隨著網絡威脅態勢的不斷演變，許多企業組織開始采用零信任架構來保護數字化發展的安全。然而，SANS研究所最新發布的《2024年零信任安全應用建設指南》報告認為，要真正實現零信任安全的價值并不容易，當組織在整個數字環境中實施端到端的零信任原則時，經常會出現以下錯誤：

1.對零信任技術應用的誤解

  零信任理念的核心思想是“永不信任，持續驗證”，這讓許多組織的IT團隊產生誤解，實現零信任將是一項艱巨的任務，不僅需要花費數十萬美元的投入，還會對當前業務葉童的高效運行造成干擾甚至破壞。因此，很多組織盡管明白零信任的重要性和價值，但在實施零信任時顧慮重重。報告認為，企業首先需要全面、真實理解零信任架構是什么樣子，在積極推進零信任項目的落地實施。

2.忽視組織文化的重要性

報告認為，“有效的零信任項目實施必須由人員、流程和技術共同驅動。”因此，零信任建設并不僅僅是技術上的優化升級，它要求組織的安全文化和管理制度發生根本性的改變。在零信任架構下，企業管理者必須使安全與公司整體發展戰略、業務運營和財務優先事項保持一致。如果不能從一開始就確保利益相關者的參與，零信任項目實施注定要失敗。

3.低估人的風險

研究發現，很多企業將零信任安全建設的重點放在了對外部訪問的安全控制，然而在現代企業組織中，由于內部員工的錯誤和疏忽所造成的數據泄露占比達到80%以上，而混合工作環境進一步模糊了個人和公司辦公環境之間的界限，增加了監控用戶活動的復雜性。零信任架構是抵御人為風險的重要防線，因此在建設過程中，不能僅關注如何控制外部風險，還必須對內部用戶行為實施持續監控和實時評估，才可以真正有效地降低這些風險。

4.忽視供應鏈安全風險

軟件供應鏈攻擊正成為一種常見的非法獲取商業信息的犯罪形式。根據Gartner最新預測數據顯示，到2025年，全球45%的企業組織都會面臨或遭遇供應鏈攻擊威脅。零信任原則需要通過確保持續的驗證和更深入地了解用戶活動，幫助限制第三方系統中的漏洞影響。但是在實際的零信任項目中，這一點往往會被企業所忽視。

5.沒有提前做好持續的建設規劃

實施零信任是一項長期的工作，需要不斷改進和適應。報告認為，從實際效果來看，持續推進零信任的建設比一次性徹底改造IT環境要好得多。研究人員也特別強調了持續變革組織當前管理實踐的重要性，有效變革管理確保利益相關者認同，促進用戶采用，最大程度地減少中斷，促進持續改進，并增強協作。

6.對實施效果的度量不足

衡量零信任框架的有效性對于獲取所有利益方的支持至關重要。如果對零信任實施效果的度量不足，將難以向組織管理層和業務部門體現零信任建設的價值與必要性。報告建議了一些指標，包括身份驗證成功率、策略合規率以及檢測和響應事件的時間。這些指標清楚地顯示了框架的影響，并突出了需要改進的地方。

原文鏈接：https://www.darkreading.com/application-security/top-5-mistakes-businesses-make-when-implementing-zero-trust