Атакующие давно не ломают стены – они входят в дверь по легитимным учетным данным. Разбираем, почему модель периметра: «межсетевой экран + VPN + кольцо доверия» структурно несостоятельна, как идентификатор становится новой плоскостью управления безопасностью и что меняет появление AI-агентов как самостоятельного класса субъектов.
Сценарий, с которого начинается типичный взлом в 2026 году
Сотрудник компании открывает фишинговое письмо, переходит по ссылке, получает на ноутбук инфостилер. В течение нескольких минут вредонос выгружает то, что лежит в браузере: сохранённые пароли, cookie-файлы, активные SSO-сессии Entra ID и облачных сервисов. Через сутки лог уходит на теневую торговую площадку, где его покупают за десятки долларов. Ещё через несколько дней атакующий открывает браузер, подставляет украденную сессию – и логинится в корпоративный SaaS. MFA не срабатывает: токен уже аутентифицирован. Межсетевой экран ничего не видит: это обычный HTTPS с легитимным User-Agent.
Согласно отчету Verizon DBIR 2025 (авторитетному источнику в области ИБ), злоупотребление учётными данными – доминирующий вектор первичного доступа второй год подряд: 22% всех подтверждённых взломов начинаются именно с украденных учётных данных, а на веб-приложениях этот показатель доходит до 88. 54% жертв вымогательского ПО имели предварительную компрометацию в логах инфостилеров ещё до атаки. В прошлом году вредоносы-инфостилеры увели 1,8 млрд учётных данных и обеспечили 86% взломов.
Атакующему часто не нужен эксплойт. Не нужен 0-day. Не нужен обход NGFW. Ему достаточно того, что у вас есть пользователь, у пользователя есть учётные данные, а у учётных данных – действующая сессия.
Это структурный кризис периметровой модели. И решать его «более толстым межсетевым экраном» и эшелонированным «мангалом» из СЗИ уже бессмысленно.
Почему «периметр умер» – не метафора, а инфраструктурный факт
Традиционная модель безопасности стояла на простой посылке: внутри корпоративной сети – доверено, снаружи – враждебно. Между ними – межсетевой экран, VPN, прокси. Эта посылка распалась по трём направлениям одновременно.
Гибридная работа и BYOD. В 2025 году 46% устройств с корпоративными учётными данными в логах инфостилеров были неуправляемыми – личные ноутбуки, домашние компьютеры, устройства подрядчиков. Эти машины не находятся «внутри периметра» по определению, но имеют доступ к корпоративным ресурсам через SSO и VPN.
SaaS и мультиоблако. Корпоративные данные больше не лежат в одном датацентре. Они распределены по десяткам внешних сервисов – Bitrix24, amoCRM, GitHub, Atlassian, Яндекс 360, VK WorkSpace, МойОфис. Ни один из этих сервисов физически не находится за вашим периметром, и доступ к ним в принципе невозможно контролировать через классический межсетевой экран.
Машинные идентификаторы (NHI). Это самый недооценённый сдвиг. По данным CyberArk, в крупных организациях машинные идентичности превышают человеческие в соотношении 45:1 (Reddit/CyberArk); Veza в State of Identity 2026 даёт более консервативную оценку – 17:1 в среднем по рынку (Veza). Каждый API-ключ, OAuth-токен, сервисный аккаунт, раннер CI/CD – это отдельная идентичность, у которой нет ни лица, ни корпоративного устройства, ни понятного жизненного цикла. Не смотря на то, что отечественный ит-ландшафт здесь еще отстает от мирового, пройдут месяцы, а не годы, когда картина в наших компаниях будет точно такая же.
Периметр не «умирает» – он уже мёртв. Вопрос в том, что приходит ему на смену.
Идентификатор как новая плоскость управления
Если граница «внутри / снаружи» больше не работает, то где принимается решение о допуске? Ответ постепенно консолидируется в индустрии: в идентификаторе. Каждый запрос к ресурсу начинается с события идентификации – аутентификации или авторизации, и это единственная стабильная точка, через которую проходят все остальные пути.
Gartner формулирует это явно: организации должны принять identity-first security, где контроли на уровне идентичности становятся фундаментом архитектуры, а не одним из её слоёв.
На практике это означает три вещи.
Первое – идентификатор перестаёт быть отдельной системой IAM и становится плоскостью управления для всей архитектуры безопасности: NGFW, EDR, SWG, SIEM начинают принимать решения, опираясь на идентификационный контекст. Второе – каждый запрос на доступ оценивается в реальном времени по композиции «кто (идентификатор) + откуда (состояние устройства) + в каком контексте (геолокация, поведение, оценка риска)». Третье – аутентификация перестаёт быть одноразовой. Доверие пересматривается непрерывно, на каждом запросе.
Зрелая архитектура опирается на пять компонентов:
Компонент | Функция |
IGA (Identity Governance & Administration) | Управление жизненным циклом, пересмотр прав доступа, минимально необходимые привилегии |
PAM (Privileged Access Management) | Контроль привилегированных аккаунтов, доступ по требованию, запись привилегированных сессий |
ITDR (Identity Threat Detection & Response) | Поведенческий анализ, обнаружение аномалий и реакция на атаки на идентификацию |
ZTNA | Замена VPN: доступ к приложению, а не к сети |
Identity Fabric / ISF | Единая плоскость управления: объединяет IGA + PAM + ITDR + AM через SAML, OAuth, OIDC, SCIM |
ZTNA против VPN: переход стал обязательным
VPN исторически решал одну задачу – «протянуть периметр» до удалённого пользователя. С точки зрения identity-first это структурно сломанная модель: пользователь получает сетевой доступ к большому сегменту, дальше работают сетевые ACL, горизонтальное перемещение по умолчанию возможно, контекст сессии после установления туннеля не пересматривается.
ZTNA меняет уровень контроля. Доступ выдаётся не к сети, а к конкретному приложению. Решение принимается в момент запроса, с учётом идентификатора, состояния устройства и контекста. Туннеля «куда-то внутрь» вообще нет – есть прокси на уровне приложения с непрерывной авторизацией.
Сравнение в одной таблице:
Параметр | VPN | ZTNA |
Уровень доступа | Сеть/подсеть | Конкретное приложение |
Доверие после логина | Постоянное на сессию | Непрерывная переоценка |
Сегментация | На уровне ACL | Политика на каждое приложение |
Горизонтальное перемещение | Возможно по умолчанию | Структурно невозможно |
Контекст устройства | Опционально | Обязательно |
Видимость для SOC | Сетевые потоки | Пользователь → приложение, по каждой сессии |
Gartner прогнозирует, что к 2027 году 80% предприятий разработают единую стратегию доступа к веб-, облачным и внутренним приложениям через ZTNA.
Мы в Ideco встроили ZTNA-функциональность непосредственно в NGFW, без отдельного шлюза или облачного брокера – об архитектуре этого подхода и сценариях миграции с VPN мы подробно писали ранее.
Практическая дорожная карта миграции с VPN на ZTNA:
Аудит существующих VPN-политик и фактической площади доступа.
Инвентаризация критичных приложений и сервисов, приоритизация.
Параллельное развёртывание ZTNA рядом с действующей VPN-инфраструктурой.
Перевод удалённых пользователей и доступа подрядчиков в первую очередь.
Принудительное применение политик минимально необходимых привилегий к приложениям.
Вывод из эксплуатации VPN-концентраторов с широким доступом на сетевом уровне.
Интеграция ZTNA-телеметрии в SecOps/SIEM как идентификационного сигнала.
Ключевая ошибка – пытаться «модернизировать VPN». Это разные модели доверия. VPN-концентратор может оставаться как транспорт, но управлять доступом обязана плоскость идентификации.
Реальные кейсы 2025 года: как идентичность стала главным путём внутрь
Лучше всего необходимость identity-first объясняют не отчёты, а инциденты. 2025 год дал отрасли настолько плотную коллекцию подтверждений, что спорить с тезисом «идентификатор – это периметр» стало фактически невозможно. Разберём пять инцидентов прошлого года – два российских и три глобальных, каждый иллюстрирует свой класс уязвимостей в плоскости идентификации.
«Аэрофлот» / Silent Crow + «Киберпартизаны» (июль 2025). Самая разрушительная открытая кибератака на российскую компанию на сегодняшний день. Атакующие сначала проникли в сеть «Бакка Софт» – подрядчика, разрабатывавшего мобильные и веб-приложения «Аэрофлота». Первое проникновение выявили в январе 2025-го и выгнали, но в мае атакующие вернулись. Через «Бакка Софт» они получили удалённый административный доступ в инфраструктуру «Аэрофлота». 28 июля запустили вайп примерно 10 тысяч рабочих станций, «убивали и затирали» домен AD – без связи с контроллером домена стойки регистрации в аэропортах переставали работать. Итог: отмены и задержки сотен рейсов, транспортный коллапс в Шереметьево, публикация 20+ Тб внутренних данных (включая стратегию ИБ и медкарты пилотов), прямые потери «Аэрофлота» – не менее 260 млн рублей только от отменённых рейсов, общий ущерб – десятки млн долларов. Сам взлом, по разбору The Bell, «был заурядным» – использовался стандартный инструментарий. Ключевой identity-вывод: атакующий никогда не «ломал» «Аэрофлот» снаружи. Он пришёл с валидными административными учётными данными подрядчика, который имел прямой доступ в продуктив без сегментации и без принципа минимальных привилегий (Meduza/The Bell).
Salesloft Drift / UNC6395 (август 2025). Эталонный кейс атаки на OAuth-цепочку поставок. Атакующие с марта по июнь закрепились в GitHub-окружении Salesloft, в августе проникли в AWS-контур её дочернего Drift и выкачали OAuth refresh-токены, выданные более чем 700 организациями для интеграции Drift с Salesforce, Google Workspace, Slack и облачными платформами. С 8 по 18 августа актор ходил в Salesforce клиентов через легитимные токены, выкачивая AWS-ключи, пароли и другие секреты из полей CRM, и удаляя за собой логи запросов. В списке подтверждённых жертв – Cloudflare, Zscaler, Proofpoint, Tenable, Cisco, Palo Alto Networks, Qualys (CSA, BlackFog). Отличительная черта: жертвы были скомпрометированы не из-за своих дырок, а из-за избыточных прав, выданных стороннему OAuth-приложению, и бессрочных refresh-токенов, которые никто не ротировал.
Salesforce / ShinyHunters (Google, Workday и др., лето 2025). Параллельный эпизод, но с другой физикой. Группа ShinyHunters (UNC6040, частью связанная со Scattered Spider) использовала голосовой фишинг (vishing) и социальную инженерию, чтобы убедить сотрудников одобрить вредоносное OAuth-приложение в Salesforce или сообщить MFA-код. Результат летом 2025-го: утечка из Google (около 2,5 млн записей клиентской CRM для МСП), у Workday – данные до 11 тысяч корпоративных клиентов и 70 млн пользовательских записей, подтверждённые инциденты у Cisco, Adidas, Allianz Life. Сами платформы Salesforce не имели уязвимостей – вся атака была построена вокруг OAuth-потока согласия пользователя и обхода MFA через живого оператора (BlackFog, The Hacker News).
Bybit / Lazarus – Safe Wallet (февраль 2025, $1,4 млрд). Самый крупный криптовалютный взлом в истории – и почти образцовый кейс компрометации машинной идентичности в цепочке поставок. Северокорейская Lazarus скомпрометировала рабочую машину разработчика Safe Wallet – платформы мультиподписных кошельков, которыми пользовался Bybit. На компьютер разработчика внедрили JavaScript, который выкатился в продуктивный веб-интерфейс Safe и выборочно подменил данные в транзакциях, отправляемых на аппаратные кошельки Bybit. Трое подписантов в схеме 3-of-6 подтвердили DelegateCall на вредоносный контракт, видя на экране безобидный transfer. Итог: 400 000 ETH на около 1,1 млрд долларов и ещё токенов примерно на 300 млн (Cyfrin, Curvegrid). Ни одним эксплойтом в Bybit, ни одной компрометацией пользовательского аккаунта. Идентичность, которую Lazarus использовал для прорыва, принадлежала одному инженеру подрядчика.
Росэлторг / Yellow Drift (2025). Атака на крупнейшую российскую федеральную электронную торговую площадку государственных и корпоративных закупок. Атакующие удалили порядка 550 Тб данных, включая внутреннюю почту и бэкапы, затронув госучреждения и поставщиков, проводивших закупки. Здесь особенно рельефно видны два свойства российских крупных инфраструктур – обилие привилегированных сервисных учётных записей и слабый контроль их жизненного цикла.
Общий знаменатель всех пяти кейсов: ни в одном не было классического взлома периметра. Ни эксплойта в публичном сервисе, ни выламывания межсетевого экрана – везде атакующий приходил с действующей идентичностью: учётные данные администратора подрядчика, OAuth-токен интеграции, refresh-токен без ротации, привилегированная сессия разработчика. И везде виден один и тот же структурный дефект – идентичность с избыточными правами, без владельца, без ротации и без переоценки риска после выдачи.
AI-агенты: следующий слой идентичностей и новый класс угроз
Если NHI – это уже сложно, то AI-агенты усложняют картину на порядок. Это автономные сущности, которые получают доступ к корпоративным системам через MCP, OAuth, API-токены и часто наследуют права того пользователя, от имени которого действуют. Они принимают решения сами (причем недетерминированно). Вызывают инструменты сами. И масштабируются на машинной скорости, не давая «биологическим» нейросетям времени на реакцию.
Структурная специфика угрозы для модели идентификации:
Скомпрометирован ИИ-агент – получен прямой маршрут к внутренним системам с правами агента, а не атакующего.
Продвижение по инфраструктуре, эксфильтрация и повышение привилегий идут с машинной скоростью: SOC-аналитик не успевает реагировать в человеческом темпе.
Стандартный OAuth-токен, выписанный человеку, для агента слишком широк. Он тащит за собой роль, отдел, набор приложений – всё, что у пользователя «и так есть». Для агента это слишком много контекста и слишком много прав.
MCP как новая поверхность атаки. Model Context Protocol на JSON-RPC 2.0 стал де-факто стандартом подключения агентов к инструментам, и здесь мы можем наступиит на старые грабли. Официальная спецификация MCP признаёт: протокол «не может обеспечивать принципы безопасности на уровне протокола». OWASP MCP Top 10 (2025) фиксирует ключевые риски: промпт-инъекции, злоупотребление доверенностью (confused deputy) через ошибки конфигурации OAuth, цепочка поставок через подменённые MCP-пакеты. CVE-2025-49596 (CVSS 9.4) позволял запускать произвольные команды через неавторизованные инстансы MCP Inspector. Первый зловредный MCP-пакет в публичных реестрах обнаружили в сентябре 2025 года.
Что должно стоять между ИИ-агентом и корпоративными системами:
Эфемерные, криптографически привязанные идентификаторы. Токен выпускается по требованию под конкретное действие, привязан к ключу агента, не может быть переиспользован.
OAuth On-Behalf-Of (OBO) + DPoP. OBO связывает действие агента с делегатом – человеком, от имени которого он действует; DPoP криптографически привязывает токен к ключу агента и блокирует повторное воспроизведение (Strata.io).
MCP-шлюз / прокси. Каждый вызов инструмента проходит через единую точку, где применяются OAuth 2.1 + PKCE, ограничения по области действия, белый список на каждый инструмент и фиксация версий.
Человек в цепочке принятия решений для критичных действий. Платежи, изменения в продуктиве, отправка коммуникаций – обязательное подтверждение, которое агент не может обойти манипуляциями над собой.
CAEP (Continuous Access Evaluation Protocol). Позволяет в реальном времени отзывать доступ агента при изменении оценки риска.
Главный вывод: AI-агента нельзя защищать «как пользователя» и нельзя защищать «как сервисный аккаунт». Это новый класс субъекта доступа, и плоскость идентификации должна научиться различать его как отдельную сущность с собственным жизненным циклом, областью действия и аудитным следом.
Identity Fabric: операционная модель для CISO
Identity-first на практике – не покупка нового IAM, а новый взгляд на архитектуру безопасности. Целевая конфигурация называется Identity Security Fabric (ISF): единая плоскость управления, которая объединяет IGA, PAM, ITDR, управление доступом и видимость по машинным и ИИ-идентификаторам через стандартные протоколы – SAML, OAuth, OIDC, SCIM, LDAP (Okta).
Gartner выделяет три характеристики зрелой программы IAM:
Интеграция с общей стратегией кибербезопасности и корпоративным риск-менеджментом.
Измерение по результату: время отзыва доступа, покрытие MFA, объём привилегированных транзакций, доля доступа по требованию.
Внедрение ITDR: непрерывный мониторинг и быстрое реагирование на атаки на идентификацию.
При этом инвентаризация – самая недооценённая фаза. Без нее все остальные шаги по внедрению бессмысленны: невозможно защитить то, что не учтено. И именно здесь обычно вскрывается главное: соотношение машинных идентичностей к человеческим оказывается ближе к 30:1 даже там, где ИТ-департамент уверенно называл цифру 5:1, либо где вообще думали, что AI-агенты не используются.
Российская специфика: identity-first в гибридной инфраструктуре
В российских крупных компаниях identity-first имеет свой контекст. Гибридная инфраструктура с долгоживущим локальным AD, ограниченный доступ к западным IdP (Okta, Ping, Azure AD как полноценные сервисы), требования по импортозамещению для субъектов КИИ и активный рост внутреннего рынка решений.
Регуляторный фундамент уже существует. Приказ ФСТЭК № 17 (для государственных ИС) и № 239 (для значимых объектов КИИ) содержат полноценные подразделы ИАФ (идентификация и аутентификация) и УПД (управление доступом): ИАФ.1–6 закрывают аутентификацию работников и внешних пользователей, УПД.1–10 – управление учётными записями, разделение ролей, минимально необходимые привилегии, ограничение параллельных сессий, блокировку неактивных. Identity-first архитектура не вступает в конфликт с этими требованиями – она их выполняет в более жёсткой и наблюдаемой форме.
Практические выводы для российских ИБ-команд:
NGFW и SWG становятся точкой применения политик идентификации. Интеграция с AD/LDAP, контроль идентичности пользователя в каждой сессии трафика, применение политик по идентификационному контексту. В Ideco NGFW это реализовано через сквозное связывание сетевой сессии с пользовательской идентичностью на уровне правил трафика, без необходимости отдельного прокси.
VPN-концентратор как плацдарм миграции. Не «выкинуть и поставить ZTNA», а слой за слоем переносить логику доступа выше – из сети в приложение. Существующая VPN-инфраструктура остаётся транспортом, а решения о доступе принимает плоскость идентификации. Либо, при использовании Ideco NGFW удобно (в том числе для эксплуатации) совместить NGFW+VPN+ZTNA в одном решении.
ITDR через интеграцию NGFW-телеметрии с SIEM. Поведенческие аномалии в разрезе каждой идентичности в трафике – мощный сигнал, который большинство компаний пока не использует. Связка «логи аутентификации + сетевой контекст пользователя + доступ к приложениям» закрывает значительную часть kill chain атак на идентификацию.
Раздельный учёт NHI и AI-агентов. Сервисные аккаунты, API-ключи, токены интеграций должны быть отдельным инвентарём с собственным жизненным циклом и владельцем – не «лежать в AD рядом с обычными пользователями».
Важно: identity-first не требует «всё снести и заменить». Он требует пересобрать архитектуру вокруг идентичности как основной плоскости управления – и сделать NGFW, EDR, SWG, SIEM участниками этого решения, а не его конкурентами.
Куда движется идентификация: горизонт 2026–2030
Несколько трендов уже не «возможны», а статистически очень вероятны.
MFA, устойчивая к фишингу, становится умолчанием. Именно поэтому в Ideco NGFW Novum 22 мы добавили возможность использования машинного сертификата как одного из факторов аутентификации. Логин-пароль украдут, OTP-токен или SMS пользователь сам скажет мошенникам, но вот передать корпоративный ноутбук, например, уже сильно сложнее.
Пост-квантовая идентификация. NIST зафиксировал 2030 год как дедлайн по выводу RSA/ECC из критических систем и 2035 – как абсолютный дедлайн. Инфраструктура идентификации – PKI, токены, сессионные ключи, подписи – попадает под удар первой: долгоживущие сертификаты и архивные подписи ценны для атак типа «собирай сейчас – расшифруй потом».
Децентрализованная идентификация (DID, проверяемые учётные данные). Сдвиг от централизованных IdP-баз к идентификаторам, которыми владеет сам пользователь, и к криптографически проверяемым учётным данным. Это снижает радиус поражения утечек: централизованной базы паролей и атрибутов просто нет.
Идентификация для AI-агентов как отдельная дисциплина. Текущий OAuth 2.0/2.1 закрывает базовые потребности ИИ-агентов лишь частично. В 2026 году выкристаллизовывается набор расширений, без которых работать с агентами серьёзно нельзя: OBO для делегирования, обмен токенами для межоблачного взаимодействия, DPoP для защиты от повторного воспроизведения токенов, PKCE для безопасной авторизации, CAEP для отзыва доступа в реальном времени, авторизация на основе атрибутов (ABAC) для тонкого контроля. Параллельно идут стандарты криптографической идентичности в стиле SPIFFE для агентов и эксперименты с протоколами вроде AAuth. Через 2–3 года вакансия «инженер по идентификации ИИ-агентов» будет такой же стандартной, как сегодня «облачный архитектор безопасности».
CARTA становится умолчанием. Continuous Adaptive Risk and Trust Assessment (непрерывная адаптивная оценка рисков и доверия) перестаёт быть концепцией Gartner и переходит в архитектурный паттерн: каждое решение о доступе принимается на основании текущей оценки риска, которая пересчитывается непрерывно. Статичный «логин раз в восемь часов» уходит; приходит «доверие, которое всё время в движении». Ideco Client, например, постоянно проверяет соответствие комплаенсу информационной среды где работает и мгновенно отдает информацию о изменении HIP-профиля в NGFW для пересмотра решений о доступе.
Вместо заключения: не укреплять стену, а пересобрать доверие
Identity-first – не продукт. Не проект. Не «Next Generation IAM». Это операционная философия, в которой доверие нельзя присвоить по умолчанию ни одной сущности – ни человеку, ни сервису, ни AI-агенту. Каждый запрос проходит проверку. Каждое доверие – временное. Каждый идентификатор имеет владельца, область действия, жизненный цикл и аудитный след.
CISO, который продолжает мыслить категориями защищённого внутреннего периметра, в 2026 году делает не консервативный, а опасный выбор. Он строит ложное чувство защищённости, которое атакующие активно монетизируют – через украденные cookie, через брошенные OAuth-приложения, через сервисные аккаунты без владельца, через AI-агентов с правами разработчика.
Идентификатор – это и есть периметр. И именно здесь принимается каждое решение о доступе. Архитектура безопасности, которая не учитывает этого факта, будет взломана. Архитектура, которая ставит идентификатор в центр, получает шанс не догонять угрозы, а опережать их.
