行业研究公司研究宏观策略财报招股书会议纪要海南封关低空经济 DeepSeek AIGC 大模型

通过 Cortex Xpanse 主动响应模块获得最大价值

信息技术2023-07-24paloalto�***

AI智能总结

核心观点与关键数据

Cortex Xpanse的主动响应模块通过基于人工智能的嵌入式自动化功能，将关键攻击面暴露的MTTR（平均修复时间）从数周缩短至几个小时。该模块不仅发现未知风险，还能自动提供情境信息并修复风险。

主要功能与优势

主动响应机制
- Expander检测漏洞或暴露时，主动响应模块启动自动化剧本，包含多个阶段（如图2所示），通过不同自动化集成收集数据、传输数据或执行补救措施。
- 警报解除后，Expander记录所有操作并维护完整审核跟踪。
集成配置
- 收集集成：将Expander连接至CSPM工具、云提供商等，扩展攻击面可视性，提供情境信息。云提供商集成尤其有助于自动修复常见暴露。
- 自动化集成：支持15+工具集成（如云服务商、Tenable、Rapid7、ServiceNow），需几分钟完成配置。
策略与偏好设置
- 分析师可利用模块功能调查ASM风险，并自定义补救路径规则（如按AWS/Azure标签选择不同修复选项）。无规则时需分析师介入。

实施建议与影响

持续标记分类
- 云清单中采用一致标签分类（如资源创建者、成本中心标签）可提升主动响应精确度，改善云风险状况和补救时间。AWS/GCP支持标签策略，PrismaCloud等工具可生成标签。
安全运营自主权
- 允许安全团队无审批自动修复严重风险（如按运营环境或云帐户定义自主权），可优先处理问题，加快风险降低效率。

研究结论

通过集成与策略优化，主动响应模块显著缩短风险修复时间，尤其适用于云环境。标签分类和团队自主权是最大化其价值的关键因素。

借助基于人工智能的嵌入式自动化功能，将关键攻击面暴露的MTTR从数周缩短至几个小时对于许多企业来说，一旦在其攻击面上建立了实用资产和风险清单，将会持续面临一项挑战，即及时补救风险。许多人发现确定影子IT的所有权和业务环境是一项高度手动且耗时的任务，可能涉及多个团队，包括IT、SecOps和DevOps。与市场上的其他工具不同，Cortex Xpanse的主动响应模块不仅可以帮助企业发现未知风险，还可以自动提供情境信息并自动修复这些风险。大多数企业需要三周以上的时间来扫描、查找和修复其攻击面中的事件。借助主动响应，可以将时间减少到几个小时甚至几分钟。鉴于攻击者搜索易受攻击的服务的速度和规模，这一点尤其值得注意。虽然主动响应模块能够完全修复许多风险，但可以与Expander中的所有警报一起使用，以便提供自动丰富和分析，重点是识别和了解资产所有权和业务环境，以及方便的票证和通知工作流程。主动响应如何运作？当Expander在您的攻击面上检测到漏洞或暴露时，会生成新警报，并且主动响应模块会启动自动化剧本。该剧本包含一系列阶段，如图2所示。每个阶段都可能需要使用不同的自动化集成来收集数据、将Expander数据传输到其他系统或执行补救措施。新建警报主动响应剧本由支持各种补救途径的子剧本组成，具体取决于警报类型、配置集成和分析师的输入内容。一旦完成最后一个阶段，警报就会解除。在整个过程中，Expander会记录采取的所有操作，并维护警报生命周期的完整审核跟踪。入门指南配置收集集成在Expander中，收集集成意味着将Expander连接到另一个资产清单，例如CSPM工具或云提供商。这些集成的运行方法是定期连接到您的其他工具或系统、收集相关资产记录并将其添加至Expander，集成可在其中将可视性扩展到可归因的攻击面之外，或提供关于现有资产或服务的更多情境信息。收集集成是最大化主动响应模块价值的关键，因为这些集成扩展了您的攻击面可视性，尤其是更倾向于拥有可用于丰富或补救的可用控制面。与云提供商集成尤其有益，因为许多最常见的严重程度较高的暴露类型可以完全通过主动响应模块进行补救。配置自动化集成我们发现孤立的自动化很少生成令人印象深刻的结果。为了提供可节约时间的实用方法和关键情境识别，集成到多个其他IT和安全工具中至关重要。主动响应模块目前包括超过15个对客户至关重要的工具集成，包括三大主要的云服务提供商；虚拟机工具，如Tenable、Rapid7和Qualys以及与ServiceNow平台的多项集成。这些集成只需几分钟即可完成，并且可以按照我们的启用指导轻松完成。您还可以参考我们的功能矩阵，以便深入了解可用的集成以及使用方式。编写首选项和策略集成配置完成后，分析人员就可以利用主动响应模块的全部功能来深入了解、增强和自动化对于ASM风险的调查。但是，主动响应不仅可以加强分析师调查流程，还允许客户保留自己的特定偏好，即如何利用补救路径规则等功能来响应不同类型的风险和受影响资产的不同属性。例如，如果一个AWS资产应用特定标签，您可以决定始终选择选项A，如果一个Azure资产应用了其他标签，您可以选择选项B。如果没有适用规则，我们将随时求助于分析师，请求他们进行输入。最大程度提升影响持续进行标记分类虽然不完全在大多数SecOps团队的控制之内，但在云清单中使用一致的标记分类有诸多好处，包括主动响应的更高精确度以及针对CloudOps改进的成本跟踪和透明度。通过PaloAltoNetworks针对数百家企业的云部署可视性，我们发现在采用标签后，云风险状况和补救时间都有所改善。即使是指定资源创建者、相关成本中心和环境标签的一组非常简单的必要标签，也可为SecOps团队在调查时提供宝贵的缺失细节。采用的标签由大多数云服务提供商提供，AWS和GCP都支持灵活的标签策略。标签也可以通过PrismaCloud等IaC工具生成和部署。考虑安全运营自主权主动响应对企业攻击面产生影响的另一个因素是安全团队拥有的自主权水平。能够在没有资产所有者批准的情况下对最严重的风险采取行动的安全团队最有可能充分利用主动响应的完全自动化功能。通常，这种自主权基于某种类型的属性进行定义，例如运营环境或针对特定云帐户采取行动的自主权。这种自主权允许安全团队优先考虑安全问题并更有效地解决这些问题，且无需寻求其他部门或利益相关者的批准。因此可以更快、更有效地降低风险。 © 2023 Palo Alto Networks, Inc. Palo Alto Networks和Palo Alto Networks徽标是PaloAltoNetworks,Inc.的注册商标。有关本公司的商标列表，请访问：http://www.paloaltonetworks.com/company/trademarks.html。此文档中提及的所有其他商标可能是各相应公司的商标。companies.cortex_ds_achieve-maximum-value_060823

点击免费查看完整报告