На аудите облачной инфраструктуры финтех-компании в начале 2026 года четыре CSPM-инструмента показывали compliance score выше 92%. Зелёные дашборды, минимум critical findings - красота. Ручная проверка IAM-политик выявила сервисный аккаунт с правами
sts:AssumeRole на production-аккаунт и неограниченным s3:GetObject без condition keys - готовый вектор для Data from Cloud Storage (T1530, Collection по MITRE ATT&CK). Ни одна платформа этот attack path не подсветила. Каждая проверяла конфигурации изолированно, без корреляции идентификационных цепочек. По данным CrowdStrike Global Threat Report 2025, число cloud intrusion-инцидентов выросло на 26% год к году, а 75% вторжений задействовали действительные учётные данные. Вот эта разница - между feature checkbox и реальным detection-покрытием - и определяет выбор cloud security платформ в 2026 году.Критерии отбора: почему эти платформы и что осталось за рамками
В обзор вошли пять CNAPP платформ, которые стабильно попадают в enterprise shortlist: Wiz, CrowdStrike Falcon Cloud Security, Microsoft Defender for Cloud, Orca Security и Prisma Cloud (Palo Alto Networks). Критерий включения - наличие AI-driven detection engine, поддержка мультиоблачных сред (AWS + Azure + GCP минимум), публичная документация по покрытию MITRE ATT&CK. Подробнее - в нашем обзоре мисконфигурация облака атаки.За рамками обзора остались:
- Fidelis Halo, AccuKnox, Lacework FortiCNAPP - ограниченное присутствие в enterprise-сегменте RU-рынка, меньше верифицируемых данных по detection
- Datadog Cloud Security, Splunk Enterprise Security - позиционируются как SIEM/observability-платформы с cloud-расширением, а не как CNAPP (по классификации Cloudaware)
- Check Point CloudGuard, Tenable Cloud Security, Qualys TotalCloud - рассмотрены в англоязычных обзорах, но не включены для сохранения фокуса на AI-корреляции
CSPM инструменты, CNAPP и CWPP - какой класс решает какую задачу
Путаница между классами решений - первое, что тормозит выбор. По данным Wiz Academy и AccuKnox, в 2026 году разграничение выглядит так:
| Класс | Фокус | Что детектит | Чего не видит |
|---|---|---|---|
| CSPM | Конфигурации и compliance | Открытые S3-бакеты, отсутствие шифрования, drift от baseline | Runtime-угрозы, lateral movement, identity chains |
| CWPP | Workload protection | Уязвимости в контейнерах, runtime-аномалии, malware в VM | Мисконфигурации IAM, network exposure |
| CNAPP | CSPM + CWPP + CIEM + KSPM | Attack paths, identity risk, code-to-cloud, runtime + posture | Зависит от реализации - не все CNAPP одинаково глубоки |
| CIEM | Identity и entitlements | Overprivileged roles, unused permissions, service account sprawl | Workload-уязвимости, network exposure |
| KSPM | Kubernetes-специфика | RBAC-мисконфигурации, pod security, network policies (соответствие Kubernetes STIG) | Non-K8s workloads, cloud-level IAM |
По оценке AccuKnox, CSPM как standalone-решение в 2026 году уже не справляется: изолированные findings не отвечают на вопрос "что атакующий реально может сделать с текущими привилегиями". CNAPP платформы пытаются закрыть этот gap через attack path analysis, но глубина реализации критически различается между вендорами.
Для SOC-команд ключевой вопрос другой: интегрируется ли платформа с существующим SIEM - будь то Splunk, Elastic SIEM 8.x+, Microsoft Sentinel, MaxPatrol SIEM или KUMA - для обогащения алертов облачным контекстом. CNAPP без SIEM-интеграции превращается в ещё один дашборд, за которым никто не следит.
AI-driven cloud security платформы 2026: архитектура, преимущества и ограничения
Trade-off таблица построена на основе публичной документации и данных из обзоров Cloudaware, Fidelis Security и Cycode.
| Критерий | Wiz | CrowdStrike Falcon Cloud | Defender for Cloud | Orca Security | Prisma Cloud |
|---|---|---|---|---|---|
| Архитектура | Agentless (API) | Гибрид (agent + agentless) | Нативная Azure + multi-cloud | Agentless (SideScanning) | Гибрид (agent + agentless) |
| AI-движок | Security Graph + attack path | Falcon AI + Charlotte AI | Microsoft Copilot for Security | Unified Data Model + AI | Prisma Cloud Copilot |
| Runtime detection | Контекстный (без inline blocking) | Kernel-level (Falcon sensor) | Через Defender plans | Snapshot-based | Agent-based |
| Identity risk (CIEM) | Graph-based, глубокий | USPM, кросс-доменный | Базовый (фокус Entra ID) | Integrated | Integrated |
| SIEM-интеграция | Webhook, API, Splunk, Sentinel | Нативная (LogScale, Splunk) | Нативная (Sentinel) | API, Webhook | Cortex XSIAM, Splunk |
| Compliance frameworks | 150+ | CIS, NIST, PCI, SOC 2, GDPR | CIS, NIST, PCI, HIPAA, GDPR | CIS, PCI, SOC 2, GDPR | CIS, NIST, PCI, SOC 2, GDPR |
| Ключевое преимущество | Скорость развёртывания, attack path depth | Runtime + endpoint в одном агенте | Нативная Azure-интеграция | Минимум operational overhead | Code-to-cloud, DevSecOps pipeline |
| Ключевое ограничение | Нет inline runtime blocking | Стоимость, боль с agent deployment | Слабее вне Azure | Snapshot = задержка detection | Высокий порог входа |
| Когда использовать | Быстрый старт, posture-first, мультиоблако | Runtime-first, уже есть CrowdStrike EDR | Azure-first организация | Минимум операционных затрат | Зрелый DevSecOps, shift-left |
| Когда НЕ использовать | Нужен inline runtime blocking | Нет бюджета на agent management | Мультиоблако без Azure-доминанты | Нужна real-time runtime protection | Нет DevOps-зрелости |
Теперь про AI-корреляцию - тут самое интересное. По данным Cloudaware, в 2026 году почти каждый инструмент сканирует - вопрос в том, может ли платформа объяснить, почему finding критичен в живом окружении. AI-движки платформ решают три задачи: приоритизация findings по exploitability и blast radius (а не только по CVSS severity), корреляция мисконфигурации + identity path + exposed workload в единый attack path, и remediation guidance - генерация конкретных IaC-патчей.
Wiz делает это через Security Graph. По данным Fidelis Security - анализирует связи между технологиями в облачной среде для обнаружения критических путей к компрометации. CrowdStrike связывает облачную телеметрию с endpoint-данными через единый Falcon sensor. Orca строит Unified Data Model на snapshot-данных - без агента, но с задержкой (и это боль, если вам нужен real-time). Prisma Cloud Copilot даёт conversational security insights, но глубина зависит от зрелости DevSecOps-процессов в организации. Defender for Cloud максимально эффективен в Azure через нативную интеграцию с Entra ID, а в AWS и GCP требует дополнительных усилий по настройке.
По данным Wiz Academy, Wiz к 2026 году защищает, по собственным заявлениям, половину Fortune 500; в марте 2025 Google объявила о сделке по приобретению Wiz за $32 млрд (на момент публикации сделка проходила антимонопольный review). Цифра впечатляет, но это показатель рыночного доверия, а не гарантия, что конкретно ваш kill chain будет покрыт.
Detection по MITRE ATT&CK: покрытие облачных TTP
Для SOC-команды критично понимать, какие конкретные облачные техники ATT&CK платформа детектит нативно, а где без SIEM-корреляции не обойтись.
| Техника ATT&CK | Wiz | CrowdStrike | Defender | Orca | Prisma |
|---|---|---|---|---|---|
| T1078.004 Cloud Accounts (Initial Access) | Identity graph | Runtime + identity | Нативно (Entra ID) | Identity analysis | CIEM module |
| T1580 Cloud Infrastructure Discovery | Аномалии API-вызовов | CloudTrail analysis | Activity logs | API audit | Cloud audit |
| T1685.002 Disable Cloud Logs (Defense Evasion) | Posture check | Runtime detection | Нативно | Posture check | Posture check |
| T1530 Data from Cloud Storage (Collection) | Attack path to storage | DSPM + runtime | Storage alerts | DSPM | DSPM |
| T1098.003 Additional Cloud Roles (Persistence) | Identity monitoring | Identity + runtime | Entra alerts | Identity analysis | CIEM |
| T1496.001 Compute Hijacking (Impact) | Workload anomaly | Runtime detection | Cost anomaly | Нет (snapshot only) | Runtime agent |
| T1578 Modify Cloud Compute Infrastructure | Config drift | CloudTrail + runtime | Activity logs | Config drift | Config drift |
Что бросается в глаза: ни одна платформа не покрывает все техники с одинаковой глубиной. CrowdStrike выигрывает на runtime detection (T1496.001, T1685.002) за счёт kernel-level агента, но требует развёртывания на каждом workload. Wiz сильнее в identity correlation (T1078.004, T1098.003), но без inline blocking не остановит атаку в реальном времени. Defender наиболее эффективен для T1078.004 в Azure-среде, а в AWS/GCP покрытие заметно слабее.
Для detection T1078.004 - Cloud Accounts, основного вектора по данным CrowdStrike (75% вторжений через valid credentials) - минимальный baseline SIEM-правил на стороне SOC:
YAML:
# Sigma-правило: подозрительный AssumeRole между аккаунтами
title: Suspicious Cross-Account AssumeRole
logsource:
product: aws
service: cloudtrail
detection:
selection:
eventName: AssumeRole
userIdentity.type: AssumedRole
filter_known:
requestParameters.roleArn|contains:
- 'known-service-role'
- 'terraform-deploy'
condition: selection and not filter_known
level: medium
От алерта до remediation: kill chain через cloud identity
📚 Часть контента скрыта. Этот материал доступен участникам сообщества с рангом One Level или выше
Получить доступ просто — достаточно зарегистрироваться и проявить активность на форуме
Получить доступ просто — достаточно зарегистрироваться и проявить активность на форуме
CrowdStrike Falcon при наличии агента на workload детектит шаги 4-6 через runtime telemetry, а через CloudTrail-интеграцию - шаги 2-3. Задержка - минуты. Но агент нужен на каждом workload, и тут начинается организационная боль.
Defender for Cloud в Azure-среде увидит шаги 1-3 через identity alerts и шаг 4 через diagnostic settings monitoring. В AWS покрытие существенно ниже - тут Defender ощутимо проседает.
Orca обнаружит posture issues (шаги 1, 3) при следующем snapshot-сканировании; runtime-шаги - нет. Snapshot-подход - это "расследование по фотографиям", а не наблюдение в реальном времени.
Свежие AWS Security Bulletins добавляют контекста: CVE-2026-13762 (CloudFront+WAF, remediated AWS-side) и CVE-2026-13763 (ALB+WAF, требует enable "Inspect after sufficient data" на target group) показывают, что даже managed-сервисы имеют уязвимости вне зоны покрытия CNAPP. А CVE-2026-13769 (insecure file permissions в AWS CLI до 1.44.78 v1 / 2.34.29 v2 на Unix-системах при default umask; remediation - upgrade CLI) напоминает, что posture management начинается с базовых конфигураций рабочих станций инженеров. Мониторинг облака для полноценной безопасности - это не только CNAPP, но и патч-менеджмент, отслеживание Security Bulletins и автоматизация cloud security на уровне CI/CD.
Чеклист оценки CNAPP платформы для SOC-команды
Перед выбором платформы для защиты облачной инфраструктуры SOC-команда должна закрыть конкретные вопросы:- Identity coverage: строит ли платформа identity graph с учётом non-human identities (service accounts, workload identity, federated roles)?
- Attack path depth: показывает ли цепочку misconfiguration -> identity -> exposed workload -> data, или только изолированные findings?
- Runtime vs posture: нужен ли inline blocking (agent-based) или достаточно posture monitoring (agentless)? Если есть production workloads с PII - runtime обязателен. Если задача - compliance и baseline hygiene - начинайте с posture.
- SIEM-интеграция: поддерживает ли push алертов в ваш SIEM с обогащением контекстом? Без этого алерты гниют в отдельном дашборде.
- Compliance mapping: поддерживаются ли фреймворки, актуальные для вашей юрисдикции? Для российских компаний - 152-ФЗ (с оборотными штрафами за утечку PII). Для международных - SOC 2, PCI DSS, GDPR. NIST SP 800-53 AC-1 (Access Control policy) - базовый ориентир для IAM governance.
- AI workload protection: покрывает ли платформа AI/ML-сервисы (SageMaker, Vertex AI, Azure ML)? По данным AccuKnox, compromised AI agents с broad access становятся "super-users" - это новый вектор 2026 года.
- KSPM: при использовании managed Kubernetes (EKS, AKS, GKE) проверьте соответствие Kubernetes STIG (DISA) и CIS Kubernetes Benchmark.
- Blast radius: умеет ли платформа рассчитывать blast radius с учётом зависимостей между сервисами?
- Remediation workflow: генерирует ли конкретный IaC-патч (Terraform, CloudFormation) или только текстовое описание?
- POC-критерий - один сквозной сценарий при пробном развёртывании: IaC-мисконфигурация -> deployed workload -> runtime violation -> SIEM alert -> automated ticket. Если pipeline не собирается за неделю в типовой среде - стоит пересмотреть приоритеты внедрения. Как пишут AccuKnox: "если вы не можете enforce и операционализировать - вы не контролируете".
За последние два года я настраивал CNAPP в восьми production-средах - от моно-AWS стартапов до мультиоблачных enterprise с 200+ аккаунтами. Паттерн один и тот же: команда покупает платформу, получает 12 000 findings в первую неделю, фильтрует до 500 critical, и... ничего не происходит. Findings гниют в дашборде, remediation ownership не определён, SIEM-интеграция настроена "потом".
Проблема 2026 года - не дефицит инструментов. Wiz, CrowdStrike, Prisma Cloud умеют находить мисконфигурации и строить attack paths. Проблема - отсутствие операционной модели, которая превращает finding в ticket, ticket в fix, fix в evidence для аудита. Без этой цепочки CNAPP за любой бюджет - генератор отчётов, которые один человек читает раз в квартал.
Мне встречались среды, где одновременно работали Wiz, Defender for Cloud и Prisma Cloud - три дашборда, три модели severity, три очереди findings, ноль интеграции с SOC. Компании покупают четвёртую cloud security платформу, не выстроив workflow на первой.
Если вы строите облачный detection pipeline - начните не с выбора вендора, а с определения: кто разбирает алерт ночью, по какому playbook, куда уходит evidence. Платформа - инструмент, а не стратегия. Если интересно как коллеги из других SOC-команд выстраивают detection под cloud TTP - на codeby.net в профильном треде разбирают конкретные подходы и SIEM-конфигурации для мультиоблачных сред.
Последнее редактирование модератором: