文章总结： 文章提出CloudTwin架构，通过持续实时建模云配置、身份与网络状态，为SOC提供状态化上下文，弥补CNAPP、SIEM、EDR间盲区，实现分钟级检测、自动分诊与预测响应，Stream案例验证其降MTTD/MTTR、减误报并支持多云，建议2025年SOC以此为核心升级 综合评分： 92 文章分类： 云安全,安全运营,威胁情报,AI安全,解决方案

---

由静到动：云孪生如何升级云检测与响应体系

Dubito Dubito

云原生安全指北

2026年1月23日 08:35 江苏

注：本文翻译自 Software Analyst Cyber Research – Aqsa Taylor[1] 的文章《Case Study: Closing the State Gap in Cloud Detection and Response with Cloud Twin Architecture》[2]，可点击文末“阅读原文”按钮查看英文原文。

全文如下：

一、引言

今天，我们将深入探讨面向云安全的数字孪生概念。这是一种能够为 CDR（Cloud Detection and Response，云检测与响应）带来实时、具备状态感知能力的云架构。云安全曾一度植根于安全态势与合规性，而现在正日益靠近SOC，在此，速度、上下文和精准度对于防护有效性至关重要。

本报告将探讨状态建模如何重塑检测与响应工作流，从更快的分类分诊，到具备影响感知能力的修复。实现此类状态检测的一种方式，是通过构建云环境的数字孪生架构，即 Cloud Twin（云孪生）。

云孪生引入了一个状态化、持续更新的云环境模型。它能够实现实时、具备上下文感知的威胁检测，并完全掌握配置、身份和暴露面的状态。其结果并非取代现有技术栈，而是为SIEM、EDR以及新兴的AI SOC解决方案提供了一个互补层，弥补了云环境实时、状态化理解能力的缺失。

我们通过 Stream Security 的案例研究，深入探讨了此类架构的实际应用。其云孪生的实施展示了状态化的云上下文如何增强SOC的可见性、降低平均响应时间，并实现一种更智能的检测形式，基于于动态的实时风险，而非静态的发现结果。

通过这一视角，我们评估了该架构与传统解决方案的区别，以及它的采用对于2025年及未来SOC发展方向的预示意义。

二、执行摘要：云孪生在CDR领域的崛起

云安全已发展至一个临界点，静态可见性和周期性扫描已无法满足 SOC 的运营需求。传统的 CNAPP 和 CSPM 平台提供安全态势与合规性信息，但它们基于快照运作，无法捕捉现代云环境实时、动态的本质。与此同时，尽管 SIEM 和 EDR 系统至关重要，但其焦点仍局限于工作负载和事件遥测数据，往往缺乏关于身份、配置和网络路径如何塑造真实暴露面的全局上下文。

云孪生架构引入了所缺失的状态化层（stateful layer），在上述两者之间架起桥梁。通过持续对云基础设施的实时状态（包括配置、身份和连通性）进行建模，它使 SOC 团队能够基于此刻的真实状况，而非数小时前的状况，进行检测、分诊和响应。这便将云从一个静态数据源，转变为一个能够实时推理风险的交互式模型。

对于安全运营而言，此类状态化模型的优势包括：

• • 提升检测能力：通过将告警与具备实际可利用性及云上下文的近实时背景信息相关联。
• • 加速调查：通过自动映射动态状态中的攻击路径和影响范围。
• • 降低操作风险：在执行前模拟响应动作。
• • 提高效率：通过提供富含高价值上下文的告警来丰富 SIEM 和 SOAR 工作流，而非提供未经过滤的日志流。

云孪生并非要取代现有技术栈。它通过将来自 CNAPP 的漏洞数据、来自 EDR 的工作负载可见性以及来自 SIEM 的遥测数据，整合进一个统一的状态化环境模型中，从而对它们形成补充。如此一来，它将 SOC 工作流从被动的分诊转向主动的遏制，使团队能够基于由云孪生复现的自身环境状况，分诊每一个告警并将其映射到相应的风险，从而实现全面的防御覆盖。

2.1 不断变化的威胁格局

云采用已变得无处不在，但对威胁检测的信心却未能同步提升。

• • 78% 的组织使用两家或更多云服务提供商。
• • 61% 的组织将安全和合规视为进一步采用的障碍。
• • 64% 的组织对实时威胁检测缺乏信心。

与此同时，攻击者的行动时间线已大幅缩短。突破时间已压缩至一小时以内，而驻留时间中位数平均仅为7天。随着云配置每分钟都在变化，每天仅捕获一次的安全态势数据，已不再反映防御者必须保护的环境现状。

这些压力暴露出传统云安全的一个核心局限：在一个瞬息万变的世界里，它仍基于陈旧、无状态的数据运行。

2.2 现有云检测与响应方法面临的挑战

尽管安全态势和运行时安全技术有所进步，现有方法对于现代 SOC 运营而言仍显不足。

1. 扫描频率缺口 大多数安全态势管理平台每天仅扫描一两次。两次扫描之间的任何配置变更都会造成盲区。攻击者利用这些时间窗口，在被发现之前提升权限或横向移动。

2. 静态上下文 态势工具基于过时的快照评估风险。它们无法反映实时可达性或当权限或网络规则变更时瞬时形成的新攻击路径。

3. 运行时隔离 运行时探针（Agent）提供深入的进程可见性，但很少理解云控制平面。它们能检测到命令，却无法识别使这些命令成为可能的权限变更。

4. 割裂的 SOC 工作流 SIEM 和 EDR 平台仍然是事件驱动和以日志为中心的。它们呈现发生了什么，却无法说明它如何改变了云环境状态。分析员花费大量时间从离散的信号中拼凑事件全貌，这增加了平均响应时间，并降低了分诊决策的信心。

其结果便是，SOC 深陷于缺乏上下文的告警之中，被迫基于要么过时、要么不完整的数据进行操作。

2.3 云孪生 (Cloud Twin) 简介

云孪生 (Cloud Twin) 代表了云检测与响应 (CDR) 演进的下一阶段。它能持续地对组织的整个云环境（包括身份、配置和网络可达性）进行实时建模。通过摄取云日志，并在每次变更后仅重新计算图（graph）中受影响的部分，它始终保持对风险和暴露面的最新视图。

其核心能力包括：

• • 实时可见性：无需探针，即可洞察配置和身份的变更。
• • 影响建模：展示每个事件如何重塑攻击路径。
• • 基于异常的检测：对云资源、身份和服务的正常行为建立基线，以识别与实际可利用性相关的实时偏差，而非依赖静态的、基于规则的 SIEM 逻辑。
• • 配置变更检测：监控并关联控制平面的修改（如角色、权限和配置变更），以揭示环境漂移如何导致权限提升或横向移动。
• • 预测性响应模拟：在实施前测试拟采取行动的效果。
• • AI驱动的分诊：对真实风险进行优先级排序，减少告警噪音。

云孪生弥合了安全态势管理与运行时防御之间的鸿沟，为这个长期由静态快照主导的领域，带来了实时、具备状态感知能力的上下文。

2.4 Stream Security：案例研究

成立于 2021 年的 Stream Security，率先通过其 云孪生 架构践行了这一理念。经过两年半的研发，Stream 推出了一个能够持续同步云配置变更并即时重新计算安全影响的模型。

Stream 云孪生如何工作

• • 初始化与同步：以一次性扫描为基础，随后持续流式处理写入事件，以维持一个动态实况图。
• • 攻击路径分析：突出显示由权限或网络变更所创建的新攻击路径。
• • 异常检测：通过学习环境的正常行为和独特属性来检测异常。
• • 自动化分诊：基于您环境中的真实风险，自动对每一个告警进行分诊。
• • 集成与上下文：与身份提供商和漏洞情报源集成，获取完整的风险上下文。
• • 欺骗性检测：包含 **欺骗蜜罐（deception canaries）**以提升检测准确率。
• • 响应模拟：允许在执行前进行响应模拟，以预测操作影响。

客户成果

• • 弥补缺口：消除了扫描之间的可见性延迟，实现实时威胁捕获。
• • 减轻 SIEM 负载：SOCs 依赖 Stream 状态化的 AI 分诊，减少了原始日志的转发量。
• • 精准响应：实现了精准遏制，能够在不影响生产环境的情况下撤销凭据或回退高风险变更。

分析师观点

向状态化云建模的转变，标志着 SOC 现代化进程中的一个决定性时刻。随着安全运营从日志关联向实时推理演进，云孪生这类架构将成为高效检测与响应的支柱。云安全的未来不在于收集更多数据，而在于理解数据背后的状态。

对于 SOC 和云检测工程师而言，云孪生是一个活的模型，它将核心问题从 “发生了什么” 转变为 “此刻什么是重要的”。

三、2025年威胁态势

在我们深入探讨数字孪生概念之前，理解“为何是现在”的上下文背景至关重要。

来源: https://www.cybersecurity-insiders.com/state-of-cloud-security-report-2025/

根据网络安全内部人士的一项调查，云环境如今已成为默认选择而非例外：超过 78% 的组织 报告使用了两个或更多云服务提供商，并且 54% 的组织已采用混合云（本地 + 公有云）模式。然而，尽管部署广泛，安全与合规仍然是主要障碍：61% 的受访者将安全/合规视为进一步采用云的首要阻碍。

对实时威胁检测的信心同样很低，64% 的受访者表示，他们对自身在威胁发生时进行检测的能力缺乏信心。为了弥补这些差距，几乎所有受访者 (97%) 都倾向于选择能够提供集中可见性和策略控制的统一云安全平台。

这些数据突显了一个核心矛盾：云的发展规模已经超过了安全成熟度。向整合、上下文丰富平台的转变，与其说是为了追求工具覆盖，不如说是为了弥补威胁攻击面的盲点。随着组织拥抱多云复杂性，安全团队现在面临压力，需要将可见性转化为安全保证，而不仅仅是提供更多仪表板。这要求平台必须具备易于部署、大规模可见性以及实时威胁检测和覆盖能力。

3.1 更短的驻留时间与突破时间

根据 CrowdStrike 在其《2025 全球威胁报告》中的数据，平均“电子犯罪突破时间”（威胁行为者在初始入侵后转向攻击其他目标的速度）为 48 分钟。同一报告中记录的最快电子犯罪突破时间是 51 秒。

根据 Sophos 的《2025 活跃攻击者报告[3]》，总体中位“驻留时间”（从初始入侵到被检测的时间）为 7 天，勒索软件案例通常为 4 天，非勒索软件案例则为 11.5 天。根据 LevelBlue 在其《2025 威胁趋势报告（第二版）》中的发现，攻击者一旦进入内部，其横向移动的平均突破时间为“低于 60 分钟”，在某些情况下甚至少于 15 分钟。

这表明，防御者必须能够在数分钟而非数小时内对这些攻击做出反应、实施遏制和响应。

参考来源: https://www.techmagic.co/blog/cloud-security-statistics

3.2 云环境仍是首要攻击目标

云环境依然是首要攻击目标。根据 Fortinet 的 2025 威胁报告[4]，开放存储桶、权限过大的身份以及配置错误的服务等暴露面，仍然是导致系统失陷的最快途径。

3.3 敏感数据正从缺口中泄露

Tenable 的 2025 云安全风险报告[5] 指出，9% 的公开可访问云存储中包含敏感数据，而其中高达 97% 的数据被标记为受限或机密。更令人担忧的是，密钥是由于设计而非疏忽而留存在服务中。这表明，不仅需要良好的安全态势管理，还需要快速洞察潜在影响范围的需求日益迫切。

3.4 云安全与 SOC 之间的孤岛现象

组织内部的信息孤岛阻碍了协作，尤其是在 SOC、云安全和平台团队之间。这种割裂导致了盲点和效率低下，44% 的组织将因工具过多而导致的可见性碎片化列为重大挑战。

四、云安全的演进：从安全态势到运行时，再到云检测与响应 (CDR)

在向云迁移之前，企业安全处于一个边界清晰的世界里。防火墙和终端防护定义了控制范围。可见性止于数据中心边缘。安全工具是为静态基础设施、可预测的工作负载和长补丁周期而构建的。

当工作负载开始迁移到公有云时，组织试图将同样的模型生搬硬套到基于 API、临时资源和责任共担的全新环境中。这行不通。安全团队需要的是上下文、规模和自动化，而非签名和规则。

过去十年的云安全发展，可以概括为一个从可见性到控制、再到可见性的循环——从无代理（agentless）扫描的兴起到运行时防御的再次崛起。在这十年间，无代理技术从一项创新演变为保护大规模云环境的主流方法。但对实时可见性的需求，又将轻量级的 eBPF 探针重新推到了舞台中央。

4.1 安全态势与无代理扫描的优势

随之而来的是一波专注于利用云服务商 API 来监控配置和检测错误配置的云原生工具。例如 Dome9 和 Evident.io（后被 Palo Alto Networks 收购）等公司推出了无需安装任何探针即可扫描云资源的解决方案。这种方法催生了云安全态势管理 (CSPM)，标志着云可见性和合规性迈出了重要一步。

到 2019 年，Orca Security 和 Wiz Security 等公司证明，无需部署探针或修改工作负载，也能实现对工作负载的类似可见性。这种架构因其无需处理部署探针的复杂性便能轻松获得可见性，而被迅速采用。这一里程碑重新定义了云可见性，并使无代理扫描成为许多组织的默认选择。

这些系统会创建工作负载的快照，并每天或定期扫描环境以识别错误配置和暴露面。然而，这种模型有其固有的局限性。CSPM 工具通常每天仅扫描一两次。两次扫描之间的任何配置变更都会造成攻击者可利用的盲区。态势数据代表的是静态快照，而非实时状态。攻击路径的变化速度远快于态势图谱的更新速度。

4.2 关键行业挑战：

1. 1. 扫描频率缺口：由于每天仅扫描一两次，两次扫描之间的任何配置变更都会造成盲区。攻击者可利用这些缺口在检测前提升权限或横向移动。
2. 2. 静态上下文：态势管理工具基于过时的云状态评估风险，无法反映实时可达性或新创建的攻击路径。
3. 3. 基于代理的权衡：运行时探针增加了可见性，但也带来了运营复杂性、可扩展性问题和安全开销。它们在工作负载层面有可见性，但在云安全态势层面则没有。
4. 4. 影响范围盲区：态势数据反映的是关于影响范围的某一时刻假设，而该范围可能随着新连接或新权限而迅速变化。

五、运行时防御的再审视

由 eBPF 和容器原生探针驱动的运行时工具的复兴，为安全团队提供了对工作负载更深层次的行为洞察。但仅靠运行时同样无法解决问题。传统的 EDR 式遥测数据虽然富含进程数据，却对云身份、网络配置或 IAM 变更视而不见。你能检测到执行的命令，却无法识别使该命令成为可能的权限变更。

5.1 运行时为何重要

• • 快速变化：云中的工作负载会动态启停、弹性伸缩、使用临时容器和无服务器函数。昨夜的配置快照可能已无法反映活跃攻击者所见的真实情况。ARMO Sec 的报告[6] 发现，面向运行时的工具对于 Kubernetes 和容器环境日益重要。
• • 行为可见性：运行时探针捕获进程、文件、网络、内核、身份活动，而不仅仅是配置状态。这种可见性对于检测横向移动、内存攻击、异常网络流量或权限滥用是必需的。
• • 缩短驻留时间：在攻击者“入室”时进行检测，远比在事件后发现错误配置更有价值。运行时安全缩小了从入侵到检测的时间窗口。
• • 市场推动：根据 Business research[7] 的数据，“云工作负载保护”市场预计将从 2024 年的 73.3 亿美元增长至 2025 年的 90 亿美元（年复合增长率约 22.8%）。这一增长反映了运行时控制的重要性日益上升。

5.2 关键行业挑战：

• • 数据过载：运行时遥测产生海量事件，造成告警疲劳，需要智能优先级排序以保持分析师的工作效率。
• • 上下文关联性有限：许多运行时系统缺乏与配置及身份数据的无缝集成，难以确定检测到的活动的根本原因或暴露路径。
• • 运营复杂性：安全和 DevOps 团队在跨多样化环境部署和维护代理时经常面临挑战，导致管理开销增加。
• • 响应延迟：若缺乏自动化编排，运行时检测可能无法转化为即时遏制，从而延长平均响应时间。

六、不断演进的 SOC 运营：云检测与响应的崛起

有了安全态势和运行时防御，问题就变成了：我们如何 检测、调查和响应 云基础设施中的真实威胁？这正是云检测与响应发挥作用的地方。云检测与响应（CDR，Cloud Detection and Response） 代表了全面防御的下一阶段。它将态势可见性和运行时遥测统一到一个可操作的检测与响应模型中。CDR 持续分析身份行为、工作负载活动、配置漂移和网络流量，以实时识别威胁。简而言之，CDR 专为 SOC 运行时设计，通过将云安全态势和运行时防御源的数据集成到 SIEM 和安全运营平台中来实现。

6.1 CDR 应具备的能力

• • 实时监控：持续从工作负载、API 和身份中收集数据。
• • 行为关联：将运行时的异常与身份滥用和配置变更关联起来。
• • 调查与响应：提供 SOC 就绪的工作流，用于隔离工作负载、撤销凭证和协调遏制措施。
• • 自动化：将检测与修复相结合，以缩短平均检测时间和平均响应时间。根据网络安全人士的研究，61% 的[8]网络安全专业人员主张采用自动化响应机制，以确保对威胁做出快速有效的响应，这突显了需要系统能够立即自主响应和缓解潜在漏洞。

一个示例场景：一名开发人员无意中授予了无服务器函数过于宽泛的权限。随后的一次态势扫描标记了此问题。一个运行时探针检测到外发数据活动。一个 CDR 平台将这两者与某个身份事件关联起来，向 SOC 发出警报，并触发自动修复。攻击路径在数据窃取之前被切断。这就是完整闭环防御的价值。

6.2 CDR 的独特之处

由于云环境的动态特性和规模，CDR 相较于传统的端点检测与响应（EDR）平台，面临着不同的挑战和机遇。静态遥测和周期性扫描无法跟上每秒都在变化的环境。结果是可预见的：团队被海量告警淹没，却缺乏足够的上下文信息。

在一项（SANS 进行的检测与响应[9]）调查中，超过半数（56%）的安全负责人报告称，他们的团队缺乏有效管理云威胁的专业知识。运营压力也体现在其他方面。51% 的组织表示，跨多个云服务提供商集成控制措施很困难，几乎同样多的组织则在云遥测数据与现有工具对齐方面存在困难。

数据显示，信心在转移，期望也在改变。云原生检测工具被认为功能强大但仍不完善。三分之二的受访者认为这些工具有效，而 13% 的人则认为它们无效。这种差距反映了一个更深层次的问题：威胁面的演变速度超过了检测逻辑。手动监控在许多团队中依然存在，59% 的受访者称其有效，但它在动态环境中无法扩展。其持续使用表明，人的直觉仍在很大程度上弥补着缺失的可见性。

参考：SANS 2024 年检测与响应调查

因此，SOC 团队面临的检测往往与现实脱节。他们对关于已失陷资源的告警进行分诊时，却不知道暴露面是否仍然存在，或者是否已被修复。

这种可见性滞后带来了难以估量的后果。在 Illumio 的 2025 年全球云检测与响应报告[10] 中，分析师发现，问题在于近 40% 的数据因缺乏足够上下文而无法有效利用。安全团队没有可见性背后的信息来优先处理或应对风险。

实际上，云环境需要的检测是能够理解状态，而不仅仅是事件。

6.3 SOC 团队当前面临的挑战

现代 SOC 在云防御方面面临三大挑战：

• • 无状态（Stateless）可见性造成盲区：大多数 CNAPP 和 CSPM 工具仍然依赖周期性快照。攻击性的控制平面的变更或短暂的工作负载，可能在两次扫描之间出现又消失，留给分析师的只是片面的、时间点上的可见性。
• • 以日志为中心的检测缺乏云上下文：SIEM 规则关注原始事件，而非实时可达性、身份关系或有害组合。这导致高误报率，并且分析师需要重新构建日志无法显示的内容，从而拖慢分诊速度。
• • 信号碎片化延迟响应：如果没有一个统一的、实时的身份、配置和网络路径视图，SOC 团队难以拼凑攻击脉络，也无法在正确的控制点上自信地采取行动。

这对于安全负责人的影响是明确的：平均响应时间持续上升，SIEM 平台被大量低价值告警淹没，团队基于无状态的上下文采取“盲人摸象”式的行动，这些行动有中断生产的风险。

一个状态化、实时的云检测与响应系统模型能够弥合这些差距。它能持续为每一次活动和配置变更添加上下文，在检测时刻即映射可利用性和潜在影响范围。这使得 SOC 团队能够专注于最重要的事项，并以精准而非杂乱无章的方式进行响应。

七、SOC 应对云威胁需要状态化、实时的上下文

在云中进行有效的检测，不仅仅是收集日志或扫描资产；更在于理解状态（state）——事件发生瞬间云环境的实际样貌。没有状态，检测就是猜测。有了状态，安全团队就能重构攻击路径、验证影响范围，并做出精准响应。

真正的 CDR 需要一个将云视为活的系统的范式。它要求配置数据、身份上下文和工作负载运行时事件之间持续同步，这可以被描述为从无状态扫描到状态建模的演进。

SIEM、EDR 以及新兴的 AI 驱动 SOC 平台，仍然缺乏对云的实时、状态化理解。传统遥测数据记录了发生了什么，但并未记录发生时的环境状态。一个状态化检测层通过持续对动态云环境进行建模，将每个事件与其实际风险和上下文联系起来，从而弥合了这一差距。这座连接原始数据与有意义检测的桥梁，使安全团队能够在复杂的云生态系统中实现更快速、更自信的响应。

八、引入云孪生：现代 SOC 所缺失的状态化上下文

云孪生 (Cloud Twin) 引入了一个状态化、持续更新的组织云环境模型，实时反映配置、身份、网络可达性和暴露面。它将无状态事件转换为一个动态的访问与风险关系图。对于现代 SOC 而言，此模型代表了预防与响应之间的连接纽带，弥补了现有 SIEM、EDR 乃至新兴 AI-SOC 平台（它们仍基于静态或以日志为中心的数据运作）留下的关键空白。

8.1 在 SOC 技术栈中的架构与角色

云孪生摄取现有的云遥测数据（包括配置日志、身份数据和漏洞情报），并在数字孪生中持续重新计算每一次变更如何重塑环境。它并非部署新的探针，而是通过流式处理云配置事件来构建其实时模型，并仅更新图（Graph）中受影响的部分。这在云服务、用户和工作负载之间，创建了一个始终保持最新的暴露面、可达性和信任关系的动态表征。

对于 SOC 而言，云孪生充当了一个状态化的推理层。它将每一个告警或事件与其周围的上下文关联起来：是什么发生了改变、谁做出的改变，以及该改变促成了什么。分析员可以实时可视化 IAM 更新、安全组修改或网络路由调整如何改变攻击路径。该模型还支持响应模拟，允许团队在生产环境中应用前（例如撤销凭证或回滚配置），预览该操作对业务运营的影响。

这种架构是对现有 SOC 技术栈的补充，而非取代。SIEM 和 EDR 继续充当日志收集器和工作负载传感器，而云孪生则提供了所缺失的状态化云层，将原始遥测数据转化为有意义的检测与响应。它用云语义丰富 SIEM 告警，通过可利用性上下文改善优先级排序，并通过 SOAR 或原生集成来编排精准响应。

8.2 推进检测：将状态化云上下文引入 SOC

云中的行为分析必须超越用户行为，囊括服务、资源和配置在正常条件下的运行方式。基于云孪生的状态化检测系统，在完整的云语义基础上为这些元素建立行为基线，从而识别出真正重要的偏差——因为这些偏差直接关联到当前环境图中的实际可利用性。这超越了基于原始日志的静态规则，转变为由实时上下文和关系驱动的动态检测。

8.3 状态化检测的核心优势

状态化模型让 SOC 团队能够将攻击视为一个演进的故事，而非孤立的告警。它们将身份、配置和工作负载上下文整合到一个统一的运营视图中，近乎实时地揭示风险如何在云环境中传播。这种持续的上下文提供了多项优势：通过消除误报来减少告警疲劳；通过自动呈现影响范围来缩短调查时间；通过精准显示何处干预不会影响生产来提升响应精度。在实践中，这将 SOC 工作流从被动分诊转向主动遏制。

8.4 结合影响分析的实时配置变更检测

在现代云攻击中，控制平面往往是首要目标。攻击者通过修改角色、权限和网络规则来扩大其影响范围。状态化检测将这些变更提升为主要的攻击指标，而非次要的审计发现。每一次修改都会被映射到潜在的新攻击路径，并关联到高价值资产，从而使 SOC 团队能够直观地看到环境漂移如何成为攻击链中的活跃一环。

下图展示了云环境各个类别中的示例风险。延迟的检测或修复会增加被利用的可能性。

8.5 适应环境的策略引擎

有效的云检测必须适应每个组织的架构和风险模型。一个适应环境上下文的策略引擎，允许团队定义自定义规则，从而可视化其自身的威胁模型、业务逻辑和运营优先级。通过结合身份可达性、资产重要性、连通性和态势上下文，检测结果既能体现组织特异性，又具备风险感知能力。

8.6 检测深度

对于需要更深层次可见性的团队，状态化检测可以集成工作负载层级的遥测数据，而无需强制部署额外探针。在已有运行时覆盖的情况下，SOC 团队只需将这些数据摄取到同一个状态化图谱中即可。

8.7 跨所有平面的上下文整合

身份信号、SaaS 上下文和漏洞情报丰富了孪生模型，使得检测能综合考虑“谁”、“从何处”、“可以做什么”以及存在哪些软件层面的缺陷。一些实现方案还会添加欺骗蜜罐（deception canaries）以提高检测准确率并延缓攻击者，并在状态化图谱上应用自动化的 AI 分诊。

由于孪生体映射了真实状态，可以在执行前模拟拟采取的行动，以预测其连锁效应，从而实现精准控制。例如，撤销正确的凭据或回滚一个高风险的安全组变更，而非直接终止生产工作负载。

综合来看，这些功能重新定义了 SOC 团队在云中进行检测的方法。它们提供了一个环境的活模型，能在上下文环境中解读活动，将原本的原始信号转化为可操作的洞察。

8.8 为何这至关重要

状态化图谱使得检测和分诊能基于“实际风险”而非理论发现来运作。分析师可以看到一个看似无害的策略调整何时创建了一条通往敏感系统的活跃路径，并据此进行优先级排序。

九、在技术栈中的角色：与现有系统协同工作

基于云孪生的 CDR 不会取代安全技术栈中的现有层级，而是会强化它们。

• • 预防与态势：CNAPP 和 CSPM 仍然是治理、错误配置管理和预防性控制的基础。它们定义了云环境健康度的基线，但无法展示攻击如何实时展开。此模型持续为每一个云资源、身份和服务建立正常行为基线，以实时检测偏差和修复影响。
• • 检测与响应：云孪生将此基础扩展到 SOC 中。它用状态化上下文丰富 SIEM 告警，根据实际可利用性对检测结果进行排序，并实现定制化的、具备上下文感知能力的检测，这些检测反映了每个环境独特的模式和风险画像。
• • 终端与工作负载：EDR 和 XDR 继续在主机和容器内部提供深度遥测数据。Stream 通过暴露这些层级无法看到的部分来补充它们：即控制平面、身份关系和服务互连，这些决定了事件实际如何传播。

这些系统共同形成了一个从预防到响应的连续链条，使 SOC 团队能够统一理解工作负载及其周围的云架构。

十、案例研究：Stream Security

Stream Security 成立于 2021 年，在进入市场前花费了 2.5 年时间构建其专有的云孪生架构。该公司目前为包括 RingCentral、New American Funding 和 CrossRiver 在内的大型企业客户提供服务。

Stream 主要服务于 企业市场，其角色通常是补充而非取代现有的 CNAPP 平台。这一定位表明，许多组织认识到在其现有态势管理工具之上，增加 Stream 提供的实时上下文层的价值。

10.1 客户之声

我们有幸联系到了 Stream Security 的一位客户。以下是从安全负责人的视角给出的回答：

在引入 Stream 之前，贵组织遇到了哪些困难？

• • 云活动归因困难：难以将云活动溯源到具体用户和资源。CSPM 会告诉我们问题所在，但无法展示问题是如何发生的。
• • 云架构验证与影响范围评估：Stream 在 CDR 领域之所以独特，是因为它也基于网络数据运作。这使我们能够获得系统架构、上下游依赖关系以及通往关键资产的攻击路径的完整视图。
• • 网络检测与响应：传统的 NDR 供应商并非为 AWS 数据构建。Stream 是云原生的，并且在我们广泛的调研中，它提供了最简易且最全面的网络监控方案。
• • 云原生蜜罐技术：在使用 Stream 之前，我们的蜜罐平台是本地部署时代的产物，无法很好地适应云环境的扩展。Stream 的蜜罐技术更有效，也更容易管理。

为什么像 CNAPP 平台或其他解决方案无法满足这些需求？或者说，为什么是 Stream？

其他 CNAPP 要么受限于无法追踪足够的网络流量来源，要么主要专注于容器和 Kubernetes 环境。Stream 为我们多样化的环境提供了最佳的整体价值。

您希望在 Stream 的产品路线图上看到哪些目前缺失的功能？

产品团队在这一领域一直走在我们前面。他们持续推出出色的新功能，为我们的安全技术栈带来新价值，不断给我们带来惊喜。

10.2 运作原理

• • 初始扫描与实时同步：从一次初始扫描开始，随后持续流式处理云写入事件，以维持一个实时更新的图谱。
• • 安全影响计算：计算每次变更的安全影响，并即时显示新出现的攻击路径。
• • 风险情报集成：集成身份、SaaS 和漏洞知识，实现基于实际风险的评分。
• • 蜜罐与智能分诊：包含欺骗蜜罐以提高信号质量，并对状态化数据进行自动化的 AI 分诊。
• • 响应模拟：在执行前模拟响应操作，以预测其运营影响。

目标用户：主要受益者是 SOC 和云检测工程团队，他们需要准确、实时的状态信息来进行威胁狩猎、分诊和响应。

10.3 Stream Security：技术能力

以下是 Stream Security 通过其专有的云孪生模型所提供功能的概览：

• • 云孪生模型：维护对您环境的动态、持续更新的视图，对每一次变更都具备完整的状态感知能力。
• • 基于风险的检测：在身份、网络、配置、运行时和数据层识别有意义的信号。通过摄取云日志和身份数据提供实时洞察，并可选配 K8s 运行时探针。
• • 基于异常的检测：Stream 持续为每一个云资源、身份和服务建立正常行为基线，以实时检测偏差。这使得检测能够根据每个环境的独特模式和风险画像进行定制，并具备上下文感知能力。这与基于原始遥测数据、缺乏云上下文和可利用性认知的静态、手动编写的 SIEM 规则截然不同。
• • 云配置变更检测：攻击者经常操控云环境本身，修改配置、角色或权限，作为其权限提升和横向移动战术、技术和程序的一部分。Stream 识别并关联这些控制平面变更，将其视为不断演化的攻击链中的环节，揭示环境漂移如何被武器化。
• • AI 驱动的分诊与调查：消除噪音，用上下文丰富告警，并加速调查和响应。
• • 状态化攻击叙事：将实体和事件连接成一个可视化的叙事，用于根本原因和横向移动分析。在配置或身份变更发生时，即时检测新的攻击路径。
• • 预测性分析与响应模拟：在执行前对潜在影响进行建模，以防止过度修复。
• • 自动化的环境感知响应：执行有针对性的操作，如凭证撤销、组回滚、隔离和边界控制。
• • 动态欺骗防御：部署自适应的陷阱和诱饵，以提高信号保真度并干扰攻击者。
• • 无缝集成：通过实时云上下文增强现有的 CNAPP、SIEM、XDR 和 EDR 技术栈。
• • StreamLine 自动化：将编排扩展到 EDR、SIEM、SOAR 和多云环境（AWS、Azure；GCP 进行中）。
• • 业务影响映射：将风险关联到受影响的服务和负责人，以便根据运营影响确定响应优先级。

10.4 客户成效

• • 缩短 MTTD 与 MTTR：持续的上下文和自动化缩短了从告警到行动的时间。
• • 弥补检测缺口：实时流式处理填补了 CNAPP 扫描之间的可见性空白，使 SOC 能够立即发现并阻止云层（cloud-layer）的横向移动。
• • 以更低成本实现更好分诊：Stream 的 AI 分诊减少了人工分析工作量，降低了事件数量，客户因此减少了转发至 SIEM 的原始日志量。
• • 精准响应：团队可以安全地回退有风险的安全组编辑，或撤销导致横向移动的特定凭据，而无需采取过度修复措施。
• • 优化 SIEM 负载：高保真度告警降低了整个安全系统的存储和处理开销。
• • 提升 SOC 效率：分析师花费更少时间处理噪音，更多时间解决高影响威胁。
• • 增强运营韧性：实时影响映射使安全行动与系统可用性和业务优先级保持一致。

十一、分析师观点：为何 SOC 现代化需要状态化云上下文

SOC 已成为云风险的汇聚点。随着企业采用多云架构，信号数量成倍增加，但其背后的上下文却未成熟。分析师现在面对的是一个由局部真相构成的生态系统：SIEM 显示发生了什么，CNAPP 显示什么配置有误，EDR 显示执行了什么，但都无法实时解释这些层面如何相互作用。

状态化云建模改变了这一格局。它为检测与响应团队提供了一个活的系统记录，将安全态势、身份和活动整合到一个统一的运营视图中。分析师不再需要查询日志，而是可以查询状态：谁做出了变更、该变更促成了什么、以及是否打开了一条通往关键暴露面的新路径。此外，还能在不影响真实环境的情况下模拟响应并评估其影响。这种推理能力将 SOC 从一个被动反应职能转变为一个情报驱动中心，该中心将其环境理解为一个活的系统，而非一长串告警列表。

在 2025 年及未来，最高效的 SOC 将是那些能够在上下文环境中解读云环境的团队。云孪生这类状态化架构标志着这一转变：从以数量驱动的监控转向以状态驱动的理解。这场演进中的赢家，将不是拥有最多数据的团队，而是能在关键时刻最清晰地理解数据含义的团队。

引用链接

[1] Aqsa Taylor: https://www.linkedin.com/in/aqsa-taylor/ [2] 《Case Study: Closing the State Gap in Cloud Detection and Response with Cloud Twin Architecture》: https://softwareanalyst.substack.com/p/case-study-closing-the-state-gap [3] 2025 活跃攻击者报告: https://news.sophos.com/wp-content/uploads/2025/04/It-Takes-Two-2025-Sophos-Active-Adversary-Report.pdf [4] Fortinet 的 2025 威胁报告: https://www.fortinet.com/content/dam/fortinet/assets/threat-reports/threat-landscape-report-2025.pdf [5] 2025 云安全风险报告: https://www.tenable.com/blog/cybersecurity-snapshot-cloud-data-secrets-exposure-cyber-risks-06-20-2025 [6] ARMO Sec 的报告: https://www.armosec.io/wp-content/uploads/2025/05/Survey-Report_Final_May_25.pdf [7] Business research: https://www.thebusinessresearchcompany.com/report/cloud-workload-protection-global-market-report [8] 61% 的: https://www.cybersecurity-insiders.com/2024-cloud-security-report-trend-micro/ [9] SANS 进行的检测与响应: https://www.sans.org/white-papers/sans-2024-detection-response-survey [10] 2025 年全球云检测与响应报告: https://www.illumio.com/blog/global-cloud-detection-and-response-report-q-a-on-the-human-side-of-cloud-security-gaps

交流群

---

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：云原生安全指北 Dubito Dubito《由静到动：云孪生如何升级云检测与响应体系》