2022年時間6月6日，RSA Conference 2022在舊金山召開。本屆RSAC的主題為“Transform(轉(zhuǎn)型)”，被認為是RSAC 2021年主題“彈性”的進一步延伸和拓展。轉(zhuǎn)型在當下，是很多企業(yè)不得不面對的問題，像云計算、物聯(lián)網(wǎng)、移動辦公等新技術(shù)與業(yè)務(wù)的加速融合，讓傳統(tǒng)網(wǎng)絡(luò)邊界逐漸變得模糊，小至企業(yè)之彈性，大至行業(yè)之轉(zhuǎn)型，網(wǎng)絡(luò)安全產(chǎn)業(yè)正處于變革之中，傳統(tǒng)邊界防護手段已不足以有效應(yīng)對新時代的威脅與挑戰(zhàn)。

在此背景下，以“從不信任、始終驗證”為核心原則的零信任概念應(yīng)運而生，并迅速成為熱門話題。很多企業(yè)高管將考慮開展零信任安全策略，因為他們希望零信任安全策略的實施可以讓企業(yè)的安全建設(shè)取得明顯進展。根據(jù)云安全聯(lián)盟(CSA)的一項新調(diào)查，對80%的CxO技術(shù)領(lǐng)導(dǎo)者來說，零信任是企業(yè)的重要事項，77%的高管表示他們將增加對零信任安全建設(shè)的支出。

增加對零信任的投入對很多企業(yè)來說具有重大意義，超過五分之二的高管稱企業(yè)在零信任安全建設(shè)方面的預(yù)算增加了至少26%。

根據(jù)對來自對全球800多名IT和安全專業(yè)人士的調(diào)研，以及包括200多名C級高管的回答，隨著數(shù)字化轉(zhuǎn)型的推進、疫情期間勞動力的轉(zhuǎn)移以及美國網(wǎng)絡(luò)安全行政命令的宣布，零信任已成為保護企業(yè)的一道盾牌。該研究表明，對于大多數(shù)企業(yè)來說，零信任策略仍然是一個相對較新的網(wǎng)絡(luò)安全路線圖，53% 的企業(yè)表示他們開始實施零信任策略的時間還不到兩年。他們用來指導(dǎo)戰(zhàn)略規(guī)劃的標準五花八門，比如CISA、Forrester ZTX、IEEE、NIST和CSA等。其中的領(lǐng)跑者要數(shù)CISA標準，有33%的企業(yè)報告說他們使用的正是CISA的標注作為他們的零信任戰(zhàn)略指導(dǎo)。

零信任是一種不斷發(fā)展的安全模型，它將許多長期運行的安全概念(最小特權(quán)、基于風險因素的有條件訪問和隔離)聯(lián)系在一起——不僅在網(wǎng)絡(luò)級別，而且在應(yīng)用程序和工作負載級別。其核心概念是消除IT長期以來在用戶和設(shè)備使用密碼登錄后對網(wǎng)絡(luò)的無條件信任。

實施零信任的目的是用一種更具適應(yīng)性和持續(xù)評估的授予訪問權(quán)限的模式來代替它，該模式提供有限的訪問權(quán)限，并且不僅基于身份，還基于操作和威脅環(huán)境。執(zhí)行此操作需要很多部分，包括強大的身份和訪問管理 (IAM)、有效的網(wǎng)絡(luò)策略執(zhí)行、強大的數(shù)據(jù)安全性和有效的安全分析。很多企業(yè)在過去的安全建設(shè)中其實已經(jīng)有過對這些部分投入，而零信任策略只是重新整合和利用這些已經(jīng)投入過的資源。

因此，盡管許多企業(yè)表示他們開始零信任之旅才一兩年，但這項調(diào)查的受訪者表示，他們在終端/設(shè)備成熟度、應(yīng)用安全、IAM、數(shù)據(jù)流管理、網(wǎng)絡(luò)安全管理、用戶行為和資產(chǎn)管理等核心零信任領(lǐng)域已經(jīng)有一些經(jīng)驗了。

在執(zhí)行零信任策略時，基本策略、架構(gòu)和集成工作會將冒牌者與競爭者區(qū)分開來。RackTop系統(tǒng)公司的首席執(zhí)行官兼國防和金融領(lǐng)域的長期安全和技術(shù)從業(yè)者Eric Bednash表示，組織要想開展零信任之旅，他們必須先了解IT和安全堆棧如何結(jié)合?！斑@是關(guān)于從對企業(yè)整體架構(gòu)和業(yè)務(wù)流程的深入了解開始，你需要了解它們?nèi)绾温?lián)系在一起。它超越了任何單一元素。而且你還要記住，零信任不是一件具象化的東西，而是一種理念，“ 他說?！八袷且环N指導(dǎo)方針。而不是說，'這東西是零信任，這東西不是零信任。' 簡單來說，零信任是一種方法論，它沒有捷徑可走，這就是為什么它如此難以實施的原因?！?/p>

實施零信任策略需要高管的充分支持、足夠的專業(yè)知識和人員配備，以及明智的變革管理。根據(jù)CSA調(diào)查，40%的企業(yè)表示缺乏專業(yè)知識，34%的企業(yè)表示他們沒有內(nèi)部協(xié)調(diào)或得到支持，23%的企業(yè)表示抵制變革阻礙了前進的道路。專家表示要克服這些業(yè)務(wù)和流程障礙需要外交和有紀律的溝通?！盀榱擞行У毓芾碜兓阈枰_展行動并逐步的實施。你可能知道你想去哪里，你甚至可能已經(jīng)為你的網(wǎng)絡(luò)解決方案簽訂了合同，但不要一次實施所有事情”，Perimeter 81首席執(zhí)行官兼聯(lián)合創(chuàng)始人Amit Bareket說，“變革管理的藝術(shù)在于知道要實施多少——所以不要一次改變太多，但也不要無限期地拖延這個過程?！?/p>