零信任不是一种产品,而是一种基于纵深防御和最小特权访问概念的安全方法。从政府引导开始,零信任及其实施似乎每个人都在玩猜谜游戏。美国政府在1月份就美国管理和预算办公室(OMB)针对联邦机构和部门的联邦零信任战略发表的评论既务实又雄心勃勃。他们的观察以Log4j漏洞为例,很好地总结了这一点:“零信任策略将使机构和组织能够更快地检测、隔离和响应这些类型的威胁。”然而,要使零信任策略取得成功,实施者必须了解它是什么以及它所基于的基本原则。零信任是新的吗?在关于零信任主题的小组讨论中,Trellix首席工程师兼漏洞研究总监道格拉斯·麦基(DouglasMcKee)在黑帽大会上指出,现实情况是“纵深防御”和“最小权限访问原则”是普遍存在的基本原理在“零信任”一词的背后。从事业务运营的CISO必须协作并协调对他们所需信息的访问,这样他们的同事才能成功完成他们的总体任务。他们需要的是不受阻碍地持续访问信息。这需要对整个企业生态系统的需求进行持续和动态的监控。随着个人角色的改变,他们的需求也会随之调整,他们允许的访问权限也会相应调整。当员工离开时,必须终止他们的访问权限。这说起来容易,但对很多企业和组织来说似乎很难做到。正如Code42首席执行官JoePayne所说:“使员工能够在受信任的环境中完成工作,这样,如果他们冒险在企业的流程和程序之外进行冒险,例如加载到基于Web的存储,他们会立即得到纠正。“零信任不能没有最小权限访问就存在,这就是问题所在。如果CISO不执行最小权限访问原则,那么就不会有越界的风险,因为访问是允许和授权的。检测窃取信息的个人是一项艰巨的任务。员工遵循业务的所有流程和程序,只访问他们可以自然访问的信息,他们可以在几乎没有或没有惩罚的情况下获得这些信息。零信任的感知问题零信任比流行语更复杂。出口产品管理副总裁“不幸的是,零信任存在一些认知问题:供应商经常歪曲它,导致买家误解,”SteveMalone说。最重要的是关于零信任是因为它不是产品。这不是可以从单一供应商处购买的东西。零信任是一种安全方法、技术框架和最佳实践,随着时间的推移,企业需要在其IT环境中定义和采用这些方法。“健康和持续的合规性让每个人都保持警觉,并专注于如何访问、移动和存储信息。这种心态需要从企业高管到个人贡献者都接受,因为安全实施可能会被CISO接受并得到其支持信息安全专家团队,因此在运营和生产中发挥着重要作用。单一产品无法实现零信任马龙继续说道,“一些企业很难实施零信任战略。我看到的最大错误是安全团队误解了真正的零信任方法的含义。一些企业认为零信任可以通过使用单独的安全解决方案来实现,该解决方案可以快速解决问题。但是,零信任不仅仅是部署单独的解决方案。“不要被时髦的名字所迷惑,“马龙总结道。零信任不仅仅是另一个流行语,也不是一个单一的产品。这是一项重要的安全措施关于。“人员、流程和技术的重要性怎么强调都不为过。它们是最小特权访问原则和纵深防御策略实施的核心。虽然根本没有普遍的、教科书式的零信任实施,原则上是有的。
