不仅仅是“信任但验证”,零信任模型应该假设威胁参与者将发起活动——即使他们没有。目前有一些关于零信任的误解阻碍了它的发展。多年来,盛行的安全口号是“信任但要验证”。然而,这种思维方式已不足以解决当今无国界、全球、移动、基于云的威胁环境。根据Gartner的数据,2019年组织将在IT安全和风险管理方面投资1370亿美元,因为66%的企业在2018年经历过安全漏洞。您可能认为,有了如此大的安全投资,我们应该比坏事领先几步伙计们,但现实是几乎每周都有新闻报道高调的网络威胁。零信任安全是陈旧安全策略的一剂良药,因为它要求组织永远不信任并始终进行验证。每个企业都必须认识到网络内外都存在威胁行为者,基于边界的安全性不再能够抵御基于身份和基于证书的入侵。身份和凭据是当今的主要威胁媒介。现在的解决方案是通过只在适当的时候授予足够的权限来完全消除信任。然而,目前存在一些关于零信任阻碍它的误解。让我们来看看前5大神话,并弄清事实。误区1:零信任安全之路始于数据完整性请放心,加密敏感数据并确保其完整性仍然是一个很好的做法。没有人否认这一点。但是,如果威胁行为者已经获得访问权限(包括解密密钥),还可以采取什么措施来限制威胁行为者窃取数据?Forrester估计80%的数据泄露是由于滥用特权凭据造成的。特权凭据为数据窃取提供了比个人帐户大得多的平台,因此仅一个被泄露的凭据就可能影响数百万人并造成巨大损失。Gartner建议将特权访问管理(PAM)置于所有安全项目列表的首位也就不足为奇了。在组织开始实施以身份为中心的安全措施之前,帐户威胁将继续为数据泄露提供完美的伪装。因此,零信任之路应始终从保护身份开始。误区2:零信任仅适用于大型组织Google是零信任模型的早期采用者之一。所以很多人仍然认为这种模式只适用于大型组织。但现实是,没有一家公司可以免受网络威胁。事实上,根据2018年Verizon数据泄露调查报告,61%的数据泄露影响了小企业。好消息是零信任安全不会破坏银行。企业规模和预算不应成为障碍,因为即使是小型企业也可以通过具有成本效益的循序渐进的方法开始零信任工作。例如,许多组织通过使用密码保险库或多因素身份验证等易于实施的功能显着提高了安全性。每年为每个系统花费几百美元是非常值得的,以避免潜在的数百万美元的罚款、罚金或品牌损害。误区3:我需要完全替换整个网络安全环境当谷歌最初构建其零信任安全架构时,它确实决定从头开始构建整个安全网络。但大多数组织并非如此。零信任可以简单地从增强环境中已有的安全控制开始。例如,您可以从部署一个“MFAEverywhere”解决方案开始,该解决方案并不复杂,但带来了巨大的价值。这第一步对建立身份保证大有帮助,可以显着减少威胁面,为您的组织迈向零信任之路奠定坚实的基础。误区4:零信任仅适用于本地许多组织认为零信任仅适用于本地工作,不适用于公有云。当敏感信息存储在传统网络之外时,这就成为一个问题。随着行业转向混合、多云环境,零信任可以轻松扩展到云环境这一事实变得越来越重要。此外,零信任不仅包括基础设施、数据库和网络设备,还应该扩展到其他威胁层,这越来越成为现代组织发展的战略需求,包括大数据、DevOps和容器。误区5:零信任的唯一好处是它降低了我面临的风险。降低风险显然是零信任的主要好处,但绝对不是唯一的好处。Forrester得出结论,零信任可以将组织面临的风险降低37%或更多。但他们还发现,部署零信任的组织可以将安全支出减少31%,从而节省数百万美元的总体IT安全预算。零信任还可以带来更大的商业信心。Forrester研究发现,部署零信任的组织对采用移动工作模式的信心提高了66%,对保护其DevOps环境的信心提高了44%。因此,他们可以更有信心、更有保障地加速使用新的商业模式,带来新的用户体验。重要的是,今天的安全工作并不安全。零信任模型不仅仅是“信任但验证”。零信任模型假设威胁行为者会发起攻击——即使他们没有发起攻击。通过零信任,您可以减少威胁面、提高审计和合规可见性,并降低复杂性和成本。零信任是现代混合企业安全的基本方法。记住:永远不要相信。始终验证。这些不是误会。【本文为专栏作家“李少鹏”原创文章,转载请通过安安牛(微信公众号id:gooann-sectv)获得授权】点此查看作者更多好文
