安全419《身份安全解决方案》系列访谈——中安网星篇

身份，是行业公认的，在技术不断发展IT环境巨变之下新的逻辑边界，安全机构的调研报告显示，在企业内，那些大型组织动辄要管理上万个身份，以便让员工、合作伙伴共享网络资源，然而近90%的企业在过去一年内受到了基于身份的攻击，这说明身份安全已经成为组织必须要解决的首要安全问题之一。

安全419推出《身份安全解决方案》调研访谈，希望通过探寻不同网安企业声音，洞悉本土化可落地的身份安全解决方案，以支撑我国大中小企业解决好网络一侧的身份安全问题。

中安网星，是一家专业解决企业身份安全威胁的网络安全初创公司，过去三年，他们在AD（Active Directory）身份威胁全生命周期管理上获得了客户的一致好评，当前，中安网星对于身份安全有了更深的理解，并宣布投身于ITDR（Identity Threat Detection and Response,身份威胁检测和响应）技术赛道。

调研访谈首期，我们就走进中安网星，来了解一下他们基于ITDR技术构建的更具兼容性的身份安全解决方案。

中安网星认为，在现代IT基础架构上运行了大量的身份集权系统，这让身份保护变的至关重要，其原因不仅仅在于：

综上所述，在集权系统层面，身份保护至关重要，因为这些系统具有集中管理、高权限访问、横向移动等风险。为了确保这些系统的安全性和稳定性，组织需要重点关注其中的核心——身份保护，并实施相应的策略和措施。

谈及企业建设身份安全的核心动力时中安网星分析指出，身份正成为企业防护的新边界，未来甚至会成为企业唯一的控制点，观点的提出是源于技术对于IT基础架构带来的云化和复杂化演进趋势。在最新攻防态势下，中安网星发现在整个攻击链路中，身份不仅是核心的链路点，更是关键的检测点与阻断点。

企业依赖其身份基础设施来实现协作、远程办公和客户对服务的访问，这已将身份系统转变为攻击者的主要目标。身份保护也将成为现代IT基础架构安全防护工作的核心，是网络逐渐复杂化的一大有力的安全建设抓手。

中安网星具有多年一线身份安全实践，此次调研，中安网星也向我们分享了企业业务侧的身份安全方面面临的需求与难点。

在需求方面，企业需为解决内部和外部多重身份安全威胁，获得相应的身份安全可见性至关重要：

内部身份威胁主要表现为身份凭据滥用、账号管理松散、密钥管理混乱等，企业需要相应的解决方案，来处理多维度的身份安全问题。就内部身份威胁的核心工作而言，重点在于企业内部需要建立符合完整业务线的身份安全管理制度，以及对应的身份可见性的安全建设，从而解决员工疏忽或恶意行为造成的账号失陷造成的主机失陷问题。

以经典的MITRE ATT&CK框架为例，在攻击者的杀伤链初期阶段通常会最先收集受害者身份、网络、主机、组织等信息，这些信息对于绝大多数组织而言，难以避免的存在大量暴露在外的信息。在身份维度，暗网上公开售卖的凭据数据接近百亿，攻击者分析已泄露凭据即可开展有效性攻击，企业需要对这部分的外部身份威胁做出安全有效应对。

在难点方面，中安网星主要指出了企业一侧现实存在的以下两方面身份安全建设难点：

最大的问题在于企业内部不同供应商使用独立的认证源，这造成企业内部统一认证身份设施割裂，内部多个身份源无法统一观察与监控，且根据不同技术架构上的不同，大量独立认证源现存监控死角，即重管理轻安全，仅仅依靠身份设施自身的安全能力无法满足企业管控身份安全需要，这造成了企业进行安全分析与身份溯源上的力不从心。

企业身份威胁安全监控缺乏监控维度与规则，企业被攻击之后无法快速溯源，现有的安全产品无法回答身份的调用过程是如何扭转的。这方面的问题在于传统安全架构或产品对于身份威胁上的能力空缺，企业缺乏专业的安全工具来分析并处置多维度的身份安全问题，安全团队不可能高效处理跟踪所有威胁。

中安网星认为身份安全应包含两大技术子集，其一是身份基础设施提供的认证和管理，其二就是ITDR对应的检测和响应能力，因此，从技术角度理解，围绕ITDR技术构建的身份安全解决方案对于企业而言通用性、兼容性更高，应用价值更明显。

中安网星在介绍其基于ITDR技术的身份安全解决方案时指出，该方案更加偏重于安全，而目前已有的身份认证和管理类方案主要侧重于授权和身份验证，即着重于管理维度，即谁可以访问业务系统，在什么样的条件下可以访问系统。

偏安全型的身份安全解决方案优势在于能在对抗激烈的攻防场景下获得更好的身份安全可见性。因为在攻击者的实际行动时一定会试图绕过登录、绕过IAM、绕过二次认证，最终攻击者一定会获得一个合法的用户身份实现在内网中的横移，从而窃取高价值数据，这是所有攻击者的最终目标。

基于ITDR技术的身份安全解决方案更加偏重安全，其通过检测用户的真实身份，检测用户是否在因凭证盗用而发起的攻击，或从身份认证协议角度解析攻击者的行为异常，进而实时检测多维度的身份攻击事件。

ITDR（身份威胁检测与响应）平台是中安网星推出的针对身份检测与响应的高级威胁分析平台，平台涵盖主流身份基础设施及集权设施，基于该平台的身份安全解决方案可最大限度地提高企业各个位置的身份可见性。其围绕从攻击的事前加固、事中监测，事后阻断出发，可对企业的身份基础设施进行多维度的无损智能风险识别，以便让企业安全管理者提前了解身份基础设施安全现状，并对风险问题进行及时的修复及加固。

基于ITDR技术的身份安全解决方案核心价值：

该方案最终我们理解梳理为两方面的核心价值：其一是可实现企业身份威胁可视化，从而在传统安全解决方案或产品基础之上，检测企业之前看不到的身份威胁（例如配置错误、身份漏洞等），实时查看结果，阻断威胁，加速实现身份安全价值。

其二是ITDR平台部署简单并且易于配置，可与现有应用无缝集成。该方案在实践部署时的融合价值明显，即ITDR可有效补足其他身份认证和管理类方案中的安全缺口，即前文提到的方案通用性、兼容性更高。

如中安网星告诉安全419，其ITDR平台目前已接入近四十个应用，其中包含常见的AD、vCenter、Kubernetes，IAM、堡垒机等。其中堡垒机包含市面上大部分的厂商，例如：齐治、天玥等，Cloud也囊括了腾讯云、华为云、AWS等。

据了解，中安网星身份安全解决方案已经服务于金融、交通、能源、科技、消费等领域超100家大型企业，在建立更加立体高效的身份安全防护体系方面获得了各领域内企业客户的高度认可。

中安网星向我们分享道，如国内某物流集团在符合国情的持续化安全运营场景下，需要建立一套全面的集权系统，并为系统匹配构建统一安全防护方案。中安网星为该系统提供了基于ITDR技术的身份安全解决方案，针对AD、vCenter、k8s进行整合接入，以统一视角针对以上集权系统进行威胁监测与响应。通过中安网星ITDR解决方案，该集团顺利完成了集权系统的统一安全建设目标，并成功完成了2022年零失分持续化安全运营目标。

另外，通过中安网星ITDR产品、安全咨询服务以及培训，他们还帮助某保险公司完成了一次APT组织潜伏攻击的处置工作，获得保险行业客户的高度认可。该案例也进一步地证明了身份安全的重要性，以及传统安全产品或手段在身份维度上的防护响应空缺。

技术的进步以及攻防趋势的变化，正将安全技术推向实战化、场景化应用，从身份维度梳理这一变化，其技术也正呈现多样化的落地方式。但无论其落地方式如何，各类方案也都有着其各自的可取之处，中安网星以ITDR技术为主体的身份安全解决方案更加偏向技术、偏向安全维度，其解决方案的落地可以适配更多的身份应用场景。

中安网星身份安全解决方案一方面可检测并响应主流的身份类集权基础设施各类攻击向量，同时也可以向生态一侧交付其身份维度的DR能力，比如IAM、MFA、PAM等厂商都可以利用该方案完善其产品安全能力，其方案价值也表现出多样性落地价值。

以上为此次我们对中安网星身份安全解决方案系统能力进行的全面了解，希望能为相关企业做出针对身份维度的安全建设起到借鉴和帮助作用。同时，安全419《身份安全解决方案》调研访谈还将持续更新，我们还将持续走进更多的网络安全企业，来观察他们针对不同行业、不同用户和不同环境之间的身份安全解决方案能力之间的细节与区别，敬请持续关注。