近年来，随着IT基础设施的快速变化，企业传统的网络边界逐渐消亡，网络攻击正在变得更加隐蔽和复杂。面对愈发严峻的高级威胁，如何更高效地研判攻击事件，更快速地进行威胁响应，已成为企业安全团队的首要职责。

为了不断提升安全检测的覆盖度与应急响应的时效，在NTA流量分析、IDS入侵检测、HIDS主机入侵检测等传统设备之上，业界开始围绕检测与响应体系不断丰富检测的深度与广度，包括NDR网络威胁检测与响应、EDR终端威胁检测与响应等等都是其体系下的代表技术。

随着检测与响应市场的发展，企业用户开始逐渐对EDR、NDR、XDR等技术理念耳熟能详，但安全419同样注意到，一些新的DR类技术也正在涌现出来。如以身份为核心的ITDR（Identity Threat Detection and Response，身份威胁检测和响应）技术、以应用为核心的ADR（Application Detection and Response，应用检测与响应）、以数据为核心的DDR（Data Detection and Response，数据检测与响应）等等。

这些新的DR类检测技术有着哪些新的视角与覆盖面？对于企业用户而言，在建设完EDR、NDR等检测与响应能力后，应该如何解锁新的DR类技术方向？

为了加深业界对于检测与响应市场发展的认知，我们本篇将先从ITDR谈起，安全419邀请到了国内专注在ITDR赛道的身份安全厂商中安网星的相关负责人为我们分享自身对ITDR技术的理解与实践。

凭证滥用攻击的流行催生了ITDR技术的兴起

2022年7月，Gartner首次在《2022安全运营技术成熟度曲线》报告中，提到了一项新技术——身份威胁检测和响应（Identity Threat Detection and Response,ITDR）。在Gartner的定义中，身份威胁检测和响应（ITDR）包括保护身份基础架构免受恶意攻击的工具和流程。他们可以发现和检测威胁、评估策略、响应威胁、调查潜在攻击并根据需要恢复正常操作。

图：Gatner 2022安全运营技术成熟度曲线

Gartner认为，现代企业依赖其身份基础设施来实现协作、远程工作和客户访问服务，这使得身份系统成为攻击者的主要目标。凭证滥用正在成为攻击者的有效武器，成熟的攻击者正在将目标锁定在身份基础设施本身。随着攻击链路越来越复杂，身份将是一个核心的链路点，更是关键的检测点与阻断点。

中安网星御守实验室负责人李帅臻对此分享了自己的观点，他表示，随着网络与IT架构的发展，在传统的终端和网络层面越发难以看清所有的攻击，传统的网络边界已经慢慢模糊，身份已然成为了网络的新边界。“企业每一个员工他都有一个对应的身份，如果说黑客想要攻击到这个企业的内部，他可能只需要获取到其中一个员工的VPN凭据或者其他业务系统凭据就可以畅然无阻。”

在全新的网络架构下，身份安全已经成为企业安全建设的新焦点。在这个体系下，传统的EDR和NDR无论是从终端层面还是流量层面都解决不了由身份引起的网络威胁，因此就催生了ITDR的兴起。

着眼身份认证关键节点 从身份切面出发精准捕获高级威胁

在他看来，ITDR的核心就是从身份的维度去挑战传统EDR和NDR解决不了的问题。EDR着重在终端侧，检测木马落地、进程注入、本地提权等等经典的终端安全问题，但攻击者通常会使用免杀木马进行攻击，本身也会绕过EDR的检测，当攻击者落地终端后一般会选择横向攻击其他主机，此时理论上NDR是可以监测到，但其实很多时候NDR是失效的。

例如票据伪造等攻击，NDR本身也无法识别票据的真伪，在这种攻击场景下NDR也显得捉襟见肘。若想要验证票据的真伪，只有域控服务本身才能做到这一点，而这也正是ITDR在高级威胁检测中的一个重要价值点。

李帅臻介绍，相较于EDR、NDR的检测与响应技术，除了检测维度和颗粒度之间的差异外，ITDR的核心特点同时也是ITDR最终想解决的问题是，在新的IT架构下，在身份切面的维度上让检测的维度更精细，覆盖面更广。

ITDR的一个显著特点在于，站在身份的维度能够看到过去EDR与NDR难以获得的视角。比如过去EDR在单点的终端层面，往往更多是去检测一些提权操作后的漏洞利用行为，但无论是从EDR还是从NDR层面，单点的漏洞对抗事实上对企业安全防护价值是非常有限的，因为永远会有层出不穷的0Day漏洞，永远会有层出不穷的绕过漏洞的攻击手法。

站在攻击者的视角，在其整个攻击过程中，通常情况下其最终目的仍然是试图获取身份权限。无论是通过何种技术手段，通过何种类型的漏洞，其实它的核心目的还是获取到一个主机的最高权限，最后落地点仍然是身份，因此，中安网星认为基于身份切面对攻击行为进行检测与阻断具备极高的防护价值。

“通过分析近几年来的攻击事件能够发现，攻击者在实施攻击的时候，他会更倾向于通过身份盗用的方式去进行攻击，这样会更加隐蔽。与此同时，对于防御者来说，因为身份的概念比较抽象，并且它的面很大，所以身份是一个过去很难监控和排查的盲区。因此 ITDR的主要特点就是对防御者能力进行了一个有效补充。在目前这个阶段，ITDR与EDR和NDR并没有交叉的关系，在整体的企业安全建设的层面更多的是做一些安全能力的互补。”

李帅臻谈到，作为一项以保护身份基础架构免受恶意攻击为使命的技术，ITDR的关注点更多聚焦于身份基础设施本身。

具体到技术层面，ITDR的核心是做好两件事：其一是保护好身份基础设施本身，包括防护针对其的漏洞利用、风险配置项利用、用户身份窃取等攻击，其二是保护好其中的用户身份，通过从流量层面解析其认证协议、结合身份基础设施的认证日志，从中发现过去难以识别的票据伪造、权限滥用等潜在的威胁和风险。

说到这里，李帅臻为我们举了个例子：

假设在一个企业中，某一个员工早上10点上班后，先后登录了OA和其他的业务系统，在这个看似正常的办公场景里，如果这个员工遭到黑客攻击，其身份信息被攻击者盗用，窃取了他的身份凭证登录到了企业内部系统，企业内的敏感数据就会因此发生泄漏。基于传统的威胁检测设备、基于威胁情报，实际上在这个内网的办公场景下很难发现攻击事件。

但通过ITDR就能够很好地检出这样的一次攻击事件，ITDR会通过实时的解析身份认证协议中的数据，解析访问的流量，在看似正常的流量层面，看似正常的身份认证协议层面，去发现一些异常的数据指标，然后从里面发现潜在的攻击。

以重安全轻管理的思路 补足零信任策略中缺失的重要一环

过去在身份安全领域，IAM、PAM、零信任等都是其中主流的身份安全或访问安全建设方案。那么作为一项同样关注身份安全的新兴技术，ITDR有着怎样不同的着眼点和技术上的差异？

李帅臻谈到，作为一项前沿的安全理念，当前零信任在国内已经有了一些比较成熟的落地方案，零信任架构的蓬勃发展同时催生了包括IAM等一系列基础设施的变革。但零信任实际上更多是一种管理上的解决方案，IAM更多意义上也只是一个身份访问管理的基础设施。

“IAM和零信任想解决的第一问题是它去管理谁可以访问这个业务系统，只有经过我认证的用户才可以访问这个业务系统。另一个问题是他经过我认证之后，可以允许他访问哪一个业务系统，他们其实解决的都是管理上的问题。”

但在对抗更激烈的攻防场景下，实际的攻击者一定会试图绕过登录，绕过IAM，绕过二次认证，最终一定会获取到一个合法的用户身份实现在内网中横向移动，这是所有的攻击者，他最终要达到一个目标。通过获得特权访问凭证，攻击者能够窃取包括员工和客户的身份以及财务信息等在内的大量高价值数据。

“如果拥有了一个合法的身份，就跟一个普通的员工没有什么区别了，无论是IAM、动态认证还是更多基于身份管理的技术手段，实质上都已经失效了。”

例如，震惊全球的SolarWinds攻击事件便始于攻击者获得了该公司全局管理员账号的管理权限。随后，攻击者才能够使用受信任的安全断言标记语言（SAML）令牌签名证书随时伪造SAML令牌，从而能够随意在SolarWinds的基础设施中移动。

因此，ITDR的重心更多是放在了安全这一侧，如果说IAM和零信任的重点是重管理、轻安全，那么ITDR便是重安全轻管理，通过检测用户的真实身份，检测用户是否在盗用凭证发起攻击，从身份认证协议上去解析出攻击者的异常行为，进而实时检测出攻击事件。李帅臻认为，这是ITDR与零信任的核心差异之处，同时也是以ITDR有效补足零信任方案中安全缺口的融合价值所在。

图：中安网星ITDR技术路线

海外安全大厂动作频频 ITDR技术正从概念层面走向落地

众所周知，自2018年PaloAlto Networks提出XDR（Extended Detection and Response，扩展检测与响应）后，XDR技术逐步升温，目前已成为检测与响应体系中最火热的技术趋势。无论是综合型平台型安全厂商，还是以威胁情报、流量检测、攻击防御等起家的专业型厂商，大都将XDR确定为了未来发展战略方向。

那对于ITDR这样一项细分的威胁检测与响应技术而言，最终是否也会成为XDR大型解决方案中的一分子？我们也请李帅臻围绕这一技术发展趋势话题分享了自己的见解。

在他看来，XDR的定义十分广阔，在理念层已经将各类DR类检测技术都囊括其中，从全局的视角来看，或许DR类产品最终都会以XDR的概念出现，但其形态或许将十分多元化。“拿中安网星自身来看，目前我们接入了企业里包括PAM、IAM、AD域、k8s等10余个主流的身份基础设施、IT基础设施作为数据源。畅想一下，假设未来我们接入了上百上千个基础设施的话，在某种意义上也是一种XDR的形态。”

在可预见的未来数年之内，ITDR还有更多的落地应用场景值得探寻，因此在很长一段时间内都将会是一条相对独立的赛道。从发展较快的海外网络安全市场来看，目前包括XDR和ITDR同样都处于技术发展的上升期，或许XDR并非唯一归途。

据悉，本月初，头部网络安全厂商Palo Alto Networks也高调官宣在安全运营中心中集成了全新的身份威胁检测和响应（ITDR）模块，Palo Alto Networks提出，过去想要检测与身份相关的攻击，客户必须部署UEBA、内部风险管理、EDR等多个产品，但这些产品各自为战，视角极为有限。而ITDR将所有身份数据源集成到一个跨越端点、网络和云的单一安全数据基础中，使得用户能够更迅速的检出身份相关的内部风险，防止隐蔽的身份驱动型攻击。

从整个市场的参与度看，目前国外多家安全大厂都在积极布局。包括Silverfort、illusive、Authomize等一众专注于ITDR的安全厂商中，目前也都持续在从本地身份、云上身份、身份蜜罐以及XDR等不同的切入点，持续探索不同的落地场景。国外安全厂商的种种动作表明，ITDR正在成为应对高级威胁的重要能力。

纵然国内ITDR这一技术领域尚属起步阶段，但可以预见的是，未来随着ITDR技术热度的兴起，注定会有更多安全企业躬身入局，以自身的能力积累切入这一市场，从身份的视角探索检测与响应类技术的更多可能性，共同推动ITDR产品在多个行业的落地。而伴随着市场的逐渐成熟，ITDR技术厂商们也必将迎来更广阔的发展空间。

#网络安全#