零信任是企業保護系統免受網絡攻擊的黃金標準,但企業必須避免許多常見的實施陷阱。零信任策略是指任何人都不能在未經驗證的情況下使用企業的數字資源。這不僅涉及進入系統時的驗證,還涉及個人在系統內移動時的驗證。
之所以需要這樣一個嚴格的制度,是因為如果網絡罪犯或自動代理一旦進入系統,就沒有驗證檢查,他們可能會破壞系統并在系統內自由移動。因此,零信任已經成為當今企業環境中網絡安全的黃金標準。
實施零信任需要對整個技術資產進行徹底檢查。該企業需要識別其技術和人力方面的弱點,并找出如何最好地填補漏洞。這應該在對日常工作量的干擾最小的情況下進行,并理解零信任不是一次性的解決方案,而是一個不斷發展的想法。
然而,實施這樣的制度并非沒有潛在的陷阱和痛點。這是一個耗時且復雜的過程,需要來自整個企業的許多角色以及外部專業知識的投入。
1、未能超越企業網絡
當混合工作成為常態時,人們將使用各種方式的工作地點,包括他們的家庭和公共網絡。一切都是攻擊面的一部分,企業不應該信任任何東西。每個端點都是一個潛在的漏洞。
這還包括可能位于網絡外部的設備,例如打印機、安全攝像頭和其他物聯網(IoT)設備。
在工作開始之前,需要對設備進行全面審核,并制定保護每臺設備的策略,并確保每臺設備根據需要定期更新。
2、實施零信任過快
實施零信任方法可能需要對技術以及人們開展日常業務的方式進行重大改變。走得太快,很容易出錯。在實施時或以后,單個設備或應用可能會成為漏網之魚。
確保所有硬件和軟件,都是最新的并經過修補是零信任的核心方面。確保每一件硬件和軟件都是已知的,并且其安全性可以隨時優化,這需要時間。重要的是從一開始就分配足夠的時間來管理一切,并制定流程來確保現有和新的收購能夠得到滿足。
3、忽略最低權限訪問原則
最低權限訪問是指確保用戶僅具有最低權限級別,來執行他們需要執行操作的策略。它旨在嚴格控制對資源的訪問,并防止通過系統進行的那種對不良行為者最有幫助的大規模訪問。
然而,它可能難以實施,尤其是在多云環境中,數據和應用由不同的提供商托管,每個提供商都有不同的策略和安全協議。最終,預算、可用時間和純粹的工作量可能意味著內部團隊分配的權限超出了必要范圍。
使用一類稱為權限管理或云基礎設施權限管理的軟件,可以集中管理對多種軟件、系統、設備和云平臺的訪問。
4、未能以用戶為中心
一個企業的員工并不是唯一需要與之合作的利益相關者。也可能有承包商、供應商、采購商、交付合作伙伴等。向用戶介紹新的協議、需要跳過的障礙和流程,而不了解這些是否被視為障礙可能會引起不滿,并助長不合規策略。圍繞安全協議工作的用戶是制造風險的用戶。
關于如何實現遵守安全協議的高質量用戶教育,只是解決方案的一部分。人們還必須了解為什么需要某些行為,并對任何所需的行動或方法感到滿意。在整個企業內創建“安全文化”需要時間、精力和領導力,包括首席執行官、高級管理人員和經理。
5、假設默認購買零信任
每個企業都是不同的,它的技術設置將是獨一無二的。人們使用技術的方式也會有所不同。它的員工工作地點也會有所不同,包括在辦公室、遠程或混合、一個城市、設有國家辦事處或跨國企業。
雖然某些原則和方法適用于零信任,但它們在任何一個企業中的實施都是獨一無二的。簡單地去找供應商,并期望他們在沒有任何投入的情況下做所有事情是一種謬論。
企業需要投入自己的人力資源與供應商一起工作,并了解零信任的實施需要時間,這是一個持續的過程。
由于網絡攻擊絲毫沒有放緩的跡象,而且各種規模和所有市場中的企業都可能容易受到攻擊,因此保護數據和網絡至關重要。對這一挑戰采取零碎的方法已經不夠了。零信任方法可以幫助企業實施基于風險的數據安全策略。它并非沒有陷阱,企業應該意識到這些陷阱,并愿意投入所需的時間和精力來解決這些陷阱。
