SANS研究所：企业在实施零信任时常犯6种错误

随着网络威胁态势的不断演变，许多企业组织开始采用零信任架构来保护数字化发展的安全。然而，SANS研究所最新发布的《2024年零信任安全应用建设指南》报告认为，要真正实现零信任安全的价值并不容易，当组织在整个数字环境中实施端到端的零信任原则时，经常会出现以下错误：

01

对零信任技术应用的误解

零信任理念的核心思想是“永不信任，持续验证”，这让许多组织的IT团队产生误解，实现零信任将是一项艰巨的任务，不仅需要花费数十万美元的投入，还会对当前业务叶童的高效运行造成干扰甚至破坏。因此，很多组织尽管明白零信任的重要性和价值，但在实施零信任时顾虑重重。报告认为，企业首先需要全面、真实理解零信任架构是什么样子，在积极推进零信任项目的落地实施。

02

忽视组织文化的重要性

报告认为，“有效的零信任项目实施必须由人员、流程和技术共同驱动。”因此，零信任建设并不仅仅是技术上的优化升级，它要求组织的安全文化和管理制度发生根本性的改变。在零信任架构下，企业管理者必须使安全与公司整体发展战略、业务运营和财务优先事项保持一致。如果不能从一开始就确保利益相关者的参与，零信任项目实施注定要失败。

03

低估人的风险

研究发现，很多企业将零信任安全建设的重点放在了对外部访问的安全控制，然而在现代企业组织中，由于内部员工的错误和疏忽所造成的数据泄露占比达到80%以上，而混合工作环境进一步模糊了个人和公司办公环境之间的界限，增加了监控用户活动的复杂性。零信任架构是抵御人为风险的重要防线，因此在建设过程中，不能仅关注如何控制外部风险，还必须对内部用户行为实施持续监控和实时评估，才可以真正有效地降低这些风险。

04

忽视供应链安全风险

软件供应链攻击正成为一种常见的非法获取商业信息的犯罪形式。根据Gartner最新预测数据显示，到2025年，全球45%的企业组织都会面临或遭遇供应链攻击威胁。零信任原则需要通过确保持续的验证和更深入地了解用户活动，帮助限制第三方系统中的漏洞影响。但是在实际的零信任项目中，这一点往往会被企业所忽视。

05

没有提前做好持续的建设规划

实施零信任是一项长期的工作，需要不断改进和适应。报告认为，从实际效果来看，持续推进零信任的建设比一次性彻底改造IT环境要好得多。研究人员也特别强调了持续变革组织当前管理实践的重要性，有效变革管理确保利益相关者认同，促进用户采用，最大程度地减少中断，促进持续改进，并增强协作。

06

对实施效果的度量不足

衡量零信任框架的有效性对于获取所有利益方的支持至关重要。如果对零信任实施效果的度量不足，将难以向组织管理层和业务部门体现零信任建设的价值与必要性。报告建议了一些指标，包括身份验证成功率、策略合规率以及检测和响应事件的时间。这些指标清楚地显示了框架的影响，并突出了需要改进的地方。