Forrester 总体经济影响™ 调研探究 Prisma Cloud 对金融服务的影响

PaloAltoNetworksPrismaCloud帮助金融服务机构提高运营效率并降低风险 随着金融服务机构将计算和数据资源迁移到云端，云端安全成为了头等大事。1新型的复杂混合/多云架构，再加上高价值的诱因（即窃取有价值的数据），导致金融服务机构很可能成为攻击对象，也更容易受到数据泄露的影响。保护基础设施和敏感的客户财务信息，防止发生数据泄露、最大限度减少违规行为、减少未检出的威胁以及解决未修补的漏洞比以往任何时候都更加重要。 由于金融服务机构的数据充满诱惑，首席信息安全官及其他安全和风险管理专业人员必须想方设法构建全面的云安全态势，并遵循支付卡行业数据安全标准 (PCIDSS)、Gramm-Leach-Bliley法案(GLBA)、通用数据保护条例(GDPR)等法规。 PaloAltoNetworksPrismaCloud®是一款云原生应用保护平台(CNAPP)，该平台提供从代码到云的安全性，能够在整个应用生命周期内降低风险并防止漏洞。它从编码阶段开始，在整个应用生命周期和运行时进行早期代码和管道扫描，将安全运营(SecOps)与开发人员结合在一起。该平台能够为安全运营和开发人员提供单一来源的安全态势状态。利用这一组合可以监控和检测多个云端的威胁，全面了解各个开发环境、帐户和应用程序，从而实现端到端的全面安全平台，其中涵盖云安全态势、权限、工作负载和检测。 安全运营团队调查事件的工作量减少 48% 开发运营团队解决漏洞的时间减少 60% 为了更好地了解PrismaCloud的收益、成本和风险，PaloAltoNetworks委托Forrester咨询公司采访了四名使用PrismaCloud的代表，并开展了总体经济影响 (TotalEconomicImpact™,TEI)研究。2本研究旨在 为读者提供一种适当的框架，来评估PrismaCloud对其所在企业的潜在财务影响。Forrester汇总了受访者的使用体验，并将结果整合到一家拥有15,000名员工、业务遍布全球的复合企业中。 阅读完整研究报告 此次焦点调查的目的是重点了解PrismaCloud对金融服务机构的影响。Forrester采访了一家参与了全面TEI研究的金融服务机构，并采访了另外两家金融服务机构的代表： 一家收入超过50亿美元、员工超过1,000人的金融服务机构的高级安全分析师。 一家收入超过20亿美元、员工超过15,000人的金融服务机构的网络安全架构师。 一家收入超过50亿美元、员工超过15,000人的 使用PrismaCloud后的云端数据泄露概率降低 27% 银行机构的云安全工程总监。 金融服务机构面临的主要挑战和投资驱动因素 受访企业将许多工作负载和数据转移到多云环境中，其中每种云的价值主张各异。当他们意识到很难在不同云提供商提供的云端确保资产安全时，挫败感油然而生；由于缺乏单一的资产视图，他们无法有效地监控问题或跨云部署通用的策略和权限。这导致难以降低风险和妥善保护云端资产。受访者指出了一些类似的挑战，其中包括： 云的数量太多，但资源不足。受访者面临在多个不同的云端管理资产、策略和权限的问题。受访者很快就发现，通过每个云/供应商的特定工具来高效处理策略几乎是不可能的。这给安全资源带 来了压力，因为单独管理每个云环境的工作量会大大增加。 一家金融服务机构的网络安全架构师表示：“如果使用云原生功能，需要在各自的云端构建这些库或控制措施，导致重复劳动。PrismaCloud的优 势就体现在这里。我们把计划用于其他方面的投资，转而用在我们信任并且能够满足我们要求的供应商。部署一次后，就可以应用于多个环境。” 云端资产缺乏可见性。受访者描述了他们的企业如何疲于应付工作负载的可见性。无论是跨多个云、工作负载组合（虚拟机[VM]、容器、无服务器），还是混合计算结构，都存在这种情况。虽然他们可以在云端单独查看资产和工作负载，但无法在多云环境中同时查看所有资产。可见性极度匮乏导致了风险因素、合规问题和客户层面的责任。 彼此脱节的单点解决方案。企业很快意识到，他们无法将有关云端威胁的信息汇总到一个中央控制点。之所以导致这些问题，既源于策略分配脱节，也源于策略执行方式。一家金融服务机构的网络安全架构师指出：“PrismaCloud加强了我们的团队协作。[在使用PrismaCloud之前，]我们各个团队各行其是，无法使用同样的工具来帮助促进协作、提供一套控制措施并将这些措施应用到各自的环境中。” 缺乏云和容器安全管理解决方案。一些企业采用了单点解决方案，一些企业则明显没有任何解决方案。一些企业没有容器层面的漏洞管理解决方案。同样，云安全策略管理也没有统一的标准。 选择PRISMACLOUD的理由 受访企业之所以投资于PrismaCloud，是因为它能做到以下方面： 通过提供同一个协作平台，促进开发团队和安全 团队之间的沟通。 将云策略管理整合到同一个平台，支持代码到云的安全策略。 改进并简化PCIDSS等金融服务条例的合规工作。 提高保障新云部署安全的运营效率，有效地检测威胁。 有效扩展安全措施，跟上云的扩展速度。 “用一句话来说，部署[PrismaCloud] 后，我们就能更快速、更一致地提供更优 质的服务。” 金融服务网络安全架构师 金融服务的关键成果 受访企业的投资成果包括： 安全运营团队实施云工作的效率提高48%。对PrismaCloud的投资使得安全专业人员花费在云安全调查上的时间减少了48%。另外，他们在多个云上配置和执行策略所需的时间也大大减少，最终将开展此类活动的时间减少了80%。三年内，因这两方面节约的时间提高了效率，相当于给复合企业带来了350万美元的价值。 一家金融服务机构的网络安全架构师指出：“每个业务部门在使用云原生安全功能方面略有不同。团队与团队之间的安全成熟度和带宽也存在差异。PrismaCloud有助于考虑不同的环境，只要部署一次，就能在不同环境中应用。” 开发运营左移和生产力提高60%。开发人员使用PrismaCloud与安全运营协作，在编码阶段发现漏洞并实现开发安全运营一体化。在部署前实现安全左移，可以消除问题、减少返工需求和未来潜在的安全事件。开发运营将漏洞处理时间减少了60%，开发人员就有更多时间专注于产品完善，而不是在每次发布产品前解决安全问题。三年内，因减少返工而带来的价值为180万美元。受访者表示： 借助PrismaCloud及其带来的更高可见性，安全运营团队能够为开发运营提供指导，并就风险缓解流程开展合作。某金融服务机构的高级安全分析师分享了积极主动的方法对加强合作的助益：“我们今年的工作主动性提高了70%。我们要走在开发的前面，而不是回过头去纠正问题。” 一家银行机构的云安全工程总监表示：“我们不是在部署几天后才发现漏洞，而是将安全问题左移，在构建时而不是在部署后发现问题。这一点对开发人员而言很有价值，因为可以获取这些信息，及早纠错，从而更快地对客户部署。” 因降低重大漏洞风险而节省开支。随着复合企业在云端扩展，风险和攻击面也随之增加，而云端安全措施的控制比传统的本地环境更为复杂。使用PrismaCloud之后，大规模数据泄露的风险得以降低。数据泄露不仅会影响外部客户和企业的信誉，还会影响内部员工的生产力，而PrismaCloud帮助他们避免了耗时的事件响应和停工时间。三年内，因降低重大漏洞风险而带来的价值为280万美元。 制定统一、持续的合规控制措施，并在开发生命周期的早期识别和修复漏洞，降低风险和发生重大违规事件的几率。一家银行机构的云安全工程总监表示：“在解决我们发现的政策违规问题方面，我们做到了 100%合规，这种程度和意识只有PrismaCloud才能做到。” 合规效率提升。整合安全解决方案并统一显示安全态势能够大大提高合规专业人员的工作效率。仅制作和验证报告的时间就减少了90%，审计时间最多可减少67%。三年内节约的时间成本为130万美元。 一家银行机构的云安全工程总监表示：“我们过去必须手动计算和提供合规证据。当审计人员提出‘给我看看你们所有未加密的数据库’时，我现在可以从容应对。我只要点击三下，就可以提供证据。有了[Prisma Cloud]，在修复我们发现的政策违规问题方面，可以说就算不是做到了100%合规，也是做到了差不多100%合规。这种意识只有PrismaCloud才具备。” 总体经济影响分析 如要了解更多信息，请下载完整报告：“TheTotalEconomicImpactTMOfPaloAltoNetworksPrismaCloud”，这是PaloAlto Networks于2023年12月委托Forrester咨询公司开展的一项研究。研究结果 上述价值故事基于三次访谈，Forrester采访了四名有PrismaCloud使用经验的企业代表，并将结果整合到一家复合企业的三年期 财务分析中。该复合企业经风险调整后的现值(PV)量化收益包括： 安全运营效率提升350万美元。 开发运营左移和生产力提升180万美元。 因降低重大漏洞风险而节省的开支280万美元。 合规效率提升130万美元。 投资回报率（ROI） 净现值（NPV） 264% 690万美元 附录A：尾注 1资料来源：“金融服务的最佳云端实践”，ForresterResearch,Inc.，2023年2月21日。 2总体经济影响(TotalEconomicImpact,TEI)是ForresterResearch研发的一套研究方法，用于增强企业的技术决策流程，协助供应商向客户传达其产品及服务的价值定位。TEI研究方法有助于企业向高层管理者及其他关键业务利益相关方说明、论证并展现IT举措的实际价值。 披露声明 读者应注意以下事项： 本项研究由PaloAltoNetworks委托Forrester咨询公司开展。无意用作竞争力分析。 对于其他企业可能获得的投资回报率，Forrester未作出任何假设。Forrester强烈建议读者根据报告中提供的框架，使用其自身的估算数据来决定企业是否应投资于PaloAltoNetworksPrismaCloud。 PaloAltoNetworks进行过审阅并且向Forrester提供过反馈。Forrester保留对研究和研究结果的编辑权，不接受与Forrester的研究结果产生矛盾或是影响其意义的更改。 PaloAltoNetworks提供了受访客户的名单，但未参与访谈。关于FORRESTER咨询公司 Forrester提供基于研究的独立客观咨询，帮助领导者实现关键成果。Forrester经验丰富的顾问以客户至上的研究为动力，与领导者合作，利用独特的参与模式执行特定的优先事项，确保产生持久影响。要了解更多信息，请访问forrester.com/consulting。 受PALOALTONETWORKS委托而开展的一项FORRESTER总体经济影响TM专项研究5 ©ForresterResearch,Inc.版权所有。未经授权，严禁转载。本文提供的信息基于可获取的最佳资源。观点反映的是当时的判断，可能会有变化。Forrester®、 Technographics®、ForresterWave及TotalEconomicImpact是ForresterResearch,Inc.的商标。所有其他商标均归相应企业所有。 受PALOALTONETWORKS委托而开展的一项FORRESTER总体经济影响TM专项研究6