PAM 
Управление и администрирование идентификацией (IGA) играет важную роль в определении того, кто должен иметь доступ к конфиденциальным данным и когда этот доступ следует предоставлять. В то...
опубликованный , дата публикации: 06 октября, 2025
Большинство решений Zero Trust Network Access (ZTNA) утверждают, что устраняют риски безопасности на основе периметра, но многие из них на самом деле создают новые уязвимости. На хакерской конференции DEF CON в августе 2025 года исследователи выявили существенные недостатки в нескольких популярных продуктах ZTNA, включая обход аутентификации и утечку учетных данных. KeeperPAM® помогает устранить пробелы в безопасности, которые не могут устранить традиционные решения ZTNA, обеспечивая шифрование с нулевым доверием и нулевым знанием, доступ на основе хранилища и возможность подключения только для исходящих сообщений.
Продолжайте читать, чтобы узнать о недостатках большинства устаревших решений ZTNA и о том, как KeeperPAM устраняет эти недостатки, обеспечивая безопасный доступ без раскрытия конфиденциальных данных.
Пробелы в безопасности в устаревших инструментах ZTNA
Несмотря на то, что многие устаревшие инструменты ZTNA изображаются как безопасная альтернатива виртуальной частной сети (VPN), они содержат уязвимости, которые могут быть столь же вредными, как и киберугрозы, которые они призваны предотвратить. Выводы, представленные AmberWolf на DEF CON 33, выявили ряд проблем безопасности в ведущих продуктах ZTNA, включая уязвимости, которые могут позволить киберпреступникам повышать привилегии на пользовательских устройствах и получать доступ к критически важным ресурсам, оставаясь незамеченными.
Обход аутентификации
Поскольку многие платформы ZTNA полагаются на устаревшие или плохо применяемые методы аутентификации, слабые реализации SAML могут позволить киберпреступникам воспроизводить токены, фактически полностью обходя аутентификацию. В некоторых случаях процессы регистрации устройств неправильно применяются, создавая уязвимости, которые позволяют неаутентифицированным устройствам подключаться к критически важным системам.
Утечка учетных данных
Одной из наиболее значительных проблем устаревших решений ZTNA является частая неправильная обработка учетных данных. Долгоживущие секреты, такие как API-ключи, SSH-ключи или маркеры доступа, обычно хранятся на конечных точках или в памяти, где они уязвимы для кражи через заражение вредоносным ПО или локальную компрометацию. Как только эти учетные данные будут раскрыты, их можно повторно использовать для горизонтального перемещения или повышения привилегий в сети.
Архитектурные слабости
Вместо того чтобы ограничивать доверие, многие решения ZTNA расширяют его из-за архитектурных слабостей. Примеры включают требование установки доверенных корневых сертификатов для инспекции трафика, открытие шлюзов в интернет и маршрутизацию трафика через инфраструктуру поставщика. Эти слабые места увеличивают поверхность атаки организации, прямо противореча принципам безопасности с нулевым доверием.
Спуфинг позы
Некоторые решения ZTNA полагаются на проверки состояния для определения безопасности устройства, проверяя версии операционной системы или сертификаты устройства. Однако многие из этих проверок выполняются на стороне клиента и могут быть легко изменены. Если решение принимает кэшированные токены или учетные данные без надлежащей повторной проверки устройства, киберпреступники могут подделать соответствие требованиям безопасности. Это позволяет несанкционированным устройствам получить доступ, обманув систему, чтобы она казалась соответствующей, и обойти защиту организации.
Как KeeperPAM устраняет эти слабости
KeeperPAM разработан для устранения общих уязвимостей в традиционных ZTNA-решениях. Сочетая шифрование с нулевым знанием, доступ Just-in-Time (JIT) и архитектуру с исходящими соединениями, KeeperPAM обеспечивает истинное нулевое доверие, не раскрывая учетные данные и не увеличивая поверхность атаки. Вот основные возможности KeeperPAM:
- Архитектура с нулевым разглашением: с KeeperPAM учетные данные никогда не раскрываются пользователям, не хранятся на устройствах и не доступны Keeper. Это гарантирует, что секреты шифруются и расшифровываются на уровне устройства и записи.
- Доступ «точно в срок» (JIT): KeeperPAM позволяет администраторам предоставлять доступ только при необходимости и только на время сеанса. После завершения сеанса KeeperPAM Автоматическая ротация учетных данных для предотвращения повторного использования или кражи.
- Архитектура только для исходящих сообщений: шлюз Keeper устанавливает сквозные зашифрованные соединения, не открывая входящие порты брандмауэра и не раскрывая конечные точки.
- Контроль и запись сеансов: KeeperPAM отслеживает и записывает все привилегированные сессии, включая SSH, RDP и TLS, для целей аудита и соответствия нормативным требованиям. KeeperAI обеспечивает обнаружение и реагирование на угрозы с помощью искусственного интеллекта, позволяя автоматически завершать сеансы с высоким риском.
- Поддержка нативных инструментов с безопасностью нулевого доверия: поддерживая безопасное туннелирование и удаленный доступ через нативные инструменты, такие как MySQL Workbench или pgAdmin, KeeperPAM обеспечивает безопасность нулевого доверия за кулисами.
- Бесшовная интеграция с существующими поставщиками идентификационных данных (IdP): KeeperPAM работает с существующими IdP, обеспечивая безопасную аутентификацию и предоставление доступа без ущерба для шифрования с нулевым знанием.
KeeperPAM против устаревших подходов ZTNA
Хотя большинство решений ZTNA утверждают, что минимизируют риски, многие из них по-прежнему зависят от устаревших архитектур, оставляющих серьезные пробелы в безопасности. KeeperPAM использует иной подход, устраняя раскрытие учетных данных, снижая доверительные предположения и обеспечивая детализированный контроль доступа. Ниже перечислены основные архитектурные и эксплуатационные различия между KeeperPAM и устаревшими инструментами ZTNA:
| Category | KeeperPAM | Traditional ZTNA |
|---|---|---|
| Credential storage | Credentials are encrypted in a zero-knowledge vault and never exposed to users. | Secrets are often stored on devices or in memory, leaving them vulnerable to theft. |
| Gateway exposure | Outbound-only architecture eliminates the need to open inbound firewall ports. | Requires publicly exposed gateways, which expands the attack surface. |
| Token replay risk | Vault-initiated sessions with JIT access help prevent token replay. | Reusable tokens and weak authentication methods allow for token replay. |
| Root certificate installation | Encryption remains end-to-end, making it unnecessary to install trusted root certificates. | Trusted root certificates are often required for traffic inspection, expanding trust boundaries. |
| Traffic interception | No traffic interception is needed since sessions are recorded for SSH, RDP and TLS. | Relies on traffic interception and vendor infrastructure for monitoring. |
| Access control | Just-in-Time (JIT) access with automatic credential rotation. | Broad access policies expand standing access and allow for lateral movement. |
Обеспечьте долговечность вашей стратегии доступа с KeeperPAM
Поскольку киберпреступники используют уязвимости традиционных инструментов ZTNA, полагаться на устаревшие решения для доступа небезопасно. Организациям необходимо решение, разработанное для реализации концепции нулевого доверия без ущерба для безопасности, и KeeperPAM именно это и предоставляет. Объединяя шифрование с нулевым разглашением, доступ на основе хранилища и детализированный контроль доступа, KeeperPAM устраняет уязвимость учетных данных и уменьшает поверхность атаки.
Start your free trial of KeeperPAM today to close security gaps and future-proof your access strategy with a scalable and secure solution built for modern cyber threats.
