企业在采用零信任策略的过程中所犯的错误以及如何避免这些错误设备进行身份验证,一旦通过身份验证就很难监控用户。此外,根据微软公司发布的另一份报告,虽然76%的企业已经开始实施零信任战略,35%的企业声称已经全面实施,但那些声称已经全面实施的企业承认,他们尚未在所有安全风险下实施零信任策略。在域和组件上稳定实施零信任。虽然这些看似微不足道的疏忽,但它们会显着增加企业面临的风险。IBM近期在一份调查报告中指出,80%的关键基础设施企业没有采用零信任策略,与采用零信任策略的企业相比,这些企业的平均数据泄露成本增加了117万美元。虚假的零信任承诺和供应商行话企业在采用零信任时犯错的最重要原因之一是许多软件供应商在产品营销方面误导了他们,不仅仅是关于什么是零信任,而是关于它是什么。关于如何应用,以及一些产品是否可以做到零信任。通常情况下,这些营销做法会诱使CISO和安全领导者认为他们可以购买零信任产品。“很多人在零信任的情况下犯了一些错误,”Gartner高级分析师查理温克利斯说。“第一个,也可能是最常见的错误,是将零信任视为可以购买的东西。在营销中使用该术语,无论它是否适用于产品。”不过,Winckless指出,企业可以购买一些合适的解决方案来为零信任架构奠定基础,例如零信任网络访问(ZTNA)和微分段产品。.与此同时,Winckless警告企业不要陷入试图按照软件供应商的要求在粒度级别应用零信任的陷阱。“第二点是试图将过多的安全性转化为零信任,”Winckless说。从根本上说,Gartner将零信任视为用自适应显式信任取代隐式信任。如果投入太多,那么就不可能得到好的结果。”远离急功近利的心态零信任采用的现实是它是一段旅程,而不是目的地。实现零信任没有捷径可走,因为它是一种旨在在整个环境中持续应用以控制用户访问的安全方法。Veridium的首席运营官BaberAmin说:“出现零信任错误的企业是那些寻求快速解决方案或灵丹妙药的企业。”“他们还倾向于寻找一套产品来获得零信任。他们不理解也不想承认零信任是一种策略,一种信息安全模型。Amin补充说:“产品可以而且确实有助于实现零信任,但需要正确使用它们。这就像买一把最贵的锁,如果门本身没有得到适当加固,它什么都做不了。阿明还指出,除了将零信任策略与产品混淆之外,企业还会犯一些其他最常见的错误。这些错误包括:未能定义适当的访问控制策略来执行最小特权原则(PoLP)。未能实施多重身份验证。未能对数据进行分类和分段。影子IT缺乏透明度。忽略用户体验要建立成功的零信任策略,安全团队必须能够做的不仅仅是持续不断,他们还必须在经过身份验证后监控这些用户和设备;分割他们的网络;跨本地和云环境实施控制,以在应用程序级别保护对数据的访问。过度依赖遗留基础设施实现零信任的过程往往说起来容易做起来难,因为许多企业在遗留基础设施陈旧且不灵活的环境中运营,这使得快速管理用户访问变得更加困难。过度依赖遗留基础设施是采用零信任的众所周知的障碍。例如,一项针对300名IT和项目经理的调查发现,58%的受访者表示实现零信任的最大挑战是重建或更换现有的传统基础设施。因此,采用零信任不仅意味着实施新的安全控制并在整个环境中应用最小特权原则,还意味着数字化转型和替代传统基础设施。Token公司安全工程师CharlesMedina表示:“传统上,在采用‘安全第一’环境时,企业往往会落后并坚持遗留模型,以降低CIAM/IAM基础设施的成本并确保用户不必做在访问网站、文件等时进行额外的身份验证。可能会导致糟糕的用户体验或降低整体生产力。“企业需要部署新的工具来实现零信任之旅,还需要确保他们培训员工如何有效地使用新的解决方案。最坏的情况是企业部署了有助于推动零信任模型的强大工具,”Medina说。但由于成本原因没有接受过正确部署的培训,或者根本没有认真对待环境。“缺乏执行协调最后,实现有效数字化转型所需的收购依赖于CISO和安全领导者的能力,即零信任采用不仅是一个安全问题,而且是一个业务问题。如果CISO要取代传统的基础设施和应用程序,则需要其他主要利益相关者的支持。毕竟,如果不对数字化转型进行重大投资,安全团队将无法实施基本的访问控制和身份验证模型来管理和监控用户访问。毕马威全球网络安全实践负责人AkhileshTuteja表示:“部署是一个循序渐进的过程,从制定业务相关战略和建立治理框架开始,让利益相关者参与变革计划——不仅仅是CIO和CISO团队,还有那些可能会受到实施影响的业务部门。”CISO强调零信任的潜在成本节约至关重要。例如,他们可能会强调Forrester的研究表明采用Microsoft的零信任解决方案的企业如何产生92%的投资回报率并将数据泄露的可能性降低50%。这可能有助于提供投资于零信任控制的商业案例。然而,即使有其他主要利益相关者的支持,零信任也不是一次性的,而是一个持续的过程。“在这个过程的每个阶段,都有可能出现失误和许多意外,”Tuteja说。“很少有企业了解他们的IT环境,并且很好地理解各种系统和应用程序如何交互。当实施隔离和新访问控制权时,问题就会出现。人们会发现意想不到的依赖关系,以及令人惊讶的数据流和长-被遗忘的应用程序。”持续改进无论企业在零信任之旅中走多远,首席信息安全官和安全领导者都可以将零信任视为一个持续的过程,并致力于对该过程进行渐进式改进,以减少出错的机会。采取简单的步骤,例如盘点需要保护的资产,然后部署身份和访问管理(IAM)和特权访问管理(PAM),可以帮助组织建立零信任并培养持续改进的文化。
