根據研究機構Gartner的最新調查,全球有63%的組織已完全或部分實施零信任策略。對於實施零信任策略的78%組織而言,這項投資僅佔整體網路安全預算的25%以下。
儘管如此,仍有56%的組織主要是因為零信任被視為業界最佳實踐而追求該策略。然而,Gartner分析師John Watts指出,儘管有此看法,但企業仍不確定零信任實施的最佳做法為何。對大多數組織而言,零信任策略通常只涵蓋環境的一半或更少,並且僅能減輕不到四分之一的整體企業風險。
Gartner概述了為實施零信任策略而提出的三項主要最佳實踐建議,以供安全主管參考:
1. 早期確立零信任策略的範圍
為成功實施零信任,組織需了解涵蓋範圍、哪些領域在範疇之內,以及可減輕的風險程度。
零信任策略的範圍通常不包括組織的所有環境。然而,調查回覆者中有16%表示將涵蓋75%或更多範圍,僅11%認為將涵蓋不到10%的組織環境。
Watts表示:「範圍是零信任策略中最關鍵的決策。企業風險遠比零信任控制的範圍更廣泛,而且只能減輕有限的企業風險。儘管如此,衡量風險減少和改善安全態勢,仍是評估零信任控制成功與否的關鍵指標。」
2. 透過零信任策略和運作指標溝通成果
在已完全或部分實施零信任的組織中,有79%具有策略指標來衡量進度,且其中89%有風險衡量指標。不過,安全主管在溝通這些指標時,也必須考量受眾。調查顯示,59%的零信任倡議由CIO或CEO/總裁/董事會贊助。
Watts解釋:「零信任指標必須根據零信任的可交付成果進行量身打造,而非複製其他領域如終端偵測與應對的指標。零信任的努力可實現特定成果,例如減少惡意程式在網路上的橫向移動,但可能無法由現有的網路安全指標捕捉。」
3. 預期員工編制和成本增加,但不會延誤
有62%的組織預期成本將增加,41%的組織也預期員工需求將因零信任實施而增加。
Watts表示:「採用零信任策略的組織,其預算影響將因部署範圍和零信任策略在規劃過程中的強度而有所不同。零信任倡議本身會影響預算,因為組織採取系統性和逐步方式,使其政策朝向風險為本和自適應控制發展,為組織的持續營運負擔增加開支。」
儘管只有35%的組織表示遇到干擾零信任策略實施的失敗案例,但組織仍應制定零信任策略計劃、確立運作指標,並衡量零信任政策的有效性,以盡量避免延誤。
總的來說,零信任是網路安全發展的大趨勢,許多組織已意識到其重要性並著手實施。然而,無論是規劃、執行或衡量成效,都需要高度的策略性思維,配合企業獨特狀況進行因材施教。唯有如此,零信任策略才能真正發揮價值,提升組織的整體網路防護能力。
詳情請看: