隨著網(wǎng)絡(luò)威脅態(tài)勢(shì)的不斷演變，許多企業(yè)組織開始采用零信任架構(gòu)來保護(hù)數(shù)字化發(fā)展的安全。然而，SANS研究所最新發(fā)布的《2024年零信任安全應(yīng)用建設(shè)指南》報(bào)告認(rèn)為，要真正實(shí)現(xiàn)零信任安全的價(jià)值并不容易，當(dāng)組織在整個(gè)數(shù)字環(huán)境中實(shí)施端到端的零信任原則時(shí)，經(jīng)常會(huì)出現(xiàn)以下錯(cuò)誤：

1.對(duì)零信任技術(shù)應(yīng)用的誤解

  零信任理念的核心思想是“永不信任，持續(xù)驗(yàn)證”，這讓許多組織的IT團(tuán)隊(duì)產(chǎn)生誤解，實(shí)現(xiàn)零信任將是一項(xiàng)艱巨的任務(wù)，不僅需要花費(fèi)數(shù)十萬美元的投入，還會(huì)對(duì)當(dāng)前業(yè)務(wù)葉童的高效運(yùn)行造成干擾甚至破壞。因此，很多組織盡管明白零信任的重要性和價(jià)值，但在實(shí)施零信任時(shí)顧慮重重。報(bào)告認(rèn)為，企業(yè)首先需要全面、真實(shí)理解零信任架構(gòu)是什么樣子，在積極推進(jìn)零信任項(xiàng)目的落地實(shí)施。

2.忽視組織文化的重要性

報(bào)告認(rèn)為，“有效的零信任項(xiàng)目實(shí)施必須由人員、流程和技術(shù)共同驅(qū)動(dòng)。”因此，零信任建設(shè)并不僅僅是技術(shù)上的優(yōu)化升級(jí)，它要求組織的安全文化和管理制度發(fā)生根本性的改變。在零信任架構(gòu)下，企業(yè)管理者必須使安全與公司整體發(fā)展戰(zhàn)略、業(yè)務(wù)運(yùn)營和財(cái)務(wù)優(yōu)先事項(xiàng)保持一致。如果不能從一開始就確保利益相關(guān)者的參與，零信任項(xiàng)目實(shí)施注定要失敗。

3.低估人的風(fēng)險(xiǎn)

研究發(fā)現(xiàn)，很多企業(yè)將零信任安全建設(shè)的重點(diǎn)放在了對(duì)外部訪問的安全控制，然而在現(xiàn)代企業(yè)組織中，由于內(nèi)部員工的錯(cuò)誤和疏忽所造成的數(shù)據(jù)泄露占比達(dá)到80%以上，而混合工作環(huán)境進(jìn)一步模糊了個(gè)人和公司辦公環(huán)境之間的界限，增加了監(jiān)控用戶活動(dòng)的復(fù)雜性。零信任架構(gòu)是抵御人為風(fēng)險(xiǎn)的重要防線，因此在建設(shè)過程中，不能僅關(guān)注如何控制外部風(fēng)險(xiǎn)，還必須對(duì)內(nèi)部用戶行為實(shí)施持續(xù)監(jiān)控和實(shí)時(shí)評(píng)估，才可以真正有效地降低這些風(fēng)險(xiǎn)。

4.忽視供應(yīng)鏈安全風(fēng)險(xiǎn)

軟件供應(yīng)鏈攻擊正成為一種常見的非法獲取商業(yè)信息的犯罪形式。根據(jù)Gartner最新預(yù)測(cè)數(shù)據(jù)顯示，到2025年，全球45%的企業(yè)組織都會(huì)面臨或遭遇供應(yīng)鏈攻擊威脅。零信任原則需要通過確保持續(xù)的驗(yàn)證和更深入地了解用戶活動(dòng)，幫助限制第三方系統(tǒng)中的漏洞影響。但是在實(shí)際的零信任項(xiàng)目中，這一點(diǎn)往往會(huì)被企業(yè)所忽視。

5.沒有提前做好持續(xù)的建設(shè)規(guī)劃

實(shí)施零信任是一項(xiàng)長期的工作，需要不斷改進(jìn)和適應(yīng)。報(bào)告認(rèn)為，從實(shí)際效果來看，持續(xù)推進(jìn)零信任的建設(shè)比一次性徹底改造IT環(huán)境要好得多。研究人員也特別強(qiáng)調(diào)了持續(xù)變革組織當(dāng)前管理實(shí)踐的重要性，有效變革管理確保利益相關(guān)者認(rèn)同，促進(jìn)用戶采用，最大程度地減少中斷，促進(jìn)持續(xù)改進(jìn)，并增強(qiáng)協(xié)作。

6.對(duì)實(shí)施效果的度量不足

衡量零信任框架的有效性對(duì)于獲取所有利益方的支持至關(guān)重要。如果對(duì)零信任實(shí)施效果的度量不足，將難以向組織管理層和業(yè)務(wù)部門體現(xiàn)零信任建設(shè)的價(jià)值與必要性。報(bào)告建議了一些指標(biāo)，包括身份驗(yàn)證成功率、策略合規(guī)率以及檢測(cè)和響應(yīng)事件的時(shí)間。這些指標(biāo)清楚地顯示了框架的影響，并突出了需要改進(jìn)的地方。

原文鏈接：https://www.darkreading.com/application-security/top-5-mistakes-businesses-make-when-implementing-zero-trust