导致零信任建设失败的五个因素
source link: https://www.51cto.com/article/754507.html
Go to the source link to view the article. You can view the picture content, updated content and better typesetting reading experience. If the link is broken, please click the button below to view the snapshot at that time.
导致零信任建设失败的五个因素
随着企业数字化转型的发展,零信任安全模型和理念已被企业组织的CISO们广泛接受,但是实现它的过程却并不容易,尤其是对一些中小型企业组织,零信任项目落地失败的案例已经屡见不鲜。对于企业而言,现在的问题不在于是否应用零信任技术,而是如何避免其中的陷阱和失败。日前,科技媒体ITPro梳理总结了导致零信任项目建设失败的5个常见因素,希望能够帮助企业在开启零信任应用之旅时少走弯路。
1、 缺乏对终端设备的全面管理
目前,远程化、移动化已成为企业办公模式的新常态,这也扩大了企业数字化系统的攻击面,每一个连接到网络的终端设备都可能含有潜在的漏洞,特别是那些位于传统网络之外的设备,比如打印机、安全摄像头及其他物联网设备。很多组织在建设应用零信任时,并没有对所有的终端设备进行全面的审计,也没有为不同类型设备制定专门的保护策略,所以无法确保每个设备根据防护需要定期更新。
Gartner 研究人员认为,企业在应用零信任方案时,需要充分评估方案对异构终端的统一管理能力。强有力的终端安全防护将为企业零信任架构的落地打好基础。同时,零信任建设并不是对传统安全技术的抛弃,而是一种新的替换或者组合。企业在开展零信任项目建设时,应该将现有的NAC、EPP、EDR、DLP、IAM等安全能力整合到新的架构,实现传统安全能力与零信任的无缝融合。
2、急于求成,实施过快
零信任建设不是一蹴而就的工作,而是一种需要不断优化发展的创新安全理念,也是一个持续性的过程。实施零信任的前提是需要对网络上的所有资产进行测绘和发现,并在此基础上识别技术和人员等方面的安全漏洞,这样才能清楚如何最有效地堵住漏洞。而且,资产梳理和发现的工作应该在确保日常工作不受干扰的情况下进行。
企业在开展零信任安全建设时,需要对传统安全防护技术以及运营流程进行重大改变,此时如果步子迈得过大,会非常容易出错。零信任建设的一个基本要求是要确保所有软硬件都是最新版本、打上补丁,而确保对每个软硬件都已摸清底细并能够随时优化安全需要花费一定的时间。因此,零信任建设需要一开始就分配足够的时间来管理一切,并制定流程,以确保对所有的系统和应用都能够有效管理和覆盖。
3、忽视最低特权访问原则
零信任安全是风险和信任之间的平衡状态,对于不同的风险级别,授予不同信任程度,分配不同的权限。在零信任架构中,没有绝对的可信或不可信。因此,零信任项目建设有一个不得不提的特定原则——最小化授权访问,要确保所有类型的用户仅拥有执行工作所需的最低权限级别这一策略。其目的是严格控制对资源的访问,防止系统中出现可被非法利用的特权用户账号。
然而对于一些特权账号用户而言,最小化授权可能很难做到,尤其在多云环境下,数据和应用程序往往由不同的服务商托管运营,每家提供商都有不同的策略和安全规程,这就意味着内部团队难免会分配过高的特权。安全专家建议企业使用授权管理或云基础设施授权管理这类软件,集中管理对多个软件、系统、设备和云平台的授权访问。
4、未得到所有用户的广泛认同与支持
如果零信任安全建设完成以后,企业员工的安全意识却没有同步提升,这项技术的应用效果将难以充分发挥。企业应该向所有用户展示新的规程、要求和流程。而很多失败的零信任案例表明,一些利益相关者将零信任项目视为便捷开展数字化业务的障碍,并引发了大量的不满情绪,这样无疑会助长违规现象。那些试图规避零信任安全制度的用户将给项目成功应用带来风险。
因此,企业要向每一个用户清楚地讲明零信任项目的背景和目标,让他们可以真正理解为什么某些监控行为是必需的。安全团队也要在整个组织范围中打造积极的“零信任安全文化”,让项目建设得到公司管理层、业务部门和所有相关用户的支持。
5、以通用的方案开展零信任建设
大多数供应商都声称可提供完整的零信任安全解决方案,但事实上没有哪款产品能做到。每家企业的零信任应用需求都不一样:技术环境会不一样,使用技术的方式不一样,工作地点的分布也不一样。因此,任何一家组织的零信任实施方案都不相同。如果不能清晰了解自身的零信任建设需求,并以此开展建设,零信任项目自然难以取得成功。
零信任是一种理念,成功的零信任安全项目大都从身份管理、多因子身份验证和最低权限访问等角度入手,逐步建设完善。目前零信任技术仍在快速发展完善,持续了解零信任技术和解决方案的特点对于长期保护建设投资也很重要。
Recommend
-
57
新浪科技讯北京时间7月16日消息,据国外媒体报道,目前,心理学家们正在试图搞明白为什么我们拖延睡眠时间,即使当我们希望睡觉,最新研究显示,自我控制、人体生物钟和睡眠类型对于睡前拖延症具有重要影响。你应该知道睡前拖延症这种感觉,尽管天气已晚,
-
37
一 前言 不管是开发同学还是DBA,想必大家都遇到慢查询(select,update,insert,delete 语句慢),影响业务稳定性。这里说的 慢 ,有两个含义一是 比正常的慢 ,有可能正常执行时间是10ms,异...
-
17
点击 蓝字 关注我们 根据定义,零信任安全模型提倡创建区域和分段来控制敏感的IT...
-
16
未来五个因素可能会影响比特币走势
-
6
实施零信任网络访问的五个优秀实践-51CTO.COM 实施零信任网络访问的五个优秀实践 作者:安全牛 2022-03-15 13:09:21 Gartner分析师最近列出了早期采用者给出的五个优秀实践供企业借鉴,这些经验...
-
7
如何让游戏中的随机因素重新赢得玩家信任BTCWan3小时前1507随机性的魔力自古代文明以来,对随机性的着迷一直是我们社会和娱乐机制的一部...
-
5
影响零信任实施失败的三大因素 作者:Michal Cizek 2023-02-03 14:16:17 安全 对零信任的重新审视表明,它并不一定那么复杂。事实上...
-
4
创新安全技术应用评估的五个关键因素 2023-05-25 13:56:58 很多企业已经在网络安全能力建设中投入了大量的资金和资源,因此,在部署应用创新网络安全技术的同时,需要尽可能利用好现有的技术和运营体系。
-
8
选择数据中心位置时需要考虑的五个因素 2023-08-02 16:14:31 如果有一个简单的公式来选择理想的数据中心位置,那就太好了。在现实中,有太多的因素需要权衡,有太多的考虑因素在不同的组织中优先级不同。为您的数...
-
3
零信任网络基础设施的五个关键步骤 2023-10-13 10:17:04 零信任方法要求对设备进行验证,即使它们之前已获得网络许可。 现在,我们在个人和专业环境中使用物联网 (IoT) 连接的设备比以往任何时候都多。 一般来说...
About Joyk
Aggregate valuable and interesting links.
Joyk means Joy of geeK