零信任是企業(yè)保護(hù)系統(tǒng)免受網(wǎng)絡(luò)攻擊的黃金標(biāo)準(zhǔn)，但企業(yè)必須避免許多常見(jiàn)的實(shí)施陷阱。零信任策略是指任何人都不能在未經(jīng)驗(yàn)證的情況下使用企業(yè)的數(shù)字資源。這不僅涉及進(jìn)入系統(tǒng)時(shí)的驗(yàn)證，還涉及個(gè)人在系統(tǒng)內(nèi)移動(dòng)時(shí)的驗(yàn)證。

之所以需要這樣一個(gè)嚴(yán)格的制度，是因?yàn)槿绻W(wǎng)絡(luò)罪犯或自動(dòng)代理一旦進(jìn)入系統(tǒng)，就沒(méi)有驗(yàn)證檢查，他們可能會(huì)破壞系統(tǒng)并在系統(tǒng)內(nèi)自由移動(dòng)。因此，零信任已經(jīng)成為當(dāng)今企業(yè)環(huán)境中網(wǎng)絡(luò)安全的黃金標(biāo)準(zhǔn)。

實(shí)施零信任需要對(duì)整個(gè)技術(shù)資產(chǎn)進(jìn)行徹底檢查。該企業(yè)需要識(shí)別其技術(shù)和人力方面的弱點(diǎn)，并找出如何最好地填補(bǔ)漏洞。這應(yīng)該在對(duì)日常工作量的干擾最小的情況下進(jìn)行，并理解零信任不是一次性的解決方案，而是一個(gè)不斷發(fā)展的想法。

然而，實(shí)施這樣的制度并非沒(méi)有潛在的陷阱和痛點(diǎn)。這是一個(gè)耗時(shí)且復(fù)雜的過(guò)程，需要來(lái)自整個(gè)企業(yè)的許多角色以及外部專業(yè)知識(shí)的投入。

1、未能超越企業(yè)網(wǎng)絡(luò)

當(dāng)混合工作成為常態(tài)時(shí)，人們將使用各種方式的工作地點(diǎn)，包括他們的家庭和公共網(wǎng)絡(luò)。一切都是攻擊面的一部分，企業(yè)不應(yīng)該信任任何東西。每個(gè)端點(diǎn)都是一個(gè)潛在的漏洞。

這還包括可能位于網(wǎng)絡(luò)外部的設(shè)備，例如打印機(jī)、安全攝像頭和其他物聯(lián)網(wǎng)(IoT)設(shè)備。

在工作開(kāi)始之前，需要對(duì)設(shè)備進(jìn)行全面審核，并制定保護(hù)每臺(tái)設(shè)備的策略，并確保每臺(tái)設(shè)備根據(jù)需要定期更新。

2、實(shí)施零信任過(guò)快

實(shí)施零信任方法可能需要對(duì)技術(shù)以及人們開(kāi)展日常業(yè)務(wù)的方式進(jìn)行重大改變。走得太快，很容易出錯(cuò)。在實(shí)施時(shí)或以后，單個(gè)設(shè)備或應(yīng)用可能會(huì)成為漏網(wǎng)之魚(yú)。

確保所有硬件和軟件，都是最新的并經(jīng)過(guò)修補(bǔ)是零信任的核心方面。確保每一件硬件和軟件都是已知的，并且其安全性可以隨時(shí)優(yōu)化，這需要時(shí)間。重要的是從一開(kāi)始就分配足夠的時(shí)間來(lái)管理一切，并制定流程來(lái)確保現(xiàn)有和新的收購(gòu)能夠得到滿足。

3、忽略最低權(quán)限訪問(wèn)原則

最低權(quán)限訪問(wèn)是指確保用戶僅具有最低權(quán)限級(jí)別，來(lái)執(zhí)行他們需要執(zhí)行操作的策略。它旨在嚴(yán)格控制對(duì)資源的訪問(wèn)，并防止通過(guò)系統(tǒng)進(jìn)行的那種對(duì)不良行為者最有幫助的大規(guī)模訪問(wèn)。

然而，它可能難以實(shí)施，尤其是在多云環(huán)境中，數(shù)據(jù)和應(yīng)用由不同的提供商托管，每個(gè)提供商都有不同的策略和安全協(xié)議。最終，預(yù)算、可用時(shí)間和純粹的工作量可能意味著內(nèi)部團(tuán)隊(duì)分配的權(quán)限超出了必要范圍。

使用一類稱為權(quán)限管理或云基礎(chǔ)設(shè)施權(quán)限管理的軟件，可以集中管理對(duì)多種軟件、系統(tǒng)、設(shè)備和云平臺(tái)的訪問(wèn)。

4、未能以用戶為中心

一個(gè)企業(yè)的員工并不是唯一需要與之合作的利益相關(guān)者。也可能有承包商、供應(yīng)商、采購(gòu)商、交付合作伙伴等。向用戶介紹新的協(xié)議、需要跳過(guò)的障礙和流程，而不了解這些是否被視為障礙可能會(huì)引起不滿，并助長(zhǎng)不合規(guī)策略。圍繞安全協(xié)議工作的用戶是制造風(fēng)險(xiǎn)的用戶。

關(guān)于如何實(shí)現(xiàn)遵守安全協(xié)議的高質(zhì)量用戶教育，只是解決方案的一部分。人們還必須了解為什么需要某些行為，并對(duì)任何所需的行動(dòng)或方法感到滿意。在整個(gè)企業(yè)內(nèi)創(chuàng)建“安全文化”需要時(shí)間、精力和領(lǐng)導(dǎo)力，包括首席執(zhí)行官、高級(jí)管理人員和經(jīng)理。

5、假設(shè)默認(rèn)購(gòu)買(mǎi)零信任

每個(gè)企業(yè)都是不同的，它的技術(shù)設(shè)置將是獨(dú)一無(wú)二的。人們使用技術(shù)的方式也會(huì)有所不同。它的員工工作地點(diǎn)也會(huì)有所不同，包括在辦公室、遠(yuǎn)程或混合、一個(gè)城市、設(shè)有國(guó)家辦事處或跨國(guó)企業(yè)。

雖然某些原則和方法適用于零信任，但它們?cè)谌魏我粋€(gè)企業(yè)中的實(shí)施都是獨(dú)一無(wú)二的。簡(jiǎn)單地去找供應(yīng)商，并期望他們?cè)跊](méi)有任何投入的情況下做所有事情是一種謬論。

企業(yè)需要投入自己的人力資源與供應(yīng)商一起工作，并了解零信任的實(shí)施需要時(shí)間，這是一個(gè)持續(xù)的過(guò)程。

由于網(wǎng)絡(luò)攻擊絲毫沒(méi)有放緩的跡象，而且各種規(guī)模和所有市場(chǎng)中的企業(yè)都可能容易受到攻擊，因此保護(hù)數(shù)據(jù)和網(wǎng)絡(luò)至關(guān)重要。對(duì)這一挑戰(zhàn)采取零碎的方法已經(jīng)不夠了。零信任方法可以幫助企業(yè)實(shí)施基于風(fēng)險(xiǎn)的數(shù)據(jù)安全策略。它并非沒(méi)有陷阱，企業(yè)應(yīng)該意識(shí)到這些陷阱，并愿意投入所需的時(shí)間和精力來(lái)解決這些陷阱。