為什么零信任策略會(huì)失敗

零信任是企業(yè)保護(hù)系統(tǒng)免受網(wǎng)絡(luò)攻擊的黃金標(biāo)準(zhǔn)，但企業(yè)必須避免許多常見的實(shí)施陷阱。零信任策略是指任何人都不能在未經(jīng)驗(yàn)證的情況下使用企業(yè)的數(shù)字資源。這不僅涉及進(jìn)入系統(tǒng)時(shí)的驗(yàn)證，還涉及個(gè)人在系統(tǒng)內(nèi)移動(dòng)時(shí)的驗(yàn)證。

之所以需要這樣一個(gè)嚴(yán)格的制度，是因?yàn)槿绻W(wǎng)絡(luò)罪犯或自動(dòng)代理一旦進(jìn)入系統(tǒng)，就沒有驗(yàn)證檢查，他們可能會(huì)破壞系統(tǒng)并在系統(tǒng)內(nèi)自由移動(dòng)。因此，零信任已經(jīng)成為當(dāng)今企業(yè)環(huán)境中網(wǎng)絡(luò)安全的黃金標(biāo)準(zhǔn)。

實(shí)施零信任需要對整個(gè)技術(shù)資產(chǎn)進(jìn)行徹底檢查。該企業(yè)需要識別其技術(shù)和人力方面的弱點(diǎn)，并找出如何最好地填補(bǔ)漏洞。這應(yīng)該在對日常工作量的干擾最小的情況下進(jìn)行，并理解零信任不是一次性的解決方案，而是一個(gè)不斷發(fā)展的想法。

然而，實(shí)施這樣的制度并非沒有潛在的陷阱和痛點(diǎn)。這是一個(gè)耗時(shí)且復(fù)雜的過程，需要來自整個(gè)企業(yè)的許多角色以及外部專業(yè)知識的投入。

1.未能超越企業(yè)網(wǎng)絡(luò)

當(dāng)混合工作成為常態(tài)時(shí)，人們將使用各種方式的工作地點(diǎn)，包括他們的家庭和公共網(wǎng)絡(luò)。一切都是攻擊面的一部分，企業(yè)不應(yīng)該信任任何東西。每個(gè)端點(diǎn)都是一個(gè)潛在的漏洞。

這還包括可能位于網(wǎng)絡(luò)外部的設(shè)備，例如打印機(jī)、安全攝像頭和其他物聯(lián)網(wǎng)(IoT)設(shè)備。

在工作開始之前，需要對設(shè)備進(jìn)行全面審核，并制定保護(hù)每臺設(shè)備的策略，并確保每臺設(shè)備根據(jù)需要定期更新。

2.實(shí)施零信任過快

實(shí)施零信任方法可能需要對技術(shù)以及人們開展日常業(yè)務(wù)的方式進(jìn)行重大改變。走得太快，很容易出錯(cuò)。在實(shí)施時(shí)或以后，單個(gè)設(shè)備或應(yīng)用可能會(huì)成為漏網(wǎng)之魚。

確保所有硬件和軟件，都是最新的并經(jīng)過修補(bǔ)是零信任的核心方面。確保每一件硬件和軟件都是已知的，并且其安全性可以隨時(shí)優(yōu)化，這需要時(shí)間。重要的是從一開始就分配足夠的時(shí)間來管理一切，并制定流程來確?，F(xiàn)有和新的收購能夠得到滿足。

3.忽略最低權(quán)限訪問原則

最低權(quán)限訪問是指確保用戶僅具有最低權(quán)限級別，來執(zhí)行他們需要執(zhí)行操作的策略。它旨在嚴(yán)格控制對資源的訪問，并防止通過系統(tǒng)進(jìn)行的那種對不良行為者最有幫助的大規(guī)模訪問。

然而，它可能難以實(shí)施，尤其是在多云環(huán)境中，數(shù)據(jù)和應(yīng)用由不同的提供商托管，每個(gè)提供商都有不同的策略和安全協(xié)議。最終，預(yù)算、可用時(shí)間和純粹的工作量可能意味著內(nèi)部團(tuán)隊(duì)分配的權(quán)限超出了必要范圍。

使用一類稱為權(quán)限管理或云基礎(chǔ)設(shè)施權(quán)限管理的軟件，可以集中管理對多種軟件、系統(tǒng)、設(shè)備和云平臺的訪問。

4.未能以用戶為中心

一個(gè)企業(yè)的員工并不是唯一需要與之合作的利益相關(guān)者。也可能有承包商、供應(yīng)商、采購商、交付合作伙伴等。向用戶介紹新的協(xié)議、需要跳過的障礙和流程，而不了解這些是否被視為障礙可能會(huì)引起不滿，并助長不合規(guī)策略。圍繞安全協(xié)議工作的用戶是制造風(fēng)險(xiǎn)的用戶。

關(guān)于如何實(shí)現(xiàn)遵守安全協(xié)議的高質(zhì)量用戶教育，只是解決方案的一部分。人們還必須了解為什么需要某些行為，并對任何所需的行動(dòng)或方法感到滿意。在整個(gè)企業(yè)內(nèi)創(chuàng)建“安全文化”需要時(shí)間、精力和領(lǐng)導(dǎo)力，包括首席執(zhí)行官、高級管理人員和經(jīng)理。

5.假設(shè)默認(rèn)購買零信任

每個(gè)企業(yè)都是不同的，它的技術(shù)設(shè)置將是獨(dú)一無二的。人們使用技術(shù)的方式也會(huì)有所不同。它的員工工作地點(diǎn)也會(huì)有所不同，包括在辦公室、遠(yuǎn)程或混合、一個(gè)城市、設(shè)有國家辦事處或跨國企業(yè)。

雖然某些原則和方法適用于零信任，但它們在任何一個(gè)企業(yè)中的實(shí)施都是獨(dú)一無二的。簡單地去找供應(yīng)商，并期望他們在沒有任何投入的情況下做所有事情是一種謬論。

企業(yè)需要投入自己的人力資源與供應(yīng)商一起工作，并了解零信任的實(shí)施需要時(shí)間，這是一個(gè)持續(xù)的過程。

由于網(wǎng)絡(luò)攻擊絲毫沒有放緩的跡象，而且各種規(guī)模和所有市場中的企業(yè)都可能容易受到攻擊，因此保護(hù)數(shù)據(jù)和網(wǎng)絡(luò)至關(guān)重要。對這一挑戰(zhàn)采取零碎的方法已經(jīng)不夠了。零信任方法可以幫助企業(yè)實(shí)施基于風(fēng)險(xiǎn)的數(shù)據(jù)安全策略。它并非沒有陷阱，企業(yè)應(yīng)該意識到這些陷阱，并愿意投入所需的時(shí)間和精力來解決這些陷阱。

生成海報(bào)

免責(zé)聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請進(jìn)一步核實(shí)，并對任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對有關(guān)資料所引致的錯(cuò)誤、不確或遺漏，概不負(fù)任何法律責(zé)任。任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí)，應(yīng)及時(shí)向本網(wǎng)站提出書面權(quán)利通知或不實(shí)情況說明，并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后，將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí)，溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。