根據(jù)日前發(fā)布的一份調(diào)查報告,84%的企業(yè)正在實施零信任策略,但59%的企業(yè)表示,他們沒有能力持續(xù)對用戶和設備進行身份驗證,并且在進行身份驗證后難以監(jiān)控用戶。
此外,根據(jù)微軟公司發(fā)布的另一份報告,盡管76%的企業(yè)已經(jīng)開始實施零信任策略,35%的企業(yè)聲稱已經(jīng)完全實施,但那些聲稱已經(jīng)完全實施的企業(yè)承認,他們還沒有在所有安全風險領域和組件上穩(wěn)定地實現(xiàn)零信任。
雖然這些看起來是微不足道的疏忽,但它們可以顯著增加企業(yè)面臨的風險。IBM公司最近在一份調(diào)查報告中指出,80%的關鍵基礎設施企業(yè)沒有采用零信任策略,與采用零信任策略的企業(yè)相比,這些企業(yè)的平均數(shù)據(jù)泄露成本增加了117萬美元。
虛假的零信任承諾和供應商的行話
企業(yè)在采用零信任過程中的錯誤之處的最重要原因之一是,許多軟件供應商的產(chǎn)品營銷誤導了他們,不僅是關于零信任是什么,而且是關于如何應用它,以及某些產(chǎn)品是否可以實現(xiàn)零信任。
在通常情況下,這些營銷實踐欺騙了首席信息安全官和安全領導者,讓他們認為可以購買零信任產(chǎn)品。
Gartner公司高級分析師Charlie Winckless表示:“很多人在零信任方面犯了一些錯誤。首先,可能也是最常見的錯誤,就是將零信任作為可以購買的東西,這種情況是由于許多供應商在他們的營銷中使用這個術(shù)語,不管它是否適用于產(chǎn)品。”
盡管如此,Winckless指出,企業(yè)可以購買一些合適的解決方案來為零信任架構(gòu)奠定基礎,例如零信任網(wǎng)絡接入(ZTNA)和微分段產(chǎn)品。
與此同時,Winckless警告企業(yè)不要落入這樣的陷阱:在軟件供應商的要求下,試圖在細粒度的級別應用零信任。
Winckless說:“第二點是試圖將過多的安全性轉(zhuǎn)化為零信任。從根本上來說,Gartner公司認為零信任是用自適應的顯性信任來取代隱性信任。如果投入太多,那么就不可能取得好效果。”
遠離急功近利的心態(tài)
零信任采納的現(xiàn)實是,它是一個過程,而不是目的地。實現(xiàn)零信任沒有快速解決方案,因為它是一種安全方法,旨在在整個環(huán)境中持續(xù)應用以控制用戶訪問。
Veridium公司首席運營官Baber Amin表示:“那些錯誤地獲得零信任的企業(yè)是那些尋求快速解決方案或靈丹妙藥的企業(yè)。他們也傾向于尋找一套產(chǎn)品來獲得零信任。他們不理解或不想承認零信任是一種戰(zhàn)略,是一種信息安全模式。”
Amin補充說:“產(chǎn)品可以而且確實有助于實現(xiàn)零信任,但它們需要正確使用。這就像買了最昂貴的鎖,如果大門本身沒有得到適當加固,,就不會起任何作用。”
Amin還指出,除了將零信任戰(zhàn)略與產(chǎn)品混淆之外,企業(yè)還會犯一些其他最常見的錯誤。
這些錯誤包括:
•未能定義適當?shù)脑L問控制策略來執(zhí)行最小特權(quán)原則(PoLP)。
•未能實現(xiàn)多因素身份驗證。
•未能對數(shù)據(jù)進行分類和分段。
•影子IT缺乏透明度。
•忽視用戶體驗
要構(gòu)建一個成功的零信任策略,安全團隊必須能夠做更多的工作,而不僅僅是持續(xù)地對用戶和設備進行身份驗證。他們還必須在進行身份驗證之后監(jiān)控這些用戶和設備;細分他們的網(wǎng)絡;并實現(xiàn)跨內(nèi)部部署和云計算環(huán)境的控制,以確保在應用程序級別訪問數(shù)據(jù)的安全。
過度依賴傳統(tǒng)基礎設施
實現(xiàn)零信任的過程往往說起來容易做起來難,因為許多企業(yè)都在具有過時且不靈活的傳統(tǒng)基礎設施的環(huán)境中運行,這使得快速管理用戶訪問變得更加困難。
過度依賴傳統(tǒng)基礎設施是零信任采用的一個眾所周知的障礙。例如,一項針對300名IT和項目經(jīng)理進行的調(diào)查發(fā)現(xiàn),58%的受訪者表示,實現(xiàn)零信任的最大挑戰(zhàn)是重建或替換現(xiàn)有的傳統(tǒng)基礎設施。
因此,采用零信任不僅意味著實現(xiàn)新的安全控制并在整個環(huán)境中應用最小特權(quán)原則,還意味著進行數(shù)字化轉(zhuǎn)型和替換傳統(tǒng)基礎設施。
Token公司安全工程師Charles Medina說:“傳統(tǒng)上,在采用‘安全優(yōu)先’的環(huán)境時,企業(yè)通常落后,并堅持采用傳統(tǒng)模式,以降低CIAM/IAM基礎設施的成本,并確保用戶在訪問站點、文件等時不會進行額外的身份驗證,這可能會導致糟糕的用戶體驗或降低整體生產(chǎn)效率。”
企業(yè)需要部署新工具以實現(xiàn)零信任旅程,還需要確保他們正在培訓員工如何有效地使用新解決方案。
Medina說:“最糟糕的情況是,企業(yè)部署了功能強大的工具,幫助推行零信任模式,但由于成本原因沒有接受適當部署的培訓,或者根本沒有認真對待環(huán)境。”
缺乏行政協(xié)調(diào)
最后,實現(xiàn)有效數(shù)字化轉(zhuǎn)型所必需的采購依賴于首席信息安全官和安全領導者的能力,即零信任采納不僅是一個安全問題,也是一個業(yè)務問題。
如果首席信息安全官要替換傳統(tǒng)基礎設施和應用程序,則需要其他關鍵利益相關者的支持。畢竟,如果沒有在數(shù)字化轉(zhuǎn)型方面的重大投資,安全團隊將無法實現(xiàn)基本的訪問控制和身份驗證模型來管理和監(jiān)控用戶訪問。
畢馬威公司全球網(wǎng)絡安全實踐負責人Akhilesh Tuteja表示:“部署是一個循序漸進的過程,首先要制定一項與業(yè)務相關的戰(zhàn)略,并建立一個治理框架,讓利益相關者參與到變革計劃中來——不僅僅是首席信息官和首席信息安全官團隊,還有那些可能受到實施影響的業(yè)務部門。”
首席信息安全官強調(diào)零信任的潛在成本節(jié)約至關重要。例如,他們可能會強調(diào)Forrester公司的研究,該研究說明了采用微軟公司零信任解決方案的企業(yè)如何產(chǎn)生92%的投資回報率,并將數(shù)據(jù)泄露的幾率降低50%。這可能有助于為投資零信任控制提供商業(yè)理由。
然而,即使得到其他關鍵利益相關者的支持,零信任也不是一次性的努力,而是一個持續(xù)的過程。
Tuteja說:“在這個過程的每個階段,都有可能出現(xiàn)失誤和許多意外。很少有企業(yè)了解他們的IT產(chǎn)業(yè),并且非常了解各種系統(tǒng)和應用程序如何交互。當實現(xiàn)隔離和新的訪問控制時,就會出現(xiàn)問題。人們將會發(fā)現(xiàn)意想不到的依賴關系,以及令人驚訝的數(shù)據(jù)流和長期被遺忘的應用程序。”
持續(xù)改進
無論企業(yè)在零信任的過程中走了多遠,首席信息安全官和安全領導者都可以將零信任視為一個持續(xù)的過程,并致力于對該過程進行漸進式改進,從而減少出錯的機會。
采取簡單的步驟,例如列出需要保護的資產(chǎn)清單,然后部署身份和訪問管理(IAM)和特權(quán)訪問管理(PAM),可以幫助企業(yè)建立零信任,并培養(yǎng)持續(xù)改進的文化心態(tài)。
關于企業(yè)網(wǎng)D1net(r5u5c.cn):
國內(nèi)主流的to B IT門戶,同時在運營國內(nèi)最大的甲方CIO專家?guī)旌椭橇敵黾吧缃黄脚_-信眾智(www.cioall.com)。同時運營18個IT行業(yè)公眾號(微信搜索D1net即可關注)。
版權(quán)聲明:本文為企業(yè)網(wǎng)D1Net編譯,轉(zhuǎn)載需注明出處為:企業(yè)網(wǎng)D1Net,如果不注明出處,企業(yè)網(wǎng)D1Net將保留追究其法律責任的權(quán)利。