Безопасность изменилась. Но забытые основы всё ещё ломают её

Кибербезопасность стала сложнее, но инциденты по-прежнему часто начинаются с старых операционных слабостей.

2026-05-19 GIGATAP Team #security
#cybersecurity#security-hygiene#cloud-security

Безопасность изменилась. Но забытые основы всё ещё ломают её

Кибербезопасность за последние два десятилетия изменилась почти до неузнаваемости. Организации перешли от офисных сетей и периметровых firewall к SaaS, public cloud, удалённой работе, identity-платформам, API, мобильным устройствам и рабочим процессам с поддержкой AI. Изменились и атакующие: phishing стал индустриальным, ransomware превратился в бизнес-модель, а automation снизила стоимость разведки и эксплуатации уязвимостей.

Но недавний ретроспективный материал Dark Reading делает важное практическое наблюдение для команд безопасности: модель изменилась, однако многие провалы по-прежнему возникают из-за забытых основ. Индустрия говорит о zero trust, assume-breach, cloud posture, identity threat detection и AI-driven defense. Но реальные инциденты часто начинаются со старых учётных записей, открытых наружу сервисов, слабого покрытия MFA, непропатченных edge-систем, избыточных прав или логов, которые никто не просматривает.

Это не противоречие. Это главный урок. Современные сбои безопасности часто происходят тогда, когда старые операционные слабости переносятся в новые архитектуры.

От доверия к периметру к реальности assume-breach#

Многие годы организации рассматривали сетевой периметр как главную границу безопасности. Логика была простой: держать атакующих снаружи, а внутренние системы считать доверенными. Firewall, VPN, email gateways и endpoint-контроли поддерживали эту модель.

Эти средства всё ещё важны. Проблема в том, что допущение о доверии больше не соответствует тому, как организации реально работают.

Современные среды распределены между cloud providers, SaaS-платформами, домашними сетями, устройствами подрядчиков, mobile endpoints, identity providers, developer tools и third-party integrations. Пользователь может аутентифицироваться из личной сети в SaaS-панель, которая управляет production-данными, хранящимися в cloud-среде, за которую отвечает другая команда. В таком мире «внутри» и «снаружи» уже не являются аккуратными категориями.

Подход assume-breach начинается с другой базовой установки: в какой-то момент учётная запись, устройство, token, API key или workload могут быть скомпрометированы. Вопрос безопасности становится другим: насколько далеко сможет продвинуться атакующий, как быстро защитники это заметят и насколько чисто организация сможет восстановиться.

Этот сдвиг меняет приоритеты. Командам безопасности нужно задавать практические вопросы:

  • Что произойдёт, если один почтовый ящик сотрудника будет скомпрометирован?
  • Может ли обычный пользователь добраться до чувствительных внутренних систем?
  • Отделены ли privileged accounts от повседневных рабочих учётных записей?
  • Являются ли cloud permissions узкими, регулярно проверяемыми и логируемыми?
  • Могут ли атакующие создавать новые access tokens без срабатывания alert?
  • Изолированы ли backups от той среды, которую они должны восстанавливать?
  • Могут ли incident responders доверять логам, которые им понадобятся во время расследования?

Именно здесь современные модели безопасности становятся не теорией, а операционной практикой. Assume-breach — не лозунг. Он требует least privilege, segmentation, сильных identity controls, detection engineering, протестированных backups и отработанной incident response-практики.

Новые технологии часто усиливают старые слабости#

AI, cloud adoption и remote work — реальные изменения. Они влияют на поведение атакующих, рабочие процессы защитников и скорость операций. Но они часто вскрывают те же базовые проблемы: плохой inventory, слабое governance, непоследовательный patching, избыточное доверие и ограниченный monitoring.

AI меняет скорость, но не отменяет проверку#

AI может помочь атакующим быстрее готовить убедительные сообщения, автоматизировать части reconnaissance, адаптировать социальную инженерию и масштабировать попытки эксплуатации. Но это не отменяет старых защитных вопросов: кто имеет доступ, какие действия разрешены, какие изменения логируются, какие сигналы проверяются и какие процедуры восстановления уже протестированы.

Если в организации нет нормального учёта активов, слабая дисциплина access review и нерегулярное обновление exposed systems, AI лишь ускорит использование этих пробелов. Технология меняет темп, но не заменяет необходимость validation, контроля прав и проверки предположений.

Cloud увеличивает масштаб ошибок#

Cloud даёт скорость и гибкость, но также делает ошибки более масштабируемыми. Неверно настроенный storage, слишком широкая роль, забытый access key или service account без владельца могут открыть путь к данным и системам, которые раньше были отделены физической инфраструктурой и более медленными процессами изменений.

Практические проверки остаются приземлёнными:

  • Есть ли актуальный inventory cloud-активов и владельцев?
  • Проверяются ли permissions на избыточность?
  • Логируются ли administrative actions и обращения к sensitive data?
  • Есть ли alert на создание новых keys, tokens, users и privileged roles?
  • Удаляются ли неиспользуемые accounts и integrations?

Cloud security не сводится к включению очередного продукта. Она требует операционной дисциплины: знать, что развёрнуто, кто этим владеет, какие права выданы и какие события должны считаться подозрительными.

Remote work расширяет поверхность идентичности#

Удалённая работа сделала identity главным периметром. VPN и endpoint controls по-прежнему важны, но доступ всё чаще начинается с аутентификации в identity provider или SaaS-сервисе. Поэтому слабое MFA coverage, неотключённые бывшие сотрудники, устаревшие contractor accounts и overly permissive groups становятся прямыми путями к инциденту.

Здесь важны простые проверки:

  • Включён ли MFA для всех критичных приложений, а не только для части пользователей?
  • Отслеживаются ли suspicious logins, impossible travel и изменения MFA-настроек?
  • Удаляются или блокируются ли accounts при увольнении и завершении контракта?
  • Разделены ли admin accounts и обычные user accounts?
  • Проверяются ли access groups и inherited permissions?

Почему neglected basics всё ещё ломают защиту#

Современные атаки часто выглядят сложными в отчётах, но их начальная точка бывает банальной. Скомпрометированная почта, открытый management interface, непропатченный edge device, leaked API key, слабая MFA-политика или сервисная учётная запись с чрезмерными правами могут дать атакующему первую опору.

Дальше включается цепочка: разведка, расширение доступа, lateral movement, сбор credentials, отключение защитных механизмов, exfiltration или запуск ransomware. На каждом этапе продвинутые инструменты могут играть роль, но возможность двигаться обычно появляется из-за недостатка базовой дисциплины.

Поэтому практическая программа безопасности должна включать не только новые инициативы, но и постоянную проверку основ:

  • Inventory: организация знает свои systems, users, devices, cloud resources, APIs и third-party integrations.
  • Patch management: особенно для internet-facing и edge systems.
  • Identity hygiene: MFA, удаление stale accounts, разделение privileged access и регулярный access review.
  • Least privilege: права выдаются минимально необходимыми и пересматриваются.
  • Logging and detection: важные действия логируются, alerts проверяются, а логи доступны incident responders.
  • Backup resilience: backups изолированы, защищены и реально тестируются.
  • Incident response: команды не просто имеют план, а тренируются по нему.

Практический вывод для команд безопасности#

Главный вывод не в том, что новые технологии не важны. Они важны. Zero trust, cloud posture, identity threat detection, AI-assisted defense и modern endpoint telemetry могут существенно повысить устойчивость. Но они не компенсируют отсутствующие основы.

Если организация внедряет современные инструменты поверх старых проблем — неизвестных активов, неуправляемых прав, непросматриваемых логов, слабого MFA и непротестированных backups, — она получает более сложную, но не обязательно более безопасную среду.

Хорошая проверка для руководителей и security teams проста: выбрать один реалистичный сценарий компрометации и пройти его до конца. Например: один сотрудник попался на phishing, один API key утёк, один cloud admin token украден, один edge device эксплуатирован. Затем спросить:

  • Как быстро мы это заметим?
  • Какие системы окажутся достижимы?
  • Какие права можно будет расширить?
  • Какие логи подтвердят действия атакующего?
  • Какие controls остановят движение дальше?
  • Как мы восстановимся, если часть среды будет повреждена?

Такие упражнения показывают, где современная архитектура реально устойчива, а где старые слабости просто переехали в новый технологический стек.

Кибербезопасность действительно изменилась. Но организации по-прежнему чаще всего ломаются там, где базовые процессы были оставлены без внимания.