对于大多数组织来说，零信任是降低风险的关键策略，但很少有组织真正完成了零信任的实现。Gartner, Inc.预测，到2026年，10%的大型企业将拥有成熟的、可衡量的零信任计划，而目前这一比例还不到1%。

Gartner将零信任定义为一种安全范式，它明确地识别用户和设备，并授予他们适当数量的访问权限，以便业务可以以最小的摩擦运行，同时降低风险。

“许多组织使用隐式而非显式信任模型来建立其基础设施，以简化工作人员和工作负载的访问和操作。攻击者滥用这种对基础设施的隐性信任来建立恶意软件，然后横向移动以达到他们的目标，”他说约翰·瓦茨他是Gartner的副总裁分析师。“零信任是一种思维转变，通过要求用户、设备和资源之间持续评估、明确计算和自适应信任来解决这些威胁。”

为了帮助组织完成其零信任实现的范围，重要的是首席信息安全官(ciso)和风险管理领导者首先制定有效的零信任策略，以平衡安全需求和业务运营需求。

瓦茨说:“这意味着从一个组织的战略开始，并确定零信任项目的范围。”一旦确定了战略，ciso和风险管理领导者必须从身份开始——这是零信任的基础。他们不仅需要改进技术，还需要改进建立和管理这些身份的人员和流程。

“然而，ciso和风险管理领导者不应认为零信任就能消除网络威胁。相反，零信任可以降低风险，限制攻击的影响。”

Gartner分析师预测，到2026年，超过一半的网络攻击将针对零信任控制无法覆盖或无法缓解的领域。

“企业攻击面正在迅速扩大，攻击者将迅速考虑在零信任架构(ZTAs)范围之外转向和瞄准资产和漏洞，”他说杰里米·D 'Hoinne他是Gartner的副总裁分析师。”这可以采取扫描和利用面向公众的api的形式，或者通过社交工程针对员工，欺凌或利用员工创建自己的“旁路”以避免严格的零信任政策的缺陷。”

高德纳建议组织首先对最关键的资产实施零信任来改善风险缓解，因为这是风险缓解的最大回报将发生的地方。然而，零信任并不能解决所有的安全需求。ciso和风险管理领导者还必须运行持续的威胁暴露管理(CTEM)计划，以更好地库存和优化他们在ZTA范围之外的威胁暴露。

Gartner的客户可以在“预测2023年:零信任从营销炒作变成现实。”

了解如何在免费的高德纳电子书准备任何网络安全攻击网络安全事件响应计划中的3个必备事项。

世界杯足球比赛预选赛关于Gartner安全与风险管理峰会

Gartner分析师在2023年Gartner安全与风险管理峰会上为安全和风险管理领导者提供了最新的研究和建议，该峰会于2月13日至14日在纽约举行印度2月27-28日迪拜3月28-29日悉尼6月5-7日国家港口，马里兰州7月26-28日东京9月26日至28日伦敦．关注会议的新闻和更新推特使用# GartnerSEC．

世界杯足球比赛预选赛关于高德纳信息技术高管

高德纳信息技术高管为cio和IT领导者提供可操作的、客观的见解，帮助他们推动组织实现数字化转型并引领业务增长。更多信息可在www.ownfullhouse.com/en/information-technology．

关注Gartner为IT高管提供的新闻和更新推特而且LinkedIn．参观这新闻2022世界杯半决赛走地编辑室获取更多信息和见解。