CyberRisk Alliance最近的一項研究揭示了一些關于零信任安全的驚人的數據。雖然這零信任一術語可以追溯到近30年前，但只有35%受訪的安全部門領導者表示非常熟悉這種做法。盡管近年來安全事件頻發，仍有同樣比例的受訪者對他們的零信任能力非常有信心。

 有一個脫節的情況。根據我們的經驗，雖然企業對零信任的興趣正在增長，但許多安全部門的領導者似乎對如何正確實施它感到困惑。很多人認為只需采用新產品或升級舊產品即可解決問題。事實上，真正需要的是更好地理解什么是零信任安全——它如何結合產品、流程和人員來保護關鍵任務的企業資產。

 零信任的概念很簡單：“永不信任，始終驗證”。對于已經習慣于順暢和輕松地訪問信息的用戶來說，這可能有些苛刻，不過它的確是一個合理的政策。我們更喜歡使用“互相懷疑”這個詞，它也有類似的意思。這實際上意味著，“這是我；向我證明你是誰。”

 在某種程度上，這種做法以及這個術語都已經有一定的年頭了，可以追溯到小型計算機和大型機的年代。這一切都是為了實現良好的數字衛生。那什么改變了呢？我們的環境發生了變化和擴展。現在，隨著云、邊緣設備和數據中心為網絡攻擊暴露了更多的端點，企業不得不依靠防火墻以外的東西來阻止入侵者。

 組織需要使其流程、人員以及產品保持一致，以實現真正的零信任。

 產品是簡單直接的。從本質上講，組織需要的是一整套能夠驗證身份、位置和設備健康狀況的安全技術，目標是最小化攻擊半徑并限制分段訪問。雖然沒有單一的產品或平臺可以實現所有這些目標，但成功的零信任計劃將包含身份管理、多因素身份驗證和最低權限訪問等要素。

 讓員工參與進來

零信任技術可用于覆蓋所有攻擊面并保護組織，但如果沒有使用它們的人，它們就毫無意義。因此，將公司的成功和安全與員工的成功和安全聯系起來至關重要。這意味著優先考慮透明的文化、開放的溝通、對流程的信任以及對彼此行事能力的信心。

 為了在企業文化中成功實施零信任技術，組織需要讓員工參與這一過程。僅僅只是推出一個自上而下的任務，然后期望它會自動成功，這是不可行的。提醒員工現在正發生什么，實施零信任的過程需要什么，零信任如何影響和惠及員工自身以及公司，需要注意什么，以及他們可以如何支持零信任的過程。

 通過讓員工參與進來，并挑戰他們對潛在威脅的合理懷疑，雇主正在他們的組織架構中播下安全的種子。一旦員工了解了正在發生的事情和零信任的價值，他們會感到被信任，以及有權成為更廣泛的網絡安全網絡的一部分。這使員工能夠主動積極地識別企業面臨的內部和外部威脅，從而覆蓋所有攻擊面，并培養良好的安全衛生。

 重新評估流程

零信任安全需要對整個組織流程進行大改造。 

組織可以采取的最重要的措施之一是定義和評估其數據安全環境的各個方面。這包括確定組織中所有非結構化數據存儲在哪里，特定的數據存儲有何種業務目的，誰可以訪問這些數據以及已經實施了什么樣的安全控制類型。全面的權限評估將有助于指導制定一個全面的訪問管理政策。有些資產需要零信任保護，有些則不需要。所有連接到網絡的設備都需要被考慮到，以便它們能夠抵御外部的網絡釣魚攻擊。

 在零信任環境中，可以幫助組織的一項關鍵技術機制是不變性——創建不可修改或刪除的數據副本。這可以確保組織不會丟失數據或讓數據落入壞人之手。

 一個被忽視的實踐是為整個組織確定一個通用的零信任框架。因為讓團隊在一個接一個的項目上解釋令人困惑的慣例或重新定義“零信任”的含義，這一點好處都沒有。

 最后，也許也是最重要的，組織需要重新評估和修改組織的零信任流程。這就像去健身房：鍛煉成為了一種生活方式，積極鍛煉的人一直在調整他們的鍛煉方式。安全方面也是如此，零信任是一個持續的過程，它沒有結束的時候。

 保持靈活性

隨著時間的推移，網絡威脅版圖將繼續演變。采取零信任方法的組織需要繼續制定全面的計劃，然后不斷修改他們的技術、流程和人員實踐以滿足未來的需求。