SANS研究所:企业在实施零信任时常犯六种错误

安全 零信任
报告认为,“有效的零信任项目实施必须由人员、流程和技术共同驱动。”因此,零信任建设并不仅仅是技术上的优化升级,它要求组织的安全文化和管理制度发生根本性的改变。

随着网络威胁态势的不断演变,许多企业组织开始采用零信任架构来保护数字化发展的安全。然而,SANS研究所最新发布的《2024年零信任安全应用建设指南》报告认为,要真正实现零信任安全的价值并不容易,当组织在整个数字环境中实施端到端的零信任原则时,经常会出现以下错误:

1.对零信任技术应用的误解

  零信任理念的核心思想是“永不信任,持续验证”,这让许多组织的IT团队产生误解,实现零信任将是一项艰巨的任务,不仅需要花费数十万美元的投入,还会对当前业务叶童的高效运行造成干扰甚至破坏。因此,很多组织尽管明白零信任的重要性和价值,但在实施零信任时顾虑重重。报告认为,企业首先需要全面、真实理解零信任架构是什么样子,在积极推进零信任项目的落地实施。

2.忽视组织文化的重要性

报告认为,“有效的零信任项目实施必须由人员、流程和技术共同驱动。”因此,零信任建设并不仅仅是技术上的优化升级,它要求组织的安全文化和管理制度发生根本性的改变。在零信任架构下,企业管理者必须使安全与公司整体发展战略、业务运营和财务优先事项保持一致。如果不能从一开始就确保利益相关者的参与,零信任项目实施注定要失败。

3.低估人的风险

研究发现,很多企业将零信任安全建设的重点放在了对外部访问的安全控制,然而在现代企业组织中,由于内部员工的错误和疏忽所造成的数据泄露占比达到80%以上,而混合工作环境进一步模糊了个人和公司办公环境之间的界限,增加了监控用户活动的复杂性。零信任架构是抵御人为风险的重要防线,因此在建设过程中,不能仅关注如何控制外部风险,还必须对内部用户行为实施持续监控和实时评估,才可以真正有效地降低这些风险。

4.忽视供应链安全风险

软件供应链攻击正成为一种常见的非法获取商业信息的犯罪形式。根据Gartner最新预测数据显示,到2025年,全球45%的企业组织都会面临或遭遇供应链攻击威胁。零信任原则需要通过确保持续的验证和更深入地了解用户活动,帮助限制第三方系统中的漏洞影响。但是在实际的零信任项目中,这一点往往会被企业所忽视。

5.没有提前做好持续的建设规划

实施零信任是一项长期的工作,需要不断改进和适应。报告认为,从实际效果来看,持续推进零信任的建设比一次性彻底改造IT环境要好得多。研究人员也特别强调了持续变革组织当前管理实践的重要性,有效变革管理确保利益相关者认同,促进用户采用,最大程度地减少中断,促进持续改进,并增强协作。

6.对实施效果的度量不足

衡量零信任框架的有效性对于获取所有利益方的支持至关重要。如果对零信任实施效果的度量不足,将难以向组织管理层和业务部门体现零信任建设的价值与必要性。报告建议了一些指标,包括身份验证成功率、策略合规率以及检测和响应事件的时间。这些指标清楚地显示了框架的影响,并突出了需要改进的地方。

原文链接:https://www.darkreading.com/application-security/top-5-mistakes-businesses-make-when-implementing-zero-trust

责任编辑:武晓燕 来源: 安全牛
相关推荐

2014-04-22 09:33:49

云计算云安全云迁移

2022-07-11 16:43:58

安全信息安全数据泄露

2022-06-08 13:02:19

数据治理变革管理工具

2022-12-29 14:25:22

2010-09-01 11:29:04

CSS

2020-09-08 10:17:38

企业视频数字企业阿拉贡

2022-05-10 16:37:25

零信任网络安全

2016-05-10 14:38:13

大数据企业

2011-06-07 09:36:18

2022-10-13 15:31:32

Python软件工程编码

2018-08-03 16:40:06

前端前端框架微服务

2010-09-13 14:50:26

DIV+CSS

2011-03-11 13:22:16

2022-06-29 13:41:43

物联网零信任

2022-12-12 14:19:56

2023-09-25 12:40:00

架构师数字化转型

2019-07-29 15:15:45

2010-09-02 08:44:12

CSS

2019-07-31 10:59:36

2010-09-25 17:05:41

点赞
收藏

51CTO技术栈公众号