ITDR技术提出之后不久,Gartner在今年七月份发布《2022安全运营技术成熟度曲线》报告对其做出了相对较完整的介绍,在相关厂商推荐方面,我们看到的是清一色的国外安全厂商,如CorwdStrike、Tenable、Illusive、Silverfort等等厂商,那么ITDR在国内发展如何?
中安网星创始人兼CEO杨常城
中安网星(网星安全)是一家成立不久的初创型安全公司,这家公司留给外部的印象一直在做AD域安全,实际上定位为企业解决身份威胁安全防护的一家安全供应商,其发展方向与ITDR技术赛道完全重合。近日,安全419就邀请到了中安网星创始人兼CEO杨常城,就其对ITDR技术发展和落地进行了相关了解。
安全新边界 ITDR是必然产物
杨常城向安全419表示,中安网星成立之初就定位为企业解决身份威胁安全防护的安全供应商,且是国内率先将AD(Active Directory)安全进行产品化的专业身份安全赛道上的创新型网络安全公司。之所大家会给中安网星打上AD安全这个标签,他认为很大一部分原因是市场侧对其AD安全产品的积极反馈。据悉,中安网星的AD安全产品已部署于近百家头部客户。
杨常城创办中安网星不久,次年即入选福布斯中国U30,这是对其在创新力、领导力、影响力等多维度的潜力认可。在其带领下,中安网星最近两年成长为国内一线身份安全厂商,并开始践行ITDR战略落地。对此他指出,AD域安全本身就是ITDR当中不可或缺的一部分。
ITDR赛道可以说是一个新的技术方向,其前瞻性视野主要来源于攻防趋势上的变化。
对此杨常城解释称,过去IT架构相较简单的时候边界防火墙是企业刚需,到Web2.0时代用户开始和大量的互联网应用进行交互,Web应用防护墙(waf)开始成为标配。现在,随着整个IT架构逐渐云化及复杂化,身份将成为下一个新边界,将成为攻防两端争夺的控制点。
所以杨常城认为,新的阶段就需要新的技术来实现安全上的兜底工作,他直言,身份威胁和响应(ITDR)就是这个新阶段的必然产物。
已具备市场土壤 ITDR未来可期
杨常城总结指出,未来身份类攻击将充斥在攻击链路的任何环节里面。“身份类攻击会越来多元,不仅仅是身份口令爆破、密码窃取等攻击技术手段。对于企业用户而言,与其相关的身份基础设施将会成为攻击重点,比如IAM、AD、PAM、4A、vCenter等基础设施将成为主要的攻击对象。”
对此也不难理解,身份类基础设施具有保存密码多、控制节点多、网络权限广等集权属性,其攻击价值不要太完美。ITDR技术的核心就是保护和监控这些身份基础设施不被攻击,并能够很好地去抑制攻击链的形成。
ITDR技术刚刚兴起,观察发现先行者主要是一些国外的网络安全公司,甚至已经涌现了一波独角兽公司。杨常城表示,国内ITDR发展还属于起步阶段,中安网星在实践ITDR方面在国内处于领先地位,与国际上的同行相比,其同样具备极强竞争力。
杨常城分享认为,身份现在是安全的基石,ITDR在落地实践方面有几块必要的核心能力,分别是加固企业侧的身份集权设施,监测阻断身份类的攻击风险,以及对身份资产进行分析梳理等。
据悉,基于ITDR理念的指导,并结合自身对于身份威胁安全防护技术的落地理解,中安网星目前已经构建一个ITDR平台,该平台可统一实现对各类身份设施(AD、vCenter、PAM、IAM等)的监控和保护。
在市场应用方面杨常城表示,过去企业侧已有的身份基础设施,包括生产网用堡垒机、办公网用AD、隔离网用云桌面、内部虚拟化vCenter等,这些土壤足够支撑ITDR方向企业现阶段的发展。现在,随着零信任浪潮的来袭,身份厂商的快速发展,客户的身份设施更加多样化,这让ITDR可预期的业务爆发增长进一步得到夯实。
场景应用展现价值,打开安全运营新思路
在当下数字时代,远程办公等场景下,企业数字资产已大幅增加,因此企业也创建了大量的数字身份,身份攻击面也被无限放大,使企业容易受到基于身份的威胁攻击,企业IT资产的任何账户,都需要进行监控,并对威胁做出响应。
以真实场景下的应用为例,杨常城分享列举了几大ITDR核心价值:
在黑客攻防视角下,入侵检测是每一个大型互联网企业都要面对的严峻挑战,价值越高的公司,面临入侵的威胁也越大,从身份角度入手的安全检测能够从登录验证的角度发现安全问题,以此为检测核心可极大地提高安全检测能力。
“例如基于身份基础设施的攻击在历年的护网场景中就经常发生,ITDR能对身份进行监控还能对身份凭据进行安全防护,防止凭据落入攻击者手中。中安网星的ITDR解决方案在这方面已取得了亮眼表现。”
在以业务为视角下,当前多数企业存在大量业务风险,部分风险(如薅羊毛、刷单等)虽然没有SQL注入漏洞利用直接影响系统,但长期被羊毛党、刷单党光顾的企业生存下来的几率很低。ITDR可通过对通用业务账号的多种数据维度自动建立基线持续调优助力业务风控安全。
在安全运营视角下,过去企业往往无法对企业所有IT设施的身份做到统一管控,威胁也常伴而来,最近几年频繁爆发的行业重大安全事件,就有多起因员工凭证失窃所造成。
同时企业内部也常常发生离职员工的恶意破坏行为,ITDR技术通过智能检测,可识别权限滥用或恶意行为,做到实时监控,再到预防,及阻断,帮助企业管理内部安全威胁。
在该视角下,ITDR还可向企业提供安全合规新方案,针对身份基础设施进行相关防护与检测,可解决企业身份数据与平台合规问题。
杨常城总结了ITDR技术可落地的几大业务应用场景,分别是:
·合规审计(企业等级保护、身份数据合规审计)
·重保防护(快速反应未知攻击、及时了解身份行为)
·勒索防护(大部分勒索以身份设施为目标,防范大规模勒索沦陷)
·日常运营(日常身份威胁行为数据发现,当针对公司的内外渗透活动利用横移特性进行攻击,可检测相关威胁)
·护网利器(自定义设置,将关键账号资产添加到敏感实体列表中,监控异常访问活动)
·红蓝对抗(想完全绕过常见身份攻击手法,不触发任何异常,将极大增加红队攻击成本)
据悉,以上场景化的ITDR技术落地,已经在结合现有的身份认证体系构建的中安网星ITDR平台上得到了应用,该平台可集中分析企业所有身份数据,以此达到身份安全统一审计、统一分析、统一运营。
身份威胁遍布杀伤链的各个阶段,为此中安网星ITDR平台运用了大量的安全技术来予以检测和响应,如攻击面管理技术、欺骗防御技术、机器学习技术、用户行为分析技术等等,最终平台通过多源身份数据采集,关联分析,实现身份安全价值落地。
ITDR初步展现生态价值 赛道独立受资本青睐
杨常城进一步分享了他对ITDR赛道价值的进一步观察,从用户侧的应用需求和价值方面,其认为在未来1到2年内,ITDR的关注应用会进入一个火热的阶段,因为他能解决的问题是绝大多数安全事件的主因;在生态价值方面,现阶段就已经显现,中安网星已经受到了多家头部身份认证管理厂商的关注,正在开展相关安全合作。
这也是ITDR技术的独特性,此前我们就认为,从落地实现角度来看,ITDR应该是一条独立的网安新赛道,因为技术独立的ITDR可以更好地融入到众多应用场景当中,针对不同场景的身份基础设施提供检测和响应,而非这些身份基础设施(厂商)独立集成。
生态价值方面ITDR技术所属的身份安全可以是独立的解决方案,也能够与其他安全产品形成联动,这也是ITDR最近几年在国际上发展趋势迅猛的主要原因。
所以我们会看到如谷歌54亿美元收购Mandiant,以及百亿美元市值的网络安全厂商SentinelOne以6.165亿美元收购Attivo Networks。后面这些都是专业的身份安全厂商,在ITDR技术实践上已有一定的领先性,大厂们一个是通过集成来获得相关能力,另外一个就是自研,而最直接的就是收购。
最近几年随着政策推动网安整体形势利好,一些技术创新型的初创安全公司总是颇受资本青睐,投身身份安全的中安网星虽然成立时间不长,但已经拿到了数轮融资,受到了行业和资本的广泛关注与看好。
“投资人现在非常看好身份安全市场,这是攻防趋势定义的不争事实。”据杨常城介绍称,中安网星前面轮次的融资侧重方向主要集中在团队的构建,其核心团队全部来自头部安全公司,具有优势的技术经验、产研经验和市场资源,后续的融资的侧重将是产品力和市场。
但对于一项新的技术方向性应用,ITDR的市场发展同样存在挑战,其中最大的问题主要是市场侧对ITDR了解不多,仍存在一定的教育成本。
这种教育成本也会决定其ITDR产品策略上的灵活调整,杨常城称其为战略上的敏捷需要。中安网星已经推出的ITDR平台固然是客户基于全场景身份安全的最优解,但如果客户需要,中安网星ITDR在落上应用时也会考虑提供单点切入方式。
如从AD安全、Vcenter安全、云桌面安全等场景来直接切入客户,后续随着大家对ITDR的认知不断提升,其市场层面的挑战会迎刃而解。
尾声.疫情之下宝剑锋从磨砺出
虽然政策环境网络安全是利好的,但最近两年因为疫情原因,很多安全公司都面临着这样或那样的挑战,特别是初创公司,作为后疫情创业的一家公司掌舵人,杨常城也分享了在这种复杂环境下的企业经营心得。
他指出,作为TOB类初创公司,要想长期发展必须要有明确的战略定位,并努力打磨好产品。“宝剑锋从磨砺出,因为当客户预算紧张时只会为真正有意义、有价值的产品方案买单。”
新冠疫情确实影响了生产效率,也增加了公司的管理成本,这需要创业者控制好资金流。但我们也观察到,受疫情影响,企业的数字化进程也大幅加快,随之而来的是网络安全重要性进一步增加,攻击面越来越复杂,攻防趋势不断变化,这为新技术提供了充分的生长土壤。
作为国内首批ITDR实践者,中安网星已经率先落地了ITDR的部分场景,据杨常城介绍,未来中安网星会随着不断的技术沉淀和对客户细分场景公关渗透,完成多场景、全链路的ITDR身份安全能力覆盖交付,为更多的客户展现ITDR技术价值与魅力。