本文来自微信公众号“安全419”,作者/闫小川。
Gartner在去年发布的数份安全趋势报告中曾多次提及身份安全,并将其解读为安全管理者未来的优先行动事项(身份优先安全),为解决这一问题,身份威胁检测和响应(ITDR,Identity Threat Detection and Response)技术被提出。
中安网星CTO兼联合创始人李佳峰
“当攻击者掌握更先进的攻击方式,我们必须使用更先进的方案进行防御。ITDR技术的出现弥补了身份领域检测与响应的空白,这一技术主要通过发现针对身份基础设施的攻击帮助企业解决网络安全问题。”中安网星CTO兼联合创始人李佳峰最近在接受安全419专访时对ITDR技术做出上述评价。
中安网星创立于2020年,是一家专业解决企业身份安全威胁的网络安全公司,曾推出针对身份领域核心基础设施AD域的安全管理产品,并获得市场认可和行业关注。2022年,本就扎根于身份安全赛道的中安网星宣布对ITDR技术的支持与理解,随后推出的ITDR身份威胁检测与响应平台也是国内安全企业推出的首款平台型身份安全产品。
中安网星如何理解并构建ITDR技术,又是如何将其顺利商业化落地?带着这一问题,安全419邀约中安网星CTO兼联合创始人李佳峰接受了本次专访。
ITDR核心本质:针对身份做有效保护解决方案打造需注重整体与能力扩充
在Gartner《2022安全运营技术成熟度曲线》报告中,ITDR是一项被列为技术成熟度较高的新兴技术,Gartner认为,身份优先安全并不是全新的概念,但随着攻击者开始瞄准身份和访问管理功能以实现长期潜伏,身份优先安全变得更加紧迫。
李佳峰引用中安网星ITDR白皮书指出,ITDR(身份威胁检测和响应)是一个新的安全类别,是指保护身份基础设施免受恶意攻击的工具和流程,监测针对身份基础设施的攻击,通过结合异常身份请求、UEBA、身份欺骗等方式,可以发现凭据窃取、特权滥用以及其他与身份相关的攻击威胁和潜在风险。
作为国内身份安全代表厂商和实践厂商,中安网星在最初构思ITDR产品和解决方案时不仅要思考产品本身的核心问题,比如ITDR核心问题就是:针对身份做有效保护。从这一问题去出发思考产品技术能力的构建,李佳峰强调了“整体”二字,其中既包括ITDR技术的整套流程工具能力,也包含不同身份集权设施的数据采集能力,从而保障技术落地的有效性,和技术的广泛适用性。
而作为一项新的安全类别,李佳峰也认为,ITDR产品在落地时更要为企业提供审计、调查、防御等多身份维度的专业数据,从而为企业打开一个全新的基于身份的安全视角。这一点也充分展现在了中安网星ITDR产品构建之上。相较而言,能力的扩充也将便于用户理解技术,利用技术来构建安全。
积淀与创新是中安网星ITDR技术落地应用的最大保障
根据安全419的观察,目前ITDR仍然处于早期发展阶段,从国际视角来看,该技术正在被一线大厂所广泛关注,此时,资本的力量也再度发挥了助推作用,一些早期身份安全厂商持续融资或被收购,都在证明ITDR已成为一个热门的网安新赛道。
而在国内,专注于ITDR技术发展的厂商只有寥寥几家而已。李佳峰分析指出,身份安全在客户一侧的需求已经十分明确,现在只是需要成熟的ITDR产品来展现其价值并激发客户的付费意愿,他们相信未来短时间内会有更多的安全企业加入这一全新赛道。而在此时间段也是中安网星打磨产品的最佳时机。
李佳峰认为,中安网星在ITDR技术赛道上的优势在于长期的安全攻防经验带来的身份安全技术积淀与创新,以及技术赛道选择上的先发优势。
据观察,在中安网星成立的早期阶段,基于商业化考虑其主要的产品落脚点集中于AD(Active Directory),在专注能力与技术的产品化同时,也在不断积累和沉淀从实践中总结的身份安全技术。
技术积淀是不断的,正如在年初召开的ADconf 2023安全大会上,作为大会主办方,中安网星就发布了多款ITDR技术白皮书,包括《ITDR-身份威胁检测与响应》《ITDR-身份认证协议》《ITDR-vSphere》《ITDR-IAM》《ITDR-Kubernetes》技术白皮书,充分展示了自身具备的ITDR底层技术能力与应用能力。
比如让我们印象深刻的是其《ITDR-身份认证协议》白皮书内容高达近300页内容,其中全面介绍了身份认证协议的发展、应用,以及原理和安全性分析,其中大量技术细节的源码分享,也展现了中安网星对安全生态的开放与包容。
而在ITDR落地应用实践时,一方面需要通过更完整的身份维度方案来支撑应用,从而对集权设施保护做到最大兼容,中安网星现有的ITDR解决方案已经打通了多项身份采集维度,从而为多场景提供ITDR技术能力,比如目前支持AD、IAM、PAM、vCenter、Cloud等多个场景的数据采集。
同时技术创新力也是其中重要实践推动之一。据了解,中安网星为其ITDR解决方案创新提出的技术点有图计算、身份欺骗防御、身份机器学习等技术,这些技术被认为是“击败每一次网络攻击”的关键点,即ITDR技术本身也需要更多创新技术来支撑身份安全这一全新方法论的有效且多维地落地实践。
身份安全的三维思考
自研技术攻克ITDR落地难点
“身份安全现在非常重要,如中安网星现在做的事情就有着极高价值,特别是在当前攻防演练场景下,已经进入了无漏洞攻击时代,全场景下的攻击利用最终都需要用到身份。”在ADconf 2023安全大会上,演讲嘉宾就身份安全从实战侧出发需要加速落地时强调指出。
全场景下的攻击利用最终都需要用到身份,身份既是攻防杀伤链的核心要素,也可以定义为新的网络安全边界,身份集权设施保护也亟须提上企业的网络安全运营管理日程。就其重要性而言,中安网星认为企业亟须构建覆盖安全事件全生命周期的身份威胁检测和响应能力,基于安全事件的事前、事中、事后三个阶段全方位地解决身份威胁问题。
事前、事中、事后的三维思考我们并不陌生,在这方面,中安网星ITDR解决方案在事前方面也引入了攻击面管理技术,从而减少可能存在的身份攻击暴露面;在事中,即主要应用的监测方面,中安网星ITDR解决方案主要参考了ATT&CK和kill Chain模型,同时引入前文谈及的欺骗防御技术、机器学习技术,以及用户和实体行为分析(UEBA)技术进一步加强监测能力。
事后阶段则对应着响应,中安网星的ITDR解决方案通过对接身份基础设施实现阻断规则的配置下发,支持手动威胁阻断和自动威胁阻断,其解决方案还可支持对接第三方安全防护产品,实现联动处置。该解决方案的应用依托于完整的告警与原始数据存储,还可对威胁事件进行详细的溯源分析展示。
“网络安全在攻与防的两端往往攻击者更具优势,攻击者只需要成功一次,而防御者必须每次都正确。”中安网星在构筑ITDR解决方案实践不同创新技术皆在消除攻击者成功攻击所必需的一件事——身份,从而为防御者增添了一个重要的安全技术砝码。
在交流过程中,李佳峰也指出了ITDR技术解决方案的核心挑战,这也是DR类型安全产品共同的挑战,即这些产品的三个核心步骤,分别为采集、分析、处置。
“在采集上,ITDR需要针对不同的身份设施进行身份数据采集,这对采集方案提出了较高的要求,中安网星通过自研user-mapping模块将身份和物理身份进行对应,进一步采集身份系统的日志与流量,最后通过统一的字段处理整体方案来支持解决采集的难题。”
就分析方面,其实也是中安网星为什么要融入更多的技术在ITDR解决方案之上的原因,其主要目的就是保障技术有效,且要达到一个合格的误报与漏报率之间的平衡,这也是所有数据平台型安全产品在部署使用时用户遇到的主要困境。在处置方面,在现有阶段之下,需要扩展的可能仅限于进一步的自动化能力,而这一点,其实也是全安全生态的共同挑战。
ITDR的落地魅力
将成为企业的网络安全新武器
李佳峰引用了一组数据强调了身份安全的重要性,根据国际身份安全联盟IDSA的一项研究发现,在过去两年中,79%的企业都经历过与身份相关的攻击。从实战侧观察,相关基于身份的攻击成功案例更是不胜枚举。
他们相信,ITDR的落地能极大地提升企业在身份安全方面的防御能力,且可通过有限且较少的投资获得极大的安全防御能力回报。
从企业的真实情况来观察,ITDR技术在落地实践方面同样前景广阔,一方面,企业的IT系统化发展正经历空前变革,为了高效管理所有的IT设施,各种身份集权设备正逐渐成为企业广泛采用的重要基础架构,而现状是缺乏统一的管控方案也让其屡屡失陷。未来,ITDR技术也将是集权设施保护的标准答案。
ITDR的价值在于能把所有的身份基础设施做到统一管理,理解并强化网络攻击杀伤链当中的核心——身份,对其做出及时的全面监测和响应。这套系统可理解为是一套身份运营中心,其可以阻断基于身份的攻击,并可以具象分析背后的威胁点。
如今,身份安全已成为网络安全威胁形势的核心,检测和响应基于身份的威胁能力已变得至关重要。总结而言,ITDR技术的最大落地魅力也就在于为用户提供了一个不可替代的网络安全新武器。
术有专攻,率先布局ITDR技术赛道的中安网星未来如何引领国内ITDR发展,我们也将持续关注。
(原标题:中安网星CTO李佳峰:落地ITDR技术重在积淀与创新)
