网安创新方向之——身份威胁检测和响应（ITDR）

“有84%的受访者表示他们的组织在过去一年中遭受了与身份相关的攻击活动，有78%的受访者表示因此受到了直接的业务影响。94%的受访者表示，身份安全相关的投资是所在组织未来战略计划的一部分，其中最多的选项为采用云（62%）、实施零信任（51%），64%的受访者表示，身份的管理和保护是其安全计划的三大优先事项之一。”

以上这组数据，是IDSA（国际身份安全联盟）发布的《2022年数字身份安全趋势报告》当中重点披露的调研数据，这一系列数据凸显了身份安全在未来的重要性。与此同时，调研机构Gartner也在同一时间关注到了身份安全的重要性，数份报告将其定义为未来的重要趋势，且提出独立的安全技术予以应对。

Gartner为应对基于身份的安全威胁，在2022年提出了一项全新的安全技术，命名为身份威胁检测和响应（Identity Threat Detection and Response,简称ITDR）。在Gartner的《2022安全运营技术成熟度曲线》报告中，其给出的定义是：身份威胁检测和响应包括保护身份基础设施免受恶意攻击的工具和流程。ITDR可以发现和检测威胁、评估策略、应对威胁、调查潜在攻击并根据需要恢复正常操作。

对于ITDR技术的重要性，Gartner解释为随着身份变得越来越重要，攻击者越来越多地将目标对准身份基础设施本身，组织必须更加专注于保护这些身份基础设施。如过去疫情期间远程办公催生出的IAM广泛应用场景，而以IAM为例，其保证了只有经过授权的用户、设备和服务才能访问您的系统，但其本身缺乏保护，ITDR技术将为诸如IAM这类身份集权基础设施提供额外保护。

也就是说，技术随着攻击场景而动，当身份变得越来越重要，攻击者正将目标指向那些权限更大，但又缺乏保护的环节。当前环境下，这个目标优选之一就是那些现代IT架构当中广泛应用的身份基础设施。Gartner指出，在攻击者开始直接针对身份攻击之前，“一切照旧”的流程似乎已经足够了，但现在已经不够了，保护身份基础设施必须是首要任务。

从价值分析我们不妨切换一个角度，来到攻击者视角，ADconf安全大会上国内安全企业从实战攻防角度分享，就明确了身份在攻击链路当中的核心地位，且给出了“全场景下的攻击利最终都需要用到身份”的论断。明确了这一点，ITDR的价值也可想而知。

继续以攻击者视角来看身份安全的重要性，我们不妨更加实例化一些。2月末，为持续改善网络安全，美国国家网络安全和基础设施安全局（CISA）发布了一份红队视角的评估报告，该报告披露了一次为期三个月的以该国某大型关键基础设施组织为目标的实战评估，评估结果就充分展示了攻击队在实战化攻击下的全场景下的身份攻击利用。

无论是最初建立具有诱惑力的钓鱼攻击，诱导建立与工作站之间的持久访问，还是随后利用SharpHound开展AD侦察，以及利用黄金票证攻击劫持域控服务器，充分展示了实战侧身份利用在IT网络全链路杀伤的技术细节。其中由于有大量技术细节用于躲避安全检测，而同时为达到评估效果，攻击队也会执行一些高风险性活动，意在引起流程和技术上的响应，但除了明确上传并执行意在被检测到的众所周知的恶意文件或模拟勒索软件被识别和阻止，其余全部攻击均在对方无感知情况下完成。

据报告显示，此次实战评估所采用的技术完全基于MITRE ATT&CK框架模型之下，从最初的收集受害者身份信息，到最后的账户访问权限删除，这也显示了企业就实战侧围绕着身份开展攻击的全链路检测与响应上的能力空缺。值得注意的是，ITDR技术的建议之一就是需要使用MITRE ATT&CK框架将ITDR技术与常见攻击场景相关联，以确保解决所有相关攻击向量。

以上述实战案例为例，对应Gartner报告对ITDR提出的驱动力与技术阻碍与建议综合分析得出，现代实战攻击表明，现有的身份安全方案主要专注于授权与验证，不足以防止攻击行为，包括企业现有的或外包的安全解决方案也不能取代专门为确保身份基础设施本身的完整性而设计得更专业的威胁检测和响应流程。

这就说明了ITDR的技术价值，未来，ITDR将成为身份集权类基础设施保护的标准答案，从而成为现代攻击链路当中围绕身份进行无声伤杀的拦路虎。

从Gartner的《2022安全运营技术成熟度曲线》报告给出的供应厂商为例：Illusive、Microsoft、 Netwrix、Quest、Semperis、SentinelOne（Attivo Networks）、Silverfort、SpecterOps、Tenable，可见赛道为清一色的国际厂商，而我国网络安全产业尚处于ITDR赛道的早期观察阶段，虽然国内不乏大量标榜为身份安全厂商，但与ITDR技术完全符合的厂商屈指可数。

ADconf安全大会上有演讲嘉宾谈及了攻防技术创新与业务落地之间的关系，就侧面说明了未来ITDR技术赛道可能会有更多的参与者。其指出，针对集权设施的安全评估，如AD域、vCenter、k8s，这些场景都是创新的落地点。相应而言，具备ITDR技术赛道的底层技术能力的安全厂商并不在少数，比如处于一线实战攻防演练的那些明星企业，但是否进入，也将取决于赛道是否能够真正地实现产品规模化落地。

赛道是否能够落地，并不取决于趋势，而是是否有客户要为趋势买单。以保持持续热度的攻击面管理（ASM）技术为例，当技术受到了客户的欢迎，也就会有越来越多的安全厂商参与其中，因其技术子集当中的网络资产发现与漏洞管理几乎是绝大多数安全厂商的基础能力，所以当前我们看到的是就算未定义自身为攻击面管理定位的安全厂商，亦在使用攻击面管理技术作为产品本身的技术能力或售前能力，为客户交付安全解决方案。

ITDR亦是如此，ITDR归属于身份安全，但更明确的定义是身份基础设施保护的能力补充。身份安全包含的两大子集当中，其一是身份基础设施提供的认证和管理，其二就是ITDR对应的检测和响应能力。从技术发展上看，其中前者受IT技术的发展，一部分技术已相当成熟，但仍面临脆弱性挑战，这就需要ITDR技术来实现能力范围上的补足。

当然，技术落地是需要先驱的，完全符合ITDR技术赛道的国内安全厂商中安网星认为，未来ITDR将作为一项独立的网安新赛道，他们给出的理解是：因为技术独立的ITDR可以更好地融入到众多应用场景当中，针对不同场景的身份基础设施提供检测和响应，如IAM、AD、PAM、4A、vCenter等全域身份基础设施，而非这些身份基础设施独立集成。

言外之意是IAM厂商虽然也可以定义为身份安全厂商，但其并不能定义为ITDR厂商，ITDR技术需要解决的不仅仅是IAM单一身份基础设施的检测和响应。另外正如Gartner指出的那般，IAM团队通常花费太多精力保护其他集团的数字资产，而没有足够的精力保护自己的IAM基础设施。

国内ITDR厂商无胁科技表示，ITDR技术属于迫切性需求范围，因此赛道将会快速发展。其给出的理由是身份认证和零信任技术随着趋势发展已经变成一个重要的基础设施攻击入口，而这个技术架构本身并不能进行威胁的检测与防御，其技术缺陷导致大量的攻击事件无法被感知到。同时网络威胁到应用威胁检测的检测维度比较单一，导致攻击威胁无法感知到身份信息。

但中安网星在分析ITDR技术落地阻碍也明确指出，完整的ITDR技术要覆盖的客户群属行业生态的中上游客户，所以当技术尚未达到广泛认同阶段之时，市场化信心难免不足，其技术落地甚至会碎片化。

所以，ITDR技术赛道未来发展可能会以实践为基准，分散为不同派系：

● 一方面，技术独立的ITDR解决方案将融合解决所有场景化的身份集权类基础设施的威胁防护问题，代表且推动ITDR技术的持续发展。

● 另一方面，ITDR的具体技术能力，也会分散于行业生态之中，既作为DR类产品的能力扩充项，也将作为身份验证与管理产品的安全补充，但后者可能不需要相应厂商自身研发，迅速集成可能是更好的选择。