2022年7月,在Gartner發布的《2022安全運營技術成熟度曲線》報告當中,一項新的技術被正式提出——身份威脅檢測和響應(Identity Threat Detection and Response,ITDR),該技術此前多次出現在Gartner發布的安全趨勢報告當中,即對身份安全在未來安全領域的價值認可。
身份優先安全
Gartner眼中的ITDR
Gartner今年發布的數份安全趨勢報告中曾提及身份優先安全,將其解讀為安全管理者在未來必須解決的重要趨勢之一,為應對趨勢,身份威脅檢測和響應(ITDR)技術被提出。
Gartner一并指出的是,混合辦公和向云應用程序的遷移鞏固了身份作為安全邊界的趨勢。身份優先安全并不是個新概念,但隨著攻擊者開始瞄準身份和訪問管理功能以實現長期潛伏,身份優先安全變得更加緊迫。
在Gartner《2022安全運營技術成熟度曲線》報告中,ITDR被列為新興技術,其效益等級為高,目標受眾有著5%至20%的市場滲透率,這代表著Gartner對這項技術應用價值的潛在認可。從技術成熟度上來看,ITDR技術本身成熟度較高,Gartner預期未來2-5年即可達到主流應用。
報告中Gartner對ITDR技術的正式定義為:身份威脅檢測和響應(ITDR)包括保護身份基礎架構免受惡意攻擊的工具和流程。他們可以發現和檢測威脅、評估策略、響應威脅、調查潛在攻擊并根據需要恢復正常操作。
對于ITDR技術的重要性,Gartner解釋為隨著身份變得越來越重要,攻擊者越來越多地將目標對準身份基礎設施本身,組織必須更加專注于保護其IAM基礎設施。只有經過授權的用戶、設備和服務才能訪問您的系統,ITDR技術將為身份和訪問管理(IAM)部署增加額外的安全層。
也就是說,Gartner定義ITDR這一全新技術,寄希望于解決雙重趨勢推動的核心問題——身份安全。雙重趨勢之一是安全邊界的轉變,之二是圍繞著這一安全邊界(身份)展開的攻擊已經非常普遍,且缺乏專業的威脅檢測和響應流程。
ITDR的核心價值
提供最大程度身份可見性
中安網星創始人兼CEO楊常城在接受安全419采訪時也強調了安全邊界已發生改變這一問題。比如過去我們對安全邊界可以由防火墻來定義,到Web2.0時代則出現了Web應用防火墻。他指出,隨著IT基礎設施和應用向云、大、物、移轉變,以及攻防技術的演變,身份已成為新的邊界。
其中前者其實是非常好理解的,比如我們遠程辦公、移動應用,絕大多數的調用的都是云端程序,而非本地應用。從攻防技術角度來看,過去政府網站最常見的攻擊是頁面篡改,現在進入數字時代,更多的是以竊取政務數據為主,同時整個的攻擊鏈路也在發生轉變。
“在復雜的攻擊鏈路當中,身份將是一個核心的鏈路點,更是關鍵的檢測點與阻斷點。”楊常城對于身份安全的定義也十分明確,攻擊鏈路中身份是核心要素,趨勢定義了身份安全的重要性,就需要有相對應的安全技術解決這一風險。
由此看來,Gartner定義ITDR技術,可以理由為基于身份的“防火墻”產品,將圍繞著企業的身份基礎設施,實施全面的基于身份攻擊的檢測和響應。
作為一家聚焦于為企業解決身份威脅安全防護的創新型安全廠商,楊常城進一步指出了ITDR技術的核心價值,作為Gartner全新定義的一條技術賽道,其存在價值是在于從專業的網絡安全視角,統一整合身份基礎設施安全性,將其作為整體網絡安全的有力手段或補充。
他指出,現階段一些企業部署有諸如IAM或是零信任等身份管理產品,這些產品主要解決身份認證和管理的工作,但這些產品本身如果出現安全問題,又或者是攻擊者使用的是合法憑證,由此為突破將對企業造成致命打擊。
事實上,這類的攻擊案例早已數不勝數,前一段時間Uber數據泄露事件就是個典型的基于身份展開攻擊的安全事件。當黑客獲取到了合法的憑證,再繞過一些現有的而且非常傳統的檢測手段,對于他們來說并非難事。
用一個比喻來理解ITDR技術的話,他就像是一棟大樓的智能化監控系統,如果有壞人想要進來干壞事,他一定需要獲取一套合法的身份才能進入這棟大樓,不然就會被系統檢測清除。他想要獲取合法身份,可能就需要對門禁系統展開攻擊,或者套用別人的合法身份,但無論其采用哪條路線,ITDR這套智能化監控系統都能夠隨時對其進行檢測和響應。
也就是說,攻擊者對企業各類身份基礎設施開展攻擊,ITDR可以實施檢測并響應,當攻擊者使用合法身份并成功繞過進入到系統內部,ITDR同樣可以根據其行動軌跡或行為對其進行檢測并響應。
ITDR技術當中使用了大量的檢測手段,從而確保他能夠達到預期目標。對于ITDR技術,身份是干壞事的前提,該技術將提供最大程度的身份可見性,并自動響應。
專業的事交給專業的人
ITDR的未來潛力
如果定義完整的身份安全,其要包含兩大技術子集,其一就是身份基礎設施提供的認證和管理,其二就是ITDR對應的檢測和響應能力。楊常城強調稱,ITDR技術的出現,實際上是對身份安全從全維度能力上的一種補足。這種能力的補足,也填補了現有攻擊鏈路的防護空白。
從落地實現角度來看,ITDR也應該是一條獨立的網安新賽道,因為技術獨立的ITDR可以更好的融入到眾多應用場景當中,針對不同場景的身份基礎設施提供檢測和響應,而非這些身份基礎設施獨立集成。
這甚至也是ITDR另外一個維度的價值體現,用楊常城的話來說就是“專業的事交給專業的人”,也只有專業的人,在實現ITDR技術落地之時,才能對客戶身份安全全場景實現覆蓋。從場景上來看,比如辦公網AD的身份覆蓋,或是生產網堡壘機的身份覆蓋。
上圖為中安網星ITDR技術路線圖
楊常城也認為,隨著ITDR整合身份覆蓋的領域在未來的進一步加深,其解決方案的應用廣度和整合效果也會進一步提升。而這一點,也是基于中安網星的ITDR落地實踐的一線觀察,其將與技術壁壘,技術模型一道,影響ITDR是否能夠廣泛落地應用的前提。
身份安全技術目前在國外發展極快,且其市場價值得到了一眾頭部安全廠商的認同,而頭部廠商就會比較粗暴,會直接收購相關的身份安全創新廠商,直接補足自身能力。所以隨著Gartner進一步的推波助瀾,已有大量追隨者涌入了這一賽道。
而在國內,ITDR所對應的技術賽道還處于起步階段,中安網星目前算是國內ITDR賽道上的孤獨舞者,楊常城分析現階段這種孤獨主要源于兩大方面原因:其一當然是技術上的,比如自身所擁有的防護模型覆蓋能力,具體的技術分析和響應能力,這一點與自身的安全基因息息相關,而更重要的是市場原因。
因為在市場方面,完整的ITDR技術要覆蓋的客戶群其實是行業生態的中上游客戶,所以當技術尚未達到廣泛認同階段之時,市場化信心難免不足,其技術落地甚至會碎片化。但楊常城還是堅持認同ITDR的市場價值和應用價值,其實這也是源于其服務的客戶從實踐中取得的積極反饋。
至于ITDR在國內未來的發展如何,隨著新興的身份技術的快速增長,比如零信任技術的落地部署在最近兩年就持續上漲,身份安全預期也會水漲船高。楊常城還指出了ITDR在其它解決方案當中的融合價值,比如在XDR技術當中的融合價值,即本身應用之外行業生態價值也十分明顯。
Gartner為ITDR預期的目標受眾是5%至20%的市場滲透率,結合國內身份安全真實發展情況,楊常城認為國內離這一目標其實還有段距離。但他堅信,隨著用戶對身份安全的認識逐漸提高,并體驗到了ITDR產品的魅力,未來身份安全市場份額也會不斷提高。他心理預期的身份安全市場甚至會占到整體網安市場的15-20%之間。
更多信息可以來這里獲取==>>電子技術應用-AET<<
