CSA CISO研究报告：零信任的部署现状及未来展望-安全客

零信任理念已经存在了十多年。然而对需要保护IT系统的企业来说，这个术语及其实施方式的关注度显著增加。

国际云安全联盟CSA发布调研报告《CISO研究报告：零信任的部署现状及未来展望》，本次调研的目的是使大家更好地理解组织机构内部的零信任策略。调研对象要求评估以下方面:

· 零信任在组织机构中的成熟度和优先级

· 采用零信任的好处和驱动因素

· 采用零信任的挑战和障碍

· 支持零信任战略所需的投资

调研涉及的其他一些领域包括：零信任在组织机构中的位置、完成零信任实施的组织机构比例、面临的业务挑战和技术挑战。

调研周期为2022年第1-3季度，调研对象包括来自来自不同地区且组织规模各异的823名IT和安全专业人员反馈的情况（包括219名CxO高管在内）。

调研结果显示，大部分的高层管理者认可零信任的重要性，在CXO层级的高级管理者中，高达80%的受访者认为零信任在组织处于中高优先级，85%以上的CXO受访者表示组织正在规划、设计乃至实施其零信任战略,77%CXO受访者表示组织在未来12月里会增加零信任支出。

而减少攻击面、改善用户体验、改善安全风险、促进云计算应用等因素是企业实施零信任战略的主要驱动因素。由此我们可以看出，除了提升安全性以外，零信任对数字化应用的业务价值也已经得到组织的充分认可。但组织在实施零信任战略的过程中，也面临着许多的阻碍，包括缺乏相关专业人才和知识、缺乏内部支持、对成本的考虑等业务因素，也包括跨技术栈的策略实施和对访问要求的定义等技术因素。

纵使大部分组织均增加了在零信任方面的投资，但在解决方案的选择上却无法把握住重点。各种零信任方案中囊括了网络管理和访问控制的多种技术，受访组织对不同技术方案的投资相当分散，这显示了不同组织对零信任战略有着不同的认知、理解和需求。这预示着在未来一段时间内，市场上对于零信任方案的设计和描述仍难以形成一致。

对于许多不具备信息安全专业知识的管理者来说，这些不同的方案将造成他们对零信任概念的困惑，无疑不利于CISO在组织内部推动零信任方案的实施。