零信赖在企业中的五个盲点

采取零信赖并不是抵御网络攻打的十拿九稳的方法。攻打者不时地寻觅新的方法来绕过零信赖，这种状况经常出现，由于在经常使用零信赖时并没有思考到企业环境中的一切物品，被漠视的危险包含遗留系统、未受监控的物联网设备或特权访问滥用。

零信赖是一种网络安保范例——实践上是一种哲学——在这种范例中，每一个用户、每一台设备、每一条信息都被以为是无法信的，除非有其余证实，这是对旧的基于边界的方法的代替，在这种方法中，外部的物品是无法信的，而企业网络外部的物品智能被以为是值得信赖的，换句话说，企业有一个安全的外壳和一个柔软而稀薄的中心。

在这个边界无处不在的时代，员工在家和在办公室的或者性一样大，计算资源扩散在多个数据中心、云和其余第三方，旧的方法不再起作用，零信赖是这个疑问的现代答案，一切人都上船了。依据Okta2022年颁布的一项针对700家公司的考查，55%的企业曾经实施了零信赖方案，高于2021年的24%，97%的企业方案在未来12至18个月内实施零信赖方案。

零信赖不是灵丹妙药，依据Gartner的预测，到2026年，超越一半的网络攻打将针对零信赖没有笼罩和无法防范的畛域。“零信赖有两个大疑问，一个是范围，比如遗留技术，或影子IT，第二个大疑问是，有一些攻打绕过了零信赖控制。

企业在部署零信赖方面停顿缓慢

依据3月份颁布的一项针对美国名IT和网络安保专业人士的网络安保外部考查，只要19%的企业曾经实施了零信赖。与此同时，30%的人示意名目正在启动中，38%的人示意仍处于布局阶段。这些预计或者过于失望了。依据Gartner的数据，只要不到1%的企业领有成熟且可权衡的零信赖方案，到2026年将只要10%的企业会有这样的方案。

即使零信赖曾经推出，也并不象征着一切的安保疑问都获取了处置。零信赖有几个盲点，包含不是为零信赖而设计的遗留系统、做不应该做的事情的特权用户、不受监控的物联网设备、第三方系统，当然，还有继续存在的变动治理疑问。

仅靠零信赖不能包全企业的5个畛域

1、遗留系统

并不是一切的系统和运行程序都可以轻松地更新为零信赖准则。例如，许多遗留系统就是不具有所需的条件。保险经纪公司PIBGroup成立仅七年，但自那以来已收买了92家其余公司，其中大少数是其余保险公司。员工人数从12人参与到3500人。CISO杰森·奥津通知记者：“咱们正在收买很多平台，这些平台都是由他们的堂兄编写的，他们的堂兄去了另一份上班，没有适外地支持他们。”

Ozin说，即使是公司目前的人力资源系统也不支持零信赖。它甚至不会支持双要素[身份验证]。它将支持用户名和明码。它将支持IP白名单。但当每团体都在家里或其余远程地点上班时，IP白名单并不是很有用。

该公司行将改用新的人力资源系统，但其余系统无法极速改换。在它们出现之前，Ozin曾经有了一个变通方法。“咱们所能做的就是用零信赖的包装来包装它。你会被认证的。你是从咱们看法的中央来的吗?你用的是双要素吗?“。一旦处置了身份验证，包装器才会将流量传递到遗留系统。遗留系统--例如的人力资源系统--将审核IP地址，以确保它来自零信赖平台。Ozin说，一些遗留系统太蹩脚了，他们甚至没有用户名和明码。“但除非经过看门人，否则没有人能进入。”

大盛行是转向零信赖的关键动机，该公司的极速增长也是如此，虽然当PIB开局推出零信赖时，大盛行曾经完结。“我的方案是解脱咱们领有的每一个遗留系统，”Ozin说。但无理想中，这永远不会出现。六年后，假设我还在运营它，我不会感到惊讶。

但更新一切物品都须要资源和资金。“咱们曾经选择从某些高危险的名目开局，”他说。

2、物联网设备

Ozin说，企业中有少量的物联网设备，“我有我甚至不知道的物联网。”这是一个疑问，特意是当外地办公室选择在没有事前与任何人交谈的状况下装置门禁系统时。“他们正在装置，那团体说，‘我能拿到网络的WiFi接入密钥吗?’有人或者会把它给他们。“奥津说。

在对一切WiFi网关没有零信赖的状况下，该公司正在经常使用一种变通方法--对无法访问任何公司数据的未经同意的设备经常使用独自的网络。PIB也有适当的工具，让他们启动审计，以确保只要经过同意的设备才干衔接到主网络。

Gartner的瓦茨也以为，物联网和OT或者会给公司带来安保应战。“关于那些设备和系统来说，实施零信赖的姿态愈加艰难。他们对身份的保证较少。假设没有用户，那么就没有用户账户，他说。“没有好的方法来验证网络上能否应该有物品。这成了一个很难处置的疑问。

瓦茨说，一些公司会将物联网和OT扫除在零信赖范围之外，由于它们无法处置这个疑问。但是，他说，一些供应商将协助公司确保这些系统的安保。理想上，Gartner曾经颁布了一份包全网络物理系统安保的市场指南，其中包含Armis、Claroty和Dragos。但一旦你实施了这些技术，你就必定对供应商给予更多信赖。假设他们有自己的破绽和应战，攻打者就会找到弱点，“瓦茨通知记者。

3、特权访问

外部人要挟危险是一切公司都面临的疑问。在特权外部人员或者领有访问敏感资源的有效权限的状况下，零信赖将无济于事，由于该员工是受信赖的。

Ozin说，其余技术可以降落危险。“某人或者领有一切的特权，但他们会在清晨3点突然出如今互联网上吗?”你可以把行为剖析放在零信赖旁边，以捕捉到这一点。咱们经常使用它作为EDR[端点检测和照应]的一局部，并作为咱们Okta登录的一局部。咱们还有一个防止数据失落的方案--他们是不是在通常不打印任何物品的状况下启动60页的打印?

Gartner的瓦茨示意，在实施零信赖控制后，外部要挟是一个关键的剩余危险。此外，受信赖的外部人士或者会被社会工程诈骗，暴露数据或准许攻打者进入系统。他示意：“在一个完美的零信赖环球里，依然存在的两个危险是外部要挟和账户接收攻打。”

而后是商业电子邮件暴露，有权取得公司资金的人被捉弄，将资金发送给好人。瓦茨说：“商业电子邮件的泄密或者是一种深深的虚伪，它会打电话给企业的一名成员，让他们把钱汇到另一个账户。”“而这一实际践上都没有触及到你的任何零信赖控制。”为了处置这一疑问，公司应该限度用户访问，以便在他们遭到攻打时将侵害降至最低。他示意：“有了特权账户，这很难做到。”用户和实体行为剖析可协助检测外部要挟和帐户接收攻打。关键是智能地部署这项技术，这样误报就不会阻止某人齐全实行他们的职责。

例如，意外优惠或者触发自顺应控制，如将访问权限更改为只读，或阻止访问最敏感的运行程序。公司须要确保他们不会给太多的用户太多的访问权限。这不只仅是一个技术疑问。你必定有人和流程来支持它。

依据网络安保外部人士的考查，47%的人示意，当触及到部署零信赖时，适度特权的员工访问是最大的应战。此外，10%的公司示意，一切用户的访问权限都超越了他们的须要，79%的公司示意局部或少数用户这样做，只要9%的公司示意没有用户访问权限太多。代表BeyondTrust启动的一项DimensionalResearch钻研发现，63%的公司报告在过去18个月中遇到过与特权用户或凭据间接关系的身份疑问。

4、第三方服务

CloudFactory是一家AI数据公司，领有600名员工和8000名按需“云工人”。该公司安保运营担任人肖恩·格林通知记者，该公司齐全驳回了零信赖。“咱们必定这么做，由于咱们支持的用户数量太多了。”

格林说，远程员工经常使用谷歌身份验证登录，公司可以经过该身份验证运行其安保战略，但存在差距。一些关键的第三方服务提供商不支持单点登录或安保断言标志言语集成。因此，员工可以经常使用自己的用户名和明码从未经同意的设备登录，他说。“那么就没有什么能阻止他们走出咱们的眼帘。”格林说，技术供应商看法到这是一个疑问，但他们落后了，他们须要加慢步调。

CloudFactory并不是惟逐一家在这方面有疑问的公司，但供应商的安保疑问不只仅是供应商经常使用的身份验证机制。例如，许多公司经过API将其系统暴露给第三方。在确定零信赖部署的范围时，很容易疏忽API。

瓦茨说，你可以驳回零信赖准则，并将其运行于API。这可以带来更好的安保态势--但只能在必定水平上。“您只能控制您地下并提供应第三方的接口。假设第三方没有很好的控制，这是你通常无法控制的事情。当第三方创立的运行程序准许他们的用户访问他们的数据时，客户端的身份验证或者会成为一个疑问。“假设它不是十分弱小，有人或者会窃取会话令牌，”瓦茨说。

公司可以审计其第三方提供商，但审计通常是一次性性审核或暂时口头。另一种选用是部署剖析，这种剖析可以检测正在做的事情何时未获同意。它提供了检测意外事情的才干。瓦茨说，被应用的API中的一个毛病或者会体现为一个这样的意外事情。

5、新技术和新运行

依据BeyondIdentity往年对美国500多名网络安保专业人士的考查，48%的受访者示意，处置新放开是成功零信赖的第三大应战。参与新的运行程序并不是公司或者想要对其系统启动的惟一更改。环球咨询公司AArete的技术处置方案部门董事总经理约翰·凯里示意，一些公司不时在致力改善流程和沟通流程。这与数据信赖的概念不符，后者为数据的自在流动设置了阻碍。

凯里说，这象征着假设零信赖没有获取正确的实施或架构，或者会抵消费率形成打击。这种状况或者出现的一个畛域是AI名目。公司有越来越多的选用来创立特定于其业务的定制的、微调的AI模型，包含最近的AIGC。

AI领有的信息越多，它就越有用。有了AI，你宿愿它可以访问一切。这就是AI的目标，但假设它被攻破，你就有疑问了。假设它开局暴露你不想要的物品，那就是一个疑问。“科技咨询公司Star的技术总监马丁·菲克斯通知记者。

Fix说，如今有了一种新的攻打媒介，称为“即时黑客”，恶意用户试图经过奇妙地措辞他们提出的疑问来诈骗AI通知他们更多不应该通知他们的信息。他说，一种处置方案是防止对普通用途的AI机构启动敏感信息方面的培训。取而代之的是，这些数据可以坚持独立，并树立一个访问控制系统，审核提出疑问的用户能否被准许访问这些数据。“结果或者不如不受控制的AI。这须要更多的资源和更多的治理。

这里的基本疑问是，零信赖扭转了公司的运作模式。“安保厂商说这很容易。只需在你的人出去的中央参与一些边缘安保就行了。不，这并不容易，零信赖的复杂性才刚刚开局浮现。“毕马威的美国零信赖担任人迪帕克·马图尔通知记者。这是零信赖从未提及的一大毛病，他说。当公司实施零信赖技术时，必定出现一些流程变动。相反，很多时刻，人们天经地义地以为人们会修复流程。