定义模糊,激励最少,而且往往是无止境的,零信任之旅尤其具有挑战性和复杂性。一位资深经理说:“我想见见那些没有发现困难的12%的人。”
根据埃森哲最近的一份报告,每10个安全领导者中就有近9个在零信任实施尝试中遇到了重大挑战。行业分析师和安全专家表示,零信任部署的全面性、部门负责人的抵制程度以及有意义的投资回报率所需的极长时间是CISO零信任挫折的关键因素。
埃森哲报告称:“即使实施零信任,一个基本的安全框架,也给88%的组织带来了重大挑战。”“这种漏洞延伸到物理世界,80%的人无法有效地保护他们的网络物理系统。”
斗争的很大一部分是,许多公司对零信任的定义非常不同。它从来都不是一种规范,而是一种安全方法,尽管这并不是说许多CISO在推动其组织零信任针方面没有取得重大成功。
此外,每个企业环境都是独一无二的,因此需要缺乏零信任的具体实施细节,因为除了本地、云、远程站点、物联网和遗留细节外,合规性、地理、垂直以及合作伙伴和其他需要访问组织系统的人的性质都可能大不相同。
Tata Consultancy Services的网络安全全球实践主管Prashant Deo说:“这是一个战略转型,而不是战术部署,这就是为什么我们看到整个行业如此广泛的斗争。”“在企业层面实施零信任是一项艰巨的任务,可能需要分阶段和以用例为中心的方法,作为零信任之旅的一部分。”
Deo认为,零信任心态从根本上与企业一直以来对待安全的方式相悖。
“几十年来,安全性是建立在网络边界内隐性信任的前提下的。零信任模型要求完全扭转这种想法,”Deo指出。“将整个组织转变为’从不信任,始终验证’的文化是一个重大而困难的变化。”
Sailpoint的首席信息安全官Rex Booth表示,定义上的混乱是许多摩擦的背后。
“零信任对各种各样的人来说意味着各种各样的事情。他说:“我们不想把零信任的含义保密,并把这种理想化的模型作为“这是实现零信任的唯一方法”。
World Wide Technology的身份设计师Karen Andersen同意Booth的观点,即该术语的模糊性质。
CSO智能答案
“我经常认为人们不知道该怎么看待这个词。有些人说这是一个产品,但它对不同的人有不同的含义,”Andersen说。“我经常认为它可以被视为一个营销流行语,但我确实相信它背后的策略。”
事实上,Andersen感到惊讶的是,只有88%的安全高管报告认为部署零信任很困难。
她打藜地说:“我想见见那些没有发现困难的12%的人。”
永无止境的旅程
Andersen说,一个真正全面的零信任部署可能需要十多年才能执行——假设它能够完成。
她说:“当我[向高级管理层]解释零信任时,我告诉他们,这是一个10到12年路线图的战略,以真正建立这个基础。”“我认为你永远不会到达零信任的尽头。”
Saleh Hamdan Al-Bualy曾担任四季酒店连锁店的信息安全经理多年,她是另一位长期网络高管,他担心零信任的复杂性和缺乏具体激励措施来提供信任。
Al-Bualy说:“绝对没有这样做的动机。”他今天担任一家隐形人工智能初创公司的安全领导者,并将零信任定义为与Unix受信任的主机相反。“它对业务产生了放缓的影响。除非你充分实施它,否则你不能做零信任。在那之前,你不会得到任何好处。”
Al-Bualy强调,零信任成功的唯一方法是将其从董事会或首席执行官向下推到CISO办公室,类似于推动生成人工智能的方式。
他说:“你必须说服董事会和执行团队,我们需要这样做是出于XYZ的原因。”
Moor Insights & Strategy副总裁兼首席分析师Will Townsend表示,典型的CISO薪酬的性质往往会阻止热情的零信任部署。
“补偿通常与[零信任]目标不一致。大多数上市公司每季度都生活,”Townsend指出。“被重视的是提高LOB生产力的东西,LOB将利基服务货币化的能力。云安全也更优先。您如何将直接的投资回报率归因于改善安全卫生?”
塔塔的Deo表示,另一个倾向于增加零信任之旅摩擦的因素是企业全球威胁格局中缺乏可见性。
Deo说,企业通常“主体和资源之间的数据流可见性很差,这使得确定当前的访问模式和企业内部零信任访问需求具有挑战性”。“持续监控和探测用户和设备的当前状态的能力也被证明是禁止采用真正的零信任的。”
参考文章链接:https://www.csoonline.com/article/4048002/88-of-cisos-struggle-to-implement-zero-trust.html
暂无评论内容