Identity-First Security: почему периметр умер окончательно и что приходит ему на смену

В сфере искусственного интеллекта произошло заметное событие. Атакующие давно не ломают стены – они входят в дверь по легитимным учетным данным. Разбираем, почему модель периметра: «межсетевой экран + VPN + кольцо доверия» структурно несостоятельна, как идентификатор становится новой плоскостью управления безопасностью и что меняет появление AI-агентов как самостоятельного класса субъектов. Сценарий, с которого начинается типичный взлом в 2026 годуСотрудник компании открывает фишинговое письмо, переходит по ссылке, получает на ноутбук инфостилер.

В течение нескольких минут вредонос выгружает то, что лежит в браузере: сохранённые пароли, cookie-файлы, активные SSO-сессии Entra ID и облачных сервисов. Через сутки лог уходит на теневую торговую площадку, где его покупают за десятки долларов. Ещё через несколько дней атакующий открывает браузер, подставляет украденную сессию – и логинится в корпоративный SaaS.

Технические детали

MFA не срабатывает: токен уже аутентифицирован. Межсетевой экран ничего не видит: это обычный HTTPS с легитимным User-Agent. Согласно отчету Verizon DBIR 2025 (авторитетному источнику в области ИБ), злоупотребление учётными данными – доминирующий вектор первичного доступа второй год подряд: 22% всех подтверждённых взломов начинаются именно с украденных учётных данных, а на веб-приложениях этот показатель доходит до 88.

54% жертв вымогательского ПО имели предварительную компрометацию в логах инфостилеров ещё до атаки. В прошлом году вредоносы-инфостилеры увели 1,8 млрд учётных данных и обеспечили 86% взломов. Атакующему часто не нужен эксплойт.

Ему достаточно того, что у вас есть пользователь, у пользователя есть учётные данные, а у учётных данных – действующая сессия.

Этот прогресс даёт важные сигналы о будущем отрасли, и технологический мир внимательно наблюдает.