隨著網(wǎng)絡威脅態(tài)勢的不斷演變，許多企業(yè)組織開始采用零信任架構來保護數(shù)字化發(fā)展的安全。然而，SANS研究所最新發(fā)布的《2024年零信任安全應用建設指南》報告認為，要真正實現(xiàn)零信任安全的價值并不容易，當組織在整個數(shù)字環(huán)境中實施端到端的零信任原則時，經(jīng)常會出現(xiàn)以下錯誤：

1.對零信任技術應用的誤解

  零信任理念的核心思想是“永不信任，持續(xù)驗證”，這讓許多組織的IT團隊產(chǎn)生誤解，實現(xiàn)零信任將是一項艱巨的任務，不僅需要花費數(shù)十萬美元的投入，還會對當前業(yè)務葉童的高效運行造成干擾甚至破壞。因此，很多組織盡管明白零信任的重要性和價值，但在實施零信任時顧慮重重。報告認為，企業(yè)首先需要全面、真實理解零信任架構是什么樣子，在積極推進零信任項目的落地實施。

2.忽視組織文化的重要性

報告認為，“有效的零信任項目實施必須由人員、流程和技術共同驅動?！币虼?，零信任建設并不僅僅是技術上的優(yōu)化升級，它要求組織的安全文化和管理制度發(fā)生根本性的改變。在零信任架構下，企業(yè)管理者必須使安全與公司整體發(fā)展戰(zhàn)略、業(yè)務運營和財務優(yōu)先事項保持一致。如果不能從一開始就確保利益相關者的參與，零信任項目實施注定要失敗。

3.低估人的風險

研究發(fā)現(xiàn)，很多企業(yè)將零信任安全建設的重點放在了對外部訪問的安全控制，然而在現(xiàn)代企業(yè)組織中，由于內部員工的錯誤和疏忽所造成的數(shù)據(jù)泄露占比達到80%以上，而混合工作環(huán)境進一步模糊了個人和公司辦公環(huán)境之間的界限，增加了監(jiān)控用戶活動的復雜性。零信任架構是抵御人為風險的重要防線，因此在建設過程中，不能僅關注如何控制外部風險，還必須對內部用戶行為實施持續(xù)監(jiān)控和實時評估，才可以真正有效地降低這些風險。

4.忽視供應鏈安全風險

軟件供應鏈攻擊正成為一種常見的非法獲取商業(yè)信息的犯罪形式。根據(jù)Gartner最新預測數(shù)據(jù)顯示，到2025年，全球45%的企業(yè)組織都會面臨或遭遇供應鏈攻擊威脅。零信任原則需要通過確保持續(xù)的驗證和更深入地了解用戶活動，幫助限制第三方系統(tǒng)中的漏洞影響。但是在實際的零信任項目中，這一點往往會被企業(yè)所忽視。

5.沒有提前做好持續(xù)的建設規(guī)劃

實施零信任是一項長期的工作，需要不斷改進和適應。報告認為，從實際效果來看，持續(xù)推進零信任的建設比一次性徹底改造IT環(huán)境要好得多。研究人員也特別強調了持續(xù)變革組織當前管理實踐的重要性，有效變革管理確保利益相關者認同，促進用戶采用，最大程度地減少中斷，促進持續(xù)改進，并增強協(xié)作。

6.對實施效果的度量不足

衡量零信任框架的有效性對于獲取所有利益方的支持至關重要。如果對零信任實施效果的度量不足，將難以向組織管理層和業(yè)務部門體現(xiàn)零信任建設的價值與必要性。報告建議了一些指標，包括身份驗證成功率、策略合規(guī)率以及檢測和響應事件的時間。這些指標清楚地顯示了框架的影響，并突出了需要改進的地方。

原文鏈接：https://www.darkreading.com/application-security/top-5-mistakes-businesses-make-when-implementing-zero-trust