《畅聊安全》第三期 | 解析ITDR（身份威胁检测与响应）

Gartner在去年发布的多个安全趋势报告中都提到了身份优先安全，将其解读为安全管理者在未来必须解决的重要趋势，随后，Gartner在《2022安全运营技术成熟度曲线》报告中对应提出身份威胁检测和响应（Identity Threat Detection and Response,简称ITDR）技术。ITDR到底是一个什么样的技术？它能帮助用户解决哪些核心痛点，作为一项新的技术，未来的发展趋势又会是如何的呢？

主 持 人

张  毅 安全419创始人/CEO

受访嘉宾

李佳峰 北京中安网星科技有限公司联合创始人/CTO

受访嘉宾

陈  祥 北京无胁科技有限公司创始人/CEO

任何安全技术或方法论的诞生，都源于真实的威胁趋势，从此出发，也才能为安全建设一方提供广泛的刚需解决方案，从而获得市场。李佳峰分享指出，作为DR类产品，ITDR与EDR、NDR从命名上即可直观看出，其重点围绕的场景就是身份，技术应用对于保护与检测的边界有明显区别。

李佳峰道出了ITDR技术诞生的最大的两个背景：其一是现有技术缺乏对于身份维度的检测和响应，特别是多样的身份基础设施逐渐成为攻击者的主要突破口；其二是IT架构不断变化之下，网络边界逐渐模糊，而技术的领先落地就应找到并应对那些共同的威胁，身份就是其中之一。

陈祥回溯了近年来发生的网络安全事件指出，趋势上就是绝大多数的攻击都利用到了身份，比如我们的业务系统凭证失窃，或是身份认证系统本身的黑客攻击，反推我们看到的是基于身份的安全防护手段上的能力欠缺，ITDR技术的诞生也是大家对攻防趋势的统一认知。

IDSA（国际身份安全联盟）报告指出，84%的组织在过去一年中遭受身份相关攻击，其中78%比例受到了直接的业务影响。94%的组织认为，身份安全相关的投资将是未来战略计划的优先部分。从两位嘉宾总结来看，之所以会诞生ITDR这项技术，其最大动力解决的是现在和未来的主要攻防聚焦点，ITDR未来将是一种刚需型安全解决方案。

一种安全技术或一套安全方案，其核心价值在于能否为客户解决他们想要解决的问题。李佳峰指出，ITDR技术价值在于能力上的一种补缺，而这一能力又恰好是当前攻防的主要趋势。“部署EDR或NDR能够获取与进程、IP等网络信息相关的告警信息，但在人员或身份维度关联性较弱，ITDR的核心价值就在于解决了其他安全产品看不到的来自身份方面的威胁。”

根据李佳峰的说法，大量的调研报告均将如今的安全风险指向身份一侧，且其中超过80%的比例并不是那种高级威胁攻击，比如是攻击者直接盗取了企业IT系统的合法身份，此时传统的威胁检测和响应手段就会失效，ITDR的出现就全面地解决了多维度的身份攻击利用问题。

陈祥补充指出，ITDR可以简单理解为针对身份视角提供流量检测，它可以解决针对漏洞的、弱口令的、基于业务反欺诈的多维度的身份安全检测和响应，传统设备误报率高，针对身份的检测可以更好标识，配备更好的响应机制，解决以往看不到的身份威胁。

张毅从安全多样性视角进行了总结，各种安全技术最终都人围绕着业务，当前，身份是各业务系统当中的核心要素，基于ITDR解决方案的安全建设将阻断基于身份的攻击，比如ITDR可以检测业务当中的身份是不是黑客假冒身份。

李佳峰指出，之前讲身份安全大家通常会想到以下几个关键词，比如IAM、IGA、MFA、PAM等等，但他认为相较而言这些技术都更偏重于身份的管理维度，严格意义讲它们并不偏重于身份的安全维度。

以手机唤醒登录来举例的话，IAM要做的事情是认证的过程，手机开机之后IAM提供了其自身维度的一套检测机制来证明你是机主，MFA则是多维度的来证明你是机主，比如加入生物识别技术，但它们都是基于身份的管理维度。

ITDR与它们不同，技术本身更偏向安全维度，比如黑客通过一系列手段绕过检测，或者冒用了用户的合法身份，ITDR偏安全的角度可以识别并响应接下来的风险操作，这是前面几项技术无法响应的部分。

陈祥指出，WuThreat理解的ITDR更是希望能将身份认证与身份安全融合到一起，既解决前面的身份认证过程，也解决其他安全产品无法很好检测和响应的身份维度的安全。其方案理解更像是哪怕企业用户把业务账号密码给到黑客，黑客也难以在ITDR解决方案之下实现登录作恶。

李佳峰强调，ITDR工作机制也是持续验证，并持续响应。ITDR就像是个智能安保摄像头，它通过技术检测针对身份集权设施的多样性技术攻击，验证所有的身份流量数据，也跟踪检测利用合法身份黑入作恶的全过程。

 零信任是一个大的指导性概念，零信任核心架构涉及身份、设备、网络，以尽量少的暴露业务，实现永不信任持续验证的过程。零信任在落地上各家厂商与客户业务的结合方式有一些差异化，差异化推动了发展。但综合来看，零信任概念当中同样以身份为核心基础，中安网星ITDR解决方案可以为零信任解决方案实现其想解决而又弱化的安全问题。

Gartner报告也提及ITDR与零信任之间的关系，其从ITDR重要性理解认为：身份现在是安全操作（身份优先安全）的基础。只有经过授权的最终用户、设备和服务才能访问您的系统。ITDR 可以为成熟的身份和访问管理（IAM）增加一层额外保护。

中安网星是国内落地ITDR技术最早的安全企业，李佳峰指出，数字化进程推动了企业安全认证体系的建设，这也给ITDR技术的落地提供了良好的土壤。

“从业务角度来看，百人规模企业都在做SSO，因为不可能让员工记录很多密码，这带来了一定的便捷性，但同时也引入了很大的风险。假如SSO系统失陷，就意味着我们所有的系统都失陷了，因为SSO系统可以访问所有系统，黑客就可以模拟成任何人访问任何系统了。”

从中安网星技术落地实践观察，百人规模以上的金融、互联网科技公司在数字化进程上要更为领先，对ITDR技术的需求也更加旺盛。但实际上他们也是在技术落地的早期阶段，ITDR技术最大的防护对象即身份集权设施，只要企业有这方面的建设，其实他就是ITDR技术的客户群体。

ITDR技术适用面确实比较偏中上游客户。

陈祥从其服务的客户群体分析指出，ITDR主要的客户是重视网络安全的泛互联网企业，比如跟金钱强关联的在线零售企业。这些企业可能会自建IDaaS或SSO系统，但其系统缺乏安全的DR能力，所以他们是需要ITDR来解决身份的安全问题的。

WuThreat也从极致性和性价比视角落地方案，其客户群体也就变成了要为多云系统提供身份认证+身份威胁与检测能力的那一部分企业。

Gartner指出企业部署ITDR的驱动力在于越来越多的攻击者正以身份基础设施本身为目标，其中基于底层的协议攻击、凭证滥用司空见惯，而身份基础设施不足以防止违规行为，技术型黑客可以轻松绕过多因素身份验证和权限管理，企业缺乏对身份进行检测和响应的机制，一些如SIEM、SOC类解决方案并不能完全胜任这项工作。

“我们也关注到，过去几十年以来，Black Hat上分享了很多Web相关的技术议题，而从2016年开始，身份相关的议题逐渐多了起来。”

李佳峰指出，从攻击态势上来看，基于身份的攻击将是未来的主流趋势。所以就客户部署ITDR的动力与必要性而言，最大的问题就是能不能帮他解决他最想解决的问题。以客户真实面临的能够直观展现ITDR动力的问题，比如在攻防演练场景下解决频繁的身份攻击向量，ITDR就不是一种纸上谈兵的解决方案。

EDR或NDR能够解决针对身份基础设施的攻击吗？李佳峰认为类似技术仅能够解决10——20%，但真想解决，就需要单独对接单独解决，即ITDR技术的出现。

ITDR技术威胁检测能力对于身份覆盖能力是多维度的，李佳峰在交流中指出，如果用户的账户密码泄露了让黑客利用并进行登录，那企业是否能够感知其中的风险？实际上ITDR技术就加强了这方面的检测能力。在这方面据了解中安网星是利用行为分析和诱饵部署来实现技术鉴别。

陈祥也从WuThreat技术能力上解释了ITDR的技术驱动力，比如针对攻防演练场景，其解决方案就可以抓到与黑客相关联的信息，比如社交化的ID、设备指纹等等，ITDR技术生态中包含了诸多其他技术不具备的能力。

最近几年创新的网安赛道非常多，安全厂商需要结合自身能力，以及市场需求择道而行。李佳峰就指出，中安网星之所以现在向ITDR技术方向去发展，与其整体背景与攻防相关有很大关联性。“我们在攻防演练活动中也扮演过攻击队的角色，而在攻击过程中大量的防御设备根本拦不住我们，比如说我们刚刚提到的攻击集权设备。”

基于他们所具备的技术能力，他们把攻击具象为：找到目标——获取证据——登录目标，针对目标系统无论采取哪些技术手段，目的只有一个，就是获取到系统的身份，以及身份背后对系统和数据的访问权限。

中安网星最先布局的AD安全，AD是企业内最大的基础设施之一，在国外市场占有率甚至高达95%，国内会偏低一些，但也能达到60%左右的应用，但考虑到信创进程的加快，中网安星选择ITDR实际上也是能力与市场的一次必然碰撞，ITDR将保护能力覆盖更多的集权基础设施，从而更加有利于产品市场化推动。

WuThreat陈祥则是威胁情报出身，对于威胁情报业务系统化有着极强的产品市场经验，其在技术迭代过程中就发现了基于身份认证+身份安全将符合未来企业业务系统的安全建设需求，其技术能力也与ITDR相一致。

李佳峰分享指出，系统调研显示国际上身处ITDR赛道的安全企业数量已有二三十家，这些企业可划分为以下四类：

● 最后，则是中安网星选择的这类，即专注ITDR本身，为技术应用提供更广的场景化能力交付。

“我们国家的IT环境目前是比较复杂的，有行业云、私有云、公有云，还有本地数据中心，以及办公网混合，所以我们的ITDR技术方案99%都是私有化部署，虽然我们的技术方案也能够接入公有云。”实际上创新技术的落地发展必须符合国内IT架构技术路径，这即是技术落地的难点，但同时也是本土化方案的优势之处。

中安网星的ITDR与国际安全厂商在IT生态上的不同，造成了技术应用场景上的差异化，其ITDR技术对接与身份相关的应用，而非对接SaaS应用，如对接重要身份基础设施的威胁分析与响应。在其技术构建方面，会分为事前、事中、事后，围绕身份基础设施全身份相关攻击向量做出响应，且技术方案更加全面。

陈祥指出，无胁科技在ITDR技术落地上走的是一条比较重的路，其将基于身份在场景中的认证能力和安全能力相结合，如ITDR Cloud产品由云身份管理（IDaaS）能力及身份威胁检测与响应（ITDR）技术，其向用户传输的理念是“身份认证即身份安全”，其可以为企业业务平台快速构建一体化多身份场景的认证与威胁检测解决方案。

技术要服务用户的核心诉求，技术要降低用户的使用门槛和部署成本，ITDR技术刚好就是一个最新的趋势型技术，Gartner报告指出ITDR是一项快速崛起的技术，国际厂商已经开始提前布局，未来市场应用前景可观。

在这方面李佳峰认为，网络安全未来的核心市场在终端和身份。“未来会有越来越多的设备会接入到企业的网络当中，不仅含PC端设备，还包括物联网领域的智能设备和移动设备，包括持续推动的远程办公需求，端点安全需求量会越来越大，而端点的连接就需要身份，所以DR领域EDR和ITDR将是未来的主要应用趋势。”

ITDR未来可能会独立发展，但也有可能会被XDR所容纳进去，去实现综合的技术应用。

陈祥侧从身份安全大赛道去理解ITDR，身份安全市场是巨大的，但现有身份安全赛道偏注重身份认证和管理，只有补充了ITDR技术的能力，其身份安全体系才是健全的。从不同市场应用，ITDR的技术补充能力也有多极展现，比如企业光部署了IAM是不够的，需要串联ITDR能力。

目前中安网星在ITDR技术赛道上的落地情况覆盖的以大型客户为主，服务客户数量达到50家规模，主要覆盖金融、科技行业，在金融行业的基金、证券、保险、银行四大领域的头部企业，都在使用中安网星的ITDR类产品。

无胁科技目前仍处于创业的早期阶段，融资发展是当前阶段的主要任务，其推出的ITDR Cloud身份安全云支持SaaS或私有化部署，已在互联网高科技企业、互联网汽车、政企能源客户侧服务落地。

对于未来市场竞争格局方面，两位嘉宾认为，ITDR的技术价值体现明显，市场体量巨大，一家企业或两家企业不可能服务完所有客户，也希望有更多的创业公司加入赛道，助推技术市场化发展。

李佳峰指出，ITDR赛道对技术要求也是较高的，需要团队具备底层基因及技术储备，UEBA、SIEM技术实践型厂商，以及综合型大厂可能更具相关赛道条件，在未来都有可能会涉足ITDR赛道。