采取零信任并不是抵御網(wǎng)絡攻擊的萬無一失的方法。攻擊者不斷地尋找新的方法來繞過零信任，這種情況經(jīng)常發(fā)生，因為在使用零信任時并沒有考慮到企業(yè)環(huán)境中的所有東西，被忽視的風險包括遺留系統(tǒng)、未受監(jiān)控的物聯(lián)網(wǎng)設備或特權訪問濫用。

零信任是一種網(wǎng)絡安全范例——實際上是一種哲學——在這種范例中，每一個用戶、每一臺設備、每一條消息都被認為是不可信的，除非有其他證明，這是對舊的基于邊界的方法的替代，在這種方法中，外部的東西是不可信的，而企業(yè)網(wǎng)絡內部的東西自動被認為是值得信任的，換句話說，企業(yè)有一個堅硬的外殼和一個柔軟而粘稠的中心。

在這個邊界無處不在的時代，員工在家和在辦公室的可能性一樣大，計算資源分散在多個數(shù)據(jù)中心、云和其他第三方，舊的方法不再起作用，零信任是這個問題的現(xiàn)代答案，所有人都上船了。根據(jù)Okta 2022年發(fā)布的一項針對700家公司的調查，55%的企業(yè)已經(jīng)實施了零信任計劃，高于2021年的24%，97%的企業(yè)計劃在未來12至18個月內實施零信任計劃。

零信任不是靈丹妙藥，根據(jù)Gartner的預測，到2026年，超過一半的網(wǎng)絡攻擊將針對零信任沒有覆蓋和無法防范的領域?！傲阈湃斡袃蓚€大問題，一個是范圍，比如遺留技術，或影子IT，第二個大問題是，有一些攻擊繞過了零信任控制。

企業(yè)在部署零信任方面進展緩慢

根據(jù)3月份發(fā)布的一項針對美國400名IT和網(wǎng)絡安全專業(yè)人士的網(wǎng)絡安全內部調查，只有19%的企業(yè)已經(jīng)實施了零信任。與此同時，30%的人表示項目正在進行中，38%的人表示仍處于規(guī)劃階段。這些估計可能過于樂觀了。根據(jù)Gartner的數(shù)據(jù)，只有不到1%的企業(yè)擁有成熟且可衡量的零信任計劃，到2026年將只有10%的企業(yè)會有這樣的計劃。

即使零信任已經(jīng)推出，也并不意味著所有的安全問題都得到了解決。零信任有幾個盲點，包括不是為零信任而設計的遺留系統(tǒng)、做不應該做的事情的特權用戶、不受監(jiān)控的物聯(lián)網(wǎng)設備、第三方系統(tǒng)，當然，還有持續(xù)存在的變化管理問題。

僅靠零信任不能保護企業(yè)的5個領域

1、遺留系統(tǒng)

并不是所有的系統(tǒng)和應用程序都可以輕松地更新為零信任原則。例如，許多遺留系統(tǒng)就是不具備所需的條件。保險經(jīng)紀公司PIB Group成立僅七年，但自那以來已收購了92家其他公司，其中大多數(shù)是其他保險公司。員工人數(shù)從12人增加到3500人。CISO杰森·奧津告訴記者：“我們正在收購很多平臺，這些平臺都是由他們的堂兄編寫的，他們的堂兄去了另一份工作，沒有適當?shù)刂С炙麄??！?/p>

Ozin說，即使是公司目前的人力資源系統(tǒng)也不支持零信任。它甚至不會支持雙因素[身份驗證]。它將支持用戶名和密碼。它將支持IP白名單。但當每個人都在家里或其他遠程地點工作時，IP白名單并不是很有用。

該公司即將改用新的人力資源系統(tǒng)，但其他系統(tǒng)無法快速更換。在它們出現(xiàn)之前，Ozin已經(jīng)有了一個變通辦法?！拔覀兯茏龅木褪怯昧阈湃蔚陌b來包裝它。你會被認證的。你是從我們認識的地方來的嗎?你用的是雙因素嗎?“。一旦處理了身份驗證，包裝器才會將流量傳遞到遺留系統(tǒng)。遺留系統(tǒng)--例如當前的人力資源系統(tǒng)--將檢查IP地址，以確保它來自零信任平臺。Ozin說，一些遺留系統(tǒng)太糟糕了，他們甚至沒有用戶名和密碼?！暗峭ㄟ^看門人，否則沒有人能進入?！?/p>

大流行是轉向零信任的主要動機，該公司的快速增長也是如此，盡管當PIB開始推出零信任時，大流行已經(jīng)結束?！拔业挠媱澥菙[脫我們擁有的每一個遺留系統(tǒng)，”O(jiān)zin說。但在現(xiàn)實中，這永遠不會發(fā)生。六年后，如果我還在經(jīng)營它，我不會感到驚訝。

但升級所有東西都需要資源和資金。“我們已經(jīng)決定從某些高風險的項目開始，”他說。

2、物聯(lián)網(wǎng)設備

Ozin說，企業(yè)中有大量的物聯(lián)網(wǎng)設備，“我有我甚至不知道的物聯(lián)網(wǎng)?！边@是一個問題，特別是當當?shù)剞k公室決定在沒有事先與任何人交談的情況下安裝門禁系統(tǒng)時。“他們正在安裝，那個人說，‘我能拿到網(wǎng)絡的WiFi接入密鑰嗎?’有人可能會把它給他們?！皧W津說。

在對所有WiFi網(wǎng)關沒有零信任的情況下，該公司正在使用一種變通辦法--對無法訪問任何公司數(shù)據(jù)的未經(jīng)批準的設備使用單獨的網(wǎng)絡。PIB也有適當?shù)墓ぞ?，讓他們進行審計，以確保只有經(jīng)過批準的設備才能連接到主網(wǎng)絡。

Gartner的瓦茨也認為，物聯(lián)網(wǎng)和OT可能會給公司帶來安全挑戰(zhàn)。“對于那些設備和系統(tǒng)來說，實施零信任的姿態(tài)更加困難。他們對身份的保證較少。如果沒有用戶，那么就沒有用戶賬戶，他說?！皼]有好的方法來驗證網(wǎng)絡上是否應該有東西。這成了一個很難解決的問題。

瓦茨說，一些公司會將物聯(lián)網(wǎng)和OT排除在零信任范圍之外，因為它們無法解決這個問題。然而，他說，一些供應商將幫助公司確保這些系統(tǒng)的安全。事實上，Gartner已經(jīng)發(fā)布了一份保護網(wǎng)絡物理系統(tǒng)安全的市場指南，其中包括Armis、Claroty和Dragos。但一旦你實施了這些技術，你就必須對供應商給予更多信任。如果他們有自己的漏洞和挑戰(zhàn)，攻擊者就會找到弱點，“瓦茨告訴記者。

3、特權訪問

內部人威脅風險是所有公司都面臨的問題。在特權內部人員可能擁有訪問敏感資源的有效權限的情況下，零信任將無濟于事，因為該員工是受信任的。

Ozin說，其他技術可以降低風險?！澳橙丝赡軗碛兴械奶貦?，但他們會在凌晨3點突然出現(xiàn)在互聯(lián)網(wǎng)上嗎?”你可以把行為分析放在零信任旁邊，以捕捉到這一點。我們使用它作為EDR[端點檢測和響應]的一部分，并作為我們Okta登錄的一部分。我們還有一個防止數(shù)據(jù)丟失的計劃--他們是不是在通常不打印任何東西的情況下進行60頁的打印?

Gartner的瓦茨表示，在實施零信任控制后，內部威脅是一個主要的殘余風險。此外，受信任的內部人士可能會被社會工程欺騙，泄露數(shù)據(jù)或允許攻擊者進入系統(tǒng)。他表示：“在一個完美的零信任世界里，仍然存在的兩個風險是內部威脅和賬戶接管攻擊?！?/p>

然后是商業(yè)電子郵件泄露，有權獲得公司資金的人被愚弄，將資金發(fā)送給壞人。瓦茨說：“商業(yè)電子郵件的泄密可能是一種深深的虛假，它會打電話給企業(yè)的一名成員，讓他們把錢匯到另一個賬戶?！薄岸@一切實際上都沒有觸及到你的任何零信任控制?！睘榱私鉀Q這一問題，公司應該限制用戶訪問，以便在他們受到攻擊時將損害降至最低。他表示：“有了特權賬戶，這很難做到?！庇脩艉蛯嶓w行為分析可幫助檢測內部威脅和帳戶接管攻擊。關鍵是智能地部署這項技術，這樣誤報就不會阻止某人完全履行他們的職責。

例如，異?；顒涌赡苡|發(fā)自適應控制，如將訪問權限更改為只讀，或阻止訪問最敏感的應用程序。公司需要確保他們不會給太多的用戶太多的訪問權限。這不僅僅是一個技術問題。你必須有人和流程來支持它。

根據(jù)網(wǎng)絡安全內部人士的調查，47%的人表示，當涉及到部署零信任時，過度特權的員工訪問是最大的挑戰(zhàn)。此外，10%的公司表示，所有用戶的訪問權限都超過了他們的需要，79%的公司表示部分或少數(shù)用戶這樣做，只有9%的公司表示沒有用戶訪問權限太多。代表BeyondTrust進行的一項Dimensional Research研究發(fā)現(xiàn)，63%的公司報告在過去18個月中遇到過與特權用戶或憑據(jù)直接相關的身份問題。

4、第三方服務

CloudFactory是一家AI數(shù)據(jù)公司，擁有600名員工和8000名按需“云工人”。該公司安全運營負責人肖恩·格林告訴記者，該公司完全采用了零信任?！拔覀儽仨氝@么做，因為我們支持的用戶數(shù)量太多了?！?/p>

格林說，遠程員工使用谷歌身份驗證登錄，公司可以通過該身份驗證應用其安全策略，但存在差距。一些關鍵的第三方服務提供商不支持單點登錄或安全斷言標記語言集成。因此，員工可以使用自己的用戶名和密碼從未經(jīng)批準的設備登錄，他說?！澳敲淳蜎]有什么能阻止他們走出我們的視線?！备窳终f，技術供應商意識到這是一個問題，但他們落后了，他們需要加快步伐。

CloudFactory并不是唯一一家在這方面有問題的公司，但供應商的安全問題不僅僅是供應商使用的身份驗證機制。例如，許多公司通過API將其系統(tǒng)暴露給第三方。在確定零信任部署的范圍時，很容易忽略API。

瓦茨說，你可以采用零信任原則，并將其應用于API。這可以帶來更好的安全態(tài)勢--但只能在一定程度上?！澳荒芸刂颇_并提供給第三方的接口。如果第三方?jīng)]有很好的控制，這是你通常無法控制的事情。當?shù)谌絼?chuàng)建的應用程序允許他們的用戶訪問他們的數(shù)據(jù)時，客戶端的身份驗證可能會成為一個問題?！叭绻皇欠浅姶?，有人可能會竊取會話令牌，”瓦茨說。

公司可以審計其第三方提供商，但審計通常是一次性檢查或臨時執(zhí)行。另一種選擇是部署分析，這種分析可以檢測正在做的事情何時未獲批準。它提供了檢測異常事件的能力。瓦茨說，被利用的API中的一個缺陷可能會表現(xiàn)為一個這樣的異常事件。

5、新技術和新應用

根據(jù)Beyond Identity今年對美國500多名網(wǎng)絡安全專業(yè)人士的調查，48%的受訪者表示，處理新申請是實現(xiàn)零信任的第三大挑戰(zhàn)。添加新的應用程序并不是公司可能想要對其系統(tǒng)進行的唯一更改。全球咨詢公司AArete的技術解決方案部門董事總經(jīng)理約翰·凱里表示，一些公司一直在努力改善流程和溝通流程。這與數(shù)據(jù)信任的概念不符，后者為數(shù)據(jù)的自由流動設置了障礙。

凱里說，這意味著如果零信任沒有得到正確的實施或架構，可能會對生產(chǎn)率造成打擊。這種情況可能發(fā)生的一個領域是AI項目。公司有越來越多的選擇來創(chuàng)建特定于其業(yè)務的定制的、微調的AI模型，包括最近的AIGC。

AI擁有的信息越多，它就越有用。有了AI，你希望它可以訪問一切。這就是AI的目的，但如果它被攻破，你就有問題了。如果它開始泄露你不想要的東西，那就是一個問題?！翱萍甲稍児維tar的技術總監(jiān)馬丁·菲克斯告訴記者。

Fix說，現(xiàn)在有了一種新的攻擊媒介，稱為“即時黑客”，惡意用戶試圖通過巧妙地措辭他們提出的問題來欺騙AI告訴他們更多不應該告訴他們的信息。他說，一種解決方案是避免對一般用途的AI機構進行敏感信息方面的培訓。取而代之的是，這些數(shù)據(jù)可以保持獨立，并建立一個訪問控制系統(tǒng)，檢查提出問題的用戶是否被允許訪問這些數(shù)據(jù)?！敖Y果可能不如不受控制的AI。這需要更多的資源和更多的管理。

這里的根本問題是，零信任改變了公司的運作方式?！鞍踩珡S商說這很容易。只要在你的人進來的地方增加一些邊緣安全就行了。不，這并不容易，零信任的復雜性才剛剛開始顯現(xiàn)?！爱咇R威的美國零信任負責人迪帕克·馬圖爾告訴記者。這是零信任從未提及的一大缺陷，他說。當公司實施零信任技術時，必須發(fā)生一些流程變化。相反，很多時候，人們理所當然地認為人們會修復流程。