CyberRisk Alliance最近的一項(xiàng)研究揭示了一些關(guān)于零信任安全的驚人的數(shù)據(jù)。雖然這零信任一術(shù)語(yǔ)可以追溯到近30年前，但只有35%受訪的安全部門(mén)領(lǐng)導(dǎo)者表示非常熟悉這種做法。盡管近年來(lái)安全事件頻發(fā)，仍有同樣比例的受訪者對(duì)他們的零信任能力非常有信心。

 有一個(gè)脫節(jié)的情況。根據(jù)我們的經(jīng)驗(yàn)，雖然企業(yè)對(duì)零信任的興趣正在增長(zhǎng)，但許多安全部門(mén)的領(lǐng)導(dǎo)者似乎對(duì)如何正確實(shí)施它感到困惑。很多人認(rèn)為只需采用新產(chǎn)品或升級(jí)舊產(chǎn)品即可解決問(wèn)題。事實(shí)上，真正需要的是更好地理解什么是零信任安全——它如何結(jié)合產(chǎn)品、流程和人員來(lái)保護(hù)關(guān)鍵任務(wù)的企業(yè)資產(chǎn)。

 零信任的概念很簡(jiǎn)單：“永不信任，始終驗(yàn)證”。對(duì)于已經(jīng)習(xí)慣于順暢和輕松地訪問(wèn)信息的用戶來(lái)說(shuō)，這可能有些苛刻，不過(guò)它的確是一個(gè)合理的政策。我們更喜歡使用“互相懷疑”這個(gè)詞，它也有類似的意思。這實(shí)際上意味著，“這是我；向我證明你是誰(shuí)?！?/p>

 在某種程度上，這種做法以及這個(gè)術(shù)語(yǔ)都已經(jīng)有一定的年頭了，可以追溯到小型計(jì)算機(jī)和大型機(jī)的年代。這一切都是為了實(shí)現(xiàn)良好的數(shù)字衛(wèi)生。那什么改變了呢？我們的環(huán)境發(fā)生了變化和擴(kuò)展?，F(xiàn)在，隨著云、邊緣設(shè)備和數(shù)據(jù)中心為網(wǎng)絡(luò)攻擊暴露了更多的端點(diǎn)，企業(yè)不得不依靠防火墻以外的東西來(lái)阻止入侵者。

 組織需要使其流程、人員以及產(chǎn)品保持一致，以實(shí)現(xiàn)真正的零信任。

 產(chǎn)品是簡(jiǎn)單直接的。從本質(zhì)上講，組織需要的是一整套能夠驗(yàn)證身份、位置和設(shè)備健康狀況的安全技術(shù)，目標(biāo)是最小化攻擊半徑并限制分段訪問(wèn)。雖然沒(méi)有單一的產(chǎn)品或平臺(tái)可以實(shí)現(xiàn)所有這些目標(biāo)，但成功的零信任計(jì)劃將包含身份管理、多因素身份驗(yàn)證和最低權(quán)限訪問(wèn)等要素。

 讓員工參與進(jìn)來(lái)

零信任技術(shù)可用于覆蓋所有攻擊面并保護(hù)組織，但如果沒(méi)有使用它們的人，它們就毫無(wú)意義。因此，將公司的成功和安全與員工的成功和安全聯(lián)系起來(lái)至關(guān)重要。這意味著優(yōu)先考慮透明的文化、開(kāi)放的溝通、對(duì)流程的信任以及對(duì)彼此行事能力的信心。

 為了在企業(yè)文化中成功實(shí)施零信任技術(shù)，組織需要讓員工參與這一過(guò)程。僅僅只是推出一個(gè)自上而下的任務(wù)，然后期望它會(huì)自動(dòng)成功，這是不可行的。提醒員工現(xiàn)在正發(fā)生什么，實(shí)施零信任的過(guò)程需要什么，零信任如何影響和惠及員工自身以及公司，需要注意什么，以及他們可以如何支持零信任的過(guò)程。

 通過(guò)讓員工參與進(jìn)來(lái)，并挑戰(zhàn)他們對(duì)潛在威脅的合理懷疑，雇主正在他們的組織架構(gòu)中播下安全的種子。一旦員工了解了正在發(fā)生的事情和零信任的價(jià)值，他們會(huì)感到被信任，以及有權(quán)成為更廣泛的網(wǎng)絡(luò)安全網(wǎng)絡(luò)的一部分。這使員工能夠主動(dòng)積極地識(shí)別企業(yè)面臨的內(nèi)部和外部威脅，從而覆蓋所有攻擊面，并培養(yǎng)良好的安全衛(wèi)生。

 重新評(píng)估流程

零信任安全需要對(duì)整個(gè)組織流程進(jìn)行大改造。 

組織可以采取的最重要的措施之一是定義和評(píng)估其數(shù)據(jù)安全環(huán)境的各個(gè)方面。這包括確定組織中所有非結(jié)構(gòu)化數(shù)據(jù)存儲(chǔ)在哪里，特定的數(shù)據(jù)存儲(chǔ)有何種業(yè)務(wù)目的，誰(shuí)可以訪問(wèn)這些數(shù)據(jù)以及已經(jīng)實(shí)施了什么樣的安全控制類型。全面的權(quán)限評(píng)估將有助于指導(dǎo)制定一個(gè)全面的訪問(wèn)管理政策。有些資產(chǎn)需要零信任保護(hù)，有些則不需要。所有連接到網(wǎng)絡(luò)的設(shè)備都需要被考慮到，以便它們能夠抵御外部的網(wǎng)絡(luò)釣魚(yú)攻擊。

 在零信任環(huán)境中，可以幫助組織的一項(xiàng)關(guān)鍵技術(shù)機(jī)制是不變性——?jiǎng)?chuàng)建不可修改或刪除的數(shù)據(jù)副本。這可以確保組織不會(huì)丟失數(shù)據(jù)或讓數(shù)據(jù)落入壞人之手。

 一個(gè)被忽視的實(shí)踐是為整個(gè)組織確定一個(gè)通用的零信任框架。因?yàn)樽寛F(tuán)隊(duì)在一個(gè)接一個(gè)的項(xiàng)目上解釋令人困惑的慣例或重新定義“零信任”的含義，這一點(diǎn)好處都沒(méi)有。

 最后，也許也是最重要的，組織需要重新評(píng)估和修改組織的零信任流程。這就像去健身房：鍛煉成為了一種生活方式，積極鍛煉的人一直在調(diào)整他們的鍛煉方式。安全方面也是如此，零信任是一個(gè)持續(xù)的過(guò)程，它沒(méi)有結(jié)束的時(shí)候。

 保持靈活性

隨著時(shí)間的推移，網(wǎng)絡(luò)威脅版圖將繼續(xù)演變。采取零信任方法的組織需要繼續(xù)制定全面的計(jì)劃，然后不斷修改他們的技術(shù)、流程和人員實(shí)踐以滿足未來(lái)的需求。