零信任是企业保护系统免受网络攻击的黄金标准,但企业必须避免许多常见的实施陷阱。零信任策略是指任何人都不能在未经验证的情况下使用企业的数字资源。这不仅涉及进入系统时的验证,还涉及个人在系统内移动时的验证。
之所以需要这样一个严格的制度,是因为如果网络罪犯或自动代理一旦进入系统,就没有验证检查,他们可能会破坏系统并在系统内自由移动。因此,零信任已经成为当今企业环境中网络安全的黄金标准。
实施零信任需要对整个技术资产进行彻底检查。该企业需要识别其技术和人力方面的弱点,并找出如何最好地填补漏洞。这应该在对日常工作量的干扰最小的情况下进行,并理解零信任不是一次性的解决方案,而是一个不断发展的想法。
然而,实施这样的制度并非没有潜在的陷阱和痛点。这是一个耗时且复杂的过程,需要来自整个企业的许多角色以及外部专业知识的投入。
1、未能超越企业网络
当混合工作成为常态时,人们将使用各种方式的工作地点,包括他们的家庭和公共网络。一切都是攻击面的一部分,企业不应该信任任何东西。每个端点都是一个潜在的漏洞。
这还包括可能位于网络外部的设备,例如打印机、安全摄像头和其他物联网(IoT)设备。
在工作开始之前,需要对设备进行全面审核,并制定保护每台设备的策略,并确保每台设备根据需要定期更新。
2、实施零信任过快
实施零信任方法可能需要对技术以及人们开展日常业务的方式进行重大改变。走得太快,很容易出错。在实施时或以后,单个设备或应用可能会成为漏网之鱼。
确保所有硬件和软件,都是最新的并经过修补是零信任的核心方面。确保每一件硬件和软件都是已知的,并且其安全性可以随时优化,这需要时间。重要的是从一开始就分配足够的时间来管理一切,并制定流程来确保现有和新的收购能够得到满足。
3、忽略最低权限访问原则
最低权限访问是指确保用户仅具有最低权限级别,来执行他们需要执行操作的策略。它旨在严格控制对资源的访问,并防止通过系统进行的那种对不良行为者最有帮助的大规模访问。
然而,它可能难以实施,尤其是在多云环境中,数据和应用由不同的提供商托管,每个提供商都有不同的策略和安全协议。最终,预算、可用时间和纯粹的工作量可能意味着内部团队分配的权限超出了必要范围。
使用一类称为权限管理或云基础设施权限管理的软件,可以集中管理对多种软件、系统、设备和云平台的访问。
4、未能以用户为中心
一个企业的员工并不是唯一需要与之合作的利益相关者。也可能有承包商、供应商、采购商、交付合作伙伴等。向用户介绍新的协议、需要跳过的障碍和流程,而不了解这些是否被视为障碍可能会引起不满,并助长不合规策略。围绕安全协议工作的用户是制造风险的用户。
关于如何实现遵守安全协议的高质量用户教育,只是解决方案的一部分。人们还必须了解为什么需要某些行为,并对任何所需的行动或方法感到满意。在整个企业内创建“安全文化”需要时间、精力和领导力,包括首席执行官、高级管理人员和经理。
5、假设默认购买零信任
每个企业都是不同的,它的技术设置将是独一无二的。人们使用技术的方式也会有所不同。它的员工工作地点也会有所不同,包括在办公室、远程或混合、一个城市、设有国家办事处或跨国企业。
虽然某些原则和方法适用于零信任,但它们在任何一个企业中的实施都是独一无二的。简单地去找供应商,并期望他们在没有任何投入的情况下做所有事情是一种谬论。
企业需要投入自己的人力资源与供应商一起工作,并了解零信任的实施需要时间,这是一个持续的过程。
由于网络攻击丝毫没有放缓的迹象,而且各种规模和所有市场中的企业都可能容易受到攻击,因此保护数据和网络至关重要。对这一挑战采取零碎的方法已经不够了。零信任方法可以帮助企业实施基于风险的数据安全策略。它并非没有陷阱,企业应该意识到这些陷阱,并愿意投入所需的时间和精力来解决这些陷阱。