重塑运行时安全，Wiz Defend能否代表云安全运营的未来？

读者朋友们，

就在一年多以前，我详细介绍了 Wiz 如何超越云安全竞争对手，不仅成为全球发展最快的网络安全公司，而且成为有史以来发展最快的科技公司之一。故事的结局出乎所有人的意料（如此之快）：谷歌以 320 亿美元的价格收购了这家公司，这是历史上最大的网络安全交易之一。

但是，童话般的结局（有待联邦通信委员会批准）之后会发生什么呢？

在我看来，现在开始了更艰难的篇章：从类别创建者转型为主要平台。Wiz 不再只是想赢得云计算可视性（CSPM），而是直奔安全领域最有防御能力的市场之一：端点检测与响应（EDR），这个市场已经造就了像 Crowdstrike 这样价值 1000 亿美元的公司！

但按照典型的 Wiz 风格，他们的目标不是传统的端点。相反，他们推出了 Wiz Defend 这一新产品，旨在为云工作负载、容器和短暂基础设施带来 "EDR 级威胁检测"。简而言之：这就是为云运行时重新设计的 EDR。让我们明确一点：这并不是什么全新的东西，因为我在之前的报告中已经对 Palo Alto 的 Cortex Cloud 进行了全面分析。

Wiz 的行动是对 CrowdStrike 和微软等现有公司的直接挑战，但其目标是云。这也是一种战略赌注，即未来的检测和响应将不会在笔记本电脑上进行，而是将在云原生基础设施中进行。这关系重大，因为我们知道 CISO 最大的预算就在 SOC 上（去问问 CISO 他们在 SIEM + EDR 工具上花了多少钱）。但这就是为什么我们知道，谁能主导云中的运行时可视性和威胁响应，谁就能定义 SOC 运营的下一个十年。

为什么要编写这份报告

在过去的一个月里，我们与 Wiz 的几位联合创始人和许多高级管理人员进行了交谈，本报告是探讨云运行时安全演变的两部分系列报告的第二部分（见第一部分）。第一部分分析了业界从无代理到混合检测策略的转变，第二部分则重点关注 Wiz 新推出的运行时产品 Wiz Defend。本部分探讨了 Wiz Defend 的与众不同之处，并认真研究了其优缺点，以评估 Wiz 是否能在竞争更为激烈的云运行时安全领域复制其 CSPM 的成功。

主要观点和报告摘要

云检测和响应（CDR）的出现：正如我们所讨论的，云安全已经超越了静态错误配置扫描。云检测和响应（CDR）引入了跨身份、工作负载、配置和网络活动的实时警报和行为关联。这种融合使安全团队能够更快地检测、调查和修复威胁，并大大降低了噪音。Wiz Defend 将运行时检测集成到更广泛的 CNAPP 平台中，体现了这一转变。

Wiz Defend：混合检测突破：Wiz Defend 是在 Wiz 收购 Gem Security 之后推出的，它以无代理 CSPM 为基础，引入了混合检测方法。基于 eBPF 的轻量级传感器可捕获深度运行时信号，而 Wiz 安全图谱可将这些信号与控制平面和身份活动关联起来。这样就能在不牺牲部署灵活性的情况下实现基于行为的检测，而这正是云运行时市场的一个明显优势。

真实世界的影响：报告重点介绍了 SeleniumGreed 和 IngressNightmare 等真实世界中的攻击，展示了 Wiz Defend 是如何检测和阻止凭证盗用、反向外壳和 RCE 利用等恶意活动的，同时保持较低的 CPU 开销。

Wiz + Google = Cloud SOC：在被 Google 收购之后，Wiz 发布了 Defend 的 GA 版本。这为与 Google SCC、Chronicle SIEM 和 Mandiant IR 的深度集成打开了大门。通过提供端到端云 SOC 平台，这些组件将重塑安全运营的未来。其愿景是通过将态势、运行时和威胁情报整合到一个统一的指挥中心，与微软 Defender 相媲美。

Wiz Defend 的优势和机遇领域：根据我对该解决方案的审查，Wiz Defend 的优势在于其统一平台、混合检测灵活性和跨云关联功能。其最大的机遇领域是扩大对 Windows 环境的运行时支持（目前处于预览阶段），以及深化与 SIEM、XDR 和 SOAR 平台的直接集成。

Wiz Platform Playbook 的未来：云→代码→运行时：Wiz 的长期平台愿景远远超出了云态势管理。通过 Wiz Defend，该公司正在缩小 Wiz Cloud（其 CSPM 基础）与运行时和应用程序安全深层之间的差距。Wiz Defend 反映了云安全领域的关键转变：从态势到保护，从可见性到响应，从孤立警报到协作修复。随着 SOC 团队接受实时检测和行为分析，Wiz Defend 等平台正在帮助引导这一转变。然而，必须明确的是：这一过程需要时间。实现态势、运行时和响应的真正融合不会一蹴而就。

什么是CDR云检测与响应？

对于我的 SOC 读者或那些并非主要关注云的读者来说，CDR 被定义为在云环境中识别和缓解安全威胁或事件的过程。它包括实时监控、调查以及自动和手动响应行动。CDR 工具提供实时警报，并嵌入特定于云的上下文，以帮助安全运营团队确定修复工作的优先次序。这些工具还可以自动采取应对措施，例如隔离工作负载或创建隔离区。

Wiz 如何重塑无代理云安全的运营模式

正如我在第一部分中所讨论的，云安全最初依赖于传统的基于代理的工具，这些工具噪音大、笨拙，而且会产生过多警报。虽然 Orca 通常被认为是第一个无代理解决方案，但 Wiz 为许多企业引入了一种在操作上更有效的无代理 CSPM 方法。它从外部扫描云基础设施，在数分钟内识别出风险，如开放的 AWS 桶或配置不当的 Azure 防火墙，而不会中断运营。这些高度优先化的发现被纳入风险地图，使安全团队对其环境有了清晰的认识，并能在攻击发生前解决问题，强调预防而非反应。总之，Wiz 所获得的这种优势来自于通过将开发团队和安全团队聚集在一起并真正了解云来实现安全的民主化。

云运行时安全为何变得越来越重要

到 2024 年，95% 的企业依赖云计算，其中 44% 的企业在 2024 年遭遇云计算漏洞，通常是由于可预防的漏洞造成的。超过 70% 的云计算企业现在使用容器进行应用程序管理。安全信息和事件管理（SIEM）系统等传统工具在多云数据洪流中显得力不从心，而端点检测和响应（EDR）解决方案在跟踪动态工作负载（如容器、无服务器功能）方面能力有限。这种差距加剧了经济损失、监管处罚和声誉受损的风险，使 SOC 无处可逃。

因此，我们看到了近期攻击的新案例：

2024 年，亚太地区的加密劫持事件激增了 127%，攻击者劫持云资源来挖掘加密货币，通常以无服务器功能为目标。

欧洲、中东和非洲地区利用被盗凭证进行的身份攻击上升了 89%。

谷歌的 Mandiant 报告称，在 2024 年披露的 138 个漏洞中，70% 是作为零点漏洞首次被利用的，比往年有所增加。

到 2023 年年中，容器攻击激增了 50%，凸显了运行时安全漏洞，使攻击者得以渗透到实时工作负载中。

总体而言，这些事件凸显了单靠预防措施的局限性，因为许多威胁，特别是零时差威胁，只是在运行时才出现。与 CSPM 或 CWPP 不同，CDR 可检测并响应实时威胁，例如：在 8 秒内为亚太地区的零售商阻止恶意 Lambda 函数，保持 99.8% 的正常运行时间，或提供取证遥测以追踪攻击来源，从而在预防失败时支持合规性并减少损失。例如，Wiz Defend 可以将攻击从受攻击的容器映射到 S3 存储桶，从而提供完整的态势上下文。

云运行时安全的演变与 Wiz 正在调整其产品

近年来，我们看到了潮流的转变。在上一份报告中，我详细介绍了云安全在过去几年中的发展情况，如下图所示。

关于云计算运行时如何演变的更深层背景，有更多关于这一传统演变到这一新市场的细节。不过，我可以尝试总结一些要点。

云计算运行时安全的发展令人着迷，从端点检测和响应（EDR）开始，扩展到云工作负载保护（CWP），现在又被 Wiz Defend 等新平台重新定义。

在早期的云时代，企业试图通过在云环境中部署 EDR 工具（如 CrowdStrike 或 Palo Alto Cortex），将传统安全技术引入云中。这些基于代理的工具是为笔记本电脑和内部服务器等传统端点设计的。虽然它们提供了基本的运行时可视性，但它们从未针对云的短暂性、分布式和身份驱动特性而设计。EDR 对云原生服务、容器化基础架构、无服务器功能和控制平面活动的可视性非常有限。它们也无法将警报与态势或数据暴露联系起来，从而导致操作盲点和嘈杂的警报，无法帮助 SOC 团队确定优先级或全面了解新出现的威胁。

为解决这一问题，云安全厂商推出了云工作负载保护平台（CWPP）。CWP 代表了一种渐进式改进：它将安全性扩展到虚拟机和容器化工作负载，并引入了一些特定于云的集成。但是，这些工具仍然局限于单个工作负载的保护，通常需要代理。随着时间的推移，我们已经看到新的初创公司在构建 eBPF 技术，这些技术能够提供类似深度的分析，同时降低运营开销。

Wiz 平台战略

Wiz 已经计划将其平台从 Wiz Cloud 扩展到应用程序和开发人员安全，然后再扩展到安全运营。当 Wiz 引入 CWPP 并部署了 eBPF 传感器（一种 Linux 内核技术，能够以较低的开销（低于 2% 的 CPU）监控系统调用，并实时跟踪容器、虚拟机（VM）和无服务器功能）时，一些工作就开始了。

它能捕捉异常情况，如未经授权的扫描或文件篡改，警报延迟时间仅为 11 毫秒（据 Wiz 博客称）。该传感器还提供 Kubernetes 特有的功能，如文件完整性监控和漂移检测。这种混合模式功能强大，与传统的 EDR 相比表现出色，但 SOC 团队指出，他们需要可定制的规则和更快的遏制速度，以便更好地与他们的工作流程保持一致。

到 2024 年初，为了满足客户的这一需求，Wiz 以 3.5 亿美元的价格收购了在云事件响应和异常检测领域拥有深厚专业知识的 Gem 公司。2024 年 12 月，Wiz 推出了 Wiz Defend 公开预览版，将 CDR 集成到其 CNAPP 框架中。CDR 专注于实时威胁缓解，补充了 Wiz 对云、工作负载、Kubernetes 层和开发人员活动的全面可视性。借助 Gem 的异常检测功能，该统一平台将可疑活动（如异常虚拟私有云（VPC）流模式或身份和访问管理（IAM）角色升级）与工作负载遥测相关联，以检测加密劫持、勒索软件和容器逃逸等威胁。它根据实时威胁信号而非静态 CVE 分数确定修复的优先级，确保首先解决关键漏洞。

Wiz Defend

如今，Wiz Defend 是 Wiz 专为云环境设计的云检测和响应产品，旨在通过将跨层上下文与运行时信号统一起来，并将 SecOps、云安全和开发人员汇集到同一平台，以实现共同理解和更好的协作，从而重新定义企业如何在云中进行安全操作。

Wiz Defend 的基础来自于被 Gem Security 收购的团队。在被收购之前，Gem Security 是为数不多的认真对待云异常检测的初创公司之一，它不仅进行简单的日志解析，还围绕身份行为、流量数据和策略漂移建立了实际的启发式算法。这意味着不依赖于静态规则或跨云关联（如 Okta 到 AWS IAM 的滥用）的异常 VPC 流量警报等。

它为云安全操作提供了一种统一的方法，将 Wiz 云原生无代理检测的所有功能和代码到云的上下文与对 CSP 遥测的分析、来自 Wiz 安全研究团队的实时威胁情报以及来自 eBPF 传感器的运行时信号结合在一起，从而在云中提供完整的运行时保护以及更快、更高效的检测和响应。它被定位为一种解决方案，将取代以时间点信号为重点的传统 EDR 或主代理范例。据我所知，Wiz Defend 的目标是利用混合检测模型，将无代理云遥测（来自 CSP、IAM 日志、态势扫描和数据流）与可选运行时传感器相结合，在 Kubernetes、Linux 和 Windows（目前为预览版）上进行更深入的检测。

Wiz Defend 最吸引我的地方在于它与 Wiz 安全图谱的端到端集成，后者将运行时行为、配置漂移、漏洞和敏感数据暴露关联到一个单一的上下文视图中。它具有上下文优先、身份感知、工作负载无关性等特点，并由人工智能驱动的洞察力所驱动。

这一模式的核心原则以三大支柱为中心：

预防性安全，在代码开发过程中建立强大的基线；

主动安全，重点是在关键风险被利用之前将其降低；以及

拦截安全，可快速识别和应对新出现的威胁。

近期Wiz Defend 攻击示例

Wiz Defend：Selenium Greed威胁示例

Wiz Defend 将行为分析、数千种针对特定云 TTP 的内置检测、实时威胁情报以及代码到云上下文进行了强大的组合，从而消除了噪音，提供了清晰且按优先级排列的威胁视图。

Wiz 包含数千条内置检测规则，这些规则由 Wiz 研究团队不断更新。客户一直强调的一项功能是，可以根据组织需求添加自定义检测规则，并上传这些规则以实现多云覆盖和检测。

想象一下，攻击者的目标是在 AWS Kubernetes 环境中运行的 Selenium 服务。攻击者利用 Selenium 服务打开反向 shell，并在被攻击主机上建立立足点。

大多数解决方案在身份和数据风险可见性方面存在差距，或者需要分析师在多个平台之间切换来收集这些数据。然而，在 Wiz 中，所有上下文都通过人工智能辅助故事情节、Wiz 安全图和事件时间线清晰地呈现出来。交互式、可查询的人工智能聊天机器人进一步增强了这些功能，即使经验不足的分析师也能通过自然语言提问调查容器威胁。

部署在节点上的运行时传感器会立即检测到反向外壳，并向安全运营团队发出警报。如果以阻止模式运行，传感器会立即终止恶意进程，以阻止攻击。如果未对反向外壳启用阻止模式，且攻击仍在继续，Wiz 会继续检测每个后续阶段。

随着攻击的展开，Wiz 会识别攻击生命周期中每个阶段的威胁，让团队能够逐步遏制威胁行为者。如果攻击者继续从主机中渗出 AWS 凭据，他们可能会横向移动到控制平面，并最终从敏感的 AWS S3 存储桶中渗出数据。

当攻击者转移到控制平面时，Wiz 会将外渗尝试中使用的受损密钥与初始攻击中的目标计算节点关联起来。然后，它会向事件响应人员和 SOC 团队提供多种可行的遏制建议：杀死恶意进程、旋转被入侵的凭据、阻止对 S3 存储桶的公共访问，或修复配置错误的 Selenium 服务。

Wiz Defend 会自动关联 Wiz 传感器（警报旁的蓝色运行时传感器徽标表示）检测到的可疑进程执行，并按负责人进行整理。

Wiz Defend 的主要优势之一是其云原生响应剧本和自动化功能。它促进了 SecOps、云安全和开发团队在平台内的有机协作。它提供内置的一键式遏制操作，并允许团队使用 Python 创建自定义响应操作。这些操作可与内置或自定义检测规则相连接。

除了实时响应外，Wiz 还能让 SecOps 和开发团队主动协作，提高网络复原力。例如，在检测到 Selenium Grid 容器受到攻击后，Wiz 可以将问题追溯到用于构建映像的原始 Dockerfile。然后，它将为开发人员提供可操作的指导和一键式拉取请求，以修复漏洞、重新测试和重新部署更新后的容器。

Wiz Defend 的强大功能

根据我收到的演示和我所做的分析，Wiz Defend 产品具有以下几项强大功能：

代理和无代理灵活性

Wiz Defend 的混合检测方法通过将无代理遥测与可选的运行时传感器相结合，为跨多云环境的云配置、身份、数据流和控制平面活动提供即时、低摩擦的可见性。无代理层可实现快速入驻和广泛覆盖，而无需部署开销。运行时传感器（例如，Linux 基于 eBPF，Windows 处于预览阶段）增加了深入的进程级遥测和行为检测功能，可实现高保真威胁识别。混合模式允许 Wiz Defend 将静态态势与动态运行时活动关联起来，从而实现上下文警报、更好的分流和实时威胁检测。这为客户提供了根据风险、架构和运营成熟度逐步扩大覆盖范围的灵活性。既有基于传统虚拟机的工作负载，也有现代容器或 Kubernetes 的企业可以无代理地使用 Wiz，并在需要时部署代理，由单一厂商提供灵活性。

利用 Wiz Graph的力量

我喜欢的领域之一包括他们如何利用 Wiz Graph 来更好地丰富上下文。安全图谱每天处理 12 亿个资产关系，将这些见解联系在一起，映射云资产间的关系，从而追踪攻击路径和潜在的爆炸半径（例如，通过 GraphQL 查询，如 "哪些生产工作负载暴露了公共 API？"，从被攻击的容器到 S3 存储桶）。Gem 的实时日志分析和 Wiz 独创的 eBPF 传感器的运行时监控增强了大部分功能。当公司想要部署代理时，最重要的因素之一就是了解其容量限制和运行开销。据我所知，eBPF 传感器使用 kprobes，以 11ms 的警报延迟跟踪系统调用（根据 CNCF Benchmark 2024，超过 Sysdig 的 47ms），精确检测勒索软件或未经授权的访问，并将开销保持在 2% 以下。

Wiz 行为基础强大

我后来发现了一个有趣的功能，那就是 Wiz Defend 将跨层遥测（控制面事件、身份日志、网络流、数据面活动和 ebpf 驱动的运行时信号）摄入到上文讨论的 Wiz 安全图中，并通过统计得出每个客户的云足迹所独有的 "正常 "模式。随着新资源的启动或使用模式的变化，这些基线会自动重新校准，确保异常情况反映的是真实的偏差，而不是陈旧的阈值。

Wiz 以其图形为基础，将统计异常检测算法（用于捕捉偏离既定基线的情况）与其研究团队编写的数以千计基于 TTP 的规则驱动检测相结合。每个警报都通过实时威胁情报和代码到云的上下文进行了丰富，因此异常情况不仅会被标记，还会根据严重程度进行评分，映射到 MITRE ATT&CK，并根据潜在爆炸半径进行优先级排序。这是一项非常出色的功能，可以减少困扰 SOC 团队的误报数量。

开箱即用的检测规则

传统 SOC 团队面临的最大障碍之一是不了解如何为云工作负载编写检测规则，因为这不是他们的专长。然而，Wiz 将这一能力放在了首位。Wiz 汇集了数以千计的策划规则（3,000 多条）、自定义运行时策略和威胁研究。这种开箱即用的功能使 Wiz Defend 能够提供数千条高保真的、经过研究策划的检测规则，涵盖错误配置、IAM 异常、数据访问异常、行为 IOC 等。此外，客户还可以编写由 eBPF 传感器实时评估的定制运行时规则，以捕捉特定环境的威胁载体（如专有服务、行业特有风险或 VCS 到云工作流）。这种双重方法既能实现广泛的云原生覆盖，又能实现深度的客户定制检测。

工作量与云检测相关性

由于 Wiz 的云原生基因，他们开发出了一种以统一方式将云工作负载与云控制平面连接起来的方法。大多数工具要么在工作负载层面（如容器中的可疑进程）发出警报，要么在云控制平面层面（如来自可疑 IP 的 S3 访问）发出警报。很少有工具能将二者结合起来，更少工具能以正确的方式将二者结合起来。

Wiz Defend 引入了一种调查图，可将不同环境中的这些信号关联起来，从容器中的运行时进程一直到 S3 读取等云活动。现实世界中的 SOC 团队需要这种跨层可见性来了解云原生攻击的完整杀伤链。虽然这种相关性并不像直接因果关系那样紧密，但它是根据资产关系推断出来的。即使是流程、用户和云资产之间的这些推断关系也使 Wiz 领先于大多数传统 CNAPP 和 EDR。

混合检测（无代理 + 传感器）

即使没有完整的 Windows 运行时，它也能提供一些基线可视性。该解决方案强调减少人工工作量和消除噪音，通过自动化和根本原因分析实现安全和开发团队之间的快速协作。Wiz 声称，该解决方案有了重大改进，包括提高了云工作负载的可视性，加快了威胁检测和响应速度，即时了解零日威胁，并将调查和修复工作减少了十倍。

云响应补救

随着时间的推移，Wiz 需要具备云原生 AI-SOAR 修复能力，能够让 SOC 团队直接从云警报中采取响应行动，而无需等待人工干预或外部自动化平台。这些行动，尤其是 IAM 角色降级和会话终止，与云漏洞中占主导地位的以身份为中心的攻击直接吻合。虽然其他竞争对手也有类似的操作，但在 Wiz 中原生具备这种功能将是快速有效遏制攻击的关键。Wiz 还将继续进一步加强其研究机构。虽然 Wiz Defend 可以生成警报，但 SOC 团队通常依赖 SIEM 或 XDR 平台进行深入调查和响应工作流。Wiz 必须在与 SOC 平台深度集成的同时保持其强大的云基因，并在两者之间找到平衡点。

未来值得关注的领域、改进措施和路线图

Windows 运行时环境（与 Linux 相比）

Wiz 目前在 Linux 和 Kubernetes 原生环境中展示了强大的能力，为虚拟机中的 Linux 工作负载、在 Kubernetes 上运行的容器以及基于 Linux 操作系统的无服务器功能提供深度运行时可视性和全面的基于传感器的覆盖。

Windows 运行时覆盖范围目前处于预览阶段，表明正在对部分企业客户进行测试。其功能尚未达到与 Linux 功能同等的水平。长期愿景是为基于 Windows 的云工作负载提供同等支持，但目前正在谨慎地分阶段推出。虽然运行时传感器模型正在利用 Linux 的 eBPF 等技术进行扩展，但由于固有的操作系统差异（如 Windows 中没有 eBPF），Wiz 团队必须采取分阶段的研究方法来支持 Windows。

许多大型企业，尤其是银行、政府、零售和制造等行业的企业，都在混合云环境下运行，并混合使用 Linux 和 Windows 工作负载。CrowdStrike 和 Palo Alto Networks（拥有成熟的 Windows EDR）等竞争厂商目前为 Windows 环境提供更广泛的运行时功能。在安全工具领域，工程开发的速度往往被低估，因为功能的推出可能需要很长时间。Wiz 在集成 Gem 的检测功能、开发运行时可视化和仪表板以及发布 Windows 代理预览版方面的快速进展表明，Wiz 在组织结构上进行了强有力的调整和投资，这也向客户和竞争对手表明，Wiz 的雄心壮志不仅仅局限于云可视性，而是要成为 SOC 领域的重要一员。

检测相关性

Wiz 开发的相关性调查图功能强大，胜过许多竞争对手，但必须注意的是，虽然相关性检测功能强大，但不准确的相关性可能会造成损害。如果 SOC 分析师错误地认为不相关事件之间存在联系，就会导致浪费时间调查错误线索，并有可能忽略真正的威胁。Wiz 目前根据资产关系而非直接活动链来显示相关事件，这可能会限制分析师对这些警报的信任度。

Wiz 需要注意来自传统厂商和新兴初创企业的竞争压力

虽然 Wiz Defend 代表着向统一的云原生运行时安全的引人注目的转变，但它也进入了一个既有根深蒂固的现有厂商又有敏捷的后起之秀的竞争格局。CrowdStrike 、Microsoft Defender for Cloud 和 Palo Alto Networks 等传统端点安全厂商拥有强大的内部部署能力和 SOC Threat Intel 背景，如上文所述，它们拥有成熟的基于代理的 EDR 解决方案，可为内部部署工作负载提供深度遏制和策略执行。然而，更紧迫的可能是像 Upwind、Armo 这样专为这一专业领域打造的新兴初创公司的出现。

不过，Wiz 的主要优势在于它比许多竞争对手更具有云原生基因，许多公司在开始云支出时都会先进行态势/合规/漏洞扫描，然后再扩展到运行时安全。

然而，随着运行时安全类别的扩大，Wiz 将需要应对这种双重压力：既要抵御拥有更广泛平台集成和成熟端点控制的现有厂商，又要与围绕身份感知检测、应用层遥测或漏洞后修复自动化而不断创新的利基厂商区分开来。

SOC与云的融合任重道远

尽管 Wiz 明确努力通过 Wiz Defend 统一安全运营和云工程，但 SOC 和云团队之间的真正融合仍是一个长期愿景。组织孤岛、不同的工具集和不匹配的响应工作流程继续在负责云态势的基础架构团队和专注于威胁检测和事件响应的 SOC 分析师之间制造摩擦。即使 Wiz 通过安全图谱和协作工具（如修复 PR 和 Playbook）提供了共享上下文，许多企业仍将云错误配置、运行时警报和 IAM 暴露视为由不同团队处理的独立工作流。此外，传统的 SOC 基础设施（SIEM、SOAR 平台和事件升级流程）往往缺乏所需的敏捷性和上下文感知能力，无法对实时云原生检测进行摄取并采取行动。在实践中，虽然早期采用者可能会通过跨职能事件响应或共享仪表板来试行这种融合，但企业环境的主流采用可能会逐步发展。这种动态加强了对 Wiz Defend 等工具的需求，即保持模块化、与传统 SOC 生态系统的互操作性以及足够的灵活性，以支持态势、运行时和响应操作之间的分阶段集成。

Wiz Defend 的未来如何与谷歌的 SecOps 雄心壮志相联系

Wiz 的云原生检测平台与谷歌云的安全指挥中心 (SCC) 以及 Mandiant 的事件响应和威胁情报能力的潜在整合，标志着在构建下一代运行时安全和云原生 SOC 基础设施方面向前迈出了一大步。Wiz Defend 通过其混合的无代理和运行时传感器模型带来了云环境的深度遥测，并由 Wiz Security Graph 统一。这允许跨工作负载、身份和错误配置进行实时检测、态势关联和上下文警报。这种类型的集成解决了以往分散在多个工具中的差距。

谷歌的 SCC 是 GCP 客户的基础控制平面可见性层，但它缺乏跨多云环境的全方位运行时威胁检测。Wiz 可以将实时、工作负载级洞察力和调查工具与完整的云上下文结合到 SCC 中，从而缩小这一差距。这就有效地将其从以态势为重点的仪表板转变为云检测和响应（CDR）指挥中心。Wiz 能够显示高保真的运行时检测结果，并丰富漏洞和数据暴露的内容，从而大幅提高 SCC 的信噪比，加快安全成果的实现。

从战略角度来看，这一组合也解决了谷歌的关键弱点。长期以来，谷歌在防御性基础架构和零信任工具方面一直很强大，但却一直在努力构建一个具有完全凝聚力的多云、上下文丰富和可用于 SOC 的云安全平台。Wiz 带来了产品的成熟度、可用性和多云覆盖范围。谷歌带来了基础设施、人工智能和 ML 资源，以及 Mandiant 全球事件响应实践的影响力。这一合并将产生一个可与微软的 Defender、Sentinel 和 GitHub 组合相媲美的平台，但该平台专门针对需要深度运行时覆盖、强大的上下文、快速调查工作流和本地 GCP 绑定的云原生 SOC 团队进行了优化。

总结：Wiz Defend和云运行时安全的长期博弈

对于正在努力应对以云为中心的实时威胁的复杂性的安全运营中心（SOC）而言，Wiz Defend 代表着向前迈出的重要一步。该平台将运行时检测与态势、身份和工作负载上下文整合在一起，并通过 Wiz 安全图谱将所有内容拼接在一起，从而为减少噪音、加快响应以及推动安全、云和开发团队之间的协作奠定了坚实的基础。

Wiz 不仅仅是推出一项功能。它正在重新定义云安全运营的架构。传统的方法是以孤立的工具为基础，用于态势扫描、工作负载保护和事件响应，而这种方法正在被一种模式所取代，在这种模式中，上下文丰富的检测、实时分析和以开发人员为中心的修复汇聚到一个平台中。Wiz Defend 将无代理云遥测与轻量级运行时传感器相融合，将基础架构错误配置与实时攻击路径相关联，并使 SOC 分析师能够将事件追溯到引入风险的代码提交，从而体现了这一转变。

然而，前进的道路上并非没有挑战。SOC 和云安全功能的融合尚需时日，各组织的采用情况也不尽相同。Wiz 还必须与提供成熟 Windows 运行时功能的传统厂商以及在身份感知检测、运行时策略执行和自动修复等领域推动创新的新兴初创公司展开竞争。功能差距依然存在，但战略意图是明确的。Wiz 的目标是成为云原生 SOC 的运行时引擎。

因此，Wiz Defend 代表的不仅仅是产品的扩展。它预示着更广泛的行业演变已经开始。随着云原生威胁越来越复杂，实时关联云错误配置、运行时活动和开发人员意图的能力将决定下一代网络安全平台的领导者。

原文链接：

https://softwareanalyst.substack.com/p/runtime-security-in-2025-how-wiz

声明：本文来自安全喵喵站，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。