2022年時間6月6日，RSA Conference 2022在舊金山召開。本屆RSAC的主題為“Transform(轉型)”，被認為是RSAC 2021年主題“彈性”的進一步延伸和拓展。轉型在當下，是很多企業不得不面對的問題，像云計算、物聯網、移動辦公等新技術與業務的加速融合，讓傳統網絡邊界逐漸變得模糊，小至企業之彈性，大至行業之轉型，網絡安全產業正處于變革之中，傳統邊界防護手段已不足以有效應對新時代的威脅與挑戰。

在此背景下，以“從不信任、始終驗證”為核心原則的零信任概念應運而生，并迅速成為熱門話題。很多企業高管將考慮開展零信任安全策略，因為他們希望零信任安全策略的實施可以讓企業的安全建設取得明顯進展。根據云安全聯盟(CSA)的一項新調查，對80%的CxO技術領導者來說，零信任是企業的重要事項，77%的高管表示他們將增加對零信任安全建設的支出。

增加對零信任的投入對很多企業來說具有重大意義，超過五分之二的高管稱企業在零信任安全建設方面的預算增加了至少26%。

根據對來自對全球800多名IT和安全專業人士的調研，以及包括200多名C級高管的回答，隨著數字化轉型的推進、疫情期間勞動力的轉移以及美國網絡安全行政命令的宣布，零信任已成為保護企業的一道盾牌。該研究表明，對于大多數企業來說，零信任策略仍然是一個相對較新的網絡安全路線圖，53% 的企業表示他們開始實施零信任策略的時間還不到兩年。他們用來指導戰略規劃的標準五花八門，比如CISA、Forrester ZTX、IEEE、NIST和CSA等。其中的領跑者要數CISA標準，有33%的企業報告說他們使用的正是CISA的標注作為他們的零信任戰略指導。

零信任是一種不斷發展的安全模型，它將許多長期運行的安全概念(最小特權、基于風險因素的有條件訪問和隔離)聯系在一起——不僅在網絡級別，而且在應用程序和工作負載級別。其核心概念是消除IT長期以來在用戶和設備使用密碼登錄后對網絡的無條件信任。

實施零信任的目的是用一種更具適應性和持續評估的授予訪問權限的模式來代替它，該模式提供有限的訪問權限，并且不僅基于身份，還基于操作和威脅環境。執行此操作需要很多部分，包括強大的身份和訪問管理 (IAM)、有效的網絡策略執行、強大的數據安全性和有效的安全分析。很多企業在過去的安全建設中其實已經有過對這些部分投入，而零信任策略只是重新整合和利用這些已經投入過的資源。

因此，盡管許多企業表示他們開始零信任之旅才一兩年，但這項調查的受訪者表示，他們在終端/設備成熟度、應用安全、IAM、數據流管理、網絡安全管理、用戶行為和資產管理等核心零信任領域已經有一些經驗了。

在執行零信任策略時，基本策略、架構和集成工作會將冒牌者與競爭者區分開來。RackTop系統公司的首席執行官兼國防和金融領域的長期安全和技術從業者Eric Bednash表示，組織要想開展零信任之旅，他們必須先了解IT和安全堆棧如何結合。“這是關于從對企業整體架構和業務流程的深入了解開始，你需要了解它們如何聯系在一起。它超越了任何單一元素。而且你還要記住，零信任不是一件具象化的東西，而是一種理念，“ 他說。“它更像是一種指導方針。而不是說，'這東西是零信任，這東西不是零信任。' 簡單來說，零信任是一種方法論，它沒有捷徑可走，這就是為什么它如此難以實施的原因。”

實施零信任策略需要高管的充分支持、足夠的專業知識和人員配備，以及明智的變革管理。根據CSA調查，40%的企業表示缺乏專業知識，34%的企業表示他們沒有內部協調或得到支持，23%的企業表示抵制變革阻礙了前進的道路。專家表示要克服這些業務和流程障礙需要外交和有紀律的溝通。“為了有效地管理變化，你需要開展行動并逐步的實施。你可能知道你想去哪里，你甚至可能已經為你的網絡解決方案簽訂了合同，但不要一次實施所有事情”，Perimeter 81首席執行官兼聯合創始人Amit Bareket說，“變革管理的藝術在于知道要實施多少——所以不要一次改變太多，但也不要無限期地拖延這個過程。”