CISO 和 CIO 创建 Prisma Cloud 业务案例的 5 步核对清单

由PaloAltoNetworks委托Forrester咨询公司开发的总体经济影响(TotalEconomicImpact™)核对表， 2023年12月 如何为云原生应用保护平台创建商业案例 PaloAltoNetworksPrismaCloud总体经济影响(TotalEconomicImpact™)研究结果 摘要 研究方法 PaloAltoNetworks委托Forrester咨询公司开展总体经济影响(TotalEconomicImpact™,TEI)研究，考察企业部署PrismaCloud可能实现的潜在投资回报率(ROI)。 为实现上述目标，Forrester采访了四位有PrismaCloud使用经验的代表。报告中展示的收益框架经过了精简和提炼。在本研究中，Forrester汇总了受访者的使用体验，并将结果整合到一家复合企业中。如需查看完整的财务框架并估算PaloAltoNetworksPrismaCloud如何影响您的企业，请参阅完整的研究报告。 ©ForresterResearch,Inc.版权所有。 CISO和CIO的五步骤核对表 对于大多数希望建立并维持云基础设施和数据存储的企业来说，云安全是一项必须完成的任务。但要正确地完成这项任务，企业需 要付出很多努力。云工作负载安全(CWS)又称云原生应用保护平台(CNAPP)，包括云工作负载保护(CWP)、云安全态势管理(CSPM)和应用安全，它们对于在工作负载和云基础设施配置层面保持防御态势至关重要。i PaloAltoNetworksPrismaCloud是一个云原生应用保护平台，可在多云、混合云和私有云环境中确保应用和服务的安全。从编码阶段开始，在整个应用生命周期和运行时进行早期代码和管道扫描，将安全运营(SecOps)与开发人员结合在一起。该平台能够为安全运营和开发人员提供单一来源的安全态势状态。通过监控和检测跨云威胁，这种组合能够提供对开发环境、账户和应用程序的可见性。其结果是一个完整的从代码到云的安全平台，涵盖应用程序和云安全。本核对表旨在帮助读者通过五个简单步骤进行定制的投资回报率评估。 安全专业人员减少用于开展云安全调查的时间。 大多数企业都很难通过不同的云提供商管理其云资产，并且缺乏对资产的单一视图。客户在跨云部署通用策略和权限时举步维艰。这种情况导致他们无法充分监控云并降低风险。Forrester全面评估了PrismaCloud的总体经济影响(TotalEconomicImpact)，其中包括安全运营效率提升、开发运营左移和生产力提升、 重大泄露风险降低以及合规效率提升。下面介绍如何从现在开始： 1 Forrester根据从客户访谈 收集到的数据，设计出一家复合企业，用于反映PrismaCloud可能对公司 产生的总体经济影响(TotalEconomicImpact™)。得出的结论是，PrismaCloud将产生以下三年期财务 影响。 投资回报率 264% 收益现值 940万美元 净现值 690万美元 投资回收期 不到6个 计算云策略执行的效率提升。 PrismaCloud最大的可量化优势是提高了安全专业人员的效率。PrismaCloud主要通过两种方式提高效率：减少调查安全事件所需的时间，以及减少配置和执行策略所需的时间。 首先，要计算安全事件调查效率提升的价值，您需要： 估算您当前环境在特定时期内发生的严重云安全事件的数量，以及安全专业人员为调查每起事件所花费的小时数。 了解安全运营资源的平均全额薪资。 将这些员工的劳动力成本降低48%。Forrester的研究发现， PrismaCloud减少了调查安全事件所需的时间。 严重级别的云安全事件数量 调查每起事件花费的小时数 48% 利用PrismaCloud减少工作量 安全运营资源的平均薪资 提高安全运营处理安全事件的效率 其次，要计算配置和执行策略所花时间的效率提升值，您需要： 确定当前环境中用于配置和执行安全策略的时间。 将这个时间缩短80%。Forrester的研究发现，PrismaCloud 减少了执行和配置策略所花费的时间。 用这个数字乘以安全运营资源的平均薪资。 用于配置和执行策略的小时数 80% 利用PrismaCloud缩短所需时间 安全运营资源的平均薪资 因配置和执行策略而提高的安全运营生产力 2 估算开发运营左移和生产力提升。 PrimaCloud增强了开发运营专业人员对其云开发的可见性，并帮助团队了解错误配置和漏洞的来龙去脉。PrismaCloud的扫描和警报功能可在开发流程的早期识别并解决软件漏洞。要计算开发运营团队左移和生产力提升的价值，您需要： 确定开发运营团队为处理部署新云所引起的漏洞和风险而耗费的小时数。 将这个时间缩短60%。Forrester的研究发现，PrismaCloud 缩短了处理漏洞和风险所需的时间。 减去在开发生命周期早期因处理漏洞和风险而增加的10%的前期时间。这种左移是PrismaCloud对开发运营资源产生的结果。 将这个数字乘以开发运营资源的平均全额薪资。 “有些解决方案可以提供各种指标，但无法兼顾修复能力、代码安全和策略执行。PrismaCloud比竞争对手领先了好几年。” 金融服务企业，高级安全分析师 利用PrismaCloud将所需时间缩短60% 用于处理漏洞的小时数 10%因处理漏洞而增加的左移小时数—生命周期早期 开发运营资源的平均薪资 开发运营左移和生产力提升 “它帮助我们更快地找到漏洞。其实我们不会有任何漏洞，但我们仍然把它编入预算的原因[在于]，PrismaCloud可以帮助我们提前或及早发现漏洞，并更快进行修复。 我们不会被牵着鼻子走，因为不需要去修复被人利用的漏洞。我们修复的 [都是]业内人士告诉我们可能会被利用的漏洞，所以提前先行解决。目前为止效果良好，而且物有 所值。” 医疗保健，云安全工程师 3 评估在降低重大泄露风险方面所节省的资金。 您的企业依赖软件来推动业务，但如果您的大部分代码库都是开源的，那么您的应用程序代码就会因第三方来源而面临风险。随着企业在云端扩展，风险和攻击面也随之增加，而云端安全措施的控制比传统的本地环境更为复杂。PrismaCloud能够提高云态势的可见性，并且改进了警报功能，因此能够更快地修复云环境中的错误配置和漏洞，从而防止漏洞进入生产环境。 数据泄露会带来许多成本，包括补救成本、客户解决方案、罚款、品牌重建和其他面向外部的费用，以及受影响的企业用户和员工的内部工作量。 首先，要计算减少与重大泄露相关的外部成本的价值，您需要： 确定当前环境中云工作负载的年平均泄露次数。 估算数据泄露给您企业造成的平均潜在成本，然后乘以泄露的平均次数。 将这一数字减少27%。Forrester的研究发现，PrismaCloud 降低了云数据泄露的可能性。 数据泄露次数 数据泄露的成本 27% 使用PrismaCloud后的数据泄露概率降幅 避免的泄露造成的外部成本 “内部审计过去需要 一个月，现在不到一周。一点儿也不夸张。” 专业服务企业，云管 理员 第二，要计算受泄露影响的员工内部生产力下降的价值，您需要： 计算每次泄露影响的员工人数。可以假设10%到17%的企业用户将受到影响。 将受影响的员工人数乘以每次重大数据泄露造成的3.6小时生产力损失，这是Forrester在《Forrester咨询公司2020年第四季度安全漏洞成本调查》中得出的结果。ii 将这一数字乘以企业用户资源的平均全额薪资，即可确定生产力损失的成本。 受影响的 员工数 平均停工时间 3.6小时 企业用户资源的平均薪资 降低的内部生产效率的成本 4 确定合规效率提升。 安全合规报告对于企业了解和遵守相关标准、避免罚款和相关成本至关重要。在这个方面，PrismaCloud主要通过两种途径提高效率：借由提高报告效率节省人工，以及提高审计合规性。 首先，要计算从报告中节省的人工，您需要： 确定开发运营创建和记录每项控制所需的总小时数，加上合规分析师汇总、生成和修订报告所需的总小时数，再加上合规经理使用和验证报告所需的总小时数。 将这一时间和工作量减少90%。Forrester的研究发现， PrismaCloud减少了创建、审核和使用报告所需的时间。 将这个数字乘以合规资源的平均全额薪资。 90%利用 用于报告的总小时数 PrismaCloud缩短 合规资源的平均薪资 创建报告所需的时间 因提高报告效率所节省的人工 其次，要计算提高审计合规效率的价值，您需要： 确定内部审计事件的总数，然后将其乘以每次事件所花费的小时数和合规员工的平均薪资。 确定外部审计事件的总数，然后将其乘以每次事件所花费的小时数和外部合规专业人员的平均小时费率。 将内部和外部审计成本加在一起，然后将总成本减少52%，这就是Forrester研究发现PrismaCloud减少的用于改进证据跟踪、监控和审查的时间。 内部审计 事件总数 外部审计 事件总数 52% 利用PrismaCloud缩短审计所需时间 审计合规效 率提升 5 在构建PrismaCloud的商业案例时，请考虑更多收益。 除上述部分外，您还可以考虑投资PrismaCloud可能带来的其他收益： 整合工具，提高培训和技术扩展效率的能力。 快速高效地服务和改变策略与权限，进而实现跨云扩展的能力。 将PrismaCloud与安全信息和事件管理(SIEM)等现有堆栈集成，从而进一步简化安全专业人员工作的能力。 i资料来源：AndrasCser，对云工作负载零信任？完全有可能！Forrester博客。 ii资料来源：ForresterConsulting安全漏洞成本研究，2020年第4 季度。 如需阅读本次研究的完整结果，请参阅PaloAltoNetworks委托开展的总体经济影响(TotalEconomicImpact™)研究。 專案主管：HenryHuang