SANS钻研所 企业在实施零信赖时常犯六种失误

随着网络要挟态势的始终演化，许多企业组织开局驳回零信赖架构来包全数字化开展的安保。但是，SANS钻研所最新颁布的《2024年零信赖安保运行树立指南》报告以为，要真正成功零信赖安保的价值并不容易，当组织在整个数字环境中实施端到端的零信赖准则时，经常会出现以下失误：

1.对零信赖技术运行的曲解

零信赖理念的外围现实是“永不信赖，继续验证”，这让许多组织的IT团队发生曲解，成功零信赖将是一项艰难的义务，不只须要破费数十万美元的投入，还会对业务叶童的高效运转形成搅扰甚至破坏。因此，很多组织虽然明确零信赖的关键性和价值，但在实施零信赖时公然不顾。报告以为，企业首先须要片面、实在了解零信赖架构是什么样子，在踊跃推动零信赖名目的落地实施。

2.漠视组织文明的关键性

报告以为，“有效的零信赖名目实施必定由人员、流程和技术独特驱动。”因此，零信赖树立并不只仅是技术上的提升更新，它要求组织的安保文明和控制制度出现基本色的扭转。在零信赖架构下，企业控制者必定使安保与公司全体开展战略、业务运营和财务优先事项坚持分歧。假设不能从一开局就确保利益关系者的介入，零信赖名目实施注定要失败。

3.低估人的危险

钻研发现，很多企业将零信赖安保树立的重点放在了对外部访问的安保控制，但是在现代企业组织中，由于外部员工的失误和疏忽所形成的数据暴露占比到达80%以上，而混合上班环境进一步含糊了团体和公司办公环境之间的界限，参与了监控用户优惠的复杂性。零信赖架构是抵御人为危险的关键防线，因此在树立环节中，不能仅关注如何控制外部危险，还必定对外部用户行为实施继续监控和实时评价，才可以真正有效地降落这些危险。

4.漠视供应链安保危险

软件供应链攻打正成为一种经常出现的合法失掉商业消息的立功方式。依据Gartner最新预测数据显示，到2025年，世界45%的企业组织都会面临或遭逢供应链攻打要挟。零信赖准则须要经过确保继续的验证和更深化地了解用户优惠，协助限度第三方系统中的破绽影响。但是在实践的零信赖名目中，这一点往往会被企业所漠视。

5.没有提早做好继续的树立规划

实施零信赖是一项常年的上班，须要始终改良和顺应。报告以为，从实践成果来看，继续推动零信赖的树立比一次性性彻底革新IT环境要好得多。钻研人员也特意强调了继续改革组织控制通常的关键性，有效改革控制确保利益关系者认同，促成用户驳回，最大水高山缩小终止，促成继续改良，并增强单干。

6.对实施成果的度量无余

权衡零信赖框架的有效性关于失掉所无利益方的允许至关关键。假设对零信赖实施成果的度量无余，将难以向组织控制层和业务部门表现零信赖树立的价值与必要性。报告倡导了一些目的，包含身份验证成功率、战略合规率以及检测和照应事情的期间。这些目的分明地显示了框架的影响，并突出了须要改良的中央。

原文链接：