Когда‑то безопасность строилась вокруг простого правила: если ты внутри сети, значит «свой». Ставим фаервол, заворачиваем трафик в VPN, прикручиваем IDS — и вроде всё под контролем.

Сегодня этот подход разваливается. Удалёнка, подрядчики, BYOD, фишинг — периметр размазан. Атакующему не нужно ломать фаервол: достаточно украсть логин и пароль через поддельную форму входа. И вот он уже «свой».

Истории из ИБ‑практики:

— Зачем нам ещё одна система, у нас же есть VPN?

— А если через VPN заходит злоумышленник с реальными учётными данными? Как ты это отследишь?

— Ну… он же будет внутри сети…

И вот именно в этом проблема.

Например, сотрудники подключались к корпоративной сети через обычный VPN. Всё выглядело корректно: учётки выданы, доступ ограничен, антивирус на ноутбуках формально стоит. А при ближайшем рассмотрении выясняется, что один сотрудник использовал личный ноутбук. Внешне всё в порядке, но на устройстве сидел вирус. Как только он зашёл по VPN, заражённая машина начала сканировать внутреннюю сеть и стучаться ко всем сервисам подряд.

В классической модели это выглядело как нормальный сотрудник внутри периметра: VPN пропустил, фаервол считает «своим», IDS молчит.

Но есть ещё одна сторона медали, о которой редко любят говорить вслух — инсайдеры.

Когда сотруднику платят копейки или он уходит к конкурентам, продать доступ становится слишком лёгким искушением. Такой «свой» открывает двери внутрь сети без всякого взлома. В классической модели это почти невозможно отследить — учётка настоящая, логины рабочие. Zero Trust как раз и нужен для того, чтобы не верить даже тем, кто уже внутри: проверка устройств, сегментация, поведенческий анализ позволяют вовремя поймать аномалию и вырубить сессию.

В Zero Trust такие атаки обрубаются сразу:

— Устройство без проверки состояния (compliance check) просто не пустили бы внутрь;
— Попытки сканирования блокировались бы сегментацией;
— Аномальное поведение фиксировалось бы мониторингом и приводило к автоматическому отзыву сессии.

Или другой пример: сотрудник недавно ввёл данные свои учётные данные на фишинговом сайте и теперь в систему под ними заходит не совсем этот сотрудник. Классическая периметровая защита посчитает его «своим», а в Zero Trust такой сценарий обрубается:

— Вход с нового устройства вызывает MFA,
— Доступ к ресурсам внутри ограничен сегментацией,
— Аномальная активность блокируется автоматически.

В чём суть Zero Trust?

Концепция родилась ещё в 2010 году (Джон Киндерваг, Forrester), но именно сейчас она стала почти обязательной для объектов КИИ.

Философия простая:

Никакого доверия по умолчанию. Каждый запрос, пользователь и устройство считаются небезопасными, пока не доказано обратное.

5 основных принципов Zero Trust

1. Не доверяй никому

• Внутренний и внешний трафик проверяются одинаково,

• Сотрудник в офисе и фрилансер с ноутбуком в кафе проходят одну и ту же валидацию.

2. Микросегментация

• Сеть делится на изолированные куски,

• Бухгалтер не может «случайно» зайти в dev‑среду, даже если его учётку украдут.

3. Контекстный доступ
Решение о доступе зависит не только от логина и пароля, но и от:

• Роли пользователя,

• Состояния устройства (обновления, антивирус),

• Времени и геолокации,

• Аномального поведения (например, скачивание необычно большого объёма данных).

4. Постоянная проверка

• Сессия не «вечная»,

• Изменился IP или поведение стало подозрительным — доступ блокируется или запрашивается повторная аутентификация.

5. Автоматический отзыв доступа

• Сотрудник уволен или потерял ноутбук — доступ закрывается мгновенно, а не через пару дней.

С чего начать внедрение Zero Trust?

1. Аудит инфраструктуры и доступа — где данные, кто имеет права, какие учётки «висят мёртвым грузом».

2. Определить критические активы — атаки на какие активы будут наиболее болезненными?

3. Собрать команду — IT, ИБ, HR (обучение), юристы (нормативка).

4. Микросегментация — VLAN, SDN, Zscaler Private Access и аналоги.

5. Шифрование всего — TLS, SSL, ГОСТ. В покое и в движении.

6. MFA и PoLP — многофакторка и минимум прав.

7. Обучение сотрудников — фишинг‑тесты, рассылки, симуляции.

8. Мониторинг — SIEM, SOC, поведенческий анализ (начать можно хотя бы с базового мониторинга: кто, когда и откуда заходит).

9. Защита конечных устройств — EDR, антивирусы, автообновления.

Из инструментов также отдельно отмечу:

• ZTNA — по сути, умный доступ вместо VPN.

• IAM — чтобы не держать вечные админки и «универсальные» логины.

• DLP — не панацея, но спасает от утечек по глупости.

• SIEM (для тех, кто покрупнее) — с централизованным мониторингом красота Zero Trust особенно расцветает.

Zero Trust — это не коробка и не галочка в чеклисте. Это смена привычек. Если раньше мы считали «свой значит безопасный», то теперь — «свой только пока доказал, что безопасный».