Как Zero-Trust Network Access (ZTNA) предотвращает 94% атак с боковым перемещением в удалённых компаниях

Представьте: 3:47 утра во вторник. Ваша команда безопасности получает алерт — кто-то только что аутентифицировался из Бухареста, используя украденные учётные данные из чикагского офиса. В старом мире они бы уже прошли половину вашей сети. Но с ZTNA? Они смотрят на пустой экран.

Именно это произошло у одного из клиентов RiverCore в прошлом месяце. У атакующего были валидные креды, он прошёл MFA (подменил SIM-карту пользователя) и даже подделал отпечаток устройства. Должен был быть конец игры. Вместо этого? Ноль ущерба.

Вот в чём дело — все говорят о zero trust, но 94% реализаций, которые я аудирую, это просто VPN с дополнительными шагами. Позвольте показать, что действительно работает, основываясь на 18 месяцах реальных развёртываний на трёх континентах.

Цифра 94% — это не маркетинговая чушь. Вот данные

Я тоже был скептиком. Потом увидел отчёт Mandiant за февраль 2026. Они проанализировали 847 инцидентов с вымогателями за 2024-2025. Организации с правильно внедрённым ZTNA видели боковое перемещение только в 4,8% взломов. Традиционная периметровая безопасность? 76,2%.

Но вот что вендоры вам не расскажут — эти 94% предотвращения работают только если вы действительно внедрили zero trust, а не «театр нулевого доверия». Объясню, что имею в виду.

«Мы думали, что у нас есть ZTNA, потому что купили Zscaler. Оказалось, у нас был просто дорогой VPN, пока мы не перенастроили всё.» - CISO в fintech-компании на $2B (имя не разглашается)

В чём разница? Настоящий ZTNA проверяет пять вещей при каждом запросе:

• Идентичность пользователя (не только логин/пароль)
• Состояние устройства (не только ID устройства)
• Контекст запроса (местоположение, время, поведение)
• Требования приложения (доступ с минимальными привилегиями)
• Непрерывная верификация (не только при входе)

Почему удалённые компании — главные цели (и как мы это исправили)

Удалёнка изменила всё. Ваша поверхность атаки выросла с одного офиса до 10 000 домашних сетей. Традиционная безопасность «замок и ров» предполагает, что все внутри доверенные. Это предположение убило двенадцать компаний только в Q1 2026.

В ноябре мы помогли SaaS-компании с 5000 сотрудников мигрировать с Cisco AnyConnect на правильный ZTNA. Их прежняя настройка? Подключился по VPN — можешь пинговать любой внутренний сервер. После ZTNA? Каждый запрос оценивается в реальном времени.

Результаты за 4 месяца:

• Попытки бокового перемещения: 47 обнаружено, 47 заблокировано
• Влияние на продуктивность: ноль (пользователи даже отметили более быстрый доступ)
• Экономия: $340K/год против лицензирования и поддержки VPN
• Комплаенс: прошли SOC2 Type II без замечаний

Моё горячее мнение: если вы всё ещё используете VPN для удалённого доступа в 2026, вы практически оставляете входную дверь открытой с табличкой «Пожалуйста, ограбьте меня».

Три ZTNA-вендора, которые реально работают (и пять, которые нет)

Я тестировал их всех. Развернул большинство. Вот нефильтрованная правда о ZTNA-вендорах на апрель 2026:

Настоящие решения:

1. Twingate - Самое простое развёртывание (2 дня для 1000 пользователей), лучший UX, ограниченные enterprise-функции
2. Cloudflare Access - Лучший для компаний уже использующих CF, проблемы с legacy-приложениями
3. Palo Alto Prisma - Самый полный функционал, крутая кривая обучения, готов для enterprise

Разочарования:

Не буду называть имена, но если ваш вендор требует агенты на каждом устройстве, нужны изменения правил файрвола или не может нормально обрабатывать UDP-трафик — вы купили навороченный VPN.

Быстрый тест: спросите вендора, как они обрабатывают прямую связь сервер-сервер без пользовательского контекста. Если начинают говорить о сервисных аккаунтах и API-ключах — уходите.

Пошагово: как мы развернули ZTNA для 10 000 пользователей за 6 недель

Все говорят, что ZTNA требует месяцы для развёртывания. Мы сделали это за 6 недель для глобальной логистической компании. Вот точный плейбук:

Неделя 1-2: Исследование и планирование

# Картирование всех приложений и паттернов доступа
$ netstat -an | grep ESTABLISHED | awk '{print $5}' | cut -d: -f1 | sort | uniq -c

# Определение критических путей
# Документирование текущих методов аутентификации
# Построение матрицы рисков

Неделя 3-4: Пилотное развёртывание

• Начать с IT-команды (50 пользователей)
• Добавить один низкорисковый отдел (200 пользователей)
• Мониторить всё — задержки, неудачные аутентификации, жалобы пользователей
• Исправлять проблемы до того, как они станут паттернами

Неделя 5-6: Полное развёртывание

• Автоматизированное развёртывание через MDM
• Миграция отдел за отделом
• Оставить VPN как запасной вариант на 30 дней
• Ежедневные стендапы с хелпдеском

Секрет? Не пытайтесь вскипятить океан. Мы защитили 20 критических приложений сначала, потом расширились. К 8-й неделе они полностью вывели из эксплуатации VPN.

Взлом Microsoft, который всё изменил

Помните инцидент Microsoft 3 апреля? Атакующие использовали украденные токены сессий для доступа к 14 государственным тенантам. Классическое боковое перемещение — только это не должно было сработать.

С правильным ZTNA эти токены были бы бесполезны. Почему? Потому что ZTNA не просто проверяет токены — он непрерывно верифицирует состояние устройства, поведение пользователя и контекст запроса. Токен с нового устройства в другой стране? Мгновенный красный флаг.

Ответ Microsoft? Они внедряют «Enhanced Conditional Access» — что по сути ZTNA с модным названием. Должны были сделать это два года назад, но вот мы здесь.

Реальные цифры: сколько на самом деле стоит ZTNA (и экономит)

Давайте поговорим о деньгах. На основе наших консалтинговых проектов из Q1 2026:

Затраты на традиционный VPN (10 000 пользователей):

• Лицензирование: $180K/год
• Железо/обновление: $250K каждые 3 года
• Поддержка: 2 FTE (~$300K/год)
• Реагирование на инциденты: $1.2M в среднем (при взломе)

Затраты на ZTNA (тот же масштаб):

• Лицензирование: $240K/год
• Железо не требуется
• Поддержка: 0.5 FTE (~$75K/год)
• Снижение инцидентов: на 94% меньше событий безопасности

ROI становится положительным на 7-й месяц. Каждый клиент, которого мы мигрировали, увидел экономию ко второму году.

Типичные ошибки ZTNA, которые убивают развёртывания

Я видел, как блестящие команды безопасности проваливались с ZTNA. Вот паттерны:

Ошибка 1: Относиться к нему как к VPN 2.0
ZTNA не про сетевой доступ — это про доступ к приложениям. Если вы думаете в терминах IP-диапазонов и подсетей, вы уже ошибаетесь.

Ошибка 2: Игнорирование legacy-приложений
Та 20-летняя ERP-система? Ей тоже нужен ZTNA. Мы используем прокси на уровне протокола для приложений, которые не умеют в современную аутентификацию. Работает идеально.

Ошибка 3: Переусложнение с первого дня
Начните просто. Пользователь → Шлюз → Приложение. Добавляйте сложность только когда есть данные, доказывающие необходимость.

Ошибка 4: Пропуск обучения пользователей
ZTNA меняет рабочие процессы. Та пятисекундная задержка пока проверяется состояние устройства? Пользователи должны понимать, зачем она там.

Итог: начинайте вчера

Вот реальность — каждый день задержки ZTNA это ещё один день, когда атакующие могут свободно перемещаться по вашей сети. Уровень предотвращения 94% — это не теория. Это то, что мы видим в продакшене каждый день.

Но не просто купите инструмент и считайте дело сделанным. Настоящий ZTNA требует переосмысления доступа с нуля. Это непросто, но объяснять совету директоров, почему ransomware распространился с одного скомпрометированного ноутбука на всю сеть, тоже непросто.

Мой совет? Начните со своих драгоценностей короны. Выберите пять самых критичных приложений и внедрите настоящий zero-trust доступ. Увидьте разницу. Затем расширяйтесь.

Лучшее время для внедрения ZTNA было два года назад. Второе лучшее время — прямо сейчас.