Gartner：全球约63%的组织已经实施零信任策略

前情回顾·全球零信任发展动态

• 零信任网络访问进入普及期：全球三大云巨头均宣告支持

• 美国政府推进收敛互联网攻击面：网络设备管理必须上零信任

• 为实现零信任，美国联邦政府三年采购超34亿元网络安全产品

• 你可能不喜欢“零信任”，但它指引安全发展方向

安全内参4月30日消息，根据Gartner的数据，全球63%的组织已经完全或部分实施了零信任策略。正在实施零信任策略的组织中，有78%的零信任投资占网络安全整体预算的比例小于25%。

Gartner在2023年第四季度对303位安全领导者进行了调查，显示他们的组织已经完全或部分实施了零信任策略，或者计划着实施这样的策略。其中，有56%的组织实施零信任策略主要是因为该策略被认为是行业最佳实践。

Gartner副总裁分析师John Watts表示：“尽管相信零信任策略是行业最佳实践，企业并不确定实施零信任的最佳实践是什么。对于大多数组织而言，零信任策略通常只覆盖不到一半的组织环境，只减轻了不到1/4的整体企业风险。”

针对正在实施零信任策略的安全领导者，Gartner重点提出了三条最佳实践建议供参考。

实践1：

尽早确定零信任策略的范围

要成功实施零信任策略，组织需要了解策略覆盖多少环境，哪些领域被覆盖，策略可以减轻多少风险。

零信任策略通常不会覆盖组织所有的环境。然而，调查显示，有16%的受访者表示其范围将覆盖75%或更多，而仅有11%的受访者认为其将覆盖不到组织环境的10%。

图：零信任覆盖环境的百分比，来源：Gartner（2024年4月）

Watts认为：“覆盖范围是是否采用零信任策略中最关键的考量因素。企业面临的风险远远超出了零信任控制的范围，因此零信任策略只能减轻部分企业风险。然而，衡量风险降低并改善安全姿态是零信任控制成功的关键指标。”

实践2：

通过零信任战略和运营指标传达成功信息

已经完全或部分实施零信任策略的组织中，有79%的组织制定了衡量进展的战略指标，而在这79%中，有89%的组织有衡量风险的指标。

安全领导者在传达这些指标时也必须考虑到他们的受众。59%的零信任项目得到首席信息官或首席执行官、总裁、董事会大力支持。

Watts表示：“零信任指标必须针对零信任交付成果进行定制，而不是重新使用其他领域使用的指标，比如端点检测和响应的有效性。零信任工作会产生特定的结果，例如减少网络上恶意软件的横向移动。这些结果一般无法用现有的网络安全指标测量。”

实践3：

预期人员配备和成本增长，拒绝拖延

62%的组织预计，实施零信任策略后，他们的成本会增加。41%的组织预计，实施零信任策略后，他们的人员需求也会增加。

Watts表示：“零信任策略对组织预算的影响取决于部署范围以及早期规划过程中零信任策略健全程度。“零信任项目会对预算产生影响，因为组织会采取系统化和迭代的方法，向基于风险和自适应控制迈进，这增加了组织持续运营负担。”

尽管只有35%的组织表示遇到了失败，干扰了零信任策略实施，但组织应该制定零信任战略计划，列出运营指标、衡量零信任政策的有效性，以尽量减少拖延。

参考资料：https://www.gartner.com/en/newsroom/press-releases/2024-04-22-gartner-survey-reveals-63-percent-of-organizations-worldwide-have-implemented-a-zero-trust-strategy

声明：本文来自安全内参，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。