Zero Trust: почему «не доверяй никому» перестало быть паранойей и стало нормой

Сегодня этот подход разваливается. Удалёнка, подрядчики, BYOD, фишинг — периметр размазан. Атакующему не нужно ломать фаервол: достаточно украсть логин и пароль через поддельную форму входа. И вот он уже «свой».

Истории из ИБ‑практики:

— Зачем нам ещё одна система, у нас же есть VPN?— А если через VPN заходит злоумышленник с реальными учётными данными? Как ты это отследишь?— Ну... он же будет внутри сети...

И вот именно в этом проблема.

Например, сотрудники подключались к корпоративной сети через обычный VPN. Всё выглядело корректно: учётки выданы, доступ ограничен, антивирус на ноутбуках формально стоит. А при ближайшем рассмотрении выясняется, что один сотрудник использовал личный ноутбук. Внешне всё в порядке, но на устройстве сидел вирус. Как только он зашёл по VPN, заражённая машина начала сканировать внутреннюю сеть и стучаться ко всем сервисам подряд.

В классической модели это выглядело как нормальный сотрудник внутри периметра: VPN пропустил, фаервол считает «своим», IDS молчит.

Но есть ещё одна сторона медали, о которой редко любят говорить вслух — инсайдеры.

Когда сотруднику платят копейки или он уходит к конкурентам, продать доступ становится слишком лёгким искушением. Такой «свой» открывает двери внутрь сети без всякого взлома. В классической модели это почти невозможно отследить — учётка настоящая, логины рабочие. Zero Trust как раз и нужен для того, чтобы не верить даже тем, кто уже внутри: проверка устройств, сегментация, поведенческий анализ позволяют вовремя поймать аномалию и вырубить сессию.

В Zero Trust такая атака обрубается сразу:

— Устройство без проверки состояния (compliance check) просто не пустили бы внутрь;

— Попытки сканирования блокировались бы сегментацией;

— Аномальное поведение фиксировалось бы мониторингом и приводило к автоматическому отзыву сессии.

Или другой пример: сотрудник недавно ввёл данные свои учётные данные на фишинговом сайте и теперь в систему под ними заходит не совсем этот сотрудник. Классическая периметровая защита посчитает его «своим», а в Zero Trust такой сценарий обрубается:

— Вход с нового устройства вызывает MFA,

— Доступ к ресурсам внутри ограничен сегментацией,

— Аномальная активность блокируется автоматически.

В чём суть Zero Trust?

Концепция родилась ещё в 2010 году (Джон Киндерваг, Forrester), но именно сейчас она стала почти обязательной для объектов КИИ.

Философия простая:

Никакого доверия по умолчанию. Каждый запрос, пользователь и устройство считаются небезопасными, пока не доказано обратное.

5 основных принципов Zero Trust

1. Не доверяй никому

— Внутренний и внешний трафик проверяются одинаково,

— Сотрудник в офисе и фрилансер с ноутбуком в кафе проходят одну и ту же валидацию.

2. Микросегментация

— Сеть делится на изолированные куски,

— Бухгалтер не может «случайно» зайти в dev‑среду, даже если его учётку украдут.

3. Контекстный доступРешение о доступе зависит не только от логина и пароля, но и от:

— Роли пользователя,

— Состояния устройства (обновления, антивирус),

— Времени и геолокации,

— Аномального поведения (например, скачивание необычно большого объёма данных).

4. Постоянная проверка

— Сессия не «вечная»,

— Изменился IP или поведение стало подозрительным — доступ блокируется или запрашивается повторная аутентификация.

5. Автоматический отзыв доступа

— Сотрудник уволен или потерял ноутбук — доступ закрывается мгновенно, а не через пару дней.

С чего начать внедрение Zero Trust?

1. Аудит инфраструктуры и доступа — где данные, кто имеет права, какие учётки «висят мёртвым грузом».
2. Определить критические активы — атаки на какие активы будут наиболее болезненными?
3. Собрать команду — IT, ИБ, HR (обучение), юристы (нормативка).
4. Микросегментация — VLAN, SDN, Zscaler Private Access и аналоги.
5. Шифрование всего — TLS, SSL, ГОСТ. В покое и в движении.
6. MFA и PoLP — многофакторка и минимум прав.
7. Обучение сотрудников — фишинг‑тесты, рассылки, симуляции.
8. Мониторинг — SIEM, SOC, поведенческий анализ (начать можно хотя бы с базового мониторинга: кто, когда и откуда заходит).
9. Защита конечных устройств — EDR, антивирусы, автообновления.

Из инструментов также отдельно отмечу:

— ZTNA — по сути, умный доступ вместо VPN.

— IAM — чтобы не держать вечные админки и «универсальные» логины.

— DLP — не панацея, но спасает от утечек по глупости.

— SIEM (для тех, кто покрупнее) — с централизованным мониторингом красота Zero Trust особенно расцветает.

Zero Trust — это не коробка и не галочка в чеклисте. Это смена привычек. Если раньше мы считали «свой значит безопасный», то теперь — «свой только пока доказал, что безопасный».