安全新边界 ITDR身份安全技术赛道观察

首页 / 业界 / 资讯 /  正文
作者:闫小川
来源:安全419
发布于:2022-10-24
2022年7月,在Gartner发布的《2022安全运营技术成熟度曲线》报告当中,一项新的技术被正式提出——身份威胁检测和响应(Identity Threat Detection and Response,ITDR),该技术此前多次出现在Gartner发布的安全趋势报告当中,即对身份安全在未来安全领域的价值认可。



身份优先安全 Gartner眼中的ITDR
 
Gartner今年发布的数份安全趋势报告中曾提及身份优先安全,将其解读为安全管理者在未来必须解决的重要趋势之一,为应对趋势,身份威胁检测和响应(ITDR)技术被提出。
 
Gartner一并指出的是,混合办公和向云应用程序的迁移巩固了身份作为安全边界的趋势。身份优先安全并不是个新概念,但随着攻击者开始瞄准身份和访问管理功能以实现长期潜伏,身份优先安全变得更加紧迫。



在Gartner《2022安全运营技术成熟度曲线》报告中,ITDR被列为新兴技术,其效益等级为高,目标受众有着5%至20%的市场渗透率,这代表着Gartner对这项技术应用价值的潜在认可。从技术成熟度上来看,ITDR技术本身成熟度较高,Gartner预期未来2-5年即可达到主流应用。
 
报告中Gartner对ITDR技术的正式定义为:身份威胁检测和响应(ITDR)包括保护身份基础架构免受恶意攻击的工具和流程。他们可以发现和检测威胁、评估策略、响应威胁、调查潜在攻击并根据需要恢复正常操作。
 
对于ITDR技术的重要性,Gartner解释为随着身份变得越来越重要,攻击者越来越多地将目标对准身份基础设施本身,组织必须更加专注于保护其IAM基础设施。只有经过授权的用户、设备和服务才能访问您的系统,ITDR技术将为身份和访问管理(IAM)部署增加额外的安全层。
 
也就是说,Gartner定义ITDR这一全新技术,寄希望于解决双重趋势推动的核心问题——身份安全。双重趋势之一是安全边界的转变,之二是围绕着这一安全边界(身份)展开的攻击已经非常普遍,且缺乏专业的威胁检测和响应流程。
 
ITDR的核心价值 提供最大程度身份可见性
 
中安网星创始人兼CEO杨常城在接受安全419采访时也强调了安全边界已发生改变这一问题。比如过去我们对安全边界可以由防火墙来定义,到Web2.0时代则出现了Web应用防火墙。他指出,随着IT基础设施和应用向云、大、物、移转变,以及攻防技术的演变,身份已成为新的边界。
 
其中前者其实是非常好理解的,比如我们远程办公、移动应用,绝大多数的调用的都是云端程序,而非本地应用。从攻防技术角度来看,过去政府网站最常见的攻击是页面篡改,现在进入数字时代,更多的是以窃取政务数据为主,同时整个的攻击链路也在发生转变。
 
在复杂的攻击链路当中,身份将是一个核心的链路点,更是关键的检测点与阻断点。”杨常城对于身份安全的定义也十分明确,攻击链路中身份是核心要素,趋势定义了身份安全的重要性,就需要有相对应的安全技术解决这一风险。
 
由此看来,Gartner定义ITDR技术,可以理解为基于身份的“防火墙”产品,将围绕着企业的身份基础设施,实施全面的基于身份攻击的检测和响应。
 

作为一家聚焦于为企业解决身份威胁安全防护的创新型安全厂商,杨常城进一步指出了ITDR技术的核心价值,作为Gartner全新定义的一条技术赛道,其存在价值是在于从专业的网络安全视角,统一整合身份基础设施安全性,将其作为整体网络安全的有力手段或补充。
 
他指出,现阶段一些企业部署有诸如IAM或是零信任等身份管理产品,这些产品主要解决身份认证和管理的工作,但这些产品本身如果出现安全问题,又或者是攻击者使用的是合法凭证,由此为突破将对企业造成致命打击。
 
事实上,这类的攻击案例早已数不胜数,前一段时间Uber数据泄露事件就是个典型的基于身份展开攻击的安全事件。当黑客获取到了合法的凭证,再绕过一些现有的而且非常传统的检测手段,对于他们来说并非难事。
 
用一个比喻来理解ITDR技术的话,他就像是一栋大楼的智能化监控系统,如果有坏人想要进来干坏事,他一定需要获取一套合法的身份才能进入这栋大楼,不然就会被系统检测清除。他想要获取合法身份,可能就需要对门禁系统展开攻击,或者套用别人的合法身份,但无论其采用哪条路线,ITDR这套智能化监控系统都能够随时对其进行检测和响应。
 
也就是说,攻击者对企业各类身份基础设施开展攻击,ITDR可以实施检测并响应,当攻击者使用合法身份并成功绕过进入到系统内部,ITDR同样可以根据其行动轨迹或行为对其进行检测并响应。
 
ITDR技术当中使用了大量的检测手段,从而确保他能够达到预期目标。对于ITDR技术,身份是干坏事的前提,该技术将提供最大程度的身份可见性,并自动响应。
 
专业的事交给专业的人 ITDR的未来潜力
 
如何定义完整的身份安全,其要包含两大技术子集,其一就是身份基础设施提供的认证和管理,其二就是ITDR对应的检测和响应能力。杨常城强调称,ITDR技术的出现,实际上是对身份安全从全维度能力上的一种补足。这种能力的补足,也填补了现有攻击链路的防护空白。
 
从落地实现角度来看,ITDR也应该是一条独立的网安新赛道,因为技术独立的ITDR可以更好的融入到众多应用场景当中,针对不同场景的身份基础设施提供检测和响应,而非这些身份基础设施独立集成。
 
这甚至也是ITDR另外一个维度的价值体现,用杨常城的话来说就是“专业的事交给专业的人”,也只有专业的人,在实现ITDR技术落地之时,才能对客户身份安全全场景实现覆盖。从场景上来看,比如办公网AD的身份覆盖,或是生产网堡垒机的身份覆盖。
 
上图为中安网星ITDR技术路线图
 
杨常城也认为,随着ITDR整合身份覆盖的领域在未来的进一步加深,其解决方案的应用广度和整合效果也会进一步提升。而这一点,也是基于中安网星的ITDR落地实践的一线观察,其将与技术壁垒,技术模型一道,影响ITDR是否能够广泛落地应用的前提。
 
身份安全技术目前在国外发展极快,且其市场价值得到了一众头部安全厂商的认同,而头部厂商就会比较粗暴,会直接收购相关的身份安全创新厂商,直接补足自身能力。所以随着Gartner进一步的推波助澜,已有大量追随者涌入了这一赛道。
 
而在国内,ITDR所对应的技术赛道还处于起步阶段,中安网星目前算是国内ITDR赛道上的孤独舞者,杨常城分析现阶段这种孤独主要源于两大方面原因:其一当然是技术上的,比如自身所拥有的防护模型覆盖能力,具体的技术分析和响应能力,这一点与自身的安全基因息息相关,而更重要的是市场原因。
 
因为在市场方面,完整的ITDR技术要覆盖的客户群其实是行业生态的中上游客户,所以当技术尚未达到广泛认同阶段之时,市场化信心难免不足,其技术落地甚至会碎片化。但杨常城还是坚持认同ITDR的市场价值和应用价值,其实这也是源于其服务的客户从实践中取得的积极反馈。
 
至于ITDR在国内未来的发展如何,随着新兴的身份技术的快速增长,比如零信任技术的落地部署在最近两年就持续上涨,身份安全预期也会水涨船高。杨常城还指出了ITDR在其它解决方案当中的融合价值,比如在XDR技术当中的融合价值,即本身应用之外行业生态价值也十分明显。
 
Gartner为ITDR预期的目标受众是5%至20%的市场渗透率,结合国内身份安全真实发展情况,杨常城认为国内离这一目标其实还有段距离。但他坚信,随着用户对身份安全的认识逐渐提高,并体验到了ITDR产品的魅力,未来身份安全市场份额也会不断提高。他心理预期的身份安全市场甚至会占到整体网安市场的15-20%之间。