安全规则零是零信任的核心组成部分

零信任是当今技术界最热门的流行语之一。 它在我们的2022 年application战略状况研究中被评为第三大最令人兴奋的技术，并在组织层面上获得了广泛的关注。

零信任的一个被忽视的事实是，它实际上是一种思维方式，而不是一种技术或解决方案。 这就是为什么我不断回顾我们关于零信任的核心信念：

这就是为什么重新审视零安全规则如此重要。

对于那些不熟悉“规则零”概念的人来说，它源自规则发挥重要作用的角色扮演游戏。 规则决定了互动的顺序、掷骰子的解释以及你可以做什么和不能做什么。 就像现实世界一样。 但在角色扮演游戏中，有一条零规则，它超越了所有其他规则： “GM 是游戏中所有事情的最终仲裁者。” 这实际上意味着 GM 可以随时更改、添加和删除规则。 相信我，他们经常这么做。

安全有一条零规则，有些人可能会对此感到惊讶，它就是：

“你不应该相信用户输入。 曾经。”

这并不是什么新规则；之前它已经被提出过很多次了，我也写过很多次来提醒大家它是安全最佳实践的核心。 不遵守此规则会导致漏洞，并可能引发广泛且危险的利用。

零安全规则在今天仍然具有现实意义——甚至比以往任何时候都更加重要。 随着 API 的激增和数字服务的爆炸式增长，机器人、脚本和不良行为者的数量比以往任何时候都多。 尽管撞库攻击仍然是一种常见的攻击技术，但利用不遵守零安全规则的数字服务和 API 进行攻击的新闻也屡见不鲜。

信任用户输入与零信任的概念本身背道而驰。 任何用户输入——无论该用户是人、软件还是系统——都不应在未经检查的情况下被认为是安全的。 时期。 句号。

零信任的核心原则之一，即信念，就是假设妥协。 妥协可能意味着存在恶意软件或受到不良行为者的控制。 这就是系统的状态。 结果是来自该系统的数据（消息）可能是恶意的。

因此，您永远不应该相信任何来自用户的输入。 时期。

如上所述，这一基本规则导致了可用于检测和消除各种攻击的策略（检查）和技术（WAAP、WAF、NGF）。

安全规则零是零信任的核心组成部分。 采用它将为每个人带来更有效的策略和更强的安全。

在外面要注意安全。