虽然少量的企业都在寻求采用零信赖的网络,但许多企业都做错了,只能实施有限的访问控制或转向“零信赖的盒子”处置方案。
依据日前颁布的一份考查报告,84%的企业正在实施零信赖战略,但59%的企业示意,他们没有才干继续对用户和设备启出发份验证,并且在启出发份验证后难以监控用户。
此外,依据微软公司颁布的另一份报告,虽然76%的企业曾经开局实施零信赖战略,35%的企业宣称曾经齐全实施,但那些宣称曾经齐全实施的企业抵赖,他们还没有在一切安保危险畛域和组件上稳固地成功零信赖。
虽然这些看起来是微无余道的疏忽,但它们可以清楚参与企业面临的危险。IBM公司最近在一份考查报告中指出,80%的关键基础设备企业没有采用零信赖战略,与采用零信赖战略的企业相比,这些企业的平均数据暴露老本参与了117万美元。
虚伪的零信赖承诺和供应商的行话
企业在采用零信赖环节中的错误之处的最关键要素之一是,许多软件供应商的产品营销误导了他们,不只是关于零信赖是什么,而且是关于如何运行它,以及某些产品能否可以成功零信赖。
在通常状况下,这些营销通常诈骗了首席信息安保官和安保指导者,让他们以为可以购置零信赖产品。
Gartner公司初级剖析师CharlieWinckless示意:“很多人在零信赖方面犯了一些错误。首先,或许也是最经常出现的错误,就是将零信赖作为可以购置的东西,这种状况是由于许多供应商在他们的营销中经常使用这个术语,不论它能否实用于产品。”
虽然如此,Winckless指出,企业可以购置一些适合的处置方案来为零信赖架构奠定基础,例如零信赖网络接入(ZTNA)和微分段产品。
与此同时,Winckless正告企业不要落入这样的圈套:在软件供应商的要求下,试图在细粒度的级别运行零信赖。
Winckless说:“第二点是试图将过多的安保性转化为零信赖。从基本过去说,Gartner公司以为零信赖是用自顺应的显性信赖来取代隐性信赖。假设投入太多,那么就无法能取得好成果。”
远离深谋远虑的心态
零信赖采用的事实是,它是一个环节,而不是目标地。成功零信赖没有极速处置方案,由于它是一种安保方法,旨在在整个环境中继续运行以控制用户访问。
Veridium公司首席运营官BaberAmin示意:“那些错误地取得零信赖的企业是那些寻求极速处置方案或灵丹妙药的企业。他们也偏差于寻觅一套产品来取得零信赖。他们不了解或不想抵赖零信赖是一种战略,是一种信息安保形式。”
Amin补充说:“产品可以而且确实有助于成功零信赖,但它们须要正确经常使用。这就像买了最低廉的锁,假设大门自身没有获取适当加固,,就不会起任何作用。”
Amin还指出,除了将零信赖战略与产品混杂之外,企业还会犯一些其余最经常出现的错误。
这些错误包括:
要构建一个成功的零信赖战略,安保团队必定能够做更多的上班,而不只仅是继续地对用户和设备启出发份验证。他们还必定在启出发份验证之后监控这些用户和设备;细分他们的网络;并成功跨外部部署和云计算环境的控制,以确保在运行程序级别访问数据的安保。
适度依赖传统基础设备
成功零信赖的环节往往说起来容易做起来难,由于许多企业都在具备过期且不灵敏的传统基础设备的环境中运转,这使得极速控制用户访问变得愈加困难。
适度依赖传统基础设备是零信赖采用的一个妇孺皆知的阻碍。例如,一项针对300名IT和名目经理启动的考查发现,58%的受访者示意,成功零信赖的最大应战是重建或交流现有的传统基础设备。
因此,采用零信赖不只象征着成功新的安保控制并在整个环境中运行最小特权准则,还象征着启动数字化转型和交流传统基础设备。
Token公司安保工程师CharlesMedina说:“传统上,在采用‘安保优先’的环境时,企业通常落后,并坚持采用传统形式,以降落CIAM/IAM基础设备的老本,并确保用户在访问站点、文件等时不会启动额外的身份验证,这或许会造成蹩脚的用户体验或降落全体消费效率。”
企业须要部署新工具以成功零信赖旅程,还须要确保他们正在培训员工如何有效地经常使用新处置方案。
Medina说:“最蹩脚的状况是,企业部署了配置弱小的工具,协助推广零信赖形式,但由于老本要素没有接受适当部署的培训,或许基本没有仔细看待环境。”
不足行政协调
最后,成功有效数字化转型所必需的洽购依赖于首席信息安保官和安保指导者的才干,即零信赖采用不只是一个安保疑问,也是一个业务疑问。
假设首席信息安保官要交流传统基础设备和运行程序,则须要其余关键利益相关者的允许。毕竟,假设没有在数字化转型方面的严重投资,安保团队将无法成功基本的访问控制和身份验证模型来控制和监控用户访问。
毕马威公司环球网络安保通常担任人AkhileshTuteja示意:“部署是一个墨守成规的环节,首先要制订一项与业务相关的战略,并建设一个控制框架,让利益相关者介入到改革方案中来——不只仅是首席信息官和首席信息安保官团队,还有那些或许遭到实施影响的业务部门。”
首席信息安保官强调零信赖的潜在老本浪费至关关键。例如,他们或许会强调Forrester公司的钻研,该钻研说明了采用微软公司零信赖处置方案的企业如何发生92%的投资报答率,并将数据暴露的几率降落50%。这或许有助于为投资零信赖控制提供商业理由。
但是,即使获取其余关键利益相关者的允许,零信赖也不是一次性性的努力,而是一个继续的环节。
Tuteja说:“在这个环节的每个阶段,都有或许出现错误和许多异常。很少有企业了解他们的IT产业,并且十分了解各种系统和运行程序如何交互。当成功隔离和新的访问控制时,就会出现疑问。人们将会发现意想不到的依赖相关,以及令人惊讶的数据流和常年被忘记的运行程序。”
继续改良
无论企业在零信赖的环节中走了多远,首席信息安保官和安保指导者都可以将零信赖视为一个继续的环节,并努力于对该环节启动渐进式改良,从而缩小出错的时机。
采取便捷的步骤,例如列出须要包全的资产清单,而后部署身份和访问控制(IAM)和特权访问控制(PAM),可以协助企业建设零信赖,并造就继续改良的文明心态。