Главная » Эксперты » Zero Trust. Почему эта концепция так и не стала популярным подходом к кибербезопасности
сегодня, 15:58
Количество просмотров 143

Zero Trust. Почему эта концепция так и не стала популярным подходом к кибербезопасности

Документ Национального института стандартов США (NIST SP 800-207) появился на свет чуть менее 6 лет назад. Тем не менее, несмотря на тот факт, что этот документ носит характер концепции кибербезопасности, говорить о повсеместном применении концепции Zero Trust достаточно затруднительно. В причинах делает попытку разобраться Павел Есаков – независимый эксперт и постоянный автор журнала «ПЛАС». Данная тема будет рассматриваться им 8–9 сентября 2026 года в ходе выступления на 17-м Международном ПЛАС-Форуме «Платежный бизнес и денежное обращение 2026» – одном из крупнейших мероприятий финансового сектора в России и странах ближнего зарубежья.
Zero Trust. Почему эта концепция так и не стала популярным подходом к кибербезопасности
Фото: Предоставлено автором

Автору приходилось читать публикации, в которых намекалось, что уж если ИТ-гиганты до сих пор не перешли на внедрение Zero Trust (ZT), то, возможно, сама концепция обречена на провал. А если говорить о более мелких организациях, то для них это вообще не имеет смысла в силу чрезмерной сложности решений Zero Trust.

Причиной такого мнения можно считать весьма распространенное заблуждение, согласно которому Zero Trust воспринимается лишь как некоторый продукт. В то время как Zero Trust – это прежде всего фреймворк, который требует изменений как в подходах, так и в инфраструктуре, а иногда и в бизнес-процессах. Изменение в подходах не менее важно, чем имплементация решений.

В чем же сущность концепции Zero Trust? В целом в основе концепции лежит подход, в соответствии с которым предполагается, что информационная система организации скомпрометирована. Из этого исходного положения вытекают основные принципы Zero Trust:

  • Все источники данных и компьютерные сервисы считаются ресурсами. Сеть может состоять из устройств многочисленных классов. В сети могут быть также устройства, передающие данные агрегаторам/устройствам хранения, программное обеспечение как услуга, устройства, которые передают инструкции исполнительным устройствам, и другие функции. Организация также может считать персональные устройства ресурсами, если последние имеют возможность получать доступ к данным организации.

  • Передача данных вне зависимости от расположения в сети должна быть защищена. Положение в сети организации само по себе не обеспечивает доверия. Запрос на доступ от устройств, расположенных в пределах сети предприятия, должен пройти ту же проверку, как и запросы, отправленные из внешних сетей, не принадлежащих предприятию. Все сеансы связи должны проводиться с максимально реализуемым уровнем безопасности и обеспечивать конфиденциальность, целостность сообщений и аутентификацию источника.

  • Доступ к каждому ресурсу предоставляется в рамках сессии. Уровень доверия к источнику запроса определяется до предоставления доступа с предоставлением минимально необходимых привилегий для выполнения задачи. Возможен пропуск запроса к ресурсу, если такой же запрос был авторизован прежде с небольшим интервалом времени. Тем не менее аутентификация и авторизация для источника запроса к одному ресурсу не означает автоматического предоставления доступа для этого источника запроса к другому ресурсу.

  • Доступ к ресурсам определяется динамической политикой – включая наблюдаемое состояние идентичности клиента, приложения/сервиса и запрошенного ресурса, – и может включать другие поведенческие атрибуты и признаки имеющегося окружения. Организация защищает свои ресурсы, ведя их каталог и каталог тех, кто является сотрудниками организации (или имеет возможности аутентифицировать ассоциированных сотрудников из других организаций) и какой доступ сотрудникам необходим. В разрезе ZT под идентичностью клиента подразумевается учетная запись (или идентификатор сервиса) и любые ассоциированные атрибуты, присвоенные организацией данной учетной записи, а также артефакты для аутентификации автоматизированных сервисов. Состояние источника запроса может включать в себя характеристики устройства, такие как используемая версия программного обеспечения, его местоположение в сети организации, дату/время запроса, предшествующее поведение источника и установленные учетные записи.

  • Поведенческие атрибуты включают (без ограничений) автоматический анализ субъекта/устройства и зарегистрированные отклонения от обычного поведения. Политика доступа – это набор правил доступа, которые базируются на атрибутах, которые организация присвоила субъектам, устройствам или приложениям. Признаки окружения могут включать такие факторы, как месторасположение в сети источника запроса, время, зафиксированные атаки и т. д. Политики и атрибуты основываются на нуждах бизнес-процесса и допустимого уровня риска. Политики доступа к ресурсам могут меняться в зависимости от чувствительности данных/ресурса. Политика минимально необходимых привилегий призвана уменьшить наблюдаемость и доступность ресурсов.

  • Организация измеряет и контролирует целостность и уровень безопасности всех собственных и ассоциированных активов. Ни один из активов не считается доверенным. Организация оценивает безопасность активов организации при получении запроса к ресурсу. Организация, применяющая Zero Trust Authentication (ZTA), должна установить систему постоянной диагностики и защиты (Continuous Diagnostics and Mitigation – CDM) или аналогичную для оценки состояния устройств и приложений и применять патчи по мере необходимости. Активы, в которых обнаружены уязвимости и/или которые не управляются организацией, могут иметь другие подходы к предоставлению доступа (включая полный запрет взаимодействия с ресурсами организации) по сравнению с устройствами, находящимися под полным контролем предприятия. Последнее также может иметь отношение и к персональным устройствам сотрудников, которым может быть предоставлен доступ к некоторым ресурсам, но не ко всем. Последнее обстоятельство требует системы, предоставляющей отчеты о текущем состоянии ресурсов и принятых мерах.

  • Все процессы аутентификации и авторизации являются динамическими и строго соблюдаются перед предоставлением доступа. Это предполагает постоянный циклический процесс предоставления доступа, сканирования и оценки имеющихся угроз, переоценки уровней доверия к передаче данных. Организация, применяющая ZTA, должна иметь в своем распоряжении систему ICAM (Identity, Credential, and Access Management). Это включает использование многофакторной аутентификации (MultiFactor Authentication – MFA) для доступа к некоторым или всем ресурсам. Постоянный мониторинг с возможностью повторной аутентификации и авторизации при взаимодействии с ресурсами в соответствии с политикой доступа (например, с учетом времени, запроса нового ресурса, модификации ресурса, обнаруженное аномальное поведение ресурса) должен обеспечить баланс между безопасностью, удобством пользователя и общей стоимостью владения.

  • Организация собирает как можно больше информации о текущем состоянии ресурсов, сетевой инфраструктуре и каналах коммуникации и использует эту информацию для улучшения состояния безопасности организации. Организация должна накапливать информацию о состоянии уровня безопасности ресурсов, сетевом трафике и запросах к ресурсам, обрабатывать эти данные и использовать их для создания политик доступа, а также использовать как контекст для обработки запросов к ресурсам.

Полное содержание документа предлагаем скачать здесь.

Все вышеизложенные принципы являются технологически нейтральными и, разумеется, допускают частичное применение данных принципов. Организация не может применять подходы ZT для внешних пользователей, если только последние не вступают с организацией в какие-либо отношения.

Хотя концепция Zero Trust предназначена для решения задачи по обеспечению высокого уровня безопасности организации в целом, она попутно решает такие злободневные проблемы, как, например, защита от вирусов-вымогателей, инсайдерских атак, и создает существенные проблемы для атак со стороны внешних злоумышленников.

Защита от фишинга и атак вирусов вымогателей: практикуя Zero Trust, можно предотвратить такие атаки ограничением привилегий пользователей и требованием дополнительной верификации независимо от устройства, ролевой модели и уровня доступа пользователя.

Минимизация угроз со стороны инсайдеров: следуя принципу минимально необходимых привилегий доступа и постоянного контроля активности пользователя, Zero Trust может обнаруживать и предотвращать потенциальные угрозы от инсайдеров.

Следование принципам Zero Trust ограничивает площадь опоры для атакующего: верифицируя каждый запрос пользователя на доступ к ресурсу, применяя многофакторную аутентификацию и постоянный мониторинг, Zero Trust может ограничить или даже заблокировать доступ злоумышленников к корпоративной сети.

Тем не менее, несмотря на очень хорошо проработанный документ, массового перехода к реализации концепции на сегодняшний день нет. Похоже, налицо целый ряд проблем. Так, основная масса вендоров – поставщиков систем информационной безопасности предлагают реализацию некоторых компонентов Zero Trust, причем предлагаемое решение реализует те подходы концепции, которые традиционны для данного поставщика. Но концепция Zero Trust предполагает очень широкий охват, и практически невозможно назвать вендора, реализующего все принципы концепции.

Читайте также:
Игорь Голдовский
Перспективы панъевропейской платежной системы – взгляд из России

Традиционный подход с использованием решения по использованию продуктов нескольких вендоров практически невозможен, поскольку требования по взаимодействию всех компонентов архитектуры Zero Trust требует одинаковых протоколов от всех вендоров, что на сегодняшний момент не реализовано.

Дополнительной сложностью в процессе перехода к решениям Zero Trust является то обстоятельно, что переход не может быть сделан одномоментно. Такой переход более похож на длительный процесс миграции, причем организация должна иметь достаточно высокий уровень подготовки как ИТ-подразделений, так и бизнеса. В наиболее выигрышной ситуации оказываются те организации, которые только начинают бизнес и имеют возможность реализации подходов Zero Trust с нуля. В этом случае им не приходится сталкиваться с необходимостью реализовывать принципы на унаследованной инфраструктуре.

Рубрика:
{}Безопасность
Теги:
#ПАВЕЛ ЕСАКОВ
#КИБЕРБЕЗОПАСНОСТЬ
Новости в вашей почте
mail
PLUSworld в соцсетях:
telegram
vk
dzen
youtube

ТАКЖЕ ПО ТЕМЕ

Россия вошла в ТОП-3 источников DDoS-атак в мире по итогам 1 квартала 2026 года
В «Гознак.Инвестициях» добавлено удаленное подтверждение личности по Alfa ID
Как мошенники захватили мессенджеры
JPMorgan включает Европу в сферу действия инициативы финансирования национальной безопасности
Россия вошла в ТОП-3 источников DDoS-атак в мире по итогам 1 квартала 2026 года
В «Гознак.Инвестициях» добавлено удаленное подтверждение личности по Alfa ID
Как мошенники захватили мессенджеры
JPMorgan включает Европу в сферу действия инициативы финансирования национальной безопасности