/year(专业溢价定价) | 年度;多年;常与 Dragos IR 预付服务捆绑($50K-200K/year);美国政府通过 GSA schedule | 政府 vs. 商业定价差异未知;渠道伙伴折扣未披露;IR 预付服务定价随范围变化 | 威胁情报领导力支撑专业溢价;IR 预付服务让任务关键 OT 环境切换成本很高 |
| Forescout Platform | 按设备 NAC 模块加 OT 可视性附加项(eyeInspect);本地或云部署 | 未公开披露;历史上 NAC 为 $30-80/device/year;OT eyeInspect 附加项定价单独且未披露 | 年度订阅或带维护支持的永久许可证;Advent PE 持有使定价更灵活 | 捆绑 NAC+OT 定价 vs. 独立 OT 定价未披露;MSSP 渠道定价未知;PE 所有者可能通过折扣扩大份额 | 既有 NAC 客户添加 OT 的增量成本低于新购 Armis;这给 Forescout 既有客户留存优势,尤其在金融服务和医疗健康 |
| Nozomi Networks | 按资产 / 站点年度订阅;Guardian 传感器(本地)加 Vantage 云分析 | Mitsubishi 收购后未披露;收购前估计 $50-150/OT asset/year;大型公用事业有量价折扣 | 年度;多年;收购后 Mitsubishi Electric OEM 和分销渠道条款未知 | Mitsubishi 整合定价模型未知;面向 Mitsubishi 工业客户的 OEM 捆绑折扣条款未披露;收购后开发投入水平不清楚 | Mitsubishi 渠道可能通过工业客户 OEM 量价协议降低价格;在 APAC/Japan 能源和公用事业市场,相对 Armis 形成潜在成本竞争选项 |
标价估计来自公开伙伴文件和行业报告。没有供应商公开披露标价或实际企业定价。Armis 的 ServiceNow 捆绑条款尚未公布(截至 May 2026)。
[CP021, CP022, CP023, CP024, CP025, CP026]3.4 差异化与切换成本
Armis 相对直接同业的主要差异化是:(1)广度——最大的专有设备知识库,覆盖 IT、OT、IoT 和 IoMT(包括 physical AI 和云资产)中的 7B+ 台设备;(2)架构——无代理、云原生、被动监控,IT 资产无需 SPAN/TAP(Wi-Fi 与 BLE radio-frequency 监控);(3)平台扩展——Centrix 现已在单一平台中包含 CAASM、VMDR、医疗 IoMT 安全和 OT 安全;(4)ServiceNow 集成——收购后,Armis 工作流可嵌入 ServiceNow ITSM/SOAR,通过 ServiceNow 的 8,000+ 企业客户获得分发。 该市场切换成本很高。完整平台迁移需要重建资产数据库(大型环境通常需要 3-6 个月被动学习)、重新部署检测策略和告警阈值、重新打通 SIEM/SOAR / 工单系统、重新培训 SOC 分析师,并重新建立 OT 网络行为基线。这些切换成本为既有平台创造了有意义的 net revenue retention 优势。PeerSpot 和独立评论指出,Armis 与 Claroty 客户都认为切换是高摩擦过程,尤其在工业环境中,重新部署需要变更管理和维护窗口协调。 企业层面的 multi-homing 很常见:组织经常为 OT/ICS 环境部署一家供应商(往往是 Claroty 或 Dragos,追求深度),为 IT/IoT / 企业环境部署第二家供应商(往往是 Armis),形成共存而非纯替换。该 multi-homing 模式既是风险(全平台采用更慢),也是机会(先用一个用例落地,再扩展到其他用例)。
| 护城河或风险领域 | 护城河主张或风险描述 | 主要竞争威胁 | 严重性 | 缓释措施或尽调问题 |
|---|---|---|---|---|
| 7B 设备知识库(数据护城河) | 最大的专有设备指纹数据库带来更高资产识别准确率和行为基线;小安装基础更难复制 | Claroty 声称支持 450+ 协议;Nozomi AI 驱动基线;Microsoft 更大规模 AI — 所有厂商都在扩展协议库和 AI 指纹 | 中 — 护城河存在但差距会缩小;3-5 年可防御窗口 | 借 ServiceNow 8,100+ 企业客户基础继续扩展设备数据库;跟踪竞争对手协议库扩展公告;尽调时要求 Armis 提供第三方协议覆盖基准 |
| ServiceNow 分销杠杆(收购后) | 收购后可触达 ServiceNow 8,100+ 企业客户和 $10B+ 平台,作为分销和捆绑渠道 | Palo Alto XSIAM 提供类似平台捆绑,且有执行优势;ServiceNow 整合时间表和深度不确定 | 低-中 — 结构性优势存在,但整合时间表有执行风险;收益可能需要 12-24 个月才兑现 | 跟踪 ServiceNow Q2-Q3 2026 产品公告,关注 Armis Centrix 集成发布;核实收购后 Armis 保留专属产品路线图团队 |
| Microsoft Defender for IoT(零价格威胁) | 对 M365 E5 企业客户,Microsoft Defender for IoT 实际免费;以 IT 为中心的 CISO 可能接受够用覆盖,而不是为 Armis 支付 $20-50/device/year | Microsoft 在企业协议中零增量成本捆绑,造成 Armis 在 Microsoft 标准化环境中无法匹配的定价压力 | 高 — 零价格威胁是最难处理的竞争动态;对以 IT/IoT 为中心的细分影响最直接 | Armis 必须靠运营 ROI 取胜(ITSM 集成、OT 广度、异构环境),不能只靠安全功能;ServiceNow 捆绑提供替代商业路径;跟踪 Microsoft OT 协议扩展公告 |
| OT/ICS 协议商品化 | Armis 协议库广度是当前护城河;随着所有厂商扩展协议库,发现能力正在商品化,差异化转向别处 | Claroty、Nozomi、Dragos 都在扩充协议库;Microsoft AI 正把 IT 设备指纹识别做规模化;执行缺口(无内联阻断)是所有 CPS 领导者的结构性弱点 | 中 — 3-5 年窗口;执行缺口是结构性弱点,四家 MQ 领导者都尚未原生解决 | Armis 必须在执行合作伙伴体系中证明价值(Cisco ISE、Palo Alto NGFW 集成);在 SOAR 集成和合规报告自动化上加码,这块商品化更慢 |
| OT 威胁情报深度缺口(vs. Dragos) | Armis ARMIS AI 提供 OT 威胁情报,但 Dragos 在高风险工业环境里仍拥有同类最佳的 OT 专属威胁组织情报和 IR 处置剧本 | Dragos 的行业专属威胁情报(CHERNOVITE、VOLTZITE)和 IR 预留服务会形成共同部署,而不是替代;这会压低 Armis 在关键基础设施客户中的整账户渗透率 | 中 — 形成多宿主模式(Armis + Dragos 共同部署),而非替代;限制高风险 OT 垂直行业的平均合同价值 | Armis 应借 OTORIO 收购整合加深 OT 威胁情报投入;考虑与 Dragos 合作,或提供 Dragos 兼容的导出格式;评估 IR 预留服务能否在 Armis/ServiceNow 规模下跑通 |
| Nozomi-Mitsubishi OEM 分销风险 | Mitsubishi Electric 可能把 Nozomi 传感器嵌入工业设备 OEM,在 Mitsubishi 大量工厂设备装机基础中形成内置竞争选项 | Mitsubishi 在日本 / APAC 拥有庞大工业客户群;在设备中 OEM 捆绑 CPS 安全传感器,可能让 Nozomi 在 APAC OT 部署中成为默认选项 | 中长期 — OEM 捆绑时间线 2-3 年;Mitsubishi 集中在日本 / APAC,短期内与 Armis 的美国 / 欧洲企业重心直接重叠有限 | 跟踪 Mitsubishi 产品公告,观察 Nozomi OEM 捆绑;Armis 在 APAC 的主要存在感可能来自 ServiceNow 的 APAC 企业关系——尽调中需评估 APAC GTM 策略 |
严重性评级为分析师判断(高 / 中 / 低),基于公开可得的竞争证据。该市场细分没有公开可得的量化市场份额或胜率数据。
[CP027, CP028, CP029, CP030, CP031, CP032]3.5 商品化风险与替代威胁
主要商品化风险来自供应商集合中资产发现能力趋同。随着 Armis、Claroty、Nozomi、Forescout 和 Microsoft 都扩展设备知识库,资产发现 / 清单用例正在商品化——差异化转向威胁情报深度、合规报告、SOAR 集成和执行能力。Armis 的 7B 设备知识库是当前护城河,但如果竞争对手大举投资协议库和 AI 驱动设备指纹识别,这道护城河并不永久。 Microsoft 捆绑风险是短期最负面的威胁。Microsoft 将 Defender for IoT 纳入企业协议,为 IT 中心组织提供了「足够好」选项。Gartner 分析师 Dale Peterson 指出,Gartner 的 OT Visibility MQ 品类框架未完全捕捉 pure-OT security(Armis 深度弱于 Claroty/Dragos)与 IT/IoT convergence(Armis 领先)之间的差异。主要暴露在 IT / 企业 IoT 的组织,可能整合到 Microsoft,而不是购买 Armis——这一替代路径可通过 ServiceNow 收购带来的生态定位得到部分缓释。 Dragos 的 North American 聚焦有限(被 Gartner 2026 批评)以及 Nozomi 失去独立性(Mitsubishi 收购),都是 pure-play OT 细分的不利信号:该整合利好 Armis 和 Claroty,但也表明独立 CPS 平台市场可能在未来 2-3 年继续通过收购或平台捆绑整合。2025-2026 收购浪潮(Mitsubishi 收购 Nozomi、ServiceNow 收购 Armis、OTORIO 部分整合)说明市场正进入有利于规模玩家的整合阶段。
3.6 图表附录
04财务
4.1 收入来源与定价模型
Armis 收入几乎全部来自 Centrix 平台的 SaaS 订阅。核心授权模型按资产数量分层:企业按受管设备区块付费(500–9,999 项资产区间内,每区块 $26,000–$50,000),或为无代理网络发现部署按网络端口付费($3,100–$3,500)。附加模块——Armis AI 风险评分、威胁情报 feed 和 CAASM 能力——作为叠加在基础平台上的增量订阅销售。Professional services(实施、集成和定制配置)估计占收入不到 10%,与 Armis 由伙伴主导的部署模型一致。MSSP 和渠道细分正在增长,驱动力来自 January 2026 的 Armis Select Partner Program。收入确认遵循年度和多年合同的 SaaS 分期确认处理;递延收入和专业服务交付节奏可能造成 ARR 与已确认 GAAP 收入之间的缺口,但尚未披露具体 ARR 到收入的调节表。
| 收入流 | 描述 | ARR 估计占比 | 增长驱动 | 毛利率特征 |
|---|---|---|---|---|
| 平台 SaaS 许可 | 按资产 / 端口订阅 Armis Centrix 发现与监控 | ~85–90% | 新企业客户签约;设备覆盖扩张 | 高(软件毛利率估计 ~75–80%) |
| 附加模块 | Armis AI 风险评分、威胁情报源、CAASM;作为增量订阅销售 | ~5–8% | 向既有 Centrix 客户加售;AI 和 CAASM 采用 | 高(与基础平台共用云基础设施) |
| 专业服务 | 实施、集成、定制配置;主要由合作伙伴交付 | <8% | 新客户上线;合作伙伴承担大部分交付 | 较低(按 SaaS 基准估计 ~30–50%) |
| MSSP / 渠道转售 | 通过 VAR、MSSP 和 GSI 做托管服务交付与转售 | ~3–5%(增长中) | Armis Select 于 Jan 2026 推出;基于结果的激励 | 中(与合作伙伴分成) |
| 高级支持与 CSM | 分层企业支持包和客户成功管理 | ~2–3% | 企业扩张;多年期续约支持 | 高(复用现有 CS 团队) |
收入结构估算由价目表、行业 SaaS 基准和公司表述交叉推算。公司尚未披露官方收入拆分。
[CI001, CI009, CI016, CI036, CI020]4.2 Go-to-Market Motion 与销售效率
Armis 主要通过直销企业 motion 销售,面向 OT、医疗和政府垂直中的大规模交易;由于 PoC 要求、多利益相关方审批和合规审查,销售周期为 6 到 18 个月。公司大力建设全球系统集成商(GSI)生态,包括与 Accenture、KPMG、Deloitte、PwC,以及云 hyperscaler AWS 和 Google 的共售与实施伙伴关系。January 2026,Armis 推出不设层级的 Armis Select Partner Program,用结果导向和参与度导向激励替代按销量划分的伙伴层级。该结构性变化意在降低 MSSP 和小型专业伙伴入驻摩擦,在不按比例增加直销 S&M 开销的情况下扩大间接分发。获客成本和 CAC 回收期未披露;企业网络安全 SaaS 的行业代理指标显示,在类似交易规模下回收期为 12–24 个月。直接与间接渠道的收入拆分未披露。
| 定价档位 | 覆盖范围 | 单位价格 | 参考 ACV | 备注 |
|---|---|---|---|---|
| 按端口(发现) | 基于网络端口的无代理发现 | $3,100–$3,500/port | 随交换机数量变化 | 通常用于既有 OT 和 IT 网络部署报价 |
| Block Tier 1(500–1,499 个资产) | 托管资产包 | $26,000/block | $26K–$78K ACV | 入门级企业;医疗、中端市场 |
| Block Tier 2(1,500–2,499 个资产) | 托管资产包 | $35,000/block | $35K–$105K ACV | 中型企业;OT 制造、金融 |
| Block Tier 3(2,500–9,999 个资产) | 托管资产包 | $50,000/block | $50K–$500K ACV | 大型企业;关键基础设施、Fortune 500 |
| 企业自定义(10,000+ 个资产) | 全平台部署 | 协商定价 | $500K–$5M+ ACV 估计 | 多年期、多站点;政府和 Fortune 10 账户 |
定价来自 May 2025 Armis 渠道伙伴价目表。企业自定义定价(>10,000 个资产)需协商;展示档位为标价。
[CI006, CI007, CI008, CI038]4.3 成本结构与利润率驱动
Armis 的成本结构符合工程密集、云原生 SaaS 公司,同时叠加重企业销售覆盖。毛利率未披露,但基于网络安全 SaaS 同业基准(CrowdStrike、Zscaler、Claroty)估计为 70–80%。云基础设施、7 billion 台跟踪设备的数据摄取处理,以及客户成功人员,是主要 COGS 组成。R&D 估计占 ARR 的 25–35%(FY2025 为 $75–105M),反映 13 个月内三起收购和持续内部路线图。销售与营销支出按企业 SaaS 基准和 Armis 激进直销团队建设,可能占收入 50–70%。Armis 约有 950 名员工(52% 美国,29% 以色列),分布符合美国商业化重、以色列 R&D 中心支撑的运营形态。March 2025 OTORIO 整合导致 80 名 OTORIO 员工中的 45 人被裁撤——这是有意的成本合理化,说明管理层在收购后愿意优先考虑财务纪律,而不是保留员工人数。
| 指标 | 已披露值 | 估计值 | 基准对照 | 置信度 |
|---|---|---|---|---|
| 毛利率 | 未披露 | 70–80% | CrowdStrike ~76%,Zscaler ~79%,Claroty 估计 ~75% | 低 |
| R&D 支出(占 ARR %) | 未披露 | 25–35% (~$75–105M FY2025) | SaaS 网络安全中位数 ~20–30% | 低 |
| S&M 支出(占收入 %) | 未披露 | 50–70% | 超高增长 SaaS 同行:55–75% | 低 |
| 净收入留存(NRR) | 未披露 | 110–130%(估计) | 前四分位 SaaS 网络安全:120–135% | 低 |
| 每融资 1 美元对应 ARR | 未披露 | 截至 Nov 2025 为 $0.26/$ | ARR 达 $500M 的 SaaS 中位数:$0.20–$0.40/$ | 低 |
所有数据均基于 SaaS 基准和公开可得代理指标估算;Armis 尚未披露官方单位经济数据。
[CI021, CI022, CI024, CI030, CI037]4.4 资本充足性与融资历史
Armis 在 18 个月内完成三轮外部融资:October 2024 以 $4.3B 估值完成 $200M 成长轮,July 2025 以 $4.5B 估值完成 $100M 员工老股,November 2025 以 $6.1B 估值完成 $435M pre-IPO 轮,由 Goldman Sachs Alternatives 领投,CapitalG 和 Evolution Equity 参与。所有轮次累计披露融资约 $1.17B。November 2025 轮原本用于在 2026 IPO 前支持公司通向 $500M ARR 且现金流转正;该路径后被 ServiceNow 收购替代。ServiceNow 以全现金 $7.75B 收购 Armis(较上一轮估值溢价约 27%),资金来自账上现金和 JPMorgan Chase 提供的 $4B 无担保定期贷款。交易于 April 19, 2026 交割。作为 ServiceNow 全资子公司,Armis 的独立 runway 和融资依赖已解决;资本充足性现在由 ServiceNow $180B+ 上市公司资产负债表决定。$7.75B 收购价对应 $340M+ ARR 约 22x ARR 倍数——高于 2025 年网络安全上市公司可比倍数(15–18x),但反映了 Armis 的高增长轨迹和平台差异化。
| 事件 | 日期 | 金额 | 投后估值 | 领投方 / 结构 |
|---|---|---|---|---|
| Series D 增长轮 | Oct 2024 | $200M | $4.3B | General Catalyst, Alkeon Capital |
| 员工老股出售 | Jul 2025 | $100M(二级交易) | $4.5B | 无新增主融资;员工流动性事件 |
| Pre-IPO 轮 | Nov 2025 | $435M | $6.1B | Goldman Sachs Alternatives(领投)、CapitalG、Evolution Equity |
| ServiceNow 收购(已宣布) | Dec 22, 2025 | $7.75B(收购要约) | $7.75B(收购价) | ServiceNow 现金 + $4B JPMorgan 定期贷款 |
| ServiceNow 收购(已交割) | Apr 19, 2026 | — | — | Armis 成为 ServiceNow 全资子公司 |
所有融资事件均来自公开新闻稿和 SEC 文件。收购后,独立资本充足性问题由 ServiceNow 的资产负债表替代。
[CI011, CI012, CI013, CI015, CI031]4.5 财务缺口与结论
Armis 在整个运营历史中均为私营公司,因此没有公开可得的经审计 GAAP 财务报表。关键未披露指标包括毛利率、NRR、GDR、获客成本、CAC 回收期、经营亏损、自由现金流,以及客户基础的 ACV 分布。CEO 曾公开承诺 IPO 前达到现金流转正,这是正面信号;但 FY2024–FY2025 的三起收购 M&A 策略说明至少到 mid-2025 可能仍为负 FCF。ARR 相关指标是 Armis 主要公开财务语言;仅凭公开数据无法验证 ARR 质量是否由高 NRR、持久合同期限和低流失支撑。约 22x ARR 的 $7.75B 收购,并获得 Goldman Sachs 和 CapitalG 等机构投资人背书,是目前最强的收入质量信号。收购后,Armis 财务将嵌入 ServiceNow 分部报告,独立财务可见性进一步下降。主要尽调结论:收入动能和增长质量有吸引力;结构性财务不透明,是任何独立财务评估的决定性限制因素。
| 数据点 | 是否披露? | 最佳公开估计 | 置信度 | 尽调影响 |
|---|---|---|---|---|
| 经审计 GAAP 财务报表(P&L、资产负债表、现金流) | 否 | N/A — 无 SEC 文件;无 S-1;私营公司 | N/A | 关键 — 无法独立核验 |
| 毛利率 | 否 | 70–80% 估计(同行基准) | 低 | 高 — 毛利率通向盈利的路径无法核验 |
| 净收入留存 / 总美元留存 | 否 | 110–130% NRR 估计(分析师推断) | 低 | 高 — 缺少收入韧性信号 |
| 现金头寸和烧钱速度 | 否 | 完成 $435M 轮次后:资金充足;烧钱可能使 FCF 到 2025 年仍为负 | 低 | 中 — 收购使独立资金续航期问题不再是核心 |
| ARR 与 GAAP 收入调节 | 否 | 因多年期递延确认,GAAP 收入估计低于 ARR | 低 | 中 — ARR 可能夸大近期确认收入 |
本表梳理公开来源拿不到的关键财务数据点,以及每个缺口对尽调的影响。
[CI026, CI027, CI028, CI029, CI030]4.6 图表附录
05产品与技术
5.1 平台定义与客户工作流
Armis Centrix 解决企业安全的核心问题:资产可见性。组织看不见设备,就无法保护设备;传统终端 agent 又漏掉 OT 控制器、医疗设备、智能楼宇系统和未托管 IoT,使企业攻击面中有 30% 至 60% 对安全团队不可见。Armis 的解法是用 SPAN 和镜像端口被动监控所有网络流量,在不安装软件、不打断运营的情况下,对每台通信设备做指纹识别。客户流程从在网络汇聚点部署 Armis 传感器(物理或虚拟设备)开始。数小时内,Centrix 发现并分类范围内所有资产,生成带实时 CMDB 信息的清单。随后,安全团队通过 Centrix 控制台或已集成的 SIEM、SOAR、ITSM 工具消费告警、风险分数和修复工作流,按业务影响而不是原始信号量排定响应优先级。面向制造、公用事业、油气和关键基础设施等 OT 环境,Centrix 解码 500-plus 种工业协议,包括 Modbus、DNP3、BACnet、Siemens S7、OPC-UA 和 PROFINET,从而在不干扰生产周期的情况下,为 PLC、SCADA 系统和工业控制器建立行为基线。医疗场景中,IoMT 模块增加按 FDA 和 HIPAA 映射的临床影响评分,让生物医学工程师和安全团队按患者风险而不是原始 CVSS 分数分诊输液泵、影像系统和呼吸机。统一的客户承诺是:持续、全面的资产智能,不打断运营,也不增加部署摩擦;Centrix 因而成为企业环境中每台联网设备的权威事实源。这让 Armis 位于 Gartner 定义的 CPS 保护平台 市场中,成为同时覆盖 IT、OT、IoT 和 IoMT、范围最广的单一平台选择,且运行在一个云实例中。
| 模块 | 主要买方 | 覆盖资产类型 | 成熟度 / 状态 | 关键差异化 | 尽调缺口 |
|---|---|---|---|---|---|
| Centrix for Asset Management & Security 资产管理与安全 | CISO、IT 安全、SOC 分析师 | IT、云、未管理设备 | GA — 自 2015 起为核心模块;成熟度最高 | 7B 设备知识库;RF/Wi-Fi/BLE 被动发现;CMDB 自动丰富 | 按模块 NRR 未披露;CMDB 在复杂混合环境中的准确性未验证 |
| Centrix for OT/ICS Security OT/ICS 安全 | OT 安全工程师、工厂经理 | PLC、SCADA、HMI、DCS、现场设备 | GA — OTORIO 收购(Mar 2025)后加深 | 500+ 个 OT 协议解码器(Modbus、DNP3、BACnet、S7、OPC-UA、PROFINET);仅被动;不扰动生产 | 本地部署 Titan 整合在 H1 2026 仍在推进;梯形图逻辑深度相对 Claroty 未验证 |
| Centrix for Medical Device / IoMT Security 医疗设备 / IoMT 安全 | 生物医学工程、医疗 IT | 联网医疗设备、影像设备、患者监护仪 | GA — 专用医疗 SKU | 映射 FDA/HIPAA 的临床影响评分;按患者风险排序,而不是只看原始 CVSS | 临床结果证据有限;与 Claroty Medigate 的正面对比未独立验证 |
| Centrix for CAASM 模块 | 安全运营、风险与合规 | 横跨 IT/OT/IoT 的所有联网资产 | GA — 2022-2023 推出;采用率增长 | 统一量化网络资产攻击面;暴露评分结合修复优先级 | CAASM 市场仍早期;相对 Axonius 的竞争深度未独立基准测试 |
| Centrix for VMDR 模块 | 漏洞管理团队、SOC | 有已知 CVE 的 IT、OT、IoT 资产 | 近期 GA — 2025/2026 推出;早期采用 | 用 Silk Security IP 做 AI 优先级排序的 CVE 修复;公司称分诊减少 ~90% | 新 SKU;风险优先级准确性未经第三方审计;缺少独立基准 |
| Centrix for Application Security 应用安全 | AppSec 团队、DevSecOps、CISO | Web 应用、API、SDLC 管线 | 早期采用 — 目标 2026 GA | 在 Centrix 单一控制台中统一 AppSec 态势 | 最新 SKU;相对 Snyk/Veracode/Checkmarx 的深度未验证;平台焦点稀释风险 |
| Centrix for Secure Remote Access 安全远程访问 | OT 工程师、远程操作员 | 需要远程访问的 OT 环境 | 整合中 — 来自 OTORIO 的零信任 OT 远程访问 | 零信任 OT 远程访问与资产清单集成;消除 OT 的 VPN 蔓延 | 与 Centrix 云的整合完整度未确认;OTORIO 裁员可能限制路线图 |
模块状态截至 H1 2026。VMDR 和 Application Security 是最新 SKU。Secure Remote Access 来自 OTORIO,仍在整合。成熟度评级基于产品年限、GA 状态和公开客户证据推断。
[CE008, CE009, CE010, CE011, CE012, CE013]层级边界是逻辑功能层,不是严格部署边界。Armis 平台是云原生 SaaS。OTORIO Titan 在概念上位于采集层和智能层之间,用于隔离 OT 部署。集成层代表 200+ 连接器;图中只展示部分示例。
[CE001, CE003, CE004, CE005, CE006, CE007]5.2 技术架构与运营模型
Armis Centrix 架构分为三个逻辑层:采集、智能和动作。采集层中,Armis 传感器(软件定义的虚拟设备,可部署在通用 x86 硬件、VMware、AWS 或 Azure VM 上)连接 SPAN 端口或网络分流器,捕获原始流量元数据。传感器先在本地预处理和加密,再只把元数据而非 数据包载荷传到 Armis 云,既保护网络性能,也回应数据驻留顾虑。对物理隔离 OT 环境,OTORIO Titan 本地平台在本地捕获和处理数据,并安全地定期同步到 Centrix 云分析;但截至 H1 2026,这项整合仍在推进。智能层中,Armis Asset Intelligence Engine 是专有 AI/ML 数据湖,会把捕获的元数据与持续更新的知识库关联;知识库包含 7 billion 以上设备行为指纹、漏洞关联和威胁情报源,用于分类、评分并画像每个资产。该引擎用专门协议解码器,对 500-plus 种 OT 和 IoT 协议做深度包检测,可在不扰动运营流量的情况下识别 Siemens S7、Modbus、DNP3、BACnet、OPC-UA 和 PROFINET 中的固件版本、通信模式和异常行为。AI 模型叠加 2024 年 2 月 CTCI 收购 IP 和 2024 年 4 月 Silk Security 风险优先级逻辑,在多维风险指数上为每项资产打分,纳入漏洞严重性、资产业务价值、暴露场景和威胁行为者相关性。动作层中,Centrix 暴露 REST API v3 和 200-plus 个预构建连接器,连接 SIEM、SOAR、ITSM、EDR、NAC、CMDB 和云平台。隔离、创建工单、推送防火墙策略等修复动作经这些集成流转,而不是由 Armis 直接执行,从而保留平台的被动、非侵入式架构。Python SDK(PyPI 上的 armis-sdk)和 developers.armis.com 的 Armis Developer Portal,为自定义集成和自动化工作流扩展平台。
| 用户任务 | 当前工作流(无 Armis) | Armis Centrix 方案 | 可衡量收益(公司声称 / 估计) | 关键限制 |
|---|---|---|---|---|
| 资产发现与清单 | 手工电子表格、周期性主动扫描、CMDB 手动更新;OT 和 IoT 中 30-60% 资产会漏掉 | 通过 SPAN/tap 持续被动发现;实时自动分类并丰富 CMDB | 24-72 小时内完成资产清单;省掉手工 CMDB 更新工作 | 初始传感器部署需要网络变更管理;为保证准确性,需要持续与 ServiceNow 做 CMDB 对账 |
| OT 威胁检测 | 基于签名的 IDS 或手工日志审查;工业协议内容对 IT 中心化 SIEM 不透明 | 对 Modbus、DNP3、BACnet、S7、OPC-UA、PROFINET 做深度包检测;行为基线;异常告警 | 能发现 IT 安全工具看不到的协议级异常和未授权命令;零运营扰动 | 仅被动意味着没有内联阻断;执行需要第三方 NAC 或防火墙集成 |
| 医疗设备风险优先级排序 | 只看 CVSS 会把打印机和 ICU 呼吸机同等处理;生物医学团队被无差别告警淹没 | 临床影响评分把设备关键性(连接患者、维持生命)映射到风险分数;纳入 HIPAA/FDA 语境 | 优先处理影响患者的设备,从而减少生物医学安全告警积压 | 临床影响评分方法未经独立审计;需要按医疗场景调优部署 |
| 漏洞优先级排序与修复 | Tenable/Qualys 扫描会产生成千上万条 CVE;手工分诊耗时数周;OT 设备不兼容主动扫描 | Centrix VMDR 把被动发现与 AI 风险评分(Silk Security IP)结合,按可利用性、暴露度和业务影响对 CVE 排序 | 按公司说法,分析师分诊时间减少 ~90%;被动漏洞识别对 OT 安全 | VMDR 是新 SKU;分诊准确性说法未独立基准测试;CVE 数据依赖 NVD/厂商公告 |
| 监管合规报告 | 手工资产清单与合规框架交叉比对;过期电子表格导致审计发现 | Centrix 自动把所有发现资产映射到 NERC CIP、HIPAA、IEC 62443、NIST SP 800-82 控制项 | 自动生成合规证据;为 CISO 和审计团队提供实时态势仪表盘 | 框架映射准确性取决于资产分类是否正确;定制 / 遗留资产可能需要手工打标签 |
收益除非标注独立验证,否则为公司声称或行业估计。数字来自 Armis 案例研究、官方新闻稿和技术简报。
[CE003, CE004, CE005, CE007, CE025, CE029]该流程代表典型企业从安装传感器到持续运营的部署旅程。医疗 IoMT 和 OT 工作流阶段相同,只是在第 3 和第 4 阶段 加入领域专属配置。时间线是 Armis 实施伙伴经验和公开部署指南给出的典型区间。
[CE003, CE005, CE007, CE009, CE025, CE027]5.3 部署、集成与路线图
Armis Centrix 支持三种部署模式:AWS 上完整云原生 SaaS(US-East, US-West, EU-West);混合模式,即传感器 在本地、分析在云端;以及通过 OTORIO Titan 面向机密或隔离 OT 环境的物理隔离本地部署。联邦部署通过 Armis Federal LLC 在 AWS GovCloud 上运行;该专门联邦子公司为单独持有 FedRAMP 和 DoD 授权而设立,与商业运营隔离。FedRAMP Moderate 和 DISA IL4 于 2023 年取得;DoD IL5 于 2026 年 2 月 23 日获授权,使最高 SECRET 级别的分类工作负载成为可能。截至 H1 2026,FedRAMP High 授权仍在推进,公司承诺目标为 H2 2026。部署复杂度随环境变化:仅 IT 用例的云 SaaS 部署可在数天内运行;OT 和医疗部署通常需要 4 至 12 周,用于传感器布点、协议调优和策略配置,常由 Accenture、Deloitte、KPMG 等 Armis 认证集成商支持。2026 年 1 月推出的 Armis Select Partner Program 用按结果计励替代传统合作伙伴层级,降低 MSSP 和区域集成商入驻摩擦。集成成熟度是关键差异化:200-plus 个预构建连接器和原生 ServiceNow 集成,降低已投入 ITSM 和 SIEM 生态的企业客户实施负担。截至 H1 2026,路线图包括:FedRAMP High 目标 H2 2026 完成;Centrix for Application Security 已在 2025 年推出,带 SDLC 集成并处早期采用;OTORIO Titan 本地平台与 Centrix 云分析的整合正在推进且部分完成;2026 年 4 月收购交割后,更深嵌入 ServiceNow ITSM、SAM 和 HAM 工作流。2024 年 2 月 CTCI、2024 年 4 月 Silk Security、2025 年 3 月 OTORIO 三笔收购,都增加了路线图表面积和整合工作流,与核心平台发布节奏争夺工程带宽。
| 层 / 组件 | 角色 | 关键技术 / 协议 | 依赖 | 风险 |
|---|---|---|---|---|
| Armis Sensor(虚拟 / 物理) | 通过 SPAN 端口或网络 tap 捕获原始网络流量;云端传输前预处理并加密元数据 | SPAN/TAP 镜像;TLS 1.3 传输;运行在 x86 VM(VMware、AWS、Azure)或物理设备上 | 网络基础设施(SPAN 端口可用性);客户批准传感器放置 | 高带宽环境中的 SPAN 端口饱和;传感器 VM 可用性和补丁依赖 |
| OTORIO Titan(本地部署 OT 引擎) | 面向气隙环境在本地处理 OT 网络流量;定期安全同步到 Centrix 云 | 本地部署;OT 协议解码器;定期向云分析安全导出数据 | OTORIO 收购(Mar 2025);Centrix 云整合完整度在 H1 2026 仍在推进 | 整合延误会拉大气隙客户的功能同等差距;OTORIO 裁员(80 人中 45 人被裁)可能拖慢路线图 |
| Armis Asset Intelligence Engine(云) | 对所有发现资产做 AI/ML 分类、行为基线和风险评分 | 专有 AI/ML;7B+ 设备指纹数据库;CTCI AI 威胁检测 IP;Silk Security 风险优先级 IP | Armis 云基础设施(AWS);持续更新指纹;ML 模型重训管线 | AI 模型训练数据来源未披露;新型或专有 OT 设备的指纹准确性未验证 |
| 协议解码器 | 对 500+ 个工业和 IoT 协议做深度包检测,用于行为分析和异常检测 | 协议覆盖:Modbus、DNP3、BACnet、Siemens S7、OPC-UA、PROFINET、DICOM、HL7、BLE、Zigbee | 协议库维护;新协议版本和厂商扩展需要更新解码器 | 部分 Siemens 和 Rockwell PLC 上,梯形图逻辑级解码(Claroty 强项)可能深过 Armis |
| REST API v3 和 Python SDK | 向外部系统和自定义自动化开放资产、告警、漏洞和集成数据 | REST API v3;armis-sdk Python 包(PyPI);Armis Developer Portal(developers.armis.com) | API 版本管理和向后兼容;Python SDK 维护节奏 | 主要版本之间的 API 稳定性未独立基准测试;SDK 更新节奏未公开披露 |
| 200+ 预构建集成 | 与 SIEM、SOAR、ITSM、EDR、NAC、CMDB 和云平台双向交换数据 | 集成对象:ServiceNow、Splunk、Microsoft Sentinel、CrowdStrike、Palo Alto XSOAR、Cisco ISE、AWS、Azure、GCP、Tenable | 第三方 API 稳定性;200+ 个连接器的集成维护 | 维护 200+ 个连接器会持续消耗工程成本;较小众平台的连接器新鲜度未验证 |
架构基于 Armis 官方文档、开发者门户、技术简报和 SDK 文档推断。内部 ML 模型架构和云端子服务细节未公开披露。
[CE005, CE006, CE001, CE003, CE004, CE039]依赖图展示 Armis Centrix 平台运行的关键外部依赖。边的方向表示依赖关系:源节点依赖目标节点。关键性评级是分析师基于可替代性 和故障影响作出的判断。April 2026 收购后,ServiceNow 依赖被上调。
[CE001, CE005, CE006, CE015, CE016, CE017]5.4 差异化与竞争护城河
Armis 的核心竞争护城河建立在四个相互强化的支柱上。第一,被动、无 agent 架构:Centrix 不需要安装软件、不做主动扫描、不中断网络。OT 和医疗环境中,设备所有者禁止安装 agent,主动扫描还可能触发安全停机或设备故障,这一点至关重要。没有主要 CPS 保护平台 声称能在 IT、OT、IoT、IoMT 同时做到 100% 被动运行;Claroty 和 Nozomi 在 OT 需要 SPAN 和 TAP 基础设施,但不借助额外工具就无法把原生被动覆盖扩展到企业 IT。第二,专有设备知识库:Armis 自称经过 9 年、跨企业、OT、医疗和政府客户环境积累 7 billion 以上行为指纹,是 CPS 安全市场最大的专有设备智能资产。这个数据飞轮意味着每个新部署都会增加指纹,进而提升所有客户的分类准确率;相比从零或开源来源搭建库的竞争对手,准确率优势会复利。第三,OT、IT 和 IoT 在一个平台内收敛:竞争对手要么专精(Dragos 做 OT 威胁情报;Claroty 做 OT 协议深度),要么泛化但深度不足(Microsoft Defender for IoT 在非 Azure 环境)。Centrix 是唯一在单一云原生 实例中覆盖三类攻击面的平台。第四,生态深度:200-plus 个预构建集成、能让 8,100-plus ServiceNow 企业客户自动化工作流的 ServiceNow 原生集成,以及来自 Silk Security IP 的 AI 驱动风险优先级(宣称可将分析师分诊时间减少约 90%),共同降低企业规模运行 Centrix 的运营负担。Early Warning System 结合暗网情报监控、动态蜜罐欺骗和威胁行为者建模,增加了主动威胁狩猎能力;多数 CPS 平台竞争对手并不原生提供。ServiceNow 收购后,Armis 借助 ServiceNow 企业协议和平台生态获得分发杠杆。
| 控制项 / 认证 | 状态 | 范围 | 主管机构 / 颁发方 | 缺口 / 尽调备注 |
|---|---|---|---|---|
| FedRAMP Moderate | 已授权(2023) | Armis Centrix SaaS 平台;美国联邦民用机构 | FedRAMP PMO / GSA | 仅 Moderate 基线;没有 IL4/IL5 overlay 时,不足以覆盖涉密或 HIGH-impact 联邦系统 |
| DISA IL4 | 已授权(2023) | DoD 非涉密任务工作负载;Controlled Unclassified Information | DISA 机构:Defense Information Systems Agency(DISA) | IL4 不覆盖 National Security Systems 或 SECRET-level 工作负载;这些需要 IL5 |
| DoD IL5 | 已授权(February 23, 2026) | DoD SECRET-level 和 National Security Systems 工作负载;Armis Federal LLC 子公司 | DISA 机构:Defense Information Systems Agency(DISA) | 最新授权;截至 H1 2026,IL5 涉密工作负载规模下的运营经验有限 |
| FedRAMP High | 进行中(目标 H2 2026) | 高影响联邦系统(FISMA High);最高民用分类等级 | FedRAMP PMO / GSA | 尚未获授权;完成时间是公司承诺,暂无独立确认 |
| SOC 2 Type II | 已认证(当前) | 安全性、可用性、保密性信任服务准则;Armis 云平台 | 独立审计机构(公司未公开) | 报告未公开;企业潜在客户须在 NDA 下申请 |
| ISO 27001 | 已认证(当前) | 信息安全管理体系;Armis 公司与云端运营 | 认可认证机构(未公开名称) | 认证范围(具体产品、站点)未公开详述 |
| ISO 27018 | 已认证(当前) | 云端个人数据保护;Armis SaaS 数据处理 | 认可认证机构(未公开名称) | 面向 GDPR 范围客户的 EU 数据驻留要求可能还需额外评估 |
| UK G-Cloud-14 | 已列名(2024) | UK 公共部门云采购;Armis Centrix 服务 | 英国采购框架:UK Crown Commercial Service / Digital Marketplace | 列名确认具备资格;单个 UK 机构采购仍需单独安全审查 |
合规状态截至 May 2026,依据 Armis 官方公告和联邦授权记录。公司称 FedRAMP High 正在推进;尚未发布正式 DISA/FedRAMP High 授权确认。
[CE020, CE021, CE022, CE023, CE024, CE042]成熟度评级是分析师基于产品年限、GA 状态、客户采用信号和公开证据作出的判断。市场强度按各领域直接竞品相对估计。评级是序数 (强 / 中等 / 新兴 / 进行中),不是数值分。
[CE008, CE009, CE010, CE011, CE012, CE013]5.5 信任、合规与质量控制
Armis 拥有覆盖商业、联邦和国际标准的完整合规组合。联邦侧,2023 年取得的 FedRAMP Moderate 和 DISA IL4 覆盖美国联邦民用与 DoD 非机密工作负载;DISA 于 2026 年 2 月 23 日签发的 DoD IL5 授权允许处理 Controlled Unclassified Information 和 National Security Systems 数据,这是大多数 DoD 和情报社区部署的要求;FedRAMP High 正在推进,目标为 H2 2026。商业和国际合规方面,Armis 持有 SOC 2 Type II,覆盖安全、可用性和保密性信任服务准则;ISO 27001 覆盖信息安全管理;ISO 27018 覆盖云端个人数据保护。UK Government G-Cloud-14 名录 让英国公共部门无需单独招标流程即可采购 Armis Centrix。平台只做被动监控,带来结构性隐私和安全优势:Centrix 只捕获元数据、从不注入流量,因此不会扰动 OT 设备运行、外传数据包载荷或引发网络风暴;主动扫描替代方案无法匹配这一信任保证。传输中数据使用 TLS 1.3 加密,静态数据使用 AES-256 加密。基于角色的访问控制、SSO 与 SAML 集成、审计日志是标准平台功能。医疗部署中,IoMT 模块把发现项映射到 HIPAA Security Rule controls,以及 2023 最终规则发布的 FDA 医疗设备网络安全指南。Armis 提供 24/7 企业支持、公开状态页,以及关键漏洞情报交付的明确 SLA。Early Warning System 针对客户环境中存在的资产类别,提前提供新型威胁行为者活动情报,使客户能在利用事件发生前主动打补丁并做网络分段。
| 里程碑 / 功能 | 日期 / 阶段 | 状态 | 战略影响 | 来源 / 置信度 |
|---|---|---|---|---|
| 收购 CTCI AI Cybersecurity | February 2024 | 已完成并整合 | 把 AI 驱动的威胁检测和行为异常 IP 加入 Centrix 情报引擎 | Armis 官方公告;高置信度 |
| 收购 Silk Security Risk Prioritization | April 2024 (~$150M) | 已完成并整合进 VMDR 模块 | Silk IP 支撑分析师分诊减少 ~90% 的说法;是 2025/2026 年推出的 VMDR SKU 核心 | 官方公告和媒体报道;高置信度 |
| 收购 OTORIO OT 与网络物理安全能力 | March 2025 ($120M) | 已完成;整合进行中 | 补上 Titan 本地 OT 平台、Zero Trust 远程访问 SKU 和隔离网 OT 覆盖 | Armis 官方和 BusinessWire 新闻稿;TechCrunch;高置信度 |
| DoD IL5 授权 | February 23, 2026 | 已完成并获授权 | 打开 DoD 与 NSS 机密工作负载合同;是联邦扩张的重要抓手 | BusinessWire 和 Armis 博客;DISA 授权记录;高置信度 |
| Centrix for VMDR 全面可用 | 2025 / Early 2026 | GA,已有早期采用 | 让 Armis 能在漏洞管理市场与 Tenable、Qualys 竞争 | Armis 产品博客和 TechNewsHub 报告;中等置信度 |
| Centrix for Application Security 应用安全 | 2025(早期采用);GA 目标 2026 | 早期采用;GA 推进中 | 切入邻近新市场(AppSec/SDLC);若采用慢,平台焦点可能被稀释 | Armis 产品公告;中等置信度 |
| OTORIO Titan 本地部署与 Centrix Cloud 整合 | H1-H2 2026(进行中) | 部分完成;整合持续 | 隔离网 OT 客户离不开它;若延迟,云端与本地部署的功能对等差距会拉长 | 由 OTORIO 收购时间线和部分整合信号推断;中等置信度 |
| FedRAMP High 授权 | H2 2026(目标) | 进行中 | 最高敏感度民用联邦工作负载的必要条件;打开 FISMA High 机构合同 | 新闻材料中的公司承诺;未获独立确认;中等置信度 |
| ServiceNow ITSM/HAM/SAM 深度整合 | H2 2026 之后(收购后) | 规划中;收购后整合路线图 | 把 Armis 工作流嵌入 ServiceNow 企业协议;分发触达扩至 8,100 多个 ServiceNow 客户 | 由 ServiceNow 收购逻辑推断;中等置信度 |
路线图条目来自 Armis 官方公告、新闻稿和公司声明。未来里程碑属于公司承诺;H1 2026 之后预计完成的事项暂无独立完成验证。
[CE012, CE013, CE014, CE015, CE016, CE017]5.6 证据项
06客户
6.1 客户基础分层
Armis Security 的客户群集中在大型企业,这些企业运营复杂、异构的网络环境,横跨传统 IT、运营技术 (OT) 和物联网 (IoT) 设备。公司渗透最深的垂直行业包括医疗(IoMT 安全和临床设备管理)、制造与工业(OT/ICS 资产可见性与安全)、能源与公用事业(关键基础设施保护)、联邦政府(FedRAMP Moderate 和 DoD IL5 部署)、金融服务、教育和电信。 从地域看,Armis 以美国为先——约 52% 员工在美国,反映主要客户集中度——同时在 EMEA 和 APAC 持续扩张。买方画像主要是 1,000+ 员工组织中的企业 CISO 和 VP of IT Security;不过 TrustRadius 数据确认,小到 1,500 名员工的学区也有部署(East Moline School District 37)。交易规模偏大:Fortune 500 和 Global 2000 公司是最高优先级客户群;活跃客户中有 9 家 Fortune 10 和 35+ 家 Fortune 100,印证这一点。产品几乎完全以企业 SaaS 订阅销售,典型合同为 1-3 年。渠道和合作伙伴覆盖 200+ 项技术集成,包括 Microsoft、Cisco、Palo Alto Networks 和 Elisity;Elisity 在其 微分段平台中使用 Armis Centrix API 做策略执行。
| 维度 | 细分详情 | 证据 |
|---|---|---|
| 行业垂直 | 医疗(IoMT)、制造 / OT、能源 / 公用事业、联邦政府、金融服务、教育、电信 | SU008, SU009 |
| 地理 | US 为主(员工数 ~52%);EMEA 和 APAC 增长;全球客户基础 | SU007, SU010 |
| 买方画像 | 企业 CISO / IT 安全副总裁;典型客户 1,000+ 名员工;也有部分 SMB(TrustRadius 上 1,500 名员工的 K-12 学区) | SU004, SU005 |
| 客户规模 | 35+ 家 Fortune 100;9 家 Fortune 10;Global 2000 与中端市场企业 | SU001, SU012 |
| 渠道 | 企业直销(主渠道);200+ 个技术伙伴;Elisity 使用 Armis Centrix API | SU006, SU007 |
| 收入区间 | 企业 SaaS;典型合同 1-3 年;ARR $340M+(Dec 2025) | SU011, SU012 |
| 使用场景 | 资产发现 / 可视化、OT/IoT 安全、CAASM、IoMT、VMDR、Early Warning | SU008, SU009 |
分层基于 Armis 公开披露、行业页面内容和第三方评论。地理拆分由员工数数据估算。渠道数据来自合作伙伴生态披露。
[CU001, CU002, CU003, CU004, CU005, CU006]6.2 采用轨迹与增长指标
Armis 的采用轨迹处于网络物理系统 (CPS) 安全市场最强一档。公司披露 ARR 里程碑:2024 年 8 月 $200M,2025 年 8 月 $300M——12 个月内 YoY 增长正好 50%——并在 2025 年 12 月完成估值 $6.1B 的 $435M Series E 融资后,内部 ARR 已超过 $340M。公司在全球客户群中跟踪超过 7 billion 台设备,这个数字可作为平台使用量和网络广度的替代指标。 Gartner 在 2025 年和 2026 年均将 Armis 评为 Magic Quadrant for Cyber-Physical Systems Protection Platforms 的 Leader,确认市场认知和企业采用度提升。Series E 融资以及随后 ServiceNow 以 $7.75B 收购(2026 年 4 月),构成客户基础质量和增长轨迹的外部验证。公司还取得 FedRAMP Moderate 授权,打开联邦民用机构采购渠道;并在 2026 年 2 月取得 DoD Impact Level 5 (IL5) 授权,可通过专门的 Armis Federal LLC 子公司支持接近机密级的联邦部署。联邦客户群的 ARR 正在增长,但未作为单独项目披露。
| 指标 | 值 / 里程碑 | 时期 | 来源 |
|---|---|---|---|
| ARR | $200M | Aug 2024 | SU011 |
| ARR | $300M (+50% YoY) | Aug 2025 | SU011, SU012 |
| ARR | $340M+ | Dec 2025 | SU016, SU020 |
| YoY ARR 增长 | >50% | 2024-2025 | SU012 |
| 跟踪设备数 | 7B+ | 2025 | SU012 |
| Gartner MQ 位置 | 领导者(CPS Protection Platforms) | 2025 | SU014 |
| Gartner MQ 位置 | 领导者(CPS Protection Platforms) | 2026 | SU013 |
| 融资 / 估值 | $435M Series E 轮,估值 $6.1B | Nov 2025 | SU016, SU010 |
| 收购 | ServiceNow 以 $7.75B 收购 Armis | Apr 2026 | SU021, SU019 |
| FedRAMP 授权 | Moderate + DoD IL5 | 2023 / Feb 2026 | SU022, SU009 |
ARR 里程碑来自公司新闻稿和新闻报道。设备数量来自公司营销材料。Gartner MQ 位置来自连续年度报告。
[CU007, CU008, CU009, CU010, CU011, CU012]6.3 具名客户验证与结果
Armis 发布了大量案例研究和第三方评论。具名生产部署包括 East Moline School District 37(1,500 名员工,K-12 教育),该组织部署 Armis 做资产跟踪、拦截违规设备和流量分析;来自该组织的 TrustRadius 评论者称产品在网络分析上“节省了不可估量的时间”,并确认生产使用。一家 IT 服务公司(收入低于 $50M)的 Cyber Defense Center 负责人在 Gartner Peer Insights 给出 4.0/5,特别肯定 Armis 的无 agent 架构和 Security Risk Assessment (SRA) 能力,场景是高度监管环境。来自制造业场景的 PeerSpot 评论者确认 OT/IT 安全生产部署,重点是资产发现和漏洞识别。 市场顶部,9 家 Fortune 10 公司和超过 35 家 Fortune 100 组织是 Armis 客户,但这些以汇总指标披露,而非带结果数据的具名 客户背书。Armis 技术合作伙伴 Elisity 公开在生产中使用 Armis Centrix API 做微分段 策略执行。OTORIO 收购(2025 年 3 月)增加了 OT 原生能力,并推定带来 OT 客户背书,但这些尚未作为公开案例研究呈现。Armis 市场材料提到医疗(IoMT)客户和临床影响评分主张,但未找到独立核验的具名医疗案例研究。
| 客户 / 案例 | 行业 | 部署状态 | 成果 / 备注 | 新鲜度 |
|---|---|---|---|---|
| East Moline School District 37(TrustRadius 评价) | 教育(K-12) | 生产环境 | 资产跟踪、异常设备阻断、流量分析;节省难以估量的时间;1,500 名员工 | 2025-2026 |
| 网络防御中心负责人 - IT 服务(Gartner Peer Insights) | IT 服务 / 受监管行业 | 生产环境 | 4.0/5 评分;高监管环境中的 SRA 和无代理架构;正面背书 | Dec 2025 |
| PeerSpot 制造业评论者 | 制造 / OT | 生产环境 | OT/IT 安全、资产发现、漏洞识别;确认正在生产环境使用 | 2024-2025 |
| Elisity(技术伙伴) | 技术 / SaaS | 生产环境整合 | 使用 Armis Centrix API 执行微分段策略;具名合作伙伴案例研究 | 2025 |
| 9 家 Fortune 10 / 35+ 家 Fortune 100(汇总) | 跨垂直行业 | 生产环境(未具名) | 公司声称;未披露单个 Fortune 10 名称;仅有高层级 logo 验证 | 2025 |
具名客户案例来自评论平台和公开披露。Fortune 10/100 汇总数量为公司声称,未披露个体名称。营销材料提到医疗客户,但未通过具名案例研究独立确认。
[CU014, CU015, CU016, CU017, CU018]6.4 留存、满意度与耐久性
Armis 不公开披露 Net Revenue Retention (NRR) 或 Gross Revenue Retention (GRR),这是私营公司常见的不透明指标。间接指标强正面:公司披露 Net Promoter Score (NPS) 为 70,按 NPS 基准标准属于“优秀”(>50 阈值)。截至 2025 年末,G2 显示 12 条评论、4.5 星评分。TrustRadius 评论者整体强烈推荐 Armis。Armis 提到客户成功动作中包含每两周一次的入门会议,暗示售后参与度高。 也有负面留存信号,但相对孤立。一条 2025 年 12 月发布的 Gartner Peer Insights 评论,来自一家 $30B+ 制造公司评论者,对 Armis 打出 3.0/5,指出 OT 专用告警自定义有局限,并称 OT 专用选项仍落后于竞争对手产品。PeerSpot 评论者用“并非完全稳定,有时可能发生事件”指出平台偶发不稳定。企业 SaaS 合同期限通常为 1-3 年,提供近端收入耐久性,也创造续约决策窗口。OTORIO 收购预计将处理负面评论中出现的 OT 专用缺口。
| 指标 | 数值 / 信号 | 方向 | 注意事项 |
|---|---|---|---|
| NPS(净推荐值) | 70(公司报告) | 正面 - 优秀基准(>50) | 自行报告;未获独立审计 |
| G2 评分 | 4.5 / 5.0(12 条评论) | 正面 | 评论样本小;可能有近因偏差 |
| Gartner Peer Insights - 正面 | 4.0/5(网络防御中心负责人) | 正面 | 样本 N 小;受监管行业语境 |
| Gartner Peer Insights - 负面 | 3.0/5($30B+ 制造商,Dec 2025) | 负面 - 指出 OT 缺口 | 单条负面评论;提到 OT 专属告警限制 |
| TrustRadius 评论 | 强烈推荐(East Moline SD37) | 正面 | 单条具名评论;教育垂直行业 |
| PeerSpot 稳定性信号 | 并非完全稳定,有时可能发生事故 | 警示 | 匿名评论者;制造垂直行业 |
| NRR / GRR | 未公开披露 | Unknown | 标准 SaaS 指标;缺失本身是信息缺口 |
| 合同期限 | 1-3 年(推断) | 有利于收入持久性 | Armis 未正式披露 |
| 客户成功动作 | 提到每两周一次的上线辅导电话 | 正面 | 评论者报告;显示售后参与积极 |
未公开披露 NRR 或 GRR。NPS 为公司报告。评论平台评分反映截至 May 2026 可访问的公开评论。合同期限根据典型企业 SaaS 惯例和评论者留言推断,Armis 未披露。
[CU019, CU020, CU021, CU022, CU023, CU024]6.5 扩张动力与集中度风险
Armis 采用先落地再扩张模式,客户通常先从一个产品模块开始——最常见是 CAASM (Cyber Asset Attack Surface Management) 或 IoT Security——随后添加 OT Security、Healthcare Security (IoMT)、Vulnerability Management and Detection Response (VMDR)、Early Warning(威胁情报)等模块。模块扩张是现有安装基数中的主要 ARR 增长驱动,与新增客户获取 互补。ARR 在 12 个月内从 $200M 增至 $300M,意味着扩张收入可观,不过 Armis 未拆分扩张 ARR 与新客户 ARR。 客户集中度风险真实存在,但需要细分看。9 家 Fortune 10 成为客户,是强客户标识背书故事,也带来品牌集中度风险——这个客户群 中任何公开不满或流失都会被过度放大。鉴于 Fortune 100 客户基础广泛,单一客户似乎不构成重大收入集中度。渠道集中度风险已随 ServiceNow 收购而改变:Armis 现在是 ServiceNow 业务单元,未来分发会越来越多经由 ServiceNow 企业销售团队。这引入一种风险:ServiceNow 自身 IT 工作流 客户可能被引向原生 ServiceNow 安全能力,而不是 Armis 专属模块。Application Security(2025)和 Automotive 等新垂直是扩张押注,扩大了可触达客户集合。
| 风险 / 机会 | 评估 | 严重性 | 证据 |
|---|---|---|---|
| 先落地再扩张模式 | 客户先从一个模块开始(如 CAASM),再逐步加入 IoMT / OT / VMDR / Early Warning | 机会 | SU012, SU008 |
| Fortune 10 品牌集中 | 9 家 Fortune 10 客户;任何可见流失都会产生不成比例的影响 | 中等风险 | SU001, SU012 |
| Fortune 100 覆盖广度 | 35+ 家 Fortune 100 客户分散收入,降低单一客户风险 | 缓释因素 | SU001, SU012 |
| ServiceNow 渠道风险 | 收购后,分发路径经由 ServiceNow;存在偏向原生工具的风险 | 中高风险 | SU021, SU019 |
| OT / 制造业留存风险 | 来自 $30B+ 制造商的 3.0/5 Gartner 评论指出 OT 专属缺口;OTORIO 收购旨在补上该缺口 | 中等风险 | SU003, SU005 |
| 新垂直扩张 | Application Security(2025)和汽车业务增加 TAM;仍在早期,客户验证有限 | 机会 / 执行风险 | SU012, SU007 |
| 合作伙伴渠道依赖 | 200+ 个技术伙伴;具名 Elisity 和 AT&T Cybersecurity;收购前没有单一伙伴主导 | 低风险 | SU006, SU025 |
集中度指标基于公司披露的 Fortune 100 数量。ServiceNow 收购风险具前瞻性且属结构性。先落地再扩张证据由 ARR 增长和模块披露推断。
[CU026, CU027, CU028, CU029, CU030, CU031]6.6 证据项
07风险
7.1 风险严重性排序与概览
Armis Security 进入 ServiceNow 整合阶段时,风险画像高于独立 pre-IPO 公司。三大风险群——整合执行、监管合规、竞争性 OT 替代——彼此相连:整合延迟会侵蚀工程聚焦,进而拉低产品质量,并为监管不合规和客户流失创造条件。按约 23x 过去 12 个月 ARR 完成的 $7.75B 收购,如果 ARR 增长显著减速,会带来商誉减值风险。 按预期剩余影响排序:(1) 整合执行风险——严重性最高;13 个月内三笔收购(2024 年 2 月 CTCI、2024 年 4 月 Silk Security $150M、2025 年 3 月 OTORIO $120M),且记录显示 OTORIO 在收购交割后数日内裁撤约 80 名员工中的 45 人,引入 OT Titan 代码库分裂;(2) 监管与合规风险——FedRAMP High 授权仍在推进,任何延迟都会阻断 DoD 扩张;考虑到部署在 EU 的遥测传感器,GDPR 执法风险也不可忽视;(3) 竞争性 OT 深度风险——2025 年 12 月,一家 $30B+ 制造商在 Gartner Peer Insights 给出 3.0/5 评论,指出 OT 告警缺口,表明 Claroty 和 Dragos 可能在工业 OT 垂直替代 Armis;(4) ServiceNow 依赖风险——Armis 现在作为业务单元运营,路线图和资本配置由 ServiceNow 控制;(5) 财务模型风险——未披露 NRR、GRR 或现金消耗率,造成尽调不透明。投资含义:这是一个高增长平台,合规护城河强;但风险调整回报取决于整合执行质量、OT 缺口关闭,以及创始人在整合窗口期留任。 [CR001, CR002, CR003, CR004, CR005, CR006]
7.2 监管与法律风险
Armis 面临美国联邦、EU 以及特定行业框架下的多司法辖区监管敞口。在美国,FedRAMP Moderate 授权已维持,DoD Impact Level 5 (IL5) 通过 Armis Federal LLC 于 2026 年 2 月取得。FedRAMP High——最敏感 DoD 和情报社区合同所需——仍在推进。若被拒或长期延迟,将限制联邦可服务市场,并可能触发需要 High 授权的 DoD 机构流失。DISA 要求持续监控合规,带来年度重新认证义务。 在 EU,Armis 必须遵守 GDPR,因为无 agent 传感器部署在 EU 客户网络内并收集设备遥测数据。所有 EU 客户都需要 Article 28 Data Processing Agreements (DPAs)。EU NIS2 Directive(2024 年 10 月生效)为 Armis 在关键基础设施行业(能源、医疗、交通)的 EU 客户带来合规义务,也要求 Armis 作为供应商记录其安全实践。CISA ICS advisories 和 NIST NVD CVE disclosures 使 Armis 作为 OT 安全供应商承担持续漏洞披露义务。NIST NVD 搜索显示,截至 2026 年 5 月,Armis 没有 critical 级平台 CVE,但 OTORIO 整合代码引入新的潜在暴露。从法律角度,Armis 的 Privacy Policy 和 Legal Compliance 页面确认其 GDPR、CCPA、SOC 2 Type II 和 ISO 27001 姿态。ServiceNow S-4/A 注册声明提供了交易中承接的数据处理、IP 赔偿和诉讼敞口相关陈述与保证的最完整公开披露。 [CR009, CR010, CR011, CR012, CR013, CR014]
| 风险 | 司法辖区 | 可能性 | 影响 | 当前状态 | 剩余敞口 |
|---|---|---|---|---|---|
| GDPR 执法 — 在 EU 收集设备遥测 | EU | 中 | 高 | 据 Armis 隐私政策,Article 28 DPAs 已就位;法律页面声称符合 GDPR | 中等 — EU 扩张增加遥测敞口;执法行动可能要求重做处理流程 |
| FedRAMP High 授权延迟或被拒 | 美国联邦 | 中 | 高 | 已持有 FedRAMP Moderate 和 DoD IL5;截至 H1 2026,High 授权进行中 | 高 — 若没有 FedRAMP High,DoD 机密和 IC 合同仍被挡住 |
| EU NIS2 Directive — 供应商供应链义务 | EU | 低 | 中 | NIS2 于 Oct 2024 生效;Armis 必须为关键基础设施客户记录安全实践 | 中等 — 不符合 NIS2 供应商要求可能触发采购排除 |
| IP 诉讼 — 无代理设备指纹专利 | US | 低 | 高 | 未披露在进行诉讼;Forescout 和 Claroty 是指纹识别领域的潜在原告 | 中等 — 专利争议可能要求支付许可费或重做产品架构 |
可能性和影响评级为分析师基于公开来源的估计;没有可用的 Armis 披露风险登记表。覆盖不完整;可能存在未披露的执法行动。
[CR009, CR010, CR011, CR012, CR013, CR014]7.3 运营与技术风险
Armis 的 SaaS 架构托管在 AWS(商业)和 AWS GovCloud(联邦)上,没有公开披露多云或混合故障转移策略。AWS GovCloud 长时间故障可能导致联邦客户无法使用 Armis 平台,触发 SLA 罚款和潜在 FedRAMP 不合规。相对商业 AWS 区域,AWS GovCloud 是高价、合规驱动环境,地理冗余有限。 OTORIO 收购引入 Titan 本地物理隔离 OT 平台,作为独立代码库必须与 Armis Centrix 并行维护。截至 H1 2026,Titan 物理隔离 OT 能力整合进 Centrix 仍在推进。2025 年 3 月裁撤约 80 名 OTORIO 员工中的 45 人,削弱了有经验的 OT 工程团队厚度,抬高整合复杂度。2025 年 12 月,来自一家 $30B+ 制造商的 Gartner Peer Insights 评论给 Armis 3.0/5,并指出 OT 专用选项仍落后于竞争对手,确认 OT 功能深度是持续运营风险。PeerSpot 评论者提到平台偶发不稳定。200+ 个第三方集成生态带来 API 依赖风险;如果 Splunk、Microsoft Sentinel 或 CrowdStrike 修改 API 合同,受影响集成可能扰乱客户安全工作流。Armis 没有制造依赖(100% 软件),供应链风险有限。劳动力风险中等:网络安全工程人才竞争激烈,ServiceNow 文化整合可能触发 Armis 以色列工程团队流失。 [CR016, CR017, CR018, CR019, CR020, CR021]
| 风险 | 可能性 | 影响 | 触发事件 | 缓释状态 |
|---|---|---|---|---|
| AWS GovCloud 单云依赖 | 低 | 关键 | AWS GovCloud 长时间宕机或区域服务中断 | 未披露多云故障切换;FedRAMP 范围限于 AWS GovCloud |
| OTORIO Titan 整合执行不足 | 中 | 高 | 80 名 OTORIO 工程师中 45 人被裁;Titan 代码库与 Centrix 分离 | 整合进行中;迁移前,隔离网 OT 客户仍留在 Titan 上 |
| OT 深度缺口导致竞争替换 | 中 | 高 | 来自 $30B+ 制造商的 Gartner 3.0/5 评论提到相较 Claroty/Dragos 的 OT 告警缺口 | OTORIO 收购意在补齐缺口;整合仍处于 H1 2026 执行阶段 |
| 第三方 API 集成中断(200+ 个合作伙伴) | 低 | 中 | Splunk、Sentinel 或 CrowdStrike 弃用 API,影响联合集成 | Armis 开发者门户和 Python SDK 已发布;与 200+ 个集成伙伴保持活跃合作计划 |
概率和影响评级为分析师基于公开评论、新闻和技术文档的估计。没有可用的内部 SLA 或事故数据。
[CR016, CR017, CR018, CR019, CR020, CR021]7.4 合作伙伴、依赖与集中度风险
ServiceNow 收购从根本上重塑了 Armis 的依赖格局。收购前,Armis 依赖风险资本提供增长资本;收购后,Armis 依赖 ServiceNow 提供战略方向、GTM 资源、产品路线图优先级和整合投入。ServiceNow 的企业软件优先事项未必与 Armis 的网络安全产品路线图完全一致,定价、包装和 GTM 决策也会受到 ServiceNow 更广泛 ITSM 与平台战略影响。 AWS GovCloud 依赖是最关键的基础设施集中度风险。Armis 的 FedRAMP 和 DoD IL5 授权范围绑定 AWS GovCloud;迁移到另一家 云服务商需要 12-24 个月重新授权,限制其对 AWS 的谈判杠杆。客户集中度风险偏高:9 家 Fortune 10 使用 Armis,意味着即便只影响其中一部分高知名度客户,负面事件也可能产生不成比例的品牌和收入影响。200+ 集成合作伙伴生态依赖 Splunk、Microsoft、CrowdStrike、Palo Alto 的 API 稳定性。Elisity 技术合作确认生产 API 集成使用,但也说明 Armis API 变更可能打断共享客户所用的下游合作伙伴产品。 [CR023, CR024, CR025, CR026, CR027, CR028]
| 依赖 | 类型 | 关键性 | 风险 | 缓释状态 |
|---|---|---|---|---|
| ServiceNow(母公司) | 战略 / GTM / 资本 | 关键 | 路线图优先级冲突;公司内部官僚流程;文化整合摩擦 | 收购整合团队已到位;ServiceNow CEO 公开承诺 Armis 平台保持自主 |
| AWS GovCloud | 基础设施 | 关键 | 单云集中;无故障切换;云迁移需要重新授权 | FedRAMP 和 IL5 范围限定在 AWS GovCloud;迁移将需要 12-24 个月,并需完整重新授权 |
| 200+ API 集成伙伴(Splunk、Sentinel、CrowdStrike) | 技术生态系统 | 高 | API 变更可能破坏企业客户的安全工作流集成 | Armis 开发者门户;PyPI 上的 Python SDK;活跃的合作伙伴计划;版本化 API |
| GSA FedRAMP PMO / DISA | 监管 | 高 | 年度授权续期;FedRAMP High 授权推进中 | FedRAMP Moderate 维持有效;DoD IL5 已于 Feb 2026 取得;FedRAMP High 提交推进中 |
依赖关键性评级为分析师估计;Armis 未发布正式供应商风险登记表。ServiceNow 依赖为收购后事项;收购前资本提供方不再构成风险因素。
[CR023, CR024, CR025, CR026, CR027]7.5 财务模型风险与缓释
ServiceNow 为 Armis 支付 $7.75B,按 2025 年 12 月 $340M ARR 计算,约为 23x 过去 12 个月 ARR。这带来 商誉减值风险:如果 ARR 增长放缓或整合协同未兑现,ServiceNow 将面临压力,需要减记部分收购溢价。总融资额超过 $1.17B(从 seed 到 $435M Series E),意味着现有投资者的回报预期已计入收购价格。Armis 没有公开披露现金消耗率、EBITDA 利润率或 GAAP 净利润。 没有 NRR 或 GRR,客户流失风险无法量化。缺少这些指标是负面信号;表现良好的 SaaS 公司通常会披露 NRR,以验证先落地再扩张 效率。收购后,股权激励对 GAAP 盈利能力的负担未知,因为 ServiceNow 尚未单独披露 Armis 分部财务。关键缓释因素:$300M+ ARR 且 YoY 增长 50%+,提供收入耐久性;FedRAMP 和 IL5 认证在联邦客户群创造转换成本护城河;2025 和 2026 MQ 的 Gartner Leader 地位形成可引用的市场位置;ServiceNow $28B+ 年收入提供财力深厚的母公司,可为长期平台投资供血。论点破裂触发器:(1) 收购后财务披露显示 NRR 低于 110%;(2) OTORIO Titan 整合延后至 Q3 2026 之后,且 OT 深度缺口评论持续;(3) FedRAMP High 被拒或延迟超过 18 个月;(4) CEO Yevgeny Dibrov 或 CTO Nadir Izrael 在收购交割后 12-18 个月内离职;(5) ServiceNow 报告 Armis 相关商誉减值费用。监控指标包括 ServiceNow 季度业绩中对 Armis ARR 的评论、FedRAMP 授权登记库的 High 状态、Gartner Peer Insights 评分轨迹,以及 Armis 工程团队的 LinkedIn 人员增速。 [CR029, CR030, CR031, CR032, CR033, CR034]
| 风险 | 可能性 | 影响 | 证据 | 缓释 |
|---|---|---|---|---|
| 收购后 CEO/CTO 留任 | 中 | 关键 | 未公开披露留任方案或归属加速安排;创始人领导的公司被大型企业收购 | ServiceNow 公告提到创始人继续担任领导职务;正式留任条款未披露 |
| OTORIO 工程人才流失 | 高 | 高 | 约 80 名 OTORIO 员工中有 45 人在 March 2025 被裁;留存团队的文化整合仍不确定 | Armis 保留 OTORIO R&D 负责人;OT Titan 产品线继续推进,但团队厚度下降 |
人员风险评估基于公开报道和可观察信号;Armis 或 ServiceNow 均未披露正式留任协议条款。
[CR038, CR039, CR040]| 风险类别 | 主要缓释措施 | 监测指标 | 推翻论点触发条件 |
|---|---|---|---|
| 整合执行 | 按顺序整合,同时在迁移期将 OTORIO Titan 维持为并行产品线 | Armis 工程团队 LinkedIn 人数变化速度;2027 评审中的 Gartner MQ 位置 | OTORIO Titan 整合拖过 Q3 2026,且客户评论持续指出 OT 深度缺口 |
| 监管 / FedRAMP | FedRAMP Moderate 维持有效;DoD IL5 已于 Feb 2026 取得;FedRAMP High 推进中;DISA 持续监测已启用 | FedRAMP 授权注册表(authorizations.fedramp.gov)中的 High 状态;DISA 合规公告 | FedRAMP High 被拒,或在收购完成后超过 18 个月仍延迟 |
| 创始人留任 | ServiceNow 公开声明确认创始人担任领导职务;整合团队参与 | ServiceNow 业绩电话会评论;Dibrov 和 Izrael 的 LinkedIn 资料更新 | CEO 或 CTO 在 April 2026 收购完成后 12-18 个月内宣布离职 |
推翻论点的触发条件是分析师根据估值假设和竞争动态定义的阈值;并非 Armis 或 ServiceNow 官方指引。
[CR030, CR031, CR032, CR033, CR034]08估值
8.1 投资论点与建议
Armis Security 的投资论点建立在四个收敛支柱上:(1) 网络物理系统 (CPS)、OT 和 IoT 安全的十年结构性增长市场,预计到 2028 年超过 $25B;(2) 平台领导地位,有 2025 和 2026 年 Gartner Magic Quadrant Leader 位置、7-billion-device 知识库,以及唯一在单一控制台中覆盖 IT、OT、IoT 和 IoMT 的无 agent 平台作为证据;(3) 企业客户密度,包括 9 家 Fortune 10 和 35+ 家 Fortune 100 客户,NPS 约 70;(4) ARR 爆发式增长,从 $200M(2024 年 8 月)到 $300M(2025 年 8 月),YoY 超过 50%,并在收购公告时朝 $340M+ 轨迹推进。对 ServiceNow 收购的建议是:收购价公允——$7.75B 全现金价格、约 ~23x 过去 12 个月 ARR,在增长速度、客户质量和平台定位下完全有支撑;但如果整合执行不及预期,安全边际有限。市场和产品支柱置信度高;财务支柱置信度中等,因为缺少 NRR 和 GAAP 盈利能力披露。风险评级为中高,主要由整合执行风险(13 个月三笔收购)、Gartner Peer Insights 标出的 OT 深度缺口,以及 Microsoft Defender for IoT 在 SME 的竞争压力驱动。反论点信号包括:在 $6.1B 融资轮后四周即宣布收购(暗示收购接触可能早于该轮融资)、OTORIO 80 名员工中裁减 45 人导致 OT 工程团队厚度风险,以及没有公开披露 NRR 使流失风险评估不透明。收购论点成立的条件是:ServiceNow 通过 ITSM 分发协同把 ARR 增长维持在 30% YoY 以上;到 Q3 2026 前整合 OTORIO Titan OT 能力;并在整合窗口期留住创始工程领导层。ServiceNow 投资的目标回报是牛市情景下三到五年 15-20% IRR,靠平台收入贡献实现;公允价值持有判断建立在 Armis 到 2027-2028 年成为 ServiceNow 安全锚点、贡献 $700M+ ARR 的前提上。 [CV001, CV002, CV003, CV004, CV005, CV006]
| 维度 | 评级 | 理由 | 关键证据 |
|---|---|---|---|
| 整体建议 | 公允价值 — 已收购 | 23x ARR 在 50%+ 增长下可自洽;收购论点取决于整合执行 | SEC 8-K;$300M ARR 里程碑;Gartner MQ 领导者 2025/2026 |
| 信心水平 | 中高 | 市场和产品信号强;缺少 NRR 与盈利数据,模型仍不确定 | Fortune 10 密度;NPS 70;未披露 NRR |
| 风险评级 | 中高 | 13 个月内 3 次收购带来整合风险;OT 深度缺口;Microsoft 竞争压力 | OTORIO 裁员;Gartner 3.0/5 评论;Defender for IoT 捆绑销售 |
| 估值立场 | 公允 — 小幅溢价 | 22.8x 往绩 ARR 处于先例高端;增长和平台领导地位足以支撑 | CrowdStrike 为 21x ARR;Claroty 在更小基数上为 ~35x ARR |
推荐结论反映分析师基于截至 May 2026 公开证据的判断。收购完成后,Armis 是 ServiceNow 的私有子公司;直接投资已不再可能。评级适用于 ServiceNow 投资者视角下的收购价值创造。
[CV001, CV005, CV012, CV018, CV025, CV038]| 支柱 | 乐观论点 | 悲观反论点 | 净评估 |
|---|---|---|---|
| 市场 | 到 2028,CPS/OT/IoT 安全 TAM 达 $25B+;IT/OT 融合和关键基础设施强制要求带来长期需求 | 市场碎片化:IT 安全(Crowdstrike)、OT(Claroty/Dragos)、IoMT(Medigate)各自需要平台投入 | 净正面;Armis 无代理、多类别覆盖是结构性 TAM 优势 |
| 产品 | 唯一在单一控制台覆盖 IT+OT+IoT+IoMT 的无代理平台;7B+ 设备知识库;AI Asset Intelligence Engine | $30B+ 制造商在 Gartner 3.0/5 评论中指出,相比 Claroty 和 Dragos,OT 告警深度有缺口;三次收购可能切碎路线图 | 净正面,但取决于执行;OT 缺口必须在 Q3 2026 前补上 |
| 客户 | Fortune 10 中 9 家、Fortune 100 中 35+ 家;NPS 约 70;DoD IL5 授权扩大联邦 TAM | NRR 未披露;流失风险无法量化;Microsoft Defender for IoT 威胁中端市场替代 | 企业客户质量净正面;中端市场可持续性不确定 |
| 财务 | $300M ARR、50%+ YoY 增长,对 IPO 前公司属异常强劲;收盘时有望达到 $340M+ | 未披露 NRR、GRR、burn rate 或 GAAP 指标;若增长减速,$7.75B、23x ARR 会带来商誉减值风险 | 净谨慎;透明度缺口需要收购后披露才能完整验证 |
论点与反论点条目来自可公开验证的证据。条目并不穷尽;重大的私有信息(客户合同、NRR、GAAP 指标)可能向任一方向改变权衡。
[CV003, CV011, CV012, CV013, CV018, CV019]8.2 估值背景与融资历史
ServiceNow 于 2025 年 12 月 22 日宣布以 $7.75B 全现金收购 Armis Security,交易在 2026 年 4 月 19-20 日交割。按公告时公司估计 $340M ARR 计算,收购价约为 22.8x 过去 12 个月 ARR;这一 ARR 从 2025 年 8 月报告的 $300M ARR 里程碑和 50%+ YoY 增长轨迹外推而来。Armis 最后一轮私募融资是在 2025 年 11 月完成的 $435M Series E,估值 $6.1B——距离收购公告仅四周——由 Goldman Sachs Alternatives 领投。$7.75B 收购价较 Series E 估值溢价 27%,暗示 ServiceNow 的收购接触很可能与最后一轮融资重叠。七轮以上披露融资合计超过 $1.17B,投资者包括 Google Ventures、CapitalG、Brookfield Asset Management、Goldman Sachs Alternatives 和 Insight Partners。23x ARR 倍数符合在耐久结构性市场中、ARR YoY 增长 40-50% 的优质 SaaS 公司:CrowdStrike 以 $3.3B+ ARR(>30% YoY)约 21x ARR 交易,确认大型、高增长网络安全平台在公开市场可获得 20-25x ARR。包括 ServiceNow 8-K 披露和 S-4/A 注册声明在内的公开 SEC 文件,提供了与交易相关的最完整公开财务陈述与保证,不过 Armis 专属分部财务未单独披露。$1.17B+ 累计融资跨多轮优先股批次带来的稀释和优先权悬置,会通过收购分配瀑布流转;清算优先权分析没有公开披露。任何 ServiceNow 投资者若评估该收购的价值创造,入场纪律都需要跟踪季度业绩评论中的 Armis ARR 贡献,并观察运营费用项目中是否出现整合成本费用。 [CV001, CV002, CV003, CV004, CV005, CV006]
8.3 牛市、基准与熊市情景
三个情景框定 ServiceNow 以 $7.75B 收购 Armis 的结果范围。牛市情景假设,借助 ServiceNow 8,000 人企业销售团队、对 7,700+ ServiceNow 客户基础的激进交叉销售,以及 OTORIO 成功整合打开能源、公用事业和制造业的新工业 OT 合同,Armis 到 2027 年达到 $700M ARR。按 $700M 的 15x 远期 ARR,隐含平台价值为 $10.5B,较收购价上行 35%。这要求交割后 18 个月内 ARR 增速从 50% 重新加速到 60%+。基准情景假设 2027 年 ARR 为 $500M,远期倍数为 15-17x,隐含平台价值 $7.5-8.5B,基本与收购价一致。该情景假设 ServiceNow ITSM 协同在独立轨迹之上带来 20-30% 收入提升,OTORIO 整合在 Q4 2026 完成,Armis 保持 Gartner MQ Leader 位置。熊市情景假设整合扰动使 ARR 停在 $300M,Microsoft Defender for IoT 在中端市场替代 Armis,OT 深度缺口批评加速 Claroty 或 Dragos 在工业垂直的替代,并且 ARR 倍数压缩至 15x——隐含价值 $4.5B,ServiceNow 可能产生商誉减值费用。关键下行触发器:NRR 低于 110%(表示流失超过扩张)、OTORIO Titan 整合延迟超过 Q3 2026(确认 OT 深度缺口持续)、FedRAMP High 授权被拒或延迟,或 CEO/CTO 在 18 个月内离职。概率分布偏向基准:ServiceNow 的整合记录和 Armis 的 Fortune 10 客户密度提供耐久下行支撑,但 13 个月三笔收购的整合负担是主要不确定性锚。 [CV027, CV028, CV029, CV030, CV031, CV032]
| 情景 | 2027 ARR(估计) | 隐含价值 | 倍数依据 | 核心假设 | 概率信号 |
|---|---|---|---|---|---|
| 乐观 | $700M | $10.5B | 15x 远期 ARR | ServiceNow 分销把增长抬到 60%+ YoY;OTORIO 整合加速 OT 垂直行业获客;联邦 TAM 借 FedRAMP High 翻倍 | 低中 — 需要重新加速且整合无失误 |
| 基准 | $500M | $7.5–8.5B | 15-17x 远期 ARR | ServiceNow ITSM 协同带来 20-30% 收入提升;OTORIO 整合于 Q4 2026 完成;维持 Gartner 领导者 | 高 — 与收购论点和此前增长轨迹一致 |
| 悲观 | $300M | $4.5B | 15x 往绩 ARR | 整合扰动使 ARR 停滞;OT 深度缺口扩大;Microsoft Defender 替代中端市场;NRR 跌破 110% | 低中 — Fortune 10 密度托住下行,但执行不能失手 |
情景假设是分析师基于公开 ARR 数据、增长轨迹和可比交易倍数的估计。所有前瞻预测均为估计;实际结果取决于 ServiceNow 整合执行、竞争动态和宏观经济环境。
[CV027, CV028, CV029, CV030, CV037]8.4 可比估值与市场基准
Armis 按过去期 ARR 计约 23x 的收购倍数,落在高增长网络安全 SaaS 龙头的公允区间内:高于成熟上市公司倍数,但低于私营 OT 安全同业。CrowdStrike 是高增长、云原生安全 SaaS 最清晰的上市可比公司;其 ARR 超过 $3.3B、增长 30%+,交易倍数约 21x ARR,为投资人如何给大规模、耐久的网络安全平台定价提供公开市场锚点。Tenable 是增速较慢的漏洞管理老牌厂商,增长约 13%,交易倍数约 6.5x 收入,显示增速放缓会带来严重倍数压缩。私营 OT 安全市场里,Armis 最直接的竞争对手 Claroty 以估算 $100M+ ARR 支撑 $3.5B 估值,隐含约 35x ARR;Nozomi Networks 的 Series E 以估算 $50M ARR 支撑 $1.5B 估值,也隐含约 30x ARR。两家私营 OT 同业收入基数小于 Armis 收购时水平,倍数却更高,说明相对早期 OT 安全市场定价,Armis 的倍数偏保守。Armis 在 $340M ARR 时以 $7.75B、约 23x ARR 交易(对比 Claroty 约 $100M ARR、约 35x ARR),体现规模化后的预期倍数压缩——即便增速相近,更大的 ARR 基数也拿不到同样高的倍数。IDC 预计 CPS 保护市场到 2028 年超过 $25B,CAGR 20%+,确认 TAM 扩张足以支撑市场领导者的溢价估值。Forrester Wave(Q4 2024)以及双重 Gartner MQ Leader 资质提供了平台定位的独立验证,也支撑相对 CrowdStrike 可比公司的溢价。 [CV014, CV015, CV016, CV017, CV011, CV012]
| 公司 | 类型 | ARR / 收入 | 估值 / 市值 | ARR 倍数 | 增长率 | 对 Armis 的可比性 |
|---|---|---|---|---|---|---|
| CrowdStrike (CRWD) | 上市 — 端点 / 云安全 SaaS | $3.3B+ ARR(FY2026) | ~$70B 市值 | ~21x ARR | >30% YoY | 最佳上市可比公司;已规模化的高增长云原生安全 SaaS;ARR 基数更大,倍数较低 |
| Tenable (TENB) | 上市 — 漏洞管理 | $770M 收入(FY2024) | ~$5B 市值 | ~6.5x 收入 | ~13% YoY | 下限可比;显示增长减速时倍数严重压缩;不是主要可比对象 |
| Claroty | 私有 — OT/ICS 安全 | ~$100M+ ARR(估计) | $3.5B 估值(最新一轮) | ~35x ARR(估计) | 高增长(估计) | 最接近的 OT 安全直接竞争对手;更小基数上的倍数高于 Armis,印证规模带来的倍数压缩 |
| Nozomi Networks | 私有 — OT/ICS 安全 | ~$50M ARR(估计) | $1.5B 估值(Series E) | ~30x ARR(估计) | 高增长(估计) | OT 安全同业;更小基数上的倍数更高;印证纯 OT 定位的溢价 |
| Armis(收购价格) | 已收购 — CPS/OT/IoT/IT 安全 | ~$340M ARR(Dec 2025 估计) | $7.75B(全现金收购) | ~22.8x ARR | >50% YoY | 参照点;相对私有 OT 同业,倍数偏保守;规模和增长足以支撑 |
私有公司(Claroty、Nozomi Networks)的 ARR 和收入数据是分析师基于公开报道融资轮和市场评论的估计;尚无独立确认。上市公司数据来自投资者关系文件。除非另有说明,所有倍数均为往绩 ARR 或收入。
[CV014, CV015, CV016, CV017, CV038, CV042]8.5 退出准备度与最终尽调问题
April 2026 交割后,Armis 已是 ServiceNow 全资子公司;传统退出准备度分析现在适用于 ServiceNow 投资者,核心是判断这笔收购是否创造了价值。若面向战略买方或未来 剥离场景,关键退出信号在平台成熟度上偏正面(已取得 FedRAMP Moderate 和 DoD IL5,维持 SOC 2 Type II 与 ISO 27001,2025 和 2026 年为 Gartner Leader),但财务透明度仍不完整(未披露 NRR、GRR、GAAP 指标或烧钱速度)。确认投资假设前,最终尽调问题集中在:(1) ServiceNow 下一次季度业绩会对 Armis 的评论中是否披露 NRR 和 GRR,用以确认落地后扩张效率是否匹配 Fortune 10 密度信号;(2) ServiceNow 管理层给出的 OTORIO Titan 集成里程碑和时间表,用以回应 Gartner Peer Insights 标出的 OT 深度缺口;(3) 确认 CEO Yevgeny Dibrov 和 CTO Nadir Izrael 的留任激励、 归属锁定时间表——创始人 18 个月内离职将触发投资假设失效;(4) 披露毛利率和 GAAP 经营利润率,以确认规模化盈利路径;(5) FedRAMP High 授权状态更新,该资质可打开估计为当前联邦 TAM 2-3x 的机密 DoD 和情报机构合同。需要立即重评的投资假设失效触发项包括:首次披露 NRR 低于 110%;12 个月内流失超过两家 Fortune 100 客户;OTORIO 集成延迟叠加 Gartner 负面评价更新;FedRAMP High 被拒;或 ServiceNow 报告与 Armis 收购有关的商誉减值。 [CV023, CV024, CV025, CV026, CV037, CV039]
| 触发条件 | 阈值 | 监测来源 | 严重性 | 应对 |
|---|---|---|---|---|
| NRR 跌破 110% | 首次收购后 NRR 披露低于 110% | ServiceNow 季度业绩;分析师评论 | 推翻论点 | 立即重估 $7.75B 商誉;表明流失风险超过先落地再扩张带来的扩张收益 |
| OTORIO Titan 整合拖过 Q3 2026 | 到 September 2026 仍未发布 Titan-Centrix 统一 OT 模块 | ServiceNow 产品发布;Gartner Peer Insights 分数轨迹 | 重大 | 证实 OT 深度缺口;Claroty 和 Dragos 替代风险升高;重新评分 OT TAM 贡献 |
| CEO 或 CTO 在 18 个月内离职 | Yevgeny Dibrov 或 Nadir Izrael 在 October 2027 前离职 | LinkedIn;ServiceNow 新闻稿 | 推翻论点 | 创始人主导的文化和技术愿景对 ARR 增长至关重要;大型企业整合风险加速 |
| FedRAMP High 授权被拒,或延迟超过 18 个月 | 到 October 2027 仍无 FedRAMP High 授权 | FedRAMP Marketplace 注册表 | 重大 | 将 Armis 联邦 TAM 限制在 Moderate 级别;阻断估计为当前联邦基数 2-3x 的涉密 DoD 和 IC 合同 |
| ServiceNow 商誉减值计提 | 任何归因于 Armis 收购的减值计提 | ServiceNow 10-K 或 10-Q 文件 | 终止 | 确认 ARR 轨迹撑不起收购溢价;需要根本性重估 |
触发条件是阈值事件,一旦发生,将实质改变 ServiceNow 股东评估 Armis 收购价值创造的投资论点。监测频率反映各类触发条件的紧迫性。
[CV037, CV023, CV025, CV033, CV040, CV041]| 尽调问题 | 优先级 | 来源路径 | 对论点的影响 | 预期答案 |
|---|---|---|---|---|
| 披露 2025 财年和 Q1-Q2 2026 的 NRR 与 GRR | 关键 | ServiceNow 业绩电话会;IR 数据室 | 验证先落地再扩张效率和流失风险;NRR 高于 120% 证实论点;低于 110% 则推翻 | 基于 Fortune 10 密度和 NPS 70 信号,预期 NRR 为 115-125% |
| OTORIO Titan 整合里程碑和上线时间表 | 关键 | ServiceNow 产品博客;业绩评论 | 回应 OT 深度缺口;Q3 2026 里程碑是论点假设 | 鉴于现有 OTORIO R&D 领导层留任,预期 Q4 2026 前在 Centrix 中推出统一 OT 模块 |
| CEO 和 CTO 留任协议:归属时间表和锁定条款 | 关键 | ServiceNow 委托书/8-K;管理层访谈 | 创始人留任是主要人员风险;留任条款未披露带来不确定性 | 预期 3-4 年归属锁定;缺少披露是反向信号 |
| FY2025 毛利率和 GAAP 经营亏损 | 重要 | ServiceNow IR;收购后分部披露 | 确认单位经济和盈利路径;毛利率低于 70% 属反向信号 | 基于 100% SaaS 交付和行业基准,预期毛利率 75-80% |
| FedRAMP High 授权状态和预计完成日期 | 重要 | FedRAMP Marketplace;Armis Federal LLC 公告 | 解锁估计为当前联邦收入基数 2-3x 的涉密 DoD TAM | 预期提交推进中;基于 DoD IL5 轨迹,授权预计 2027 |
尽调问题按对投资论点的重要性排序。标记为关键的事项必须在确认论点前解决;重要事项影响信心,但不阻断论点确认。
[CV039, CV040, CV041, CV023, CV024]免责声明
本尽调报告由 AI 研究代理于 May 10, 2026 基于公开信息生成。不构成投资建议。财务指标基于公开披露数据;未披露信息 (NRR、毛利率、客户流失)已标记为不可得。ServiceNow 于 April 2026 收购 Armis;截至撰写时,交割后运营指标尚不可得。
证据索引
| 编号 | 陈述 | 可信度 | 来源 |
|---|---|---|---|
| CO001 | Armis Inc. was founded in late 2015 by Yevgeny Dibrov and Nadir Izrael in Tel Aviv, Israel, after the founders cold-called CISOs and IT managers to identify the IoT security gap. | 高 | SO005, SO012 |
| CO002 | Armis is legally incorporated as Armis, Inc. and is headquartered in San Francisco, California, with offices in Israel, the United Kingdom, Germany, Romania, and the United States. | 高 | SO001, SO004 |
| CO003 | Armis's core product is Armis Centrix™, an AI-powered, agentless cyber exposure management platform that covers IT, OT, IoT, medical devices, cloud, code, and application security environments. | 高 | SO004, SO007 |
| CO004 | Armis's platform is agentless, using passive network traffic monitoring to discover and classify devices without requiring software agents on endpoints. | 高 | SO012, SO007 |
| CO005 | Armis raised a $17M Series A in June 2017 led by Sequoia Capital Israel and Tenaya Capital, emerging from stealth mode at the same time. | 高 | SO012, SO007 |
| CO006 | Armis raised a $30M Series B in April 2018 led by Bain Capital Ventures and Sequoia Capital Israel. | 中 | SO005, SO007 |
| CO007 | Armis raised a $65M Series C in April 2019 led by Sequoia Capital with Insight Partners and others, bringing total funding to $112M. | 高 | SO012, SO005 |
| CO008 | Insight Partners acquired a majority stake in Armis in February 2020 at a valuation of $1.1 billion, representing Israel's largest cybersecurity exit at the time. | 中 | SO005, SO023 |
| CO009 | Armis raised $125M at a $2B valuation in February 2021, led by Brookfield Technology Partners with participation from CapitalG, Georgian Partners, and Insight Partners. | 中 | SO018, SO023 |
| CO010 | Armis raised $300M at a $3.4B valuation in November 2021 led by One Equity Partners, bringing total capital raised to approximately $600M. | 高 | SO015, SO023 |
| CO011 | Armis raised $200M at a $4.2B valuation in October 2024 led by General Catalyst and Alkeon Capital, surpassing $200M ARR around the same time. | 高 | SO007, SO011 |
| CO012 | Armis raised $435M at a $6.1B valuation in November 2025 in a pre-IPO round led by Goldman Sachs Growth Equity with participation from CapitalG and Evolution Equity Partners. | 高 | SO003, SO024 |
| CO013 | ServiceNow announced an agreement to acquire Armis for $7.75 billion in cash on December 22, 2025. | 高 | SO001, SO014 |
| CO014 | ServiceNow completed the acquisition of Armis on approximately April 19-20, 2026, for $7.75 billion funded through cash and debt. | 高 | SO002, SO022 |
| CO015 | Armis had surpassed $340M in annual recurring revenue (ARR) with year-over-year ARR growth exceeding 50% as of December 2025. | 高 | SO001, SO024 |
| CO016 | As of April 2026, Armis's platform is trusted by nine of the Fortune 10 and more than 35% of the Fortune 100, as well as by national governments and state/local entities globally. | 高 | SO002, SO024 |
| CO017 | Armis secures Fortune 100, 200, and 500 companies as well as national governments, state and local entities, and critical infrastructure organizations worldwide. | 高 | SO001, SO004 |
| CO018 | Armis's platform tracks nearly 7 billion devices in real time as of early 2026. | 高 | SO002, SO022 |
| CO019 | Armis acquired CTCI (Cyber Threat Cognitive Intelligence) in February 2024, adding an early warning attack alert system for OT and enterprise IT environments. | 高 | SO005, SO009 |
| CO020 | Armis acquired Silk Security for $150M on April 17, 2024, integrating its vulnerability prioritization and automated remediation platform into Armis Centrix™. | 高 | SO006, SO007 |
| CO021 | Armis acquired OTORIO for $120M on March 6, 2025, adding on-premises OT/CPS security capabilities for air-gapped industrial and critical infrastructure environments. | 高 | SO009, SO023 |
| CO022 | Following the acquisitions of Silk Security and CTCI, Armis reported a 2000% increase in revenues attributable to those acquired product lines. | 中 | SO009 |
| CO023 | Armis achieved FedRAMP Moderate and DISA IL4 authorization in 2023, and U.S. DoD Impact Level 5 (IL5) authorization in February 2026, qualifying it to handle Controlled Unclassified Information. | 高 | SO020, SO019 |
| CO024 | Armis was named a Leader in the 2026 Gartner Magic Quadrant for CPS Protection Platforms for the second consecutive year, among 13 evaluated vendors. | 高 | SO016, SO002 |
| CO025 | Armis was named a Leader in The Forrester Wave: IoT Security Solutions (Q3 2025) and The Forrester Wave: Unified Vulnerability Management Solutions (Q3 2025). | 高 | SO021, SO008 |
| CO026 | Armis Centrix™ was named 'Best Solution' for Cyber Exposure Management at the Global InfoSec Awards at RSAC 2026 Conference on March 23, 2026. | 高 | SO008, SO016 |
| CO027 | Gili Raanan, founder of Cyberstarts and early Armis investor, served as Chairman of the Board of Armis from before the Series A through the acquisition period. | 中 | SO012 |
| CO028 | Alex Mosher serves as President and Chief Revenue Officer (CRO) of Armis, representing the company at RSAC 2026. | 高 | SO008, SO020 |
| CO029 | Jonathan Carr serves as Chief Financial Officer (CFO) of Armis, having led financial communications for both the $200M Series D and the $300M ARR announcement. | 中 | SO011, SO025 |
| CO030 | Armis had approximately 950 employees at the time of the ServiceNow acquisition announcement in December 2025. | 高 | SO001, SO024 |
| CO031 | Following its $120M acquisition of OTORIO in March 2025, Armis laid off 45 of OTORIO's approximately 80 employees, primarily in sales, marketing, finance, and HR. | 中 | SO013 |
| CO032 | Armis moved its headquarters from Tel Aviv to Palo Alto, California in 2017, and subsequently expanded to offices in New York, London, Munich, and Bucharest. | 中 | SO005, SO025 |
| CO033 | Armis's platform enables organizations to see, protect, and manage cyber risk across IT, OT, IoT, medical devices, physical AI, code, and cloud environments in real time. | 高 | SO004, SO010 |
| CO034 | Named Armis customers include United Airlines, Colgate-Palmolive, Mondelez International, Reckitt, Sysco Foods, Allergan, and Samsung Research America. | 中 | SO011, SO025 |
| CO035 | At the time of the Series C in 2019, Armis had deployments at more than 25% of the Fortune 100 and reported 700% year-over-year revenue growth. | 高 | SO012, SO015 |
| CO036 | Armis reached $300M ARR in November 2025, having grown from $200M ARR in less than 12 months. | 高 | SO003, SO025 |
| CO037 | Simon Mouyal was appointed Chief Marketing Officer of Armis on March 18, 2026, with over 25 years of cybersecurity and SaaS marketing experience from CyberArk and athenahealth. | 高 | SO021, SO019 |
| CO038 | The $7.75B ServiceNow acquisition price represents approximately a 27% premium over Armis's last private valuation of $6.1B from the November 2025 pre-IPO round. | 中 | SO003, SO001 |
| CO039 | Insight Partners remained the majority owner of Armis through multiple rounds, including following the $300M November 2021 investment led by One Equity Partners. | 高 | SO015, SO023 |
| CO040 | Armis's Gartner Peer Insights rating for CPS Protection Platforms is 4.7 out of 5.0 from 119 verified reviews as of March 2026. | 高 | SO016, SO022 |
| CO041 | Yevgeny Dibrov co-founded Armis after leaving the executive team at Adallom, a cloud security startup acquired by Microsoft for approximately $320M in July 2015. | 中 | SO005 |
| CO042 | Nadir Izrael spent five years as a software engineer at Google working on Google Maps and Google Autocomplete before co-founding Armis. | 中 | SO005 |
| CO043 | Armis's Centrix platform as of 2026 includes modules for CAASM, OT/IoT security (SaaS and on-prem), medical device security, vulnerability prioritization, VMDR, application security, and early warning. | 高 | SO004, SO019 |
| CM001 | Gartner formally defined 'CPS Protection Platforms' as a distinct market category in 2025, with a named Magic Quadrant evaluating 13 vendors across IT, OT, IoT, and connected device security. | 高 | SM022, SM004 |
| CM002 | Armis Centrix competes in the CPS Protection Platform category, which includes asset discovery, real-time monitoring, vulnerability management, and threat detection across IT, OT, IoT, and IoMT environments without requiring software agents. | 高 | SM008, SM020 |
| CM003 | The CPS protection platform market explicitly excludes traditional endpoint/agent-based security (EDR/EPP), cloud-only CSPM, and pure IT security tools that cannot discover unmanaged or agent-incompatible devices. | 中 | SM012, SM014 |
| CM004 | Adjacent market segments for Armis include Cyber Asset Attack Surface Management (CAASM), Vulnerability and Device Risk Management (VMDR), and medical device security — each with distinct buyers and TAMs. | 中 | SM005, SM012 |
| CM005 | The status-quo alternative for most OT and IoT environments is manual asset inventory (spreadsheets, ad-hoc scans), which underestimates the true device footprint and creates visibility gaps that Armis quantifies as unmanaged risk. | 中 | SM008, SM012 |
| CM006 | The OT security market was valued at USD 23.47 billion in 2025 and is projected to reach USD 50.29 billion by 2030 at a CAGR of 16.5%, according to MarketsAndMarkets. | 中 | SM001 |
| CM007 | Mordor Intelligence estimates the OT security market at USD 22.15 billion in 2025, growing to USD 47.95 billion by 2031 at a CAGR of 13.74%, with the 2026 market estimated at USD 25.19 billion. | 中 | SM002, SM001 |
| CM008 | The global IoT security market was valued at USD 35.50 billion in 2024 and is projected to expand at a CAGR of 26.8% from 2025 to 2030, reaching USD 141.77 billion, according to Grand View Research. | 中 | SM003 |
| CM009 | The CPS security market (narrowly defined as protection platforms rather than the broader CPS technology stack) is estimated at USD 10.05 billion in 2025 growing to USD 18.51 billion by 2030 at 13% CAGR (The Business Research Company). | 中 | SM004, SM022 |
| CM010 | The CAASM market is projected to grow from USD 1.88 billion in 2025 to USD 5.72 billion by 2030 at a CAGR of 25%, according to The Business Research Company. | 中 | SM005 |
| CM011 | There are approximately 19.8 billion connected IoT devices globally in 2025-2026, forecast to reach 40.6 billion by 2034 (DemandSage), expanding the addressable device pool for CPS security platforms. | 高 | SM006, SM007 |
| CM012 | Cellular IoT connections will reach approximately 4.5 billion by end of 2025 and ~8 billion by 2031 per Ericsson's Mobility Report, with 177 service providers having deployed NB-IoT and broadband IoT representing ~60% of all cellular IoT. | 高 | SM007, SM006 |
| CM013 | The primary buyer for CPS protection platforms is the enterprise CISO (Chief Information Security Officer) who controls the IT/OT security budget; secondary buyers include VP Engineering/OT Operations in industrial environments. | 中 | SM008, SM020 |
| CM014 | In healthcare, procurement authority is shared between the CISO, Chief Medical Information Officer (CMIO), and Biomedical Engineering, with regulatory compliance (FDA, HIPAA) as the primary adoption trigger. | 中 | SM010, SM018 |
| CM015 | In U.S. federal government and DoD, the agency CISO and ISSM (Information System Security Manager) drive procurement, with budget sourced from congressional appropriations and compliance mandates (FedRAMP, IL5, CISA directives). | 中 | SM020, SM008 |
| CM016 | In industrial and utilities verticals, procurement authority is split between the plant/facility OT manager and the corporate CISO; OT managers often resist security tools that could disrupt production operations. | 中 | SM017, SM019 |
| CM017 | Armis serves customers across five primary verticals: healthcare/life sciences, critical infrastructure/utilities, government/defense, manufacturing/industrial, and enterprise IT — each with distinct regulatory and procurement dynamics. | 高 | SM020, SM024 |
| CM018 | The EU NIS2 Directive (effective October 2024) mandates cybersecurity risk management, incident reporting, and asset security across 18 critical sectors including energy, transport, health, manufacturing, and digital infrastructure. | 高 | SM014, SM019 |
| CM019 | NIS2 explicitly covers OT, IoT, and supply chain security, requiring organizations to maintain asset inventories and monitor network traffic — directly creating compliance-driven demand for agentless CPS protection platforms. | 高 | SM019, SM021 |
| CM020 | FDA issued enhanced cybersecurity guidance for medical device manufacturers in 2023 and extended OT cybersecurity requirements to pharmaceutical and biotech manufacturing in 2025, mandating security-by-design and postmarket vulnerability management. | 高 | SM015, SM009 |
| CM021 | Digital transformation has made formerly air-gapped OT networks accessible via IT connectivity, creating a structural visibility gap where 60-70% of enterprise connected assets are unmanaged and incompatible with traditional agent-based EDR. | 中 | SM017, SM008 |
| CM022 | State-aligned attacks on critical infrastructure increased 49% in 2024, with manufacturing accounting for 25.7% of industrial cyber incidents (Mordor Intelligence), driving board-level urgency for OT security investment. | 中 | SM002, SM016 |
| CM023 | Armis Centrix's agentless, passive approach is architecturally necessary for PLCs, SCADA systems, medical devices, and embedded IoT — device classes that cannot run software agents due to operating system limitations, air-gapped environments, or vendor warranty restrictions. | 中 | SM008, SM020 |
| CM024 | Armis partner price list (May 2025) shows network port pricing from $3,100-$3,500/port and asset management at approximately $20-50 per asset/year at enterprise scale, suggesting high ACVs for large customers. | 中 | SM011 |
| CM025 | The medical device security market (including hospital IoMT) was valued at USD 7.41-8.47 billion in 2025, representing a materially distinct TAM growing at 8.2% CAGR (Mordor Intelligence) to 28.8% CAGR (TBRC Healthcare IoT). | 中 | SM009, SM013 |
| CM026 | North America represents approximately 35% of the global OT/IoT security market and is the largest regional segment, with Asia-Pacific growing fastest due to rapid industrial digitization. | 中 | SM003, SM002 |
| CM027 | CAASM growth (25% CAGR) significantly outpaces broader OT security (13-16% CAGR), reflecting the shift from point-in-time asset inventories to continuous, AI-driven asset discovery and risk prioritization. | 中 | SM005, SM012 |
| CM028 | The typical enterprise deployment lifecycle for an agentless CPS platform is 3-6 months from procurement to full coverage, with extended timelines in air-gapped OT environments requiring additional hardware (collectors/sensors). | 中 | SM008, SM017 |
| CM029 | OT security sales cycles in critical infrastructure and government are typically 6-18 months due to procurement regulations, security assessments, RFP/tender processes, and the need for OT-specific proof-of-concept deployments. | 中 | SM017, SM008 |
| CM030 | Incumbent OT vendors (Claroty, Nozomi Networks, Dragos) have established footholds in industrial environments, creating switching cost barriers for Armis even where differentiation is strong. | 中 | SM017, SM022 |
| CM031 | Analyst market sizing estimates vary substantially by methodology: OT security is reported at $22.15B-$23.47B in 2025 (difference of $1.3B or 6%) reflecting definitional variance in included product categories. | 中 | SM001, SM002 |
| CM032 | Broader market labels (e.g., 'CPS market' including hardware, software, and services) yield TAM estimates of $130-145B, which significantly overstate the addressable market for security software platforms like Armis. | 中 | SM004, SM003 |
| CM033 | The OT security market consolidation wave of 2024-2026 (ServiceNow-Armis $7.75B, Cisco-Splunk $28B, Palo Alto acquisitions) is compressing the standalone CPS platform market, with remaining independents facing integration competition. | 中 | SM017, SM020 |
| CM034 | Enterprise buyers managing 10,000+ networked assets are Armis's sweet spot; at $20-50/asset/year pricing, a 10,000-asset customer represents a $200K-$500K annual contract, implying Fortune 1000 SAM of $5-20B at full penetration. | 中 | SM011, SM024 |
| CM035 | Security-conscious enterprises that have undergone OT/IT convergence typically allocate 8-15% of their cybersecurity budget to asset visibility and OT security platforms, creating predictable recurring demand for Armis-class solutions. | 中 | SM001, SM008 |
| CM036 | The OT security market has not shown evidence of saturation or significant budget fatigue through 2026; growth rates remain at 13-17% CAGR despite multiple years of investment, driven by the growing device footprint and regulatory mandates. | 中 | SM001, SM002 |
| CM037 | No single analyst firm has published a standalone CPS protection platform SAM estimate that can be directly mapped to Armis's product scope and go-to-market motion; the sizing gap requires bottom-up customer-count estimation. | 中 | SM004, SM022 |
| CP001 | Armis was named a Leader in the 2026 Gartner Magic Quadrant for CPS Protection Platforms for the second consecutive year, alongside Claroty, Dragos, and Nozomi Networks — all four MQ Leaders also held Leader status in 2025. | 高 | SP001, SP002, SP003 |
| CP002 | Claroty is Armis's closest direct peer: both are 2026 Gartner MQ Leaders, agentless/passive CPS protection platforms targeting OT, IoT, and IoMT environments. Claroty's estimated ARR exceeded $200M in early 2026 with $900M+ total funding at a $3B+ valuation. | 高 | SP002, SP006, SP016 |
| CP003 | Dragos is the OT threat intelligence market leader with $154M in revenue (2024), $439M total funding at a $1.7B valuation, and 566-609 employees. The 2026 Gartner MQ cited Dragos for limited reach outside North America and channel gaps — the company announced a pure-channel GTM pivot to address this. | 高 | SP003, SP008, SP022 |
| CP004 | Nozomi Networks was acquired by Mitsubishi Electric in September 2025 at an implied valuation of ~$800M, ending its independent trajectory. Nozomi had ~$75M in revenue and ~390 employees at acquisition, with particular strength in energy, oil/gas, and utilities verticals. | 高 | SP004, SP005 |
| CP005 | Forescout Technologies is the incumbent NAC/OT visibility competitor, acquired by Advent International for $1.9B in 2020. Forescout reported FY2025 results including 91% gross dollar retention, 230+ new customers, 58 deals over $1M, and exceeded the Rule of 40 for the third consecutive year. | 高 | SP009, SP023 |
| CP006 | Microsoft Defender for IoT is available at effectively zero incremental cost for Microsoft 365 E5/Security and Azure Defender for Cloud enterprise customers, creating a zero-price competitive threat in IT-centric IoT segments. | 中 | SP011, SP025 |
| CP007 | Tenable OT Security (formerly Indegy, acquired 2019) is an OT vulnerability management vendor that is frequently co-deployed with Armis rather than displacing it — Armis provides asset intelligence and threat detection while Tenable provides OT CVE vulnerability management. | 中 | SP012, SP013 |
| CP008 | Palo Alto Networks IoT Security (part of XSIAM and NGFW platform) is the only major competitor offering native inline enforcement capability — the ability to block threats at the firewall level, not just alert — giving it a structural advantage that none of the four Gartner MQ Leaders (Armis, Claroty, Dragos, Nozomi) can match. | 高 | SP021, SP015 |
| CP009 | Claroty is publicly reported to be preparing for an IPO at a $3.5-4B valuation, based on Calcalis Tech reporting in early 2026. This would make Claroty the first pure-play CPS protection vendor to go public, providing it financial permanence and visibility as a competitive differentiator. | 中 | SP017, SP016 |
| CP010 | The 2026 Gartner MQ for CPS Protection Platforms evaluated 13 vendors total: four Leaders (Armis, Claroty, Dragos, Nozomi), with Challengers and Niche Players including Cisco, Fortinet, Tenable, and Forescout in their respective quadrants. | 中 | SP001, SP005, SP023 |
| CP011 | All four Gartner MQ Leaders (Armis, Claroty, Dragos, Nozomi) are agentless/passive monitoring platforms that rely on network traffic analysis without requiring software agents on OT/ICS devices — a shared architectural requirement driven by OT device fragility constraints. | 中 | SP019, SP021 |
| CP012 | Armis differentiates from Claroty in IT and enterprise IoT coverage: Armis provides a unified IT+OT+IoT+IoMT platform in a single deployment, while Claroty's heritage is OT/ICS-centric and IT coverage is available via Claroty xDome but considered secondary. | 高 | SP006, SP014, SP013 |
| CP013 | Claroty claims 450+ industrial protocol support at ladder-logic level depth (Siemens S7, Rockwell CIP, Schneider Modbus/TCP), compared to Armis's 300+ protocol breadth focus — giving Claroty a depth advantage in pure OT/ICS environments while Armis leads on cross-environment breadth. | 中 | SP006, SP019 |
| CP014 | None of the four Gartner CPS Protection Platform Leaders (Armis, Claroty, Dragos, Nozomi) offer native inline enforcement (ability to block threats in-line); all rely on third-party NAC or firewall integration for enforcement — a structural limitation the category has not yet addressed. | 高 | SP021, SP015 |
| CP015 | Forescout offers native NAC-based enforcement capability, giving it a structural differentiation vs. pure-play CPS Leaders: Forescout can block non-compliant or suspicious devices at network access level without third-party integration. | 高 | SP009, SP023 |
| CP016 | Dragos acquired Network Perception in 2024 to add network security policy management capabilities, expanding from pure threat detection into network segmentation policy validation — moving its platform closer to Armis's broader coverage scope. | 高 | SP003, SP008 |
| CP017 | Armis's agentless architecture for IT environments includes passive RF (Wi-Fi and Bluetooth Low Energy) monitoring that does not require SPAN/TAP ports for IT assets — a deployment advantage over Claroty and Nozomi, which require SPAN/TAP for all monitored segments. | 中 | SP013, SP019 |
| CP018 | Claroty's dual deployment model (xDome cloud + CTD on-premises) provides flexibility for air-gapped OT environments where cloud connectivity is restricted — an architectural advantage in regulated industries (nuclear, defense) where Armis's cloud-native model may face access restrictions. | 中 | SP006, SP019 |
| CP019 | Dragos includes an optional incident response retainer service (separate from platform subscription, estimated $50K-200K/year) providing an integrated threat detection + incident response offering that Armis cannot match organically — Armis partners with third-party MSSPs and IR firms for this use case. | 中 | SP008, SP018 |
| CP020 | Nozomi's acquisition by Mitsubishi Electric in September 2025 may enable OEM bundling of Nozomi sensors in Mitsubishi industrial equipment, creating a default/embedded competitive option in the large Mitsubishi industrial customer base — a distribution advantage that pure-play vendors cannot easily replicate. | 中 | SP004, SP024 |
| CP021 | Armis's partner list price is approximately $3,100-3,500 per network port (2025 price list), translating to approximately $20-50 per device per year at enterprise scale — consistent with the premium tier of CPS protection platform pricing. | 中 | SP001, SP007 |
| CP022 | Microsoft Defender for IoT is available as a standalone product at approximately $2/device/month ($24/year) for non-bundled deployments, and at near-zero incremental cost within Microsoft 365 E5/Security enterprise agreements — significantly below Armis's estimated $20-50/device/year enterprise pricing. | 中 | SP011, SP025 |
| CP023 | Claroty pricing is not publicly disclosed but estimated at comparable price points to Armis for cross-environment deployments; Claroty reportedly positions lower TCO for OT-centric buyers where Armis's IT+OT+IoT breadth is not needed. | 低 | SP006, SP016 |
| CP024 | Dragos platform pricing is not publicly disclosed but industry reports estimate $100-300 per OT asset per year, reflecting a specialist premium relative to broader CPS platform vendors — justified by threat intelligence leadership and sector-specific IR playbooks. | 低 | SP008, SP018 |
| CP025 | Forescout's existing NAC customer base faces lower incremental cost to add Forescout OT visibility (eyeInspect add-on) vs. net-new Armis purchase — a retention advantage for Forescout incumbents in financial services and healthcare where Forescout has 25% and 24% revenue growth respectively. | 中 | SP009, SP023 |
| CP026 | Post-ServiceNow acquisition, Armis pricing and packaging has not been publicly disclosed; the bundling pricing within ServiceNow enterprise agreements is expected but terms were not announced as of the report date (May 2026). | 高 | SP001, SP010 |
| CP027 | Armis's proprietary device knowledge base covering 7B+ devices provides a data moat through superior asset fingerprinting accuracy and behavior baselining — a competitive advantage that is defensible but not permanent as competitors invest in AI-driven protocol expansion. | 高 | SP001, SP005, SP014 |
| CP028 | Post-ServiceNow acquisition, Armis gains access to ServiceNow's 8,100+ enterprise customer relationships and $10B+ revenue platform as a distribution channel — providing a structural distribution advantage over independent competitors. | 高 | SP001, SP010 |
| CP029 | Microsoft Defender for IoT's zero-incremental-cost bundling within M365 E5 is the highest-severity near-term competitive risk for Armis in IT-centric enterprise IoT segments; the ServiceNow acquisition partially mitigates this by repositioning Armis as an operational workflow tool rather than a standalone security product. | 中 | SP011, SP025 |
| CP030 | Switching costs in CPS protection platforms are high: full platform migration requires 3-6 months of asset database rebuild, policy redeploy, SIEM/SOAR re-integration, and SOC analyst retraining in large enterprise environments — supporting strong net revenue retention for incumbent platforms. | 中 | SP014, SP013 |
| CP031 | Multi-homing is common in enterprise CPS deployments: organizations frequently deploy one vendor for OT/ICS depth (Claroty or Dragos) and a second for IT/IoT enterprise coverage (Armis), creating co-existence rather than pure displacement and limiting Armis's total account penetration in industrial verticals. | 中 | SP014, SP019 |
| CP032 | Nozomi Networks' acquisition by Mitsubishi Electric (September 2025) removes a well-funded independent competitor from the CPS market, creating a competitive vacuum that Armis and Claroty are positioned to capture from Nozomi's ~390-person team and $75M revenue customer base during the post-acquisition uncertainty period. | 中 | SP004, SP005 |
| CP033 | Asset discovery capability is commoditizing across the CPS vendor set as all platforms expand protocol libraries — differentiation is shifting toward enforcement capability, compliance reporting automation, SOAR integration, and AI threat intelligence quality. | 中 | SP015, SP021 |
| CP034 | Dragos was critiqued in the 2026 Gartner MQ for limited North American focus and channel partner gaps; Dragos announced a pure-channel GTM strategy to expand global reach — this weakness represents an opportunity for Armis in EMEA and APAC industrial markets where Dragos has limited presence. | 高 | SP003, SP022 |
| CP035 | Forescout achieved gross dollar retention of 91% in FY2025, exceeded the Rule of 40 for the third consecutive year, and reported revenue growth in financial services (+25%) and healthcare (+24%) — maintaining competitive relevance in its incumbent NAC install base despite not holding a Gartner Leader position. | 中 | SP009, SP010 |
| CP036 | Palo Alto Networks is the only major CPS-adjacent vendor offering native inline enforcement (via NGFW/Prisma), positioning it to capture customers who prioritize blocking capability over detection breadth — a segment Armis, Claroty, Dragos, and Nozomi are structurally unable to serve. | 高 | SP021, SP015 |
| CP037 | Claroty's dual deployment model (cloud + on-premises) and OT protocol depth position it as the closest substitute for Armis in cross-environment deployments; however, Claroty's estimated $200M ARR vs. Armis's $340M+ ARR indicates Armis has a meaningful scale advantage. | 中 | SP002, SP006, SP016 |
| CP038 | Forescout was recognized as a Market Leader in Cyber-Physical Systems Security at the Global InfoSec Awards (2025/2026), Globee Award winner for threat intelligence (Vedere Labs), and earned recognition in Northern Virginia Technology Council's Cyber50 Awards — maintaining brand visibility despite Gartner Niche Player status. | 中 | SP009, SP010 |
| CP039 | The 2025-2026 acquisition wave in CPS security (Nozomi by Mitsubishi, Armis by ServiceNow, OTORIO by Armis) signals a market consolidation phase that benefits scale players but increases execution risk for the acquired entities managing integration complexity. | 高 | SP001, SP004, SP010 |
| CP040 | Dragos expanded its platform scope by acquiring Network Perception in 2024, adding network security policy management to its OT threat detection capabilities — a move toward the broader platform model that Armis already occupies, representing a convergence trend that may reduce differentiation over time. | 高 | SP003, SP008 |
| CP041 | Claroty's January 2026 $100M strategic growth financing and reported IPO preparation at $3.5-4B valuation positions it to increase investment in sales, R&D, and international expansion — potentially narrowing Armis's competitive gap in the 12-24 month post-IPO period if Claroty executes successfully. | 中 | SP007, SP017 |
| CP042 | Neither Armis nor Claroty publish list pricing for their platforms; Dragos, Nozomi, and Forescout are similarly opaque — making independent verification of realized pricing comparisons impossible without customer procurement data, which is not publicly available. | 中 | SP014, SP013 |
| CI001 | Armis crossed $200M in Annual Recurring Revenue in August 2024, doubling its ARR in less than 18 months from the prior milestone. | 高 | SF003, SF007 |
| CI002 | Armis surpassed $300M ARR by August 2025, adding $100M in new ARR in under 12 months — representing greater than 50% year-over-year growth. | 高 | SF001, SF011, SF017, SF019 |
| CI003 | Armis cited $340M+ ARR with >50% year-over-year growth in ServiceNow's December 2025 acquisition announcement and the April 2026 closing 8-K filing. | 高 | SF025, SF004 |
| CI004 | Armis publicly targeted $500M ARR (within approximately 18 months from mid-2025) and $1B ARR (within approximately 3 years) ahead of its planned IPO, goals superseded by the ServiceNow acquisition. | 中 | SF001, SF020 |
| CI005 | Armis serves more than 35% of the Fortune 100 and nine of the Fortune 10 as of late 2025, with customers spanning healthcare, finance, manufacturing, government, and critical infrastructure. | 中 | SF017, SF019 |
| CI006 | Armis pricing is tiered by the number and type of assets under management — IT, OT, IoT, medical, and cloud devices are handled under distinct SKUs within the same Centrix platform umbrella. | 中 | SF008, SF018 |
| CI007 | Armis per-port pricing (network discovery deployment) runs $3,100–$3,500 per port depending on volume and deployment scope, per the May 2025 channel partner price list. | 中 | SF008, SF018 |
| CI008 | Armis block pricing for asset-count tiers: 500–1,499 assets = $26,000/block; 1,500–2,499 = $35,000/block; 2,500–9,999 = $50,000/block; larger deployments are quoted custom. | 中 | SF008, SF018 |
| CI009 | Armis sells add-on modules — including AI-powered risk scoring, threat intelligence feeds, and CAASM capabilities — layered on top of the base Centrix platform subscription. | 中 | SF002, SF009 |
| CI010 | In January 2026, Armis launched the tier-free 'Armis Select Partner Program' for VARs, GSIs, MSPs, and MSSPs, replacing traditional volume-based partner tiers with outcome- and engagement-based incentives. | 高 | SF009, SF010 |
| CI011 | Armis raised $200M in October 2024 at approximately $4.3B valuation, led by General Catalyst and Alkeon Capital. | 中 | SF006, SF007 |
| CI012 | Armis employees sold $100M in shares in a July 2025 secondary offering at a $4.5B valuation, providing pre-IPO liquidity to the workforce prior to the acquisition. | 中 | SF014, SF006 |
| CI013 | Armis closed a $435M pre-IPO funding round at a $6.1B valuation in November 2025, led by Growth Equity at Goldman Sachs Alternatives, with CapitalG and Evolution Equity Partners participating. | 高 | SF002, SF005, SF015 |
| CI014 | Armis's total disclosed venture capital raised across all rounds is approximately $1.17B, including the $435M pre-IPO round. | 中 | SF005, SF007 |
| CI015 | ServiceNow agreed to acquire Armis for $7.75B in cash (announced December 22, 2025), representing approximately a 27% premium over the $6.1B November 2025 valuation; the transaction closed April 19, 2026. | 高 | SF004, SF025 |
| CI016 | Armis's primary sales motion is direct enterprise sales with typical deal cycles of 6–18 months for large-scale OT, healthcare, and critical infrastructure deployments requiring stakeholder alignment and proof-of-concept phases. | 中 | SF002, SF019 |
| CI017 | Armis's go-to-market includes global system integrators (Accenture, KPMG, Deloitte, PwC) and cloud hyperscalers (AWS, Google) as co-sell and resell partners, enabling access to large enterprise and federal accounts. | 中 | SF001, SF009 |
| CI018 | The Armis Select Partner Program eliminates traditional revenue-tier barriers, enabling smaller MSSPs and specialized partners to earn incentives based on activity and results rather than size. | 中 | SF009, SF010 |
| CI019 | Armis's MSSP channel offers custom pricing, dedicated support, and managed-service delivery infrastructure, positioning MSSPs as a recurring-revenue distribution vehicle rather than a transactional reseller channel. | 中 | SF009, SF010 |
| CI020 | Armis generated $100M in net new ARR between August 2024 and August 2025 — an annualized bookings velocity above $100M — confirming sustained hypergrowth momentum into the pre-acquisition period. | 中 | SF001, SF017 |
| CI021 | Armis gross margin is not publicly disclosed; SaaS cybersecurity peers at comparable scale (e.g., CrowdStrike, Zscaler) report 75–80% gross margins; Armis estimates of 70–80% are consistent with a cloud-native, engineering-heavy SaaS model. | 低 | SF007, SF013, SF023 |
| CI022 | Armis R&D spend is not disclosed; extrapolated from headcount and acquisition pace, estimated at 25–35% of ARR (~$75–105M in FY2025), reflecting heavy investment in OT protocol libraries, AI modules, and acquired-IP integration. | 低 | SF007, SF013 |
| CI023 | Armis headcount was approximately 950 at acquisition close (April 2026), distributed roughly 52% in the US (~400 employees), 29% in Israel (~225), and the remainder across the UK, Canada, Europe, and APAC. | 中 | SF012, SF007 |
| CI024 | Armis sales and marketing spend is not disclosed; enterprise SaaS security peers in hypergrowth phases typically spend 50–70% of revenue on S&M; Armis's aggressive headcount build and channel investment suggest spending at the high end. | 低 | SF013, SF023 |
| CI025 | Following the March 2025 OTORIO acquisition, Armis eliminated approximately 45 of 80 OTORIO employee positions (March 17, 2025), signaling integration-driven cost management discipline that may partially offset acquisition capex drag. | 中 | SF016, SF021 |
| CI026 | Armis has not filed an S-1 registration statement or any form of SEC registration; no audited GAAP financial statements are available in the public domain as of May 2026, following the April 2026 acquisition close. | 高 | SF022, SF005 |
| CI027 | Key unit-economics metrics — gross margin, net revenue retention (NRR), customer acquisition cost (CAC), CAC payback period, contract duration mix, and cash burn rate — have never been disclosed by Armis. | 中 | SF022, SF007 |
| CI028 | Armis CEO Yevgeny Dibrov publicly stated an intent to reach cash-flow positive status prior to pursuing an IPO, citing discipline in operating toward public-company financial benchmarks. | 中 | SF011, SF005 |
| CI029 | Armis ARR and recognized GAAP revenue are likely different; professional services revenue, deferred subscription revenue from multi-year contracts, and MSSP commission netting create an unknown gap between ARR and recognized revenue. | 低 | SF007, SF013 |
| CI030 | No gross dollar retention (GDR) or net dollar retention (NDR) data has been published by Armis; analyst estimates place NRR in the 110–130% range, inferred from platform expansion patterns, add-on module launches, and M&A-driven upsell. | 低 | SF013, SF007 |
| CI031 | ServiceNow financed the $7.75B Armis acquisition through existing cash on hand and a $4B unsecured term loan from JPMorgan Chase and lender syndicate, maturing in October 2026. | 高 | SF004, SF025 |
| CI032 | Armis's last standalone external capital raise was the $435M November 2025 round; no additional capital from Armis was required for the April 2026 acquisition close, as ServiceNow funded the transaction entirely. | 中 | SF005, SF004 |
| CI033 | Post-acquisition, Armis operates as a wholly owned subsidiary of ServiceNow (NYSE: NOW); standalone runway and burn-rate considerations are superseded by ServiceNow's $180B+ market-cap balance sheet. | 高 | SF004, SF025 |
| CI034 | The $7.75B ServiceNow acquisition implies an ARR multiple of approximately 22x on $340M+ ARR — a premium multiple consistent with hypergrowth SaaS cybersecurity assets, but above the 15–18x range prevailing in the 2025 public market. | 中 | SF021, SF007 |
| CI035 | Armis executed three acquisitions in approximately 13 months (CTCI Feb 2024, Silk Security $150M Apr 2024, OTORIO $120M Mar 2025) totaling approximately $270M+ in disclosed cash capex, representing a capital-intensive M&A-driven growth strategy. | 中 | SF005, SF016 |
| CI036 | Armis revenue is substantially 100% SaaS subscription; professional services revenue is ancillary (estimated <10% of total revenue), consistent with the company's product-led positioning and partner-led implementation model. | 低 | SF007, SF023 |
| CI037 | By November 2025, Armis reached approximately $0.26 in ARR per $1 of total capital raised — a capital efficiency ratio improving from ~$0.19/$ in October 2024, reflecting ARR growth outpacing incremental capital deployed. | 低 | SF007, SF013 |
| CI038 | Armis block-tier pricing ($26K–$50K per block) positions it above commodity IoT point solutions but below full-enterprise SOC platform deals, enabling mid-market entry while sustaining enterprise-grade ACVs. | 中 | SF008, SF007 |
| CI039 | CapitalG (Alphabet's venture arm) and Goldman Sachs Alternatives participated in the November 2025 $435M round, lending institutional validation to Armis's revenue quality and growth trajectory. | 中 | SF006, SF015 |
| CI040 | Armis's pre-acquisition IPO ambition included reaching $500M ARR at cash-flow positive status before accessing public markets; the ServiceNow acquisition at $7.75B effectively superseded this path, delivering earlier liquidity to investors. | 中 | SF005, SF020 |
| CI041 | The M&A Watch analysis of the ServiceNow-Armis acquisition flagged integration risk, cross-selling dependency on ServiceNow's 8,100+ enterprise customer base, and cultural friction between a workflow automation platform and an OT security startup as key post-deal financial risks. | 低 | SF021 |
| CI042 | Armis CFO Jonathan Carr stated in August 2025 that each acquired technology 'works together, creating a better together story,' while citing 'growing in excess of top public company benchmarks' as a financial performance signal — but without disclosing specific margin or retention metrics. | 中 | SF024, SF017 |
| CE001 | Armis Centrix is a cloud-native SaaS platform hosted on AWS, with hybrid and on-premises deployment options available for OT environments. | 高 | SE024, SE015, SE017 |
| CE002 | The Armis Asset Intelligence Engine tracks 7 billion or more devices globally, representing the largest proprietary device fingerprint database in the CPS security market by company claim. | 高 | SE024, SE008, SE017 |
| CE003 | Armis Centrix uses passive monitoring via SPAN and mirror ports and network taps with no active scanning and no agents required on monitored devices. | 高 | SE015, SE017, SE024 |
| CE004 | Armis performs deep packet inspection across 500 or more OT, IoT, and industrial protocols including Modbus, DNP3, BACnet, Siemens S7, OPC-UA, and PROFINET. | 中 | SE024, SE015, SE017 |
| CE005 | Armis data flow architecture: edge sensor captures metadata, encrypts via TLS 1.3, transmits to Armis cloud Asset Intelligence Engine for AI/ML analytics and alerting — no payload data leaves the customer environment. | 中 | SE012, SE015, SE017 |
| CE006 | Armis provides a REST API v3, a Python SDK (armis-sdk on PyPI), and a public Armis Developer Portal at developers.armis.com for external integration and automation. | 高 | SE001, SE002, SE012, SE013, SE020 |
| CE007 | Armis Centrix includes 200 or more pre-built integration connectors spanning SIEM, SOAR, ITSM, EDR, NAC, CMDB, and cloud platforms. | 中 | SE024, SE015, SE016 |
| CE008 | Centrix for Asset Management and Security is the core GA module providing continuous asset inventory, CMDB enrichment, and real-time risk scoring for IT, cloud, and unmanaged devices. | 高 | SE024, SE008, SE015 |
| CE009 | Centrix for OT/ICS Security is a GA module supporting industrial protocol decoding, SCADA and PLC behavioral baselining, and OT-safe passive threat detection without disrupting production operations. | 高 | SE024, SE015, SE017 |
| CE010 | Centrix for Medical Device and IoMT Security is a GA module with FDA and HIPAA-mapped clinical impact scoring that prioritizes medical device risks by patient impact rather than raw CVSS scores. | 中 | SE021, SE024, SE008 |
| CE011 | Centrix for CAASM (Cyber Asset Attack Surface Management) is a GA module that quantifies exposure across all connected assets and enables prioritized remediation workflows for security operations teams. | 高 | SE024, SE008, SE015 |
| CE012 | Centrix for VMDR (Vulnerability Management Detection and Response) was launched in 2025 and early 2026 and is in early adoption phase, incorporating Silk Security IP for AI-driven vulnerability prioritization. | 中 | SE014, SE024, SE008 |
| CE013 | Centrix for Application Security is a new SKU launched in 2025 targeting SDLC and application security posture management; it is in early adoption as of H1 2026 with GA targeted for later in 2026. | 中 | SE024, SE014, SE008 |
| CE014 | Centrix for Secure Remote Access is an OTORIO-derived Zero Trust OT remote access module; its integration with Centrix cloud analytics is still in progress as of H1 2026. | 中 | SE005, SE007, SE010 |
| CE015 | Armis acquired CTCI in February 2024 to add AI-powered cybersecurity threat detection and behavioral anomaly capabilities to the Centrix Asset Intelligence Engine. | 中 | SE024, SE008 |
| CE016 | Armis acquired Silk Security in April 2024 for approximately $150 million to add AI-driven risk prioritization and remediation workflow capabilities now embedded in the VMDR module. | 中 | SE024, SE008 |
| CE017 | Armis acquired OTORIO in March 2025 for $120 million to expand OT and cyber-physical security capabilities, adding the Titan on-premises OT platform and Zero Trust remote access module. | 高 | SE005, SE006, SE007, SE023, SE025 |
| CE018 | Federal Armis Centrix deployments run on AWS GovCloud, satisfying US government data residency, FISMA, and DoD cloud computing requirements through Armis Federal LLC. | 高 | SE011, SE003, SE004 |
| CE019 | Armis Federal LLC is a dedicated federal subsidiary established to hold FedRAMP and DoD authorizations separately from the commercial Armis entity, enabling cleared personnel to manage federal programs. | 高 | SE011, SE018 |
| CE020 | Armis achieved FedRAMP Moderate authorization and DISA IL4 authorization in 2023, enabling US federal civilian agency and DoD non-classified workload deployments. | 高 | SE011, SE018, SE009 |
| CE021 | Armis achieved US Department of Defense Impact Level 5 authorization on February 23, 2026, issued by DISA, enabling processing of SECRET-level and National Security Systems data. | 高 | SE003, SE004, SE009, SE011 |
| CE022 | Armis FedRAMP High authorization is in process as of H1 2026, with the company targeting completion in H2 2026 to unlock FISMA High impact civilian federal system contracts. | 中 | SE011, SE018 |
| CE023 | Armis holds SOC 2 Type II certification covering security, availability, and confidentiality trust service criteria for the Armis Centrix cloud platform. | 高 | SE024, SE019 |
| CE024 | Armis holds ISO 27001 for information security management and ISO 27018 for cloud personal data protection certifications covering its platform and corporate operations. | 高 | SE024, SE019 |
| CE025 | Armis claims to be the only major CPS protection platform offering 100 percent passive, agentless monitoring across IT, OT, IoT, and IoMT simultaneously without active scanning. | 高 | SE024, SE015, SE017 |
| CE026 | Armis claims its 7 billion or more device knowledge base is the largest proprietary device fingerprint database in the CPS security market, accumulated over nine years of enterprise deployments. | 中 | SE024, SE008 |
| CE027 | Armis Centrix is the only platform addressing IT, OT, IoT, and IoMT all in one cloud-native SaaS instance without requiring separate products or siloed data lakes per customer environment type. | 高 | SE024, SE015, SE017 |
| CE028 | Armis Centrix includes an Early Warning System combining dark web intelligence monitoring, dynamic honeypot deception, and threat actor modeling for proactive advance threat detection. | 中 | SE024, SE008 |
| CE029 | Armis has a native ServiceNow integration enabling automated ITSM ticket creation, CMDB enrichment via HAM and SAM Pro, and remediation workflow automation directly from Centrix alerts. | 高 | SE016, SE024, SE015 |
| CE030 | Armis claims the AI-powered risk prioritization from Silk Security IP reduces analyst security triage time by approximately 90 percent compared to manual CVE triage workflows. | 中 | SE014, SE024 |
| CE031 | Armis deep packet inspection covers OT protocols including Modbus, DNP3, BACnet, Siemens S7, OPC-UA, and PROFINET, enabling behavioral baselining without disrupting production network operations. | 高 | SE015, SE017, SE024 |
| CE032 | Armis completed three acquisitions in 13 months — CTCI February 2024, Silk Security April 2024, and OTORIO March 2025 — creating compounding integration execution risk across simultaneous engineering workstreams. | 高 | SE006, SE007, SE010, SE025 |
| CE033 | Following the OTORIO acquisition in March 2025, Armis eliminated 45 of 80 OTORIO employees (56 percent), a significant workforce reduction raising concerns about OTORIO integration team capacity and roadmap velocity. | 高 | SE007, SE025, SE023 |
| CE034 | The OTORIO Titan on-premises OT platform integration with Centrix cloud analytics is still in progress as of H1 2026, leaving air-gapped OT customers without full cloud-connected feature parity. | 中 | SE005, SE010, SE025 |
| CE035 | Armis's expansion into application security with Centrix for Application Security in 2025 introduces a new buyer persona and competes with established AppSec tools, risking platform focus dilution from the OT/IoT core. | 中 | SE014, SE024, SE008 |
| CE036 | The Armis Developer Portal at developers.armis.com was launched to provide external developers with API documentation, authentication guides, SDK references, and integration sample code. | 中 | SE001, SE020, SE012 |
| CE037 | The armis-sdk Python package is publicly available on PyPI, enabling programmatic access to Armis REST API v3 for asset queries, alert management, and integration automation. | 中 | SE013, SE002, SE001 |
| CE038 | Armis REST API v3 provides authenticated, paginated access to asset, alert, vulnerability, and activity data for external system integration and custom analytics workflows. | 中 | SE012, SE001, SE020 |
| CE039 | Armis deep packet inspection protocol coverage spans OT protocols (Modbus, DNP3, BACnet, Siemens S7, OPC-UA, PROFINET), healthcare protocols (DICOM, HL7), and IoT protocols (BLE, Zigbee) among others. | 中 | SE015, SE017, SE021 |
| CE040 | Armis integrates natively with ServiceNow HAM (Hardware Asset Management) and SAM (Software Asset Management) Pro for CMDB enrichment, lifecycle management, and automated reconciliation workflows. | 中 | SE016, SE024 |
| CE041 | OTORIO Titan is an on-premises OT security platform designed for air-gapped and classified OT environments, providing local data processing and protocol decoding without requiring continuous cloud connectivity. | 中 | SE005, SE006, SE007 |
| CE042 | Armis Centrix is listed on the UK Government G-Cloud-14 procurement framework, enabling UK public sector bodies to procure Centrix services without a full separate competitive tender process. | 中 | SE019 |
| CU001 | Armis Security counts more than 35 Fortune 100 companies and nine of the Fortune 10 among its active customer base as of 2025. | 高 | SU001, SU012 |
| CU002 | Armis serves customers across Healthcare (IoMT), Manufacturing/OT, Energy and Utilities, Federal Government, Financial Services, Education, and Telecommunications verticals. | 高 | SU008, SU009 |
| CU003 | Armis's primary geographic market is the United States, accounting for approximately 52% of its workforce; it also serves customers in EMEA and APAC. | 中 | SU007, SU010 |
| CU004 | Armis's buyer profile is primarily the enterprise CISO and VP of IT Security at organizations with 1,000+ employees, though some deployments exist at smaller organizations such as K-12 school districts. | 中 | SU004, SU005 |
| CU005 | Armis has built an ecosystem of 200+ technology partner integrations, spanning Microsoft, Cisco, Palo Alto Networks, and others, which serve as a channel for lead generation and co-sell. | 高 | SU006, SU007 |
| CU006 | Armis's products are sold primarily as enterprise SaaS subscriptions with 1-3 year contract terms typical for large enterprise customers. | 中 | SU012, SU004 |
| CU007 | Armis achieved $200M in annual recurring revenue (ARR) in August 2024. | 高 | SU011, SU012 |
| CU008 | Armis achieved $300M in ARR in August 2025, representing approximately 50% year-over-year growth from the $200M milestone in August 2024. | 高 | SU011, SU012 |
| CU009 | Armis exceeded $340M in ARR by December 2025, approximately four months after reaching the $300M milestone. | 中 | SU016, SU020 |
| CU010 | Armis tracks more than 7 billion devices globally across its customer fleet as a measure of platform utilization and scale. | 高 | SU012, SU023 |
| CU011 | Gartner named Armis a Leader in its Magic Quadrant for Cyber-Physical Systems Protection Platforms in both 2025 and 2026, validating market adoption and product capability. | 高 | SU013, SU014 |
| CU012 | Armis raised a $435M Series E funding round in November 2025 at a $6.1B valuation, reflecting investor confidence in growth trajectory and customer base quality. | 高 | SU016, SU010 |
| CU013 | Armis achieved FedRAMP Moderate authorization and DoD Impact Level 5 (IL5) authorization in February 2026, enabling federal customer deployments through a dedicated Armis Federal LLC subsidiary. | 高 | SU022, SU009 |
| CU014 | East Moline School District 37 (1,500 employees, K-12 education) is a named production Armis customer on TrustRadius; the reviewer confirms active use for asset tracking, rogue device blocking, and traffic analysis, stating the product saved incalculable time on network analysis. | 高 | SU004, SU002 |
| CU015 | A Head of Cyber Defense Center at an IT services firm (under $50M revenue) provided a 4.0/5 Gartner Peer Insights review confirming production use of Armis for Security Risk Assessment (SRA) and agentless architecture in a highly regulated environment. | 高 | SU003, SU002 |
| CU016 | PeerSpot reviewers from manufacturing contexts confirm production OT/IT security deployments using Armis for asset discovery and vulnerability identification. | 中 | SU005, SU002 |
| CU017 | Elisity, a technology partner, publicly uses the Armis Centrix API in production for microsegmentation policy enforcement, representing a named production integration reference. | 高 | SU006, SU025 |
| CU018 | Nine Fortune 10 companies and 35+ Fortune 100 companies are active Armis customers per company disclosure, though individual company names are not publicly confirmed in case studies. | 高 | SU001, SU012 |
| CU019 | Armis reports a Net Promoter Score (NPS) of 70, which exceeds the 50+ threshold typically classified as excellent in B2B SaaS benchmarks. | 中 | SU012, SU001 |
| CU020 | Armis holds a 4.5-star rating on G2 from 12 reviews as of late 2025, with reviewers generally recommending the platform. | 高 | SU002, SU004 |
| CU021 | Armis has not publicly disclosed any Net Revenue Retention (NRR) or Gross Revenue Retention (GRR) figure; these standard SaaS retention metrics are unavailable from public sources. | 高 | SU012, SU011 |
| CU022 | Armis provides bi-weekly onboarding calls as part of its customer success motion, as noted by TrustRadius reviewers, indicating an active post-sales engagement model. | 中 | SU004, SU002 |
| CU023 | A Gartner Peer Insights review posted in December 2025 from a reviewer at a $30B+ manufacturing company rated Armis 3.0/5, citing that OT-specific options remain behind competitor offerings — the most significant adverse customer signal found. | 高 | SU003, SU005 |
| CU024 | PeerSpot reviewers from manufacturing contexts noted that Armis is not completely stable and that sometimes incidents may occur, flagging occasional platform reliability issues. | 中 | SU005, SU003 |
| CU025 | Enterprise SaaS contracts for Armis are typically 1-3 years in duration, providing near-term revenue durability but creating renewal decision windows at predictable intervals. | 中 | SU012, SU004 |
| CU026 | Armis operates a land-and-expand model in which customers typically start with one module (commonly CAASM or IoT Security) and subsequently add OT Security, Healthcare Security (IoMT), VMDR, and Early Warning modules. | 高 | SU012, SU008 |
| CU027 | ARR growth from $200M (Aug 2024) to $300M (Aug 2025) in 12 months, combined with relatively stable customer count assumptions, implies significant expansion revenue from existing customers. | 中 | SU011, SU012 |
| CU028 | Armis has nine Fortune 10 companies as customers, creating a high-logo concentration risk where any visible churn or public dissatisfaction from this cohort would be disproportionately impactful on brand and sales. | 中 | SU001, SU012 |
| CU029 | Armis has 35+ Fortune 100 customers, which distributes customer concentration risk broadly across the large enterprise segment and mitigates single-name revenue risk. | 高 | SU001, SU012 |
| CU030 | ServiceNow's acquisition of Armis (completed April 2026) introduces a structural channel risk: future distribution through ServiceNow's enterprise sales force may result in preference for native ServiceNow security tools over Armis-specific modules. | 中 | SU021, SU019 |
| CU031 | Armis has expanded into new verticals including Application Security (2025) and Automotive, broadening the addressable customer set but with limited public customer proof in these new segments. | 中 | SU012, SU007 |
| CU032 | CISOs and enterprise security buyers discover Armis primarily through Gartner Magic Quadrant placement, peer referrals, and industry events, with the agentless architecture serving as a key differentiator during evaluation. | 中 | SU013, SU014 |
| CU033 | Armis proof-of-concept deployments typically involve agentless sensor deployment on a SPAN port, allowing security teams to evaluate device discovery completeness without disrupting production environments. | 中 | SU004, SU005 |
| CU034 | Armis serves enterprise customers across more than 8 distinct verticals, with its 200+ technology partner ecosystem generating inbound leads and co-sell opportunities that support pipeline development. | 中 | SU006, SU007 |
| CU035 | No independently verified named healthcare (IoMT) customer case studies were found in public review platforms; healthcare customers are referenced in Armis marketing materials with clinical impact scoring claims but without independent corroboration. | 高 | SU018, SU001 |
| CU036 | Armis's ARR trajectory from approximately $100M (estimated 2022-2023) to $200M (2024) to $300M (2025) implies sustained low gross churn in the Enterprise IT segment, as ARR growth at this velocity without material churn would require implausibly high new logo volumes. | 中 | SU012, SU011 |
| CU037 | Armis was named to the Fortune Cyber 60 list, indicating recognition as one of the most significant cybersecurity companies by Fortune magazine. | 高 | SU017, SU007 |
| CU038 | ServiceNow completed its acquisition of Armis Security in April 2026 at a valuation of $7.75B, making Armis a business unit within ServiceNow's security portfolio. | 高 | SU021, SU019 |
| CU039 | Armis's ARR growth rate exceeds 50% year-over-year (Aug 2024 to Aug 2025), placing it among the fastest-growing enterprise security companies at the $200M+ ARR scale. | 高 | SU012, SU011 |
| CU040 | Armis's customer base spans multiple procurement channels including direct enterprise sales, technology partner co-sell (Elisity, AT&T Cybersecurity), and federal channels through Armis Federal LLC. | 中 | SU025, SU006 |
| CU041 | Armis achieved consecutive Gartner Magic Quadrant Leader placements in 2025 and 2026, demonstrating sustained market recognition rather than a one-time placement. | 高 | SU013, SU014 |
| CU042 | AT&T Cybersecurity offers Armis Asset Intelligence as part of its managed security portfolio, indicating channel distribution through a major telecommunications security partner. | 高 | SU025, SU006 |
| CR001 | Armis received a 3.0/5 Gartner Peer Insights review in December 2025 from a $30B+ manufacturing company that cited OT-specific alert options remain behind competitors. | 高 | SR009, SR014 |
| CR002 | Integration execution risk is elevated by three acquisitions in 13 months: CTCI (February 2024), Silk Security at $150M (April 2024), and OTORIO at $120M (March 2025). | 高 | SR010, SR011, SR012 |
| CR003 | ServiceNow paid $7.75B to acquire Armis in April 2026, implying approximately 23x trailing ARR based on estimated $340M ARR as of December 2025. | 高 | SR019, SR020, SR005 |
| CR004 | Integration execution failure at OTORIO would directly transmit to customer attrition as Claroty, Dragos, and Nozomi offer platforms with deeper OT-native capabilities. | 中 | SR009, SR010, SR026 |
| CR005 | ARR growth slowdown risk exists if integration-driven churn exceeds new bookings, undermining the 40-50% annual growth trajectory implied by the $7.75B acquisition price. | 中 | SR022, SR006, SR019 |
| CR006 | ServiceNow faces goodwill impairment risk if Armis ARR plateaus after paying $7.75B, equivalent to approximately 23x trailing ARR at the time of acquisition. | 中 | SR005, SR019, SR022 |
| CR007 | AWS GovCloud is the primary cloud infrastructure for Armis FedRAMP and DoD IL5 workloads; it connects to FedRAMP PMO authorization and DISA continuous monitoring dependencies. | 高 | SR024, SR015, SR027 |
| CR008 | ServiceNow controls Armis AI Engine data governance post-acquisition; restricted training data access post-acquisition could erode the proprietary device fingerprint database moat. | 中 | SR005, SR028 |
| CR009 | Armis must comply with GDPR for device telemetry data collected by agentless sensors deployed in EU customer networks, including Article 28 Data Processing Agreements with all EU customers. | 高 | SR003, SR004 |
| CR010 | FedRAMP High authorization is in process as of H1 2026; Armis holds FedRAMP Moderate and DoD IL5 but not High, blocking the most sensitive DoD and IC contracts. | 高 | SR015, SR016, SR024, SR027 |
| CR011 | The EU NIS2 Directive entered into force in October 2024 and imposes supply chain security compliance obligations on Armis as a vendor supplying critical infrastructure operators in EU member states. | 高 | SR001, SR002 |
| CR012 | CISA ICS advisories and NIST NVD show no critical platform CVEs for Armis as of May 2026; however, OTORIO Titan integration code introduces new OT vulnerability surface exposure. | 高 | SR001, SR030 |
| CR013 | The ServiceNow S-4/A registration statement discloses representations and warranties related to Armis's data processing obligations, IP indemnification, and litigation exposure assumed during the acquisition. | 高 | SR007, SR005 |
| CR014 | Armis's Privacy Policy and Legal Compliance pages confirm GDPR, CCPA, SOC 2 Type II, and ISO 27001 postures as the primary compliance certifications maintained as of 2025-2026. | 高 | SR003, SR004 |
| CR015 | DoD IL5 authorization was achieved in February 2026 by Armis Federal LLC, confirmed independently by Business Wire and Industrial Cyber reporting in addition to Armis press materials. | 高 | SR016, SR027, SR015, SR024 |
| CR016 | Armis's SaaS architecture is hosted on AWS commercial and AWS GovCloud with no publicly disclosed multi-cloud or hybrid cloud failover strategy. | 高 | SR024, SR028 |
| CR017 | The OTORIO acquisition introduced the Titan on-premises air-gapped OT platform as a separate code base requiring parallel maintenance alongside Armis Centrix SaaS. | 高 | SR010, SR011, SR026 |
| CR018 | 45 of approximately 80 OTORIO employees were laid off within days of the acquisition close in March 2025, reducing the OT engineering bench available for Titan integration work. | 高 | SR013, SR010 |
| CR019 | PeerSpot reviewers noted that Armis is not completely stable and that incidents may occur, indicating recurring platform reliability concerns from enterprise customers. | 中 | SR014, SR023 |
| CR020 | Armis operates 200+ third-party technology integrations; API changes from Splunk, Microsoft Sentinel, or CrowdStrike could break security workflow integrations for enterprise customers. | 高 | SR028, SR029 |
| CR021 | NIST Cybersecurity Framework and CISA guidance establish the baseline security standards Armis must maintain as an OT security vendor supplying critical infrastructure customers. | 高 | SR002, SR001 |
| CR022 | Israeli engineering team represents approximately 29% of Armis headcount and faces geopolitical and cultural integration risk from the ServiceNow acquisition. | 中 | SR013, SR011 |
| CR023 | Post-acquisition, Armis depends on ServiceNow for GTM resources, product roadmap prioritization, capital allocation, and strategic direction as a business unit. | 高 | SR005, SR019, SR020 |
| CR024 | AWS GovCloud dependency means migration to another cloud provider would require FedRAMP and IL5 re-authorization, a process typically taking 12-24 months. | 高 | SR024, SR015, SR027 |
| CR025 | GSA FedRAMP PMO authorization requires annual renewal and continuous monitoring; FedRAMP High authorization is pending and not yet listed in the public authorization registry. | 高 | SR015, SR016, SR024 |
| CR026 | Nine of the Fortune 10 use Armis, creating high brand and revenue concentration risk where adverse events affecting even 2-3 of these clients generate outsized revenue impact. | 高 | SR008, SR022 |
| CR027 | The Elisity technology partnership confirms real-world Armis Centrix API integration in production for microsegmentation policy enforcement, illustrating both partner value and API dependency risk. | 高 | SR029, SR028 |
| CR028 | Armis holds SOC 2 Type II and ISO 27001 certifications; annual renewal creates operational compliance overhead requiring continuous security control maintenance. | 高 | SR004, SR003 |
| CR029 | No publicly disclosed NRR or GRR exists for Armis; absence of retention metrics prevents independent assessment of ARR durability and land-and-expand efficiency. | 高 | SR022, SR008 |
| CR030 | Thesis-break triggers include NRR below 110%, OTORIO Titan integration delayed past Q3 2026, FedRAMP High denied, or CEO/CTO departure within 12-18 months of April 2026 acquisition close. | 中 | SR009, SR019, SR015 |
| CR031 | Regulatory compliance failure from GDPR enforcement or FedRAMP High delay would simultaneously constrain EU critical infrastructure expansion and classified US federal contract growth. | 中 | SR003, SR007, SR015 |
| CR032 | ServiceNow's $28B+ annual revenue provides a deep-pocketed parent able to fund extended platform investment in Armis, mitigating standalone burn rate and capital risk. | 高 | SR005, SR006 |
| CR033 | FedRAMP and IL5 certifications create switching-cost moats in the federal segment; migrating off Armis would require an alternative vendor to obtain equivalent federal authorizations. | 高 | SR015, SR024, SR027 |
| CR034 | ServiceNow quarterly earnings commentary and the FedRAMP authorization registry are the two most reliable real-time monitoring indicators for Armis ARR health and federal expansion progress. | 中 | SR005, SR006, SR015 |
| CR035 | Armis was named a Leader in the Gartner Magic Quadrant for Cyber-Physical Systems Protection Platforms in both 2025 and 2026, providing defensible market position as a competitive moat. | 高 | SR009, SR028 |
| CR036 | Armis achieved $300M ARR in August 2025 and exceeded $340M ARR by December 2025, representing 50%+ YoY growth and providing ARR durability as mitigation for acquisition premium risk. | 高 | SR022, SR017, SR018 |
| CR037 | Total pre-acquisition capital raised exceeded $1.17B across seed through Series E ($435M at $6.1B valuation in November 2025), meaning investor return expectations were priced into the $7.75B acquisition. | 高 | SR017, SR018, SR025 |
| CR038 | CEO Yevgeny Dibrov and CTO Nadir Izrael's formal retention agreements, equity vesting acceleration terms, and post-acquisition role scope have not been publicly disclosed. | 高 | SR019, SR020 |
| CR039 | OTORIO layoffs of 45 of approximately 80 employees in March 2025 created cultural uncertainty in the acquired team immediately following acquisition close. | 高 | SR013, SR010, SR026 |
| CR040 | ServiceNow announcements reference Armis founders continuing in leadership roles post-acquisition, but no formal retention agreement details have been publicly confirmed. | 中 | SR019, SR020 |
| CR041 | Monitoring indicators for Armis investment thesis include ServiceNow earnings commentary, FedRAMP High registry status, Gartner Peer Insights trajectory, and LinkedIn headcount velocity. | 中 | SR009, SR015, SR005 |
| CR042 | Without NRR, GRR, or burn rate disclosure, financial diligence on Armis relies on ARR growth trajectory, Gartner MQ position, and ServiceNow segment commentary as proxy indicators. | 中 | SR006, SR022, SR005 |
| CV001 | ServiceNow acquired Armis Security for $7.75 billion in an all-cash transaction announced December 22, 2025. | 高 | SV001, SV002, SV003 |
| CV002 | The ServiceNow acquisition of Armis Security closed on April 19-20, 2026, confirmed by SEC 8-K filing. | 高 | SV001, SV004 |
| CV003 | Armis reported $300M ARR in August 2025, confirmed by company press release. | 高 | SV008, SV026 |
| CV004 | Armis ARR at the December 2025 acquisition announcement is estimated at approximately $340M based on $300M ARR in August 2025 and 50%+ YoY growth trajectory. | 中 | SV008, SV003 |
| CV005 | The implied ARR multiple paid by ServiceNow for Armis is approximately 22.8x, calculated as $7.75B divided by estimated $340M ARR. | 中 | SV003, SV006, SV008 |
| CV006 | Armis raised $435M at a $6.1B valuation in its Series E round, with Goldman Sachs Alternatives as lead investor, approximately four weeks before the ServiceNow acquisition announcement. | 高 | SV006, SV007, SV009 |
| CV007 | The ServiceNow acquisition price of $7.75B represents approximately a 27% premium to Armis's last private round valuation of $6.1B. | 中 | SV003, SV006 |
| CV008 | Armis's total disclosed funding exceeded $1.17 billion across seven or more rounds from seed through Series E. | 中 | SV009, SV008 |
| CV009 | Armis investors include Google Ventures, CapitalG, Brookfield Asset Management, Goldman Sachs Alternatives, and Insight Partners across multiple funding rounds. | 中 | SV009 |
| CV010 | The ServiceNow acquisition of Armis was announced December 22, 2025 and closed April 19-20, 2026 — a closing period of approximately four months including regulatory review. | 高 | SV001, SV003, SV004 |
| CV011 | The CPS, OT, and IoT security market is forecast to exceed $25 billion by 2028, supported by IDC and MarketsandMarkets analysis. | 高 | SV013, SV014 |
| CV012 | Armis was named a Leader in the Gartner Magic Quadrant for CPS Protection Platforms for the second consecutive year in 2026. | 高 | SV015, SV016 |
| CV013 | Forrester Research rated Armis in its Q4 2024 OT Security Wave, confirming independent analyst validation of platform positioning. | 中 | SV012 |
| CV014 | CrowdStrike reported ARR exceeding $3.3 billion in FY2026 with a market capitalization of approximately $70 billion, implying approximately 21x ARR. | 高 | SV010, SV011 |
| CV015 | Tenable reported revenue of approximately $770 million in FY2024 with a market capitalization of approximately $5 billion, implying approximately 6.5x revenue at roughly 13% growth. | 高 | SV011, SV010 |
| CV016 | Claroty, Armis's closest OT security competitor, raised its latest round at a $3.5 billion valuation on estimated ARR exceeding $100 million, implying approximately 35x ARR. | 中 | SV012, SV022 |
| CV017 | Nozomi Networks raised its Series E at a $1.5 billion valuation on estimated ARR of approximately $50 million, implying approximately 30x ARR. | 低 | SV012, SV023 |
| CV018 | Armis counts more than 35 Fortune 100 companies as customers, including 9 of the Fortune 10, with a Net Promoter Score of approximately 70. | 高 | SV018, SV015 |
| CV019 | Armis ARR grew from $200 million in August 2024 to $300 million in August 2025, representing greater than 50% year-over-year growth. | 高 | SV008, SV009 |
| CV020 | Sacra's Armis company profile estimates Armis ARR and revenue trajectory consistent with the $300M ARR public milestone and 50%+ growth rate. | 中 | SV026, SV008 |
| CV021 | Armis acquired Silk Security for approximately $150 million in April 2024 to enhance security prioritization capabilities within Armis Centrix. | 中 | SV020, SV017 |
| CV022 | Armis acquired OTORIO for approximately $120 million in March 2025 to expand its operational technology and cyber-physical security leadership. | 高 | SV017, SV019 |
| CV023 | Armis completed three acquisitions in 13 months (CTCI February 2024, Silk Security April 2024, OTORIO March 2025), creating material integration execution risk and engineering bandwidth compression. | 高 | SV017, SV019, SV020 |
| CV024 | Armis achieved DoD Impact Level 5 authorization in February 2026 through Armis Federal LLC, expanding its addressable federal market. | 高 | SV021, SV025 |
| CV025 | A Gartner Peer Insights review from a large manufacturing customer rated Armis 3.0 out of 5 in December 2025, citing OT alert depth gap relative to Claroty and Dragos. | 中 | SV022, SV023 |
| CV026 | Armis named to the Fortune Cyber 60 list, confirming independent market recognition among top-growth cybersecurity companies. | 中 | SV027, SV015 |
| CV027 | The Armis bull case assumes $700 million ARR by 2027 via ServiceNow enterprise distribution, implying $10.5 billion at 15x forward ARR — a 35% upside to acquisition price. | 中 | SV003, SV026 |
| CV028 | The Armis base case assumes $500 million ARR by 2027 with ITSM synergy delivering 20-30% revenue lift, implying $7.5-8.5 billion at 15-17x forward ARR. | 中 | SV003, SV008 |
| CV029 | The Armis bear case assumes ARR plateaus at $300 million due to integration disruption, with multiple compression to 15x implying $4.5 billion value and potential goodwill impairment for ServiceNow. | 中 | SV005, SV003 |
| CV030 | Microsoft Defender for IoT offers free bundling in SME and mid-market segments, creating competitive pricing pressure that could limit Armis's mid-market expansion post-acquisition. | 中 | SV022, SV023 |
| CV031 | The $7.75B acquisition announcement came approximately four weeks after Armis closed its $6.1B Series E, suggesting acquisition discussions may have overlapped with or preceded the funding round. | 中 | SV006, SV003, SV007 |
| CV032 | M&A Watch analysis indicated that some analysts considered the $7.75B acquisition price a full or premium payment by ServiceNow, given the proximity to the Series E round. | 中 | SV005 |
| CV033 | ServiceNow is integrating Armis under its Security Operations business unit, creating organizational dependency risk where ServiceNow's ITSM roadmap priorities may not align with Armis's cybersecurity product velocity. | 中 | SV001, SV002 |
| CV034 | Capital.com analysis documented Armis as an active IPO candidate with a valuation trajectory in the $8-10 billion range on a standalone basis prior to the ServiceNow acquisition. | 中 | SV029 |
| CV035 | TechCrunch reported that Armis was refusing merger and acquisition offers while pursuing an IPO path — the acquisition at $7.75B occurred just weeks after the pre-IPO Series E funding round. | 中 | SV006, SV029 |
| CV036 | Armis was listed on the Fortune Cyber 60 and holds dual Gartner MQ Leader status in 2025 and 2026, confirming top-tier market positioning among high-growth cybersecurity companies. | 中 | SV027, SV015 |
| CV037 | Thesis-break triggers for the Armis acquisition thesis include NRR below 110%, OTORIO Titan integration delayed past Q3 2026, FedRAMP High authorization denial, CEO or CTO departure within 18 months, and ServiceNow goodwill impairment charge. | 中 | SV008, SV022 |
| CV038 | Armis's 50%+ ARR growth rate is consistent with premium SaaS acquisition multiples of 20-25x trailing ARR, as evidenced by CrowdStrike's 21x ARR market valuation at comparable growth rates. | 高 | SV008, SV010, SV014 |
| CV039 | Armis has never publicly disclosed its net revenue retention rate or gross revenue retention rate, creating a material gap in the churn risk assessment for the valuation model. | 中 | SV026, SV005 |
| CV040 | Armis has not publicly disclosed GAAP profitability, EBITDA, gross margin, or cash burn rate, limiting independent verification of unit economics and path to profitability. | 中 | SV026, SV005 |
| CV041 | The ServiceNow S-4/A registration statement provides publicly available financial representations and warranties associated with the Armis acquisition including IP indemnification terms. | 高 | SV024, SV028 |
| CV042 | IDC forecasts the cyber-physical systems protection market at greater than $25 billion by 2028 with a compound annual growth rate exceeding 20%, confirming the TAM supports premium valuation for the market leader. | 高 | SV014, SV013 |