随着网络威胁态势的不断演变,许多企业组织开始采用零信任架构来保护数字化发展的安全。然而,SANS研究所最新发布的《2024年零信任安全应用建设指南》报告认为,要真正实现零信任安全的价值并不容易,当组织在整个数字环境中实施端到端的零信任原则时,经常会出现以下错误:
1.对零信任技术应用的误解
零信任理念的核心思想是“永不信任,持续验证”,这让许多组织的IT团队产生误解,实现零信任将是一项艰巨的任务,不仅需要花费数十万美元的投入,还会对当前业务叶童的高效运行造成干扰甚至破坏。因此,很多组织尽管明白零信任的重要性和价值,但在实施零信任时顾虑重重。报告认为,企业首先需要全面、真实理解零信任架构是什么样子,在积极推进零信任项目的落地实施。
2.忽视组织文化的重要性
报告认为,“有效的零信任项目实施必须由人员、流程和技术共同驱动。”因此,零信任建设并不仅仅是技术上的优化升级,它要求组织的安全文化和管理制度发生根本性的改变。在零信任架构下,企业管理者必须使安全与公司整体发展战略、业务运营和财务优先事项保持一致。如果不能从一开始就确保利益相关者的参与,零信任项目实施注定要失败。
3.低估人的风险
研究发现,很多企业将零信任安全建设的重点放在了对外部访问的安全控制,然而在现代企业组织中,由于内部员工的错误和疏忽所造成的数据泄露占比达到80%以上,而混合工作环境进一步模糊了个人和公司办公环境之间的界限,增加了监控用户活动的复杂性。零信任架构是抵御人为风险的重要防线,因此在建设过程中,不能仅关注如何控制外部风险,还必须对内部用户行为实施持续监控和实时评估,才可以真正有效地降低这些风险。
4.忽视供应链安全风险
软件供应链攻击正成为一种常见的非法获取商业信息的犯罪形式。根据Gartner最新预测数据显示,到2025年,全球45%的企业组织都会面临或遭遇供应链攻击威胁。零信任原则需要通过确保持续的验证和更深入地了解用户活动,帮助限制第三方系统中的漏洞影响。但是在实际的零信任项目中,这一点往往会被企业所忽视。
5.没有提前做好持续的建设规划
实施零信任是一项长期的工作,需要不断改进和适应。报告认为,从实际效果来看,持续推进零信任的建设比一次性彻底改造IT环境要好得多。研究人员也特别强调了持续变革组织当前管理实践的重要性,有效变革管理确保利益相关者认同,促进用户采用,最大程度地减少中断,促进持续改进,并增强协作。
6.对实施效果的度量不足
衡量零信任框架的有效性对于获取所有利益方的支持至关重要。如果对零信任实施效果的度量不足,将难以向组织管理层和业务部门体现零信任建设的价值与必要性。报告建议了一些指标,包括身份验证成功率、策略合规率以及检测和响应事件的时间。这些指标清楚地显示了框架的影响,并突出了需要改进的地方。
原文链接:https://www.darkreading.com/application-security/top-5-mistakes-businesses-make-when-implementing-zero-trust
