根据IDG发布的《2020年安全优先级研究》报告显示,人们对零信任的兴趣呈暴涨趋势:40%的受访者表示正在积极研究零信任技术,并在2019年2018年占比仅为11%;18%的企业组织表示他们已经拥有零信任解决方案,这一比例是2018年的两倍多(8%);在数月内部署零信任解决方案。然而,知名研究机构Forrester的分析师SteveTurner指出,在他最近与一些企业客户的交流中,他发现有多达50%-70%的企业客户完全误解了企业的基本概念和原则。零信任,因为营销炒作完全掩盖了零信任。信任的真实面目。他进一步补充说:“当我们把他们拉回现实,告诉他们零信任的神话时,他们就会意识到零信任并不像他们想象的那么安全。”以下是一些关于零信任的常见“迷思”和误解:误解一:零信任解决的是技术问题事实上,零信任解决的不是技术问题,而是解决业务问题。特纳说,“安全领导者的第一步是坐下来了解企业需要解决的业务问题是什么。”创建零信任模型的前Forrester分析师JohnKindervag也强调需要关注业务,并建议企业首席信息安全官(CISO)让业务团队参与进来。误解二:零信任是一个产品或一组产品关于零信任的一个常见误解是,如果企业部署了身份管理、访问控制和网络分段,那么它就已经成功实施了零信任。托管安全服务提供商ON2IT网络安全战略高级副总裁Kindervag解释说,“零信任不是一种产品或一套策略,而是一种防止数据泄露的战略举措,是构建安全网络的一套原则。技术环境。原则。”埃森哲CISOKrisBurkhardt补充说,“没有人可以向企业出售零信任解决方案。如果企业想通过简单地购买产品来获得零信任,那显然是误入歧途。”特纳说,他一直在与一些购买产品的客户交谈后,要求供应商承诺它是零信任的,他们没有改变任何东西,例如:数据未分类;仍然有太多特权员工,供应商和承包商的商数;未能识别关键资产或改变网络流量等。误区3:零信任意味着不信任您的员工Kindervag解释说,零信任解决方案的目的不是让系统值得信赖,而是从IT系统中消除信任的概念。“信任是数据泄露中最常被利用的漏洞,我们不希望系统受到信任,”他说。这有时会被误解为企业不信任员工,而CISO需要解释这不是针对个人的,这简直相当于员工需要门禁卡才能进入大楼。其最终目标是防止数据泄露,因为它们会影响企业中的每个人。误区4:零信任难以实施Kindervag驳斥了零信任难以实施的说法。他指出,“这是不想让企业这样做的人编造的谎言,他们甚至说零信任会破坏他们的纵深防御模型。”措施的成本更高,因为公司不考虑数据泄露的成本。Turner表示,现在实施零信任要容易得多:工具本身已经改进,供应商正在跨产品线进行协作,因此企业可以比以往更轻松地部署它们,而无需过多投资。误区5:开启零信任之旅只有一种正确方式Turner表示,目前有两种开启零信任之旅的方式:安全方面和身份管理方面。一些企业从身份管理开始,然后快速部署多因素身份验证,以获得最简单、最快的成功。虽然其他人采用以网络为中心的安全方法,首先解决微分段问题,但这种方法可能更具挑战性。误区6:部署SASE意味着“我拥有零信任”最近,SASE(安全访问服务边缘)已成为踏上零信任之旅的流行方式,因为它是一种将安全控制置于云端的服务。然而,特纳指出,在大流行初期的混乱局面中,许多企业已转向SASE技术来解决员工在家工作的紧迫问题。虽然SASE解决了网络边缘的零信任问题,但随着一些员工返回办公室,组织意识到他们仍在使用传统的边界安全概念进行防御。Turner表示,“SASE解决方案不是为混合工作模型构建的。企业需要重新开始规划安全策略,并将零信任纳入企业安全策略。”请通过安全牛获取授权(微信公众号id:gooann-sectv)】点此阅读作者更多好文
