云安全与安全运营的未来：分析 Palo Alto Networks 的 Cortex Cloud 战略

第一部分：深入探讨云安全与 SOC 融合的演变 - 挑战、前景及实现路径

在本期报告^[1]中，将深入分析 Palo Alto Networks 迄今为止最大胆的产品战略：Cortex Cloud。希望这份报告不仅能提供信息，还能在你思考自身云安全和安全运营的未来时，激发新的问题和想法。

要点摘要

这是两部分系列的第一部分，探讨云安全的演变以及正在重塑安全运营中心 (SOC) 和云安全未来的关键趋势：它们的融合。

在第一部分，我们回顾云安全的历史，并分析 Palo Alto Networks 统一云能力和 SOC 能力的战略愿景。这一战略的核心是 Cortex Cloud——一项在 2 月份推出的大胆举措，将其安全运营平台 (Cortex XSIAM/XDR) 与云安全平台 (Prisma Cloud) 合并。这种规模的融合前所未有。

作为一个密切关注 PANW 历史的分析师，我追溯了在 CEO Nikesh Arora 领导下的每一次收购如何导向这一刻。Cortex Cloud 是多年整合工作的culmination，反映了平台化的更广泛行业趋势。

这一举措不仅使 Palo Alto 成为先行者，还可能为其他公司设定路线图。我们探讨了 Google 如何将 Wiz 集成到 Chronicle 和 Mandiant 中，以及为什么 AWS、CrowdStrike 或 SentinelOne 等公司可能会效仿。

这份报告呈现了软件分析师研究对 Cortex Cloud 的深入分析——其架构、愿景和影响。我们评估这个平台如何转变云团队和 SOC 团队的运作、协作和应对威胁的方式。我们还研究了当前使这种协作变得困难的挑战，以及这种转变对安全平台未来的意义。

下一份报告将聚焦另一个顶级厂商，并探讨将 SOC 和云安全完全整合为单一统一功能所需的成熟曲线。

为什么现在需要云运行时安全

值得注意的是：这里没有完全新的东西。然而，最近几个月，云团队越来越不堪重负，关键问题长时间无法解决。Tanmoon（一家全托管云安全服务）对超过 470 万个 CNAPP 告警进行分析，观察 SOC 中云相关威胁的增长。

他们发现最常见的问题——如公开的 S3 存储桶或暴露的服务——并不是什么特殊情况，而是基本的卫生问题，却一直未能解决。为什么？因为无论是 SOC 还是云团队都不真正拥有它们。SOC 团队缺乏深入的云环境背景。云团队不是为快速分类而建立的。我们需要的是混合技能——既像云工程师一样思考，又像 SOC 分析师一样响应的人才。这种人才在大多数组织中并不存在。 

2025年云运行时安全风险持续上升

我们也知道，云高风险告警正在缓慢成为云团队的主要关注点。CNAPP 告警本质上与 CDR 问题不同。CNAPP 告警表示可能会出错。CDR 告警表示已经出错——并且可能已经成为问题。CNAPP 告警必须被优先处理和修复以防止漏洞。CDR 告警需要实时分类和响应。

近 34% 的告警被归类为高优先级。虽然一些组织能够及时处理关键告警，但许多组织因高优先级问题数量庞大而不堪重负。即使是最高效的团队，当高优先级队列比关键队列大 17 倍时也会感到压力。因此，需要更好的解决方案。

报告的其余部分深入探讨了云安全的演变。

云安全和安全运营的历史背景

正如许多读者所知，我对云安全进行了广泛研究，包括之前关于云安全和安全运营 (SOC) 的深入报告。

安全运营

在云重塑企业基础设施之前，网络安全主要由两个支柱主导：用于检查网络流量的网络防火墙，以及越来越多用于保护设备的端点检测和响应 (EDR)。

这些解决方案在各种规模的企业中普遍存在。防火墙通常保护外部边界，而 EDR 工具（从传统防病毒软件演变而来）保护端点。虽然存在更广泛的工具生态系统（如 SIEM、漏洞扫描器和电子邮件安全），但市场和预算重点是在服务器或设备上部署 EDR Agent。这种简单性促成了 CrowdStrike 和 Palo Alto Networks 等行业巨头的崛起。在五大网络安全公司中，普遍假设可见性和控制意味着直接在内部环境部署Agent——这些环境相对静态和可预测。

SOC 团队职责：

运行时检测和响应团队历来负责监控、检测、调查和应对整个组织技术环境中的安全威胁。他们的技术栈通常包括：

• 监控云工作负载的传感器
• 标记可疑行为的检测引擎
• 云事件响应平台

安全运营与 IT、云和应用团队密切合作，但他们的关注点往往更加即时——他们在攻击生命周期的"当下"运作。他们的工具集通常包括用于聚合和分析安全日志的 SIEM、用于自动化响应运行手册的 SOAR 平台、用于端点和扩展检测的 EDR/XDR 工具，以及用于提供背景的威胁情报源。这些工具通常由 SOC 或事件响应团队拥有。

在云原生环境中，SOC 团队还依赖传感器（如Agent或 eBPF）来监控运行时活动，以及专为云和容器工作负载设计的检测平台。随着云基础设施变得更加动态和分布式，安全运营团队越来越需要将其可见性和响应能力扩展到这些环境中，同时也需要与云安全和 DevOps 团队更紧密地合作。这就是我们需要深入研究并更好理解的地方。我们很快会讨论这些挑战，但首先，让我们设定背景并回顾云安全是如何演变的。

云安全

随着企业开始迁移到云端，安全行业的第一反应是将现有解决方案移植到这个新环境中。虚拟防火墙和端点Agent被"提升和转移"到云中，通常只进行最小的调整。这种初始方法在很大程度上误解了云的根本差异——特别是云基础设施通过 API 和配置层暴露了全新的安全面。随后的一个关键认识是：与物理数据中心不同，公共云环境允许安全团队以前所未有的方式以编程方式访问基础设施本身。这改变了安全应该如何进行。

早期的 CSPM (云安全态势管理) 工具开始出现，专注于扫描云 API 以发现错误配置和合规性违规。

随着时间的推移，态势和漏洞扫描责任被由云部署专家、应用程序安全 (AppSec) 或 DevSecOps 团队组成的团队承担——取决于组织结构。这些团队通常负责：

• 强化云环境并保护软件开发生命周期以防止事件发生
• 识别和修复云资源和依赖项中的已知漏洞
• 使用 CSPM 工具和漏洞扫描器检测云基础设施和应用程序代码中的错误配置、漏洞和不安全设计模式
• 使用基础设施即代码 (IaC) 扫描器在部署前分析 Terraform、CloudFormation 和其他模板的安全问题
• 与工程团队密切合作，将安全控制集成到 CI/CD 管道中，并使用自动化修复平台简化修复流程
• 操作化云和代码安全控制，以减少攻击面并在运行时之前最小化暴露

早期Agent迭代和容器工作负载的崛起 (2015-2019)：

当云安全供应商仍专注于资产发现和错误配置时，开发者团队内部已经出现了技术转变：容器和微服务的采用。这一转变从根本上改变了工作负载的部署方式——从静态虚拟机转向短寿命、分布式容器。然而，安全团队迟迟未能认识到这一变化的重要性。当时大多数安全工具是为基于 Windows 的系统设计的，对 Linux 容器几乎没有支持。Twistlock、Sysdig 和 Aqua Security 等创新者填补了这一空白，开发专门为容器安全量身定制的解决方案。这些供应商强调对容器化工作负载、运行时保护和 Kubernetes 等编排环境的可见性。虽然这些创新超前于时代——常常被仍然专注于态势的更广泛安全市场所误解——但这一时期为后来成为云原生安全策略关键组成部分的技术奠定了基础。

2019-2023：从初始Agent回归到无Agent

从 2019 年到 2023 年，行业普遍转向无Agent扫描。Orca Security 通过引入"侧扫描"开创了先河，该技术通过云 API 分析虚拟机和存储快照，无需Agent。这使可见性显著变得更容易和更快。Wiz 将这一概念发展得更远，引入了基于图形的资产关系可视化，并加入了更多云原生洞察。Wiz 的成功来自技术创新、产品简单性和完美的市场时机的结合。

2024-至今：转向Agent和运行时重点

随着云环境变得更加复杂，安全行业开始围绕部署模型进行更微妙的辩论：基于Agent与无Agent。由于其简单性、易于部署和提供快速洞察的能力，无Agent解决方案被广泛青睐。通过扫描磁盘快照和分析云日志，这些工具提供了广泛的可见性层，无需开发人员参与。然而，这种便利性带来了权衡。无Agent工具无法观察实时行为或捕获容器内的临时活动。它们通常生成过多告警，缺乏足够的上下文或可操作性，导致告警疲劳。

到 2024 年，技术已经成熟。现在可以使用现代 DevOps 工具（如 Helm 和 ArgoCD）部署Agent，eBPF 使运行时检测更高效。然而，团队仍需仔细权衡可见性、性能和开发人员影响之间的取舍。

历史与背景

Prisma Cloud 的演变

我们必须赞扬 Palo Alto Networks。当 PANW 在 2018 年至 2019 年间收购 RedLock 和 Twistlock 时，云安全格局从根本上发生了变化。通过将错误配置扫描 (CSPM) 与容器和工作负载运行时保护 (CWPP) 相结合，Palo Alto 有效地创建了第一个整合的云原生应用程序保护平台 (CNAPP)。这标志着战略转变：不再将态势和运行时视为独立领域，而是将它们统一到单一平台中。这种整合引入了关于基于Agent与无Agent部署的新叙述，客户开始询问解决方案不仅做什么，还询问如何部署。

Palo Alto 的 Prisma Cloud 因其广度和成熟度而脱颖而出，提供市场上最全面的 CNAPP 平台之一。通过一系列战略收购——包括 RedLock (CSPM)、Twistlock (CWPP)、Bridgecrew (IaC 扫描)、Cider Security (ASPM) 和 Dig Security (DSPM)——Palo Alto 构建了一个涵盖态势、运行时、身份、数据和应用程序安全的强大解决方案。这种模块化方法有利于已经使用 Palo Alto 生态系统的大型企业，提供与其防火墙、XDR 和 SOC 基础设施的无缝集成。Prisma Cloud 支持Agent和无Agent部署，为团队提供灵活性。其资源查询语言 (RQL) 为具有复杂合规性或治理需求的组织提供强大的定制功能。Twistlock 的运行时保护对于深入容器洞察仍然相关，总体而言，该平台比大多数竞争对手"勾选更多框"，使其成为一个强大、功能丰富的竞争者。

Palo Alto Networks 安全运营

从历史上看，Palo Alto 已经拥有 SOC 和威胁情报 DNA（不仅仅是防火墙）。他们已经在一个产品能力中整合了 EDR、XDR、SIEM 和 SOAR 功能。其演变是由收购驱动的，从 Secdo 的行为分析和内核级数据收集开始，形成了 Cortex XDR 的基础。2019 年收购 Demisto 增加了强大的 SOAR 功能——自动化运行手册、案例管理和 ChatOps——现在作为 XSIAM 的自动化骨干。这一点通过 Crypsis Group（一家顶级 DFIR 公司）的加入得到进一步加强，丰富了 XSIAM 的调查工作流程和威胁情报。这些部分组合在一起，使 Palo Alto 能够将 XSIAM 定位为不仅仅是一个工具，而是一个完全集成的 SOC 平台。

XSIAM 作为 Splunk 的替代品

大约在 2022 年，Palo Alto Networks 整合了多项收购，并在 GCP 的基础设施上构建了其原生 SIEM，目标是取代传统 SIEM，如 Splunk。他们在此期间推出了 XSIAM (扩展安全智能和自动化管理)，作为传统 SIEM 的现代替代品。XSIAM 旨在统一端点、网络和云数据的检测、分析和响应——其中大部分 Palo Alto 已经在其产品生态系统中拥有。这种紧密集成使其对已经使用 Palo Alto 产品的大型企业特别有吸引力。截至 2024 年，XSIAM 已成为 Palo Alto 增长最快的产品之一，年度经常性收入超过 5 亿美元。

平台化是 Palo Alto Networks 去年的主题——这很有道理。正如 Prisma Cloud 成为 Palo Alto 的一体化云安全平台，XSIAM 是他们对各个类别现代化安全运营的答案。

今天 - Cortex Cloud 的推出

在 2025 年，Palo Alto Networks 推出 Cortex Cloud 不仅仅是品牌重塑——这是一次完整的重新架构，将 Prisma Cloud 和 Cortex CDR 合并为一个统一平台，旨在使两个团队能够紧密合作。

它运行在 Cortex SecOps 平台上，在整个生命周期中应用 Precision AI、自动化和实时分析——从代码到云再到 SOC。Cortex Cloud 旨在统一主要由云安全团队和 安全运营团队使用的 CNAPP 解决方案之间的孤岛，以关闭调查循环，帮助安全团队专注于与关闭 SOC 案例相关的最重要事项。目标是通过 CNAPP 背景和可见性提高云中的 MTTR。PANW 的目标是使 SOC 尽可能接近实时，这并不是常态。

产品套件的核心组件

这是套件中的复杂多维集成，因为我们知道：

Prisma Cloud：

• AppSec 包括Secrets扫描、SCA、IaC 扫描器、CI/CD 管道和第三方扫描器
• CNAPP 包括 CSPM、CIEM、API、DSPM、AI-SPM 和漏洞管理

Palo Alto XSIAM：

• CDR Agent包括跨虚拟机和无服务器的云工作负载
• XSIAM 包括 SIEM、XDR、SOAR 和 ASM
  Palo Alto 在 CEO Nikesh Arora 领导下进行的每一次收购都导向了这一刻。Cortex Cloud 是多年整合工作的顶峰，反映了平台化和统一安全工作流程的更广泛行业趋势。
   让我们分解 Cortex Cloud 的每个组件：

应用安全组件：Secrets扫描、SCA、IaC 扫描器和 CI/CD 管道

Palo Alto 长期以来拥有扫描器和应用程序安全能力。他们在 2021 年收购了 Bridgecrew^[2]，在 2022 年收购了 Cider Security^[3]。这个产品主要针对开发者和 DevOps 工程团队，直接集成到 DevOps 管道和工具中，将安全护栏嵌入开发者已经使用的工作流程中。

他们已经整合了所有内容。如今，Palo Alto 的 AppSec 工具和第三方扫描器——SAST、SCA、IaC、secret扫描和 CI/CD——使开发团队能够看到代码中的漏洞并进行修复。他们整合了一个 AI 优先级引擎，帮助早期分类问题并标记最易被利用的风险，从运行时应用程序和基础设施背景中汲取信息。因此，漏洞在进入生产环境之前就被发现，而不会减慢开发过程。

根据我查看的仪表板，他们可以将运行时漏洞映射回源代码和commit，并将开发者身份与错误配置或可利用代码联系起来。这提供了从拉取请求到容器/镜像部署的端到端可见性。

云安全态势 (CSPM++)

这是 Palo Alto 的核心产品领域之一，主要专注于 CSPM——在配置期间扫描云环境的态势和策略违规。Palo Alto 整合了其平台，统一态势工具，从 CSPM 开始，扩展到 CIEM、DSPM、AI-SPM、ASPM 和漏洞管理——全部在一个解决方案下。

Cortex Cloud 帮助关联错误配置、身份风险、漏洞和敏感数据暴露，以突出显示真实的攻击路径。它可以模拟攻击者利用开放存储桶可能发生的情况，以及他们可能访问的其他内容。该平台使用 AI 将相关问题分组为行动计划，使团队能够一次性修复整个风险集群。一些问题甚至可以自动解决，减少手动工作。这一直是我自己观察产品构建方式的主要焦点。由于它跨多云环境运行，无论提供商或架构如何，它都允许团队实现一致的态势执行。

云运行时安全 (CDR、CWP)

现代云环境是动态的——工作负载不断启动和关闭。Cortex Cloud 利用 Cortex XDR Agent扫描云工作负载——特别是保护虚拟机、容器、Kubernetes 和无服务器平台，使用行为分析和异常检测来捕获已知和未知威胁，包括零日攻击。所有内容都通过统一Agent运行，减少部署复杂性。

读者需要理解的关键点是：EDR/XDR 现在已扩展到云运行时工作负载，并丰富了特定于云的信号，这些信号馈入经 MITRE ATT&CK 测试的分析，帮助团队在威胁落地前阻止它们。运行时上下文直接与风险优先级相关联，因此态势决策可以由环境中实际发生的情况提供信息。

其中一些功能是通过利用 Twistlock（用于容器和运行时安全，包括将镜像映射到 CVE）和 PureSec（2019 年收购）构建的，以扩展对计算环境中无服务器功能的支持。

SOC 运营

重要的是要理解 SOC 仍然主要保持独立。然而，未来 Cortex Cloud 将这些功能扩展到 Cortex XSIAM（下一代 SIEM 等价）。它将继续独立运行，专注于支持威胁狩猎和事件响应。不过，Palo Alto 的一个主要焦点是通过实时遥测为安全团队提供对云相关威胁的更深入可见性。

PANW 的目标是确保 SOC 团队在响应云告警时有足够的上下文。这些威胁行为被映射到 MITRE ATT&CK，通过用完整上下文丰富它们来提高调查质量。团队可以在同一平台内在错误配置、身份问题和运行时威胁之间切换。

自动化是 PANW 愿景的主要组成部分。他们计划集成其原生 SOAR 平台，并利用 AI 驱动的操作手册自动化云和 SOC 的大部分事件响应流程——在一个统一的保护伞下。最终目标是减少上下文切换并实现更快的告警响应。当 SOC 分析师看到与代码相关的告警时，他们可以轻松调查和修复它。

PANW 旨在实现的另一个关键目标是允许 SOC 分析师调查和修复云中的风险。他们还构建了平台，允许组织在安全运营和云/开发人员之间无缝交接修复，跨人员类型/团队进行精细的 RBAC。SOC 可以使用 PANW 的案例管理（基于 XSOAR）或与他们选择的工作流工具集成以解决案例。 

分析：这种整合的好处

Palo Alto 的统一数据平面

所有功能（XDR、XSIAM、CSPM、CNAPP、SOAR、AppSec）现在构建在单一平台、后端、数据湖和风险模型上。这支持模块化——客户可以从任何功能开始，通过许可证升级扩展，而不需要单独的系统。

这是一次从零开始的重建，旨在原生地将运行时威胁与云错误配置、CI/CD、身份甚至源代码提交链接起来。Cortex Cloud 的一个关键价值主张是能够将运行时事件追溯到引入问题的确切开发者拉取请求和 CI/CD 管道提交，以及为安全运营提供更广泛的工程生态系统可见性，以更高效地响应供应链攻击。

将第一方和第三方安全发现结果整合到单一统一数据平面的能力对安全团队很有价值。这种统一视图缩短了调查时间，理想情况下消除了盲点。此外，Cortex Cloud 利用超过 7000 个检测器和 2400 多个机器学习模型^[4]，基于资产重要性、威胁情报和现实世界的可利用性对告警进行优先级排序。凭借他们的 Cortex XDR Agent（在 MITRE ATT&CK 评估中实现了 100% 的检测覆盖率），这种情报不断转化为有意义的行动。在可能的情况下，平台完全自动化解决方案——修复错误配置并执行策略，无需手动输入。分析师还可以依靠可定制或开箱即用的操作手册，随着事件的展开而调整，为更高级别的工作（如威胁狩猎和战略）腾出时间。

上下文帮助减少调查时间和根本原因优先级排序

这是一个中心论点：桥接 SOC 和 DevOps 工作流程以减少 MTTR（平均响应时间）。Cortex 使一个团队能够检测和遏制威胁，然后将修复工作流程和上下文分配给其他团队，并完全集成操作手册和 ChatOps。

Palo Alto 展示了一些事件关闭率如何从 20% 提高到 100%，他们看到分析师工作量减少 75%，MTTR 更好（从 4 天减少到 1-2 小时，减少高达 90%）。主要好处是他们的覆盖范围跨越整个生命周期。Cortex Cloud 旨在涵盖云安全的四个关键支柱：应用安全、云态势、云运行时和 SOC。

另一个好处是系统通过关联态势、运行时、身份和秘密的多个告警和信号自动组成案例。在云中，他们将这些案例称为潜在风险列表。这种拼接在一起的潜在风险分析视图有助于减少告警疲劳，并重新集中精力解决根本原因而非症状。

平台化和成本节省

这一切都围绕着 Palo Alto 的平台化故事。Cortex Cloud 是一项旨在将多种安全功能——态势管理、威胁检测和事件响应——整合到统一数据和操作层的重大计划。

从首席信息安全官或高级安全主管的角度来看，这提供了一系列超越技术能力的转型性好处，延伸到运营效率、治理清晰度和长期成本优化。Palo Alto 声称在 AWS Marketplace 上比竞争对手平台便宜 50% 以上^[5]——同时提供更深入的覆盖和更低的总体拥有成本。从预算和采购角度看，这种模块化但集成的架构是一个强大的赋能因素。组织可以从小处着手——例如，从态势管理或 XDR 开始——然后随着时间的推移通过许可证升级横向扩展到其他功能，而无需部署或学习新平台。

分析：需要应对的行业挑战

所有供应商（甚至超出 Palo Alto Networks）在这种融合中面临的最大挑战之一是减少平均响应时间 (MTTR)。然而，正如 Tanmoon 报告中讨论的，修复时间仍然非常缓慢。修复关键 CNAPP 告警平均需要 128 天，相当于四个月的暴露时间。

Tamnoon 的分析揭示了原因：

难以理解什么最重要: 组织通常一次管理数百或数千个关键告警。面对如此大的数量，很难确定优先级，导致许多告警在积压中停留数月。

难以找到所有者: 谁拥有一段基础设施并非一个简单的问题；资源通常涉及多个功能，多位不同人员（在组织内具有不同程度的重要性和影响力）与每个资源有关联。识别一个决策者可能很困难。

难以安全地规划修复: 正如识别所有者很困难一样，评估可能的结果并分析特定修复路径的影响范围也是复杂且技术上具有挑战性的。组织通常缺乏对每个基础设施组件如何融入更广泛背景的清晰理解。

以下是 PANW 在构建其解决方案时需要应对的几个方面：

SOC 和云团队之间的协作工作流程

Cortex Cloud 今天面临的最持久挑战之一是 SOC 和云工程团队之间的运营工作流程。虽然该平台提供了统一态势管理、运行时威胁和身份的告警和事件上下文的能力，但连接检测到修复的工作流程的编排仍处于早期阶段。当处理需要跨职能协作的问题时，团队通常不清楚责任从哪里开始和结束。

在我看来，PANW 应该在其现有的精细 RBAC 能力基础上，优先开发针对特定事件类型（例如，容器错误配置）量身定制的预建、角色感知工作流模板。这些模板可以指导 SOC 分析师何时将问题分配给云或 DevOps 团队，包括推荐的修复操作和通信机制（例如，Slack、Jira、ServiceNow）。此外，集成的作战室与 ChatOps 和审计跟踪可以帮助减少摩擦。

自动化修复操作手册

虽然 Cortex Cloud 提供了具有可定制操作手册和一些良好 AI 驱动修复的自动化引擎，但我仍然认为需要更多的现实世界采用。根据我的讨论，一些客户因担心业务中断而不愿执行完全自动化的错误配置或威胁修复。因此，许多操作手册以半自动方式使用（例如，发送 Slack 消息或批准提示），而不是真正的无人值守修复。我几乎建议与新兴的 AI-SOC 和 AI-SOAR 供应商合作，以进一步增强其自动解决案例的能力，但 Palo Alto 在这一领域继续努力提升其能力。

安全团队与开发团队之间的修复工作流程

最复杂的挑战之一是协调安全团队和开发团队之间的修复工作流程。这是 Cortex Cloud 必须展示有意义进展以实现其目标的一个领域。虽然传统 SOC 团队接受培训以隔离和遏制威胁，但这种思维方式往往与云原生环境的需求相冲突——在云原生环境中，错误配置或权限可能需要 DevOps 或平台团队进行仔细调整。

Cortex Cloud 团队通过由统一基于角色的访问控制 (RBAC) 模型支持的以角色驱动的体验在缓解这一挑战方面取得了显著进展。每个团队——无论是 SOC、AppSec 还是云——都提供了与其特定功能相aligned的自定义仪表板和工作流程，帮助在共享数据上明确所有权。一旦连接了云账户，态势和运行时信号就会立即显示，允许团队在身份、资产、权限和相关风险之间切换。

好处是通过将运行时威胁检测与态势洞察集成，Cortex 帮助缩短了检测和解决之间的窗口。虽然在如何处理和跟踪修复方面仍有改进空间，特别是在高风险环境中，但 Cortex 平台架构中奠定的基础为支持跨职能协作提供了良好的基础。

结论思考：云安全融合的展开格局

在这次深入分析中，我们探讨了 Palo Alto Networks 的 Cortex Cloud 战略，该战略旨在融合安全运营和云防御。将传统上分离的领域——SOC 和云团队——融合为一个有凝聚力的运营单位的雄心，有可能为 CISO 预算效率、平台化、威胁可见性和事件响应带来显著收益。

然而，实现这一愿景的道路伴随着许多实际考虑，最显著的是协调具有不同文化和专业知识的团队工作流程的复杂挑战。Cortex Cloud 的最终效力将不仅仅通过其统一数据的技术实力来评判，还将通过其通过自动化和精心设计的访问控制在团队之间协调无缝通信和明确责任的能力来评判。胜者将由谁能简化复杂的修复过程来决定。

展望未来，网络安全格局面临的挑战将变得更加突出。必须赞扬像 Palo Alto Networks 这样的供应商，采取了大胆举措融合安全专业人员和云架构。在这个不断演变的格局中，成功的真正衡量标准不仅在于简化安全平台，更关键的是，我们如何有效地跨越安全团队之间的孤岛，以实现更快速和改进的安全成果。

参考资料