調(diào)研機(jī)構(gòu)Gartner在最近兩年提出了多項(xiàng)新的安全運(yùn)營(yíng)技術(shù)，其中身份威脅檢測(cè)和響應(yīng)（Identity Threat Detection and Response,以下簡(jiǎn)稱(chēng)：ITDR）就是其中之一，Gartner曾將“身份優(yōu)先安全”作為一項(xiàng)最重要的趨勢(shì)，定義了2022年企業(yè)客戶(hù)重點(diǎn)需要解決的安全新工作，ITDR技術(shù)的提出，就是身份優(yōu)先安全的落地實(shí)踐。

　　ITDR技術(shù)提出之后不久，Gartner在今年七月份發(fā)布《2022安全運(yùn)營(yíng)技術(shù)成熟度曲線》報(bào)告對(duì)其做出了相對(duì)較完整的介紹，在相關(guān)廠商推薦方面，我們看到的是清一色的國(guó)外安全廠商，如CorwdStrike、Tenable、Illusive、Silverfort等等廠商，那么ITDR在國(guó)內(nèi)發(fā)展如何？

　　中安網(wǎng)星（網(wǎng)星安全）是一家成立不久的初創(chuàng)型安全公司，這家公司留給外部的印象一直在做AD域安全，實(shí)際上定位為企業(yè)解決身份威脅安全防護(hù)的一家安全供應(yīng)商，其發(fā)展方向與ITDR技術(shù)賽道完全重合。近日，安全419就邀請(qǐng)到了中安網(wǎng)星創(chuàng)始人兼CEO楊常城，就其對(duì)ITDR技術(shù)發(fā)展和落地進(jìn)行了相關(guān)了解。

　　安全新邊界 ITDR是必然產(chǎn)物

　　楊常城向安全419表示，中安網(wǎng)星成立之初就定位為企業(yè)解決身份威脅安全防護(hù)的安全供應(yīng)商，且是國(guó)內(nèi)率先將AD（Active Directory）安全進(jìn)行產(chǎn)品化的專(zhuān)業(yè)身份安全賽道上的創(chuàng)新型網(wǎng)絡(luò)安全公司。之所大家會(huì)給中安網(wǎng)星打上AD安全這個(gè)標(biāo)簽，他認(rèn)為很大一部分原因是市場(chǎng)側(cè)對(duì)其AD安全產(chǎn)品的積極反饋。據(jù)悉，中安網(wǎng)星的AD安全產(chǎn)品已部署于近百家頭部客戶(hù)。

　　楊常城創(chuàng)辦中安網(wǎng)星不久，次年即入選福布斯中國(guó)U30，這是對(duì)其在創(chuàng)新力、領(lǐng)導(dǎo)力、影響力等多維度的潛力認(rèn)可。在其帶領(lǐng)下，中安網(wǎng)星最近兩年成長(zhǎng)為國(guó)內(nèi)一線身份安全廠商，并開(kāi)始踐行ITDR戰(zhàn)略落地。對(duì)此他指出，AD域安全本身就是ITDR當(dāng)中不可或缺的一部分。

　　在介紹公司未來(lái)發(fā)展時(shí)楊常城強(qiáng)調(diào)，中安網(wǎng)星未來(lái)會(huì)圍繞著ITDR戰(zhàn)略，將AD、vCenter、PAM、IAM、K8S等全身份場(chǎng)景進(jìn)行產(chǎn)品化落地。

　　ITDR賽道可以說(shuō)是一個(gè)新的技術(shù)方向，其前瞻性視野主要來(lái)源于攻防趨勢(shì)上的變化。

　　對(duì)此楊常城解釋稱(chēng)，過(guò)去IT架構(gòu)相較簡(jiǎn)單的時(shí)候邊界防火墻是企業(yè)剛需，到Web2.0時(shí)代用戶(hù)開(kāi)始和大量的互聯(lián)網(wǎng)應(yīng)用進(jìn)行交互，Web應(yīng)用防護(hù)墻（waf）開(kāi)始成為標(biāo)配?，F(xiàn)在，隨著整個(gè)IT架構(gòu)逐漸云化及復(fù)雜化，身份將成為下一個(gè)新邊界，將成為攻防兩端爭(zhēng)奪的控制點(diǎn)。

　　所以楊常城認(rèn)為，新的階段就需要新的技術(shù)來(lái)實(shí)現(xiàn)安全上的兜底工作，他直言，身份威脅和響應(yīng)（ITDR）就是這個(gè)新階段的必然產(chǎn)物。

　　已具備市場(chǎng)土壤 ITDR未來(lái)可期

　　楊常城總結(jié)指出，未來(lái)身份類(lèi)攻擊將充斥在攻擊鏈路的任何環(huán)節(jié)里面?！吧矸蓊?lèi)攻擊會(huì)越來(lái)多元，不僅僅是身份口令爆破、密碼竊取等攻擊技術(shù)手段。對(duì)于企業(yè)用戶(hù)而言，與其相關(guān)的身份基礎(chǔ)設(shè)施將會(huì)成為攻擊重點(diǎn)，比如IAM、AD、PAM、4A、vCenter等基礎(chǔ)設(shè)施將成為主要的攻擊對(duì)象?！?/p>

　　對(duì)此也不難理解，身份類(lèi)基礎(chǔ)設(shè)施具有保存密碼多、控制節(jié)點(diǎn)多、網(wǎng)絡(luò)權(quán)限廣等集權(quán)屬性，其攻擊價(jià)值不要太完美。ITDR技術(shù)的核心就是保護(hù)和監(jiān)控這些身份基礎(chǔ)設(shè)施不被攻擊，并能夠很好地去抑制攻擊鏈的形成。

　　ITDR技術(shù)剛剛興起，觀察發(fā)現(xiàn)先行者主要是一些國(guó)外的網(wǎng)絡(luò)安全公司，甚至已經(jīng)涌現(xiàn)了一波獨(dú)角獸公司。楊常城表示，國(guó)內(nèi)ITDR發(fā)展還屬于起步階段，中安網(wǎng)星在實(shí)踐ITDR方面在國(guó)內(nèi)處于領(lǐng)先地位，與國(guó)際上的同行相比，其同樣具備極強(qiáng)競(jìng)爭(zhēng)力。

　　楊常城分享認(rèn)為，身份現(xiàn)在是安全的基石，ITDR在落地實(shí)踐方面有幾塊必要的核心能力，分別是加固企業(yè)側(cè)的身份集權(quán)設(shè)施，監(jiān)測(cè)阻斷身份類(lèi)的攻擊風(fēng)險(xiǎn)，以及對(duì)身份資產(chǎn)進(jìn)行分析梳理等。

　　據(jù)悉，基于ITDR理念的指導(dǎo)，并結(jié)合自身對(duì)于身份威脅安全防護(hù)技術(shù)的落地理解，中安網(wǎng)星目前已經(jīng)構(gòu)建一個(gè)ITDR平臺(tái)，該平臺(tái)可統(tǒng)一實(shí)現(xiàn)對(duì)各類(lèi)身份設(shè)施（AD、vCenter、PAM、IAM等）的監(jiān)控和保護(hù)。

　　在市場(chǎng)應(yīng)用方面楊常城表示，過(guò)去企業(yè)側(cè)已有的身份基礎(chǔ)設(shè)施，包括生產(chǎn)網(wǎng)用堡壘機(jī)、辦公網(wǎng)用AD、隔離網(wǎng)用云桌面、內(nèi)部虛擬化vCenter等，這些土壤足夠支撐ITDR方向企業(yè)現(xiàn)階段的發(fā)展。現(xiàn)在，隨著零信任浪潮的來(lái)襲，身份廠商的快速發(fā)展，客戶(hù)的身份設(shè)施更加多樣化，這讓ITDR可預(yù)期的業(yè)務(wù)爆發(fā)增長(zhǎng)進(jìn)一步得到夯實(shí)。

　　場(chǎng)景應(yīng)用展現(xiàn)價(jià)值 打開(kāi)安全運(yùn)營(yíng)新思路

　　在當(dāng)下數(shù)字時(shí)代，遠(yuǎn)程辦公等場(chǎng)景下，企業(yè)數(shù)字資產(chǎn)已大幅增加，因此企業(yè)也創(chuàng)建了大量的數(shù)字身份，身份攻擊面也被無(wú)限放大，使企業(yè)容易受到基于身份的威脅攻擊，企業(yè)IT資產(chǎn)的任何賬戶(hù)，都需要進(jìn)行監(jiān)控，并對(duì)威脅做出響應(yīng)。

　　以真實(shí)場(chǎng)景下的應(yīng)用為例

　　楊常城分享列舉了幾大ITDR核心價(jià)值：

　　在黑客攻防視角下，入侵檢測(cè)是每一個(gè)大型互聯(lián)網(wǎng)企業(yè)都要面對(duì)的嚴(yán)峻挑戰(zhàn)，價(jià)值越高的公司，面臨入侵的威脅也越大，從身份角度入手的安全檢測(cè)能夠從登錄驗(yàn)證的角度發(fā)現(xiàn)安全問(wèn)題，以此為檢測(cè)核心可極大地提高安全檢測(cè)能力。

　　“例如基于身份基礎(chǔ)設(shè)施的攻擊在歷年的護(hù)網(wǎng)場(chǎng)景中就經(jīng)常發(fā)生，ITDR能對(duì)身份進(jìn)行監(jiān)控還能對(duì)身份憑據(jù)進(jìn)行安全防護(hù)，防止憑據(jù)落入攻擊者手中。中安網(wǎng)星的ITDR解決方案在這方面已取得了亮眼表現(xiàn)?！?/p>

　　在以業(yè)務(wù)為視角下，當(dāng)前多數(shù)企業(yè)存在大量業(yè)務(wù)風(fēng)險(xiǎn)（如薅羊毛、刷單等），長(zhǎng)期被羊毛黨、刷單黨光顧的企業(yè)生存下來(lái)的幾率很低。ITDR可通過(guò)對(duì)通用業(yè)務(wù)賬號(hào)的多種數(shù)據(jù)維度自動(dòng)建立基線持續(xù)調(diào)優(yōu)助力業(yè)務(wù)風(fēng)控安全。

　　在安全運(yùn)營(yíng)視角下，過(guò)去企業(yè)往往無(wú)法對(duì)企業(yè)所有IT設(shè)施的身份做到統(tǒng)一管控，威脅也常伴而來(lái)，最近幾年頻繁爆發(fā)的行業(yè)重大安全事件，就有多起因員工憑證失竊所造成。

　　同時(shí)企業(yè)內(nèi)部也常常發(fā)生離職員工的惡意破壞行為，ITDR技術(shù)通過(guò)智能檢測(cè)，可識(shí)別權(quán)限濫用或惡意行為，做到實(shí)時(shí)監(jiān)控，再到預(yù)防，及阻斷，幫助企業(yè)管理內(nèi)部安全威脅。

　　在該視角下，ITDR還可向企業(yè)提供安全合規(guī)新方案，針對(duì)身份基礎(chǔ)設(shè)施進(jìn)行相關(guān)防護(hù)與檢測(cè)，可解決企業(yè)身份數(shù)據(jù)與平臺(tái)合規(guī)問(wèn)題。

　　楊常城總結(jié)了ITDR技術(shù)可落地的幾大業(yè)務(wù)應(yīng)用場(chǎng)景，分別是：

　　● 合規(guī)審計(jì)（企業(yè)等級(jí)保護(hù)、身份數(shù)據(jù)合規(guī)審計(jì)）

　　● 重保防護(hù)（快速反應(yīng)未知攻擊、及時(shí)了解身份行為）

　　● 勒索防護(hù)（大部分勒索以身份設(shè)施為目標(biāo)，防范大規(guī)模勒索淪陷）

　　● 日常運(yùn)營(yíng)（日常身份威脅行為數(shù)據(jù)發(fā)現(xiàn)，當(dāng)針對(duì)公司的內(nèi)外滲透活動(dòng)利用橫移特性進(jìn)行攻擊，可檢測(cè)相關(guān)威脅）

　　● 護(hù)網(wǎng)利器（自定義設(shè)置，將關(guān)鍵賬號(hào)資產(chǎn)添加到敏感實(shí)體列表中，監(jiān)控異常訪問(wèn)活動(dòng)）

　　● 紅藍(lán)對(duì)抗（想完全繞過(guò)常見(jiàn)身份攻擊手法，不觸發(fā)任何異常，將極大增加紅隊(duì)攻擊成本）

　　據(jù)悉，以上場(chǎng)景化的ITDR技術(shù)落地，已經(jīng)在結(jié)合現(xiàn)有的身份認(rèn)證體系構(gòu)建的中安網(wǎng)星ITDR平臺(tái)上得到了應(yīng)用，該平臺(tái)可集中分析企業(yè)所有身份數(shù)據(jù)，以此達(dá)到身份安全統(tǒng)一審計(jì)、統(tǒng)一分析、統(tǒng)一運(yùn)營(yíng)。

　　身份威脅遍布?xì)湹母鱾€(gè)階段，為此中安網(wǎng)星ITDR平臺(tái)運(yùn)用了大量的安全技術(shù)來(lái)予以檢測(cè)和響應(yīng)，如攻擊面管理技術(shù)、欺騙防御技術(shù)、機(jī)器學(xué)習(xí)技術(shù)、用戶(hù)行為分析技術(shù)等等，最終平臺(tái)通過(guò)多源身份數(shù)據(jù)采集，關(guān)聯(lián)分析，實(shí)現(xiàn)身份安全價(jià)值落地。

　　ITDR初步展現(xiàn)生態(tài)價(jià)值 賽道獨(dú)立受資本青睞

　　楊常城進(jìn)一步分享了他對(duì)ITDR賽道價(jià)值的進(jìn)一步觀察，從用戶(hù)側(cè)的應(yīng)用需求和價(jià)值方面，其認(rèn)為在未來(lái)1到2年內(nèi)，ITDR的關(guān)注應(yīng)用會(huì)進(jìn)入一個(gè)火熱的階段，因?yàn)樗芙鉀Q的問(wèn)題是絕大多數(shù)安全事件的主因；在生態(tài)價(jià)值方面，現(xiàn)階段就已經(jīng)顯現(xiàn)，中安網(wǎng)星已經(jīng)受到了多家頭部身份認(rèn)證管理廠商的關(guān)注，正在開(kāi)展相關(guān)安全合作。

　　這也是ITDR技術(shù)的獨(dú)特性，此前我們就認(rèn)為，從落地實(shí)現(xiàn)角度來(lái)看，ITDR應(yīng)該是一條獨(dú)立的網(wǎng)安新賽道，因?yàn)榧夹g(shù)獨(dú)立的ITDR可以更好地融入到眾多應(yīng)用場(chǎng)景當(dāng)中，針對(duì)不同場(chǎng)景的身份基礎(chǔ)設(shè)施提供檢測(cè)和響應(yīng)，而非這些身份基礎(chǔ)設(shè)施（廠商）獨(dú)立集成。

　　生態(tài)價(jià)值方面ITDR技術(shù)所屬的身份安全可以是獨(dú)立的解決方案，也能夠與其他安全產(chǎn)品形成聯(lián)動(dòng)，這也是ITDR最近幾年在國(guó)際上發(fā)展趨勢(shì)迅猛的主要原因。

　　所以我們會(huì)看到如谷歌54億美元收購(gòu)Mandiant，以及百億美元市值的網(wǎng)絡(luò)安全廠商SentinelOne以6.165億美元收購(gòu)Attivo Networks。后面這些都是專(zhuān)業(yè)的身份安全廠商，在ITDR技術(shù)實(shí)踐上已有一定的領(lǐng)先性，大廠們一個(gè)是通過(guò)集成來(lái)獲得相關(guān)能力，另外一個(gè)就是自研，而最直接的就是收購(gòu)。

　　最近幾年隨著政策推動(dòng)網(wǎng)安整體形勢(shì)利好，一些技術(shù)創(chuàng)新型的初創(chuàng)安全公司總是頗受資本青睞，投身身份安全的中安網(wǎng)星雖然成立時(shí)間不長(zhǎng)，但已經(jīng)拿到了數(shù)輪融資，受到了行業(yè)和資本的廣泛關(guān)注與看好。

　　“投資人現(xiàn)在非?？春蒙矸萃{檢測(cè)市場(chǎng)，這是安全趨勢(shì)定義的不爭(zhēng)事實(shí)。”據(jù)楊常城介紹稱(chēng)，中安網(wǎng)星前面輪次的融資側(cè)重方向主要集中在團(tuán)隊(duì)的構(gòu)建，其核心團(tuán)隊(duì)全部來(lái)自頭部安全公司，具有優(yōu)勢(shì)的技術(shù)經(jīng)驗(yàn)、產(chǎn)研經(jīng)驗(yàn)和市場(chǎng)資源，后續(xù)的融資的側(cè)重將是產(chǎn)品力和市場(chǎng)。

　　但對(duì)于一項(xiàng)新的技術(shù)方向性應(yīng)用，ITDR的市場(chǎng)發(fā)展同樣存在挑戰(zhàn)，其中最大的問(wèn)題主要是市場(chǎng)側(cè)對(duì)ITDR了解不多，仍存在一定的教育成本。

　　這種教育成本也會(huì)決定其ITDR產(chǎn)品策略上的靈活調(diào)整，楊常城稱(chēng)其為戰(zhàn)略上的敏捷需要。中安網(wǎng)星已經(jīng)推出的ITDR平臺(tái)固然是客戶(hù)基于全場(chǎng)景身份安全的最優(yōu)解，但如果客戶(hù)需要，中安網(wǎng)星ITDR在落上應(yīng)用時(shí)也會(huì)考慮提供單點(diǎn)切入方式。

　　如從AD安全、Vcenter安全、云桌面安全等場(chǎng)景來(lái)直接切入客戶(hù)，后續(xù)隨著大家對(duì)ITDR的認(rèn)知不斷提升，其市場(chǎng)層面的挑戰(zhàn)會(huì)迎刃而解。

　　尾聲 疫情之下寶劍鋒從磨礪出

　　雖然政策環(huán)境網(wǎng)絡(luò)安全是利好的，但最近兩年因?yàn)橐咔樵?，很多安全公司都面臨著這樣或那樣的挑戰(zhàn)，特別是初創(chuàng)公司，作為后疫情創(chuàng)業(yè)的一家公司掌舵人，楊常城也分享了在這種復(fù)雜環(huán)境下的企業(yè)經(jīng)營(yíng)心得。

　　他指出，作為T(mén)OB類(lèi)初創(chuàng)公司，要想長(zhǎng)期發(fā)展必須要有明確的戰(zhàn)略定位，并努力打磨好產(chǎn)品?！皩殑︿h從磨礪出，因?yàn)楫?dāng)客戶(hù)預(yù)算緊張時(shí)只會(huì)為真正有意義、有價(jià)值的產(chǎn)品方案買(mǎi)單?！?/p>

　　新冠疫情確實(shí)影響了生產(chǎn)效率，也增加了公司的管理成本，這需要?jiǎng)?chuàng)業(yè)者控制好資金流。但我們也觀察到，受疫情影響，企業(yè)的數(shù)字化進(jìn)程也大幅加快，隨之而來(lái)的是網(wǎng)絡(luò)安全重要性進(jìn)一步增加，攻擊面越來(lái)越復(fù)雜，攻防趨勢(shì)不斷變化，這為新技術(shù)提供了充分的生長(zhǎng)土壤。

　　作為國(guó)內(nèi)首批ITDR實(shí)踐者，中安網(wǎng)星已經(jīng)率先落地了ITDR的部分場(chǎng)景，據(jù)楊常城介紹，未來(lái)中安網(wǎng)星會(huì)隨著不斷的技術(shù)沉淀和對(duì)客戶(hù)細(xì)分場(chǎng)景攻關(guān)滲透，完成多場(chǎng)景、全鏈路的ITDR身份安全能力覆蓋交付，為更多的客戶(hù)展現(xiàn)ITDR技術(shù)價(jià)值與魅力。

更多信息可以來(lái)這里獲取==>>電子技術(shù)應(yīng)用-AET<<