即便是最好的网路和安全专家也有盲点。部署最新和最好的硬体或解决方案、遵守行业标准都不足以保证网路安全，而没遭受过网路攻击也不表示企业拥有强大的安全防护。认清以下5个普遍的网安迷思将有助於企业有效防护网路安全：

1.只有大公司才是勒索软体的目标：在小企业工作并不是免於遭受网路攻击的保证，根据一份最近的报告显示，82%勒索软体 的攻击目标是小型企业，1,000人以下的企业面临的风险最高。攻击大型企业会给攻击者带来执法和媒体关注，使他们付出较多代价，所以在他们之中有很多人已经从攻击大企业转向攻击那些有能力支付赎金的小企业，以避免引起太大的关注。

2.安全、效能和敏捷性无法兼得：没有人愿意为了网路安全牺牲效能和敏捷性。现今企业需要支持在家上班的员工、并更加的依赖物联网，因此敏捷性比以往任何时候都更重要。

安全存取服务边缘 （SASE）是一种较新的安全架构，提供现代企业所需的敏捷性。SASE的好处之一是它能够整合并简化管理安全的过程。SASE将你所有的网路与安全汇集整合，让网安变得更简单与容易，SASE的存在实现了业务敏捷而非妨碍它。

SASE还能透过将延迟最小化来提高性能、改善用户体验。它也消除了传统的回传流量问题，提高效率，还能弹性扩展让适应流量波动变得更简单和容易。有这些改进，企业将能享有网路的巅峰效能。

3.网路威胁主要来自於外部攻击者：安全从业人员在保护周边安全和加固松散的末端方面已经做的很好，但往往在用户端的防护仍然十分松散。因此，企业目前面临最大的安全威胁往往根本不是来自於外部，而是内部。

数据泄漏来自安全允许的连接。最重要的是，安全部门要假设恶意内容或恶意用户可能进入这些授权的连接。与其假设内部的所有用户都是安全的，是时候开始不断验证所有用户，并执行持续的威胁检查，在网路攻击者造成任何损害前将其抓住。这样的网路安全策略称为「零信任」，它通过消除信任假设和验证每个阶段的数位互动来保护组织安全。

4.防火墙或基於防火墙的安全无法在云端提供防护：对许多人而言，「防火墙」一词仍让人联想到在企业内部网路部署和管理复杂的实体或虚拟设备的画面。但这其实是个误解，「防火墙」其实代表的是企业接受或拒绝流量的能力或基於政策的网路工具，这是任何安全堆叠的基础。

防火墙存在於云端、企业网路、应用程序中，甚至是不的装置上。当你听到诸如「访问控制列表」、「安全群组」、「可用区域」或「基於策略的转发」时，你听到的其实是防火墙的代名词。我们需要从防火墙的形式，如实体或虚拟设备，转而思考该如何透过「防火墙」功能实现最隹的安全防护效果，同时提高敏捷性和降低复杂性。防火墙对於在混合环境中提供安全是至关重要，使企业重新获得他们所需的可视性和控制，以适应和调整不断变化的业务终端用户需求，同时实现更好的安全性。

5.所有零信任网路解决方案都是平等的：零信任网路访问（ZTNA）将零信任的原则应用於网路访问。不幸的是，通常施行ZTNA（ZTNA 1.0）只解决直接从应用程式访问时的一些问题。例如，在ZTNA 1.0中，一旦信任被授权，信任代理就消失了，用户将能自由行动。这实际上只是创建了单一、在特定时间点的检查。一旦访问被授权，用户将永远被信任。但如果没有持续的验证，就没有办法知道应用程式是否曝露在危险中。

换句话说，这种方法不能保护发生在允许连接上的违规行为 － 而所有的违规行为都发生在允许连接上。此外，标准的ZTNA违反了最小特权原则，不提供安全检查，不保护所有的应用

程式，也不能保护所有的资料。

幸运的是，ZTNA 2.0摆脱了这些弱点，实现了更大的安全性。ZTNA 2.0不是一次性授权信任，而是根据应用程式行为，使用者行为和装置状态的变化，不断重新评估信任。这样，如果一个用户受到侵害，他们的访问和许可权可以在他们造成任何损害之前被迅速删除。ZTNA 2.0还增加了真正的最小许可权访问，提供持续的安全检查，保护所有资料和所有应用程式的安全。

我们生活在一个工作可以发生在任何地方、任何时间、任何装置上的世界里。人们不再被束缚在他们的办公桌前，他们的装置也不再是。要保持任何形式的真正控制都变得更加困难。在这种环境下，我们需要更好的工具和策略。ZTNA 2.0是专为保护这种环境而设计的，它这就是一个成功的网路安全策略的关键。

SASE是另一个为不断变化的安全环境设计的现代策略。SASE不仅简化了架构以促进敏捷性，而且还提供了企业保持安全所需的零信任能力。随着越来越多的企业转移到云端，SASE在混合云环境中保持一致是很重要的。SASE的云交付让SASE在整个企业网路中保持一致。

人工智慧（AI）和机器学习（ML）正在成为现代网路安全的主流，因为当涉及到保护人们免受目前正在出现的更复杂和高度自动化的威胁时，它们可以产生很大的影响。威胁者有如此多的工具可以使用，让他们的行动比网路安全专业人员的手动预防更快。而且，威胁者只需做对一次就能造成破坏，而网路安全专业人员则必须保持网路安全，防止每一次威胁。经过训练和调整以寻找威胁的人工智慧和ML使网路安全团队能够即时运作，并在网路攻击者有机会造成破坏前抓住他们。人工智慧和ML协助企业安全团队，化被动为主动。

以下这些核心的 「零信任 」原则将有助於企业领导者拟定策略，强化安全：

●采用零信任方法不是一次性的动作而是一个持续的过程 ：「零信任 」是一种操作哲学，需要我们改变关於如何设计、施行和维护网路安全状态的思维方式 。

●建立一个全面的零信任计画至关重要 ： 专注於一个特定的产品或一个狭隘的技术并不等於零信任。零信任必须是一种端到端的作法，包括整个IT生态系统的控制 － 网路、端点、云端、应用程式、物联网装置、身份等等。

●了解ZTNA只是零信任的一环 ：网路访问（ZTNA）和零信任这两个术语不能互换。这实际上是一个非常常见的误称。ZTNA特别适用於远端使用者访问公司的应用程式和服务，是更大的零信任故事中的一个元素。虽然ZTNA极其重要（尤其是在新的混合劳动力的现实中），但仅仅实施ZTNA是不够的。

循序渐进的计画及作法

采取零信任并不意味着企业必须从头开始打造基础架构。而是要对现有的IT投资进行合理化调整，决定组织实际上采取哪些安全做法、哪些有效、哪些需要重新配置或部署，以及什麽是真正需要的新投资。如果决定从一个需要新投资的领域开始，则可以找出能帮助加速成效资金计画或工具。一定要评估当前的安全能力，以及它们是否被尽可能有效地使用，并考虑哪些可以被用来快速实现零信任。

一开始就让领导层叁与

从上而下的支持对於推进 「零信任 」效率非常重要。如前所述，这往往需要领导层转变思维方式。组织必须就该计画及其目标进行积极、实质性的对话，并将CISO纳入最高领导层，叁与讨论和方向性决策，这样的对话也有助於提升网路安全预算。

让它可行

实现零信任需要确定组织需要什麽来减少急性风险和强化韧性。许多组织从身份机制开始，如多因素认证，应用最小许可权访问或ZTNA。同样的，要循序渐进；制定一个路线图；当组织施行更多的零信任能力时，透过最大限度地发挥新的和现有投资的效力来支持组织的转型，以确保最隹的安全结果。

有了这些基础，组织将能自信地踏上零信任之旅。有了明确的零信任原则和要求，将有助於设定一个共同的期??，即需要实现什麽才是安全的，至少能让一个具有挑战性的旅程路径变得清晰。