2022年7月，在Gartner發(fā)布的《2022安全運(yùn)營(yíng)技術(shù)成熟度曲線(xiàn)》報(bào)告當(dāng)中，一項(xiàng)新的技術(shù)被正式提出——身份威脅檢測(cè)和響應(yīng)（Identity Threat Detection and Response,ITDR），該技術(shù)此前多次出現(xiàn)在Gartner發(fā)布的安全趨勢(shì)報(bào)告當(dāng)中，即對(duì)身份安全在未來(lái)安全領(lǐng)域的價(jià)值認(rèn)可。

　　身份優(yōu)先安全

　　Gartner眼中的ITDR

　　Gartner今年發(fā)布的數(shù)份安全趨勢(shì)報(bào)告中曾提及身份優(yōu)先安全，將其解讀為安全管理者在未來(lái)必須解決的重要趨勢(shì)之一，為應(yīng)對(duì)趨勢(shì)，身份威脅檢測(cè)和響應(yīng)（ITDR）技術(shù)被提出。

　　Gartner一并指出的是，混合辦公和向云應(yīng)用程序的遷移鞏固了身份作為安全邊界的趨勢(shì)。身份優(yōu)先安全并不是個(gè)新概念，但隨著攻擊者開(kāi)始瞄準(zhǔn)身份和訪(fǎng)問(wèn)管理功能以實(shí)現(xiàn)長(zhǎng)期潛伏，身份優(yōu)先安全變得更加緊迫。

　　在Gartner《2022安全運(yùn)營(yíng)技術(shù)成熟度曲線(xiàn)》報(bào)告中，ITDR被列為新興技術(shù)，其效益等級(jí)為高，目標(biāo)受眾有著5%至20%的市場(chǎng)滲透率，這代表著Gartner對(duì)這項(xiàng)技術(shù)應(yīng)用價(jià)值的潛在認(rèn)可。從技術(shù)成熟度上來(lái)看，ITDR技術(shù)本身成熟度較高，Gartner預(yù)期未來(lái)2-5年即可達(dá)到主流應(yīng)用。

　　報(bào)告中Gartner對(duì)ITDR技術(shù)的正式定義為：身份威脅檢測(cè)和響應(yīng)（ITDR）包括保護(hù)身份基礎(chǔ)架構(gòu)免受惡意攻擊的工具和流程。他們可以發(fā)現(xiàn)和檢測(cè)威脅、評(píng)估策略、響應(yīng)威脅、調(diào)查潛在攻擊并根據(jù)需要恢復(fù)正常操作。

　　對(duì)于ITDR技術(shù)的重要性，Gartner解釋為隨著身份變得越來(lái)越重要，攻擊者越來(lái)越多地將目標(biāo)對(duì)準(zhǔn)身份基礎(chǔ)設(shè)施本身，組織必須更加專(zhuān)注于保護(hù)其IAM基礎(chǔ)設(shè)施。只有經(jīng)過(guò)授權(quán)的用戶(hù)、設(shè)備和服務(wù)才能訪(fǎng)問(wèn)您的系統(tǒng)，ITDR技術(shù)將為身份和訪(fǎng)問(wèn)管理（IAM）部署增加額外的安全層。

　　也就是說(shuō)，Gartner定義ITDR這一全新技術(shù)，寄希望于解決雙重趨勢(shì)推動(dòng)的核心問(wèn)題——身份安全。雙重趨勢(shì)之一是安全邊界的轉(zhuǎn)變，之二是圍繞著這一安全邊界（身份）展開(kāi)的攻擊已經(jīng)非常普遍，且缺乏專(zhuān)業(yè)的威脅檢測(cè)和響應(yīng)流程。

　　ITDR的核心價(jià)值

　　提供最大程度身份可見(jiàn)性

　　中安網(wǎng)星創(chuàng)始人兼CEO楊常城在接受安全419采訪(fǎng)時(shí)也強(qiáng)調(diào)了安全邊界已發(fā)生改變這一問(wèn)題。比如過(guò)去我們對(duì)安全邊界可以由防火墻來(lái)定義，到Web2.0時(shí)代則出現(xiàn)了Web應(yīng)用防火墻。他指出，隨著IT基礎(chǔ)設(shè)施和應(yīng)用向云、大、物、移轉(zhuǎn)變，以及攻防技術(shù)的演變，身份已成為新的邊界。

　　其中前者其實(shí)是非常好理解的，比如我們遠(yuǎn)程辦公、移動(dòng)應(yīng)用，絕大多數(shù)的調(diào)用的都是云端程序，而非本地應(yīng)用。從攻防技術(shù)角度來(lái)看，過(guò)去政府網(wǎng)站最常見(jiàn)的攻擊是頁(yè)面篡改，現(xiàn)在進(jìn)入數(shù)字時(shí)代，更多的是以竊取政務(wù)數(shù)據(jù)為主，同時(shí)整個(gè)的攻擊鏈路也在發(fā)生轉(zhuǎn)變。

　　“在復(fù)雜的攻擊鏈路當(dāng)中，身份將是一個(gè)核心的鏈路點(diǎn)，更是關(guān)鍵的檢測(cè)點(diǎn)與阻斷點(diǎn)。”楊常城對(duì)于身份安全的定義也十分明確，攻擊鏈路中身份是核心要素，趨勢(shì)定義了身份安全的重要性，就需要有相對(duì)應(yīng)的安全技術(shù)解決這一風(fēng)險(xiǎn)。

　　由此看來(lái)，Gartner定義ITDR技術(shù)，可以理由為基于身份的“防火墻”產(chǎn)品，將圍繞著企業(yè)的身份基礎(chǔ)設(shè)施，實(shí)施全面的基于身份攻擊的檢測(cè)和響應(yīng)。

　　作為一家聚焦于為企業(yè)解決身份威脅安全防護(hù)的創(chuàng)新型安全廠(chǎng)商，楊常城進(jìn)一步指出了ITDR技術(shù)的核心價(jià)值，作為Gartner全新定義的一條技術(shù)賽道，其存在價(jià)值是在于從專(zhuān)業(yè)的網(wǎng)絡(luò)安全視角，統(tǒng)一整合身份基礎(chǔ)設(shè)施安全性，將其作為整體網(wǎng)絡(luò)安全的有力手段或補(bǔ)充。

　　他指出，現(xiàn)階段一些企業(yè)部署有諸如IAM或是零信任等身份管理產(chǎn)品，這些產(chǎn)品主要解決身份認(rèn)證和管理的工作，但這些產(chǎn)品本身如果出現(xiàn)安全問(wèn)題，又或者是攻擊者使用的是合法憑證，由此為突破將對(duì)企業(yè)造成致命打擊。

　　事實(shí)上，這類(lèi)的攻擊案例早已數(shù)不勝數(shù)，前一段時(shí)間Uber數(shù)據(jù)泄露事件就是個(gè)典型的基于身份展開(kāi)攻擊的安全事件。當(dāng)黑客獲取到了合法的憑證，再繞過(guò)一些現(xiàn)有的而且非常傳統(tǒng)的檢測(cè)手段，對(duì)于他們來(lái)說(shuō)并非難事。

　　用一個(gè)比喻來(lái)理解ITDR技術(shù)的話(huà)，他就像是一棟大樓的智能化監(jiān)控系統(tǒng)，如果有壞人想要進(jìn)來(lái)干壞事，他一定需要獲取一套合法的身份才能進(jìn)入這棟大樓，不然就會(huì)被系統(tǒng)檢測(cè)清除。他想要獲取合法身份，可能就需要對(duì)門(mén)禁系統(tǒng)展開(kāi)攻擊，或者套用別人的合法身份，但無(wú)論其采用哪條路線(xiàn)，ITDR這套智能化監(jiān)控系統(tǒng)都能夠隨時(shí)對(duì)其進(jìn)行檢測(cè)和響應(yīng)。

　　也就是說(shuō)，攻擊者對(duì)企業(yè)各類(lèi)身份基礎(chǔ)設(shè)施開(kāi)展攻擊，ITDR可以實(shí)施檢測(cè)并響應(yīng)，當(dāng)攻擊者使用合法身份并成功繞過(guò)進(jìn)入到系統(tǒng)內(nèi)部，ITDR同樣可以根據(jù)其行動(dòng)軌跡或行為對(duì)其進(jìn)行檢測(cè)并響應(yīng)。

　　ITDR技術(shù)當(dāng)中使用了大量的檢測(cè)手段，從而確保他能夠達(dá)到預(yù)期目標(biāo)。對(duì)于ITDR技術(shù)，身份是干壞事的前提，該技術(shù)將提供最大程度的身份可見(jiàn)性，并自動(dòng)響應(yīng)。

　　專(zhuān)業(yè)的事交給專(zhuān)業(yè)的人

　　ITDR的未來(lái)潛力

　　如果定義完整的身份安全，其要包含兩大技術(shù)子集，其一就是身份基礎(chǔ)設(shè)施提供的認(rèn)證和管理，其二就是ITDR對(duì)應(yīng)的檢測(cè)和響應(yīng)能力。楊常城強(qiáng)調(diào)稱(chēng)，ITDR技術(shù)的出現(xiàn)，實(shí)際上是對(duì)身份安全從全維度能力上的一種補(bǔ)足。這種能力的補(bǔ)足，也填補(bǔ)了現(xiàn)有攻擊鏈路的防護(hù)空白。

　　從落地實(shí)現(xiàn)角度來(lái)看，ITDR也應(yīng)該是一條獨(dú)立的網(wǎng)安新賽道，因?yàn)榧夹g(shù)獨(dú)立的ITDR可以更好的融入到眾多應(yīng)用場(chǎng)景當(dāng)中，針對(duì)不同場(chǎng)景的身份基礎(chǔ)設(shè)施提供檢測(cè)和響應(yīng)，而非這些身份基礎(chǔ)設(shè)施獨(dú)立集成。

　　這甚至也是ITDR另外一個(gè)維度的價(jià)值體現(xiàn)，用楊常城的話(huà)來(lái)說(shuō)就是“專(zhuān)業(yè)的事交給專(zhuān)業(yè)的人”，也只有專(zhuān)業(yè)的人，在實(shí)現(xiàn)ITDR技術(shù)落地之時(shí)，才能對(duì)客戶(hù)身份安全全場(chǎng)景實(shí)現(xiàn)覆蓋。從場(chǎng)景上來(lái)看，比如辦公網(wǎng)AD的身份覆蓋，或是生產(chǎn)網(wǎng)堡壘機(jī)的身份覆蓋。

　　上圖為中安網(wǎng)星ITDR技術(shù)路線(xiàn)圖

　　楊常城也認(rèn)為，隨著ITDR整合身份覆蓋的領(lǐng)域在未來(lái)的進(jìn)一步加深，其解決方案的應(yīng)用廣度和整合效果也會(huì)進(jìn)一步提升。而這一點(diǎn)，也是基于中安網(wǎng)星的ITDR落地實(shí)踐的一線(xiàn)觀察，其將與技術(shù)壁壘，技術(shù)模型一道，影響ITDR是否能夠廣泛落地應(yīng)用的前提。

　　身份安全技術(shù)目前在國(guó)外發(fā)展極快，且其市場(chǎng)價(jià)值得到了一眾頭部安全廠(chǎng)商的認(rèn)同，而頭部廠(chǎng)商就會(huì)比較粗暴，會(huì)直接收購(gòu)相關(guān)的身份安全創(chuàng)新廠(chǎng)商，直接補(bǔ)足自身能力。所以隨著Gartner進(jìn)一步的推波助瀾，已有大量追隨者涌入了這一賽道。

　　而在國(guó)內(nèi)，ITDR所對(duì)應(yīng)的技術(shù)賽道還處于起步階段，中安網(wǎng)星目前算是國(guó)內(nèi)ITDR賽道上的孤獨(dú)舞者，楊常城分析現(xiàn)階段這種孤獨(dú)主要源于兩大方面原因：其一當(dāng)然是技術(shù)上的，比如自身所擁有的防護(hù)模型覆蓋能力，具體的技術(shù)分析和響應(yīng)能力，這一點(diǎn)與自身的安全基因息息相關(guān)，而更重要的是市場(chǎng)原因。

　　因?yàn)樵谑袌?chǎng)方面，完整的ITDR技術(shù)要覆蓋的客戶(hù)群其實(shí)是行業(yè)生態(tài)的中上游客戶(hù)，所以當(dāng)技術(shù)尚未達(dá)到廣泛認(rèn)同階段之時(shí)，市場(chǎng)化信心難免不足，其技術(shù)落地甚至?xí)槠５珬畛３沁€是堅(jiān)持認(rèn)同ITDR的市場(chǎng)價(jià)值和應(yīng)用價(jià)值，其實(shí)這也是源于其服務(wù)的客戶(hù)從實(shí)踐中取得的積極反饋。

　　至于ITDR在國(guó)內(nèi)未來(lái)的發(fā)展如何，隨著新興的身份技術(shù)的快速增長(zhǎng)，比如零信任技術(shù)的落地部署在最近兩年就持續(xù)上漲，身份安全預(yù)期也會(huì)水漲船高。楊常城還指出了ITDR在其它解決方案當(dāng)中的融合價(jià)值，比如在XDR技術(shù)當(dāng)中的融合價(jià)值，即本身應(yīng)用之外行業(yè)生態(tài)價(jià)值也十分明顯。

　　Gartner為ITDR預(yù)期的目標(biāo)受眾是5%至20%的市場(chǎng)滲透率，結(jié)合國(guó)內(nèi)身份安全真實(shí)發(fā)展情況，楊常城認(rèn)為國(guó)內(nèi)離這一目標(biāo)其實(shí)還有段距離。但他堅(jiān)信，隨著用戶(hù)對(duì)身份安全的認(rèn)識(shí)逐漸提高，并體驗(yàn)到了ITDR產(chǎn)品的魅力，未來(lái)身份安全市場(chǎng)份額也會(huì)不斷提高。他心理預(yù)期的身份安全市場(chǎng)甚至?xí)嫉秸w網(wǎng)安市場(chǎng)的15-20%之間。

更多信息可以來(lái)這里獲取==>>電子技術(shù)應(yīng)用-AET<<