MistakesEnterprisesAreMakinginAdoptionaZeroTrustStrategyandHowtoAvoidthembox”解决方案。日前发布的一份调查报告显示,84%的企业正在实施零信任战略,但59%的企业表示他们这样做了不具备持续对用户和设备进行身份验证的能力,身份验证后很难对用户进行监控。此外,根据微软公司发布的另一份报告,虽然76%的企业已经开始实施零信任策略,35%的企业声称已完全实施,那些声称已完全实施的企业承认他们尚未在所有安全风险下实施零信任策略。在域和组件上稳定实施零信任。虽然这些看起来微不足道疏忽,它们会显着增加企业面临的风险。IBM最近在一份调查报告中指出,80%的关键基础设施企业did未采用零信任策略,与采用零信任策略的企业相比,这些企业的平均数据泄露成本增加了117万美元。虚假的零信任承诺和供应商行话企业在采用零信任时犯错的最重要原因之一是许多软件供应商在产品营销方面误导了他们,不仅仅是关于什么是零信任,而是关于它是什么。关于如何应用,以及一些产品是否可以做到零信任。通常情况下,这些营销做法会诱使CISO和安全领导者认为他们可以购买零信任产品。“很多人在零信任的情况下犯了一些错误,”Gartner高级分析师查理温克利斯说。“第一个,也可能是最常见的错误,是将零信任视为可以购买的东西。在营销中使用该术语,无论它是否适用于产品。”不过,Winckless指出,企业可以购买一些合适的解决方案来为零信任架构奠定基础,例如零信任网络访问(ZTNA)和微分段产品。.与此同时,Winckless警告企业不要陷入试图按照软件供应商的要求在粒度级别应用零信任的陷阱。“第二点是试图将过多的安全性转化为零信任,”Winckless说。从根本上说,Gartner将零信任视为用自适应显式信任取代隐式信任。如果投入太多,那么就不可能得到好的结果。”远离急功近利的心态零信任采用的现实是它是一段旅程,而不是目的地。实现零信任没有捷径可走,因为它是一种旨在在整个环境中持续应用以控制用户访问的安全方法。Veridium的首席运营官BaberAmin说:“那些犯了零信任错误的企业是那些寻求快速解决方案或灵丹妙药的企业。”“他们还倾向于寻找一组产品来获得零信任。他们不理解也不想承认零信任。”这是一种战略,是信息安全的一种模式。”Amin补充说:“产品可以而且确实有助于实现零信任,但需要正确使用它们。这就像购买最昂贵的锁,如果门本身没有得到适当的加固,它什么也做不了。”阿明还指出,除了将零信任策略与产品混为一谈之外,企业还存在一些其他最常见的错误。这些错误包括:未能定义适当的访问控制策略来执行最小特权原则(PoLP)。无法实施多重身份验证。未能对数据进行分类和分段。影子IT缺乏透明度。忽略用户体验要构建成功的零信任策略,安全团队必须能够做的不仅仅是持续对用户和设备进行身份验证。他们还必须在身份验证后监控这些用户和设备;分割他们的网络;跨本地和云环境实施控制,以在应用程序级别保护对数据的访问。过度依赖遗留基础设施来实现零信任往往说起来容易做起来难,因为许多企业在遗留基础设施陈旧且不灵活的环境中运营,这使得快速管理用户访问变得更加困难。对遗留基础设施的过度依赖是零信任采用的众所周知的障碍。例如,一项针对300名IT和项目经理的调查发现,58%的受访者表示实施零信任的最大挑战是重建或更换现有的遗留基础设施。因此,采用零信任不仅意味着实施新的安全控制并在整个环境中应用最小特权原则,还意味着对遗留基础设施进行数字化改造和替换。Token安全工程师CharlesMedina表示:“传统上,在采用‘安全第一’环境时,企业往往滞后并固守传统模式,以降低CIAM/IAM基础设施的成本并确保用户可以访问站点,文件在没有额外身份验证的情况下等待,这可能会导致糟糕的用户体验或降低整体生产力。”企业需要部署新工具以实现零信任之旅,还需要确保培训员工如何有效使用新解决方案。“最坏的情况是企业部署强大的工具来帮助推动零信任模型,但由于成本原因没有接受正确部署它的培训,或者根本没有认真对待环境,”麦地那说。“缺乏执行协调最后,实现有效数字化转型所需的收购依赖于CISO和安全领导者的能力,即零信任采用不仅是一个安全问题,而且是一个业务问题。如果CISO要取代传统的基础设施和应用程序,“你需要其他关键利益相关者的支持。毕竟,如果不对数字化转型进行大量投资,安全团队将无法实施基本的访问控制和身份验证模型来管理和监控用户访问。毕马威全球网络安全实践负责人AkhileshTuteja表示:“部署是一个循序渐进的过程,首先是制定与业务相关的战略,并建立一个让利益相关者参与变革计划的治理框架——而不仅仅是CIO和CISO团队,以及那些可能受到实施影响的业务部门。CISO必须强调零信任的潜在成本节约。例如,t他们可能会强调Forrester的研究表明采用Microsoft的零信任解决方案的企业如何产生92%的投资回报率并将数据泄露的可能性降低50%。这可能有助于制定投资于零信任控制的商业案例。然而,即使有其他主要利益相关者的支持,零信任也不是一次性的努力,而是一个持续的过程“在这个过程的每个阶段,都有可能出现错误和许多意外,”Tuteja说。很少有企业了解他们的IT行业,并且很好地了解各种系统和应用程序如何交互。实施隔离和新的访问控制时会出现问题。人们会发现意想不到的依赖关系,以及令人惊讶的数据流和长期被遗忘的应用程序。“持续改进无论组织在零信任之旅中走了多远,CISO和安全领导者都可以将零信任视为一个持续的过程,并致力于对该过程进行渐进式改进以减少错误。机会。采取简单的步骤,例如采取清点需要保护的资产,然后部署身份和访问管理(IAM)和特权访问管理(PAM)可以帮助组织建立零信任并培养持续改进的文化。
