此外,根据微软公司发布的另一份报告,尽管76%的企业已经开始实施零信任策略,35%的企业声称已经完全实施,但那些声称已经完全实施的企业承认,他们还没有在所有安全风险领域和组件上稳定地实现零信任。
虽然这些看起来是微不足道的疏忽,但它们可以显著增加企业面临的风险。IBM公司最近在一份调查报告中指出,80%的关键基础设施企业没有采用零信任策略,与采用零信任策略的企业相比,这些企业的平均数据泄露成本增加了117万美元。
虚假的零信任承诺和供应商的行话
企业在采用零信任过程中的错误之处的最重要原因之一是,许多软件供应商的产品营销误导了他们,不仅是关于零信任是什么,而且是关于如何应用它,以及某些产品是否可以实现零信任。
在通常情况下,这些营销实践欺骗了首席信息安全官和安全领导者,让他们认为可以购买零信任产品。
Gartner公司高级分析师CharlieWinckless表示:“很多人在零信任方面犯了一些错误。首先,可能也是最常见的错误,就是将零信任作为可以购买的东西,这种情况是由于许多供应商在他们的营销中使用这个术语,不管它是否适用于产品。”
尽管如此,Winckless指出,企业可以购买一些合适的解决方案来为零信任架构奠定基础,例如零信任网络接入(ZTNA)和微分段产品。
与此同时,Winckless警告企业不要落入这样的陷阱:在软件供应商的要求下,试图在细粒度的级别应用零信任。
Winckless说:“第二点是试图将过多的安全性转化为零信任。从根本上来说,Gartner公司认为零信任是用自适应的显性信任来取代隐性信任。如果投入太多,那么就不可能取得好效果。”
远离急功近利的心态
零信任采纳的现实是,它是一个过程,而不是目的地。实现零信任没有快速解决方案,因为它是一种安全方法,旨在在整个环境中持续应用以控制用户访问。
Veridium公司首席运营官BaberAmin表示:“那些错误地获得零信任的企业是那些寻求快速解决方案或灵丹妙药的企业。他们也倾向于寻找一套产品来获得零信任。他们不理解或不想承认零信任是一种战略,是一种信息安全模式。”
Amin补充说:“产品可以而且确实有助于实现零信任,但它们需要正确使用。这就像买了最昂贵的锁,如果大门本身没有得到适当加固,,就不会起任何作用。”
Amin还指出,除了将零信任战略与产品混淆之外,企业还会犯一些其他最常见的错误。
这些错误包括:
未能定义适当的访问控制策略来执行最小特权原则(PoLP)。
未能实现多因素身份验证。
未能对数据进行分类和分段。
影子IT缺乏透明度。
忽视用户体验
要构建一个成功的零信任策略,安全团队必须能够做更多的工作,而不仅仅是持续地对用户和设备进行身份验证。他们还必须在进行身份验证之后监控这些用户和设备;细分他们的网络;并实现跨内部部署和云计算环境的控制,以确保在应用程序级别访问数据的安全。
过度依赖传统基础设施
实现零信任的过程往往说起来容易做起来难,因为许多企业都在具有过时且不灵活的传统基础设施的环境中运行,这使得快速管理用户访问变得更加困难。
过度依赖传统基础设施是零信任采用的一个众所周知的障碍。例如,一项针对300名IT和项目经理进行的调查发现,58%的受访者表示,实现零信任的最大挑战是重建或替换现有的传统基础设施。
因此,采用零信任不仅意味着实现新的安全控制并在整个环境中应用最小特权原则,还意味着进行数字化转型和替换传统基础设施。
Token公司安全工程师CharlesMedina说:“传统上,在采用‘安全优先’的环境时,企业通常落后,并坚持采用传统模式,以降低CIAM/IAM基础设施的成本,并确保用户在访问站点、文件等时不会进行额外的身份验证,这可能会导致糟糕的用户体验或降低整体生产效率。”
企业需要部署新工具以实现零信任旅程,还需要确保他们正在培训员工如何有效地使用新解决方案。
Medina说:“最糟糕的情况是,企业部署了功能强大的工具,帮助推行零信任模式,但由于成本原因没有接受适当部署的培训,或者根本没有认真对待环境。”
缺乏行政协调
最后,实现有效数字化转型所必需的采购依赖于首席信息安全官和安全领导者的能力,即零信任采纳不仅是一个安全问题,也是一个业务问题。
如果首席信息安全官要替换传统基础设施和应用程序,则需要其他关键利益相关者的支持。毕竟,如果没有在数字化转型方面的重大投资,安全团队将无法实现基本的访问控制和身份验证模型来管理和监控用户访问。
毕马威公司全球网络安全实践负责人AkhileshTuteja表示:“部署是一个循序渐进的过程,首先要制定一项与业务相关的战略,并建立一个治理框架,让利益相关者参与到变革计划中来——不仅仅是首席信息官和首席信息安全官团队,还有那些可能受到实施影响的业务部门。”
首席信息安全官强调零信任的潜在成本节约至关重要。例如,他们可能会强调Forrester公司的研究,该研究说明了采用微软公司零信任解决方案的企业如何产生92%的投资回报率,并将数据泄露的几率降低50%。这可能有助于为投资零信任控制提供商业理由。
然而,即使得到其他关键利益相关者的支持,零信任也不是一次性的努力,而是一个持续的过程。
Tuteja说:“在这个过程的每个阶段,都有可能出现失误和许多意外。很少有企业了解他们的IT产业,并且非常了解各种系统和应用程序如何交互。当实现隔离和新的访问控制时,就会出现问题。人们将会发现意想不到的依赖关系,以及令人惊讶的数据流和长期被遗忘的应用程序。”
持续改进
无论企业在零信任的过程中走了多远,首席信息安全官和安全领导者都可以将零信任视为一个持续的过程,并致力于对该过程进行渐进式改进,从而减少出错的机会。
采取简单的步骤,例如列出需要保护的资产清单,然后部署身份和访问管理(IAM)和特权访问管理(PAM),可以帮助企业建立零信任,并培养持续改进的文化心态。