圆桌讨论：下一代身份安全是什么？未来的方向在哪里？

12月6日，由无胁科技主办的2023数字身份安全技术大会在北京成功举行。本届大会以“New身份No威胁”为主题，聚焦下一代身份安全技术发展趋势和落地，邀请数十位甲方安全专家、安全企业负责人、投资人和媒体，就互联网发展趋势、互联网技术的新身份、下一代身份安全以及围绕身份安全的红队攻防对抗等话题，共同探讨新身份安全的新未来。

 

大会圆桌环节，在安全419创始人张毅的主持下，无胁科技CEO陈祥、联通雄安产互网络安全专家周纪元、赛博谛听创始人金湘宇、元起资本副总裁颜骏、网星安全技术合伙人兼安全负责人李帅臻共同围绕下一代身份安全的话题开启了一场圆桌研讨。

 

 

针对近期发生的凭证窃取类攻击事件的成因和防御、数字身份安全领域的最新趋势和挑战、数字身份安全建设实践以及下一代身份安全等主题，各位嘉宾结合自身企业实践分享了自身观点。

 

以下为各位圆桌嘉宾演讲实录，经安全419编辑整理。

 

 

 

陈祥：Okta事件其实是泄露了用户凭证，用户使用了Okta的产品和方案，在做身份交互过程中okta会给用户下发一个登录凭证。他可能不是明文的密码，而是一个字符串，但攻击者拿这个字符串，可能就得到了某一个权限。包括cloudflare等等这样许多知名的云厂商都是okta的客户，作为一个身份技术设施，一旦登录凭证泄露，就相当于进门的钥匙被盗了。拿这把钥匙可以自由地进入到这些云厂商的业务系统中，这个影响是巨大的。

 

 

目前市面上的身份认证技术方案确实是会存在这样的现实问题，不仅仅是okta，事实上其他做身份基础设施的厂商也都存在很多攻击入口，通过一些攻击路径足以去控制目标的IAM的运维系统，甚至业务系统。

 

那怎么来去解决呢？其实okta是一家非常知名的身份厂商，okta必须痛下决心去做彻底的技术改造。之所以okta会多次发生身份安全攻击事件，事实上存在一定的必然性。因为他提供的是身份认证解决方案而不是身份安全解决方案，如果能够引用更多的手段去做威胁检测，在身份交互的环节增加身份威胁检测的能力，那这样的事件可能就不会出现，即使出现安全事件那么最终产生的危害范围也相对可控。

 

 

 

周纪元：我觉得这个事儿可能不是一个个例，是有一定代表性的。被攻击首先它肯定自身的安全没有做好。此外它又属于一个IAM基础设施的身份，向上支撑着很多不管是业务还是自身的，还是对外提供服务的一些应用。

 

关于身份这个事儿，在联通甚至包括我们对外提供给客户的一些解决方案，不管是城市级的也好，企业级的也好，这里面其实身份永远都是放在一个基础设施的位置。

 

但是事实上它这个里面存在一个改造的问题，就是说存量和增量，增量好解决，增量无非就是属于缺什么少什么，那现在是最时髦的，有什么我们就用什么。但是存量是比较难弄的，因为这里面往往它是基于某一个固定的几年前建设的一个系统，他这里边有很多的已知的问题，但是没办法解决。

 

因为随着这么多年的信息化的进程的加速，客户业务里面其实生长了很多东西，这个不好梳理。所以说改造可能是个难点，尤其是IAM的这个事儿。刚才陈总提到要增加一些安全威胁检测的能力。我觉得可能组件化，或者插件的方式，把这个流量给引出来，再增加一些能力可能是比较现实的解决思路。

 

张毅：所以你其实把它推倒重来是不可能的，这个改造成本和难度其实都很大。

 

周纪元：叫牵一发动全身。因为我相信在座很多之前都是做安全的。做安全以前在做系统设计的时候，用户决策权限肯定是最优先考虑的。可能客户上来第一句话就问的是“我们是几级的权限？一级权限还是二级权限？”

 

那权限到功能层面、页面层面还是到系统内部？涉及到怎么去绘制一个大的框架，一旦框架定了的话，后边是很难再去改的。所以说推翻重构这个事儿不是很好推动。但是在现有的体系下，去通过API这样的功能，在一些关键的节点，在新的这个业务场景下，我们增加一些新的检测手段，对用户来说可能会是一个比较友好的选择。

 

 

 

金湘宇：近几年来，其实IT的基础环境在发生巨大的变化。以前都是一些单机的软件，或者企业内部的软件，现在越来越SaaS化了。所以okta就是一种新的向互联网形态的资产提供的一种认证。

 

首先是这种使用类似的云身份的用户在增多，因为大家的IT架构在互联网化。另一方面，网络安全其实也在发生一些变化。近几年来其实大家在座各位都做了大量的工作，其实一些比较低级的漏洞已经没有了，像十年前经常说“缓冲区溢出”，对吧？那近十年来，可能各种的web攻击，SQL注入特别多。但是现在WAF，还有NDR等这样的技术已经使用的很普遍了，所以黑客攻击的重点是逐渐地从边界到应用，又从应用到了身份。

 

目前来看，近期出现的一些比较大的网络安全事件，基本上跟缓冲区溢出，跟SQL注入这样的漏洞已经很不相关了，基本上全都是身份系统在出问题。所以黑客攻击的重点也变化，我们的防护也需要从以前的主机，从以前的网络边界，从web应用逐渐到身份。

 

而身份的防护，跟之前的安全攻防其实都不一样，所以要用全新的身份安全领域专用的一些技术。再一个我觉得大家也要特别注意这种新型的供应链，因为以前的供应链可能就是硬件供应链，但是现在大家逐渐也在软件领域提出了供应链，另外其实还有一些服务的供应链。你像我们的应用，尤其是我们在互联网暴露的应用，可能不可避免地使用大量的第三方服务，这个我觉得也特别要重视。

 

那怎么解决？我觉得包括近几年来在身份相关的领域，也提出了很多新的概念和框架模型。包括了零信任，ITDR等等。他的核心思想其实就是你不能相信密码，甚至你不能相信密钥，甚至你不能相信token。你必须构建一个更复杂的情景，去假设他可能会有问题。

 

据我所知，像okta、微软在出事了之后，其实都进行了大量的加固措施。比如说在用户登录的时候，就除了认证你们的token之外，他还要去看你的环境是不是安全，是不是从之前的终端来登录的位置，登录时间没有异常等等。以前的零信任可能好多都是理念上的，但目前来看基本上都已经开始强制启用了。所以我觉得这也是一个很好的安全概念，它其实边界在扩大。

 

 

 

颜骏：仅代表我个人来分享一下观点，不代表我们投资机构的观点。身份的话题其实我自己最近也一直在关注，有这么几个思考跟大家分享一下。

 

最早我其实是在中国移动工作的，当时我也全程参与了4A系统和第一代SOC系统从0到1的建设。在这个过程当中，其实我经历了对人的账号的管理，到对这个设备账号的管理。从对运维人员的账号管理，到对前台应用人员的账号管理，其实中间是做了非常大量的这种很繁琐的碎片化的工作，所以说对身份也有一些体验。

 

后来中国移动上这个WLAN方案以后，在所有的写字楼里面都要做这个室内分布，最早的时候都得发一个短信验证，让大家填上验证码才能连上。为了进一步提高用户感知，在大概在2010年、2012年左右，我们就提出了无感知认证。这个无感知认证就是说在收集你的一些周边环境信息以后，确认你是安全的情况下，就可以通过无感知的方式直接上WLAN。

 

其实这个理念提得非常早，跟现在咱们的这个身份环境的检测是有点相似的。这一路走来，我的感受是说，身份认证技术的发展有这么几个特点：

 

首先，咱们最早是关注人，包括自己人还是第三方的人，但现在这个物联网身份的管理也是一个比较复杂和头疼问题，毕竟这个物联网它的软件也好，它的硬件也好，它不是那么特别的标准化。各家有各自的这个型号，所以怎么管起来也比较棘手。

 

因为上周是奇迹创坛的秋季路演会，我去了之后发现全场都是AI，然后其中一个很关键的概念就是叫agent。他们那个agent跟我们安全领域的agent并不一样。他们的agent更多指的是智能体，未来会有很多的这种智能体，它不是一台具体的物理设备也不是一个具体的人，但它是一个拟人化的程序或者是应用。那对于这种未来AI遍行天下的时候，这种agent的身份怎么去控制，我觉得这也是一个做安全的人可以去思考的一个问题，我这是第一个方面，就是说我们这个身份它的管控的范围的演进，从人到物到未来的AI agent。

 

然后第二个方面我觉得，从身份安全的发展来说，这个传统的身份安全实际上遇到一个很大的交付的问题。因为我要去适配各种各样的应用。这个过程当中，从资本的角度来说，做身份安全，它的复制性是受到你的交付成本和交付时间的限制。

 

比如说大模型，可能大模型未来也会是泡沫阶段，有好多人在做大模型，可能未来大模型也会变成就剩下几个玩家在玩。其他的人都是在这些大模型的基础上去做应用，那大模型他是一个应用，又是一个基础设施。我觉得身份作为一个基础设施的话，身份怎么能灵活快速地去把各种常见的应用都集成起来，能从一个公司的角度提高它的交付效率。这可能需要跟产业链上的一些合作伙伴也好，或者对于自己的团队发展也好，以后是一个比较有挑战的方向。

 

 

 

李帅臻：刚刚颜总提到万物互联，包括一些现在各种智能终端的互联，其实我们之前有一些研究。其实我们认为在这个万物互联的时代背景下，万物互联它的核心是什么？其实就是身份。就是一个人他可能有多台设备，他有多个终端，多个不同的应用。那唯一把他们串联起来的就是一个人的身份。

 

包括对于企业来说，我们过去从一些企业客户那里看到，他们可能一个IAM系统对接两百多个应用，一个员工可能就要涉及二十余个应用，其实我们也把它认为在企业内部的一种互联的形态。在这个互联形态下，核心其实就是身份。一个员工他可以通过一个身份把这些所有的应用全部串联起来。

 

回到okta的话题，其实okta事件本质上还是像IAM这一类的软件类的身份基础设施，他们一定会成为攻击者的火力焦点。我们过去一直在讲攻击，其实打的就是这些关键的基础设施，尤其是这种身份认证的基础设施。因为它凭据最多，对于攻击者来说，它攻击的时候性价比最高。所以这些身份的基础设施一定会成为火力焦点。

 

在几年前Gartner提出ITDR的时候也提到，现在越来越多的攻击者把IAM作为攻击的重要节点，Gartner在提出这一技术的时候也提到核心就是为了去解决身份安全问题。它并不是纯漏洞类型的问题，而是去解决基于身份，基于凭据窃取，基于绕过认证等方式，而引发的凭证滥用相关的攻击问题。Gartner可能希望在下一代的一些解决方案，基于ITDR的新一代解决方案能够治理好身份问题。

 

 

李帅臻：其实我们过去一直讲攻击者他攻击的是什么？那本质上还是身份。无论说他通过SQL注入也好，通过我们以前常听的各种漏洞也好。他其实本质上就是为了获得一个能合法登录到系统的身份。这是他所有攻击的核心。

 

现在当下的这个网络架构，比如我们刚刚讲过零信任结构，他最核心的还是IAM，通过动态认证的技术来实现，所以他还是在做认证这一部分的工作。但对于攻击者来讲，我的最终目的是拿到身份。像IAM、IDaaS这种统一集权认证的系统，它自身就保存了很多身份凭据。所以我的攻击焦点完全可以直接针对于这些基础设施。把它打下来之后，上面的所有的凭据都是我的。这是一个非常直接暴力的一个逻辑来印证。一旦拿到合法的身份，我就可以为所欲为。

 

再有一点，其实IAM它本质上解决的问题就是认证和鉴权。它的鉴权是去看你的密码是不是正确，你的验证码、指纹、人脸是不是正确的，来核验你是否有权限登录这个业务系统。

 

但对于攻击者来说，比如我们回到刚刚okta的案例里，攻击者把okta的系统给攻破了之后，里面其实存储的都是cookie，它本身已经是经过了鉴权之后，生成的一个令牌。他拿着这个令牌直接去进行非法操作的话，是完全绕过了IAN的鉴权的，所以攻击IAM它的性价比要远远高于我们传统的应用系统。

 

 

陈祥：这里可以打个比方，一个小偷，他想去上门偷东西的时候，他首先会想去撬锁，因为保险柜在最核心的房间，所以他要从大门开始一层一层地突破，一直到找到保险柜，把保险柜撬开，偷到里面的文件和财物。

 

但如果他直接拿到了这家的钥匙，并且这把钥匙还是通用的，可以打开所有的门锁，甚至直接打开保险柜，肯定会更高效，当然小偷会重点关注去偷钥匙这件事情。

 

回到身份认证的场景，如果用户采用了统一的身份认证技术，那他的身份凭证就可以去登录所有已授权的业务系统。那从现在国家级、省级的实战攻防演练活动中也可以看到，红队在实战中都喜欢去拿这种账号身份，甚至是想拿更多的集权设备的权限。因为他可以控制的权限更多，获取到的数据量也更多。

 

 

陈祥：是这样的，经过我们信息系统这样的交互认证，我们能够对采集到的信息做判定。类似于说我们的日志里面能够实现与UEBA的关联，去做用户实体行为分析。所以就溯源和身份关联定位这件事情来说，无胁科技的方案不需要借助更多的技术就能够实现。

 

当然我们在做很多应急的时候，溯源确实搜不到，搜不到的原因是什么呢？有两种。第一种的话攻击的手法很高级，因为现在内存不留文件，攻击者也会摒弃传统的技术，只用自己开发的工具，做大量的免杀等等。就会导致攻击特征和痕迹特别小，导致现有的设施里面看不到攻击看不见。

 

那第二种是什么呢？没有日志，没有检测手段，往往我们做了大量的工作才发现，日志系统没启用，日志的配置不合理，甚至说没有态势感知，没有监测的环境等等，这样的话确实可能溯源不到。

 

李帅臻：我简单补充一点。其实现在对于整个行业来说，在讨论如何精准定位这个攻击者的时候，其实都是一个相对比较不太好解决的点。

 

对于我们来说，我们从身份层面能做的事情就是，比如说我们刚刚讲到在一个企业内，他可能一个或者几个IAM对接了上百个应用系统。那攻击者拿到这个凭证之后，他可能在不同的应用系统之间横跳，来做一些数据窃取之类的事情。

 

那对于我们来说的一个挑战就是，我们需要把这些事件全部串联起来。把所有的用户行为给他串联成一条线，才有可能精准地识别出这个攻击。包括他在这个节点之前，前一天前两天他在用哪个身份，一直到最开始他突破我们边界的时候用的是哪个身份。在突破边界之前，我们可能再会去联动一些威胁情报，可能通过身份层面去做一些分析关联。

 

张毅：所以谁也没办法保证一定能够把人找得出来，但是至少在ITDR层面，我们可以获得更多的线索，来增加溯源的概率。

 

 

颜骏 ：身份作为一个特别重要的基础设施，肯定是投资必须覆盖的一个领域，也是很重要的一个方向。但是身份基础设施，它有一个特点，拿现在传统的基础设施举个例子，像路由器、交换机、防火墙这种，它是特别底层的，所以它是特别容易交付和复制的。包括像容器安全这些，它也属于这种应用的基础设施。但是越往上走，越往应用贴近，它本身面临的场景和个性化就是比较多的，这是它的天然的规律，我们没办法去跳过这个规律。但是在这种场景比较多的情况下，肯定是需要交付也更多。

 

这也不是说交付的难度大的我们资本就不看，那只是说在需要交付的这个领域里面，从企业经营的角度，看我们去提高自己交付的效率。第二个从产品的角度。怎么去解决客户的特别重要、特别痛的几个点。这样的话客户的买单意愿就会比较强。

 

如果说我们做了一堆花里胡哨的东西，做的是一些客户不太关注的边缘化的辅助功能，看起来特别高大上，但是连客户的安全运维工程师都不太会用的功能，那它必然在市场销售上，它就会发展得比较缓慢。

 

 

金湘宇：毫无疑问，身份实际上是网络安全里面很重要的一个领域。不论是从国内市场，还有国外一些上市的网络安全企业来看，做身份的其实都获得了比较好的发展。比如说国内做CA的都很赚钱，那CA其实也是在身份领域。

 

作为资本而言，它也必须看到身份又是个特别复杂的领域。刚才颜总也谈到，身份跟应用，跟业务太相关了，它不是一个传统的网络安全。传统的防火墙设备装上之后，配置一下策略就可以交付了；入侵检测也是，把流量引过来就可以交付了。但是身份不是，身份跟应用密切相关，它要跟应用对接，要跟网络对接，要跟各种各样的设备对接，所以它有点复杂。

 

从这个角度来看，我们考察一个身份的项目它的前景怎么样，可能要多方面考虑它交付的形态，它的能力，是不是真的能够做到的宣传的效果，以及他在商业模型上是不是能成立。

 

如果你是依靠很重的现场交付，怕很难扩大规模。所以现在像国外的okta，本身他就是一个做身份的，他可能也比较好去集成安全检测的能力，因为本身是以一个SaaS的模式来交付。所以我觉得这是一个重要的领域。可能要看啊具体这个公司的产品形态，然后产品的能力如何。

 

张毅：刚刚两位其实表达的态度比较一致，身份安全肯定很重要，未来也是个大趋势和大方向，但是现在我们投不投，可能还需要再看一看，因为身份安全这个事情，在国内其实现在玩家不算特别多。

  

那对于咱们网星安全和无胁科技来说，其实也都还是比较早期，那接下来可能还会面临一些问题，比如说我们怎么去交付，毕竟产生效果客户才能买单，那投资人要看到希望，然后才会更愿意去投入。因为身份安全还蛮早期，而且你需要长期去布局。身份安全是一个比较新的赛道，所以还有很长的路还要走。

 

 

陈祥：新身份微信检测联盟我们凸显的是一个新，这个联盟我们是很开放的，我们希望以身份威胁检测为核心，打造新生态圈模式，开放合作，共同推进下一代身份安全技术的应用，为数字身份安全构建更广泛的合作网络。

 

联盟未来会协同各家力量共同打造下一代身份安全解决方案，通过内置的标准化协议来提供更加安全的身份入口的防护和威胁检测。另一方面，联盟成员也将共同沉淀身份威胁检测实践经验，共同形成下一代身份安全标准；在广泛的安全基础设施产品中共同推动身份安全标准化建设，把企业数字身份入口做到更安全更可信，让用户重新聚焦到业务发展中。

 

未来甲方企业在基础设施、运维系统、网络安全业务系统产品选型上优先选择具备身份威胁检测能力的产品，这样的标准能力也将更好地应对来自黑客攻击和0/N Day的威胁攻击。

 

 

周纪元：其实我觉得还得看场景，一定要结合场景，结合场景才有生命力。不管是企业用户也好，或者是政府用户也好，在不耦合到一起，能够保证自身产品独立性的前提下，如果能够去找到一个身份与用户业务相结合的点，可能就会推进得比较顺利，换言之，就是一定要有一个场景的创新。

 

现在整体给我的感觉是，ITDR的赛道相对来讲是有点窄的，从客户的视角愿不愿意为他买单，其实可能它的价值还要更体现的要更充分，比如刚才提到的可溯源等等。包括一系列在实战攻防方面的一些特点，他要表现出来的价值要更厚一些。

 

金湘宇：为了以后更好地一起往前推动身份安全的发展，我觉得第一其实就是做方案的融合。方案的融合实际上离不开场景，它一定是跟很具体的场景有关。要深入场景，找合作伙伴一起做一些联合的方案。然后中间也可以再找一些运营商、集成商作为出口。因为他们都是场景化的建设方，可以把身份安全作为一个功能，带到一个更大的用户场景中。

 

另外，其实标准规范也是很重要的。因为各个系统之间要打通，如果是不互通就没有办法把功能串接在一起。所以远期可能还需要一些标准规范，再就是一些政策推动，我觉得这个也是很重要的。我们也要逐渐的把这个趋势传导给我们的一些甲方单位以及政府。

 

颜骏：我觉得可以有这么几个方式。第一个是联盟的方式，我把它理解为横向联盟，就是我产业圈内的，像拼积木一样，大家把各自最有优势的地方拼在一起。那对于甲方来说的话，就能够形成一整套的解决方案。然后对于安全厂商来说，在资源和人力有限的情况下，也可以集中精力做好最擅长的一块。

 

此外还可以纵向联盟，比如说金融行业，运营商行业等等，去向上跟这些有大的应用场景的一些公司，纵向形成一些合作。这样的话在客户那里常见的应用，我的身份认证的产品可能都已经做好了接口和数据的适配，到客户现场就能快速装上去就能用。

 

李帅臻：有几点也是我们正在努力做的一些事情。一个就是我们如何跟一些刚刚我们讲到IAM的存量市场，我们如果说单从ITDR自身的能力出发，那就是威胁检测的这一部分，我们本质上是要去赋能IAM，把IAM变得更安全，让它具有威胁检测的能力。

 

那我们如何去保证我们对于IAM的行为分析更为准确，这个就涉及到比如说我们对接一些上游厂商，包括IAM的厂商，IDaaS的厂商，来确保我们有一个统一的协议。比如说我通过有一个既有的协议，使得IAM的这些身份认证的基础设施厂商，把日志和流量传导过来让我们去做异常分析。

 

另外其实在国内做IDTR有一个点在于，我们现在去看国外的ITDR厂商他们的一些方案，看上去基本都是去解决一些云上的问题。但是对于国内我们去落地去实践，有一个问题就是要去解决企业内私有化自研的一些基础设施，如何去跟他们打通，如何去把ITDR的能力去覆盖到这些企业内。

 

对于客户来说，他们既想解决他们自己自研的那一套非常老的，且协议不认可的设备上面的身份威胁发现问题，同时他们还想把OA上的所有的身份认证基于ITDR再重新监控一遍。对于我们来说，这些私有化的定制的、自研的这些客户的一些场景也都需要去覆盖。
 

陈祥：不管是已经有IAM还是没有IAM，当然对于无胁来说，我们都是可以去支持的，那如果说你需要一个新的身份安全技术，那我们当然能够去更好、更全的去提供。身份认证首先是解决业务上的这种需求，让业务更加便捷和效率。第二我们能够带来一些更多能力，就是在安全这一侧。

 

下一步无胁也会去跟一些OA厂商联合做去做解决方案，去帮助大家解决过去一些蛮力破解和Nday漏洞攻击的威胁，在做身份认证的同时做好威胁检测和留痕，帮助大家解决在实战攻防演练和日常防御中的威胁可见和可溯源的问题。

 

 

陈祥：我认为下一代的身份安全是多场景的认证，加上数字身份安全免疫的能力，才能够被称为下一代身份安全解决方案。

 

周纪元：我认为可能是威胁快速定位以及威胁可溯源。

 

金湘宇：我觉得它分为内涵和外延。内涵就是身份的对象在延展，从以前的人到设备，甚至到数据，可能他都会有他对应的身份。另一方面是外延，就是我们要做什么？那除了认证授权之外，现在可能要做这种持续性的检测和响应。

 

颜骏：传统身份安全可能是一个点，下一代身份安全则是一种系统性、复杂性、综合性的一个工程，需要大家一起来努力。

 

李帅臻：我们认为的下一代身份安全是一个复杂性的工程，包括我们现在在讲传统身份安全的时候，我们把它理解为，楼下办公楼下的一个闸机，它的作用只是验证你这个门禁卡是不是有效的。但下一代身份安全是验证你整个进去之后的一些行为，通过一些复杂的系统来验证你是否真正安全。