零信任安全理念似乎在如今的企业网络安全建设中取得了成功。根据云安全联盟2022年最新调查数据显示,几乎所有受访企业都在实施或准备实施零信任安全建设,77%的受访企业表示将加大对零信任安全建设的投入。2023年。不过,Gartner副总裁兼分析师JohnWatts日前表示,随着零信任概念被炒作,一些企业组织对零信任安全建设的关注和投入过多。过度投资的危害零信任安全应用仍处于早期阶段。Gartner研究发现,只有不到1%的大型企业真正实施了成熟且可衡量的零信任计划。建立零信任需要时间,而且很难快速实现。然而,市场对零信任解决方案的需求正在快速增长。当零信任的概念从营销炒作迅速转变为构建时,也意味着很多企业用户会遇到一些不可避免的陷阱。新发现的陷阱之一是,许多企业实际上可能过分关注零信任的概念。这些企业现在面临的问题与其说是零信任投资不足,不如说是投资过度。如果企业对零信任在安全方面的有效性期望过高,就会忽略其他必要的安全工作。Optiv首席信息安全官MaxShier认为:我们已经看到一些企业对零信任的期望变得不切实际。网络安全世界没有灵丹妙药,零信任也没有。零信任无法解决组织面临的所有安全威胁。例如,当企业提供越来越多的面向外部的应用和服务时,企业的威胁暴露面将不断扩大,但无法通过零信任控制措施实现有效的攻击面管理;另一个典型例子无论是安全威胁还是软件供应链攻击,零信任技术都可以帮助防止应用代码被感染,但是当攻击者发起类似SolarWinds的攻击时,依靠零信任技术很难解决.此外,零信任是一项变革性的努力。短期内企业组织的过度投入,不利于零信任安全建设的持续发展。在开展零信任安全建设之前,很多企业多年来在安全和网络软硬件设备上投入了大量资金。企业组织应尽可能利用好现有的技术和设备,并在此基础上实现向零信任战略的转型。与任何其他长期战略项目一样,企业在启动零信任安全建设之前,也需要制定科学的实施方案。NSTAC(国家安全电信咨询委员会)在其《零信任和可信身份管理报告》指南报告中列出了零信任实施的五个关键步骤:定义保护范围、映射交易流程、构建零信任架构、制定零信任策略和监控和维护网络,强调零信任的实施将是一个长期优化迭代的过程,也说明零信任安全能力难以通过短期快速投入获得,需要一个科学合理的实施方案待制定。应关注的主要风险零信任安全建设热潮始于2009年,即谷歌开始实施BeyondCorp计划,这被视为零信任建设项目首次成功实践。但是,大多数企业没有能力像谷歌那样在零信任上投入巨资,也没有必要如此深入地构建零信任安全。不同的企业组织对零信任的需求和目标不同,因此理想的零信任投资水平也不同。尽管谷歌在构建其零信任安全架构时从头开始构建了整个安全网络。但对于大多数企业组织来说,这是没有必要的。建立零信任实际上可以简单地从增强环境中已有的安全控制开始。在实际建设中,一些企业组织可能只需要实施一些单点的零信任解决方案,就可以带来更大的价值。科学的规划和合理的投资有利于零信任安全的长远建设,因为它不仅降低了项目实施的难度,而且可以更快地从中受益。Watts认为,企业组织应该首先弄清楚他们需要用零信任策略解决的主要安全风险,并使用一些独立的零信任概念工具来逐步应对这些风险,不一定要从一个全面的零信任平台开始。对于大多数企业而言,何时以及如何构建零信任架构有多种实施路径可供选择。不同行业、规模和需求的企业,应根据自身对零信任概念的理解,选择适合自己的零信任路径,以提高安全技术和投资的有效性,为长期实现打下坚实的基础。对企业零信任。需要强调的是,企业在进行零信任安全建设时,也要把用户体验放在首位,尽可能保证零信任策略在企业应用过程中的顺畅。如果员工认为复杂的零信任解决方案阻碍了正常的业务工作,就会试图绕过解决方案中包含的安全控制环节,无法真正实现零信任安全建设的预期目标。参考链接:https://www.crn.com/news/security/zero-trust-security-s-new-pitfall-to-avoid-over-investing
