信息化觀察網(wǎng)

本文來(lái)自微信公眾號(hào)“安全419”，作者/閆小川。

Gartner在去年發(fā)布的數(shù)份安全趨勢(shì)報(bào)告中曾多次提及身份安全，并將其解讀為安全管理者未來(lái)的優(yōu)先行動(dòng)事項(xiàng)（身份優(yōu)先安全），為解決這一問(wèn)題，身份威脅檢測(cè)和響應(yīng)（ITDR,Identity Threat Detection and Response）技術(shù)被提出。

中安網(wǎng)星CTO兼聯(lián)合創(chuàng)始人李佳峰

“當(dāng)攻擊者掌握更先進(jìn)的攻擊方式，我們必須使用更先進(jìn)的方案進(jìn)行防御。ITDR技術(shù)的出現(xiàn)彌補(bǔ)了身份領(lǐng)域檢測(cè)與響應(yīng)的空白，這一技術(shù)主要通過(guò)發(fā)現(xiàn)針對(duì)身份基礎(chǔ)設(shè)施的攻擊幫助企業(yè)解決網(wǎng)絡(luò)安全問(wèn)題。”中安網(wǎng)星CTO兼聯(lián)合創(chuàng)始人李佳峰最近在接受安全419專訪時(shí)對(duì)ITDR技術(shù)做出上述評(píng)價(jià)。

中安網(wǎng)星創(chuàng)立于2020年，是一家專業(yè)解決企業(yè)身份安全威脅的網(wǎng)絡(luò)安全公司，曾推出針對(duì)身份領(lǐng)域核心基礎(chǔ)設(shè)施AD域的安全管理產(chǎn)品，并獲得市場(chǎng)認(rèn)可和行業(yè)關(guān)注。2022年，本就扎根于身份安全賽道的中安網(wǎng)星宣布對(duì)ITDR技術(shù)的支持與理解，隨后推出的ITDR身份威脅檢測(cè)與響應(yīng)平臺(tái)也是國(guó)內(nèi)安全企業(yè)推出的首款平臺(tái)型身份安全產(chǎn)品。

中安網(wǎng)星如何理解并構(gòu)建ITDR技術(shù)，又是如何將其順利商業(yè)化落地？帶著這一問(wèn)題，安全419邀約中安網(wǎng)星CTO兼聯(lián)合創(chuàng)始人李佳峰接受了本次專訪。

ITDR核心本質(zhì)：針對(duì)身份做有效保護(hù)解決方案打造需注重整體與能力擴(kuò)充

在Gartner《2022安全運(yùn)營(yíng)技術(shù)成熟度曲線》報(bào)告中，ITDR是一項(xiàng)被列為技術(shù)成熟度較高的新興技術(shù)，Gartner認(rèn)為，身份優(yōu)先安全并不是全新的概念，但隨著攻擊者開(kāi)始瞄準(zhǔn)身份和訪問(wèn)管理功能以實(shí)現(xiàn)長(zhǎng)期潛伏，身份優(yōu)先安全變得更加緊迫。

李佳峰引用中安網(wǎng)星ITDR白皮書指出，ITDR（身份威脅檢測(cè)和響應(yīng)）是一個(gè)新的安全類別，是指保護(hù)身份基礎(chǔ)設(shè)施免受惡意攻擊的工具和流程，監(jiān)測(cè)針對(duì)身份基礎(chǔ)設(shè)施的攻擊，通過(guò)結(jié)合異常身份請(qǐng)求、UEBA、身份欺騙等方式，可以發(fā)現(xiàn)憑據(jù)竊取、特權(quán)濫用以及其他與身份相關(guān)的攻擊威脅和潛在風(fēng)險(xiǎn)。

作為國(guó)內(nèi)身份安全代表廠商和實(shí)踐廠商，中安網(wǎng)星在最初構(gòu)思ITDR產(chǎn)品和解決方案時(shí)不僅要思考產(chǎn)品本身的核心問(wèn)題，比如ITDR核心問(wèn)題就是：針對(duì)身份做有效保護(hù)。從這一問(wèn)題去出發(fā)思考產(chǎn)品技術(shù)能力的構(gòu)建，李佳峰強(qiáng)調(diào)了“整體”二字，其中既包括ITDR技術(shù)的整套流程工具能力，也包含不同身份集權(quán)設(shè)施的數(shù)據(jù)采集能力，從而保障技術(shù)落地的有效性，和技術(shù)的廣泛適用性。

而作為一項(xiàng)新的安全類別，李佳峰也認(rèn)為，ITDR產(chǎn)品在落地時(shí)更要為企業(yè)提供審計(jì)、調(diào)查、防御等多身份維度的專業(yè)數(shù)據(jù)，從而為企業(yè)打開(kāi)一個(gè)全新的基于身份的安全視角。這一點(diǎn)也充分展現(xiàn)在了中安網(wǎng)星ITDR產(chǎn)品構(gòu)建之上。相較而言，能力的擴(kuò)充也將便于用戶理解技術(shù)，利用技術(shù)來(lái)構(gòu)建安全。

積淀與創(chuàng)新是中安網(wǎng)星ITDR技術(shù)落地應(yīng)用的最大保障

根據(jù)安全419的觀察，目前ITDR仍然處于早期發(fā)展階段，從國(guó)際視角來(lái)看，該技術(shù)正在被一線大廠所廣泛關(guān)注，此時(shí)，資本的力量也再度發(fā)揮了助推作用，一些早期身份安全廠商持續(xù)融資或被收購(gòu)，都在證明ITDR已成為一個(gè)熱門的網(wǎng)安新賽道。

而在國(guó)內(nèi)，專注于ITDR技術(shù)發(fā)展的廠商只有寥寥幾家而已。李佳峰分析指出，身份安全在客戶一側(cè)的需求已經(jīng)十分明確，現(xiàn)在只是需要成熟的ITDR產(chǎn)品來(lái)展現(xiàn)其價(jià)值并激發(fā)客戶的付費(fèi)意愿，他們相信未來(lái)短時(shí)間內(nèi)會(huì)有更多的安全企業(yè)加入這一全新賽道。而在此時(shí)間段也是中安網(wǎng)星打磨產(chǎn)品的最佳時(shí)機(jī)。

李佳峰認(rèn)為，中安網(wǎng)星在ITDR技術(shù)賽道上的優(yōu)勢(shì)在于長(zhǎng)期的安全攻防經(jīng)驗(yàn)帶來(lái)的身份安全技術(shù)積淀與創(chuàng)新，以及技術(shù)賽道選擇上的先發(fā)優(yōu)勢(shì)。

據(jù)觀察，在中安網(wǎng)星成立的早期階段，基于商業(yè)化考慮其主要的產(chǎn)品落腳點(diǎn)集中于AD（Active Directory），在專注能力與技術(shù)的產(chǎn)品化同時(shí)，也在不斷積累和沉淀從實(shí)踐中總結(jié)的身份安全技術(shù)。

技術(shù)積淀是不斷的，正如在年初召開(kāi)的ADconf 2023安全大會(huì)上，作為大會(huì)主辦方，中安網(wǎng)星就發(fā)布了多款I(lǐng)TDR技術(shù)白皮書，包括《ITDR－身份威脅檢測(cè)與響應(yīng)》《ITDR－身份認(rèn)證協(xié)議》《ITDR－vSphere》《ITDR－IAM》《ITDR－Kubernetes》技術(shù)白皮書，充分展示了自身具備的ITDR底層技術(shù)能力與應(yīng)用能力。

比如讓我們印象深刻的是其《ITDR－身份認(rèn)證協(xié)議》白皮書內(nèi)容高達(dá)近300頁(yè)內(nèi)容，其中全面介紹了身份認(rèn)證協(xié)議的發(fā)展、應(yīng)用，以及原理和安全性分析，其中大量技術(shù)細(xì)節(jié)的源碼分享，也展現(xiàn)了中安網(wǎng)星對(duì)安全生態(tài)的開(kāi)放與包容。

而在ITDR落地應(yīng)用實(shí)踐時(shí)，一方面需要通過(guò)更完整的身份維度方案來(lái)支撐應(yīng)用，從而對(duì)集權(quán)設(shè)施保護(hù)做到最大兼容，中安網(wǎng)星現(xiàn)有的ITDR解決方案已經(jīng)打通了多項(xiàng)身份采集維度，從而為多場(chǎng)景提供ITDR技術(shù)能力，比如目前支持AD、IAM、PAM、vCenter、Cloud等多個(gè)場(chǎng)景的數(shù)據(jù)采集。

同時(shí)技術(shù)創(chuàng)新力也是其中重要實(shí)踐推動(dòng)之一。據(jù)了解，中安網(wǎng)星為其ITDR解決方案創(chuàng)新提出的技術(shù)點(diǎn)有圖計(jì)算、身份欺騙防御、身份機(jī)器學(xué)習(xí)等技術(shù)，這些技術(shù)被認(rèn)為是“擊敗每一次網(wǎng)絡(luò)攻擊”的關(guān)鍵點(diǎn)，即ITDR技術(shù)本身也需要更多創(chuàng)新技術(shù)來(lái)支撐身份安全這一全新方法論的有效且多維地落地實(shí)踐。

身份安全的三維思考

自研技術(shù)攻克ITDR落地難點(diǎn)

“身份安全現(xiàn)在非常重要，如中安網(wǎng)星現(xiàn)在做的事情就有著極高價(jià)值，特別是在當(dāng)前攻防演練場(chǎng)景下，已經(jīng)進(jìn)入了無(wú)漏洞攻擊時(shí)代，全場(chǎng)景下的攻擊利用最終都需要用到身份。”在ADconf 2023安全大會(huì)上，演講嘉賓就身份安全從實(shí)戰(zhàn)側(cè)出發(fā)需要加速落地時(shí)強(qiáng)調(diào)指出。

全場(chǎng)景下的攻擊利用最終都需要用到身份，身份既是攻防殺傷鏈的核心要素，也可以定義為新的網(wǎng)絡(luò)安全邊界，身份集權(quán)設(shè)施保護(hù)也亟須提上企業(yè)的網(wǎng)絡(luò)安全運(yùn)營(yíng)管理日程。就其重要性而言，中安網(wǎng)星認(rèn)為企業(yè)亟須構(gòu)建覆蓋安全事件全生命周期的身份威脅檢測(cè)和響應(yīng)能力，基于安全事件的事前、事中、事后三個(gè)階段全方位地解決身份威脅問(wèn)題。

事前、事中、事后的三維思考我們并不陌生，在這方面，中安網(wǎng)星ITDR解決方案在事前方面也引入了攻擊面管理技術(shù)，從而減少可能存在的身份攻擊暴露面；在事中，即主要應(yīng)用的監(jiān)測(cè)方面，中安網(wǎng)星ITDR解決方案主要參考了ATT&CK和kill Chain模型，同時(shí)引入前文談及的欺騙防御技術(shù)、機(jī)器學(xué)習(xí)技術(shù)，以及用戶和實(shí)體行為分析（UEBA）技術(shù)進(jìn)一步加強(qiáng)監(jiān)測(cè)能力。

事后階段則對(duì)應(yīng)著響應(yīng)，中安網(wǎng)星的ITDR解決方案通過(guò)對(duì)接身份基礎(chǔ)設(shè)施實(shí)現(xiàn)阻斷規(guī)則的配置下發(fā)，支持手動(dòng)威脅阻斷和自動(dòng)威脅阻斷，其解決方案還可支持對(duì)接第三方安全防護(hù)產(chǎn)品，實(shí)現(xiàn)聯(lián)動(dòng)處置。該解決方案的應(yīng)用依托于完整的告警與原始數(shù)據(jù)存儲(chǔ)，還可對(duì)威脅事件進(jìn)行詳細(xì)的溯源分析展示。

“網(wǎng)絡(luò)安全在攻與防的兩端往往攻擊者更具優(yōu)勢(shì)，攻擊者只需要成功一次，而防御者必須每次都正確。”中安網(wǎng)星在構(gòu)筑ITDR解決方案實(shí)踐不同創(chuàng)新技術(shù)皆在消除攻擊者成功攻擊所必需的一件事——身份，從而為防御者增添了一個(gè)重要的安全技術(shù)砝碼。

在交流過(guò)程中，李佳峰也指出了ITDR技術(shù)解決方案的核心挑戰(zhàn)，這也是DR類型安全產(chǎn)品共同的挑戰(zhàn)，即這些產(chǎn)品的三個(gè)核心步驟，分別為采集、分析、處置。

“在采集上，ITDR需要針對(duì)不同的身份設(shè)施進(jìn)行身份數(shù)據(jù)采集，這對(duì)采集方案提出了較高的要求，中安網(wǎng)星通過(guò)自研user-mapping模塊將身份和物理身份進(jìn)行對(duì)應(yīng)，進(jìn)一步采集身份系統(tǒng)的日志與流量，最后通過(guò)統(tǒng)一的字段處理整體方案來(lái)支持解決采集的難題。”

就分析方面，其實(shí)也是中安網(wǎng)星為什么要融入更多的技術(shù)在ITDR解決方案之上的原因，其主要目的就是保障技術(shù)有效，且要達(dá)到一個(gè)合格的誤報(bào)與漏報(bào)率之間的平衡，這也是所有數(shù)據(jù)平臺(tái)型安全產(chǎn)品在部署使用時(shí)用戶遇到的主要困境。在處置方面，在現(xiàn)有階段之下，需要擴(kuò)展的可能僅限于進(jìn)一步的自動(dòng)化能力，而這一點(diǎn)，其實(shí)也是全安全生態(tài)的共同挑戰(zhàn)。

ITDR的落地魅力

將成為企業(yè)的網(wǎng)絡(luò)安全新武器

李佳峰引用了一組數(shù)據(jù)強(qiáng)調(diào)了身份安全的重要性，根據(jù)國(guó)際身份安全聯(lián)盟IDSA的一項(xiàng)研究發(fā)現(xiàn)，在過(guò)去兩年中，79%的企業(yè)都經(jīng)歷過(guò)與身份相關(guān)的攻擊。從實(shí)戰(zhàn)側(cè)觀察，相關(guān)基于身份的攻擊成功案例更是不勝枚舉。

他們相信，ITDR的落地能極大地提升企業(yè)在身份安全方面的防御能力，且可通過(guò)有限且較少的投資獲得極大的安全防御能力回報(bào)。

從企業(yè)的真實(shí)情況來(lái)觀察，ITDR技術(shù)在落地實(shí)踐方面同樣前景廣闊，一方面，企業(yè)的IT系統(tǒng)化發(fā)展正經(jīng)歷空前變革，為了高效管理所有的IT設(shè)施，各種身份集權(quán)設(shè)備正逐漸成為企業(yè)廣泛采用的重要基礎(chǔ)架構(gòu)，而現(xiàn)狀是缺乏統(tǒng)一的管控方案也讓其屢屢失陷。未來(lái)，ITDR技術(shù)也將是集權(quán)設(shè)施保護(hù)的標(biāo)準(zhǔn)答案。

ITDR的價(jià)值在于能把所有的身份基礎(chǔ)設(shè)施做到統(tǒng)一管理，理解并強(qiáng)化網(wǎng)絡(luò)攻擊殺傷鏈當(dāng)中的核心——身份，對(duì)其做出及時(shí)的全面監(jiān)測(cè)和響應(yīng)。這套系統(tǒng)可理解為是一套身份運(yùn)營(yíng)中心，其可以阻斷基于身份的攻擊，并可以具象分析背后的威脅點(diǎn)。

如今，身份安全已成為網(wǎng)絡(luò)安全威脅形勢(shì)的核心，檢測(cè)和響應(yīng)基于身份的威脅能力已變得至關(guān)重要。總結(jié)而言，ITDR技術(shù)的最大落地魅力也就在于為用戶提供了一個(gè)不可替代的網(wǎng)絡(luò)安全新武器。

術(shù)有專攻，率先布局ITDR技術(shù)賽道的中安網(wǎng)星未來(lái)如何引領(lǐng)國(guó)內(nèi)ITDR發(fā)展，我們也將持續(xù)關(guān)注。

（原標(biāo)題：中安網(wǎng)星CTO李佳峰：落地ITDR技術(shù)重在積淀與創(chuàng)新）