这一技术连续两年出现在Gartner的《安全运营技术成熟度曲线(Hype Cycle)》报告当中,鉴于此前我们已经对该技术做了较多介绍,这一次我们将转变视角,带来从国际赛道发展一侧的动态观察。
ITDR国际赛道十大厂商一览
在《2023安全运营技术成熟度曲线(Hype Cycle)》报告当中,Gartner共推荐了10家ITDR技术示例供应商,分别是Authomize; CrowdStrike; Gurucul; Microsoft; Netwrix; Oort; Proofpoint (Illusive); Semperis; SentinelOne (Attivo Networks); Silverfort。
· Authomize
Authomize是一家成立于2019年的初创公司,创始团队多半出身Palo Alto,Authomize成立之初就确定以解决IT和安全团队面临的复杂环境中管理和保护身份为目标。Authomize当前共完成了两笔融资,总计融资规模达到2200万美元。
Authomize的身份威胁检测和响应(ITDR)平台提供了IaaS、SaaS和IAM的全面、统一的可见性,通过持续监控整个云环境中的访问权限和使用更改,提供基于身份的全生命周期保护。该平台将保护组织免受基于身份的威胁,并支持为关键业务自定义接入,可快速有效地响应并集成到现有安全运营体系当中。
· CrowdStrike(Preempt)
CrowdStrike成立于2012年,最初主要业务为端点安全、威胁情报和安全服务,这家公司之后参与了一系列的网络攻击调查打响了业务声誉,随着融资进入公司于2019年上市。上市之后CrowdStrike先后收购了多家网安初创公司,短短几年,CrowdStrike已经成为拥有近380亿美元市值的综合平台型网安巨头厂商。
2020年,CrowdStrike宣布收购零信任安全公司Preempt,通过该笔收购,为CrowdStrike Falcon平台增加了基于身份的攻击和内部威胁的保护能力。此后,CrowdStrike还通过收购Bionic,引入了ASPM(应用程序安全态势管理)能力,平台安全能力不断增强。
· Gurucul
Gurucul成立于2010年,致力于保护组织的资产、数据免受内部威胁和外部网络攻击,这家公司对自身的定义是安全分析和自动化领域的领导者。Gurucul认为,传统SIEM的局限性引发了EDR、XDR、ITDR和SOAR的出现,以填补各项能力空缺。Gurucul则打造了一套云原生化安全平台,将所有孤立的解决方案和功能统一到一个由机器学习和人工智能提供支持的统一平台当中,其单一平台将释放SIEM、UEBA、ITDR、SOAR的强大功能,以实现通用管理威胁检测和响应。
在该平台发布之后,Gurucul在2021年实现了业绩突破,销售额同比大涨了480%。
· Microsoft(Aorato)
微软通过早期的一次收购,弥补了自身在身份安全领域内的空白。2014年,微软宣布以2亿美元价格收购以色列网络安全公司Aorato,Aorato专注于提供高级威胁防护和身份验证解决方案,可以利用机器学习来检测公司网络上的活动,主要应用针对企业Active Directory免受恶意攻击和未经授权的访问。
微软认为,Aorato的技术应该“是对微软针对Azure Active Directory,基于云的身份和访问管理解决方案已开发功能的一个补充”。也就是说微软早在多年就看到了针对身份的安全威胁。
· Netwrix
2021年年初,Netwrix宣布与Stealthbits合并,两家公司合并之后仍以Netwrix为主体运营,其官方说法是“携手利用彼此专业知识来扩展产品功能并改善用户体验”。当然,Netwrix成立于2006年,Stealthbits则成立于2001年,相较而言从年限上看他们都算不上是特别成功的商业案例,这可能是两家公司合并的最终理由。
合并之后,Netwrix能为客户提供三大主要攻击媒介的安全合规技术,即数据、身份和基础架构。Netwrix当前的身份安全解决方案可帮助组织端到端地保护Active Directory,从识别和缓解安全漏洞,到检测和响应威胁,再到从安全事件中快速恢复,以最大程度地减少网络攻击而引起的停机时间和业务影响。
· Oort(已被思科收购)
Oort是一家刚刚被思科完全收购的初创公司,此前,思科也是这家公司的投资方之一。Oort是一家标准的ITDR技术实践厂商,无论是其技术平台化应用,还是为IAM、SSO提供额外保护的单点解决方案,Oort始终认为身份安全已经成为组织安全和IT团队需要解决的持续安全风险和运营负担。
在思科收购Oort之后,其计划是将Oort技术能力纳入到自身的网络安全业务当中,将利用Oort的身份安全技术增强思科的IAM的安全性,并整合到XDR平台当中。
· Proofpoint(Illusive)
Illusive成立于2014年,其早期技术方向为欺骗防御/蜜罐技术,Illusive于2022年2月发布其Illusive Spotlight平台,将策略和重点转移到ITDR方向。当前,Illusive已经被网安上市企业Proofpoint所收购,Proofpoint和Illusive将共同提供全面的身份安全,Illusive的技术能力也将作为Proofpoint威胁防护平台的一部分,以主动识别基于身份的安全风险。
Proofpoint创立于2002年,公司于2012年上市,2021年,私募股权公司Thoma Bravo宣布计划收购网络安全公司Proofpoint,交易价值123亿美元。
· Semperis
Semperis成立于2014年,这是一家专注于为企业提供基于身份攻击的网络安全厂商,Semperis自认为是 Active Directory安全专家,其指出“如果AD不安全,那么就没有安全性可言”。Semperis提供了全面的 Active Directory威胁预防、检测、响应和恢复,企业用户可以利用Semperis的平台服务或解决方案获得基于AD攻击的整个生命周期内(本地和云中)的分层防御能力。
Semperis也是一家为数不多的,能够在疫情期间获得过亿美元融资的具有高速增长潜力的网安厂商之一,其在2022年初获得了2亿美元的C轮融资。
· SentinelOne(Attivo Networks)
SentinelOne是一家端点安全厂商,成立于2013年,2021年上市,在AI技术深度影响技术未来的当下,SentinelOne正在加速拥抱AI,以实现跨越式提升端点安全监测和防御的智能化水平。
SentinelOne在2022年年初宣布收购身份安全厂商Attivo Networks,交易价值超6亿美元,SentinelOne认为,混合办公和云技术的发展令身份成为新的边界,而ITDR则是XDR与零信任安全中“缺失的一环”。
· Silverfort
Silverfort成立于2016年,目前这家公司总计获得了超过1亿美元的融资,最近一次的C轮融资规模达到6500万美元(2022年4月份)。
作为ITDR技术的典型代表厂商,当前,Silverfort可为企业客户提供统一的身份保护平台,平台可提供与环境中的所有应用相集成的能力,以在本地和云中的每个资源提供安全的身份验证,在身份已成为企业网络安全当中的主要攻击面时,帮助企业用户全面阻止基于身份的网络攻击。
赛道切面观察 技术大热投资并购不断
“复杂的攻击者正在主动瞄准IAM基础设施本身”“组织必须更加关注保护其IAM基础设施。”这是Gratner对于ITDR技术的驱动力和重要性的两段精准描述,最近全球知名的IAM身份与访问管理解决方案提供商Okta被黑客攻击事件,一方面证明了Gratner对ITDR技术应用趋势的准确判断,另一方面也证明了ITDR技术的不可或缺性。
而观察上述企业,不难看出当前众多ITDR厂商的发展路径大概分为两种类型:一是坚持独立发展,并且技术本身逐渐从工具化向平台化过渡;二是被综合性安全厂商并购,技术能力被平台型产品所融合成为亮点功能之一。
ITDR对应的身份安全检测与响应如此重要,以至于ITDR初创厂商始终希望能够坚持技术独立发展,并且技术本身也正从工具化向平台化转变,从而弥补关于身份安全一侧的全域、全链路防护空白问题,进而形成一个庞大的技术应用市场。工具化向平台化发展也能逐渐夯实这些ITDR初创厂商的整体实力,这是接下来这些厂商能够获得成功的前提因素之一。
作为寄希望于ITDR技术赛道独立发展的代表,我们认为可以重点观察Authomize和Semperis这两家厂商的未来发展情况。前者是最具代表性的,仍处初创期的ITDR技术代表厂商;后者以接近Wiz一般能够在疫情期拿到大额融资(2022年获2亿美元C轮融资),其发展前景被外界广泛看好。
另外All in One是国际上整体的网安趋势之一,大型厂商如今正在通过技术并购不断为自身平台型产品或解决方案增添新的功能点,比如上述10家ITDR厂商当中就有4家与并购有关(无论是并购其他ITDR初创厂商,还是自身被并购),不断增强自身安全能力之余,ITDR技术未来已经被视为各平台型产品的必备能力之一。
比如SentinelOne通过并购,让ITDR成为XDR平台当中的功能之一;思科在并购Oort之后,一方面技术利用ITDR技术增强思科IAM的安全性,同时技术也将被整合到XDR平台当中。又如CrowdStrike,通过并购,如今CrowdStrike各平台型产品当中都能看到身份安全维度上的能力整合。
再把视角转回国内市场,ITDR赛道也开始逐渐崭露头角。其中网星安全是国内首家提出ITDR概念的初创厂商,并且这也是一家少见能够在疫情期间,仍然能够在一年内连续完成三轮融资的网安初创厂商。目前来看,网星安全作为国内ITDR赛道上的代表厂商,他们也是希望ITDR技术能够独立发展,而他们对ITDR的态度与国外这家公司是比较接近的。
Specterops是Gratner去年推荐的ITDR技术示例供应商,这家公司在今年4月引入了2500万美元的A轮融资,8月份再获850万美元追加投资,A轮融资总额达到了3350万美元(约合人民币2.43亿)。这家公司自身定位是基于实战化的,更了解攻击对手的网络安全解决方案和服务提供商,单独理解这家公司的理念可以解释为:基于身份的攻击始终是实战攻击的主要路径,这与网星安全的发展理念不谋而合。
我们看到目前关于ITDR在国内的讨论已经越来越多,身份安全相关的国内初创企业已经逐渐丰富起来。但是ITDR赛道在国内的落地及应用、未来前景如何?是继续保持独立发展,还是未来走投资并购的道路才能将这条赛道精彩演绎,可能还需要时间去加以证明,安全419也将持续关注这条赛道的发展,并带来更多的报道。