飞了十几年的零信任，为何迟迟不能落地

发布时间：2022-08-27 10:05:39 所属栏目：安全来源：互联网

导读：Forrester Research分析师John Kindervag提出了著名的零信任理念，随即这种创新性安全理念火遍全球，被认为是行业颠覆性创新理念，必将引领下一代网络信息安全行业。但命运有时候就是这么不如人意。零信任技术火了十几年，也被吹了十几年，但直到今天，在国

　　Forrester Research分析师John Kindervag提出了著名的零信任理念，随即这种创新性安全理念火遍全球，被认为是行业颠覆性创新理念，必将引领下一代网络信息安全行业。

　　但命运有时候就是这么不如人意。零信任技术火了十几年，也被吹了十几年，但直到今天，在国内依旧还是处于“叫好不叫座”的尴尬地位。真正掏出真金白银，大规模落地零信任技术的企业，还真没有多少。

　　那么，问题究竟出在哪里，导致火热的零信任处于类似“人买我推荐，真买我不买”的境遇？对于甲方企业来说，全面实施零信任的核心推动是什么，零信任技术未来的发展路径又是怎样的呢？

　　安全是风险和收益的平衡
　　在回答上述问题之前，我们需要先讨论“企业安全的本质是什么”？

　　当下HW正在如火如荼地开展，攻守双方各自调动已有的资源进行攻防演练，或打穿目标系统夺取权限；或守住安全的底线，溯源攻击方的路径。他们的目的十分明了：打败对方，赢得对抗的胜利。

　　这并不是企业安全的本质。打赢只是一个结果，企业安全的本质应该是让企业更好地发展。站在企业战略层面来看，安全的本质其实是风险和收益之间的平衡，是一种将不可控风险转化为可控成本的手段。

　　网络攻击风险伴随着互联网的发展而发展。早期的网络攻击主要以木马和病毒为主，以成功感染目标用户电脑为目标，更多是以个人炫技为主，对于企业的危害主要集中在“电脑中毒”，对于企业业务和运营的干扰较小。

　　因此，那时企业信息安全岗位大多由IT运维兼任，安全防护体系主要是老三件套：防火墙、杀毒软件和入侵检测。此时，网络攻击所带来的成本还比较小，传统边界安全体系目的是将病毒隔绝在外。

　　随着互联网进一步发展，企业业务陆续登录线上，网络攻击逐渐盛行，以及各种利用漏洞薅羊毛的行为出现，网络威胁开始给企业带来持续性的业务干扰和直接的经济损失。更关键的是，这部分成本正在随着技术的发展和数字化转型不断增加，有的甚至已经成为决定企业生死的核心因素之一。

　　此时，网络攻击不再是以“感染电脑”为目的，趋利性愈发明显：高举DDoS恐吓对企业进行敲诈，或加密企业设备、数据进行勒索，亦或窃取数据直接在暗网上倒卖......轻则业务中断，重则带来庞大的经济损失。

　　为了控制、降低网络威胁所带来的巨额成本，企业持续增加对信息安全的投入，设置信息安全部门，大量购买各种安全设备，并对传统的边界防护体系进行改造升级，重新梳理企业信息安全的底层逻辑和内在需求，构建更加适应业务发展的新型安全体系。

　　与此同时，网络安全法律体系也在逐步完善，对于违反安全合规的惩处力度也越来越大，甚至可以决定生死，其中典型法律代表包括《网络安全法》《数据安全法》《网络安全审查办法》等。为了降低这部分成本，企业信息安全也在朝着“满足合规”的方向进行建设，避免企业因为踩到安全红线而蒙受巨大的损失。

　　“划算”成为实施零信任的关键因素
　　从“企业安全的本质”可以看出，网络风险和合规风险是推动企业安全发展的核心动力。新理念、新技术、新产品的出现，都是为了更好地降低这两大风险所带来的成本，或优化安全运营方式，让业务更顺滑；或强化安全技术，从而更精准地扼杀风险等。

　　我国网络安全行业有着强合规属性，企业违反合规所带来的损失直接且严重，轻则被监管部门约谈，重则APP下架，被监管机构重罚，对企业经营产生十分不利的影响。因此，在资源有限的情况下，企业往往优先满足合规需求。

　　从现有的网络安全法律体系和合规细则来看，零信任技术对于满足合规需求并无多大帮助，因此正在推动企业落地零信任技术的核心推动力只能是网络攻击威胁。

　　对于企业来说，一旦全面实施、落地零信任技术，那么必定会对安全架构进行全面调整，需要投入海量的人力、物力进行建设。

　　正如上文所说，网络安全的本质是一种成本控制手段，因此，企业对安全的投入永远不会超过，各类网络威胁造成损失的总和（可以简单理解为：风险造成的损失X概率）。

　　另外，企业对安全的投入也要进行纵向地考量，即和现阶段的安全体系相比，投入大量资源所产生的效果，是否有明显的提升，以及对业务发展有没有明显的影响？

　　此时，企业领导层就需要考虑一个非常关键的问题：投入划算吗？

　　首先，我国面临的网络攻击形势虽然非常严峻，但是还无法和国外频繁爆发，动辄数百万美元以上的勒索赎金，以及大规模数据窃取等严重程度相媲美。这也是为什么国外零信任技术落地更加普遍，而国内还是抱着试试看的态度，更倾向于逐步强化安全体系。

　　其次，我国缺乏真正意义上全面实施零信任的标杆企业，无法给予行业参照，导致很多企业难以下定决心。从以往网络安全行业的发展历程来看，一个标杆性案例对于新技术的应用有非常大的促进意义，大多数企业都不愿意成为第一个吃螃蟹者。原因在于，第一个吃螃蟹者结果未知，而继续依赖现有的安全体系则有一个可接受的结果。

　　在这样的情况下，企业更倾向于继续观望，而非成为一个被观察者，最终造成人人看好零信任技术，却无人下场落地实践。此外，不少企业还缺乏落地零信任的技术基础。

（编辑：鹤壁站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!