随着攻击者适应绕过零信任，公司在苦苦挣扎

商业情报公司 Gartner 表示，零信任安全方法有望减少威胁并降低成功攻击的破坏性，但公司不应期望实施零信任原则会很容易或阻止大多数攻击。

虽然对零信任架构的兴趣很高，但目前只有大约 1% 的组织拥有满足零信任定义的成熟程序。

该公司还估计，到 2026 年，所有组织中只有十分之一会创建成熟的零信任框架，到那时，这些措施最终只会阻止或最大限度地减少大约一半攻击的影响。 

尽管如此，但从 1% 提高到 10% 是一个重大进步。

这是一个相对较大的增长，10% 可能看起来很低，但与此同时，现在当我们与客户交谈并查看其他行业数据点时，似乎没有很多大型组织可以指出一个成熟且可衡量的零信任计划。

云安全联盟发布的 2022 年调查显示，零信任计划仍然是公司及其网络安全团队的理想目标，80% 的高管表示该战略是重中之重，77% 的高管增加了实施预算六月。

微软在 2021 年发布的另一份报告发现，96% 的安全领导者认为零信任对他们的成功至关重要；76% 的人正在实施零信任计划。

融合端点管理提供商 Tanium 称随着公司仔细考虑前进的道路，他们应该认识到实现全面的零信任架构并不容易，而且需要时间。

迁移到零信任的过程似乎势不可挡，而且往往会导致瘫痪。令人惊讶的是预测数字高达 10%。虽然许多组织都有零信任的愿望，但很少有人做出全面改变以完全接受它。

鉴于“零信任”在网络安全产品和服务营销中的广泛使用，它也可能令人困惑。 

在之前的 Insights 报告中，Gartner 反对过度使用该术语。零信任要求明确授予用户和设备的信任度，持续计算，然后进行调整以允许适当的访问量与时间。

零信任是一种思维方式，而不是特定的技术或架构，这实际上是关于零隐性信任，因为这是我们想要摆脱的。

这家分析公司在帖子中表示，虽然从企业计算基础设施中消除隐式信任的想法是一个好主意，但该架构实施起来既困难又耗时，并且不能解决所有问题。

因此，组织需要将零信任计划整合到其运营的特定部分。

你需要配置每个系统使其处于零信任状态，并且应该优先考虑那些持有最敏感信息的系统。这一切都归结为了解你拥有什么才能制定计划。

事实上，了解零信任的范围和限制是至关重要的。零信任实施中使用的架构和技术有利于阻止横向移动和包含初始破坏的影响。

但是，公司不应期望零信任服务可以防止面向消费者的系统受到损害。

任何旨在供消费者消费并暴露在互联网上、任何人都可以找到并尝试使用该服务的东西都不是零信任的候选者，也不在公司的计划范围内。

攻击者已经开始绕过一些身份和身份验证技术，例如去年通过鱼叉式网络钓鱼和内部协作平台入侵 Rockstar Games 。

攻击者将继续寻找不受零信任保护控制的切入点，或者他们将专注于零信任的弱点。

事实上，该公司预测，到 2026 年，零信任将无法阻止超过一半的网络攻击。

尽管如此，采用零信任框架最终会带来回报。一家拥有成熟的零信任计划的公司知道他们拥有什么系统以及数据存放在哪里。

这样，即使攻击者绕过了零信任保护，组织也可以通过限制攻击者对内部系统和数据的访问来限制损失。

我们刚刚开始跨越这个阶段，从每个供应商都告诉你他们可以解决所有零信任问题的阶段，进入组织现在正在实施更多零信任控制的领域。

他们面临着好与坏的现实，这并不全是好事，也不全是坏事。

原文始发于微信公众号（网络研究院）：随着攻击者适应绕过零信任，公司在苦苦挣扎