Zero Trust — это не продукт и не достижимое состояние защиты

Единого понимания текущего состояния Zero Trust среди специалистов нет. В обзоре SecurityWeek  «Cyber Insights 2026: Zero Trust and Following the Path»,  указывается, что оценки зрелости подхода различаются, при этом общий принцип формулируется однозначно: доверие не предоставляется заранее и должно подтверждаться при каждом запросе доступа, независимо от источника и контекста.

Идентификация как основа Zero Trust

Идентификация названа обязательной отправной точкой Zero Trust. В публикации подчеркивается, что без проверки личности и полномочий любого субъекта доступ не может считаться доверенным, поскольку решения о доступе строятся вокруг идентичности.

В рамках Zero Trust под контролем находятся не только пользователи. В материале отмечается, что объектами идентификации становятся сервисы, процессы и машинные учетные записи, управление которыми усложняется по мере автоматизации и масштабирования инфраструктуры, что снижает применимость традиционных IAM-подходов.

Zero Trust за пределами ИТ-периметра

Сближение ИТ- и OT-сред выделено как отдельный фактор сложности. В обзоре указывается, что в промышленных системах идентификация затруднена из-за распределенной архитектуры, ограниченной связности и отсутствия стандартных механизмов аутентификации, что осложняет применение единых принципов доверия.

Роль искусственного интеллекта

Искусственный интеллект рассматривается как фактор, влияющий на Zero Trust с двух сторон. В публикации говорится, что ИИ повышает качество фишинговых атак, включая использование голосовых и видеодипфейков, что увеличивает риск компрометации учетных данных.

Одновременно ИИ используется для усиления защиты идентичности. Эксперты указывают на применение поведенческой аналитики, непрерывной аутентификации и автоматизированного выявления аномалий, позволяющих обнаруживать подозрительную активность даже после успешной аутентификации.

В обзоре отдельно рассматриваются риски, связанные с агентными ИИ-системами. Отмечается, что такие системы могут действовать как автономные участники процессов и не вписываться в существующие модели управления доступом, формируя дополнительные векторы угроз.

Ограничения и ошибки внедрения

Формальный подход к внедрению Zero Trust назван одной из ключевых проблем. В материале указывается, что движение в сторону Zero Trust часто инициируется требованиями аудита, регуляторов или страховых компаний и ограничивается отдельными мерами без пересмотра архитектуры и процессов .

Представление Zero Trust как задачи с конечной точкой также рассматривается как ошибочное. Эксперты отмечают, что внедрение отдельных механизмов, включая многофакторную аутентификацию или сегментацию сети, не означает достижения Zero Trust и не отменяет необходимость постоянной проверки и адаптации.

Частичное внедрение и риск ложной защищенности

Частичное внедрение Zero Trust признается оправданным при четком понимании его границ. В обзоре говорится, что фрагментарные меры позволяют защитить критически важные активы и ограничить распространение атак, однако могут создавать ложное чувство защищенности при отсутствии оценки оставшихся рисков.

Аналогичная оценка приводится в публикации «Zero Trust Is 15 Years Old — Why Full Adoption Is Worth the Struggle». В материале отмечается, что сама концепция Zero Trust остается актуальной, однако ее практическая реализация во многих организациях остается фрагментарной и не охватывает всю инфраструктуру. Авторы также указывают на отсутствие универсального набора требований для Zero Trust. Подчеркивается, что подход не может быть реализован установкой одного продукта и требует адаптации к конкретной архитектуре, процессам и модели доступа в организации.