深度身份防御（IDID）的领导力指南报告

  基于对国外初创ITDR供应商的分析，笔者个人认为虽然ITDR是一个营销术语，不能单纯从字面去理解它，但是我们可以深入思考几个问题后，再作判断。

• ITDR是否又是一个新瓶装旧酒？
• ITDR与零信任及落地组件是什么关系？
• ITDR是一个产品还是一个思维模式或者框架？
• IPDRRG模型上安装安全术语“检测、恢复、响应、治理”，我们就可以默认自以为可以吗？
• 需要多大的代价才能实现ITDR？是否值得？
• ITDR的前提是什么？
• 对于客户，ITDR价值在哪里？是增加了成本还是降本增效？

  本报告中分析师对这一营销术语及概念进行了描述，还是比较中肯。报告中提出另一个术语--深度身份防御（“identity defense-in-depth”(IDID),），并交给市场去决定。所以本文罗列简报供大家参考。

概述

  新兴的ITDR市场将在2024年获得巨大发展势头。思科和Delinea最近分别通过收购Oort和Authomize进入该市场。顶级网络安全公司BeyondTrust、CrowdStrike和SentinelOne继续在ITDR方面进行大量投资。Microsoft通过融合Entra和DefenderXDR产品的技术来向ITDR倾斜。其他供应商（例如Gurucul、Securonix和Sharelock）正在尝试以各种方式扩大ITDR的定义。

  鉴于这些发展，市场仍然难以量化。可以说，甚至不存在真正的“ITDR市场”，因为它最终更像是一项活动或身份保护平台。许多供应商甚至没有在其产品名称中使用ITDR一词。但显而易见的是，ITDR是企业身份和访问管理(IAM)和安全运营中心(SOC)团队必须团结起来的旗帜。

  那么，您的组织保护身份和IAM的最佳途径是什么？该领导力指南针评估2024年ITDR的市场动态，并为您的组织如何利用这些关键技术提供指导。

执行摘要

  ITDR是一类安全解决方案，旨在主动检测、调查和响应组织IT环境中与身份相关的威胁和漏洞。ITDR解决方案专注于保护数字身份和基础设施免受威胁行为者的各种攻击。

  ITDR是全面网络安全战略的重要组成部分，因为身份已成为寻求未经授权访问敏感系统和信息的攻击者的主要目标。通过关注身份安全，ITDR帮助组织防范一系列威胁，包括凭证盗窃、帐号接管和内部威胁。

  该领导力罗盘涵盖了这一新兴市场的动态，提供了评估ITDR解决方案的框架，并就企业如何为其组织选择合适的技术提供了指导。

主要发现

  在对ITDR的研究中，我们发现了以下内容：

1. 2023年，ITDR的市场总规模（包括收入、服务、劳动力、罚款、诉讼、赎金支付等）超过24亿美元，2024年增长非常强劲。

2. ITDR是一个用例，而不是一个产品，到2025年可能会被称为另一个名称。在本报告中，我们提出“深度身份防御”(IDID)，但市场最终将做出决定。

3. ITDR市场涵盖身份IT管理和安全运营中心(SOC)威胁检测和响应之间的空间。这种动态正在创建一种新型解决方案，因为保护身份需要两个部门在融合产品中进行合作。

4. BeyondTrust、CrowdStrike、Microsoft、Securonix和SentinelOne是市场领导者，Gurucul也处于产品领先地位。

5. ITDR市场的整合已经升温，思科收购了Oort，Delinea收购了Authomize。

6. 本报告中涵盖的所有供应商都经历了强大的产品市场契合度，但他们的架构和方法也相当多样化。因此，选择供应商主要依赖于企业组织了解ITDR的内部要求。

市场分析

  顾名思义，ITDR的含义源自已建立的安全系统，例如EDR、XDR，以及当今几乎所有以“DR”结尾的系统。肯定是令人欣慰的是，对于我们遇到的任何新的攻击面，我们只需简单地在其上浇上一些“DR”，突然间我们就可以恢复安全状态。但实际上，这承认任何检测和响应市场（包括ITDR市场）都是威胁行为者而非网络安全行业的创造。

  但现在身份系统本身也成为目标，事情就变得复杂了。我们不再讨论端点、服务器、网络和防火墙；而是讨论端点、服务器、网络和防火墙。身份的行为方式并不相同。身份不是一个物理位置，甚至不是一个可以管理的东西。您无法关闭身份的端口；您不能只在其上运行病毒扫描程序。威胁行为者终于找到了进入组织的一扇无法关闭的大门——前门。

  基于身份的攻击的阴险本质在于，攻击者可以使用合法、高度可信的认证级别和加密技术在您的基础设施周围进行犯罪活动，而无需担心被注意到。他们不是众所周知的披着羊皮的狼——相反，他们操纵着羊。

  这种动态完全颠覆了我们当前的威胁检测和响应模型。为了应对此类威胁，必须编写新的操作手册。作为一个行业，我们仍处于这一过程的早期阶段。但目前，我们谨慎地将这种新做法称为ITDR。

  尽管“ITDR”是一个朗朗上口的营销助记符，但它的困难在于它没有涵盖组织为保护其用户帐号和身份系统而必须参与的活动类型。本报告中的供应商甚至没有在其产品命名中使用“ITDR”：微软使用“EntraID+DefenderforIdentity”，CrowdStrike使用“FalconIdentityProtection”，SentinelOne称其产品为“SingularityIdentity”，而BeyondTrust、CiscoOort、DelineaAuthomize、Gurucul、Securonix和Sharelock将其产品称为身份平台。这里发生了什么？我们甚至可以将“ITDR”称为市场吗？

部门紧张

  供应商在ITDR市场中面临的困境是他们的产品必须满足信息安全组织内两个以前不同的部门的需求：身份管理员（IT的一个职能）和SOC（响应团队）部门。

  勒索攻击使这些部门陷入了冲突，因此ITDR供应商的主要目的是创建一个协作环境，在该环境中IT可以专注于可见性和身份状况，而SOC团队可以在威胁狩猎和响应中发挥带头作用。突然间，身份管理员正在学习网络安全词汇，SOC分析师正在学习有关IAM的所有内容，而ITDR供应商的目标是同时满足两个团队的需求。

  满足这些部门的需求还意味着要弄清楚如何分摊费用。想象一下两个大家庭在一家高档餐厅共进晚餐：谁买单？嗯，既然名字后面有“DR”，那一定是SOC的责任；但随后SOC团队很困惑为什么他们要为带有“身份”的东西付费。

  意识到这一点，供应商开始将他们的解决方案称为身份保护、身份状态或身份平台，ITDR只是他们提供的众多用例之一提供。很可能，我们就此主题所做的下一份报告将更接近“深度身份防御”(IDID)，该报告在缩写词中偶然使用了两个ID，大声说出“我做了”非常有趣”。

技术框架

  协调不同职责（在某些情况下是独立的）团队之间的互动并不是一件简单的任务。满足如此广泛的要求的技术必须是整体性和综合性的。追求符合NIST 800-207，重要的是ITDR系统不会轻易被利用。下图中的五个支柱说明了IT管理和SOC团队都无法控制整个流程，但这种可见性却广泛可用。

  这些支柱支持的活动范围从管理身份系统（左侧）到中心的共享责任，然后是右侧的SOC相关责任。鉴于管理和SOC团队需要通过此流程进行协作，提供集成视图和工具的工具可以提高ITDR项目的成功率。

  我们审查的所有供应商都具有强大的管理功能。与SOC流程集成时，解决方案分为与ITSM和SOAR解决方案集成以及原生对此类任务的支持。例如，我们审查的所有解决方案都提供某种形式的案例管理。Crowdstrike、Delinea、Gurucul、Microsoft、Securonix和Sharelock提供与SIEM和SOAR解决方案的集成。此外，Gurucul、Microsoft和Securonix还通过其ITDR提供集成的SOAR解决方案。SentinelOne提供原生与Microsoft环境的集成，从而缩短平均修复时间(MTTR)，而无需SIEM或SOAR。

  尽管如此，企业安全团队将如何使用这些工具仍有待观察。SOC团队可能希望保留现有的工具选择，但这意味着丰富的身份管理数据可能不会很快出现。CiscoOort和Securonix提供相关视图和丰富的日志数据，有助于解决经典SIEM和SOAR系统中身份数据稀疏的问题。尽管如此，身份系统中的威胁狩猎仍得益于丰富的ITDR解决方案。

技术架构

  ITDR产品连接到IAM平台并捕获数据库或数据湖中的关键信息。第一步是审查所有已知的帐户，识别其所有者，并对它们进行风险评估。随着时间的推移，会重复此过程，以确保维持身份状态。该过程还监视通过日志文件和（对于CrowdStrike、Gurucul和SentinelOne）网络流量出现的事件或威胁。一旦检测到事件，ITDR产品就会通过各种渠道向管理员和安全分析师发出警报。所有产品都连接到ServiceNow，但也支持许多其他票务服务。

整体领导力

微软依旧是老大哥，学习的榜样，国内某些机构，组织，GQ很多概念，理念什么的都是抄袭他的，这里不点名。

ITDR市场的总体领导者是（按字母顺序排列）：

完整分析报告，请关注本公众号，回复itdr获取pdf。

原文始发于微信公众号（安全红蓝紫）：深度身份防御（IDID）的领导力指南报告