我为什么不用零信任：5个无法被保护的领域

根据《网络安全内幕》3月份发布的一项报告，在针对美国400名IT和网络安全专业人士的调查后发现，只有19%的组织实施了零信任；30%的受访者表示项目正在进行；38%的受访者表示仍处于规划阶段。国外安全专家指出，这些数据可能还太过乐观，因为根据Gartner的报告，只有不到1%的组织制定了成熟且可衡量的零信任计划；到2026年后，大概也只有10%的组织会制定。

另一方面，John强调，即使推出了零信任，许多的安全问题仍然难以得到解决。零信任有几个盲点，比如不是为零信任设计的遗留系统，比如一些特权用户做了他们不应该做的事情，以及不受监控的物联网设备和第三方系统，当然还有持续变革的管理问题，等等。

国外安全专家表示，并不是所有的系统和应用程序都可以很容易地更新成零信任模式，比如一些遗留系统就无法被覆盖到。保险经纪人PIB集团CISO Jason Ozin表示：“公司目前的人力资源系统并不支持零信任，甚至都不支持双因素身份验证，目前而言，系统只支持用户名和密码，支持IP白名单。但当每位员工都转向远程办公时，IP白名单就不太有用了。”

因此，该公司即将改用新的人力资源系统。而其他系统的可替代性并没有那么快，在所有系统更新换代之前，Ozin表示自己有了变通办法：“我们能做的是，在系统周围放置一个零信任包装器。这样，所有操作都将被验证，比如‘是否来自我们识别的位置’‘是否使用的是双重因素’等。而一旦处理了验证，包装器会将流量传递给遗留系统，传统系统会检查IP地址，以确保它来自零信任平台，显然这是可行的办法。而企业需要看到的是，一部分遗留系统是非常糟糕的，甚至都没有用户名和密码，因此除了‘看门人’之外，几乎没有人能到达那里。”

Ozin表示，尽管在PIB推出零信任前，疫情已经结束，但疫情是企业转向零信任的主要动机，公司零信任模式的快速增长就是这么发展起来的。“我的计划是摆脱现有的每一个遗留系统。但事实上，这永远不可能做到，因为升级任何系统都需要资源和金钱，所以我们决定从高风险项目着手。”

Ozin说，组织中有很多物联网设备，甚至还有Ozin自己都不知道的物联网。显然，这是一个问题，尤其是在大楼物业事先没有与任何人沟通过的情况下，决定安装门禁系统，他们很可能会拿到公司网络的WiFi接入密钥，这是极大的安全隐患。

由于公司所有的WiFi网关都不具备零信任，Ozin决定使用一种变通方法，就是为那些无法访问公司数据的未经批准设备提供一个单独的网络，同时还提供其他的一些工具，可以让相关人员进行审计，以确保只有经过批准的设备能连接到主网络。

此外，Gartner的Watts也认为物联网和OT可能会给公司带来安全隐患。“对这些设备和系统来说，实现零信任模式更为困难，因为它们对身份的识别更少。也就是说，如果没有用户，那就没有账户，网络上万一出现什么‘异常’，同时没有好的方法来对其进行身份验证，这将是多大的风险啊。”

Watts表示，一些公司不得不将物联网和OT排除在零信任范围之外，因为他们无法解决这个问题。然而，一些供应商能帮助公司保护这些系统。让人欣慰的是，Gartner发布了一份保护网络物理系统的市场指南，其中包括Armis、Claroty和Dragos。“这意味着，企业一旦实现了这些技术，就必须无条件信任供应商。如果供应商有自己的安全漏洞，那就只能听天由命了。”

Ozin指出，内部威胁是所有公司都会面临的问题。因此，当特权人员拥有能访问敏感资源的权限时，零信任难以起到作用，因为该员工是受信任的。

“当然，相应的一些技术可以降低风险。比如有些人或许拥有各种系统特权，但他们会在凌晨3点突然上网吗？因此我们可以把行为分析放在零信任旁，以捕捉这些操作。我们可以把它作为EDR（端点检测和响应）的一部分，也可作为Okta登录的一部分。”

Gartner的Watts表示，在实施零信任控制后，内部威胁是主要的残余风险。此外，受信任的内部人员可能会被社会工程诱骗，泄露数据或允许攻击者进入系统都是极有可能发生的事。所以可以理解为，内部威胁和账户接管攻击是零信任模式下最可怕的两种风险。

风险稍低的是“电子邮件钓鱼”，有权获得公司资金的员工往往会被钓鱼攻击愚弄，将资金发送给不法者。Watts说：“钓鱼邮件是一种严重的伪造行为，不法者会打电话给组织成员，要求他们将钱汇到另特定账户，而所有这些操作实际上没有接触到任何零信任控制。”

因此，为了解决这个问题，公司应该限制用户访问，这样即使员工受到了威胁，损害也会最小化。但有了特权账户，难度就会相应增加。而用户和行为分析可以帮助检测内部威胁，检测账户接管攻击。关键在于要智能地部署这项技术，这样就不会常常产生误报，影响人员效率。

举例说明，异常活动可能会触发自适应控制，比如将访问权限更改为只读，或阻止访问最敏感的应用程序，因此企业需要确保不会向太多用户提供太多的访问权限。Watts说：“这不仅仅是一个技术问题，企业必须具备相应的人员和流程。”

根据Cybersecurity Insiders的调查，47%的受访者表示，在部署零信任时，员工访问权限过高是最大的挑战；此外，10%的公司表示，所有用户的访问权限都超过了他们的实际需求；79%的公司表示少数用户具备访问权限；只有9%的公司表示没有用户具备过多的访问权限。Dimensional Research研究发现，63%的公司在过去18个月内，存在与特权用户或凭据相关的身份问题。

CloudFactory是一家人工智能数据公司，拥有600名员工和8000名“云工作者”。该公司安全运营负责人Shayne Green表示，公司已完全采用零信任。“我们必须这样做，因为我们需要支持的用户数量实在太多了。”

Green说，远程办公通过谷歌身份验证登录，公司可以通过该身份验证应用其安全政策，但仍然存在差距。一些关键的第三方服务提供商不支持单点登录或安全断言标记语言集成。因此，员工可以使用他们的用户名和密码从未经批准的设备登录，Green对此表示，没有什么能阻止供应商超越企业的视野。技术供应商意识到这是一个问题。

CloudFactory并不是唯一遇到这个问题的公司，供应商安全问题超出了供应商使用的身份验证机制的范围。例如，许多公司通过API将系统暴露给第三方，而在确定零信任部署的范围时，很容易忽略API。

Watts说，企业可以采用零信任原则并将其应用于API，这在一定程度上可以带来更好的安全态势。“企业能控制公开的界面，并使其可供第三方使用。但如果第三方没有良好的控制，比如当第三方创建了一个允许用户访问其数据的应用程序时，客户端的身份验证可能会成问题。”

Watts表示，公司可以审计其第三方供应商，但审计通常是一次性检查或临时执行。另一种选择是部署分析，当正在做的事情没有得到批准时，可以同时进行检测，这等同于提供了检测异常事件的能力。此外，API中被利用的缺陷可能会显示为类似的异常事件。

根据Beyond Identity今年对美国500多名网络安全专业人员的调查，48%的受访者表示，处理新应用程序是实现零信任的第三大挑战。全球咨询公司AArete技术解决方案组总经理John Carey表示，一些公司一直在努力改进流程，改善沟通流程。“这与数据信任的概念不一致，数据信任为数据的自由流动设置了障碍。”

Carey说，这意味着，如果零信任没有得到正确的实现或架构，可能会影响生产力，目前来看，在人工智能项目中已多次发生了阻碍进度的事件。因此，越来越多的公司会创建专门针对业务定制、业务微调的人工智能模型，这也包括了最近的生成式人工智能。

技术咨询公司Star的技术总监Martin Fix对此表示，人工智能掌握的信息越多，它就越有用。“有了人工智能，我们当然会希望它能够访问一切，这也是当初使用人工智能的目的，但如果当人工智能开始披露我们不想要的东西时，这就成了问题。”

Fix说，有一种新的攻击向量，称为“即时黑客攻击”，不法者会试图通过巧妙的措辞来编造提出的问题，以欺骗人工智能说出更多不该告知的信息。“相应的解决方案是，避免对通用AI进行敏感信息培训。相反，这些数据可以单独保存，并设置特定的访问控制系统来检查，是否允许提问的用户访问这些数据。其结果可能会使人工智能不尽如人意，但这样做会更安全。”

毕马威会计师事务所（KPMG）美国零信任负责人Deepak Mathur表示，很大程度上来说，零信任会改变公司的工作方式。“供应商会说部署零信任是容易的，只要在员工访问的系统里设置安全边界就行，但其实并非如此，零信任的复杂性才刚刚开始显现，比如当公司实施零信任技术时，必须进行流程更改，而这对许多大型公司来说都是不小的挑战。”

对于部署零信任时，有哪些领域是其覆盖不到的，安全从业者和企业又应该注意哪些事项，国内安全专家如此建议。

某互联网企业安全专家郑欢表示，企业在部署零信任时，覆盖领域其实取决于很多方面，比如企业自身的需求，需要零信任解决的问题，还有企业自身信息资产管理的能力，选择的零信任产品自身的适配能力等。总体来看，可以分为以下几个领域：

郑欢指出，零信任的部署对于企业来说就是一场变革。这里涉及网络基础架构的改变、用户日常办公习惯的改变、企业访问控制策略的改变等等。所以企业在部署零信任时通常要从以下几方面进行考量：

1、梳理清楚企业的需求。通过梳理需求，明确需要零信任解决的问题痛点。这一点对于选品方向至关重要。

2、部署方式。目前，市场上的零信任产品通常有SASE、本地化以及混合部署几种不同的部署方式。在部署零信任时，通常需要根据企业的预算、网络架构、用户规模、可用性需求、数据敏感程度等因素，选择适合自己的部署方式。

3、网络容量管理。部署零信任前，由于部署零信任后，企业通常会对资产暴露面进行收敛，以往通过互联网直接访问的应用，往往需要通过零信任网关代理访问。因此，不同部署方式的选择，可能会导致原有的办公网出口带宽、不同云节点或IDC之间的专线带宽需要扩容的情况，这类情况在部署前应该提前考虑。

4、终端agent的数量。有些企业已经在办公终端部署了如防病毒、桌管、DLP等措施，有的企业可能是从0开始。因此在零信任产品选择时，企业需要考虑办公终端的性能和兼容性。是采用all in one类型的产品，还是选择单一功能，相对较轻的产品。

5、职责分工。零信任落地通常涉及在办公终端安装agent，企业安全部门在推动零信任落地时，需要考虑清楚落地后与企业IT、helpdesk之间的职责分工。避免出现问题时，互相推诿、扯皮。

6、配套的流程机制。零信任落地后，资源的放通、临时或例外的策略等，都需要配套的流程机制进行管理。因此，需要提前考虑并设计好相关的流程机制，协调好相关方。并在企业内部的流程平台进行测试和试运行。

7、合规风险。合规风险通常涉及两个层面，一个是很多企业都有自己的海外跨境专线，网络结构调整后，这部分海外跨境专线应如何调整并确保合规。还有一部分是针对BYOD用户，需要提前与企业内部的法务、HR沟通，设计好用户协议，确保BYOD用户知情同意。尤其是对于有海外雇员的用户，无端的方式可能是一种更好的选择。

8、推广和宣贯。企业内部用户对于这一类的措施，通常会有抵触心理。需要联合企业文化等相关部门，做好推广和宣贯，让用户更易于接受。

9、策略管理。策略的管理取决于企业的文化和风险偏好。建议在落地零信任过程中，策略由轻到重，前期以监控告警为主，阻断为辅，不要一刀切。后续随着风险水位逐步加强。当然这里还是需要视企业对风险的容忍度而异，不能一概而论。

10、充分的POC测试。由于零信任的部署，将引起企业从基础架构到人员习惯的改变，因此在部署前，应该进行充分的POC测试，包括兼容性、稳定性、功能、体验等，最大程度地降低新措施所带来的风险。

11、FAQ。部署前提前针对常见问题，准备好一份FAQ，并在日常运营中不断积累，以降低运营人员的工作量并提升效率。有条件的企业可以把FAQ作为知识库用于客服机器人训练，通过机器人解决一些常见问题。

而九方云安全负责人刘欣指出，旧的物联网设备以及老的应用和系统，不支持零信任架构迁移，因为整合成本过高。还有一些特殊场景的应用，如语音系统、视频系统等，对实时性要求比较高，零信任架构对其而言增加了延迟和架构的复杂性。即便有些场景强行覆盖，效果也差强人意，甚至增加了额外的运营成本。

因此，刘欣表示，目前零信任解决方案尚不成熟，不能过于依赖零信任架构，不能对其期望过高。“而若要引入零信任方案，在此之前需结合企业实际安全现状，如风险管理现状、已有安全产品、安全人员等，最好的方式是将零信任方案融入当前安全体系中，作为其中一部分发挥作用。我们要知道的是，不是所有的企业都适合零信任方案，切忌盲目跟风。”

刘欣认为，方案和产品的部署只是一个开始，核心是安全运营，建议运营目标与指标需遵循PDCA进行持续迭代，确保过程中的落地性。切忌过于依赖安全产品或安全技术，大多数时候，安全管理（制度、流程等）是主要手段，零信任的部署与运营也不能脱离体系化管理。此外，企业及安全人员需考虑零信任ROI，在懂业务、懂风险的基础上再去规划零信任，可以少走弯路。