Найти в Дзене
АБП2Б
9 подписчиков

Zero Trust: почему «не доверяй никому» перестало быть паранойей и стало нормой

3 мин
Когда‑то безопасность строилась вокруг простого правила: если ты внутри сети, значит «свой». Ставим фаервол, заворачиваем трафик в VPN, прикручиваем IDS — и вроде всё под контролем. Сегодня этот подход разваливается. Удалёнка, подрядчики, BYOD, фишинг — периметр размазан. Атакующему не нужно ломать фаервол: достаточно украсть логин и пароль через поддельную форму входа. И вот он уже «свой». Истории из ИБ‑практики: — Зачем нам ещё одна система, у нас же есть VPN?— А если через VPN заходит злоумышленник с реальными учётными данными? Как ты это отследишь?— Ну… он же будет внутри сети… И вот именно в этом проблема. Например, сотрудники подключались к корпоративной сети через обычный VPN. Всё выглядело корректно: учётки выданы, доступ ограничен, антивирус на ноутбуках формально стоит. А при ближайшем рассмотрении выясняется, что один сотрудник использовал личный ноутбук. Внешне всё в порядке, но на устройстве сидел вирус. Как только он зашёл по VPN, заражённая машина начала сканировать вну

Когда‑то безопасность строилась вокруг простого правила: если ты внутри сети, значит «свой». Ставим фаервол, заворачиваем трафик в VPN, прикручиваем IDS — и вроде всё под контролем.

Сегодня этот подход разваливается. Удалёнка, подрядчики, BYOD, фишинг — периметр размазан. Атакующему не нужно ломать фаервол: достаточно украсть логин и пароль через поддельную форму входа. И вот он уже «свой».

Истории из ИБ‑практики:

— Зачем нам ещё одна система, у нас же есть VPN?— А если через VPN заходит злоумышленник с реальными учётными данными? Как ты это отследишь?— Ну… он же будет внутри сети…

И вот именно в этом проблема.

Например, сотрудники подключались к корпоративной сети через обычный VPN. Всё выглядело корректно: учётки выданы, доступ ограничен, антивирус на ноутбуках формально стоит. А при ближайшем рассмотрении выясняется, что один сотрудник использовал личный ноутбук. Внешне всё в порядке, но на устройстве сидел вирус. Как только он зашёл по VPN, заражённая машина начала сканировать внутреннюю сеть и стучаться ко всем сервисам подряд.

В классической модели это выглядело как нормальный сотрудник внутри периметра: VPN пропустил, фаервол считает «своим», IDS молчит.

Но есть ещё одна сторона медали, о которой редко любят говорить вслух — инсайдеры.

Когда сотруднику платят копейки или он уходит к конкурентам, продать доступ становится слишком лёгким искушением. Такой «свой» открывает двери внутрь сети без всякого взлома. В классической модели это почти невозможно отследить — учётка настоящая, логины рабочие. Zero Trust как раз и нужен для того, чтобы не верить даже тем, кто уже внутри: проверка устройств, сегментация, поведенческий анализ позволяют вовремя поймать аномалию и вырубить сессию.

В Zero Trust такая атака обрубается сразу:

— Устройство без проверки состояния (compliance check) просто не пустили бы внутрь;
— Попытки сканирования блокировались бы сегментацией;
— Аномальное поведение фиксировалось бы мониторингом и приводило к автоматическому отзыву сессии.

Или другой пример: сотрудник недавно ввёл данные свои учётные данные на фишинговом сайте и теперь в систему под ними заходит не совсем этот сотрудник. Классическая периметровая защита посчитает его «своим», а в Zero Trust такой сценарий обрубается:

— Вход с нового устройства вызывает MFA,
— Доступ к ресурсам внутри ограничен сегментацией,
— Аномальная активность блокируется автоматически.

В чём суть Zero Trust?

Концепция родилась ещё в 2010 году (Джон Киндерваг, Forrester), но именно сейчас она стала почти обязательной для объектов КИИ.

Философия простая:

Никакого доверия по умолчанию. Каждый запрос, пользователь и устройство считаются небезопасными, пока не доказано обратное.

5 основных принципов Zero Trust

1. Не доверяй никому

— Внутренний и внешний трафик проверяются одинаково,
— Сотрудник в офисе и фрилансер с ноутбуком в кафе проходят одну и ту же валидацию.

2. Микросегментация

— Сеть делится на изолированные куски,
— Бухгалтер не может «случайно» зайти в dev‑среду, даже если его учётку украдут.

3. Контекстный доступ
Решение о доступе зависит не только от логина и пароля, но и от:

— Роли пользователя,
— Состояния устройства (обновления, антивирус),
— Времени и геолокации,
— Аномального поведения (например, скачивание необычно большого объёма данных).

4. Постоянная проверка
— Сессия не «вечная»,
— Изменился IP или поведение стало подозрительным — доступ блокируется или запрашивается повторная аутентификация.

5. Автоматический отзыв доступа
— Сотрудник уволен или потерял ноутбук — доступ закрывается мгновенно, а не через пару дней.

С чего начать внедрение Zero Trust?

  1. Аудит инфраструктуры и доступа — где данные, кто имеет права, какие учётки «висят мёртвым грузом».
  2. Определить критические активы — атаки на какие активы будут наиболее болезненными?
  3. Собрать команду — IT, ИБ, HR (обучение), юристы (нормативка).
  4. Микросегментация — VLAN, SDN, Zscaler Private Access и аналоги.
  5. Шифрование всего — TLS, SSL, ГОСТ. В покое и в движении.
  6. MFA и PoLP — многофакторка и минимум прав.
  7. Обучение сотрудников — фишинг‑тесты, рассылки, симуляции.
  8. Мониторинг — SIEM, SOC, поведенческий анализ (начать можно хотя бы с базового мониторинга: кто, когда и откуда заходит).
  9. Защита конечных устройств — EDR, антивирусы, автообновления.

Из инструментов также отдельно отмечу:

— ZTNA — по сути, умный доступ вместо VPN.

— IAM — чтобы не держать вечные админки и «универсальные» логины.

— DLP — не панацея, но спасает от утечек по глупости.

— SIEM (для тех, кто покрупнее) — с централизованным мониторингом красота Zero Trust особенно расцветает.

Zero Trust — это не коробка и не галочка в чеклисте. Это смена привычек. Если раньше мы считали «свой значит безопасный», то теперь — «свой только пока доказал, что безопасный».