Облачная инфраструктура, разросшиеся SaaS-экосистемы и распределённые команды сотрудников привели к тому, что идентификационные данные превратились в главную точку атаки для злоумышленников. По данным отчёта Verizon Data Breach Investigations Report за 2025 год, почти 60% всех утечек данных связаны с человеческим фактором — ошибками, злоупотреблениями или социальной инженерией. Периметра больше нет, есть только идентичность.
На декабрьском саммите Gartner Identity & Access Management Summit 2025 года обсуждалась ключевая перестройка: организации больше не рассматривают управление идентификацией как вспомогательный контроль, а строят вокруг него всю архитектуру безопасности. Фреймворк NIST 2.0 зафиксировал, что компании хуже всего справляются именно с этапом реагирования, а компрометация учётных данных — это, как правило, самый ранний индикатор атаки, который при этом чаще всего пропускают.
Раньше говорили «защити пользователя», но угрозы уже давно вышли за эти рамки. Сегодня под защиту попадают три категории: человеческие идентификаторы (сотрудники и их аккаунты), машинные идентификаторы (сервисные аккаунты, API-ключи, OAuth-токены, сертификаты, секреты) и AI-агенты — автономные системы, которые взаимодействуют с данными и приложениями без участия человека. Машинных идентификаторов в типичной корпоративной среде уже значительно больше, чем людей, а механизмы их контроля при этом значительно слабее.
Внутренние угрозы носят преимущественно непреднамеренный характер: сотрудник отправляет файл не туда, подрядчик открывает лишний доступ, автоматизированный процесс использует жёстко прописанные учётные данные. Последствия — утечка данных, нарушения комплаенса, операционные сбои. Особенно уязвимы финансовые услуги, здравоохранение, государственный сектор и образование. Человеческие ошибки — неверные конфигурации, слабая аутентификация, случайное раскрытие данных — дополняются машинными: отсутствие поведенческих базовых линий, избыточные привилегии, ограниченный мониторинг. AI-агенты добавляют к этому списку некорректные решения о доступе, выход за рамки заданного периметра и уязвимость к атакам через prompt injection и data poisoning. Gartner прогнозирует, что к 2027 году применение AI-агентов позволит сократить время эксплуатации учётных записей на 50%.
TrendAI зафиксировал новый класс атак — генеративные. Фишинг, Business Email Compromise, QR-приманки, дипфейк-аудио и многоканальная социальная инженерия теперь создаются и масштабируются автоматически. Злоумышленники профилируют цели по ценности доступа: финансовые команды, IT-администраторы, HR, топ-менеджеры. Письмо от «директора» с нужным контекстом, правильным тоном и убедительным обоснованием — всё это теперь генерируется без участия живого хакера.
Реагировать на такие угрозы при фрагментированной видимости практически невозможно. У большинства команд безопасности нет единой картины: данные разбросаны по on-premises-директориям, облачным провайдерам идентификации, SaaS-приложениям, машинным идентификаторам и AI-агентам. IAM (Identity and Access Management), PAM (Privileged Access Management) и IGA (Identity Governance and Administration) работают как изолированные инструменты и создают слепые зоны именно там, где атаки чаще всего начинаются.
Усугубляет ситуацию усталость от алертов. Аналитики разбирают предупреждения в хронологическом порядке, а не по степени риска. Критичные угрозы тонут в потоке низкоприоритетных уведомлений. Это уже не только проблема SOC — она перекладывается на IT-администраторов и комплаенс-команды. Параллельно ручные процессы реагирования — блокировка аккаунтов, сброс учётных данных, завершение сессий, отзыв привилегий — дают атакующим время для горизонтального перемещения и эскалации привилегий.
Архитектурный ответ на эти вызовы формулируется через концепцию Identity Visibility and Intelligence Platforms (IVIP): единая платформа, объединяющая сигналы от Entra ID, Active Directory, Google, Okta, CyberArk и OpenLDAP. Всё это в сочетании с Zero Trust — непрерывной верификацией, минимально необходимыми привилегиями, оценкой критичности доступа (аккаунт администратора и аккаунт стажёра — принципиально разные риски).
TrendAI Vision One Identity Security реализует этот подход через несколько взаимосвязанных модулей. ISPM (Identity Security Posture Management) обнаруживает уязвимости в конфигурациях. CREM (Cyber Risk Exposure Management) управляет гигиеной идентификаторов и отслеживает пути атак. ITDR (Identity Threat Detection and Response) на основе кросс-доменной телеметрии выявляет захват аккаунтов, эскалацию привилегий, горизонтальное перемещение и злоупотребления AI-агентов. UEBA (User and Entity Behavior Analytics) обогащает контекст угроз поведенческими данными, а OAT (Observed Attack Techniques) позволяет поверхностно обнаруживать атаки на ранних стадиях.
Интеграция с защитой электронной почты и корпоративных коммуникаций блокирует фишинг и BEC до того, как они достигают пользователей. Телеметрия из идентификационного слоя коррелируется с данными об эндпоинтах, облаке, сети и email — это то, что Gartner описывает как необходимое условие для нормального функционирования современной SecOps-команды. Предопределённые плейбуки превращают ручные задачи в однокнопочные действия: блокировка аккаунта, принудительный выход, сброс пароля, динамические ограничения доступа. Время между обнаружением и сдерживанием угрозы сокращается с часов до минут.
Детализированные профили идентификаторов и ориентированный на идентификацию инвентарь дают командам безопасности то, чего им не хватало: поведенческие базовые линии для каждой сущности в инфраструктуре. Когда поведение аккаунта отклоняется от нормы — неважно, человеческого, машинного или AI-агента — система это видит. Не через три дня после инцидента, а в момент отклонения. Именно в этом смещении от реактивного к проактивному и состоит суть того, что обсуждалось на Gartner IAM Summit 2025: безопасность, организованная вокруг идентичности, а не вокруг периметра, которого больше не существует.
Изображение носит иллюстративный характер
На декабрьском саммите Gartner Identity & Access Management Summit 2025 года обсуждалась ключевая перестройка: организации больше не рассматривают управление идентификацией как вспомогательный контроль, а строят вокруг него всю архитектуру безопасности. Фреймворк NIST 2.0 зафиксировал, что компании хуже всего справляются именно с этапом реагирования, а компрометация учётных данных — это, как правило, самый ранний индикатор атаки, который при этом чаще всего пропускают.
Раньше говорили «защити пользователя», но угрозы уже давно вышли за эти рамки. Сегодня под защиту попадают три категории: человеческие идентификаторы (сотрудники и их аккаунты), машинные идентификаторы (сервисные аккаунты, API-ключи, OAuth-токены, сертификаты, секреты) и AI-агенты — автономные системы, которые взаимодействуют с данными и приложениями без участия человека. Машинных идентификаторов в типичной корпоративной среде уже значительно больше, чем людей, а механизмы их контроля при этом значительно слабее.
Внутренние угрозы носят преимущественно непреднамеренный характер: сотрудник отправляет файл не туда, подрядчик открывает лишний доступ, автоматизированный процесс использует жёстко прописанные учётные данные. Последствия — утечка данных, нарушения комплаенса, операционные сбои. Особенно уязвимы финансовые услуги, здравоохранение, государственный сектор и образование. Человеческие ошибки — неверные конфигурации, слабая аутентификация, случайное раскрытие данных — дополняются машинными: отсутствие поведенческих базовых линий, избыточные привилегии, ограниченный мониторинг. AI-агенты добавляют к этому списку некорректные решения о доступе, выход за рамки заданного периметра и уязвимость к атакам через prompt injection и data poisoning. Gartner прогнозирует, что к 2027 году применение AI-агентов позволит сократить время эксплуатации учётных записей на 50%.
TrendAI зафиксировал новый класс атак — генеративные. Фишинг, Business Email Compromise, QR-приманки, дипфейк-аудио и многоканальная социальная инженерия теперь создаются и масштабируются автоматически. Злоумышленники профилируют цели по ценности доступа: финансовые команды, IT-администраторы, HR, топ-менеджеры. Письмо от «директора» с нужным контекстом, правильным тоном и убедительным обоснованием — всё это теперь генерируется без участия живого хакера.
Реагировать на такие угрозы при фрагментированной видимости практически невозможно. У большинства команд безопасности нет единой картины: данные разбросаны по on-premises-директориям, облачным провайдерам идентификации, SaaS-приложениям, машинным идентификаторам и AI-агентам. IAM (Identity and Access Management), PAM (Privileged Access Management) и IGA (Identity Governance and Administration) работают как изолированные инструменты и создают слепые зоны именно там, где атаки чаще всего начинаются.
Усугубляет ситуацию усталость от алертов. Аналитики разбирают предупреждения в хронологическом порядке, а не по степени риска. Критичные угрозы тонут в потоке низкоприоритетных уведомлений. Это уже не только проблема SOC — она перекладывается на IT-администраторов и комплаенс-команды. Параллельно ручные процессы реагирования — блокировка аккаунтов, сброс учётных данных, завершение сессий, отзыв привилегий — дают атакующим время для горизонтального перемещения и эскалации привилегий.
Архитектурный ответ на эти вызовы формулируется через концепцию Identity Visibility and Intelligence Platforms (IVIP): единая платформа, объединяющая сигналы от Entra ID, Active Directory, Google, Okta, CyberArk и OpenLDAP. Всё это в сочетании с Zero Trust — непрерывной верификацией, минимально необходимыми привилегиями, оценкой критичности доступа (аккаунт администратора и аккаунт стажёра — принципиально разные риски).
TrendAI Vision One Identity Security реализует этот подход через несколько взаимосвязанных модулей. ISPM (Identity Security Posture Management) обнаруживает уязвимости в конфигурациях. CREM (Cyber Risk Exposure Management) управляет гигиеной идентификаторов и отслеживает пути атак. ITDR (Identity Threat Detection and Response) на основе кросс-доменной телеметрии выявляет захват аккаунтов, эскалацию привилегий, горизонтальное перемещение и злоупотребления AI-агентов. UEBA (User and Entity Behavior Analytics) обогащает контекст угроз поведенческими данными, а OAT (Observed Attack Techniques) позволяет поверхностно обнаруживать атаки на ранних стадиях.
Интеграция с защитой электронной почты и корпоративных коммуникаций блокирует фишинг и BEC до того, как они достигают пользователей. Телеметрия из идентификационного слоя коррелируется с данными об эндпоинтах, облаке, сети и email — это то, что Gartner описывает как необходимое условие для нормального функционирования современной SecOps-команды. Предопределённые плейбуки превращают ручные задачи в однокнопочные действия: блокировка аккаунта, принудительный выход, сброс пароля, динамические ограничения доступа. Время между обнаружением и сдерживанием угрозы сокращается с часов до минут.
Детализированные профили идентификаторов и ориентированный на идентификацию инвентарь дают командам безопасности то, чего им не хватало: поведенческие базовые линии для каждой сущности в инфраструктуре. Когда поведение аккаунта отклоняется от нормы — неважно, человеческого, машинного или AI-агента — система это видит. Не через три дня после инцидента, а в момент отклонения. Именно в этом смещении от реактивного к проактивному и состоит суть того, что обсуждалось на Gartner IAM Summit 2025: безопасность, организованная вокруг идентичности, а не вокруг периметра, которого больше не существует.
