“零信任”产品本质是一群信息安全门外汉忽悠的产物,这群人由于对信息安全的无知,才会忽悠出“零信任”这个毫无价值的产品。
这群人真是太搞笑了,在一群外行面前,将零信任简直吹嘘的无所不能了,要是碰到了内行,或者那群外行被忽悠购买了他们的零信任产品,就是这样的一副面孔了:“……这个太复杂了,太难了,不是所有问题都能依靠零信任产品来解决”。
另外这群人把“始终检查,从不信任”作为宣传“零信任”的口号,从这一点就可以看出这群人,是完全不懂信息安全的,以及完全是靠忽悠圈钱的。
其一,为什么他们不懂信息安全:我们知道信息安全的目的是要防范内外部威胁保障企业核心业务的安全,而不是先入为主,以“始终检验,从不信任”口号,以单一的技术控制手段,将正常业务和全体员工视为防范的对象,视为敌人,这样不仅将所有业务部门和全体员工推向了对立面,也达不到控制信息安全风险的目的。信息安全能不能做好,依靠的是全体业务部门的参与,以及全体员工的参与,现在这群人把业务部门和全体员工视为敌人,妄想依靠单一的技术手段达到想要的目的,简直是痴心妄想。另外,在ISO/IEC 27001中也推荐了控制信息安全风险的四个方面,即组织控制,人员控制,物理控制和技术控制,在这里面技术控制放到了最后,所以技术控制往往是作为辅助手段而不是主要手段。
其二,为什么他们是忽悠和圈钱:在之前的文章,我以中国前几年的瘟疫防控的例子来揭露目前中国所谓零信任产品的本质,他们喊出“始终检验,从不信任”的口号,恰恰验证了我的观点,就是他们的零信任产品和之前的天天全民核算检验的本质是一样的,其本质根本就不是为了所谓的信息安全,而是为了忽悠和圈钱,就如同天天全民核酸不是为了取得防疫的成功,而是为了忽悠百姓和骗取钱财。大家有没有想过“始终检验,从不信任”的后果是什么?员工要为此不厌其烦的进行验证,而原本正常的业务进程也要不断消耗资源进行验证,甚至还有可能被黑客利用资源消耗进行攻击。