身份威胁检测和响应（ITDR）已成为网络安全首要任务

近年来，网络安全市场出现了大量新的技术和产品，他们更加注重实战，即从攻击者视角找到防守者的薄弱环节，其市场化技术和产品应用也将大幅提高组织的安全合规性。ITDR就是这样一种技术之一，本文将通过整理咨询报告、技术文献、专家见解，全面阐述到底什么是ITDR，组织为什么要补足ITDR对应的安全能力，以及建设相应能力时需要如何评估等一系列问题。

ITDR，全称Identity Threat Detection and Response（身份威胁检测与响应），该技术由Gartner提出，背景为“身份优先安全”将成为未来趋势，而传统的身份和访问管理以及安全预防性控制不足以保护身份系统免受攻击，组织想要增强网络攻击的准备工作，必须将ITDR功能添加到其安全基础架构当中。

Gartner早期分析安全趋势时对ITDR的描述为“保护身份系统的工具和最佳实践的集合”，在此后Gartner在去年7月份发布的《2022安全运营技术成熟度曲线》报告中，给出的正式定义是：身份威胁检测和响应包括保护身份基础设施免受恶意攻击的工具和流程。ITDR可以发现和检测威胁、评估策略、应对威胁、调查潜在攻击并根据需要恢复正常操作。

之后Gartner还在去年10月份发布了一份《通过身份威胁检测和响应增强网络攻击准备》报告，报告系统介绍了ITDR对于组织的网络安全建设意味着什么。该报告指出，ITDR的重点与现有的安全解决方案类似，如网络检测和响应（NDR），以及端点检测和响应（EDR），它们执行类似的功能来保护网络和端点基础设施。

报告强调的是身份是网络安全的一个基本要素，ITDR则通过实施检测机制、调查可疑的身份变化和活动，以及随时应对攻击来保持身份基础设施的完整性。零信任要求只有经过批准的最终用户、设备和服务才能访问系统，ITDR则统一了保护身份系统完整性的工具和最佳做法，这对于成熟的IAM和基础设施安全部署是必要的。

技术应用环环相扣，疫情推动远程办公场景的技术发展，全球企业的数字化、智能化发展，推动了数字技术的大量使用，从本地到云，数字资产越来越多，组织管理的身份成千上万，这也促使了身份和访问管理市场的蓬勃发展。现在，组织无比依赖其身份基础设施来实现协作、远程办公和客户访问服务。

网络安全作为一种补偿型技术，从趋势定义风险，再到如何缓解风险，当前，调研机构给出的说法是凭据滥用正在成为攻击者的主要攻击向量，攻击者更多的将身份基础设施作为主要攻击对象，利用系统中的安全漏洞造成广泛破坏，这也使得身份威胁检测和响应（ITDR）成为当前网络安全的首要任务。

在安全419推出第三期《畅聊安全》曾邀请国内投身ITDR技术赛道的网安企业现身说法，其中中安网星CTO李佳峰就指出了ITDR技术诞生的两大背景：

Gartner就指出，负责安全运营的管理人员需使用工具来监控身份攻击技术、保护身份和访问控制、检测攻击何时发生并实现快速修复，从而优先保护身份基础架构。而其前提是，IAM团队经常在保护其他团队的数字资产方面投入太多精力，而对自己的IAM基础设施的保护却不够。

根据ITDR国内技术实践企业中安网星的说法，IAM等技术偏重于身份的管理维度，而ITDR则偏重于安全维度，ITDR的落地能极大地提升组织在身份安全方面的防御能力，且可通过有限且较少的投资获得极大的安全防御能力回报。

身份既是访问组织资产的关键，也是保护这些资产的边界。身份基础设施正在成为主要攻击目标，ITDR技术的正式亮相也将成为身份基础设施保护的标准答案。

Gartner希望进一步定义ITDR是什么，以加深组织对ITDR的理解，首先组织采用了大量的身份管理工具，如IAM、PAM、IGA、CIEM等，它们都有着不同的基础性预防控制措施，但是ITDR的重点在于上述基础性的预防控制措施到位之后，作为第二层和第三层防御，从而进一步进行监测和响应。

身份基础设施本身也易受到攻击，这也是建设ITDR的必要性之一，比如身份认证协议滥用问题。实际上攻击技术是多样化的，攻击者探测身份基础设施的各个方面并使用多种技术，如MITRE ATT&CK框架模型也在时常更新。

国内2023开年技术型网安会议ADconf演讲嘉宾指出，身份基础设施通常保存密码多、控制节点多、网络权限广，对攻击者而言是核心的攻击对象，值得企业去重点设防。而现状是身份基础设施的安全现状较差，不仅是高危历史漏洞普遍存在，且存在缺乏统一管控的安全解决方案，实战侧失陷案例举不胜举。

技术侧专家从实战案例分享指出，基于身份的攻击是攻击链路中的核心，全场景下的攻击利用最终都需要用到身份，传统的安全产品并不能获得基于身份的威胁可见性，并欠缺响应能力。实际上CISA在今年二月份发布的一份红队评估报告就实例证实了这一点。

在该组织在为期三个月的以某大型关基组织为目标的实战评估中，完全遵循MITRE ATT&CK框架模型的全链路攻击中，其建立的战果获得了多台主机的访问权限，并破坏了域控制器（DC），利用伪造凭据在内网横移，进而拿到了移动设备管理（MDM）服务器的所有工作站的根访问权限。

这一次实战级别的评估标靶为某些核心业务系统（SBS），虽然团队在第一阶段最终因核心业务系统受到了MFA的保护并在已经规划了下一步实施计划之前而暂时停止，但是，这一次实战评估暴露了组织网络安全建设上的诸多薄弱环节。

报告强调了一些关键问题，比如在主机和网络监控能力上的不足，红队大多数行动都未能引起组织人员、流程和技术方面的回应，意味着入侵检测或防御系统、端点保护系统等安全工具在渗透的整个过程上的失职。报告描述了数项他们可以检测到的威胁，如网络钓鱼、内网横移过程中的账户异常使用，对AD的异常攻击等等。其它方面的问题还有如对高价值资产的保护能力欠缺；配置不当或标准用户权限过多等问题。

而贯穿始终的核心问题，即全链路攻击中，身份是其中的利用核心，组织不具备获得全面的身份安全可见性，将无法阻止当前趋势的多维度的身份攻击行为。

此后，CISA联合NSA发布《身份和访问管理最佳实践》，在阐述组织应实施IAM最佳实践之余，关键基础设施组织更有责任实现、维护和监控安全的IAM解决方案和流程，从而保护自身业务和数据。即IAM本身同样需要保护，该保护流程属于主动防御策略，而不是过早地处于部署基础的IAM能力应用。

该文件给出观点认为，IAM系统实现凭据管理、身份验证和授权功能，这些都是安全的基础，但IAM系统本身也存在漏洞，一个易受攻击的IAM解决方案可以促进跨组织访问多个系统和数据。而给出的应对方式则是认为IAM本身需要“审计和监测”，以不仅检查合规性，还应监测威胁指标和异常活动。

不难发现的是，其提出的“审计和监测”能力要求与ITDR一致。

ITDR技术赛道发展处于初期阶段，技术在市场化方面并未完全成熟，中安网星CTO李佳峰就曾指出，当前ITDR赛道上的安全企业方向性选择共有以下四种：

Gartner从ITDR建设评估角度也曾指出，ITDR包括AD威胁检测和响应，但不止于此，所以评估自身IT架构与供应商的能力是建设ITDR的第一步。

上图为Gartner早期推荐的具备ITDR能力的供应商，随着ITDR赛道热度的提升，其赛道特点是以独立发展为主，但ITDR本身的技术融合化应用趋势也十分明显。

中安网星认为，技术独立的ITDR可以更好地融入到众多应用场景当中，针对不同场景的身份基础设施提供检测和响应，如IAM、AD、PAM、4A、vCenter等全域身份基础设施，而非这些身份基础设施独立集成。

“我们国家的IT环境目前是比较复杂的，有行业云、私有云、公有云，还有本地数据中心，以及办公网混合，所以我们的ITDR技术方案99%都是私有化部署，虽然我们的技术方案也能够接入公有云。”中安网星CTO李佳峰此前分享指出。

其意在解释创新技术的落地发展必须符合国内IT架构技术路径，这既是技术落地的难点，但同时也是本土化方案的优势之处。