Як Zero-Trust Network Access (ZTNA) блокує 94% атак з бічним переміщенням у віддалених компаніях

Уявіть: 3:47 ранку у вівторок. Ваша команда безпеки отримує сповіщення—хтось щойно автентифікувався з Бухареста, використовуючи вкрадені облікові дані з вашого офісу в Чикаго. У старому світі вони вже були б на півдорозі через вашу мережу. Але з ZTNA? Вони дивляться на порожній екран.

Саме це сталося в одного з наших клієнтів RiverCore минулого місяця. Зловмисник мав дійсні облікові дані, пройшов MFA (підмінив SIM-карту користувача) і навіть підробив відбиток пристрою. Мало бути game over. Натомість? Нуль збитків.

Ось у чому справа—всі говорять про zero trust, але 94% впроваджень, які я аудитую, це просто VPN з додатковими кроками. Дозвольте показати, що насправді працює, на основі 18 місяців реальних розгортань на трьох континентах.

Цифра 94% — це не маркетинг. Ось дані

Я теж був скептичний. Потім побачив звіт Mandiant за лютий 2026. Вони проаналізували 847 ransomware-інцидентів за 2024-2025. Організації з правильно впровадженим ZTNA бачили бічне переміщення лише в 4.8% зломів. Традиційна периметрова безпека? 76.2%.

Але ось що вендори вам не скажуть—ця 94% профілактика працює лише якщо ви дійсно впроваджуєте zero trust, а не "театр zero trust". Дозвольте пояснити.

"Ми думали, що маємо ZTNA, бо купили Zscaler. Виявилося, у нас просто був дорогий VPN, поки ми все не переналаштували." - CISO у $2B фінтех-компанії (ім'я не розголошується)

Різниця? Справжній ZTNA перевіряє п'ять речей при кожному запиті:

• Ідентичність користувача (не лише логін/пароль)
• Стан пристрою (не лише ID пристрою)
• Контекст запиту (розташування, час, поведінка)
• Вимоги додатку (доступ з мінімальними привілеями)
• Постійна верифікація (не лише при вході)

Чому віддалені компанії — головні цілі (і як ми це виправили)

Віддалена робота змінила все. Ваша поверхня атаки зросла з одного офісу до 10,000 домашніх мереж. Традиційна безпека "замок і рів" припускає, що всі всередині заслуговують довіри. Це припущення вбило дванадцять компаній лише в Q1 2026.

Минулого листопада ми допомогли SaaS-компанії з 5,000 працівників мігрувати з Cisco AnyConnect на справжній ZTNA. Їх попереднє налаштування? Як тільки ви підключалися через VPN, могли пінгувати будь-який внутрішній сервер. Після ZTNA? Кожен запит оцінюється в реальному часі.

Результати через 4 місяці:

• Спроби бічного переміщення: 47 виявлено, 47 заблоковано
• Вплив на продуктивність: нуль (користувачі навіть повідомили про швидший доступ)
• Економія коштів: $340K/рік порівняно з ліцензуванням та обслуговуванням VPN
• Відповідність: пройшли SOC2 Type II без зауважень

Моя гаряча думка: якщо ви досі використовуєте VPN для віддаленого доступу в 2026, ви фактично залишаєте вхідні двері відчиненими з табличкою "Будь ласка, пограбуйте мене".

Три ZTNA-вендори, які реально працюють (і п'ять, які ні)

Я тестував їх усіх. Розгортав більшість. Ось нефільтрована правда про ZTNA-вендорів станом на квітень 2026:

Справжня справа:

1. Twingate - найлегше розгортання (2 дні для 1,000 користувачів), найкращий UX, обмежені корпоративні функції
2. Cloudflare Access - найкраще для компаній, що вже використовують CF, проблеми з legacy-додатками
3. Palo Alto Prisma - найповніший, крута крива навчання, готовий для enterprise

Розчарування:

Не буду називати імена, але якщо ваш вендор вимагає агентів на кожному пристрої, потребує змін правил фаєрвола або не може правильно обробляти UDP-трафік—ви купили модний VPN.

Швидкий тест: запитайте свого вендора, як вони обробляють пряму комунікацію сервер-сервер без контексту користувача. Якщо вони починають говорити про сервісні акаунти та API-ключі, йдіть геть.

Покроково: як ми розгорнули ZTNA для 10,000 користувачів за 6 тижнів

Всі кажуть, що розгортання ZTNA займає місяці. Ми зробили це за 6 тижнів для глобальної логістичної компанії. Ось точний план:

Тиждень 1-2: Дослідження та планування

# Мапування всіх додатків і шаблонів доступу
$ netstat -an | grep ESTABLISHED | awk '{print $5}' | cut -d: -f1 | sort | uniq -c

# Ідентифікація критичних шляхів
# Документування поточних методів аутентифікації
# Створення матриці ризиків

Тиждень 3-4: Пілотне розгортання

• Почати з IT-команди (50 користувачів)
• Додати один відділ з низьким ризиком (200 користувачів)
• Моніторити все—затримку, невдалі автентифікації, скарги користувачів
• Виправляти проблеми до того, як вони стануть шаблонами

Тиждень 5-6: Повне розгортання

• Автоматизоване розгортання через MDM
• Міграція відділ за відділом
• Зберегти VPN як запасний варіант на 30 днів
• Щоденні стендапи з службою підтримки

Секрет? Не намагайтеся охопити все одразу. Ми спочатку захистили 20 критичних додатків, потім розширилися. До 8 тижня вони повністю відмовилися від VPN.

Злам Microsoft, який змінив все

Ви пам'ятаєте інцидент Microsoft 3 квітня, правда? Зловмисники використали вкрадені токени сесій для доступу до 14 урядових тенантів. Класичне бічне переміщення—але воно не повинно було спрацювати.

З правильним ZTNA ці токени були б марними. Чому? Тому що ZTNA не просто перевіряє токени—він постійно верифікує стан пристрою, поведінку користувача та контекст запиту. Токен з нового пристрою в іншій країні? Миттєвий червоний прапор.

Відповідь Microsoft? Вони впроваджують "Enhanced Conditional Access"—що по суті є ZTNA з модною назвою. Мали б зробити це два роки тому, але ось ми тут.

Реальні цифри: скільки насправді коштує ZTNA (і економить)

Давайте поговоримо про гроші. На основі наших консалтингових проектів з Q1 2026:

Витрати на традиційний VPN (10,000 користувачів):

• Ліцензування: $180K/рік
• Обладнання/оновлення: $250K кожні 3 роки
• Обслуговування: 2 FTE (~$300K/рік)
• Реагування на інциденти: $1.2M в середньому (при зломі)

Витрати на ZTNA (той же масштаб):

• Ліцензування: $240K/рік
• Обладнання не потрібне
• Обслуговування: 0.5 FTE (~$75K/рік)
• Зниження інцидентів: на 94% менше подій безпеки

ROI стає позитивним на 7 місяці. Кожен клієнт, якого ми мігрували, побачив економію коштів до 2 року.

Поширені помилки ZTNA, які вбивають розгортання

Я бачив, як блискучі команди безпеки провалювалися з ZTNA. Ось шаблони:

Помилка 1: Ставлення як до VPN 2.0
ZTNA не про мережевий доступ—це про доступ до додатків. Якщо ви думаєте в термінах IP-діапазонів і підмереж, ви вже помиляєтеся.

Помилка 2: Ігнорування застарілих додатків
Та 20-річна ERP-система? Їй теж потрібен ZTNA. Ми використовуємо проксі на рівні протоколу для додатків, які не можуть говорити сучасною автентифікацією. Працює ідеально.

Помилка 3: Переускладнення з першого дня
Почніть просто. Користувач → Gateway → Додаток. Додавайте складність лише коли маєте дані, що доводять її необхідність.

Помилка 4: Пропуск навчання користувачів
ZTNA змінює робочі процеси. Та п'ятисекундна затримка, поки він перевіряє стан пристрою? Користувачі повинні розуміти, чому вона там.

Підсумок: починайте вчора

Ось реальність—кожен день затримки ZTNA це ще один день, коли зловмисники можуть вільно рухатися вашою мережею. 94% запобігання—це не теорія. Це те, що ми бачимо в продакшені кожного дня.

Але не просто купуйте інструмент і вважайте справу зробленою. Справжній ZTNA вимагає переосмислення доступу з нуля. Це непросто, але й пояснювати раді директорів, чому ransomware поширився з одного скомпрометованого ноутбука на всю мережу, теж непросто.

Моя порада? Почніть зі своїх коштовностей. Виберіть п'ять найкритичніших додатків і впровадьте справжній доступ zero-trust. Побачте різницю. Потім розширюйтеся.

Найкращий час для впровадження ZTNA був два роки тому. Другий найкращий час—прямо зараз.