Когда речь заходит о кибербезопасности, доверие — это опасная роскошь. Громкие утечки данных, взломы крупных компаний и бесконечные цепочки атак привели к рождению концепции, которая предлагает радикально новое решение: «Не доверяй никому и ничему». Zero Trust ворвался в мир как спасательный круг для бизнеса, уставшего от постоянных угроз, и стал новой мантрой для специалистов по безопасности. Но является ли эта модель настоящей революцией или это очередной маркетинговый ход? Эти и другие вопросы обсуждали на круглом столе IT-World «Цифровое доверие: киберщит или ахиллесова пята?», организованном журналом IT Manager.
С самого начала модератор дискуссии Рустэм Хайретдинов (Гарда) решил не тратить время на общие фразы. Суть концепции Zero Trust, по его словам, заключается в том, чтобы не бояться утечки учётных данных, которые могут стать «ключами» к системам и процессам компании. Zero Trust — это модель, где никакому элементу сети не доверяют по умолчанию, и каждая транзакция или запрос на доступ должна подтверждаться каждый раз заново. «Идея в том, чтобы свести на нет смысл взлома и повышения привилегий — основного метода большинства атак», — подчеркнул он. Однако внедрение Zero Trust не обходится без проблем: частые повторные аутентификации требуют дополнительных вычислительных ресурсов. Вопрос в том, будет ли такая система экономически оправданной, если нагрузка на инфраструктуру возрастёт? Какие ресурсы потребуются для полноценного внедрения Zero Trust и насколько это окажется обременительным?
«Zero Trust стал необходимостью для всех, и использование многофакторной аутентификации, даже постоянный ввод новых паролей, в первую очередь нагружает пользователей, а не систему», - считает Максим Степченков (RuSIEM).
Пользователи часто жалуются на сложные проверки, но в итоге им придётся принять новый порядок. При этом нагрузка на инфраструктуру от Zero Trust не такая уж значительная — проблема больше в том, чтобы правильно выстроить саму архитектуру системы безопасности.
Если большинство заказчиков привыкли доверять своим пользователям по умолчанию, то придётся менять не только инфраструктуру, но и весь подход к информационной безопасности. Это значит, что для успешного внедрения Zero Trust компаниям придётся пересмотреть привычные процессы и адаптироваться к новой реальности, где безопасность не оставляет места для компромиссов.
Авторизация как ахиллесова пята: от паролей до машин
Постоянные требования к аутентификации — это не только вызов для серверов, но и для хелпдеска. «Как только ты заставляешь пользователей каждый раз вводить новый пароль, нагрузка на инфраструктуру хелпдеска возрастает в разы. Люди забывают пароли, записывают их где попало или используют менеджеры паролей, которые неизвестно, куда сливают данные», — сказал Рустем Хайретдинов. Вопрос не только в том, чтобы купить больше серверов, но и в том, чтобы увеличить штат технической поддержки, ведь человеческий фактор никто не отменял.
Виталий Даровских (UserGate) напомнил, что Zero Trust — это не готовое решение, которое можно просто «вытащить из коробки». «Нет такой коробочки, на которой написано Zero Trust, открываешь её, и вот оно — всё готово», — заметил он с улыбкой. По его словам, разные компании по-разному понимают степень недоверия: одному хватит простой аутентификации, другому потребуется многоуровневая система с несколькими проверками. Чем важнее доступ, тем выше должна быть степень недоверия.
И конечно идентификация должна охватывать не только пользователей, но и машины, которые они используют. «У нас могут быть добросовестные сотрудники, но компрометация их устройств всё равно представляет угрозу. Поэтому идентификация машин по различным признакам — это не менее важная часть Zero Trust», — подчеркнул он приведя пример из собственного опыта, когда его система блокировала доступ к документам, даже если случайно была получена ссылка. Так работает Zero Trust: защита не допускает несанкционированных доступов, независимо от обстоятельств.
И конечно идентификация должна охватывать не только пользователей, но и машины, которые они используют. «У нас могут быть добросовестные сотрудники, но компрометация их устройств всё равно представляет угрозу. Поэтому идентификация машин по различным признакам — это не менее важная часть Zero Trust», — подчеркнул он приведя пример из собственного опыта, когда его система блокировала доступ к документам, даже если случайно была получена ссылка. Так работает Zero Trust: защита не допускает несанкционированных доступов, независимо от обстоятельств.
«Я задался вопросом два года назад, как события 2022 года повлияли на системы безопасности. И, честно говоря, чёткого ответа я не получил», — начал известный эксперт по кибербезопасности Олег Седов. Именно тогда произошёл всплеск успешных атак, массовые утечки данных и персональной информации. Этот новый уровень угроз потребовал переоценки не только рисков, но и всего подхода к защите. Мир изменился: ушли иностранные операторы, покинули рынок зарубежные игроки. Необходимо учитывать эти новые реалии, включая политические и архитектурные риски. Для Олега это вопрос доверия, которое должно быть дифференцировано на трёх уровнях. «На первом уровне — это пользователи: кто они, что делают и зачем. Второй уровень — это программное обеспечение, с которым они работают, и которое часто не проходит должной проверки. И на третьем уровне — сама ИТ-инфраструктура, которая, пожалуй, самая сложная часть», — разъяснил он. И привёл метафору: «Если у вас Boeing из идеальных композитных материалов, но заклёпки сделаны из пластилина — умный на таком самолёте не полетит». Пример показывает, что слабое звено может поставить под угрозу всю систему.
Маркетинг или реальная необходимость?
Михаил Бачинский (САЛД) называет Zero Trust скорее маркетинговым понятием. По его словам, вопрос идентификации пользователей нельзя сводить лишь к паролям и логинам. «Мы рискуем свалиться в чрезмерную паранойю: да, да, согласен, подтвердите ещё раз, покрутите лицом перед камерой. А вот сегодня у вас цвет лица не тот, и система решит, что это не вы», — с долей сарказма заметил он.
Но дело не только в идентификации, контроль действий пользователя после входа в систему не менее важен. «Мы должны удостовериться, что это действительно тот человек, за которого он себя выдаёт, и что его техника не скомпрометирована», - говорит эксперт. Поэтому, системы должны уметь отслеживать не только поведение пользователя, но и технические аспекты: как он двигает мышкой, сколько кликов делает, и что происходит с данными во время загрузки или выгрузки. «Наш нарушитель — это злоумышленник самого высокого уровня. Невозможно полностью защититься от всех угроз. Наша задача — остановить развитие атаки и своевременно среагировать», — подчеркнул Константин Корсаков (RooX). Так, микро-сегментация и контроль за каждой точкой входа — это не просто техники, а стратегия, направленная на минимизацию ущерба.
Существуют и риски, связанные с модулями авторизации. «Новая точка отказа — это системы фиксации авторизации. Если они выходят из строя, мы теряем деньги, репутацию, да и вообще систему управления доступом», — предупредил он. Тем не менее, даже такие проблемы оправдывают дополнительные затраты, ведь современные условия требуют гибкости и готовности к реагированию на атаки.
Контроль и доверие
Александр Луганский (UserGate) уверен, что оценка рисков должна быть постоянным процессом, а не реакцией на разовые события. Зачастую забывается о самой очевидной угрозе — собственных сотрудниках. «Максимально потенциальным злоумышленником может оказаться обычный сотрудник, который всегда работал хорошо, но что-то изменилось, и он начинает действовать в рамках своих привилегий, чтобы навредить компании», — добавил он. Если сотрудник внезапно переходит от одного загружаемого файла в месяц к десятку в день, это должно вызывать вопросы. Контроль за действиями должен основываться на базовом поведении, а аномалии — сигнализировать о возможных проблемах.
Иван Козлов (ГК «Латео»), представляющий позицию бизнес-заказчика, обратил внимание на то, что Zero Trust не должен восприниматься как что-то противоположное остальным методам защиты. По мнению Ивана, любые меры безопасности стоят денег и усложняют работу, будь то Zero Trust или более простые меры, такие как ограничение прав или использование бумажных заявок на доступ. Но Zero Trust — это не единственное решение, а лишь одна из возможных стратегий повышения уровня защиты.
«Каждые два года появляется новая технология, которая обещает всех нас спасти: то блокчейн, то двухфакторная аутентификация, а теперь Zero Trust. Но это не очередная «волшебная пилюля». Это подход, который заслуживает внимания как ещё один инструмент в нашем арсенале», - заключил модератор.
Между паранойей и реальностью
Рустэм Хайретдинов привел интересную аналогию, когда разговор зашёл о доверии в кибербезопасности. «У меня есть знакомый участковый, который всегда представляет, что встречный человек может нести с собой топор. Таким образом, он всегда готов к нападению», — рассказал он. Но, если каждый начнёт мыслить с такой же подозрительностью, как этот участковый, то очень быстро сойдёт с ума. По его словам, безопасность всегда остаётся компромиссом между удобством, функциональностью и защитой. Полностью безопасную систему построить можно, но тогда придётся пожертвовать всем остальным.
Александр Луганский, в свою очередь, подчеркнул, что концепция Zero Trust вовсе не означает тотального контроля и блокировки всех возможных действий пользователей. «Мы пришли к части концепции Zero Trust в 2017 году, но это не значит, что все сложности легли на плечи пользователей. Мы не пытались заблокировать всё подряд, а отслеживали события и поведение сотрудника», — пояснил он, добавив, что такой подход позволяет укреплять доверие между компанией и её сотрудниками, формируя систему «доверия в условиях недоверия».
Виталий Даровских внёс в дискуссию своё мнение, признавшись, что хотел бы сыграть роль «Бабы Яги», не согласной с коллегами. По его мнению, Zero Trust должен опираться на проверяемые и доказуемые методы, а не на тотальный надзор. «Мы не доверяем, но если ты предоставишь все нужные доказательства — правильные пароли, сертификаты, соответствие стандартам, то доступ будет разрешён», — сказал он, отметив, что при разумном подходе даже скачивание большого количества файлов не должно вызывать подозрений, если это объяснимо, например, налоговым периодом для главного бухгалтера.
Границы безопасности
Зачастую излишние меры защиты могут привести к тому, что часть сотрудников просто уволится. «Люди не хотели работать без доступа в интернет, потому что им так удобнее», — рассказал Максим Степченков. Это вызвало проблемы с текучестью кадров и сложностями в найме, особенно когда речь шла о рядовых сотрудниках, для которых поблажек не делали. По мнению Максима, Zero Trust — это просто новое название для того, что специалисты по безопасности пытались сделать уже десятилетиями: создать такую систему, где взлом конечного устройства не наносит серьёзного ущерба компании.
Рустэм Хайретдинов ответил, что маркетинг — это не всегда плохо. «Маркетинг — это не ругательное слово. Это что-то, что красиво упаковано и продаётся, будь то руководителям или пользователям», — заметил он. И предложил взглянуть на Zero Trust как на удачный бренд, который позволил объединить сложные концепции и технические решения под одной удобной «этикеткой».
Михаил Бачинский отметил, что защита не должна ограничиваться только идентификацией пользователей, важен комплексный подход, включающий контроль за загружаемой и получаемой информацией. «Логин и пароль — это лишь первый шаг, чтобы мы могли сказать: «Возможно, мы тебе доверяем, но покажи, что это действительно ты», — добавил он.
В дискуссию вмешался Константин Корсаков, который напомнил, что даже до ввода логина можно собрать массу информации. «Мы можем узнать много ещё до того, как пользователь введёт логин», — заметил он. Современные системы способны получать данные об устройстве и его местоположении, что даёт возможность для адаптивной аутентификации. Это позволяет более гибко реагировать на потенциальные угрозы и учитывать контекст использования.
Защита цепочки поставок и предсказание аномалий
А существует ли подобный общий термин, описывающий защиту всей цепочки, от клиента до данных внутри приложения? «Есть же каналы данных, есть сервера — это всё тоже нужно учитывать, а не только недоверенные клиентские устройства. Если нет такого термина, может, стоит придумать новый и раскрутить его, как сделали с Zero Trust», — пошутил Иван Козлов, намекая на частую практику оборачивания старых идей в новые термины ради популяризации.
В ответ Рустэм Хайретдинов отметил, что, возможно, вскоре придётся иметь дело с «политически мотивированными сотрудниками» или «агентами иностранных спецслужб». «Zero Trust подразумевает, что даже если кто-то проникнет в сеть и повысит свои привилегии, серьёзного ущерба он не нанесёт», — объяснил он. Хайретдинов также подчеркнул важность обнаружения аномалий, таких как скачивание большого количества файлов, и указал на роль искусственного интеллекта в выявлении подозрительных действий по множеству параметров. «AI теперь помогает находить аномалии там, где раньше мы могли бы пропустить угрозу», — добавил он, призывая обсудить, как концепция Zero Trust помогает бороться с атаками, идущими как изнутри, так и извне.
Искусственный интеллект: спасение от рутинной работы или новое оружие киберзащиты?
Рустэм Хайретдинов предложил участникам обсуждения перейти к следующей «фишке», которая обещает изменить кибербезопасность — искусственному интеллекту. «Давайте сделаем круг забега о том, как AI нас спасёт, а не захватит», — сказал он с лёгкой иронией. Хайретдинов напомнил, что уже сейчас AI используется для анализа репутации, атрибутов пользователей и устройств, а также для поиска аномалий. И хотя технологии ещё далеки от совершенства, они уже играют важную роль в защите данных.
Ивану Козлову предложение понравилось. «В Битриксе появились две кнопки: «обоснованно поругать» и «обоснованно похвалить», и AI сам находит причины для того или другого», — рассказал он с юмором. Но, по мнению Ивана, самое перспективное применение AI — это работа с системами SIEM (Security Information and Event Management). Он отметил, что для работы с SIEM нужны специалисты, которые разбираются в корреляции событий, а для многих компаний, таких как его собственная, это непосильная задача из-за нехватки кадров.
Александр Луганский поддержал коллегу, добавив, что AI действительно может стать отличным инструментом для автоматизации рутинных процессов. «Искусственный интеллект поможет снять рутину с сотрудников, особенно там, где требуется монотонный анализ данных», — отметил он. Луганский подчеркнул, что AI, скорее всего, не создаст что-то радикально новое, но сможет качественно обрабатывать уже имеющуюся информацию и выявлять аномалии, основанные на предустановленных моделях.
По словам Максима Степченкова крупные производители средств киберзащиты уже давно используют AI и ML (машинное обучение) в своих продуктах. Технологии ML помогают выявлять нестандартные действия, которые затем становятся основой для создания новых правил корреляции. «Мы превращаем аномалии в новые стандарты безопасности, и AI в этом процессе незаменим», — добавил он.
Кто контролирует контролёра?
Виталий Даровских задал вопрос, который звучал как вызов для всех присутствующих: «А что будет, когда AI начнёт учиться сам у себя или у других AI? Как мы сможем доверять этим системам?». Пока за всеми решениями, принимаемыми машинами, стоят люди. Но когда AI начнёт создавать собственные модели и принимать автономные решения, появится проблема доверия. «У меня нет никакого доверия к искусственному интеллекту, когда он начнёт «творить», — признался Виталий.
Максим Степченков поддержал его сомнения, отметив, что современные AI-системы не несут ответственности за свои решения. «Пока система не боится за свои решения и не понимает их последствий, о настоящем AI речи быть не может», — добавил он. Но когда такие системы появятся, они могут принять меры для своей защиты, что может вызвать серьёзные опасения по поводу их контроля.
«Недавно появился документ по модели угроз генеративного AI. Кроме того, существует AI Risk Repository, где собрана огромная база данных по угрозам», — рассказал Константин Корсаков. Одной из главных проблем, по его мнению, остаётся «отравление» данных во время обучения или использования в производственной среде, что может серьёзно повлиять на результаты работы AI.
«Искусственный интеллект хорошо находит общие черты и выделяет резкие отклонения в данных», — отметил Михаил Бачинский. Однако он усомнился в способности AI создавать что-то новое без ошибок: «AI научился писать код, но даже в простом коде из 500 строк делает десятки ошибок». Кроме того AI должен учитывать культурные и ментальные особенности людей, чтобы принимать адекватные решения, что делает универсальные системы невозможными.
По мнению Ивана Козлова, проблема Zero Trust становится особенно актуальной, когда AI может обходить системы безопасности, подстраивая своё поведение. «AI может адаптироваться, постепенно наращивая активность, чтобы не вызвать подозрений. Интересная задача — понять, что ты работаешь не с AI, а с реальным человеком», — заключил он.
Облака и безопасность
Рустэм Хайретдинов описал текущую ситуацию в ИТ как маятник, который продолжает раскачиваться между полной автономией и использованием облачных технологий. «Два года назад все отключились от облаков и начали развивать свои системы, но теперь поняли, что это дорого и требует специалистов. Опять возвращается аутсорсинг, облака и коллективная работа», — сказал он. В условиях, когда компании снова открывают свои системы для аутсорсеров и подрядчиков, которые получают доступ к данным, особенно важно использовать новые принципы безопасности, чтобы минимизировать риски.
Александр Луганский поддержал эту мысль, отметив, что жить без облаков становится всё труднее. ««Проверка гипотез и быстрое масштабирование бизнеса на собственном «железе» в текущих реалиях просто невозможно — ждать оборудование приходится по восемь месяцев», — сказал он, подчеркнув, что у крупных российских провайдеров облачных услуг, как правило, работают более квалифицированные специалисты по информационной безопасности, чем в большинстве компаний.
Однако Максим Степченков напомнил, что использование облаков не лишено рисков. «Кто будет контролировать контролирующего?» — задался он вопросом, указывая на возможные проблемы при передаче всех функций безопасности на сторону внешних провайдеров. Он напомнил о недавнем инциденте, когда обновление Windows вызвало сбои по всему миру. По мнению Максима, это показывает, что облачные сервисы также уязвимы и могут стать целью для кибератак.
Кроме того, крупные облака становятся привлекательной целью для злоумышленников: взлом одного облака может привести к компрометации данных сотен компаний. «Зачем взламывать одного заказчика, если можно получить доступ к десяткам через одно облако?» — заключил он, указывая на необходимость тщательной оценки рисков при выборе облачных решений.
Сознательный выбор между затратами и угрозами
Рустэм Хайретдинов чётко обозначил дилемму, с которой сталкиваются современные компании: «Мы выбираем между тем, что будет дорого, и тем, что нас могут взломать через подрядчиков. Это осознанное решение. Пусть будет дешевле, но с новым риском», — отметил он. По его словам, бизнес предпочитает экономить, добавляя удобство в ущерб безопасности. Это стратегический выбор, который компании делают сознательно, понимая, что аутсорсинг и облака не избавляют их от рисков, но позволяют экономить на инфраструктуре.
«Я решил несколько лет назад, что мои компании будут в облаках, и принял на себя все связанные с этим риски», — рассказал Максим Степченков, добавив, что даже при таком подходе бывают сложности: аренда стоек может стать экономически невыгодной для провайдера, и он может настоять на переходе в свои облака, что приводит к дополнительным затратам для бизнеса.
По мнению Виталия Даровских, облачные решения по сути не так уж сильно отличаются от традиционной инфраструктуры, кроме как физической удалённостью. «Можно расставить своё оборудование отдельно от всего остального, подвести к нему отдельное питание — это снимет часть рисков», — предложил он. Но при этом он согласился, что чем крупнее облако и больше в нём заказчиков, тем больше внимания оно привлекает у злоумышленников. В итоге, наиболее критичные данные всё равно останутся в локальной инфраструктуре компании, тогда как менее важные операции можно передать на аутсорс.
Иван Козлов напомнил, что облака бывают разные, и важно учитывать их особенности. «Гораздо интереснее, когда мы не знаем, что у облака под капотом, и становимся просто клиентами и пользователями», — подчеркнул он. Он привёл пример из личного опыта: во время миграции почты из облака на собственные серверы он чуть не потерял часть писем, так как провайдер не делал резервных копий. «Это пугает — доверяя облаку, ты зависишь от его внутренней политики и практик», — сказал он. Отдельно можно вспомнить недавние взломы, включая атаку на одного крупного провайдера, через которого удалось проникнуть в 1С многих компаний и инициировать цепочку атак. Это ещё раз показало, что риски при использовании облачных решений вполне реальны и требуют серьёзного подхода к безопасности.
По словам Александра Луганского, ключевым моментом в использовании облачных решений остаются условия лицензионных соглашений и договоров. «Важно составлять список требований к облаку и понимать, какие риски вы готовы принять. Выбор всегда остаётся за вами», — добавил он.
От рисков к реальным потерям
Как определить стоимость информации и оценить последствия её утраты? Информация может иметь одну цену, но её потеря может обойтись в десять раз дороже. По мнению Михаила Бачинского, владелец бизнеса должен учитывать не только прямые финансовые потери, но и репутационные риски. «Если оборот компании 200 миллионов долларов, то потеря критической информации может стоить тех же 200 миллионов плюс репутационные убытки», — сказал он.
Максим Степченков внес уточнение, что речь идёт не столько о стоимости активов, сколько о рисках, связанных с их утратой. «Мы говорим не о стоимости данных, а об оценке рисков. Уголовная ответственность также может играть свою роль», — заметил он. Он привёл пример, когда защита данных оценивалась дороже самих данных, но на чашу весов добавлялась ответственность, которая делала вложения оправданными. При этом риски касаются не только конфиденциальности или целостности данных, но и их доступности и корректности.
Вывод
Дискуссия показала, что Zero Trust — это не просто набор технических решений, а новая философия, меняющая подход к безопасности и доверию в бизнесе. Эта концепция обещает снизить издержки и минимизировать риски, но её внедрение требует гибкости и адаптации к реальным условиям. Безопасность не должна превращаться в преграду для развития — важно найти баланс, чтобы сотрудники могли работать комфортно, а бизнес расти. Однако ясного и единого понимания Zero Trust до сих пор нет, и каждый трактует его по-своему. Это делает его внедрение непростым, особенно с учётом того, что человеческий фактор остаётся ключевым риском. В итоге, Zero Trust — это полезный инструмент, но не волшебное решение всех проблем, а лишь часть комплексной системы безопасности.
