根據日前發布的一份調查報告，84%的企業正在實施零信任策略，但59%的企業表示，他們沒有能力持續對用戶和設備進行身份驗證，并且在進行身份驗證后難以監控用戶。

此外，根據微軟公司發布的另一份報告，盡管76%的企業已經開始實施零信任策略，35%的企業聲稱已經完全實施，但那些聲稱已經完全實施的企業承認，他們還沒有在所有安全風險領域和組件上穩定地實現零信任。

雖然這些看起來是微不足道的疏忽，但它們可以顯著增加企業面臨的風險。IBM公司最近在一份調查報告中指出，80%的關鍵基礎設施企業沒有采用零信任策略，與采用零信任策略的企業相比，這些企業的平均數據泄露成本增加了117萬美元。

虛假的零信任承諾和供應商的行話

企業在采用零信任過程中的錯誤之處的最重要原因之一是，許多軟件供應商的產品營銷誤導了他們，不僅是關于零信任是什么，而且是關于如何應用它，以及某些產品是否可以實現零信任。

在通常情況下，這些營銷實踐欺騙了首席信息安全官和安全領導者，讓他們認為可以購買零信任產品。

Gartner公司高級分析師Charlie Winckless表示：“很多人在零信任方面犯了一些錯誤。首先，可能也是最常見的錯誤，就是將零信任作為可以購買的東西，這種情況是由于許多供應商在他們的營銷中使用這個術語，不管它是否適用于產品。”

盡管如此，Winckless指出，企業可以購買一些合適的解決方案來為零信任架構奠定基礎，例如零信任網絡接入(ZTNA)和微分段產品。

與此同時，Winckless警告企業不要落入這樣的陷阱：在軟件供應商的要求下，試圖在細粒度的級別應用零信任。

Winckless說：“第二點是試圖將過多的安全性轉化為零信任。從根本上來說，Gartner公司認為零信任是用自適應的顯性信任來取代隱性信任。如果投入太多，那么就不可能取得好效果。”

遠離急功近利的心態 

零信任采納的現實是，它是一個過程，而不是目的地。實現零信任沒有快速解決方案，因為它是一種安全方法，旨在在整個環境中持續應用以控制用戶訪問。

Veridium公司首席運營官Baber Amin表示：“那些錯誤地獲得零信任的企業是那些尋求快速解決方案或靈丹妙藥的企業。他們也傾向于尋找一套產品來獲得零信任。他們不理解或不想承認零信任是一種戰略，是一種信息安全模式。”

Amin補充說:“產品可以而且確實有助于實現零信任，但它們需要正確使用。這就像買了最昂貴的鎖，如果大門本身沒有得到適當加固，，就不會起任何作用。”

Amin還指出，除了將零信任戰略與產品混淆之外，企業還會犯一些其他最常見的錯誤。

這些錯誤包括：

• 未能定義適當的訪問控制策略來執行最小特權原則(PoLP)。
• 未能實現多因素身份驗證。
• 未能對數據進行分類和分段。
• 影子IT缺乏透明度。
• 忽視用戶體驗

要構建一個成功的零信任策略，安全團隊必須能夠做更多的工作，而不僅僅是持續地對用戶和設備進行身份驗證。他們還必須在進行身份驗證之后監控這些用戶和設備;細分他們的網絡;并實現跨內部部署和云計算環境的控制，以確保在應用程序級別訪問數據的安全。

過度依賴傳統基礎設施

實現零信任的過程往往說起來容易做起來難，因為許多企業都在具有過時且不靈活的傳統基礎設施的環境中運行，這使得快速管理用戶訪問變得更加困難。

過度依賴傳統基礎設施是零信任采用的一個眾所周知的障礙。例如，一項針對300名IT和項目經理進行的調查發現，58%的受訪者表示，實現零信任的最大挑戰是重建或替換現有的傳統基礎設施。

因此，采用零信任不僅意味著實現新的安全控制并在整個環境中應用最小特權原則，還意味著進行數字化轉型和替換傳統基礎設施。

Token公司安全工程師Charles Medina說：“傳統上，在采用‘安全優先’的環境時，企業通常落后，并堅持采用傳統模式，以降低CIAM/IAM基礎設施的成本，并確保用戶在訪問站點、文件等時不會進行額外的身份驗證，這可能會導致糟糕的用戶體驗或降低整體生產效率。”

企業需要部署新工具以實現零信任旅程，還需要確保他們正在培訓員工如何有效地使用新解決方案。

Medina說:“最糟糕的情況是，企業部署了功能強大的工具，幫助推行零信任模式，但由于成本原因沒有接受適當部署的培訓，或者根本沒有認真對待環境。”

缺乏行政協調

最后，實現有效數字化轉型所必需的采購依賴于首席信息安全官和安全領導者的能力，即零信任采納不僅是一個安全問題，也是一個業務問題。

如果首席信息安全官要替換傳統基礎設施和應用程序，則需要其他關鍵利益相關者的支持。畢竟，如果沒有在數字化轉型方面的重大投資，安全團隊將無法實現基本的訪問控制和身份驗證模型來管理和監控用戶訪問。

畢馬威公司全球網絡安全實踐負責人Akhilesh Tuteja表示：“部署是一個循序漸進的過程，首先要制定一項與業務相關的戰略，并建立一個治理框架，讓利益相關者參與到變革計劃中來——不僅僅是首席信息官和首席信息安全官團隊，還有那些可能受到實施影響的業務部門。”

首席信息安全官強調零信任的潛在成本節約至關重要。例如，他們可能會強調Forrester公司的研究，該研究說明了采用微軟公司零信任解決方案的企業如何產生92%的投資回報率，并將數據泄露的幾率降低50%。這可能有助于為投資零信任控制提供商業理由。

然而，即使得到其他關鍵利益相關者的支持，零信任也不是一次性的努力，而是一個持續的過程。

Tuteja說：“在這個過程的每個階段，都有可能出現失誤和許多意外。很少有企業了解他們的IT產業，并且非常了解各種系統和應用程序如何交互。當實現隔離和新的訪問控制時，就會出現問題。人們將會發現意想不到的依賴關系，以及令人驚訝的數據流和長期被遺忘的應用程序。”

持續改進

無論企業在零信任的過程中走了多遠，首席信息安全官和安全領導者都可以將零信任視為一個持續的過程，并致力于對該過程進行漸進式改進，從而減少出錯的機會。

采取簡單的步驟，例如列出需要保護的資產清單，然后部署身份和訪問管理(IAM)和特權訪問管理(PAM)，可以幫助企業建立零信任，并培養持續改進的文化心態。