零信任策略实施的基本步骤

据 Gartner 称，全球 63% 的组织已完全或部分实施零信任策略。对于 78% 实施零信任策略的组织来说，这项投资仅占总体网络安全预算的 25% 以下。

Gartner 于 2023 年第四季度对 303 名组织已经实施（全部或部分）或计划实施零信任策略的安全领导者进行的调查发现，56% 的组织主要追求零信任策略，因为它被认为是一个行业最佳实践。

尽管有这样的信念，企业仍不确定零信任实施的最佳实践是什么。对于大多数组织来说，零信任策略通常可以解决组织环境的一半或更少的问题，并减轻四分之一或更少的整体企业风险。

Gartner 概述了安全领导者实施零信任策略的三个主要最佳实践建议。

实践 1：尽早确定零信任策略的范围

为了成功实施零信任，组织需要了解他们覆盖的环境范围、哪些领域在范围内以及他们可以减轻多少风险。

零信任策略的范围通常不包括组织的所有环境。然而，16% 的调查受访者表示它将覆盖 75% 或更多，而只有 11% 的人认为它将覆盖不到 10% 的组织环境。

范围是零信任策略中最关键的决定。 企业风险比零信任控制的范围要广泛得多，而且只能减轻一定程度的企业风险。然而，衡量风险降低和改善安全状况是零信任控制成功的关键指标。

实践 2：通过零信任战略和运营指标传达成功

79% 已完全或部分实施零信任的组织拥有衡量进展的战略指标，其中 89% 拥有衡量风险的指标。安全领导者在传达这些指标时还必须牢记受众。 59% 的零信任计划由 CIO 或首席执行官/总裁/董事会发起。

零信任指标必须针对零信任可交付成果进行定制，而不是重新散列用于其他领域的指标，例如端点检测和响应的有效性。 零信任工作可以带来特定的成果，例如减少恶意软件在网络上的横向移动，而现有的网络安全指标通常无法捕获这些成果。

实践 3：预计人员配置和成本增加，但不造成延误

62% 的组织预计其成本将会增加，41% 的组织预计由于零信任实施，其人员配置需求也会增加。

采用零信任策略的组织的预算影响将根据部署范围以及零信任策略在规划过程早期的稳健程度而有所不同。零信任举措本质上会影响预算，因为组织采取系统性和迭代的方法来完善其基于风险和适应性控制的政策，从而增加组织持续运营负担的开销。

虽然只有 35% 的组织表示他们遇到了破坏零信任策略实施的失败，但组织应该制定零信任战略计划，概述运营指标并衡量零信任策略的有效性，以最大限度地减少延迟。

迄今为止最大的数据泄露罚款、处罚和和解

API 渗透测试清单

如何防范非 Windows 网络漏洞

您应该了解的 25 个网络安全人工智能统计数据

美国军方正在将其军官安置在企业界

 搜索关注公众号：网络研究观获取。