深度觀察:云安全未來的完整指南
責編:gltian |2024-10-21 15:14:31該報告提供了云安全演變的整體視角,追蹤其主要里程碑,詳細分析了當前的關鍵廠商以及市場的變化。它提出了一個重新定義云原生應用保護平臺(CNAPP)的新框架,解決其局限性和矛盾,同時提供了一條全面的路線圖,以引導云安全的未來。
報告作者:
Francis是軟件分析研究平臺的創始人,該平臺幫助安全領導者了解網絡安全中出現的新主題和行業。
James是Latio Tech平臺和新聞通訊的創始人,該平臺幫助工程師尋找和理解安全工具。
關鍵摘要
如果你只有5分鐘來閱讀報告,以下是關鍵要點:
- 本報告探討了過去14年云安全廠商的發展歷程——帶您了解我們如何走到這個關鍵時刻,并利用歷史背景為未來構建愿景。
- 我們討論了整合趨勢,因為云安全廠商合并相鄰解決方案,特別是在應用安全和安全運營中心(SOC)運營方面,并分析了為什么一些廠商表現優于其他廠商。
- 我們對 Wiz、CrowdStrike、SentinelOne、Orca、Upwind、Sweet Security、P對Palo Alto Prisma Cloud、Jit、Rad、Armo和Dazz等公司進行了深入分析,作為不斷發展的CNAPP市場中的代表性參與者。
- 超越僅僅對廠商進行分類,我們討論了當前將CNAPP視為一體化安全平臺的概念的局限性。我們提出了一些新視角,以嘗試解決市場上的以下矛盾:
- 支出增加,滿意度下降:盡管云安全預算上升,最終用戶仍然感到不滿意。
- 功能過載:最成功的 CNAPP 平臺提供的功能較少,盡管對功能的需求有所增長。
- 無代理與代理:曾經倡導無代理解決方案的公司現在都在構建代理。
- 開發者與安全分析師角色:盡管這兩種角色的需求截然不同,CNAPP工具仍被開發者和分析師使用。
- 老舊創新的新包裝:代碼掃描和運行時安全被譽為突破,但它們已經存在多年。市場曾經還沒有準備好,現在準備好了嗎?
- 云安全市場持續增長,成為傳統廠商無法回避的現實——他們通過收購不斷向市場推進。Wiz在兩個季度內增加了1.5億美元!CrowdStrike在過去兩年中增長了一倍。其他大型企業繼續收購云初創公司以增強他們的產品,例如SentinelOne和PingSafe,或Tenable和Ermetic。
- CNAPP功能集持續擴展,分析師們一方面對其復雜性感到遺憾,同時又推動該類別成為一體化解決方案。CNAPP也很難跨越態勢和運行時,因為企業安全公司很難在單一平臺上解決安全的所有方面問題。
- 仍然對云安全工具有需求,公司將這些解決方案視為其安全計劃的基石和起點。然而,實踐者和首席信息安全官(CISO)對他們擁有的工具感到沮喪。工具太多,結果太少。
- 從業者對缺乏上下文、警報疲勞以及小團隊管理規模是其 100 倍的團隊的安全測試和檢測所帶來的普遍痛苦感到沮喪。他們被期望理解無法計數的基礎設施配置的細節。
- CISO們對浪費的時間和開發者的抱怨感到沮喪,然而幾乎沒有什么成果。他們的團隊不得不花費數小時來排查警報,許多云漏洞完全未被他們的CNAPP檢測到。
- 這是我們關于市場狀況的第一份報告。在我們的下一份報告中,我們將探討未來的趨勢、主題以及我們對市場如何發展的預測。
我們的報告提供了對當前市場狀況及其發展方向的誠實評估,幫助您在復雜且不斷變化的云安全世界中導航。
云安全簡史
云前安全的核心僅有兩個解決方案:端點檢測與響應(之前稱為殺毒軟件)和通過防火墻實現的網絡安全。這些核心技術催生了最大的市場公司,其領導者為CrowdStrike和Palo Alto Networks。可以肯定的是,除了這些核心功能之外,還有許多其他廠商,從電子郵件安全到漏洞掃描,企業級的SIEM,但大眾市場的核心在于EDR和防火墻,這些技術是任何規模的企業都可以合理投資的。即使是中小型企業也會在其服務器前配置防火墻,并運行EDR。
在云計算的早期,廠商們急于將他們現有的解決方案部署到這個新環境中。畢竟,Palo Alto防火墻可以作為虛擬設備部署,而服務器就是服務器——無論是在您的數據中心還是亞馬遜云的。只有早期的遠見者意識到,向云的過渡實際上打開了數據中心中以前不涉及的安全部分:資源本身的端到端配置。
隨著安全團隊的發展,問題不再是“我如何將現有工具在云中運行”,而是“我如何弄清楚那里到底發生了什么?”發現和上下文變得比移植那些從未完全正常工作的現有工具更為緊迫。基本的EDR功能和基本的網絡保護現在也隨GuardDuty、安全組以及AWS中的其他原生功能一起提供。
這次轉型真正發生的事情是從傳統架構轉向容器。安全團隊坦率地說,來得有些晚,直到后來才意識到云中的工作負載實際上是從服務器轉向容器。現有的參與者在Windows保護方面進行了大量投資,而當時對Linux的支持非常有限,更不用說容器層了。除了需要Linux支持,團隊還需要對容器有更深入的可見性。
云安全的演變
創新者在兩個領域看到了機會:訪問云API以獲取可見性和對容器洞察的需求。在過去的10到14年中,云安全發生了巨大的變化,試圖發展并最大化這兩項看似簡單的創新的力量。早期的廠商“CSPM”產品迅速商品化,因為對云API進行錯誤配置的審查成為了像Prowler或ScoutSuite這樣的開源項目的常見內容。
即使在這些早期階段,態勢與運行時之間的分裂是顯而易見的,但行業從未完全理解。Sysdig推出了與Falco一起的容器運行時保護,其基于態勢的對立面是Aqua的kube-bench。像ScoutSuite這樣的CSPM嘗試者,專注于審計,擁有更復雜的以工作負載為中心的替代方案,如Cloudmapper。
與其假設這些早期公司的方法背后有某種隱藏的天才,不如說運氣、靈活性和人脈的結合更有可能幫助鞏固了早期關于云安全的討論,使其轉變為代理與無代理的對比,而不是態勢與運行時的對比。當前沿開發者已經準備好容器運行時解決方案時,廣泛的安全市場仍在探索一般可見性,并試圖趕上他們的開發者同行。與早期不同的是,當人們在2024年聽到“CSPM”時,他們假設這其中包含某種程度的工作負載可見性,這正是從第一代云安全到第二代云安全轉變的核心,即假設工作負載是隨之而來的。
云計算中的關鍵時刻
2010-2014 年(CSPM 與云轉型)
- Dome9成立于2010年,雖然他們并未直接被稱為云安全廠商,但他們專注于云環境的合規檢查和治理解決方案。2018年,他們最終被Check Point收購。
- Evident.io成立于2013年,由Tim Prendergast和Justin Lundy創辦。該公司專注于公共云基礎設施的合規監控,并幫助組織檢測錯誤配置。
- RedLock由Varun Badhwar和Gaurav Kumar創立。他們最初專注于提供VPN流日志的可視化和網絡可視化。然而,客戶開始引入RedLock來幫助識別錯誤配置并管理云環境的合規性。2018 年,它被Palo Alto收購。
- Qualys、Tenable和Rapid 7:必須要承認,這些漏洞管理提供商的存在是為了幫助公司發現主要在本地環境中的錯誤配置,然后再轉向云。然而,Tenable在云環境中早期取得了成功,因為Nessus的基于網絡掃描比代理部署更具可擴展性。這或許是后來的代理與無代理掃描之爭的唯一暗示。
2015 – 2018(工作負載安全的創新)
- Twistlock:由本·伯恩斯坦和迪瑪·斯托佩爾于2015年創立。Twistlock是容器安全領域的早期參與者,專注于保護云原生應用、容器和微服務。它于2019年被Palo Alto收購,即使在功能更新較少的情況下,Prisma Cloud仍保持競爭力。
- Sysdig安全:雖然Sysdig于2013年正式成立,但該公司在2015年因推出“首個也是唯一的容器原生”解決方案而嶄露頭角。Sysdig成立時專注于容器運行時安全,使用戶能夠通過代理監控和保護使用容器化應用的云原生環境。
- Aqua Security:他們成立于2019年,旨在保護云原生應用,特別關注容器、無服務器計算和Kubernetes環境。Aqua的開源解決方案,尤其是他們的漏洞掃描器Trivy,受到客戶和競爭對手的熱愛(Trivy在許多漏洞掃描器中默默發揮著作用,尤其是在早期!)。
2018年后(圍繞CNAPP的協同效應)
- 首個云安全整合:Palo Alto對Twistlock和Redlock的收購是云安全領域的一個關鍵時刻。Palo Alto因其對CNAPP的愿景以及從一開始就大舉進入這一領域而值得高度贊揚。通過在2018年收購RedLock和Evident.io,隨后在2019年收購Twistlock,Palo Alto創造了第一個真正整合的云安全產品(即我們現在稱之為CNAPP)。通過將RedLock和Twistlock結合在一起,Palo Alto提出了一個尚未得到驗證的假設:客戶希望有一個平臺來處理運行時和態勢。由于其規模,Palo Alto迅速定義了他們所做的市場,將討論從CSPM與CWPP轉向整合的CNAPP。他們還可以為其龐大的估值辯護,因為許多公司只想要可見性,但被說服在同一地方購買容器和云的可見性。另一個被忽視的早期銷售環節是公司希望將云日志導入其SIEM的驚人高成本砍掉。
- Orca:引入了無代理側掃描的概念,使得能夠深入了解云環境和工作負載,而無需在每個工作負載上安裝代理。CSPM可以通過Orca前后進行定義:無需代理即可查看工作負載數據是一項真正的創新——利用了云API對廠商可訪問的特性。
- Wiz:Wiz將無代理掃描推向了新的極限,最重要的是通過向安全團隊引入資產關系的直觀圖形化,并圍繞這一能力構建了他們的整個用戶體驗。他們還展示了公開可訪問的資源,并推動了在沒有代理的情況下可能實現的可見性。他們在無代理方法的基礎上不斷發展,圍繞圖形構建并提供獨特的低價值實現時間。在此期間,其他廠商對無代理掃描作為其能力的主要缺口反應緩慢,而現在幾乎每個主要廠商都提供這一能力,且成熟度各不相同。
- 關于老一代服務提供商如何難以接受無代理掃描成功的對話是值得進行的。他們對這一點持懷疑態度是完全正確的:從安全的角度來看,無代理掃描與他們能夠檢測和保護的攻擊相比簡直微不足道。然而,他們忽視了安全團隊尚未深入了解這些架構,并不知道自己不知道什么。無代理掃描是安全旅程的第一步,這就是為什么每個人都需要它以保持競爭力。
- Wiz的真正實力在于他們能夠在恰當的時機進入市場,以滿足客戶的需求。他們并沒有因無代理的成功而止步不前,而是在人們開始要求時推出了代理。他們在團隊關注的情況下提升了DSPM能力。最近,他們在安全團隊開始意識到 ASPM能力的強大時宣布了Wiz Code。Wiz對市場的威脅正是因為他們不僅僅是停留在自己發明的歷史教訓中,而是繼續在恰當的時機推出恰當的功能,以迎合大多數市場的需求。
演變總結
創新階段:云安全經歷了三個明確的階段:
- 云態勢和錯誤配置的時代(2010-2015)。這是一個探索掃描云API以查找錯誤配置的時代。
- 運行時嘗試的時代(遠超其時代)隨著容器和微服務的普及而增長(2013-2018)。
- 最終,無代理掃描和整合的時代(2019-2023)
2024年和未來會帶來什么?團隊對兩個相互競爭的想法感到根本上的沮喪:
- 他們有太多工具
- 他們有糟糕的工具,制造噪音而不是解決他們的問題
云安全的下一個重大問題是詢問團隊更希望什么——進一步整合還是在更少的功能下獲得更好的結果。
云安全的部署選項(有代理與無代理)
關于云安全演變的中心討論點之一,是代理和無代理在歷史上扮演的角色有多重要,以及這個問題在今天的相關性。毫無疑問,關鍵時刻是Orca和Wiz等公司引入了無代理掃描。無代理掃描是一個轉折點——但任何告訴你他們當時就知道的人都是在撒謊。我們足夠老,記得這些工具在尋找其信息傳遞立足點時——嘗試從基于風險的優先級到合規掃描。這是一個微妙的行業舉動,直到多年后才得到認可,這在很大程度上是因為Wiz利用它來定義CNAPP會話。
我們特別喜歡一位Wiz競爭對手的前營銷專業人士的引用:“我們讓Wiz定義了關于有代理和無代理掃描的對話,而我們從營銷到銷售所做的只是捍衛代理的好處。這種關注使我們無法專注于真正的信息和我們實際做得更好的事情:保護云端。”Wiz讓每一次銷售電話都圍繞價值實現的時間和無代理的便利性,而不是試圖觸及容器化工作負載的復雜性——這是安全團隊仍然抵制學習的內容。
讓我們設定背景并了解一些基礎知識。當組織遷移到云端時,他們面臨的第一個問題是可見性——AWS僅向他們展示一堆EC2實例,甚至沒有名稱來識別它們的功能。他們有兩種部署選項來掃描漏洞,并僅獲得對這些工作負載的一般洞察:
- Agent代理
- Agentless無代理
下面的圖表展示了在代理和無代理之間決策的復雜性,解決方案根據工作負載類型具有復雜的權衡。許多安全團隊沒有消化這種復雜性,而是做出了一個更簡單的計算:我是否想打擾開發人員?再加上市場上關于“如何保護Kubernetes”的復雜信息,代理變成了“稍后再做的事情”,而不是“我現在需要的東西”。
Source:LatioTech Substack
評估2024年的基于代理的解決方案(代理的回歸?)
代理獲取客觀數據非常具有挑戰性。評估的第一步是部署一個Kubernetes集群,因此許多安全團隊在PoC中已經無法獲得有意義的結果。Latio提供了一個測試庫,以幫助安全團隊實現這一目標,但在這個不斷發展的環境中測試比較代理幾乎是聞所未聞的。
對于2024年考慮代理的專業人士來說,以下幾點至關重要:性能有所提升,洞察力得到了改善,安裝變得更加簡單。在艱難的日子里,代理部署需要DevOps團隊多次手動執行命令。現在,現代解決方案都采用了Helm圖表,允許快速的一行安裝或通過 ArgoCD進行部署。需要注意的是,eBPF是安全的但又是新的——它不會崩潰內核,但它是拓荒式的創新,這意味著在性能和可見性方面,沒有兩個代理是完全相同的。
優點
- 代理可以實時檢測和緩解威脅,使安全團隊能夠更快地響應事件。它們對于快速響應事件至關重要的行業特別有用,例如金融和醫療保健。如果一個組織在云和本地系統之間有工作負載,這一點也非常相關。
- 細粒度數據。代理在可達性分析到尋找應用上下文中的非人類身份等方面都很有用。除了可達性數據,云中的事件響應還需要上下文數據才能有效——太多解決方案仍然沒有為安全運營中心分析師提供他們需要的數據,以便對云威脅采取有效的響應措施。
- 深度可見性和控制:基于代理的解決方案提供對底層工作負載、進程和系統文件行為的細粒度可見性。這使得對運行時環境、配置問題和主動威脅有更深入的洞察。
- 容器時序。容器是云的基礎設施,驅動著絕大多數云工作負載。無代理解決方案在展示內容上受到嚴重限制——它們通過漏洞數據來偽裝,但諸如進程執行、文件訪問和修復上下文等信息只能通過協調的代理獲得。
- 新興應用層檢測。最具創新性的基于代理的解決方案正在深入到運行在工作負載上的應用程序中,為安全團隊提供前所未有的強大可見性。
風險
- 部署:傳統代理在復雜的部署和維護方面面臨困難。無論代理部署多么出色,許多廠商現在都提供一行CLI命令來完成這項工作,而安全團隊通常很少直接接觸到這些命令。展示價值的第一步通常需要安全團隊去打擾DevOps團隊,而這正是他們已經不愿意做的事情。對于現代廠商來說,這比任何真正的技術問題都更令人擔憂。雄心勃勃的安全團隊還應該利用這個機會學習容器,而不是害怕學習。
- 性能問題:容器監控解決方案依賴于對eBPF和其他遙測解決方案的新實踐和實驗。eBPF非常靈活,但沒有保持性能在可接受水平的默認范式。雖然它不會導致系統崩潰,但這種靈活性導致不同廠商之間的性能影響差異巨大,難以評估。
- 工作負載邊緣案例:此時,大多數廠商支持Kubernetes和自托管容器部署解決方案。然而,仍然存在一些工作負載邊緣案例,例如無服務器和PaaS,代理在這些情況下難以完成任務。盡管如此,這些案例仍有其應用場景,廠商正在嘗試不同的方法來覆蓋這些邊緣案例。
- 響應焦慮:許多公司在考慮允許自動響應操作時感到緊張,因為與其他廠商或解決方案(從WAF到EDR)有過不好的歷史。沒有人信任代理去破壞他們的生產網絡應用程序。
無代理掃描的出現
正如之前討論的,Orca推出了無代理側掃描的第一個版本,這使得可以深入了解云工作負載,而無需安裝代理。隨后,Wiz能夠通過圖形使體驗更加直觀,并更全面地將這種方法推向市場。沒有代理可以做很多事情,而大多數安全團隊已經被這些工作壓得喘不過氣來,很難說他們還在尋找更多的工作。
優點
- 快速部署和快速價值實現:無代理解決方案更易于部署,因為它們不需要在每個工作負載上安裝軟件。它們利用云API對底層實例硬盤進行快照,將其復制到安全廠商的賬戶中,在廠商一側進行連接和掃描。這創造了一種優雅的“如同魔法”方法——您可以完全了解工作負載,而無需任何儀器。
- 您可以在沒有代理的情況下獲得良好的上下文。除了快照掃描,非代理解決方案能夠構建完整的云攻擊圖,查看帶流量日志的網絡流量,執行秘密掃描,并真正作為完整的資產管理系統運作。雖然沒有代理時您獲得的總上下文不如有代理時多,但說您什么都得不到是不誠實的。
- 適用于多云和多操作系統:無代理解決方案特別適合在多個云平臺(AWS、Azure、GCP等)上運營并處理多種工作負載類型(Windows和Linux)的組織。它們提供了統一的安全態勢視圖,而無需在各種平臺上管理代理的復雜性。此外,針對所有工作負載類型的一個簡單掃描器比針對不同類型工作負載的特定部署更易于管理。Windows是另一個亟待解決的問題,因為大多數 CNAPP廠商選擇專注于容器和Linux。
不足
- 無代理解決方案從根本上來說是工作生成器。無代理解決方案發現各種問題——其中一些是真實的,有些則不是。但最終,它們并不能獨立解決任何一個問題。
- 容器是瞬息的。無代理掃描不太適合容器化的世界,因為許多容器只運行幾秒鐘。無論無代理掃描多么“實時”,洞察力始終有限。需要明確的是,無代理廠商在偽裝某些可見性方面已經做得很好,但他們永遠無法詳細了解容器的實時活動。
- 有效性和高誤報率:無代理解決方案依賴于從云API收集的數據,這些數據沒有工作負載數據,有時完全缺少相關的安全數據。這可能導致不準確或不完整的結果。公司抱怨,雖然他們欣賞無代理解決方案的部署便利性,但在監控更深層次的威脅時,他們仍然經歷了比基于代理的系統更高的誤報率。
- 隱藏的支持缺失。無代理掃描底層系統卷真是太棒了!僅當系統有底層卷時。不幸的是,深入挖掘的安全團隊會發現相當數量的工作負載類型沒有卷——無論是帶有NVMe驅動的云工作負載還是RDS集群。
- 隱藏成本。快照存儲和網絡傳輸(取決于配置)并不是免費的!AWS對額外費用毫不在意,安全廠商當然也不會主動告訴你,隨著他們的無代理魔法,云成本會有小幅增加。
總體而言,CNAPP的故事是安全團隊在尋找無代理可見性解決方案的過程中,逐漸成熟為基于代理的解決方案,因為他們了解到自己的云主要是容器。安全團隊開始渴望可見性,并迅速意識到他們并沒有想象中的那么多。這正是Wiz不僅“曾經引領”市場,而且仍然在引領市場的原因。他們選擇投資于代理,使他們能夠繼續滿足安全團隊的需求——根據客戶的需求提供適當的可見性。相反,運行時提供商決定構建無代理掃描并沒有對他們產生太大影響,因為他們的買家在旅程中已經走得更遠。
值得簡要提及的是,目前大多數主要參與者都提供無代理掃描和基于代理的解決方案,我們真正討論的是與這些功能交互的界面、它們能力的深度,以及這些功能如何轉化為完整的用戶體驗。
理解今天云安全的框架
Gartner的CNAPP
我們對CNAPP的起源有一些分歧——Palo Alto假設人們希望將Twistlock和Redlock整合在一個地方,并強加他們的意愿于行業。一個不那么憤世嫉俗的看法是,大多數CISO希望保護他們的云。這種保護始于對云的可見性,以及對容器的可見性。這一基本邏輯是合理的;事實上,這也是促使James決定早期采用Prisma Cloud的原因(盡管他不愿承認)。安全團隊需要一些工具來幫助他們應對云——無論是學習他們的容器化環境,還是尋找合規團隊詢問的未加密數據庫。
最近,CNAPP幾乎達到了可笑的膨脹程度——我們能想到會談論“數據中心應用保護平臺”嗎?企業和分析公司繼續推動CNAPP意味著一體化安全的理念。
一個奇妙的對立來自Forrester的文章,我們認為它們相互矛盾。第一篇文章認為CNAPP擁擠且臃腫(我們同意)。第二篇文章認為CDR并不作為一個類別存在,因為它是CNAPP的一部分。這正是第一篇文章所抱怨的創新受阻!如果CNAPP真的是Gartner所描述的,那就沒有其他類別。如果我們想要真正的解決方案,我們需要超越CNAPP神秘的“沒有更多問題”的承諾。讓我們從拆解組成類別開始。
Source: Gartner
云安全態勢管理 (CSPM)
Gartner解釋說,CSPM作為工具旨在通過將云環境與預定義的最佳實踐、政策和已知安全風險進行比較,識別云中的配置錯誤、安全政策執行的差距和合規風險。一個賣點仍然是為技術水平較低的GRC團隊提供合規狀態報告。
正如我們在文章的大部分內容中討論的,CSPM實際上可以分為工作負載前和工作負載后的可見性能力。早期的CSPM僅關注錯誤配置,而新的CSPM還關注工作負載級別的錯誤配置。在這一點上,我們認為CSPM可以簡化為資產管理和漏洞掃描,并在其上層疊加錯誤配置檢測。盡管這個市場在很大程度上被認為被CNAPP取代,但在市場下游仍然有空間,因為CNAPP的定價已經飆升到不合理的水平,難以滿足小型團隊的需求。
云工作負載保護平臺 (CWPP)
CWPP一直是一個奇怪的類別,因為它只是EDR,但它適用于容器。公平地說,它有一些額外的好處,比如漏洞掃描和網絡層可見性的實踐。這個類別之所以奇怪,是因為從來沒有明確的能力集來定義什么算作CWPP。廠商經常自稱為CWPP,但只提供漏洞掃描。其他廠商則自稱為CWPP,僅提供運行時防御解決方案。什么算作“工作負載保護”一直不清楚。簡單來說,CNAPP = Redlock (CSPM) + Twistlock (CWPP)。CSPM提供云可見性,CWPP提供容器可見性。由于缺乏清晰性,這個術語的使用變得不那么常見。我們更喜歡使用云檢測響應(CDR),意味著在云和工作負載層提供檢測和響應。
CNAPP的局限性
James曾形容CNAPP說:“我就是CNAPP,初創公司的毀滅者。我們來做所有事情,但稍微差一點。”?CNAPP此時已經膨脹到可笑的地步。我見過一些演示,廠商點擊 6個屏幕來深度展示一個巨大的應用層漏洞表。最終,實踐者們一直想要的,甚至更多無關緊要的漏洞。目前安全的關鍵問題是:
- Too much noise太多噪音
- Not enough value價值不夠
James認為CNAPP們帶來的問題多于解決的問題,原因如下:
開發人員和安全運營團隊的需求并不相同
開發人員希望(或被迫)看到他們代碼中的漏洞,以及這些漏洞在生產環境中是如何被發現的。開發人員并不關心運行時漏洞警報,他們太忙于講故事的點和中午在午睡艙中休息放松,同時抱怨項目經理。開發人員接收工單,他們的績效是基于工單進行評估的,他們在集成開發環境和拉取請求中工作。
相反,安全運營團隊生活在SIEM中。他們查詢日志以應對攻擊并拼湊事件。他們對攻擊者采取響應措施,并確定影響范圍。這些是開發人員寧愿不參與的事情。
這些團隊唯一的共同點是對上下文的需求;然而,其他一切——從用戶界面到工作流程,再到他們關心的數據——都是截然不同的。
Source: Latiotech
定義安全工程師?
沒有兩個安全工程師是完全相同的。“應用安全”和“云安全”之間的界限正在慢慢消失,變成了“產品安全”,其主要功能是“漏洞管理”,這正逐漸成為一個獨立的學科。產品安全開辟了道路,漏洞管理幫助修補,安全運營中心(SOC)響應威脅,治理、風險與合規(GRC)創建和審計政策。云原生應用保護平臺(CNAPP)實際上只為云安全工程師提供了資產可見性,但對于那些在應用安全領域深入發展的更全面的從業者來說,將面臨很大的挑戰。
CNAPP的未來?
CNAPP創建了太多獨立產品的糟糕版本,正處于嚴重的臨界點。廠商被迫同時深入運行時保護和ASPM。他們面臨被夾在中間而被兩者淘汰的風險。
我們對CNAPP能夠實現這一點持開放態度,但沒有人能同時讓SOC和開發人員真正滿意的用戶體驗。Wiz由于其Wiz代碼的圖形靈活性以及收購Gem和他們的代理,處于良好的位置來做到這一點,但執行將至關重要。
另一個顯而易見的問題:Amazon GuardDuty和Inspector不斷改進,Inspector現在也支持無代理掃描。作為“AWS成本/力量倍增器”,可能會在漏洞管理方面有所作為。
根據它們的估值和采用情況,目前最成功的CNAPP也是功能最少的一個。圍繞用例的執行比Gartner的功能檢查更為重要。
我們應該如何看待CNAPP
這是我們對CNAPP心理模型的提議:一系列功能要么與漏洞檢測對齊,要么與運行時漏洞利用對齊。CNAPP產品決策是一個復雜的權衡噩夢,這就是為什么許多企業最終會擁有多個產品。在最高層面上,只有兩個基本能力——要么你在檢測漏洞,要么你在響應威脅。安全團隊可以選擇嘗試將所有這些功能集中在一個地方,但這樣做會面臨非常現實的可用性權衡。我們認為這兩個領域是根本的:
- 態勢和漏洞掃描:該領域主要集中在主動識別云環境中的錯誤配置和漏洞,以防止它們被利用。這確保了安全基線,并通過掃描云資源和應用程序的脆弱性來幫助滿足合規要求。這些功能的ICP均與產品相關,涉及多個正在變化的職位,如開發人員、DevOps、DevSecOps、云安全或產品安全。
- 運行時檢測與響應:這主要實時監控云工作負載和應用程序,檢測正在發生的主動威脅和異常。這種反應式方法能夠迅速采取行動以減輕攻擊,但可能會引入復雜性和性能開銷。這些功能的關鍵績效指標均與安全運營團隊相關,擁有像威脅獵人、檢測工程師和安全研究員這樣的酷炫黑客頭銜。
這兩種能力對于全面的云安全至關重要——一種側重于預防,而另一種則應對實時威脅。我們將這些分為態勢或運行時的子類別:
在這兩個類別中,我們認為在云和應用程序中還有進一步的子市場類別,可以進一步分析這些領域。一般來說,這些平臺在每項能力上都有次優版本,實踐者在最重要的地方利用單點解決方案。我們在下面提供了這些市場的簡要分析:
態勢與漏洞掃描
云安全態勢管理 (CSPM)
如本報告大部分內容所述,CSPM提供無代理的云工作負載配置和漏洞的可見性。它為您的資產提供廣泛的覆蓋和可見性。雖然可以提供運行時,但這并不是平臺的核心。這將繼續是該縮寫的核心部分。
應用安全態勢管理 (ASPM)
ASPM提供了所有必要的應用程序安全測試工具,以徹底測試和保護應用程序。由于有很多掃描器和語言,因此公司更有可能在這里擁有許多不同的解決方案,這導致廠商也純粹專注于不同掃描工具的發現的編排和聚合。
統一修復
眾所周知,使用這些工具越多,您為團隊創造的工作就越多。這些平臺提供指導、去重和數據富化,以便更輕松地修復和跟蹤問題。
云身份:CIEM(云基礎設施權限管理)和非人類身份(NHI)
CIEM已演變為NHI,但兩者都專注于追蹤不同的權限及其在云中的作用。現實是,CSPM工具對大多數團隊來說總是做了足夠的身份管理,因此NHI這個縮寫使這些廠商能夠更好地區分他們在API、SaaS和工作負載身份方面的關注,而CNAPP還未擴展到這些領域。
數據安全態勢管理 (DSPM)
團隊一直希望通過DSPM實現數據標記,但對這一工具組合的滿意度卻各不相同。DSPM的核心在于為您的數據平臺提供洞察——從像S3這樣的對象存儲到像RDS這樣的關系型存儲。然而,這里存在與CIEM類似的問題,因為CSPM也可以做到其中的一些功能,因此問題在于這種差異對特定團隊的重要性有多大。
運行時檢測與響應
如前所述,運行時檢測和響應專注于在云環境和工作負載運行時進行監控,以實時檢測活動的威脅、異常或攻擊。
每個運行時工具都聲稱支持容器,但它們的檢測能力和為安全團隊提供的上下文信息的實際情況差異很大。正如Latio所主張的,通過創建一個新類別CADR,這三種云類別之間的界限正在迅速消失。然而,這是我們對當前存在的不同類別的分析。
傳統EDR
這些工具只是運行在云中的EDR。它們最好的定義是專注于靜態服務器和基于文件的檢測。這個類別與云檢測響應之間一個容易識別的特征差距是是否可以制作Kubernetes可視化,而不僅僅是進程樹。
云檢測與響應 (CDR)
CDR是為云而構建的檢測和響應。該市場的一小部分(Gem、Stream和Skyhawk)致力于無代理方法,僅將云視為云API和流日志。然而,由于云運行在Linux和容器上,我們認為CDR的核心包括其工作負載,使容器安全成為真正CDR的基石。為了清晰起見,無代理CDR參與者通常采取集成方法來獲取對這些工作負載的可見性。
應用程序檢測與響應 (ADR)
ADR是一個快速崛起的市場,充滿了炒作。這些廠商正在超越容器,全面擴展到應用上下文。這個市場還很新,每個廠商的方法截然不同,但它們的共同點在于捍衛應用層,而無需任何代碼更改。代碼更改是RASP未能起飛的原因,端到端的應用檢測在沒有任何代碼更改的情況下,明顯將這個市場與EDR區分開來。
廠商格局與生態系統討論
基于我們上面列出的CNAPP縮寫,我們認為市場上有不同的廠商來代表不同的組件。我們在底部包含的廠商列表并不是所有廠商的詳盡列表。
廠商納入和標準的核心部分是基于市場的吸引力和增長。如果CNAPP意味著“云中的每一個安全功能”,我們就必須突出成千上萬的廠商。為了選擇我們要突出的廠商,我們主要關注覆蓋最大的收入參與者,以及一些我們個人因不同原因而感到興奮的小型廠商。如果您想要完整的列表,可以在Latio的網站上找到。
利用市場上所有可用的來源和收益評估,這些是市場主要參與者的收入指標。Prisma Cloud仍然是最大的廠商。然而,CrowdStrike緊隨其后,Wiz也在其后(這將是云計算的下一場大戰,目前有許多客戶因其不同的歷史重點而同時使用這兩個平臺)。
Source: Public filings, earnings and press releases.
CNAPP主要廠商
Wiz
Wiz于2020年作為最后一個主要進入CNAPP市場的公司推出,解決了最基本但至關重要的云安全需求——通過無代理漏洞掃描實現云可見性。這個簡單的需求伴隨著復雜的實施挑戰,但Wiz在這方面表現出色,超越了當時的競爭對手。
Wiz清楚地理解云安全的核心問題,特別是對云可見性安全的迫切需求,檢測和響應隨后演變。它將可見性作為基礎,優先構建一個專注于快速、清晰洞察云環境的用戶體驗。
盡管比許多成熟企業晚進入市場,Wiz迅速在尋求快速部署和最小維護的企業中獲得了關注。此外,他們的圖形數據庫的靈活性使他們能夠隨著發展輕松添加新類型的資產和關系。公司快速增長,在成立四年內收入超過5億美元。Wiz通過采用基于圖形的方法來實現可見性、檢測、高保真風險優先級告警以及以客戶為中心的執著方式,區別于競爭對手。雖然批評者會將Wiz的快速增長歸因于強大的營銷和易于實施,但這忽視了使Wiz成為云安全“最低公分母”(即滿足大多數市場需求的核心方面)的關鍵因素。無代理資產和漏洞管理正是早期市場真正想要的。
產品優勢
圖形用戶體驗
Wiz成功的核心因素是其基于圖形的架構,從實際數據庫到用戶體驗。云環境由許多相互連接的實體組成,如虛擬機、數據庫和API。Wiz的圖形模型使安全團隊能夠以高效的方式理解這些復雜關系,為相關團隊查詢相關信息。
該架構提供了深度可見性,使團隊能夠比競爭對手更有效地分析錯誤配置,更重要的是理解云環境。例如,安全團隊可以輕松創建搜索,并將這些搜索轉化為其他團隊使用的保存儀表板,從而推動整個組織的產品采用。我們相信,對圖形的基本理解是其產品成功的基礎能力。
超越無代理掃描的演進
眾所周知,Wiz推出了一種更有效的無代理掃描儀,幫助團隊以驚人的快速實現價值和部署識別大型企業的漏洞。其基本前提在于Wiz利用圖形構建了更先進的無代理可視化解決方案,使軟件開發團隊能夠輕松地在其網絡中可視化威脅(面向互聯網的風險與非面向互聯網的風險)。
Wiz真正成功的基礎在于其在市場演變時恰好按時滿足需求。早期,云可見性對安全團隊來說并不是一個急迫的問題,因為他們試圖將本地工具遷移到云端。這個問題在2020年至2021年間更加普遍,當時公司迅速向云遷移,但必須保護自己免受Log4J和CapitalOne泄露等攻擊。這些事件對Wiz的成功至關重要,因為他們在正確的時間擁有了正確的產品。
Wiz提供了一種非侵入式的方法,通過無代理掃描獲得相同的可見性,滿足安全團隊在初期所需的基本需求。現在,市場正在發展,意識到純無代理方法的缺陷——缺乏代碼上下文和缺乏運行時防御。Wiz并沒有滿足于現狀,反而在近兩年前創建了一個代理,進行了Github集成,并擴展了他們的DSPM。這些單獨的組件雖然不如一些競爭對手先進;然而,他們仍然專注于用戶體驗而非功能,確保在客戶需要時及時提供所需功能。
攻擊路徑分析
Wiz的基于圖形的系統自然支持攻擊路徑分析。它可以通過評估漏洞的上下文來優先考慮風險,并快速追蹤潛在的攻擊路徑。例如,它可以映射攻擊者如何利用一個不太關鍵的漏洞在環境中橫向移動,從而達到更有價值的資產。這種基于上下文的分析幫助安全團隊專注于最重要的風險。可以肯定的是,這一功能迅速變得商品化,因為幾乎每個CNAPP都可以繪制出他們云資產的漂亮圖形;然而,Wiz因其早期實施以及圖形搜索的定制化程度而繼續獲得回報。
有效的優先級引擎
特別是在CSPM方面,安全團隊很快就被無意義的告警淹沒,這些告警不能帶來業務價值。Wiz的優先級引擎是早期解決此問題的嘗試。雖然競爭對手通常孤立地掃描單個資產,但Wiz提供了這些資產如何互動以及這些互動帶來的風險的完整上下文。通過使用數據聚類技術,并結合其研究團隊的云攻擊者研究,Wiz對漏洞進行排名,幫助企業優先處理最關鍵的問題。其低誤報率確保團隊不會被不必要的警報淹沒,這在與CrowdStrike和Palo Alto等競爭對手相比時是一個顯著的優勢,即使其他廠商現在也有了自己的版本。
定制化與協作的便利性
客戶(主要是開發人員和云團隊,而非安全團隊)經常強調Wiz的用戶友好界面和自動化功能,這使得安全團隊能夠快速優先處理關鍵問題,并與工程團隊創建共同的儀表板。其直觀的掃描引擎開箱即用,能夠檢測漏洞,所需的定制化極少。Wiz的可擴展性是另一個優勢,因為它能夠輕松適應不斷增加的工作負載和復雜的云原生用例。雖然某些定制是可能的,但該平臺的設計旨在最小化自定義規則創建和手動干預的需求,能夠原生處理常見配置。
品牌化
盡管批評者將Wiz定義為“營銷浮夸”,但他們實際上在構建一個與Palo Alto和CrowdStrike相媲美的競爭品牌方面做了令人難以置信的工作,通過提供真實價值和定義對話。首先,從客戶的角度來看,Wiz幾乎沒有仇恨者,這為他們贏得了良好的行業聲譽。其次,Wiz的營銷團隊有效地提供了真實價值——從他們的云安全招聘網站到他們的云漏洞歷史。再加上由備受信任的Scott Piper和Alon Schindel主導的真正有幫助的研究,Wiz進行了有意義的社區投資。第三,他們在營銷浮夸方面也非常出色,無論是深思熟慮的禮物、定制鞋子還是本地活動,Wiz都在進行高度競爭的營銷實戰。這為任何與Wiz相關的CNAPP評估提供了框架。再加上一點流行的孩子戲劇(Wiz這周在買誰或被誰收購?),他們始終保持在談論中。
Wiz圍繞合作伙伴、CSP和解鎖大型企業賬戶建立了強大的GTM組織。這與我們在終端安全領域看到的Crowdstrike與SentinelOne的情況類似。
一位前競爭性市場營銷者的引用提供了深刻的見解,他們說:“我們讓Wiz定義了代理與無代理掃描之間的對話,而我們所做的只是捍衛代理的好處。這種關注使我們無法專注于真正的信息:保護云端。”Wiz正在繼續定義他們能力的對話。
關注領域
- 代理能力的深度:雖然Wiz在無代理掃描方面表現出色,但根據我們的客戶討論,它尚未完全匹配競爭對手提供的深度工作負載可見性和運行時保護。值得注意的是,Wiz已經有了代理解決方案很長時間。此外,ADR領域也在不斷發展,這些競爭對手擁有自己獨特的運行時產品。大多數企業云環境也是混合操作系統,而Wiz沒有Windows產品,迫使他們與Crowdstrike進行補充。
- ASPM和代碼掃描:其他廠商推出了自己的SCA和SAST掃描,但這似乎對市場的推動作用不大,因為與完整的應用安全產品相比,這些產品的功能非常有限。此外,許多團隊正在轉向外部修復平臺,以提供代碼到云的覆蓋和去重。Wiz最近推出了Wiz Code,涵蓋了ASPM中的大部分功能。這一開發的加速主要得益于他們在2023年底收購Rafft。Wiz Code利用安全圖來掃描代碼庫、CI/CD管道和云環境。在接下來的幾個月中,Wiz Code相對于競爭對手的采用情況將是一個關鍵關注點。
- 服務多個用戶角色:大多數CNAPP平臺是為云安全工程師構建的,他們通常具有系統工程或DevOps背景。這使得這些平臺在掃描和上下文方面偏向較重。然而,隨著檢測和響應能力的普及,這些警報的用戶角色將是安全運營團隊,他們通常有非常不同的偏好和需求。目前沒有廠商通過用戶體驗解決這一用戶角色分裂的問題,能夠同時滿足這兩種用戶角色的需求。盡管Wiz收購了Gem,憑借其作為事前響應者(IR)在SecOps方面的深厚專業知識。
- 定價:盡管價格具有競爭力,Wiz不是最便宜的解決方案。早期用戶享受了折扣,但新客戶發現價格不夠靈活。尋求基本云解決方案的中型市場團隊將面臨價格障礙。
未來趨勢與方向
隨著Wiz的持續增長,公司采取了多項戰略舉措以保持其競爭優勢。公司通過開發代理、增強其DSPM能力、引入近實時掃描以及與GitHub和云事件規則的集成,擴展了其能力,超越了無代理掃描。這一從最初的“僅無代理”模型的轉變,對于應對云安全的新需求至關重要,特別是在云檢測和響應(CDR)興起的背景下。
問題仍然是Wiz能否繼續超越其無代理云安全態勢管理(CSPM)的優勢。隨著競爭對手的發展和市場的日益擁擠,Wiz的長期成功將取決于其適應新安全挑戰的能力,特別是在API安全、身份、運行時保護和DSPM等領域。雖然它可能不是最便宜的解決方案,但Wiz對自動化、可擴展性和易用性的關注使其成為尋求快速、可靠云安全的企業的一個有吸引力的選擇。我們強烈建議訪問Gartner的CNAPP指南以獲取更多詳細信息。
Crowdstrike
Crowdstrike于2020年10月推出了他們的云安全解決方案。在過去的四年中,他們成功地實現了超過5.15億美元的年度經常性收入(ARR)。CrowdStrike最初作為一個EDR提供商,利用其Falcon傳感器,他們進入云計算的方式只是將相同的傳感器安裝在云環境中。在這段時間里,他們的云/容器能力逐漸發展,但仍遠遠落后于專業容器公司。盡管如此,許多首席信息安全官(CISO)圍繞CrowdStrike組建了安全運營中心(SOC),這使得他們的容器產品在實際能力不論如何的情況下,仍然具有巨大的優勢。
產品優勢
基于 Windows 的環境
像James這樣的從業者親身體驗過“Crowdstrike是行業領導者,我們會選擇他們”這句話,盡管有相反的證據——甚至根本沒有測試!許多安全團隊錯誤地認為代理就是代理,并且他們現有的CrowdStrike許可證可以輕松擴展到云中。雖然在某些情況下這是真的,特別是在Windows環境中,但我們認為并不總是如此。他們龐大的現有安裝基礎使用EDR代理與Windows工作負載(這些工作負載不會很快消失)繼續是他們成功的核心。除了Sysdig等少數例外,許多CNAPP參與者從運行時的角度忽視了Windows。這使得CrowdStrike或SentinelOne的合同幾乎成為大多數企業的默認需求。以這種方式打開市場大門可以輕松擴展到云工作負載。此外,CrowdStrike合同將被許多圍繞它構建整個技能集的團隊視為不可談判的。
利用其作為EDR和威脅情報提供商的優勢,Crowdstrike能夠檢測和響應發現的高級攻擊行為。因此,一些客戶強調了CrowdStrike威脅檢測的準確性(基于AI的算法和行為分析),指出其高真實告警率使安全團隊更容易優先處理真實威脅。CrowdStrike對全球威脅情報數據庫的訪問使其在識別新興威脅,特別是零日漏洞和新興惡意軟件方面具有顯著優勢。
雖然CrowdStrike在其Falcon CSPM產品中開發了一些API和無代理功能,但CrowdStrike收購了bionic.ai,以構建他們自己版本的ASPM。然而,我們認為它缺乏一些定義該類別的核心能力。明確來說,Bionic給了他們一個很棒的技術——它通過引爆二進制文件來映射應用程序的工作方式;然而,將這種能力稱為運行時或ASPM實際上是對這兩種能力的誤解。Bionic創建了應用程序二進制文件在運行時應該執行的操作的地圖——使其成為運行時狀態的理論地圖。然后,它將漏洞導入該應用程序地圖。這個功能集使他們能夠聲稱在ASPM中是有競爭力的產品,但既沒有提供真正的應用程序安全測試,也沒有提供真正的ADR能力。
折扣
CrowdStrike因提供靈活的許可選項而受到關注,這使得組織能夠根據變化的需求進行擴展或縮減。與其他需要大量前期投資的廠商不同,CrowdStrike提供更具動態性的許可,這對安全需求波動的組織具有吸引力。CrowdStrike的按需付費模式使公司能夠調整其安全覆蓋,而無需進行大規模的前期投資。總體而言,我們注意到,盡管他們為客戶提供了許多優惠,但其定價被視為一個劣勢,平臺的費用比Wiz和Orca等競爭對手更高,尤其是對于尋求更具預算友好選項的組織。
關注領域
不符合云工程師目標
CrowdStrike的整個用戶體驗是圍繞一個非常特定的用戶構建的:通過進程樹、隔離和類似的啟發式方法響應運行時威脅的運營團隊。他們的用戶界面在提供資產上下文方面不如CSPM,在提供開發者洞察方面不如ASPM,也不如Kubernetes提供商在展示完整Kubernetes上下文方面。真正擴展到這些領域,超越收購行為,將是一項巨大的工作。
代理附帶的開銷
盡管CrowdStrike有其優勢,但其對基于代理的安全解決方案的依賴可能會增加操作復雜性、開銷和成本,特別是對于需要管理每個云訂閱或工作負載的手動配置的DevOps團隊。
有限的云覆蓋
CrowdStrik的CSPM也存在云覆蓋范圍有限的問題,僅支持AWS和Azure。這使得它對需要與Google Cloud或VMware等平臺集成的多云環境的組織吸引力降低。
初裝流程
CrowdStrike的初裝流程被認為復雜且耗時,需進行大量手動配置,這可能會在動態云環境中減緩部署速度。James希望大家知道他對此可以親自作證。
Palo Alto的Prisma Cloud
Palo Alto首次提出了CNAPP的愿景。他們花費1.73億美元收購了RedLock,這是一家專注于識別云實例中錯誤配置的首批云安全廠商之一,并將其與Twistlock這一先進的容器安全解決方案結合,創建了云安全的初步端到端愿景。隨后,他們收購了Bridgecrew用于基礎設施即代碼(IaC)掃描,收購了Dig Security用于數據安全態勢管理(DSPM),并收購了Cider以更廣泛地擴展到應用掃描。他們采用了以收購驅動的擴展策略來構建一個強大的解決方案。值得一提的是,Palo Alto在選擇這些廠商時的每一項收購都是絕對出色的——每個廠商都遠遠領先于他們的時代。
Source: Felicis
綜合解決方案集
Prisma Cloud作為最強大的平臺之一(目前在云和應用安全方面有超過13個模塊),在多云環境、容器、工作負載和代碼安全方面提供安全覆蓋,支持代理和無代理解決方案。它的知名品牌和悠久歷史使其在對話中容易被提及。它們最適合位于Palo Alto生態系統中的企業。Prisma Cloud非常適合已經利用Palo Alto的防火墻或網絡安全產品以及其SOC解決方案的組織,將其整合為統一的安全平臺。
基于代理的掃描圍繞其終端解決方案在已經安裝的組織中取得了成功。與無代理模型相比,他們的代理架構提供了對運行工作負載更深入的安全洞察,盡管Twistlock在更新方面滯后,但仍然能夠保持競爭力。Palo Alto利用RedLock查詢語言(RQL),使用戶能夠創建自定義查詢和合規性及漏洞檢測規則。這使用戶能夠根據特定需求量身定制安全監控。通過定義獨特的政策并調整安全檢查以適應公司的云基礎設施,企業可以確保遵守內部和外部法規。
這使得安全團隊能夠根據特定的合規和操作需求定制Prisma Cloud的監控和報告RQL對于具有高度特定安全和治理要求的組織特別有用,例如那些在受監管行業中的組織。這種定制使Prisma Cloud與競爭對手如Wiz區分開來,后者提供更多的自動化但缺乏更細致的威脅狩獵能力。RQL提供了安全意識強的組織通常所需的深度靈活性和可擴展性。
總體而言,Prisma Cloud的表現相當不錯,因為它在任何方面都不是特別糟糕,但也沒有特別出色。從功能的角度來看,很難對該平臺提出反對意見,因為從功能清單來看,它們的功能超過了大多數競爭對手;然而,安全團隊常常會告訴你:“我真討厭 Prisma”,因為其用戶界面和功能臃腫。
關注領域
缺乏綜合性和以結果為導向的愿景
根據我們從從業者那里聽到的反饋,Palo Alto仍然缺乏一個全面集成的風險視圖,并且他們的誤報率高于Wiz和Orca等競爭對手。一些客戶對Prisma復雜的用戶界面表示沮喪,并且需要大量定制才能實現預期結果,尤其是在早期版本中。總體而言,平臺仍然感覺支離破碎,缺乏實時的綜合風險報告。Palo Alto似乎有一個基于追逐Gartner縮寫的云安全戰略,以獲取企業功能。他們傾向于觀察市場,并試圖通過收購來實現成功。這導致了一個由功能驅動而非用戶體驗驅動的脫節平臺。
定制化的代價
雖然通過RQL(RedLock查詢語言)提供的靈活性允許自定義安全策略,但Prisma Cloud對手動規則配置的高度依賴使其資源消耗更大。我們聽說,尋求即開即用自動化解決方案的企業可能會發現一些無代理解決方案,如Wiz,更加簡化,因其減少了對手動管理的需求。RQL的直觀性也遠不如圖形搜索或簡單資產過濾器。
更高的誤報率
我們多次聽說,Palo Alto的誤報率比Wiz或Orca等解決方案更高。Palo Alto沒有與新興廠商相同的代理,因此在Prisma Cloud中部署代理可能會增加資源消耗,無論是在云成本還是運營維護方面,在某些情況下使其成本效益降低。他們的CSPM引擎還覆蓋了許多資產類型,當“錯誤配置”存在爭議時,很難將某個發現稱為真正的正面發現。
Orca
Orca Security在2019年通過引入其專利的無代理SideScanning技術,在云安全領域取得了重大突破。這一創新在無需安全團隊在終端上安裝代理或在工作負載上安裝軟件進行評估的情況下,實現了工作負載的可見性。
它們通過在運行時存儲級別訪問云工作負載以外的帶寬進行操作,通過云提供商的API收集關鍵數據,同時掃描磁盤快照。它們的技術評估塊存儲字節并重建文件系統,以只讀模式掃描操作系統和應用程序,確保虛擬資產不受影響。這種獨特的方法使公司能夠在整個云環境中部署Orca,而無需擔心性能影響或操作中斷。對于安全團隊來說,這意味著可以在不打擾工作負載的情況下獲得可見性。
Orca的側掃技術在漏洞評估和掃描方面已被證明非常有效,尤其是針對非容器資產,具有快速統一的攻擊路徑數據庫。雖然Orca在無代理方面的優勢仍然是其關鍵強項,但隨著云安全團隊開始尋求更多的運行時數據和對其工作負載的可見性,它也顯示出一些局限性。關鍵是,無代理掃描在應用于短暫工作負載時一直存在困難,因為磁盤上的內容每分鐘都在變化。
在功能集和用戶體驗方面,與Wiz的比較是不可避免的。Orca在無代理功能集上繼續與Wiz正面競爭。Orca確實有一些優勢:他們的數據架構更具可擴展性,他們持續推動無代理能力,并提供非常有競爭力的風險圖。然而,與Wiz正面競爭正是我們所談論的大多數廠商拼命想要避免的地方。
Orca面臨的最大挑戰有兩個方面:品牌和銷售相關。在銷售方面,Wiz的圖形搜索以及將這些搜索保存到每個團隊儀表板的能力,提供了一種非常自然的體驗,使得在銷售交流中很難克服。一旦你深入調查一個警報,Orca和Wiz提供的大部分功能是相同的,但Wiz的圖形用戶體驗使得對首次購買者的亮點非常清晰,尤其是對于來自臃腫平臺的用戶。在品牌方面,Orca不幸地處于一個直接與無可爭議的市場巨頭Wiz進行比較的位置。由于他們被迫正面競爭,他們也不得不承受這種持續比較帶來的壓力。
最近,Orca通過集成對GitHub和GitLab等平臺的源代碼掃描,擴展了其能力,幫助公司識別風險熱點,包括代碼錯誤配置。隨著對云檢測和響應能力以及容器化工作負載的關注持續增加,我們認為Orca面臨的最緊迫挑戰是缺乏內部代理。
SentinelOne
通過收購PingSafe,SentinelOne正在大舉進入CNAPP。SentinelOne和CrowdStrike在云計算中擁有相同的潛在增長機會,但也面臨相同的困難。兩者都有強大的EDR平臺,安裝基礎龐大。兩者都擴展到了容器安全領域,結果各異,然后又擴展到了更廣泛的云環境中。CrowdStrike將其大部分CNAPP產品構建在現有數據結構上,而SentinelOne則采取了大膽的方法,將更多上下文數據納入其數據湖中。
SentinelOne在CNAPP的未來將完全取決于他們執行數據能力的能力。PingSafe作為一個CNAPP是無害的,具有一些使其與眾不同的功能。他們擁有我們所期望的一切 – 漏洞掃描、基礎設施即代碼(IaC)、態勢等。他們與SentinelOne的區別在于能夠實際從外部測試漏洞,通過驗證資源的可利用性來去除CNAPP的噪音。作為一個CNAPP,它是現有客戶可以考慮的競爭性產品,但我不認為在面對面比較中,很多人會選擇它而不是Wiz。并不是說它的產品質量差得多,只是它沒有達到在這個領域脫穎而出的10倍標準。
為了SentinelOne的長期目標,PingSafe的云和代碼資產圖形數據庫可以用于警報上下文化。SentinelOne在其整體云和資產架構上進行了大量數據投資。如果PingSafe的數據能夠完全整合,SentinelOne有潛力實現一個真正創新的端到端數據驅動解決方案。雖然目前CNAPP并不突出,但一旦統一,它將具有很大的潛力。
Sysdig
Sysdig一直是DevOps工程師和愛好者的首選工具。許多CNAPP領域的廠商在擴展其原始用例方面面臨困難,但Sysdig仍然保持競爭力。Sysdig的運行時重點無疑部分源于他們的技術聯合創始人Loris Degioanni,他共同創建了Wireshark和Falco。如果您熟悉Wireshark并欣賞其實用性,您可能也會欣賞Sysdig對云安全的處理方式。
Falco,開源容器安全運行時代理,超前于時代。盡管如此,它仍然是容器工作負載中 eBPF安全實現的默認選項,這一地位正在迅速獲得認可。Sysdig面臨著首先開發一個強大的代理的挑戰,隨后在最初低估市場快速演變后添加無代理的CSPM功能。實踐者并未完全理解Sysdig的代理與市場上其他選項相比的價值。不幸的是,許多安全團隊首先購買了CSPM解決方案,后來才意識到像Sysdig這樣的具有容器洞察的工具才是他們真正想要的。
Sysdig的真正優勢在于其實時上下文監控。雖然傳統安全解決方案提供靜態快照,但 Sysdig使用Falco持續監控關鍵漏洞和威脅。例如,其檢測引擎實時流式傳輸洞察,允許團隊在實踐中檢測云原生威脅,如風險身份行為或配置漂移。Sysdig在Kubernetes、容器和混合云安全方面的專業知識使其在傳統安全提供商中具有顯著優勢。
隨著市場將焦點從無休止的掃描轉向主動阻止攻擊,Sysdig正處于一個關鍵的轉折點。一方面,eBPF及類似技術的創新迅速發展,使得Falco面臨被視為過時的風險。另一方面,Sysdig仍然是最成熟的以運行時為重點的解決方案,使其在不斷變化的環境中處于有利位置。
Upwind
Upwind成立于2022年,是最新的云安全廠商之一。盡管之前有許多解決方案,Upwind的價值主張集中在提供實時云安全,利用運行時數據進行威脅檢測和響應。他們的產品圍繞一個基于eBPF的代理(擴展伯克利包過濾器)構建,允許進行深層內核級監控和洞察,而不會帶來傳統代理通常相關的性能開銷。
Upwind對市場的看法是,CNAPP需要一個面向運行時的改進。隨著CNAPP功能的膨脹,Upwind認為以結果為導向的安全本質是面向運行時防御的。對Upwind而言,這意味著利用eBPF技術在內核中監控和過濾系統活動、網絡流量和文件訪問,而不會對性能產生重大影響或引發內核崩潰。我們應該注意到,Upwind在運行容器和Kubernetes的環境中表現出色,既能可視化這些關系,又能進行威脅檢測。它專注于通過建立網絡流量、文件操作和進程執行的基線行為,實時檢測異常。例如,它可以發現不尋常的活動,如錯誤加載的庫,這可能是系統被攻破的跡象。
與其他CDR廠商不同,Upwind最近宣布了他們的無代理云掃描器。這對于初步接觸或獲取客戶非常有用,特別是對于那些猶豫不決是否部署代理的公司。這對于使用無服務器容器、函數和虛擬機(VM)的客戶來說將至關重要。此外,與其他CNAPP不同,他們在API安全方面進行了重大投資,利用他們的網絡數據——成為獨立運行時API安全的真正競爭者。
現在,Upwind提供無代理和基于代理的解決方案,能夠滿足多樣化的客戶需求。他們還通過利用構建時數據在CI/CD流水線中整合安全性,以增強整體云安全性。他們可以自動發現并關聯CI/CD事件與運行時數據,提供對漏洞、風險和問題根本原因的端到端視圖。
他們的主要關注點是以結果為導向,為中型市場公司提供真正的安全性,這些公司代表了他們的核心客戶群。這些客戶通常尋求工具整合和成本節約,使得Upwind的綜合平臺特別具有吸引力。中型市場是Upwind看到最多吸引力和增長的地方,定位為提供整合解決方案的公司,而不是碎片化的工具基礎方法。Upwind還在尋找尖端運行時安全的企業買家中找到了吸引力,這些買家通常將Upwind視為更大工具套件的一部分。
總體而言,我們喜歡Upwind在CNAPP領域提供完整解決方案庫的方法。下一個關鍵問題將是他們在中型市場的GTM執行能力如何。幾乎每個新的云安全提供商都在糾結“我們是Wiz的競爭者嗎”的問題,只有Upwind敢于說:“是的,我們更優秀。”
Sweet Security
Sweet Security專注于云原生運行時安全。他們的主要產品利用eBPF傳感器,旨在幫助組織實時檢測和主動響應云威脅。
Sweet Security的一個關鍵差異在于其多層次的云安全方法,該方法在整個云堆棧中集成了保護措施——從基礎設施和應用程序到API、身份和網絡交互。這種整體覆蓋確保了在技術堆棧的不同層面上提供全面的實時保護。結合每個層面內強大的異常檢測引擎,Sweet Security承諾在云工作負載中提供全面的運行時安全。
多層次的方法意味著Sweet Security適合多個類別:
- 云檢測與響應(CDR):Sweet Security的云檢測與響應解決方案監控和分析來自所有主要云服務提供商(AWS、GCP、Azure、Oracle)的日志,以及托管服務和虛擬機,以在私有、公有、混合和多云環境中提供實時攻擊防護。
- 工作負載保護:Sweet Security使用eBPF傳感器監控云資源,如主機和虛擬機,檢測任何異常或漏洞。他們通過可達性分析進行漏洞掃描,并有獨特的創新將工作負載和云告警結合在一起。
- 應用檢測與響應(ADR):應用層檢測能力仍在實驗中,但Sweet對功能執行和代碼上下文有足夠的可見性,成為少數幾個適合這一類別的以云為中心的公司之一
- 網絡檢測與響應(NDR)和API安全:Sweet Security的行為分析提供了網絡活動的基線監控,包括第7層交互,這有助于識別零日攻擊和可能被忽視的可疑網絡模式
- 漏洞管理:Sweet Security提供由eBPF代理驅動的強大可達性數據,用于評估漏洞,依據關鍵標準——例如它們是否加載到應用程序內存中、是否被執行、是否面向公眾、是否可被利用或是否可修復——以聚焦于真正重要的威脅。
Sweet Security特別強調非人類身份(NHI),例如服務賬戶、API密鑰和OAuth令牌,以在運行時檢測可疑活動。他們對這些工作負載身份有深入的可見性,這些身份正成為安全領導者日益關注的焦點。
在Sweet Security的安全平臺核心是一個信念:運行時是一種更好的云安全方式。他們對競爭對手的關注較少,更多的是關注為大大小小的團隊提供真正的安全價值。
ASPM主要廠商
Jit:ASPM的代碼示例
在我們的初步報告中,我們討論ASPM解決方案及其在更廣泛的代碼到云生態系統中的作用。Jit是一個ASPM(應用安全態勢管理)平臺,旨在使開發人員能夠掌握其代碼的安全性。這是“安全左移”背后的方法論,通過將OSS和商業掃描器(用于SAST、DAST、SCA、秘密檢測、CSPM等)的能力直接整合到開發人員的工作流程中來實現。簡單來說,Jit建立在這樣的前提上:開發人員對安全編碼實踐的掌握只有在他們不需要離開編碼環境時才能實現。
在整體安全態勢的開發和推進方面,Jit通過其“安全計劃”解決軟件供應鏈安全問題,這些計劃將安全措施與業務目標和要求對齊。這些計劃指導用戶實現特定的業務目標,同時確保認證準備就緒。一些顯著的計劃包括AWS基礎技術評審(FTR)、Jit MVS for AppSec和OWASP十大合規框架。
一個關鍵的差異化因素,特別是對于受監管環境中的組織,Jit不會從客戶的SCM環境中提取源代碼。相反,Jit直接在客戶的SCM中執行所有安全控制(例如,使用 GitHub Actions)。此外,鑒于在當今經濟中未來保障的重要性,Jit構建了一個開放且可擴展的平臺,允許用戶集成自己的安全工具,而不是開發專有工具。這確保了一個針對個體需求量身定制的統一安全體驗。
CSPM作為ASPM的一部分
一個新興趨勢是,隨著安全左移的興起,越來越多的公司將CSPM(云安全態勢管理)集成到他們的產品中。Jit也不例外。
Jit的CSPM與Wiz、Prowler等集成,通過幫助云安全團隊和開發人員維護安全合規的云環境,增強其安全套件。它自動化關鍵安全任務,持續監控云基礎設施中的錯誤配置、政策違規和合規缺口,覆蓋AWS、Azure、GCP及其他云服務提供商。
連接代碼到云端
在云原生企業部署多個微服務時,安全團隊常常難以確保來自不同開發團隊的代碼符合安全標準。通過將Jit的自動代碼掃描和漏洞檢測集成到CI/CD管道中,云安全團隊可以確保在所有開發團隊中一致地應用安全措施。
與其在部署后等待安全檢查和修復,Jit在開發者的工作流程中原生集成,確保在代碼開發和推送時進行安全檢查、漏洞掃描和配置審計。
在快速發展的DevOps環境中,快速開發周期已成常態,手動安全檢查會造成瓶頸。Jit幫助開發人員在推送新功能時自我管理安全檢查,通過自動化在代碼提交時強制執行的預先批準的安全政策。這種方法減輕了安全團隊的負擔,同時確保合規性和部署速度。
其他主要廠商包括Cycode、Aikido、Ox、ArmorCode和Apiiro。在早期的文章中,Francis曾撰寫關于Cycode和Aikido的內容。
云檢測與響應 (CDR)主要廠商
云檢測與響應工具能夠檢測常見云工作負載(容器和Kubernetes)中的惡意活動,并將其與其他云服務進行上下文化,從而在云環境中創建單一的攻擊路徑。
Armo
ARMO對Kubernetes生態系統的承諾是無與倫比的,他們的開源項目Kubescape已捐贈給云原生計算基金會(CNCF)——它仍然是了解Kubernetes環境安全態勢的起點。最近,ARMO在云安全領域取得了重大進展,并擴展了其eBPF代理的功能,以實現可操作的修復和檢測能力。雖然ARMO將繼續專注于Kubernetes解決方案,但隨著云的運行時方面日益重要,他們的定位也非常合適。
Rad Security
Rad Security在CNAPP中是一個令人驚嘆的增長故事。聯合創始人Jimmy Mesta撰寫了Kubernetes的OWASP前10名,只有ARMO對云計算核心的安全承諾與Rad Security一樣真誠。現在,從重新品牌到使用eBPF代理進行基線,Rad Security更加全面地關注運行時云安全。Rad Security繼續擴展其云運行時保護能力,同時保持DevOps團隊長期以來喜愛的Kubernetes創新。隨著市場繼續尋找與其CSPM的運行時補充,Rad Security在成為該解決方案方面處于良好位置,同時為其基線方法產生了很多關注。
其他主要廠商包括之前提到的Sweet Security和Upwind,以及在無代理方面的 Stream和SkyHawk。
應用程序檢測與響應 (ADR)主要廠商
應用檢測與響應(ADR)為安全團隊提供了對其應用程序的可見性、檢測和響應。它向安全團隊展示用戶如何與其應用程序交互、服務之間的通信、應用程序如何與其托管容器交互,并提供工具,使非開發人員能夠調查和響應應用程序威脅。它們檢測和關聯常見的應用程序攻擊,如OWASP前10名、欺詐和濫用,以及利用脆弱庫的攻擊。請在此閱讀Latio對ADR的全面探討。
Miggo
Miggo是ADR領域中為數不多的產品之一,通過利用分布式追蹤來全面審視應用程序。他們使用現有的遙測工具,或利用“無代碼”部署方法來收集分布式追蹤數據。然后,他們將這些數據應用于安全用例,檢測通常對安全運營中心(SOC)不可見的攻擊,例如注入或跨站請求偽造嘗試。他們的主要差異在于能夠向您展示跨應用服務的完整攻擊場景。
Oligo Security
Oligo Security采取了一種優雅的方法,將檢測能力擴展到應用程序中,而無需任何應用級別的儀器。它們將庫活動基準化為所進行的系統調用類型,然后可以在運行時檢測偏差,從而實現強大的零日漏洞檢測。除了檢測,像Oligo這樣的工具還具有獨特的能力,可以阻止函數級別的執行——及時阻止漏洞攻擊。
Raven.io
Raven采取了通過監控應用程序和庫活動來尋找應用程序攻擊的方法。他們能夠檢測針對庫的應用程序漏洞,并利用運行時執行數據來過濾漏洞噪聲。Raven在最大化他們在運行時收集的數據方面采取了更全面的方法,但也可以直接阻止主動攻擊,或主動修補漏洞。
Kodem
Kodem在ADR領域構建了自己獨特的解決方案,專注于本地應用上下文,但更強調他們的運行時檢測機制如何用于減少漏洞誤報。他們是唯一將這種可達性方法應用于SCA和SAST的運行時掃描器。
其他主要廠商包括Contrast、Traceable和Datadog。
Remediation
Dazz Security
盡管許多公司在云原生應用保護平臺(CNAPP)上進行了大量投資,但他們常常難以管理由云日志或安全工具本身生成的大量告警和問題。Dazz提供了解決方案:一個與廠商無關的平臺,旨在映射代碼到云的管道,關聯安全數據,并在開發者的工作流程中無縫推動修復。
Dazz的核心差異化因素
Dazz的核心是其專利能力:
- 數據關聯和根本原因分析——Dazz擅長對來自不同開發、基礎設施和安全工具的數據進行標準化和關聯。通過這些關聯數據,Dazz將告警直接鏈接到其根本原因。
- 修復指導和修復方案——Dazz為開發者提供安全問題的洞察、推薦的修復方案和加快修復的行動力。
統一修復與應用安全程序管理
許多企業使用像Wiz和Palo Alto這樣的CNAPP工具,這些工具在可見性和檢測方面表現出色,但在減少告警噪音和實現高效修復方面往往不足。Dazz與領先的CNAPP 平臺無縫集成,并通過來自開發、應用安全測試(AST)和其他工具的額外上下文進一步對其進行上下文化。
Dazz通過其專利的數據關聯引擎彌補了這一差距,該引擎專門針對應用安全態勢管理(ASPM)量身定制。通過攝取和關聯企業云基礎設施和應用層的安全數據,Dazz分析大量警報并將其與關鍵根本原因關聯起來,從而使安全團隊能夠優先處理最關鍵的漏洞。
根本原因分析:修復重要問題
Dazz的高級根本原因分析能力幫助組織高效地解決漏洞。一個突出的特點是Dazz對Terraform和Docker的根本原因分析,使DevOps團隊能夠直接追溯云基礎設施漏洞到源代碼。這顯著減少了修復時間,并允許開發人員在常規工作流程中解決問題,最小化干擾。通過專注于修復CVE、錯誤配置和暴露風險,Dazz確保DevOps團隊能夠有效修復那些帶來最大風險的漏洞。
Dazz正在看到對其ASPM功能的需求不斷增加,因為企業尋求能夠融入其開發工作流程的工具。Dazz提供去重、修復指導和告警聚合,使其成為希望簡化安全操作的組織的首選解決方案。
該領域的其他主要廠商包括面向應用的解決方案,如Phoenix和Armorcode,面向云的解決方案,如Opus、DevOcean和Zafran,以及通用漏洞管理提供商,如Vulcan和Brinqa。
市場其他部分廠商
一些我們沒有重點介紹的廠商,但未來肯定會涵蓋他們。然而,我們想要承認有一些重要的廠商,如Aqua Security、Lacework(Fortinet)、Datadog、Checkpoint Cloud Guard、Tenable、Qualys 和Caveonix Cloud等,值得一提。
總結思考
我們相信,關于CNAPP的討論將在未來幾年繼續發展,本報告的目標是幫助框定這些未來的發展。盡管存在一些挫折感,CNAPP仍然主導著網絡安全的討論:安全團隊表示他們希望減少工具,同時抱怨這些龐大臃腫的平臺有多嘈雜。大型CNAPP擁有資金和分發渠道,但初創公司則擁有創新。
向前看,我們認為行業面臨一些關鍵問題。
- 安全團隊真的準備好超越“僅僅可見性”了嗎?早期的運行時轉變并未贏得市場,但也許安全團隊終于準備好認真對待生產安全。
- 你能在同一平臺上為開發者和SOC設計用戶體驗嗎?開發者和SOC分析師很少在任何事情上達成一致,除了他們都煩惱于必須如此頻繁地互相打擾。
- 最后,關于平臺整合的討論仍在不斷發展。客戶是否希望有一個同時具備代理和無代理功能的產品,由同一廠商提供所有的應用安全和安全運營中心工具于一個解決方案中?還是客戶對最佳產品的解決方案感到滿意?左右兩側的整合,以及應用、云和運營團隊的整合正在進行。所有的用例真的可以在一個地方得到覆蓋嗎?它們應該被覆蓋嗎?
最終,解決這些問題的廠商將繼續贏得市場。無論如何,本報告旨在解釋我們是如何走到這一步的,以及那些通過讓我們的云變得更加……安全——或者至少更嘈雜——而賺取大量利潤的廠商。
原文鏈接:
https://softwareanalyst.substack.com/p/redefining-cnapp-a-complete-guide