编者按:本文来自 Gartner 副总裁剖析师 John Watts。
在降落环境危险方面,大少数组织将 零信赖视为首要义务。 但是,关于许多组织而言,整个组织的大规模零信赖尚未成为理想。
零信赖是一种安保范例,它明白识别用户和设备,并准许他们以最小的摩擦启动访问,同时依然降落危险。零信赖要求组织思考最小特权访问、资源敏理性和数据秘密性。
这些概念并不新颖。过去,许多团队都曾尝试实施最低特权访问控制,但在扩展控制范围和参与控制粒度时遇到了应战。
零信赖也不能防止这些疑问。组织必定提早方案并投资于人员和资源以在零信赖的状况下取得成功,而不是将其视为一次性性的、一刀切的答案来 包全他们的组织
要启动零信赖实施,组织可以在着手更宽泛的零信赖技术实施之前先定义战略和基线。
为组织量身定制零信赖战略并将其与最适宜缓解的攻打类型(例如恶意软件的横向移动)相联合十分关键。
零信赖不会经过一种技术来成功,而是经过多种不同组件的集成来成功。
大少数组织将实施零信赖作为安保的终点
Gartner 预测,到 2025 年,超越 60% 的组织将把零信赖作为安保的终点。但是,超越一半的组织将无法成功这些好处——启动零信赖须要的不只仅是技术。
由于围绕零信赖的营销压力和炒作, 安保指导者 手足无措,致力将技术理想转化为商业利益。
有一种普遍的曲解以为“零信赖”是指没有人被信赖,但理想并非如此。相反,零信赖指的是只信赖所需的“正确”数量。安保指导者必定了解零信赖将包全他们和他们的组织免受任何或者出现的疏忽。
当谈到在组织内成功启动零信赖时,网络安保指导者绝不能试图仅经过技术控制来执行零信赖方案。零信赖不是技术优先的致力,而是思想形式和安保方法的转变。
一旦了解了这一点,网络安保指导者就须要获取高管的支持和支持。这种支持将展现零信赖如何支持新的业务方法和更具弹性的环境,从而成功更大的灵敏性。
未能取得这种支持将使零信赖方案面临危险。
网络安保指导者必定接受或者出现的复杂性和暂时冗余。安保团队将在一种新的、精细的方法下运作,但依然须要旧的控制。新旧控件之间或者存在相互抵触的指标。这些必定协调分歧并始终审查以防止抵触。
随着组织从零信赖的炒作变成理想,安保指导者必定将他们的留意力从技术和营销消息转移到零信赖的文明和安保方案。安保指导者可以经过设定合乎可治理性和安保指标的理想指标来为成功做好预备。
依据所需的业务成绩(例如降落危险、更好的最终用户体验或提高灵敏性)定位零信赖方案,以对零信赖方案的范围和影响设定切合实践的希冀。
更多组织正在实施零信赖方案,但须要可权衡性
目前,大少数组织都处于零信赖之旅的早期阶段。只管组织对零信赖的承诺感到兴奋,但很少有人关注其实施后的理想。
在零信赖之旅中走得更远的组织在实施和保养最低特权访问方面遇到了阻碍。为协助防止这些阻碍,投资资源以隔离并遵守最低特权访问战略以实施控制。投资这些资源将在实施后坚持零信赖态势。
Gartner 预测,到 2026 年,10% 的大型企业将领有成熟且可权衡的零信赖方案,而目前这一比例还不到 1%。
零信赖战略必定由关于组织情愿在网络安保方面启动多少投资以及从投资中取得多少收益的业务决策驱动。随着组织改良将网络安保解释为一项商业投资,零信赖致力变得不那么战术化。
当天没有权衡零信赖成熟度的通用规范,但是现有的成熟度模型是一个有用的终点。
例如,美国联邦政府网络安保和基础设备安保局 (CISA) 颁布了 零信赖成熟度模型 设计,以协助美国联邦机构制订零信赖战略和实施方案。
经常使用此战略将跟踪组织外部零信赖指标的停顿状况。优先思考此执行方案,而不是驳回来自成熟度模型的相对基准评价,由于由于范围和预期结果的差异,这些基准或者无法在组织之间启动比拟。
在零信赖的状况下从通常转向通常是一项应战。在没有制订战略的状况下很容易堕入部署点零信赖处置方案的圈套。持重的战略势在必行,也是逾越营销噪音以确保成功实施零信赖的惟一路径。