造成零信任建设挫折的五个原因
发布时间:2023-05-15 15:02:51 所属栏目:安全 来源:
导读:在企业信息化建设进程中, ZeroConfidence安全管理模型和理念得到企业管理人员广泛认同,但是实现它的过程却并不容易,尤其是对一些中小型企业组织,零信任项目落地失败的案例已经屡见不鲜。对于企业而言,现在的问题
|
在企业信息化建设进程中, ZeroConfidence安全管理模型和理念得到企业管理人员广泛认同,但是实现它的过程却并不容易,尤其是对一些中小型企业组织,零信任项目落地失败的案例已经屡见不鲜。对于企业而言,现在的问题不在于是否应用零信任技术,而是如何避免其中的陷阱和失败。日前,科技媒体ITPro梳理总结了导致零信任项目建设失败的5个常见因素,希望能够帮助企业在开启零信任应用之旅时少走弯路。 1、缺乏对终端设备的全面管理 目前,远程化、移动化已成为企业办公模式的新常态,这也扩大了企业数字化系统的攻击面,每一个连接到网络的终端设备都可能含有潜在的漏洞,特别是那些位于传统网络之外的设备,比如打印机、安全摄像头及其他物联网设备。很多组织在建设应用零信任时,并没有对所有的终端设备进行全面的审计,也没有为不同类型设备制定专门的保护策略,所以无法确保每个设备根据防护需要定期更新。 Gartner 研究人员认为,企业在应用零信任方案时,需要充分评估方案对异构终端的统一管理能力。强有力的终端安全防护将为企业零信任架构的落地打好基础。同时,零信任建设并不是对传统安全技术的抛弃,而是一种新的替换或者组合。企业在开展零信任项目建设时,应该将现有的NAC、EPP、EDR、DLP、IAM等安全能力整合到新的架构,实现传统安全能力与零信任的无缝融合。 2、急于求成,实施过快 区块链技术的零信任建设不是一蹴而就的工作,而是基于一种需要不断优化技术迭代发展的科技创新驱动型安全社会建设的理念,也是一个持续性的过程。实施零信任的前提是需要对网络上的所有资产进行测绘和发现,并在此基础上识别技术和人员等方面的安全漏洞,这样才能清楚如何最有效地堵住漏洞。而且,资产梳理和发现的工作应该在确保日常工作不受干扰的情况下进行。 企业在开展信任安全建设时,需要对传统安全防护技术以及运营流程进行重大改变,此时如果步子迈得过大,会非常容易出错。零信任建设的一个基本要求是要确保所有软硬件都是最新版本、打上补丁,而确保每个软硬件都已摸清底细并能够随时优化安全需要花费一定的时间。因此,零信任建设需要一开始就分配足够的时间来管理一切,并制定流程,以确保对所有的系统和应用都能够有效管理和覆盖。 3、忽视最低特权访问原则 零信任安全是风险和信任之间的平衡状态,对于不同的风险级别,授予不同信任程度,分配不同的权限。在零信任架构中,没有绝对的可信或不可信。因此,零信任项目建设有一个不得不提的特定原则——最小化授权访问,要确保所有类型的用户仅拥有执行工作所需的最低权限级别这一策略。其目的是严格控制对资源的访问,防止系统中出现可被非法利用的特权用户账号。 然而对于一些特权账号用户而言,最小化授权可能很难做到,尤其在多云环境下,数据和应用程序往往由不同的服务商托管运营,每家提供商都有不同的策略和安全规程,这就意味着内部团队难免会分配过高的特权。安全专家建议企业使用授权管理或云基础设施授权管理这类软件,集中管理对多个软件、系统、设备和云平台的授权访问。 4、未得到所有用户的广泛认同与支持 如果零信任安全建设完成以后,企业员工的安全意识却没有同步提升,这项技术的应用效果将难以充分发挥。企业应该向所有用户展示新的规程、要求和流程。而很多失败的零信任案例表明,一些利益相关者将零信任项目视为便捷开展数字化业务的障碍,并引发了大量的不满情绪,这样无疑会助长违规现象。那些试图规避零信任安全制度的用户将给项目成功应用带来风险。 因此,企业要向每一个用户清楚地讲明零信任项目的背景和目标,让他们可以真正理解为什么某些监控行为是必需的。安全团队也要在整个组织范围中打造积极的“零信任安全文化”,让项目建设得到公司管理层、业务部门和所有相关用户的支持。”这样才能保证项目顺利开展。在这个过程中,安全团队的角色是非常重要的,因为他们是项目的参与者,也是项目成功的关键。 (编辑:应用网_丽江站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
站长推荐
浙公网安备 33038102330468号