77%的高管将增加对零信任安全建设的支出

2022年时间6月6日，RSA Conference 2022在旧金山召开。本届RSAC的主题为“Transform(转型)”，被认为是RSAC 2021年主题“弹性”的进一步延伸和拓展。转型在当下，是很多企业不得不面对的问题，像云计算、物联网、移动办公等新技术与业务的加速融合，让传统网络边界逐渐变得模糊，小至企业之弹性，大至行业之转型，网络安全产业正处于变革之中，传统边界防护手段已不足以有效应对新时代的威胁与挑战。

在此背景下，以“从不信任、始终验证”为核心原则的零信任概念应运而生，并迅速成为热门话题。很多企业高管将考虑开展零信任安全策略，因为他们希望零信任安全策略的实施可以让企业的安全建设取得明显进展。根据云安全联盟(CSA)的一项新调查，对80%的CxO技术领导者来说，零信任是企业的重要事项，77%的高管表示他们将增加对零信任安全建设的支出。

增加对零信任的投入对很多企业来说具有重大意义，超过五分之二的高管称企业在零信任安全建设方面的预算增加了至少26%。

根据对来自对全球800多名IT和安全专业人士的调研，以及包括200多名C级高管的回答，随着数字化转型的推进、疫情期间劳动力的转移以及美国网络安全行政命令的宣布，零信任已成为保护企业的一道盾牌。该研究表明，对于大多数企业来说，零信任策略仍然是一个相对较新的网络安全路线图，53% 的企业表示他们开始实施零信任策略的时间还不到两年。他们用来指导战略规划的标准五花八门，比如CISA、Forrester ZTX、IEEE、NIST和CSA等。其中的领跑者要数CISA标准，有33%的企业报告说他们使用的正是CISA的标注作为他们的零信任战略指导。

零信任是一种不断发展的安全模型，它将许多长期运行的安全概念(最小特权、基于风险因素的有条件访问和隔离)联系在一起——不仅在网络级别，而且在应用程序和工作负载级别。其核心概念是消除IT长期以来在用户和设备使用密码登录后对网络的无条件信任。

实施零信任的目的是用一种更具适应性和持续评估的授予访问权限的模式来代替它，该模式提供有限的访问权限，并且不仅基于身份，还基于操作和威胁环境。执行此操作需要很多部分，包括强大的身份和访问管理 (IAM)、有效的网络策略执行、强大的数据安全性和有效的安全分析。很多企业在过去的安全建设中其实已经有过对这些部分投入，而零信任策略只是重新整合和利用这些已经投入过的资源。

因此，尽管许多企业表示他们开始零信任之旅才一两年，但这项调查的受访者表示，他们在终端/设备成熟度、应用安全、IAM、数据流管理、网络安全管理、用户行为和资产管理等核心零信任领域已经有一些经验了。

在执行零信任策略时，基本策略、架构和集成工作会将冒牌者与竞争者区分开来。RackTop系统公司的首席执行官兼国防和金融领域的长期安全和技术从业者Eric Bednash表示，组织要想开展零信任之旅，他们必须先了解IT和安全堆栈如何结合。“这是关于从对企业整体架构和业务流程的深入了解开始，你需要了解它们如何联系在一起。它超越了任何单一元素。而且你还要记住，零信任不是一件具象化的东西，而是一种理念，“ 他说。“它更像是一种指导方针。而不是说，’这东西是零信任，这东西不是零信任。’ 简单来说，零信任是一种方法论，它没有捷径可走，这就是为什么它如此难以实施的原因。”

实施零信任策略需要高管的充分支持、足够的专业知识和人员配备，以及明智的变革管理。根据CSA调查，40%的企业表示缺乏专业知识，34%的企业表示他们没有内部协调或得到支持，23%的企业表示抵制变革阻碍了前进的道路。专家表示要克服这些业务和流程障碍需要外交和有纪律的沟通。“为了有效地管理变化，你需要开展行动并逐步的实施。你可能知道你想去哪里，你甚至可能已经为你的网络解决方案签订了合同，但不要一次实施所有事情”，Perimeter 81首席执行官兼联合创始人Amit Bareket说，“变革管理的艺术在于知道要实施多少——所以不要一次改变太多，但也不要无限期地拖延这个过程。”