CyberRisk Alliance最近的一項研究揭示了一些關(guān)于零信任安全的驚人的數(shù)據(jù)。雖然這零信任一術(shù)語可以追溯到近30年前，但只有35%受訪的安全部門領(lǐng)導(dǎo)者表示非常熟悉這種做法。盡管近年來安全事件頻發(fā)，仍有同樣比例的受訪者對他們的零信任能力非常有信心。

 有一個脫節(jié)的情況。根據(jù)我們的經(jīng)驗，雖然企業(yè)對零信任的興趣正在增長，但許多安全部門的領(lǐng)導(dǎo)者似乎對如何正確實施它感到困惑。很多人認(rèn)為只需采用新產(chǎn)品或升級舊產(chǎn)品即可解決問題。事實上，真正需要的是更好地理解什么是零信任安全——它如何結(jié)合產(chǎn)品、流程和人員來保護關(guān)鍵任務(wù)的企業(yè)資產(chǎn)。

 零信任的概念很簡單：“永不信任，始終驗證”。對于已經(jīng)習(xí)慣于順暢和輕松地訪問信息的用戶來說，這可能有些苛刻，不過它的確是一個合理的政策。我們更喜歡使用“互相懷疑”這個詞，它也有類似的意思。這實際上意味著，“這是我；向我證明你是誰。”

 在某種程度上，這種做法以及這個術(shù)語都已經(jīng)有一定的年頭了，可以追溯到小型計算機和大型機的年代。這一切都是為了實現(xiàn)良好的數(shù)字衛(wèi)生。那什么改變了呢？我們的環(huán)境發(fā)生了變化和擴展。現(xiàn)在，隨著云、邊緣設(shè)備和數(shù)據(jù)中心為網(wǎng)絡(luò)攻擊暴露了更多的端點，企業(yè)不得不依靠防火墻以外的東西來阻止入侵者。

 組織需要使其流程、人員以及產(chǎn)品保持一致，以實現(xiàn)真正的零信任。

 產(chǎn)品是簡單直接的。從本質(zhì)上講，組織需要的是一整套能夠驗證身份、位置和設(shè)備健康狀況的安全技術(shù)，目標(biāo)是最小化攻擊半徑并限制分段訪問。雖然沒有單一的產(chǎn)品或平臺可以實現(xiàn)所有這些目標(biāo)，但成功的零信任計劃將包含身份管理、多因素身份驗證和最低權(quán)限訪問等要素。

 讓員工參與進來

零信任技術(shù)可用于覆蓋所有攻擊面并保護組織，但如果沒有使用它們的人，它們就毫無意義。因此，將公司的成功和安全與員工的成功和安全聯(lián)系起來至關(guān)重要。這意味著優(yōu)先考慮透明的文化、開放的溝通、對流程的信任以及對彼此行事能力的信心。

 為了在企業(yè)文化中成功實施零信任技術(shù)，組織需要讓員工參與這一過程。僅僅只是推出一個自上而下的任務(wù)，然后期望它會自動成功，這是不可行的。提醒員工現(xiàn)在正發(fā)生什么，實施零信任的過程需要什么，零信任如何影響和惠及員工自身以及公司，需要注意什么，以及他們可以如何支持零信任的過程。

 通過讓員工參與進來，并挑戰(zhàn)他們對潛在威脅的合理懷疑，雇主正在他們的組織架構(gòu)中播下安全的種子。一旦員工了解了正在發(fā)生的事情和零信任的價值，他們會感到被信任，以及有權(quán)成為更廣泛的網(wǎng)絡(luò)安全網(wǎng)絡(luò)的一部分。這使員工能夠主動積極地識別企業(yè)面臨的內(nèi)部和外部威脅，從而覆蓋所有攻擊面，并培養(yǎng)良好的安全衛(wèi)生。

 重新評估流程

零信任安全需要對整個組織流程進行大改造。 

組織可以采取的最重要的措施之一是定義和評估其數(shù)據(jù)安全環(huán)境的各個方面。這包括確定組織中所有非結(jié)構(gòu)化數(shù)據(jù)存儲在哪里，特定的數(shù)據(jù)存儲有何種業(yè)務(wù)目的，誰可以訪問這些數(shù)據(jù)以及已經(jīng)實施了什么樣的安全控制類型。全面的權(quán)限評估將有助于指導(dǎo)制定一個全面的訪問管理政策。有些資產(chǎn)需要零信任保護，有些則不需要。所有連接到網(wǎng)絡(luò)的設(shè)備都需要被考慮到，以便它們能夠抵御外部的網(wǎng)絡(luò)釣魚攻擊。

 在零信任環(huán)境中，可以幫助組織的一項關(guān)鍵技術(shù)機制是不變性——創(chuàng)建不可修改或刪除的數(shù)據(jù)副本。這可以確保組織不會丟失數(shù)據(jù)或讓數(shù)據(jù)落入壞人之手。

 一個被忽視的實踐是為整個組織確定一個通用的零信任框架。因為讓團隊在一個接一個的項目上解釋令人困惑的慣例或重新定義“零信任”的含義，這一點好處都沒有。

 最后，也許也是最重要的，組織需要重新評估和修改組織的零信任流程。這就像去健身房：鍛煉成為了一種生活方式，積極鍛煉的人一直在調(diào)整他們的鍛煉方式。安全方面也是如此，零信任是一個持續(xù)的過程，它沒有結(jié)束的時候。

 保持靈活性

隨著時間的推移，網(wǎng)絡(luò)威脅版圖將繼續(xù)演變。采取零信任方法的組織需要繼續(xù)制定全面的計劃，然后不斷修改他們的技術(shù)、流程和人員實踐以滿足未來的需求。