L’assoluta maggioranza degli attacchi hacker sfrutta con successo la non sicurezza di gestione delle credenziali di accesso ai servizi e la - oramai – superata convinzione secondo la quale i pericoli derivano dall’esterno della rete aziendale e non dall’interno.

Nella maggior parte degli ambienti aziendali moderni, le reti aziendali sono costituite da molti segmenti interconnessi, servizi e infrastrutture basati su cloud, connessioni ad ambienti remoti e mobili e sempre più connessioni a IT non convenzionali, come i dispositivi IoT. L'approccio un tempo tradizionale di fidarsi dei dispositivi all'interno di un perimetro aziendale fittizio, o dei dispositivi ad esso collegati tramite una VPN, ha meno senso in ambienti così diversi e distribuiti.

Passare quindi ad una filosofia Zero Trust, dove non è importante il «luogo» in cui si trova l’utente bensì la sua identità e i suoi diritti di accesso. Il concetto principale alla base dello zero trust è "mai fidarsi, verificare sempre", il che significa che i dispositivi non dovrebbero essere considerati affidabili per impostazione predefinita, anche se sono connessi a una rete aziendale gestita come la LAN aziendale e anche se sono stati precedentemente verificati. L'approccio zero trust sostiene l'autenticazione reciproca, compresa la verifica dell'identità e dell'integrità dei dispositivi indipendentemente dalla posizione, e la fornitura dell'accesso ad applicazioni e servizi basati sulla sicurezza dell'identità e dello stato del dispositivo in combinazione con l'autenticazione dell'utente.

L’autenticazione multi-fattore e l’applicazione di stringenti policy sull’accessibilità dei servizi da parte degli utenti, permettono di restringere l’accesso esclusivamente a chi ne ha diritto e rispetta i requisiti stabiliti.