VPN уже недостаточно: как защитить удалённый доступ в 2026 году

VPN больше не является панацеей для защиты удалённого доступа. Участники эфира AM Live разобрали реальные угрозы, оценили эффективность современных подходов к безопасности и поделились практическими рекомендациями. В этом материале — основные идеи и выводы дискуссии.

 

 

 

 

 

 

1. 1. Введение
2. 2. Какие угрозы и риски ИБ связаны с удалённым доступом?
3. 3. Достаточно ли VPN для защиты удалённого доступа?
4. 4. Безопасность удалённого рабочего места на практике
   
   1. 4.1. Особенности защиты привилегированных пользователей
5. 5. Блиц: что нужно делать для защиты удалённого доступа — по шагам
6. 6. Прогнозы: ожидаемые тренды в защите удалённого доступа
7. 7. Выводы

Введение

VPN долгое время оставался золотым стандартом защиты удалённого доступа. Компании инвестировали в развёртывание защищённых каналов, шифрование трафика и контроль подключений, полагая, что этих мер достаточно для безопасной работы сотрудников за пределами офиса.

Сейчас злоумышленники научились обходить периметровую защиту, атакуя не столько каналы связи, сколько учётные данные, конечные устройства и сессии самих пользователей. Компрометация паролей, кража сессионных токенов, фишинг и инфостиллеры стали основными инструментами проникновения в корпоративные сети, делая классический VPN лишь одним из элементов, но далеко не панацеей.

Эксперты разобрали реальные угрозы удалённой работы, оценили достаточность VPN-защиты, обсудили методы контроля удалённых устройств и привилегированных пользователей, а также поделились прогнозами о том, какие тренды будут определять развитие защиты удалённого доступа в ближайшее время.

 

Рисунок 1. Эксперты в студии AM Live

 

Участники эфира:

• Татьяна Свиридченкова, эксперт сервисов ИБ, «Контур.Эгида».
• Александр Дубинин, менеджер по продукту, «КриптоПро».
• Альберт Газизов, руководитель продукта Solar SafeInspect, ГК «Солар».
• Виталий Медведев, CISO, ГК «Медси».
• Владимир Русин, заместитель руководителя продуктовой команды САКУРА, «ИТ-Экспертиза».
• Александр Луганцев, независимый эксперт.
• Станислава Бенграф, менеджер по продукту, Ideco.

Ведущий и модератор эфира — Вадим Шелест, руководитель направления анализа защищённости, Wildberries & Russ.

 

 

Какие угрозы и риски ИБ связаны с удалённым доступом?

Станислава Бенграф считает, что угрозы можно разделить на 3 группы:

• связанные с пользователями — компрометация учётных данных, фишинг, инфостилеры, кража сессионных токенов;
• связанные с устройством — вредоносные программы, необновлённая ОС с уязвимостями, устаревшая база данных антивирусов;
• угрозы каналов связи — перехват трафика, MITM, незащищённые публичные Wi-Fi.

Первые 2 группы универсальны, 3-я наиболее специфична именно для удалённых сотрудников. Дистанционная работа повышает вероятность реализации угроз, однако существуют и другие факторы, усугубляющие последствия, — избыточный сетевой доступ и отсутствие мониторинга VPN-подключений. Исходя из концепции Zero Trust, не стоит сильно разделять сотрудников, работающих удалённо и внутри сети. Лучше придерживаться принципа, что доверия нет ни к кому.

 

Станислава Бенграф, менеджер по продукту, Ideco

 

Александр Луганцев добавил, что руководство иногда ошибочно полагает, будто за удалённый доступ отвечает исключительно ИБ. На самом деле необходима комплексная работа с подключением HR-службы (кадровая безопасность — сотрудник должен быть проверен), юридического отдела, а также с участием ИТ-отдела.

Виталий Медведев объяснил, что с некоторыми категориями пользователей приходится принимать риски, и это нормальная задача ИБ — посчитать их, оцифровать и подсветить. Если для бизнеса удобнее работать менее безопасно, но более эффективно, то такие риски можно принять. В целом сегментация пользователей по группам в зависимости от зон ответственности необходима и важна.

Достаточно ли VPN для защиты удалённого доступа?

Вадим Шелест отметил, что в последнее время термин Zero Trust становится всё популярнее: все о нём говорят, но на практике, наверное, мало кто реализовал эту концепцию в текущих реалиях. Он также задался вопросом, достаточно ли всё-таки VPN, если его правильно сконфигурировать, настроить, прописать политики и так далее.

 

Вадим Шелест, руководитель направления анализа защищённости, Wildberries & Russ

 

Владимир Русин считает, что одного VPN уже недостаточно, поскольку он обеспечивает только доступ, а что дальше происходит на рабочем месте — неизвестно. Помимо VPN необходимо организовать постоянный контроль и мониторинг состояния удалённого рабочего места, чтобы администраторы и специалисты по безопасности понимали, что там происходит с точки зрения программного обеспечения, использования внешних устройств (камер, флеш-накопителей) и обновлений. Без этого не обойтись.

Александр Дубинин добавил, что защита VPN по ГОСТу должна быть обязательной, а ключевым аспектом при обработке данных является защита контента. Если пользователь получает доступ к нему, он может его кэшировать или скачивать. Поэтому важно помещать такой контент в защищённые контуры, шифровать его, организовывать капсулу либо разрешать обработку только в определённых вкладках корпоративного браузера.

Также необходимо контролировать актуальность сигнатур антивирусных баз, состояние межсетевых экранов, корпоративной фильтрации трафика и VPN-подключения — это база при организации удалённого доступа.

 

Александр Дубинин, менеджер по продукту, «КриптоПро»

 

Виталий Медведев объяснил, что Zero Trust нужен для уменьшения поверхности атаки и предотвращения продвижения злоумышленника, получившего доступ к сессии удалённого сотрудника. Прежде всего нужно обучить пользователя, проверить его удалённое рабочее место на наличие вредоносных программ, добавить двухфакторную аутентификацию, внедрить ротацию паролей и строгую парольную политику. Реальность такова, что в 90 % случаев причиной успешных пентестов становится скомпрометированная учётная запись.

В первом опросе зрители ответили, какие угрозы и риски при удалённой работе сотрудников они считают самыми критичными (множественный выбор):

• Компрометация учётных записей — 63 %.
• Нарушение безопасности при работе с корпоративными данными — 58 %.
• Несанкционированный доступ с личных или публичных устройств — 57 %.
• Уязвимости удалённых рабочих мест — 57 %.
• Слабая или неправильная настройка удалённого доступа — 42 %.
• Неправильные действия удалённых сотрудников во время инцидента в области безопасности — 34 %.

 

Рисунок 2. Какие угрозы и риски при удалённой работе сотрудников вы считаете критичными?

 

Безопасность удалённого рабочего места на практике

Станислава Бенграф считает, что безопасность обеспечивается следующими компонентами:

1. Проверенный пользователь. Помимо корпоративных учётных данных необходима двухфакторная аутентификация, требуются пользовательские сертификаты. Также нужен машинный сертификат — когда пользователь связан с устройством.
2. Проверенные устройства: обновлённая операционная система (ОС), закрытые уязвимости, антивирус с обновлёнными базами, регулярное сканирование. Все необходимые агенты системы предотвращения утечек данных (Data Loss Prevention, DLP), службы и процессы должны быть запущены (контроль через HIP-профили — перед подключением проверяется состояние устройства).
3. Контроль в течение сессии. Важно проверять состояние устройства не только в момент авторизации и аутентификации, но и на протяжении всей сессии. Если состояние устройства изменилось, необходимо автоматически принимать решение: разрывать сессию или пересматривать права доступа.
4. Зашифрованные каналы. Трафик должен шифроваться. Следует выбирать протоколы, обеспечивающие шифрование данных (например, WireGuard и TLS). Необходима сегментация, права доступа не должны быть избыточными.
5. Журналирование. Система должна показывать, какой пользователь, с каким состоянием устройства и когда подключался. Важно настроить контекст подключения: геолокацию IP-адреса пользователя, время подключения, продолжительность сессии.

Виталий Медведев добавил, что контроль возможен и на аппаратном уровне — существуют специальные средства защиты, хотя они обычно применяются для серверов. Можно использовать антивирус и отключать флеш-накопители. Если установлена система управления мобильными устройствами (Mobile Device Management, MDM), всё это можно реализовать внутри защищённой капсулы и включить BitLocker.

 

Виталий Медведев, CISO, ГК «Медси»

 

Особенности защиты привилегированных пользователей

Татьяна Свиридченкова считает, что PAM-системы сейчас набирают всё большую популярность в компаниях, зрелых с точки зрения ИБ. Зачастую PAM-системы предлагают не только контроль доступа к критической инфраструктуре, но и контроль того, что происходит внутри этого доступа.

Все действия привилегированных пользователей должны обязательно журналироваться. Под привилегированными пользователями понимаются администраторы, подрядчики, внешние сотрудники, имеющие доступ к чувствительным данным и инфраструктуре компании. При этом все действия должны журналироваться, а при выполнении определённых команд или нетипичном поведении привилегированных пользователей администратор PAM-системы должен получать оповещения и вручную либо автоматически прерывать такие сессии.

В настоящее время существует тенденция к включению в PAM-системы модулей поведенческого анализа: на основании того, что предполагает конкретная роль или привилегированный пользователь внутри сессии, определяется нетипичный сценарий, после чего происходит разрыв сессии.

 

Татьяна Свиридченкова, эксперт сервисов ИБ, «Контур.Эгида»

 

Альберт Газизов добавил, что существуют основные технологии и принципы PAM-систем, которые должны быть внедрены в решение и использоваться на стороне организации:

• Прокси-режим Bastion, через который должны проходить все администраторы инфраструктуры для доступа к целевым системам и выполнения необходимых действий по администрированию.
• Vault — хранилище паролей. Очень важно выдавать администраторам кратковременные пароли, чтобы избежать их компрометации.
• Непосредственно контроль сессии и её запись для последующего анализа, позволяющие получить полную картину происходящего относительно действий администраторов в рамках сессии.

В классах систем UBA/UEBA редко встречаются алгоритмы искусственного интеллекта. Существуют модели, которые предобучены на основе инцидентов и поставлены в организацию для выявления отклонений. Применяются ML-модели и классические алгоритмы математической статистики, где формируются базовые паттерны поведения конкретного пользователя, после чего находятся отклонения. Искусственный интеллект в данном случае никак не применим.

 

Альберт Газизов, руководитель продукта Solar SafeInspect, ГК «Солар»

 

Во втором опросе выяснилось, какие требования ИБ к удалённой работе сотрудников зрители считают самыми важными (мультивыбор):

• Разграничение прав доступа к корпоративным ресурсам — 83 %.
• Контроль привилегированных пользователей — 83 %.
• Обязательная MFA для удалённого доступа — 74 %.
• Защищённые каналы подключения — 68 %.
• Контроль удалённых устройств сотрудников — 56 %.
• Логирование и аудит действий пользователей — 47 %.
• Чётко выстроенные процессы и регламенты — 36 %.

 

Рисунок 3. Какие требования ИБ к удалённой работе сотрудников вы считаете самыми важными?

 

Блиц: что нужно делать для защиты удалённого доступа — по шагам

Станислава Бенграф: «Необходимо провести аудит, чтобы определить исходную точку: оценить текущее состояние прав доступа и сетевого доступа, а также проверить актуальность действующих правил. Если на этом этапе всё в порядке, следует:

• защитить пользователей с помощью многофакторной аутентификации;
• проверить устройства — убедиться, что операционная система и все запущенные службы обновлены до актуальных версий;
• обеспечить передачу всех данных по защищённому каналу связи.

Кроме того, нужно внедрить процесс обучения и гарантировать, что все меры информационной безопасности одинаково соблюдаются сотрудниками всех категорий».

Александр Луганцев: «Алгоритм действий следующий:

1. Определить, кто, с помощью чего, каким образом и куда получает доступ.
2. Рассчитать затраты на реализацию необходимых мер.
3. Доложить результаты и предложения руководству».

Александр Луганцев, независимый эксперт

 

Виталий Медведев: «Сначала нужно оценить риски, понять, как их минимизировать, рассчитать необходимые ресурсы, а затем внедрить соответствующие меры.

Технически это реализуется так: 

• проанализировать существующие процессы;
• обучить сотрудников работе в рамках этих процессов;
• обеспечить защиту удалённой рабочей станции, канала связи и серверной части;
• внедрить сегментацию сети;
• минимизировать полномочия и привилегии пользователей».

Альберт Газизов: «Важно обеспечить зашифрованный канал доступа к инфраструктуре. Для этого можно использовать VPN либо специализированные инструменты — например, порталы доступа к конкретным приложениям.

Также необходим сбор ИБ-событий, причём особое внимание следует уделить мониторингу привилегированных действий. В этой связи критически важно внедрить PAM‑систему».

Владимир Русин:

«Ключевые элементы успешной реализации:

1. Чётко описанные процессы и регламенты.
2. Подготовленная инфраструктура и программное обеспечение.
3. Регулярное обучение сотрудников.
4. Постоянный контроль исполнения».

 

Владимир Русин, заместитель руководителя продуктовой команды САКУРА, «ИТ-Экспертиза»

 

Александр Дубинин: «Мы и наши партнёры предлагаем запустить пилотные проекты. Да, это требует времени и финансовых вложений, но такой подход позволит вам наглядно увидеть, как выполняются все требования, оценить реальную необходимость каждой меры и при необходимости отказаться от избыточных или неэффективных решений. Вендор поможет грамотно организовать процесс и подскажет оптимальные решения».

Татьяна Свиридченкова: «Необходимо закрывать все возможные точки отказа. Например, если мы защищаем доступ к одной информационной системе, доступной извне, то нужно ограничить аналогичный доступ для привилегированных пользователей, внедрить двухфакторную аутентификацию, распространить эти меры на все остальные системы. Такой комплексный подход позволит минимизировать риски несанкционированного доступа».

В третьем опросе зрители поделились, что в защите удалённого доступа на практике вызывает наибольшие сложности (мультивыбор):

• Сопротивление сотрудников требованиям ИБ — 74 %.
• Контроль состояния удалённых устройств — 68 %.
• Мониторинг действий и поведения сотрудников — 57 %.
• Внедрение и поддержка принципов Zero Trust — 43 %.
• Безопасный сетевой доступ к корпоративным сервисам — 32 %.
• Настройка и поддержка MFA — 23 %.
• Другое — 7 %.

 

Рисунок 4. Что в защите удалённого доступа на практике вызывает наибольшие сложности?

 

Прогнозы: ожидаемые тренды в защите удалённого доступа

Станислава Бенграф считает, что сейчас наблюдается тренд на переход от периметровой защиты к концепции Identity-First Security, поскольку злоумышленники всё чаще похищают учётные данные и получают легитимный доступ к сети. По мнению Gartner, идентичность должна стать основой архитектуры безопасности, а не просто одним из её слоёв. К тому же требования регуляторов движутся в этом же направлении.

Особую озабоченность вызывают ИИ-агенты — новая сущность в корпоративной среде. Они имеют доступ по API ко многим базам данных, автономно выполняют скрипты и генерируют сетевой трафик, при этом меры безопасности в отношении ИИ-агентов зачастую не реализуются, что создаёт значительный масштаб потенциальных угроз.

Станислава также отметила, что международная организация OWASP включила в топ-10 критических уязвимостей на 2026 год 3 уязвимости, связанные с ИИ-агентами: замену цели через входные данные, злоупотребление доверенными правами и атаки через цепочки зависимостей. Уже сейчас необходимо учитывать эти риски в политиках безопасности и заранее регламентировать соответствующие меры, что позволит быть готовыми, когда данный тренд дойдёт до России.

Александр Дубинин добавил, что будущее информационной безопасности определяют заказчики: они формулируют требования и обращаются к вендорам с просьбой реализовать соответствующие функции. При этом у вендоров есть собственное видение развития продуктов, а также они обязаны учитывать требования регуляторов. В целом прослеживается тренд на упрощение решений — заказчики хотят видеть более удобные в эксплуатации и установке продукты. В сфере шифрования заметен переход к использованию TLS-прокси, соответствующего требованиям ГОСТ.

Татьяна Свиридченкова заметила, что начиная с конца прошлого года и в текущем периоде многие крупные заказчики проявляют активный интерес к отечественным операционным системам. В этом направлении процесс импортозамещения заметно набирает обороты.

Четвёртый опрос показал, планируют ли зрители усиливать защиту удалённой работы после эфира:

• Планируют усиливать текущие решения — 38 %.
• Планируют запуск нового проекта по безопасной удалённой работе — 27 %.
• Возможно, но пока это не приоритет — 21 %.
• Достаточно текущей защиты — 14 %.

 

Рисунок 5. Планируете ли вы усиливать защиту удалённой работы после эфира?

 

Выводы

Обсуждение защиты удалённого доступа в 2026 году показало, что традиционный VPN перестал быть универсальным решением. Эксперты сошлись во мнении, что одного лишь шифрованного канала связи недостаточно — необходим комплексный подход, охватывающий пользователя, устройство, сессию и привилегии.

Угрозы сместились в сторону идентичности. Компрометация учётных записей становится основной точкой входа для злоумышленников, что подтверждают как статистика пентестов, так и мнение большинства участников дискуссии. Именно поэтому концепция Identity-First Security и принцип Zero Trust постепенно вытесняют периметровую модель защиты.

Особого внимания заслуживает вопрос привилегированного доступа. PAM-системы перестали быть нишевым решением и превратились в обязательный элемент защиты удалённой работы, особенно с учётом роста числа подрядчиков и внешних сотрудников, имеющих доступ к критической инфраструктуре. Контроль сессий, кратковременные пароли и поведенческий анализ становятся стандартом.

Практика показывает, что технические меры — лишь часть успеха. Самыми сложными аспектами внедрения оказались сопротивление сотрудников требованиям ИБ и контроль состояния удалённых устройств. Это говорит о том, что человеческий фактор и организационная культура зачастую важнее технологий.

Эксперты единодушны в прогнозе: будущее — за упрощением решений, импортозамещением и учётом новых сущностей вроде ИИ-агентов, которые уже сегодня формируют новую реальность корпоративной безопасности. Организациям, которые начнут готовиться к этим вызовам сейчас, будет легче адаптироваться, когда тренды окончательно закрепятся на российском рынке.

Телепроект AM Live еженедельно приглашает экспертов отрасли в студию, чтобы обсудить актуальные темы российского рынка ИБ и ИТ. Будьте в курсе трендов и важных событий. Для этого подпишитесь на наш YouTube-канал. До новых встреч!