安全新边界 ITDR身份安全技术赛道观察

2022年7月，在Gartner发布的《2022安全运营技术成熟度曲线》报告当中，一项新的技术被正式提出——身份威胁检测和响应（Identity Threat Detection and Response,ITDR），该技术此前多次出现在Gartner发布的安全趋势报告当中，即对身份安全在未来安全领域的价值认可。

身份优先安全

 Gartner眼中的ITDR

Gartner今年发布的数份安全趋势报告中曾提及身份优先安全，将其解读为安全管理者在未来必须解决的重要趋势之一，为应对趋势，身份威胁检测和响应（ITDR）技术被提出。

Gartner一并指出的是，混合办公和向云应用程序的迁移巩固了身份作为安全边界的趋势。身份优先安全并不是个新概念，但随着攻击者开始瞄准身份和访问管理功能以实现长期潜伏，身份优先安全变得更加紧迫。

在Gartner《2022安全运营技术成熟度曲线》报告中，ITDR被列为新兴技术，其效益等级为高，目标受众有着5%至20%的市场渗透率，这代表着Gartner对这项技术应用价值的潜在认可。从技术成熟度上来看，ITDR技术本身成熟度较高，Gartner预期未来2-5年即可达到主流应用。

报告中Gartner对ITDR技术的正式定义为：身份威胁检测和响应（ITDR）包括保护身份基础架构免受恶意攻击的工具和流程。他们可以发现和检测威胁、评估策略、响应威胁、调查潜在攻击并根据需要恢复正常操作。

对于ITDR技术的重要性，Gartner解释为随着身份变得越来越重要，攻击者越来越多地将目标对准身份基础设施本身，组织必须更加专注于保护其IAM基础设施。只有经过授权的用户、设备和服务才能访问您的系统，ITDR技术将为身份和访问管理（IAM）部署增加额外的安全层。

也就是说，Gartner定义ITDR这一全新技术，寄希望于解决双重趋势推动的核心问题——身份安全。双重趋势之一是安全边界的转变，之二是围绕着这一安全边界（身份）展开的攻击已经非常普遍，且缺乏专业的威胁检测和响应流程。

ITDR的核心价值

 提供最大程度身份可见性

中安网星创始人兼CEO杨常城在接受安全419采访时也强调了安全边界已发生改变这一问题。比如过去我们对安全边界可以由防火墙来定义，到Web2.0时代则出现了Web应用防火墙。他指出，随着IT基础设施和应用向云、大、物、移转变，以及攻防技术的演变，身份已成为新的边界。

其中前者其实是非常好理解的，比如我们远程办公、移动应用，绝大多数的调用的都是云端程序，而非本地应用。从攻防技术角度来看，过去政府网站最常见的攻击是页面篡改，现在进入数字时代，更多的是以窃取政务数据为主，同时整个的攻击链路也在发生转变。

“在复杂的攻击链路当中，身份将是一个核心的链路点，更是关键的检测点与阻断点。”杨常城对于身份安全的定义也十分明确，攻击链路中身份是核心要素，趋势定义了身份安全的重要性，就需要有相对应的安全技术解决这一风险。

由此看来，Gartner定义ITDR技术，可以理由为基于身份的“防火墙”产品，将围绕着企业的身份基础设施，实施全面的基于身份攻击的检测和响应。

作为一家聚焦于为企业解决身份威胁安全防护的创新型安全厂商，杨常城进一步指出了ITDR技术的核心价值，作为Gartner全新定义的一条技术赛道，其存在价值是在于从专业的网络安全视角，统一整合身份基础设施安全性，将其作为整体网络安全的有力手段或补充。

他指出，现阶段一些企业部署有诸如IAM或是零信任等身份管理产品，这些产品主要解决身份认证和管理的工作，但这些产品本身如果出现安全问题，又或者是攻击者使用的是合法凭证，由此为突破将对企业造成致命打击。

事实上，这类的攻击案例早已数不胜数，前一段时间Uber数据泄露事件就是个典型的基于身份展开攻击的安全事件。当黑客获取到了合法的凭证，再绕过一些现有的而且非常传统的检测手段，对于他们来说并非难事。

用一个比喻来理解ITDR技术的话，他就像是一栋大楼的智能化监控系统，如果有坏人想要进来干坏事，他一定需要获取一套合法的身份才能进入这栋大楼，不然就会被系统检测清除。他想要获取合法身份，可能就需要对门禁系统展开攻击，或者套用别人的合法身份，但无论其采用哪条路线，ITDR这套智能化监控系统都能够随时对其进行检测和响应。

也就是说，攻击者对企业各类身份基础设施开展攻击，ITDR可以实施检测并响应，当攻击者使用合法身份并成功绕过进入到系统内部，ITDR同样可以根据其行动轨迹或行为对其进行检测并响应。

ITDR技术当中使用了大量的检测手段，从而确保他能够达到预期目标。对于ITDR技术，身份是干坏事的前提，该技术将提供最大程度的身份可见性，并自动响应。

专业的事交给专业的人

 ITDR的未来潜力

如果定义完整的身份安全，其要包含两大技术子集，其一就是身份基础设施提供的认证和管理，其二就是ITDR对应的检测和响应能力。杨常城强调称，ITDR技术的出现，实际上是对身份安全从全维度能力上的一种补足。这种能力的补足，也填补了现有攻击链路的防护空白。

从落地实现角度来看，ITDR也应该是一条独立的网安新赛道，因为技术独立的ITDR可以更好的融入到众多应用场景当中，针对不同场景的身份基础设施提供检测和响应，而非这些身份基础设施独立集成。

这甚至也是ITDR另外一个维度的价值体现，用杨常城的话来说就是“专业的事交给专业的人”，也只有专业的人，在实现ITDR技术落地之时，才能对客户身份安全全场景实现覆盖。从场景上来看，比如办公网AD的身份覆盖，或是生产网堡垒机的身份覆盖。

上图为中安网星ITDR技术路线图

杨常城也认为，随着ITDR整合身份覆盖的领域在未来的进一步加深，其解决方案的应用广度和整合效果也会进一步提升。而这一点，也是基于中安网星的ITDR落地实践的一线观察，其将与技术壁垒，技术模型一道，影响ITDR是否能够广泛落地应用的前提。

身份安全技术目前在国外发展极快，且其市场价值得到了一众头部安全厂商的认同，而头部厂商就会比较粗暴，会直接收购相关的身份安全创新厂商，直接补足自身能力。所以随着Gartner进一步的推波助澜，已有大量追随者涌入了这一赛道。

而在国内，ITDR所对应的技术赛道还处于起步阶段，中安网星目前算是国内ITDR赛道上的孤独舞者，杨常城分析现阶段这种孤独主要源于两大方面原因：其一当然是技术上的，比如自身所拥有的防护模型覆盖能力，具体的技术分析和响应能力，这一点与自身的安全基因息息相关，而更重要的是市场原因。

因为在市场方面，完整的ITDR技术要覆盖的客户群其实是行业生态的中上游客户，所以当技术尚未达到广泛认同阶段之时，市场化信心难免不足，其技术落地甚至会碎片化。但杨常城还是坚持认同ITDR的市场价值和应用价值，其实这也是源于其服务的客户从实践中取得的积极反馈。

至于ITDR在国内未来的发展如何，随着新兴的身份技术的快速增长，比如零信任技术的落地部署在最近两年就持续上涨，身份安全预期也会水涨船高。杨常城还指出了ITDR在其它解决方案当中的融合价值，比如在XDR技术当中的融合价值，即本身应用之外行业生态价值也十分明显。

Gartner为ITDR预期的目标受众是5%至20%的市场渗透率，结合国内身份安全真实发展情况，杨常城认为国内离这一目标其实还有段距离。但他坚信，随着用户对身份安全的认识逐渐提高，并体验到了ITDR产品的魅力，未来身份安全市场份额也会不断提高。他心理预期的身份安全市场甚至会占到整体网安市场的15-20%之间。

粉丝福利群开放啦

加安全419好友进群

红包/书籍/礼品等不定期派送

END

闫小川

安全419编辑部

热衷于挖掘网络安全行业的甲方和乙方。

//推荐阅读