SANS研究所：企业在实施零信任时常犯六种错误

随着网络威胁态势的研究业实不断演变 ，许多企业组织开始采用零信任架构来保护数字化发展的所企施零时常安全。然而，信任SANS研究所最新发布的犯种《2024年零信任安全应用建设指南》报告认为，要真正实现零信任安全的错误价值并不容易，当组织在整个数字环境中实施端到端的研究业实零信任原则时
，经常会出现以下错误：

1.对零信任技术应用的所企施零时常误解

  零信任理念的核心思想是“永不信任，持续验证”
，信任这让许多组织的香港云服务器犯种IT团队产生误解，实现零信任将是错误一项艰巨的任务 ，不仅需要花费数十万美元的研究业实投入
，还会对当前业务叶童的所企施零时常高效运行造成干扰甚至破坏。因此 ，信任很多组织尽管明白零信任的犯种重要性和价值 ，但在实施零信任时顾虑重重。错误报告认为，企业首先需要全面、真实理解零信任架构是什么样子，源码库在积极推进零信任项目的落地实施 。

2.忽视组织文化的重要性

报告认为，“有效的零信任项目实施必须由人员、流程和技术共同驱动。”因此 ，零信任建设并不仅仅是技术上的优化升级，它要求组织的安全文化和管理制度发生根本性的改变。在零信任架构下 ，企业管理者必须使安全与公司整体发展战略 、高防服务器业务运营和财务优先事项保持一致。如果不能从一开始就确保利益相关者的参与，零信任项目实施注定要失败 。

3.低估人的风险

研究发现，很多企业将零信任安全建设的重点放在了对外部访问的安全控制 ，然而在现代企业组织中
，由于内部员工的错误和疏忽所造成的数据泄露占比达到80%以上 ，而混合工作环境进一步模糊了个人和公司办公环境之间的界限 ，增加了监控用户活动的服务器租用复杂性。零信任架构是抵御人为风险的重要防线 ，因此在建设过程中 ，不能仅关注如何控制外部风险，还必须对内部用户行为实施持续监控和实时评估 ，才可以真正有效地降低这些风险。

4.忽视供应链安全风险

软件供应链攻击正成为一种常见的非法获取商业信息的犯罪形式。根据Gartner最新预测数据显示  ，到2025年，全球45%的企业组织都会面临或遭遇供应链攻击威胁。零信任原则需要通过确保持续的源码下载验证和更深入地了解用户活动，帮助限制第三方系统中的漏洞影响。但是在实际的零信任项目中，这一点往往会被企业所忽视。

5.没有提前做好持续的建设规划

实施零信任是一项长期的工作，需要不断改进和适应。报告认为 ，从实际效果来看 ，持续推进零信任的建设比一次性彻底改造IT环境要好得多
。免费模板研究人员也特别强调了持续变革组织当前管理实践的重要性 ，有效变革管理确保利益相关者认同，促进用户采用，最大程度地减少中断 ，促进持续改进 ，并增强协作 。

6.对实施效果的度量不足

衡量零信任框架的有效性对于获取所有利益方的支持至关重要。如果对零信任实施效果的度量不足 ，将难以向组织管理层和业务部门体现零信任建设的价值与必要性。报告建议了一些指标，包括身份验证成功率 、策略合规率以及检测和响应事件的时间。这些指标清楚地显示了框架的影响，并突出了需要改进的地方。

原文链接 ：https://www.darkreading.com/application-security/top-5-mistakes-businesses-make-when-implementing-zero-trust