調(diào)研機構(gòu)Gartner在最近兩年提出了多項新的安全運營技術(shù)，其中身份威脅檢測和響應(yīng)（Identity Threat Detection and Response,以下簡稱：ITDR）就是其中之一，Gartner曾將“身份優(yōu)先安全”作為一項最重要的趨勢，定義了2022年企業(yè)客戶重點需要解決的安全新工作，ITDR技術(shù)的提出，就是身份優(yōu)先安全的落地實踐。

　　ITDR技術(shù)提出之后不久，Gartner在今年七月份發(fā)布《2022安全運營技術(shù)成熟度曲線》報告對其做出了相對較完整的介紹，在相關(guān)廠商推薦方面，我們看到的是清一色的國外安全廠商，如CorwdStrike、Tenable、Illusive、Silverfort等等廠商，那么ITDR在國內(nèi)發(fā)展如何？

　　中安網(wǎng)星（網(wǎng)星安全）是一家成立不久的初創(chuàng)型安全公司，這家公司留給外部的印象一直在做AD域安全，實際上定位為企業(yè)解決身份威脅安全防護的一家安全供應(yīng)商，其發(fā)展方向與ITDR技術(shù)賽道完全重合。近日，安全419就邀請到了中安網(wǎng)星創(chuàng)始人兼CEO楊常城，就其對ITDR技術(shù)發(fā)展和落地進(jìn)行了相關(guān)了解。

　　安全新邊界 ITDR是必然產(chǎn)物

　　楊常城向安全419表示，中安網(wǎng)星成立之初就定位為企業(yè)解決身份威脅安全防護的安全供應(yīng)商，且是國內(nèi)率先將AD（Active Directory）安全進(jìn)行產(chǎn)品化的專業(yè)身份安全賽道上的創(chuàng)新型網(wǎng)絡(luò)安全公司。之所大家會給中安網(wǎng)星打上AD安全這個標(biāo)簽，他認(rèn)為很大一部分原因是市場側(cè)對其AD安全產(chǎn)品的積極反饋。據(jù)悉，中安網(wǎng)星的AD安全產(chǎn)品已部署于近百家頭部客戶。

　　楊常城創(chuàng)辦中安網(wǎng)星不久，次年即入選福布斯中國U30，這是對其在創(chuàng)新力、領(lǐng)導(dǎo)力、影響力等多維度的潛力認(rèn)可。在其帶領(lǐng)下，中安網(wǎng)星最近兩年成長為國內(nèi)一線身份安全廠商，并開始踐行ITDR戰(zhàn)略落地。對此他指出，AD域安全本身就是ITDR當(dāng)中不可或缺的一部分。

　　在介紹公司未來發(fā)展時楊常城強調(diào)，中安網(wǎng)星未來會圍繞著ITDR戰(zhàn)略，將AD、vCenter、PAM、IAM、K8S等全身份場景進(jìn)行產(chǎn)品化落地。

　　ITDR賽道可以說是一個新的技術(shù)方向，其前瞻性視野主要來源于攻防趨勢上的變化。

　　對此楊常城解釋稱，過去IT架構(gòu)相較簡單的時候邊界防火墻是企業(yè)剛需，到Web2.0時代用戶開始和大量的互聯(lián)網(wǎng)應(yīng)用進(jìn)行交互，Web應(yīng)用防護墻（waf）開始成為標(biāo)配?，F(xiàn)在，隨著整個IT架構(gòu)逐漸云化及復(fù)雜化，身份將成為下一個新邊界，將成為攻防兩端爭奪的控制點。

　　所以楊常城認(rèn)為，新的階段就需要新的技術(shù)來實現(xiàn)安全上的兜底工作，他直言，身份威脅和響應(yīng)（ITDR）就是這個新階段的必然產(chǎn)物。

　　已具備市場土壤 ITDR未來可期

　　楊常城總結(jié)指出，未來身份類攻擊將充斥在攻擊鏈路的任何環(huán)節(jié)里面。“身份類攻擊會越來多元，不僅僅是身份口令爆破、密碼竊取等攻擊技術(shù)手段。對于企業(yè)用戶而言，與其相關(guān)的身份基礎(chǔ)設(shè)施將會成為攻擊重點，比如IAM、AD、PAM、4A、vCenter等基礎(chǔ)設(shè)施將成為主要的攻擊對象?！?/p>

　　對此也不難理解，身份類基礎(chǔ)設(shè)施具有保存密碼多、控制節(jié)點多、網(wǎng)絡(luò)權(quán)限廣等集權(quán)屬性，其攻擊價值不要太完美。ITDR技術(shù)的核心就是保護和監(jiān)控這些身份基礎(chǔ)設(shè)施不被攻擊，并能夠很好地去抑制攻擊鏈的形成。

　　ITDR技術(shù)剛剛興起，觀察發(fā)現(xiàn)先行者主要是一些國外的網(wǎng)絡(luò)安全公司，甚至已經(jīng)涌現(xiàn)了一波獨角獸公司。楊常城表示，國內(nèi)ITDR發(fā)展還屬于起步階段，中安網(wǎng)星在實踐ITDR方面在國內(nèi)處于領(lǐng)先地位，與國際上的同行相比，其同樣具備極強競爭力。

　　楊常城分享認(rèn)為，身份現(xiàn)在是安全的基石，ITDR在落地實踐方面有幾塊必要的核心能力，分別是加固企業(yè)側(cè)的身份集權(quán)設(shè)施，監(jiān)測阻斷身份類的攻擊風(fēng)險，以及對身份資產(chǎn)進(jìn)行分析梳理等。

　　據(jù)悉，基于ITDR理念的指導(dǎo)，并結(jié)合自身對于身份威脅安全防護技術(shù)的落地理解，中安網(wǎng)星目前已經(jīng)構(gòu)建一個ITDR平臺，該平臺可統(tǒng)一實現(xiàn)對各類身份設(shè)施（AD、vCenter、PAM、IAM等）的監(jiān)控和保護。

　　在市場應(yīng)用方面楊常城表示，過去企業(yè)側(cè)已有的身份基礎(chǔ)設(shè)施，包括生產(chǎn)網(wǎng)用堡壘機、辦公網(wǎng)用AD、隔離網(wǎng)用云桌面、內(nèi)部虛擬化vCenter等，這些土壤足夠支撐ITDR方向企業(yè)現(xiàn)階段的發(fā)展。現(xiàn)在，隨著零信任浪潮的來襲，身份廠商的快速發(fā)展，客戶的身份設(shè)施更加多樣化，這讓ITDR可預(yù)期的業(yè)務(wù)爆發(fā)增長進(jìn)一步得到夯實。

　　場景應(yīng)用展現(xiàn)價值 打開安全運營新思路

　　在當(dāng)下數(shù)字時代，遠(yuǎn)程辦公等場景下，企業(yè)數(shù)字資產(chǎn)已大幅增加，因此企業(yè)也創(chuàng)建了大量的數(shù)字身份，身份攻擊面也被無限放大，使企業(yè)容易受到基于身份的威脅攻擊，企業(yè)IT資產(chǎn)的任何賬戶，都需要進(jìn)行監(jiān)控，并對威脅做出響應(yīng)。

　　以真實場景下的應(yīng)用為例

　　楊常城分享列舉了幾大ITDR核心價值：

　　在黑客攻防視角下，入侵檢測是每一個大型互聯(lián)網(wǎng)企業(yè)都要面對的嚴(yán)峻挑戰(zhàn)，價值越高的公司，面臨入侵的威脅也越大，從身份角度入手的安全檢測能夠從登錄驗證的角度發(fā)現(xiàn)安全問題，以此為檢測核心可極大地提高安全檢測能力。

　　“例如基于身份基礎(chǔ)設(shè)施的攻擊在歷年的護網(wǎng)場景中就經(jīng)常發(fā)生，ITDR能對身份進(jìn)行監(jiān)控還能對身份憑據(jù)進(jìn)行安全防護，防止憑據(jù)落入攻擊者手中。中安網(wǎng)星的ITDR解決方案在這方面已取得了亮眼表現(xiàn)?！?/p>

　　在以業(yè)務(wù)為視角下，當(dāng)前多數(shù)企業(yè)存在大量業(yè)務(wù)風(fēng)險（如薅羊毛、刷單等），長期被羊毛黨、刷單黨光顧的企業(yè)生存下來的幾率很低。ITDR可通過對通用業(yè)務(wù)賬號的多種數(shù)據(jù)維度自動建立基線持續(xù)調(diào)優(yōu)助力業(yè)務(wù)風(fēng)控安全。

　　在安全運營視角下，過去企業(yè)往往無法對企業(yè)所有IT設(shè)施的身份做到統(tǒng)一管控，威脅也常伴而來，最近幾年頻繁爆發(fā)的行業(yè)重大安全事件，就有多起因員工憑證失竊所造成。

　　同時企業(yè)內(nèi)部也常常發(fā)生離職員工的惡意破壞行為，ITDR技術(shù)通過智能檢測，可識別權(quán)限濫用或惡意行為，做到實時監(jiān)控，再到預(yù)防，及阻斷，幫助企業(yè)管理內(nèi)部安全威脅。

　　在該視角下，ITDR還可向企業(yè)提供安全合規(guī)新方案，針對身份基礎(chǔ)設(shè)施進(jìn)行相關(guān)防護與檢測，可解決企業(yè)身份數(shù)據(jù)與平臺合規(guī)問題。

　　楊常城總結(jié)了ITDR技術(shù)可落地的幾大業(yè)務(wù)應(yīng)用場景，分別是：

　　● 合規(guī)審計（企業(yè)等級保護、身份數(shù)據(jù)合規(guī)審計）

　　● 重保防護（快速反應(yīng)未知攻擊、及時了解身份行為）

　　● 勒索防護（大部分勒索以身份設(shè)施為目標(biāo)，防范大規(guī)模勒索淪陷）

　　● 日常運營（日常身份威脅行為數(shù)據(jù)發(fā)現(xiàn)，當(dāng)針對公司的內(nèi)外滲透活動利用橫移特性進(jìn)行攻擊，可檢測相關(guān)威脅）

　　● 護網(wǎng)利器（自定義設(shè)置，將關(guān)鍵賬號資產(chǎn)添加到敏感實體列表中，監(jiān)控異常訪問活動）

　　● 紅藍(lán)對抗（想完全繞過常見身份攻擊手法，不觸發(fā)任何異常，將極大增加紅隊攻擊成本）

　　據(jù)悉，以上場景化的ITDR技術(shù)落地，已經(jīng)在結(jié)合現(xiàn)有的身份認(rèn)證體系構(gòu)建的中安網(wǎng)星ITDR平臺上得到了應(yīng)用，該平臺可集中分析企業(yè)所有身份數(shù)據(jù)，以此達(dá)到身份安全統(tǒng)一審計、統(tǒng)一分析、統(tǒng)一運營。

　　身份威脅遍布?xì)湹母鱾€階段，為此中安網(wǎng)星ITDR平臺運用了大量的安全技術(shù)來予以檢測和響應(yīng)，如攻擊面管理技術(shù)、欺騙防御技術(shù)、機器學(xué)習(xí)技術(shù)、用戶行為分析技術(shù)等等，最終平臺通過多源身份數(shù)據(jù)采集，關(guān)聯(lián)分析，實現(xiàn)身份安全價值落地。

　　ITDR初步展現(xiàn)生態(tài)價值 賽道獨立受資本青睞

　　楊常城進(jìn)一步分享了他對ITDR賽道價值的進(jìn)一步觀察，從用戶側(cè)的應(yīng)用需求和價值方面，其認(rèn)為在未來1到2年內(nèi)，ITDR的關(guān)注應(yīng)用會進(jìn)入一個火熱的階段，因為他能解決的問題是絕大多數(shù)安全事件的主因；在生態(tài)價值方面，現(xiàn)階段就已經(jīng)顯現(xiàn)，中安網(wǎng)星已經(jīng)受到了多家頭部身份認(rèn)證管理廠商的關(guān)注，正在開展相關(guān)安全合作。

　　這也是ITDR技術(shù)的獨特性，此前我們就認(rèn)為，從落地實現(xiàn)角度來看，ITDR應(yīng)該是一條獨立的網(wǎng)安新賽道，因為技術(shù)獨立的ITDR可以更好地融入到眾多應(yīng)用場景當(dāng)中，針對不同場景的身份基礎(chǔ)設(shè)施提供檢測和響應(yīng)，而非這些身份基礎(chǔ)設(shè)施（廠商）獨立集成。

　　生態(tài)價值方面ITDR技術(shù)所屬的身份安全可以是獨立的解決方案，也能夠與其他安全產(chǎn)品形成聯(lián)動，這也是ITDR最近幾年在國際上發(fā)展趨勢迅猛的主要原因。

　　所以我們會看到如谷歌54億美元收購Mandiant，以及百億美元市值的網(wǎng)絡(luò)安全廠商SentinelOne以6.165億美元收購Attivo Networks。后面這些都是專業(yè)的身份安全廠商，在ITDR技術(shù)實踐上已有一定的領(lǐng)先性，大廠們一個是通過集成來獲得相關(guān)能力，另外一個就是自研，而最直接的就是收購。

　　最近幾年隨著政策推動網(wǎng)安整體形勢利好，一些技術(shù)創(chuàng)新型的初創(chuàng)安全公司總是頗受資本青睞，投身身份安全的中安網(wǎng)星雖然成立時間不長，但已經(jīng)拿到了數(shù)輪融資，受到了行業(yè)和資本的廣泛關(guān)注與看好。

　　“投資人現(xiàn)在非?？春蒙矸萃{檢測市場，這是安全趨勢定義的不爭事實?！睋?jù)楊常城介紹稱，中安網(wǎng)星前面輪次的融資側(cè)重方向主要集中在團隊的構(gòu)建，其核心團隊全部來自頭部安全公司，具有優(yōu)勢的技術(shù)經(jīng)驗、產(chǎn)研經(jīng)驗和市場資源，后續(xù)的融資的側(cè)重將是產(chǎn)品力和市場。

　　但對于一項新的技術(shù)方向性應(yīng)用，ITDR的市場發(fā)展同樣存在挑戰(zhàn)，其中最大的問題主要是市場側(cè)對ITDR了解不多，仍存在一定的教育成本。

　　這種教育成本也會決定其ITDR產(chǎn)品策略上的靈活調(diào)整，楊常城稱其為戰(zhàn)略上的敏捷需要。中安網(wǎng)星已經(jīng)推出的ITDR平臺固然是客戶基于全場景身份安全的最優(yōu)解，但如果客戶需要，中安網(wǎng)星ITDR在落上應(yīng)用時也會考慮提供單點切入方式。

　　如從AD安全、Vcenter安全、云桌面安全等場景來直接切入客戶，后續(xù)隨著大家對ITDR的認(rèn)知不斷提升，其市場層面的挑戰(zhàn)會迎刃而解。

　　尾聲 疫情之下寶劍鋒從磨礪出

　　雖然政策環(huán)境網(wǎng)絡(luò)安全是利好的，但最近兩年因為疫情原因，很多安全公司都面臨著這樣或那樣的挑戰(zhàn)，特別是初創(chuàng)公司，作為后疫情創(chuàng)業(yè)的一家公司掌舵人，楊常城也分享了在這種復(fù)雜環(huán)境下的企業(yè)經(jīng)營心得。

　　他指出，作為TOB類初創(chuàng)公司，要想長期發(fā)展必須要有明確的戰(zhàn)略定位，并努力打磨好產(chǎn)品?！皩殑︿h從磨礪出，因為當(dāng)客戶預(yù)算緊張時只會為真正有意義、有價值的產(chǎn)品方案買單。”

　　新冠疫情確實影響了生產(chǎn)效率，也增加了公司的管理成本，這需要創(chuàng)業(yè)者控制好資金流。但我們也觀察到，受疫情影響，企業(yè)的數(shù)字化進(jìn)程也大幅加快，隨之而來的是網(wǎng)絡(luò)安全重要性進(jìn)一步增加，攻擊面越來越復(fù)雜，攻防趨勢不斷變化，這為新技術(shù)提供了充分的生長土壤。

　　作為國內(nèi)首批ITDR實踐者，中安網(wǎng)星已經(jīng)率先落地了ITDR的部分場景，據(jù)楊常城介紹，未來中安網(wǎng)星會隨著不斷的技術(shù)沉淀和對客戶細(xì)分場景攻關(guān)滲透，完成多場景、全鏈路的ITDR身份安全能力覆蓋交付，為更多的客戶展現(xiàn)ITDR技術(shù)價值與魅力。

更多信息可以來這里獲取==>>電子技術(shù)應(yīng)用-AET<<