采取零信任并不是抵御網絡攻擊的萬無一失的方法。攻擊者不斷地尋找新的方法來繞過零信任，這種情況經常發生，因為在使用零信任時并沒有考慮到企業環境中的所有東西，被忽視的風險包括遺留系統、未受監控的物聯網設備或特權訪問濫用。

零信任是一種網絡安全范例——實際上是一種哲學——在這種范例中，每一個用戶、每一臺設備、每一條消息都被認為是不可信的，除非有其他證明，這是對舊的基于邊界的方法的替代，在這種方法中，外部的東西是不可信的，而企業網絡內部的東西自動被認為是值得信任的，換句話說，企業有一個堅硬的外殼和一個柔軟而粘稠的中心。

在這個邊界無處不在的時代，員工在家和在辦公室的可能性一樣大，計算資源分散在多個數據中心、云和其他第三方，舊的方法不再起作用，零信任是這個問題的現代答案，所有人都上船了。根據Okta 2022年發布的一項針對700家公司的調查，55%的企業已經實施了零信任計劃，高于2021年的24%，97%的企業計劃在未來12至18個月內實施零信任計劃。

零信任不是靈丹妙藥，根據Gartner的預測，到2026年，超過一半的網絡攻擊將針對零信任沒有覆蓋和無法防范的領域。“零信任有兩個大問題，一個是范圍，比如遺留技術，或影子IT，第二個大問題是，有一些攻擊繞過了零信任控制。

企業在部署零信任方面進展緩慢

根據3月份發布的一項針對美國400名IT和網絡安全專業人士的網絡安全內部調查，只有19%的企業已經實施了零信任。與此同時，30%的人表示項目正在進行中，38%的人表示仍處于規劃階段。這些估計可能過于樂觀了。根據Gartner的數據，只有不到1%的企業擁有成熟且可衡量的零信任計劃，到2026年將只有10%的企業會有這樣的計劃。

即使零信任已經推出，也并不意味著所有的安全問題都得到了解決。零信任有幾個盲點，包括不是為零信任而設計的遺留系統、做不應該做的事情的特權用戶、不受監控的物聯網設備、第三方系統，當然，還有持續存在的變化管理問題。

僅靠零信任不能保護企業的5個領域

1、遺留系統

并不是所有的系統和應用程序都可以輕松地更新為零信任原則。例如，許多遺留系統就是不具備所需的條件。保險經紀公司PIB Group成立僅七年，但自那以來已收購了92家其他公司，其中大多數是其他保險公司。員工人數從12人增加到3500人。CISO杰森·奧津告訴記者：“我們正在收購很多平臺，這些平臺都是由他們的堂兄編寫的，他們的堂兄去了另一份工作，沒有適當地支持他們。”

Ozin說，即使是公司目前的人力資源系統也不支持零信任。它甚至不會支持雙因素[身份驗證]。它將支持用戶名和密碼。它將支持IP白名單。但當每個人都在家里或其他遠程地點工作時，IP白名單并不是很有用。

該公司即將改用新的人力資源系統，但其他系統無法快速更換。在它們出現之前，Ozin已經有了一個變通辦法。“我們所能做的就是用零信任的包裝來包裝它。你會被認證的。你是從我們認識的地方來的嗎?你用的是雙因素嗎?“。一旦處理了身份驗證，包裝器才會將流量傳遞到遺留系統。遺留系統--例如當前的人力資源系統--將檢查IP地址，以確保它來自零信任平臺。Ozin說，一些遺留系統太糟糕了，他們甚至沒有用戶名和密碼。“但除非通過看門人，否則沒有人能進入。”

大流行是轉向零信任的主要動機，該公司的快速增長也是如此，盡管當PIB開始推出零信任時，大流行已經結束。“我的計劃是擺脫我們擁有的每一個遺留系統，”Ozin說。但在現實中，這永遠不會發生。六年后，如果我還在經營它，我不會感到驚訝。

但升級所有東西都需要資源和資金。“我們已經決定從某些高風險的項目開始，”他說。

2、物聯網設備

Ozin說，企業中有大量的物聯網設備，“我有我甚至不知道的物聯網。”這是一個問題，特別是當當地辦公室決定在沒有事先與任何人交談的情況下安裝門禁系統時。“他們正在安裝，那個人說，‘我能拿到網絡的WiFi接入密鑰嗎?’有人可能會把它給他們。“奧津說。

在對所有WiFi網關沒有零信任的情況下，該公司正在使用一種變通辦法--對無法訪問任何公司數據的未經批準的設備使用單獨的網絡。PIB也有適當的工具，讓他們進行審計，以確保只有經過批準的設備才能連接到主網絡。

Gartner的瓦茨也認為，物聯網和OT可能會給公司帶來安全挑戰。“對于那些設備和系統來說，實施零信任的姿態更加困難。他們對身份的保證較少。如果沒有用戶，那么就沒有用戶賬戶，他說。“沒有好的方法來驗證網絡上是否應該有東西。這成了一個很難解決的問題。

瓦茨說，一些公司會將物聯網和OT排除在零信任范圍之外，因為它們無法解決這個問題。然而，他說，一些供應商將幫助公司確保這些系統的安全。事實上，Gartner已經發布了一份保護網絡物理系統安全的市場指南，其中包括Armis、Claroty和Dragos。但一旦你實施了這些技術，你就必須對供應商給予更多信任。如果他們有自己的漏洞和挑戰，攻擊者就會找到弱點，“瓦茨告訴記者。

3、特權訪問

內部人威脅風險是所有公司都面臨的問題。在特權內部人員可能擁有訪問敏感資源的有效權限的情況下，零信任將無濟于事，因為該員工是受信任的。

Ozin說，其他技術可以降低風險。“某人可能擁有所有的特權，但他們會在凌晨3點突然出現在互聯網上嗎?”你可以把行為分析放在零信任旁邊，以捕捉到這一點。我們使用它作為EDR[端點檢測和響應]的一部分，并作為我們Okta登錄的一部分。我們還有一個防止數據丟失的計劃--他們是不是在通常不打印任何東西的情況下進行60頁的打印?

Gartner的瓦茨表示，在實施零信任控制后，內部威脅是一個主要的殘余風險。此外，受信任的內部人士可能會被社會工程欺騙，泄露數據或允許攻擊者進入系統。他表示：“在一個完美的零信任世界里，仍然存在的兩個風險是內部威脅和賬戶接管攻擊。”

然后是商業電子郵件泄露，有權獲得公司資金的人被愚弄，將資金發送給壞人。瓦茨說：“商業電子郵件的泄密可能是一種深深的虛假，它會打電話給企業的一名成員，讓他們把錢匯到另一個賬戶。”“而這一切實際上都沒有觸及到你的任何零信任控制。”為了解決這一問題，公司應該限制用戶訪問，以便在他們受到攻擊時將損害降至最低。他表示：“有了特權賬戶，這很難做到。”用戶和實體行為分析可幫助檢測內部威脅和帳戶接管攻擊。關鍵是智能地部署這項技術，這樣誤報就不會阻止某人完全履行他們的職責。

例如，異常活動可能觸發自適應控制，如將訪問權限更改為只讀，或阻止訪問最敏感的應用程序。公司需要確保他們不會給太多的用戶太多的訪問權限。這不僅僅是一個技術問題。你必須有人和流程來支持它。

根據網絡安全內部人士的調查，47%的人表示，當涉及到部署零信任時，過度特權的員工訪問是最大的挑戰。此外，10%的公司表示，所有用戶的訪問權限都超過了他們的需要，79%的公司表示部分或少數用戶這樣做，只有9%的公司表示沒有用戶訪問權限太多。代表BeyondTrust進行的一項Dimensional Research研究發現，63%的公司報告在過去18個月中遇到過與特權用戶或憑據直接相關的身份問題。

4、第三方服務

CloudFactory是一家AI數據公司，擁有600名員工和8000名按需“云工人”。該公司安全運營負責人肖恩·格林告訴記者，該公司完全采用了零信任。“我們必須這么做，因為我們支持的用戶數量太多了。”

格林說，遠程員工使用谷歌身份驗證登錄，公司可以通過該身份驗證應用其安全策略，但存在差距。一些關鍵的第三方服務提供商不支持單點登錄或安全斷言標記語言集成。因此，員工可以使用自己的用戶名和密碼從未經批準的設備登錄，他說。“那么就沒有什么能阻止他們走出我們的視線。”格林說，技術供應商意識到這是一個問題，但他們落后了，他們需要加快步伐。

CloudFactory并不是唯一一家在這方面有問題的公司，但供應商的安全問題不僅僅是供應商使用的身份驗證機制。例如，許多公司通過API將其系統暴露給第三方。在確定零信任部署的范圍時，很容易忽略API。

瓦茨說，你可以采用零信任原則，并將其應用于API。這可以帶來更好的安全態勢--但只能在一定程度上。“您只能控制您公開并提供給第三方的接口。如果第三方沒有很好的控制，這是你通常無法控制的事情。當第三方創建的應用程序允許他們的用戶訪問他們的數據時，客戶端的身份驗證可能會成為一個問題。“如果它不是非常強大，有人可能會竊取會話令牌，”瓦茨說。

公司可以審計其第三方提供商，但審計通常是一次性檢查或臨時執行。另一種選擇是部署分析，這種分析可以檢測正在做的事情何時未獲批準。它提供了檢測異常事件的能力。瓦茨說，被利用的API中的一個缺陷可能會表現為一個這樣的異常事件。

5、新技術和新應用

根據Beyond Identity今年對美國500多名網絡安全專業人士的調查，48%的受訪者表示，處理新申請是實現零信任的第三大挑戰。添加新的應用程序并不是公司可能想要對其系統進行的唯一更改。全球咨詢公司AArete的技術解決方案部門董事總經理約翰·凱里表示，一些公司一直在努力改善流程和溝通流程。這與數據信任的概念不符，后者為數據的自由流動設置了障礙。

凱里說，這意味著如果零信任沒有得到正確的實施或架構，可能會對生產率造成打擊。這種情況可能發生的一個領域是AI項目。公司有越來越多的選擇來創建特定于其業務的定制的、微調的AI模型，包括最近的AIGC。

AI擁有的信息越多，它就越有用。有了AI，你希望它可以訪問一切。這就是AI的目的，但如果它被攻破，你就有問題了。如果它開始泄露你不想要的東西，那就是一個問題。“科技咨詢公司Star的技術總監馬丁·菲克斯告訴記者。

Fix說，現在有了一種新的攻擊媒介，稱為“即時黑客”，惡意用戶試圖通過巧妙地措辭他們提出的問題來欺騙AI告訴他們更多不應該告訴他們的信息。他說，一種解決方案是避免對一般用途的AI機構進行敏感信息方面的培訓。取而代之的是，這些數據可以保持獨立，并建立一個訪問控制系統，檢查提出問題的用戶是否被允許訪問這些數據。“結果可能不如不受控制的AI。這需要更多的資源和更多的管理。

這里的根本問題是，零信任改變了公司的運作方式。“安全廠商說這很容易。只要在你的人進來的地方增加一些邊緣安全就行了。不，這并不容易，零信任的復雜性才剛剛開始顯現。“畢馬威的美國零信任負責人迪帕克·馬圖爾告訴記者。這是零信任從未提及的一大缺陷，他說。當公司實施零信任技術時，必須發生一些流程變化。相反，很多時候，人們理所當然地認為人們會修復流程。