En 2010, el analista de investigación de Forrester John Kindervag propuso una solución que denominó "Zero Trust".
Fue un cambio de la estrategia de "confiar, pero verificar" a "nunca confiar, siempre comprobar". En el modelo Zero Trust, no se confía en ningún usuario o dispositivo para acceder a un recurso hasta que se compruebe su identidad y autorización. Este proceso se aplica a quienes suelen encontrarse en una red privada, como una persona empleada en un ordenador de empresa que trabaja de forma remota desde casa o en su dispositivo móvil durante una conferencia al otro lado del mundo. También se aplica a todas las personas o dispositivos fuera de esa red. No importa si ha accedido a la red antes o cuántas veces lo ha hecho: su identidad no es de confianza hasta que se vuelva a comprobar. La idea es suponer que cada máquina, usuario y servidor no son de confianza hasta que se demuestre lo contrario.
Históricamente, el enfoque de "castillo y foso" hacia la seguridad parecía viable; hubo un tiempo en que imperó la idea de un perímetro de red donde cualquiera que se encontrase fuera de la red (o foso) era "malo" y todos los que estuviesen dentro eran "buenos". Sin embargo, al igual que los castillos y los fosos son cosa del pasado, también debe serlo este enfoque de seguridad casi medieval. Piense en el estado actual del trabajo remoto. La plantilla y el lugar de trabajo han cambiado: las personas han dejado atrás las cuatro paredes de una oficina y ahora trabajan en cualquier momento y de forma distinta. Con el auge de la nube, el perímetro de red ya no existe de la misma manera que antes. Es posible encontrar a los usuarios y las aplicaciones tanto a un lado como al otro del foso. Y eso añade vulnerabilidades al perímetro de las que los agentes maliciosos se pueden aprovechar. Una vez dentro del foso, pueden moverse libremente, acceder a recursos y activos de alto valor, como los datos de los clientes (¡o las joyas de la corona!); o lanzar un ataque de ransomware.