零信任已经从概念走向梦想
发布时间:2023-08-02 14:33:29 所属栏目:安全 来源:
导读:大多数组织在努力减少环境中存在的风险水平时把实现零信任看作关键问题之一,但目前仍有很多公司未能在全企业范围内实施大规模零信任的方法。
零信任是一种安全范例,它明确识别用户和设备,并允许他们以最小的摩
零信任是一种安全范例,它明确识别用户和设备,并允许他们以最小的摩
|
大多数组织在努力减少环境中存在的风险水平时把实现零信任看作关键问题之一,但目前仍有很多公司未能在全企业范围内实施大规模零信任的方法。 零信任是一种安全范例,它明确识别用户和设备,并允许他们以最小的摩擦进行访问,同时仍然降低风险。零信任要求组织考虑最小特权访问、资源敏感性和数据机密性。 这些概念并不新鲜。过去,许多团队都曾尝试实施最低特权访问控制,但在扩大控制范围和增加控制粒度时遇到了挑战。 零信任也不能避免这些问题。组织必须提前计划并投资于人员和资源以在零信任的情况下取得成功,而不是将其视为一次性的、一刀切的答案来保护他们的组织。 要启动零信任实施,组织可以在着手更广泛的零信任技术实施之前先定义战略和基线。 为组织量身定制零信任策略并将其与最适合缓解的攻击类型(例如恶意软件的横向移动)相结合非常重要。 零信任不会通过一种技术来实现,而是通过多种不同组件的集成来实现。 大多数组织将实施零信任作为安全的起点 Gartner 预测,到 2025 年,超过 60% 的组织将把零信任作为安全的起点。然而,超过一半的组织将无法实现这些好处—启动零信任需要的不仅仅是技术。 由于围绕零信任的营销压力和炒作,安全领导者 不知所措,努力将技术现实转化为商业利益。 有一种普遍的误解,认为“零信任”是指没有人被信任,但事实并非如此。相反,零信任指的是只信任所需的“正确”数量。安全领导者必须了解零信任将保护他们和他们的组织免受任何可能发生的疏忽。 当谈到在组织内成功启动零信任时,网络安全领导者绝不能试图仅通过技术控制来执行零信任计划。零信任不是技术优先的努力,而是思维方式和安全方法的转变。 一旦理解了这一点,网络安全领导者就需要得到高管的支持和支持。这种支持将展示零信任如何支持新的业务方法和更具弹性的环境,从而实现更大的灵活性。 未能获得这种支持将使零信任计划面临风险。 网络安全领导者必须接受可能出现的复杂性和临时冗余。安全团队将在一种新的、精细的方法下运作,但仍然需要旧的控制。新旧控件之间可能存在相互冲突的目标。这些必须协调一致并不断审查以避免冲突。 随着组织从零信任的炒作变成现实,安全领导者必须将他们的注意力从技术和营销信息转移到零信任的文化和安全计划。安全领导者可以通过设定符合可管理性和安全目标的现实目标来为成功做好准备。 根据所需的业务成果(例如降低风险、更好的最终用户体验或提高灵活性)定位零信任计划,以对零信任计划的范围和影响设定切合实际的期望。 更多组织正在实施零信任计划,但需要可衡量性 当前绝大多数机构都在进行着初步的信任归零尝试。尽管大家对于建立新秩序和重新分配权力的前景十分憧憬,但却鲜有人在实践过程中探究其中的难点。 在零信任之旅中走得更远的组织在实施和维护最低特权访问方面遇到了障碍。为帮助避免这些障碍,投资资源以隔离并遵守最低特权访问策略以实施控制。投资这些资源将在实施后保持零信任态势。 Gartner 预测,到 2026 年,10% 的大型企业将拥有成熟且可衡量的零信任计划,而目前这一比例还不到 1%。 零信任战略必须由关于组织愿意在网络安全方面进行多少投资以及从投资中获得多少收益的业务决策驱动。随着组织改进将网络安全解释为一项商业投资,零信任努力变得不那么战术化。 今天没有衡量零信任成熟度的通用标准,但是现有的成熟度模型是一个有用的起点。 例如,美国联邦政府网络安全和基础设施安全局 (CISA) 发布了零信任成熟度模型 设计,以协助美国联邦机构制定零信任战略和实施计划。 使用此策略将跟踪组织内部零信任目标的进展情况。优先考虑此行动计划,而不是采用来自成熟度模型的相对基准评估,因为由于范围和预期结果的差异,这些基准可能无法在组织之间进行比较。然而,如果您希望使用这些数据,则可以使用此行动计划。 (编辑:聊城站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
推荐文章
站长推荐
