网安大厂纷纷入局ITDR，欺骗防御/蜜罐或将被融合？

2022年12月12日，Proofpoint宣布收购身份威胁检测和响应ITDR赛道厂商Illusive Networks，具体金额和财务条款未披露，预计于2023年1月完成。

Illusive 2014年成立于以色列特拉维夫，是最早构建欺骗防御/蜜罐技术的初创公司之一。随着全球基于身份的网络攻击的发展，84%的组织在过去一年中成为与身份相关漏洞的受害者——从特权升级到横向移动和滥用AD与云环境。Illusive于2022年2月发布其Illusive Spotlight平台，将策略和重点转移到ITDR方向。3月，Gartner将ITDR列为2022年7大安全和风险管理趋势之一。

Proofpoint是知名美国网安巨头，通过并购Illusive Networks，Proofpoint进一步拓展了其安全产品组合，增加了主动身份风险发现、以及强大的侵犯后防御和补救能力，以更好地保护他们的易受攻击人群 (VAP)。

(资料图片仅供参考)

Proofpoint此前为纳斯达克上市公司，在2021年4月被Thoma Bravo以123亿美元全现金收购。其最初以邮件安全闻名业内，近年来也有多次并购的记录，包括Meta Networks（1.2亿美元）、ObserveIT（2.25亿美元）、Wombat（2.55亿美元）和Cloudmark（1.1亿美元）等，这些收购极大丰富了其解决方案体系。

ITDR兴起，欺骗防御融合

随着身份纬度的攻击趋势演变，Gartner近年提出了多项基于身份特性的威胁防御理念，身份威胁检测和响应ITDR（Identity Threat Detection and Response）就是其中之一，也是其Identity-First Security理念中身份网格的组成要素。

鉴于多云架构的差距以及人和机器的身份呈指数级增长，传统的IAM以及安全控制手段在检测特定身份的威胁时深度有限，不足以应对当前的身份攻击复杂度。组织花费了大量精力来改善IAM功能，但其中大部分都集中在改进用户身份验证的技术上，这实际上增加了网络安全基础设施基础部分的攻击面。

CISO和安全团队纷纷开始评估ITDR，尤其是那些部署在多云基础设施中的平台。ITDR工具可以帮助保护身份系统，检测它们何时被盗，并实现有效的补救。但由于ITDR能力较新，因此需要预先定义实体威胁特定的行动手册，以涵盖身份漏洞和其他类型的身份基础设施攻击。

Proofpoint本次并购，也被视为业界对SentinelOne收购Attivo Networks的一种延续反应，欺骗防御/蜜罐作为一种技术能力，正在被其他技术赛道融合的趋势。

2022年3月SentinelOne宣布将以6.165亿美元收购Attivo Networks（同样是起源于欺骗防御/蜜罐技术、后来延展为ITDR方向的厂商），以增强其XDR平台能力。

对于Attivo 被并购，Forrester的分析师David Holmes表示，欺骗技术虽然超级酷，但从未能够独自实现逃逸速度，其一些闪亮的明星正在消失在大型供应商的投资组合中。Zscaler于2021年收购了Smokescreen，此后一直将其作为Zscaler Deception出售，但最终将其集成到其流行的ZPA（Zscaler Private Access）和ZIA（Zscaler Internet Access）服务中。SentinelOne首先被Attivo的身份能力所吸引，欺骗因素排在第二位。

在分析的最终，David Holmes写到，像这样的收购，对安全和风险决策者意味着他们可以从部署独立的欺骗技术产品转向，开始评估如何将欺骗技术与一两个关键技术领域配对，比如身份安全。

ITDR在国内的发展

随着ITDR概念的兴起，国外该赛道逐步出现许多明星厂商，国内也有一些新兴技术初创公司开始朝着这一方向发力。

来源：斯元商业咨询「Emerging Technology Vendor Index · 网安新兴赛道厂商速查指南」

WuThreat无胁科技的CEO陈祥表示，国内的ITDR赛道也在快速发展。我们认为出现身份威胁检测与响应（ITDR）技术赛道有如下原因：

（一）身份认证和零信任技术随着趋势发展已经变成一个重要的基础设施攻击入口，而这个技术架构本身并不能进行威胁的检测与防御，这个技术缺陷导致大量的攻击事件无法被感知到；

（二）所有业务系统全面的HTTPS及数据参数的对称与非对称的加密算法，导致检测类与防御类设备无法识别到威胁攻击，现在很多的攻击正是利用这个识别盲区导致攻击无法被感知防御；

（三）从网络威胁到应用威胁检测的检测维度比较单一，误报多和告警上下维度少，导致攻击威胁无法感知到身份信息；

同时从每年大量的安全事件的身份信息和登录凭证的泄露，这些泄露的数亿个的身份信息将严重影响着企业业务系统与个人的信息隐私问题，这些影响长达十年内都无法根除。

企业的CISO和资本也同样注意到这个变化，纵观计算机网络安全的发展从网络威胁到应用威胁，下一个十年是身份威胁检测的时代，在身份认证中过程中使用云原生基于AI在认证数据流量中进行威胁检测与响应，它将为任何一个系统进行赋能一个安全认证的过程和威胁检测防御的能力。WuThreat即将发布国内首个落地基于ITDR的平台，同时也是全球首个融合式的IDaaS的ITDR平台---WuThreat身份安全云。

相关链接

https://www.securityweek.com/proofpoint-buys-deception-tech-startup-illusive-networks

https://www.securityweek.com/thoma-bravo-buys-proofpoint-123-billion-all-cash-deal

https://www.proofpoint.com/us/newsroom/press-releases/proofpoint-signs-definitive-agreement-acquire-illusive

https://illusive.com/products/spotlight

https://www.darkreading.com/attacks-breaches/proofpoint-nabs-illusive-signaling-sunset-deception-tech

https://www.sentinelone.com/press/sentinelone-to-acquire-attivo-networks-bringing-identity-to-xdr/

https://www.forrester.com/blogs/sentinelone-secures-identity-first-deception-second-in-attivo-acquisition/

标签： 基础设施 初创公司 业务系统