零信任是一种安全范例,它明确识别用户和设备,并允许他们以最小的摩擦进行访问,同时仍然降低风险。零信任要求组织考虑最小特权访问、资源敏感性和数据机密性。
编者按:本文来自 Gartner 副总裁分析师 John Watts。
在降低环境风险方面,大多数组织将零信任视为首要任务。然而,对于许多组织而言,整个组织的大规模零信任尚未成为现实。
(资料图片)
零信任是一种安全范例,它明确识别用户和设备,并允许他们以最小的摩擦进行访问,同时仍然降低风险。零信任要求组织考虑最小特权访问、资源敏感性和数据机密性。
这些概念并不新鲜。过去,许多团队都曾尝试实施最低特权访问控制,但在扩大控制范围和增加控制粒度时遇到了挑战。
零信任也不能避免这些问题。组织必须提前计划并投资于人员和资源以在零信任的情况下取得成功,而不是将其视为一次性的、一刀切的答案来保护他们的组织。
要启动零信任实施,组织可以在着手更广泛的零信任技术实施之前先定义战略和基线。
为组织量身定制零信任策略并将其与最适合缓解的攻击类型(例如恶意软件的横向移动)相结合非常重要。
零信任不会通过一种技术来实现,而是通过多种不同组件的集成来实现。
大多数组织将实施零信任作为安全的起点
Gartner 预测,到 2025 年,超过 60% 的组织将把零信任作为安全的起点。然而,超过一半的组织将无法实现这些好处——启动零信任需要的不仅仅是技术。
由于围绕零信任的营销压力和炒作,安全领导者不知所措,努力将技术现实转化为商业利益。
有一种普遍的误解认为“零信任”是指没有人被信任,但事实并非如此。相反,零信任指的是只信任所需的“正确”数量。安全领导者必须了解零信任将保护他们和他们的组织免受任何可能发生的疏忽。
当谈到在组织内成功启动零信任时,网络安全领导者绝不能试图仅通过技术控制来执行零信任计划。零信任不是技术优先的努力,而是思维方式和安全方法的转变。
一旦理解了这一点,网络安全领导者就需要得到高管的支持和支持。这种支持将展示零信任如何支持新的业务方法和更具弹性的环境,从而实现更大的灵活性。
未能获得这种支持将使零信任计划面临风险。
网络安全领导者必须接受可能出现的复杂性和临时冗余。安全团队将在一种新的、精细的方法下运作,但仍然需要旧的控制。新旧控件之间可能存在相互冲突的目标。这些必须协调一致并不断审查以避免冲突。
随着组织从零信任的炒作变成现实,安全领导者必须将他们的注意力从技术和营销信息转移到零信任的文化和安全计划。安全领导者可以通过设定符合可管理性和安全目标的现实目标来为成功做好准备。
根据所需的业务成果(例如降低风险、更好的最终用户体验或提高灵活性)定位零信任计划,以对零信任计划的范围和影响设定切合实际的期望。
更多组织正在实施零信任计划,但需要可衡量性
目前,大多数组织都处于零信任之旅的早期阶段。虽然组织对零信任的承诺感到兴奋,但很少有人关注其实施后的现实。
在零信任之旅中走得更远的组织在实施和维护最低特权访问方面遇到了障碍。为帮助避免这些障碍,投资资源以隔离并遵守最低特权访问策略以实施控制。投资这些资源将在实施后保持零信任态势。
Gartner 预测,到 2026 年,10% 的大型企业将拥有成熟且可衡量的零信任计划,而目前这一比例还不到 1%。
零信任战略必须由关于组织愿意在网络安全方面进行多少投资以及从投资中获得多少收益的业务决策驱动。随着组织改进将网络安全解释为一项商业投资,零信任努力变得不那么战术化。
今天没有衡量零信任成熟度的通用标准,但是现有的成熟度模型是一个有用的起点。
例如,美国联邦政府网络安全和基础设施安全局 (CISA) 发布了零信任成熟度模型设计,以协助美国联邦机构制定零信任战略和实施计划。
使用此策略将跟踪组织内部零信任目标的进展情况。优先考虑此行动计划,而不是采用来自成熟度模型的相对基准评估,因为由于范围和预期结果的差异,这些基准可能无法在组织之间进行比较。
在零信任的情况下从理论转向实践是一项挑战。在没有制定策略的情况下很容易陷入部署点零信任解决方案的陷阱。稳健的战略势在必行,也是超越营销噪音以确保成功实施零信任的唯一途径。