2022年中国网络安全行业《零信任产品及服务购买决策参考》发布

2022年12月29日作者：GoUpSec

零信任：一场改变安全规则的沙盒游戏

在一个外部和内部威胁快速增长，全球经济政治危机四伏的后新冠时代，零信任的兴起，无疑给濒临崩溃的企业网络安全部门注入了一剂强心针。零信任已经成为全球企业、政府和网络安全产业公认的应对已知和未知威胁，对抗不确定性的最有效的“下一代安全防御”。

零信任的价值：为何企业与政府纷纷“全押”？

根据IBM的2022年度数据泄露成本报告，与没有部署零信任的企业相比，部署零信任的企业可将攻击的平均损失降低95万美元。对于没有实施零信任框架的企业而言，数据泄露的平均成本为510万美元，而拥有零信任框架的企业则为415万美元。随着企业的零信任计划日趋成熟，数据泄露成本可大幅降低20.5%。

企业零信任框架越成熟，就越能更好地保护可被攻击者利用的潜在破坏性威胁面，从而降低安全事件的平均成本。根据报告，早期采用零信任的企业平均数据泄露成本为496万美元，而零信任实施成熟期的企业可将数据泄露成本进一步降至345万美元，平均数据泄露成本降低多达151万美元。

除了降低数据泄露经济成本外，零信任还将给企业带来业务敏捷性和竞争力的显著收益。根据Forrester 2021年发布的零信任报告，企业安全决策者认为，成功的零信任方案可以为企业带来的三大战略性价值：

提高组织敏捷性（面向业务需求的安全）(52%)
更安全的云迁移(50%)
更好地支持他们的数字化转型战略(48%)

零信任给企业带来的其他价值还包括：

更准确地盘点基础设施资产
改进安全运营中心的监控和警报
改善终端用户体验
简化安全策略的创建
防止数据丢失或泄露

零信任对中美两国政府积极推动的关键基础设施安全战略和法规也有着重大意义。

2021年5月拜登政府发布第14028号总统行政命令，启动了美国国家零信任安全战略，提高联邦政府系统的安全性。白宫还发布了联邦零信任架构实施战略，并提供了预算指导，以确保联邦机构将资源与国家的网络安全目标保持一致。

2022年7月，白宫发布的《2024财年网络安全预算备忘录》强调优先为关键基础设施安全相关技术（尤其是零信任）支持项目审查和评估提供资金，以应对网络安全威胁，并在现有标准不足的情况下为基础设施投资制定网络安全性能标准。

零信任市场趋势：增速最快的网络安全细分市场

零信任将是未来几年增长最快的网络安全市场。根据Gartner的预测，零信任网络接入（ZTNA）将成为全球增长最快的网络安全细分市场。预计2022年将增长36%，2023年将增长31%。

美国的零信任软件和服务收入的增长反映了这一强劲的市场势头，从2021年的3.189亿美元增加到2026年的10.4亿美元。

Markets and Markets的另一项预测显示，全球在基于零信任的软件和服务上的支出将从2022年的274亿美元增长到2027年的607亿美元，复合年增长率为17.3%。

根据IDC预测，2024年中国网络安全市场总体支出将达167.2亿美元，其中零信任安全市场占比将达到10%，约为百亿人民币规模。

Okta的报告显示，97%的公司要么已经实施了零信任计划，要么将在未来12到18个月内实施零信任计划。该调查基于对700名主管级及以上级别的安全决策者的采访，结果远高于四年前的16%和2020年的41%。

Gartner认为远程办公和“去VPN化”趋势是零信任市场增长的主要动力。Gartner预测，到2025年，至少有70%的新远程访问部署将主要由ZTNA而不是VPN服务提供服务，而2021年底这一比例还不到10%。

2022年，尽管安全领导者普遍表示他们在获得资金方面面临挑战，但67%的接受调查的安全领导者表示，他们的企业将在2022年增加零信任预算，将三分之一(36%)安全预算分配给零信任计划。

根据麦肯锡的调查，市场中已有的产品服务仅能满足25%的企业身份和访问管理（IAM）网络安全要求，但调查结果同时也表明“许多首席信息安全官（CISO）的预算资金不足。零信任网络安全厂商必须通过安全技术堆栈/能力的现代化和重新思考营销战略来把握和应对“市场渗透率较低与安全预算不足”的机遇和挑战。

零信任的路径与方法：条条大道通罗马的“沙盒游戏”

CISO们必须意识到，在充斥不确定性的后新冠时代，零信任更多是一项业务决策而不是技术决策，CISO需要重新定义安全团队交付的核心价值是：通过降低风险和威胁来交付业务价值。

零信任也是企业在后新冠时代数字化转型时，一次生死攸关的安全方法重大升级——从基于边界的安全防御到基于零信任的主动纵深防御。

零信任也是一场没有统一路径，“条条大路通罗马”的沙盒游戏。正如贝恩公司则指出的，NIST和ISO 27002等行业框架是网络安全的重要组成部分。但是，为了在全球不稳定期建立生存能力优势，企业不能满足于“本手”，而是跳出框架与合规的局限，更加聚焦于零信任战略的推进和未来的挑战。

在具体实施零信任的技术路径上，大多数企业采取“小步快走”的策略，选择投入少、见效快、风险低的项目切入，逐步替换、升级原有基于边界的安全防御方法的单点方案，打造以零信任方法为核心的全新安全管理平台和可信计算环境。根据Statista的2022年网络威胁防御报告，大多数企业都在通过实施零信任方案改进安全技术堆栈，以尽可能减少设备、身份和端点之间的隐式信任，从而实现与无密码身份验证和SASE系统的更多集成。

最小权限访问是零信任框架的核心设计目标，也是当下零信任市场的热点和焦点。因为数字化转型意味着企业将会有越来越多的API集成到各种IT网络技术中。此外，如果新兴IT安全技术平台随着业务增长而扩展，也必须针对安全API集成进行设计。

虽然零信任的实施路径可谓“条条大道通罗马”，并无统一起点，但是强身份访问管理、端点安全和安全运营自动化集成是初始阶段的主要投资热点。根据Okta的报告，云基础架构的特权访问（PAM）、API安全访问和基于上下文的访问策略是2023年福布斯全球2000强企业零信任方案的最高优先级项目，2023年全球身份访问管理（IAM）软件和解决方案支出规模将达到207.5亿美元。财富2000强企业CISO们已经部署以及未来12-18个月即将部署的零信任项目如下（数据来自Okta）：

根据OKTA的2021年零信任安全状态报告，保护端点是企业实施零信任的重中之重，77%的安全领导者表示其零信任方案已与其端点保护和管理平台(EMM)集成，其次是CASB集成(69%)。超过40%的安全领导者表示，与SOAR和SIEM的集成是他们最优先考虑的集成计划。

零信任的十大选型基准

在这个“言必称零信任”的时代，甲方企业的零信任选型道路上布满了暗坑，很多网络安全厂商的零信任方案和路线与甲方需求脱节，并不能解决企业面临的现实问题。这种产品与需求的脱节始于最初的销售周期，厂商热衷宣传和承诺自己的零信任方案具备易用性、简化的API集成和响应式服务，但企业购买部署后却发现“现实很骨感”，不但方案达不到预期效果，还产生了很多意料之外的新问题。我们建议企业选型时关注以下十大选型基准来提高决策质量：

1.性能与可扩展性。虽然技术路径不同，但大多数国内（SDP）零信任厂商都实现了分布式部署，可以通过增加网关来实现零信任接入规模的扩展，但并非所有产品都支持分布式访问，后者可实现业务就近访问，网络性能优于类VPN的传统方案。

2.与企业技术堆栈以及安全运营自动化功能的集成能力。防止“零敲碎打”的零信任试水项目（例如IAM、MFA）导致零信任策略的碎片化不成体系，或者出现短板和真空地带。但这并不意味着企业一定要选择综合性安全厂商作为零信任的主要合作伙伴，企业可以更加关注零信任安全方案的标准化、可集成性和隐性成本控制问题，例如关注厂商是否与主流SIEM、SOAR方案预集成或提供API支持。因为集成和防护零信任方案往往比预期的要复杂得多，成本也更高。

3.不存在一体化零信任产品方案。市场上并不存在万能的、开箱即用的零信任产品。事实上，零信任不是单一的产品，也不是单一的方法或技术。它是一种策略、技术和人员的理念和框架，需要应用于零信任的七大支柱：劳动力安全、设备安全、工作负载安全、网络安全、数据安全、可见性和分析、以及自动化和编排。

4.重点评估遗留系统的零信任改造可行性。零信任适用于数据安全、工控安全、云安全和企业办公网络等多个场景，对于工控网络来说，尤其需要关注遗留资产与零信任模型的兼容性。

5.零信任方案的持续管理维护与隐含成本。切换到零信任网络安全模型的一个经常被忽视的挑战是需要持续管理。在某些情况下，零信任意味着需要额外的人员或购买托管服务。

6.零信任方案的潜在“业务摩擦”。零信任的口号是“用不信任、始终验证”。因此，实施零信任的核心挑战是在不给工作流程制造过多摩擦的前提下控制访问。如果不能在安全和用户体验/业务效率之间找到最佳平衡，任何安全方案都很难取得真正的成功。基于风险（动态风险模型）的零信任方法（方案）更有助于降低业务摩擦。

7.零信任方案自身的安全风险评估。EDR等网络安全产品或者安全工具漏洞被黑客用来作为攻击工具已经不是新鲜事。Gartner认为零信任方案存在四大潜在安全风险：（1）信任代理（连接应用程序和用户的服务）是潜在的故障点，可能成为攻击的目标；（2）本地物理设备可能会受到攻击并从中窃取数据；（3）用户凭据仍然可能被泄露；（4）零信任管理员帐户凭据是有吸引力的目标。

8.重视零信任的“人的因素”。零信任是一项团队运动。安全、网络、数据和应用开发团队需要与人力资源、财务、最高管理层和其他团队合作，才能取得零信任的成功部署。零信任方案必须适应企业文化，人员的沟通和协作很重要。厂商的培训和认证有助于提升零信任认知和接受度。

9.IAM和PAM要兼顾人员和机器身份。IAM和PAM是企业提高零信任实施成功率的首选入门产品，因为二者实施快，见效快。评估厂商宣传真实性最好的办法就是调查该厂商是否有客户运行同时覆盖机器和人员身份的IAM和PAM方案。

10.对DevOps和SDLC软件开发生命周期的支持和覆盖。安全需要左移，零信任也需要左移。对于将应用开发作为关键场景的企业来说，零信任需要从一开始就植入流程，而不是作为Devops项目的“后缀”。零信任平台对Devops和SDLC的人员和机器身份保护至关重要。声称能覆盖SDLC和CI/CD的零信任厂商需要展示其API如何扩展和适应快速变化的配置、Devops和SDLC要求。

正如前文所述，零信任不是单一的产品，也不是单一的方法或技术。它是一种全新的策略、技术和人员的理念和框架，是企业应对全球进入高不确定性的后新冠时代，安全边界消失，数字化转型提速，安全态势恶化等诸多挑战的一次重大安全方法和安全战略的升级。因此，虽然零信任技术路径“条条大道通罗马”，但企业选择零信任厂商时仍需要格外谨慎，因为零信任是企业安全战略的核心，是一项持续发展和不断完善的工作，因此企业面临选择的不仅仅是某个零信任产品和技术，更是一个合格的战略合作伙伴。

为了帮助企业拨开零信任营销迷雾，提高市场能见度，全面了解潜在零信任战略合作伙伴。GoUpSec深入调研了20家知名国内零信任专业提供商和综合安全厂商，从产品功能、应用行业、成功案例、安全策略等维度对各厂商零信任产品及服务进行调研了解，整理形成了2022年中国网络安全行业《零信任产品及服务购买决策参考》。