Risk-adaptive authorization in zero trust with dynamic trust and tokens
The article addresses the problem of risk-adaptive authorization in a Zero Trust architecture using a mechanism of dynamic trust assessment and adaptive access token management. The relevance of the study is driven by the increasing number of attacks related to credential compromise, session hijacki...
Збережено в:
| Дата: | 2026 |
|---|---|
| Автори: | , , |
| Формат: | Стаття |
| Мова: | Українська |
| Опубліковано: |
PROBLEMS IN PROGRAMMING
2026
|
| Теми: | |
| Онлайн доступ: | https://pp.isofts.kiev.ua/index.php/ojs1/article/view/892 |
| Теги: |
Додати тег
Немає тегів, Будьте першим, хто поставить тег для цього запису!
|
| Назва журналу: | Problems in programming |
| Завантажити файл: |  |
Репозитарії
Problems in programming| _version_ | 1863311600157458432 |
|---|---|
| author | Kostiuk, Yu.V. Skladannyi, P.M. Hnatchenko, D.D. |
| author_facet | Kostiuk, Yu.V. Skladannyi, P.M. Hnatchenko, D.D. |
| author_sort | Kostiuk, Yu.V. |
| baseUrl_str | https://pp.isofts.kiev.ua/index.php/ojs1/oai |
| collection | OJS |
| datestamp_date | 2026-04-23T22:26:13Z |
| description | The article addresses the problem of risk-adaptive authorization in a Zero Trust architecture using a mechanism of dynamic trust assessment and adaptive access token management. The relevance of the study is driven by the increasing number of attacks related to credential compromise, session hijacking, and privilege misuse in corpo rate information systems. The proposed approach is based on continuous analysis of user behavioral character istics, device parameters, network context, and resource criticality, enabling the formation of an integral risk indicator in real time. Unlike traditional models with fixed token lifetimes and static access policies, the devel oped model provides dynamic adjustment of the trust level throughout the entire interaction session. The integral risk indicator is defined as a function of threat likelihood and potential impact on the asset, ensuring adaptive adjustment of authorization parameters, including privilege scope, token lifetime, requirement for re-authentica tion, or enforced cryptographic key rotation. A mechanism for shortening or extending the token lifecycle de pending on changes in the security context is implemented, thereby minimizing the window of opportunity for exploiting compromised credentials. Special attention is paid to maintaining a balance between security level, system performance, and usability. The proposed approach increases resilience against session hijacking, cre dential stuffing, and insider misuse attacks and can be integrated into modern access management systems with out significant growth in computational overhead. Modeling results confirm the effectiveness of dynamic trust as a key element of risk-adaptive authorization.Problems in programming 2026; 1: 12-22 |
| first_indexed | 2026-04-24T01:00:16Z |
| format | Article |
| fulltext |
Програмні системи захисту інформації
66
© Ю.В. Костюк, П.М. Складанний, Д.Д. Гнатченко, 2026
ISSN 1727-4907. Проблеми програмування. 2026. №1
УДК 004.056.5:004.7 https://doi.org/10.15407/pp2026.01.066
Ю.В. Костюк, П.М. Складанний, Д.Д. Гнатченко
РИЗИК-АДАПТИВНА АВТОРИЗАЦІЯ В ZERO TRUST
ІЗ ДИНАМІЧНОЮ ДОВІРОЮ ТА ТОКЕНАМИ
У статті розв’язується задача ризик-адаптивної авторизації в архітектурі Zero Trust із використанням ме-
ханізму динамічної оцінки довіри та адаптивного керування токенами доступу. Актуальність дослі-
дження зумовлена зростанням кількості атак, пов’язаних із компрометацією облікових даних, перехоп-
ленням сесій та зловживанням привілеями в корпоративних інформаційних системах. Запропонований
підхід базується на безперервному аналізі поведінкових характеристик користувача, параметрів при-
строю, мережевого контексту та критичності ресурсу, що дозволяє формувати інтегральний показник
ризику в реальному масштабі часу. На відміну від традиційних моделей із фіксованим часом життя то-
кенів і статичними політиками доступу, розроблена модель передбачає динамічну зміну рівня довіри
протягом усієї сесії взаємодії. Інтегральний показник ризику визначається як функція ймовірності реалі-
зації загрози та потенційного впливу на актив, що забезпечує адаптивне коригування параметрів автори-
зації: обсягу привілеїв, часу дії токена, необхідності повторної автентифікації або примусової ротації
криптографічних ключів. Реалізовано механізм скорочення або продовження життєвого циклу токена
залежно від змін безпекового контексту, що мінімізує вікно можливого використання скомпрометованих
облікових даних. Особливу увагу приділено забезпеченню балансу між рівнем безпеки, продуктивністю
та зручністю користування. Запропонований підхід підвищує стійкість до атак типу session hijacking,
credential stuffing та insider misuse і може бути інтегрований у сучасні системи управління доступом без
значного збільшення обчислювальних витрат. Результати моделювання підтверджують ефективність за-
стосування динамічної довіри як ключового елементу ризик-адаптивної авторизації.
Ключові слова: ризик-адаптивна авторизація, Zero Trust (нульова довіра), керування доступом, оціню-
вання довіри, час життя токена, безпека ідентичностей, керування доступом на основі політик
Y. Kostiuk, P. Skladannyi, D. Hnatchenko
RISK-ADAPTIVE AUTHORIZATION IN ZERO TRUST WITH
DYNAMIC TRUST AND TOKENS
The article addresses the problem of risk-adaptive authorization in a Zero Trust architecture using a mechanism
of dynamic trust assessment and adaptive access token management. The relevance of the study is driven by the
increasing number of attacks related to credential compromise, session hijacking, and privilege misuse in corpo-
rate information systems. The proposed approach is based on continuous analysis of user behavioral character-
istics, device parameters, network context, and resource criticality, enabling the formation of an integral risk
indicator in real time. Unlike traditional models with fixed token lifetimes and static access policies, the devel-
oped model provides dynamic adjustment of the trust level throughout the entire interaction session. The integral
risk indicator is defined as a function of threat likelihood and potential impact on the asset, ensuring adaptive
adjustment of authorization parameters, including privilege scope, token lifetime, requirement for re-authentica-
tion, or enforced cryptographic key rotation. A mechanism for shortening or extending the token lifecycle de-
pending on changes in the security context is implemented, thereby minimizing the window of opportunity for
exploiting compromised credentials. Special attention is paid to maintaining a balance between security level,
system performance, and usability. The proposed approach increases resilience against session hijacking, cre-
dential stuffing, and insider misuse attacks and can be integrated into modern access management systems with-
out significant growth in computational overhead. Modeling results confirm the effectiveness of dynamic trust
as a key element of risk-adaptive authorization.
Keywords: risk-adaptive authorization, Zero Trust, access management, trust evaluation, token lifetime, identity
security, policy-based access control.
Вступ
Цифрова трансформація корпорати-
вних інформаційних систем супроводжу-
ється зростанням ролі механізмів керу-
вання доступом, у межах яких авторизація
виступає ключовим елементом забезпе-
чення інформаційної безпеки [1]. Сучасні
атаки дедалі частіше спрямовані не на по-
долання криптографічних механізмів, а на
https://pp.isofts.kiev.ua
CC BY 4.0
Програмні системи захисту інформації
67
компрометацію облікових записів, викра-
дення токенів доступу та зловживання при-
вілеями, що призводить до тривалого неса-
нкціонованого перебування зловмисника в
системі [4, 8, 10]. За таких умов традиційні
підходи до авторизації, засновані на стати-
чних політиках і фіксованому часі життя се-
сій, виявляються недостатньо ефектив-
ними, оскільки не враховують динаміку ри-
зиків і контекст виконання операцій.
Актуальність цієї проблеми посилю-
ється впровадженням розподілених, хмар-
них та гібридних архітектур, у яких корис-
тувачі, сервіси та пристрої здійснюють до-
ступ до ресурсів поза межами традиційного
периметра безпеки [6-7]. У таких середови-
щах концепція Zero Trust розглядає кожен
запит доступу як потенційно небезпечний і
вимагає безперервної перевірки не лише
ідентичності, а й рівня довіри, поведінки та
контексту доступу [2, 12]. Проте на прак-
тиці реалізація Zero Trust часто обмежу-
ється посиленою автентифікацією, тоді як
авторизація та керування токенами доступу
залишаються статичними й слабо адаптова-
ними до поточного стану безпеки.
У науковому та прикладному вимі-
рах залишається відкритою задача побу-
дови формалізованих моделей авторизації,
здатних поєднувати оцінювання довіри, ри-
зику та керування сесіями в єдиному кон-
турі ухвалення рішень [1, 15]. Особливої
уваги потребує проблема зменшення так
званого «вікна атаки» — проміжку часу,
протягом якого скомпрометований токен
або сесія можуть бути використані зловми-
сником без виявлення та блокування [8-9,
17]. Розв’язання цієї задачі має безпосеред-
ній зв’язок із практичними завданнями під-
вищення стійкості систем керування досту-
пом, мінімізації наслідків інцидентів без-
пеки та забезпечення безперервності біз-
нес-процесів.
У цьому контексті доцільним є роз-
роблення ризик-адаптивних підходів до ав-
торизації, які враховують динамічну зміну
рівня довіри до користувача або сервісу,
контекстні та поведінкові фактори, а також
дозволяють керувати часом життя токенів
доступу залежно від поточного ризику [5,
12-13, 15]. Такий підхід забезпечує зв’язок
між фундаментальними науковими дослі-
дженнями у сфері моделей доступу та прак-
тичними задачами впровадження Zero
Trust-архітектур у корпоративних інформа-
ційно-комунікаційних системах.
У роботі зроблено такі внески, що
визначають її наукову новизну та практи-
чну цінність. По-перше, формалізовано мо-
дель ризик-адаптивної авторизації в архіте-
ктурі Zero Trust як динамічного контуру ух-
валення рішень [12-13], у якому врахову-
ються суб’єкти доступу, активи, привілеї та
контекст безпеки, а ключові параметри до-
віри й ризику оновлюються під час актив-
ної сесії. По-друге, запропоновано меха-
нізм 𝑇𝑇𝑇𝑇 – 𝑇𝑇𝑇𝑇𝑇𝑇 [15, 18], який пов’язує дина-
мічну оцінку довіри та операційного ризику
з адаптивним керуванням часом життя то-
кенів доступу, забезпечуючи подієву реак-
цію на ризикові ситуації (поведінкові ано-
малії, зміни контексту, порушення цілісно-
сті пристрою) та скорочення потенційного
«вікна атаки» у разі компрометації сесії.
По-третє, введено систему метрик для кіль-
кісного оцінювання ефективності запропо-
нованого підходу [8, 16], зокрема, метрику
вікна атаки 𝑊𝑊, показники частоти додатко-
вих перевірок доступу S та затримки ухва-
лення рішень 𝑇𝑇 на рівнях PDP/PEP. По-чет-
верте, виконано сценарне порівняльне оці-
нювання запропонованого методу з базо-
вими моделями авторизації зі статичним та
чутливісно-орієнтованим часом життя то-
кенів [10, 12], що дозволило обґрунтувати
переваги ризик-адаптивного керування се-
сіями в різних умовах доступу. По-п’яте,
визначено умови застосування підходу та
його обмеження [2, 7], пов’язані з якістю
сигналів ризикових подій, необхідністю ка-
лібрування порогів і вагових коефіцієнтів, а
також компромісом між посиленням без-
пеки та зручністю користувача в корпора-
тивних середовищах.
Незважаючи на активний розвиток
технологій керування ідентичностями та
доступом, проблема ефективної авторизації
в корпоративних інформаційних системах
залишається частково невирішеною [1, 5].
Більшість наявних рішень зосереджені на
посиленні автентифікації користувачів або
розширенні політик доступу, тоді як процес
авторизації та керування життєвим циклом
токенів доступу часто реалізується за ста-
Програмні системи захисту інформації
68
тичними правилами [10, 12-13]. У резуль-
таті системи виявляються недостатньо чут-
ливими до змін контексту, поведінкових
аномалій і поточного рівня ризику, що
створює умови для тривалого зловживання
скомпрометованими сесіями.
Аналіз наукових і практичних підхо-
дів показує, що в межах концепції Zero
Trust відсутнє єдине формалізоване рі-
шення, яке б інтегрувало оцінювання рівня
довіри, ризику операції та керування пара-
метрами сесії в узгоджений механізм ухва-
лення рішень [2, 10, 19]. Зокрема, залиша-
ються невирішеними такі питання: яким
чином кількісно враховувати динамічну
зміну довіри до користувача або сервісу під
час активної сесії [15, 18]; як поєднати цю
оцінку з ризиками конкретної операції та
чутливістю активу [4, 13]; як на основі
отриманих показників адаптивно зміню-
вати параметри авторизації без надмірного
впливу на зручність користувачів і продук-
тивність системи.
Окремою проблемою є керування
часом життя токенів доступу, який у біль-
шості реалізацій визначається наперед і не
змінюється у відповідь на ризикові події
[10]. Такий підхід не дозволяє оперативно
скорочувати «вікно атаки» у разі компроме-
тації облікових даних, викрадення токенів
або виявлення аномальної поведінки. Вод-
ночас відсутність формалізованих правил
адаптивного керування токенами усклад-
нює оцінювання ефективності запропоно-
ваних рішень і їх порівняння з базовими мо-
делями.
У зв’язку з цим постає науково-
практичне завдання розроблення ризик-
адаптивної моделі авторизації, яка забезпе-
чує узгоджене використання динамічної
оцінки довіри, контекстних і поведінкових
ризиків та механізмів керування токенами
доступу [2, 15, 18]. Така модель має бути
формалізованою, придатною для реалізації
в системах IAM/PAM та дозволяти кількі-
сно оцінювати її вплив на зменшення поте-
нційного вікна атаки й експлуатаційні хара-
ктеристики авторизації в умовах Zero Trust.
Модель загроз охоплює атаки,
пов’язані з компрометацією токенів дос-
тупу та зловживанням сесіями (token theft,
session hijacking, повторне використання
токена після первинної автентифікації), а
також підвищення ризику через контекстні
та поведінкові аномалії (нестандартна гео-
локація, зміна пристрою/мережі, нетипова
частота запитів). Припускається наявність
джерел телеметрії
UEBA/SIEM/IdP/EDR/NAC і можливість
анулювання/обмеження сесії протягом ін-
тервалу ∆𝑡𝑡 [8, 16, 20-21]. Поза межами роз-
гляду залишаються сценарії повної компро-
метації IdP/PDP або відсутності достовірної
телеметрії (наприклад, повний контроль
зловмисника над endpoint без детекту-
вання).
Аналіз існуючих досліджень
У сучасних наукових дослідженнях
значна увага приділяється розвитку систем
керування ідентичностями та доступом
(IAM) і впровадженню архітектури Zero
Trust у корпоративних інформаційних сис-
темах. У роботах J. Glöckler, J. Sedlmeir, M.
Frank та G. Fridgen узагальнено вимоги під-
приємств до IAM, зокрема, щодо керування
життєвим циклом ідентичностей, узгодже-
ності атрибутів, аудиту доступу та змен-
шення ризиків зловживання привілеями [1].
Автори переконливо показують, що сучасні
корпоративні системи потребують більш
гнучких і контекстно-орієнтованих механі-
змів доступу. Водночас запропонований у
роботі аналіз має переважно концептуаль-
ний характер і не пропонує формалізова-
ного механізму авторизації, який би безпо-
середньо пов’язував динамічні показники
довіри та ризику з параметрами активної
сесії й часом життя токенів доступу. У ви-
правленнях і доповненнях до цього огляду
[3] уточнюється методологічна коректність
систематизації вимог, однак прикладна
проблема адаптивного керування авториза-
ційними сесіями залишається поза межами
розгляду.
Дослідження A. Aljohani зосере-
джене на практичних аспектах реалізації
Zero Trust у сучасних корпоративних мере-
жах, де кожен запит доступу розглядається
як потенційно небезпечний [2]. Робота де-
монструє ефективність безперервної пере-
вірки ідентичності та контексту, однак ав-
торизація в більшості сценаріїв реалізу-
ється як статичне або напівстатичне рі-
Програмні системи захисту інформації
69
шення на рівні політик доступу. Питання
динамічного коригування параметрів сесії
після надання доступу, зокрема, часу життя
токенів у відповідь на зміну ризику, не
отримує достатнього розвитку.
Окрему групу становлять роботи,
присвячені формальним моделям доступу.
Так M. U. Aftab та співавтори пропонують
динамічну RBAC-модель із permission-
based separation of duty, спрямовану на зме-
ншення ризиків зловживання повноважен-
нями [4]. Запропонована модель суттєво пі-
двищує контроль над призначенням ролей і
дозволів, однак вона не враховує сценаріїв
компрометації вже виданих токенів або ак-
тивних сесій, що є типовими для сучасних
атак на ідентичності.
У контексті хмарних і розподілених
середовищ V. Yadav, M. K. Soni та A. Pratap
розглядають захищене IAM у хмарних об-
численнях на основі Zero Trust [5]. Автори
підкреслюють важливість урахування кон-
тексту доступу та чутливості ресурсів,
проте запропоновані підходи зосереджені
переважно на етапі ухвалення первинного
рішення про доступ. Керування життєвим
циклом токенів доступу впродовж активної
сесії залишається статичним або прив’яза-
ним до наперед визначених профілів ресур-
сів, що обмежує здатність системи операти-
вно реагувати на компрометацію токенів чи
поведінкові аномалії.
Аналогічні обмеження простежу-
ються у роботі H. Sivaraman, присвяченій
Zero Trust IAM у multi-cloud середовищах
[6]. Автор детально аналізує проблеми уні-
фікації політик ідентичностей і доступу
між різними хмарними платформами та на-
голошує на необхідності безперервної оці-
нки доступу. Водночас у дослідженні не за-
пропоновано формалізованого алгоритму,
який би пов’язував результати такої оцінки
з адаптивним керуванням параметрами ав-
торизаційних сесій і токенів.
У роботі S. Ahmadi розглянуто за-
стосування Zero Trust у хмарних мережах, а
також визначено ключові виклики,
пов’язані з масштабованістю, якістю теле-
метрії та балансом між безпекою і зручні-
стю користувачів [7]. Автор зазначає, що
надмірно жорсткі політики можуть негати-
вно впливати на безперервність бізнес-про-
цесів, однак у дослідженні не запропоно-
вано кількісних моделей, які дозволяли б
оптимізувати цей компроміс шляхом адап-
тивного керування часом життя сесій зале-
жно від поточного ризику.
Важливим доповненням до пробле-
матики Zero Trust є дослідження J. Lee та
співавторів, у якому запропоновано метод
ранжування аномальних активностей у ко-
рпоративних мережах [8]. Робота демонст-
рує, як телеметричні дані можуть бути пе-
ретворені на числові оцінки аномальності
та ризику. Проте результати такого ранжу-
вання розглядаються переважно як інстру-
мент для SOC або моніторингу, а не як ке-
руючий сигнал для механізмів авторизації
та керування сесіями.
Проведений аналіз наукових публі-
кацій показує, що, незважаючи на активний
розвиток концепції Zero Trust і систем IAM,
у більшості досліджень авторизація розгля-
дається або як статичне рішення на момент
запиту доступу, або як похідна від ролей,
атрибутів чи чутливості активів. Питання
інтеграції динамічної оцінки довіри, кон-
текстних і поведінкових ризиків та керу-
вання параметрами активної сесії в єдиний
формалізований контур ухвалення рішень
залишається недостатньо вирішеним.
Зокрема, у наявних підходах відсут-
ній узгоджений механізм адаптивного ке-
рування часом життя токенів доступу у від-
повідь на ризикові події, що безпосередньо
пов’язано з проблемою мінімізації потен-
ційного «вікна атаки» у разі компрометації
сесії. Також бракує кількісних моделей і
метрик, які дозволяли б порівнювати ефек-
тивність різних підходів до авторизації з то-
чки зору балансу між рівнем безпеки, за-
тримкою ухвалення рішень і зручністю ко-
ристувачів. У сукупності ці невирішені пи-
тання зумовлюють необхідність розроб-
лення ризик-адаптивної моделі авторизації
в архітектурі Zero Trust, яка поєднує дина-
мічну довіру, оцінювання ризику та адапти-
вне керування токенами доступу в одному
формалізованому механізмі.
Метою статті є розробка формалізо-
ваної ризик-адаптивної моделі авторизації
в архітектурі Zero Trust, що поєднує дина-
мічну оцінку рівня довіри до користувачів і
сервісів, контекстні та поведінкові фактори
Програмні системи захисту інформації
70
ризику, а також адаптивне керування пара-
метрами сесій і токенів доступу. Запропо-
нований підхід спрямований на зменшення
потенційного вікна атак у разі компромета-
ції ідентичностей або токенів, підвищення
точності рішень про доступ та забезпечення
балансу між рівнем безпеки, продуктивні-
стю системи й зручністю використання в
корпоративних інформаційних системах.
Для формалізації проблеми ефектив-
ності авторизації доцільно ввести кількісну
метрику, що безпосередньо характеризує
наслідки компрометації сесій і токенів дос-
тупу [10, 12]. Нехай 𝑡𝑡𝑐𝑐 − момент компроме-
тації токена доступу або облікових даних,
𝑡𝑡𝑟𝑟 − момент його відкликання, анулювання
або завершення дії. Тоді потенційне вікно
атаки визначається як: 𝑊𝑊 = 𝑡𝑡𝑟𝑟 − 𝑡𝑡𝑐𝑐 і харак-
теризує проміжок часу, протягом якого зло-
вмисник може несанкціоновано використо-
вувати скомпрометований доступ [13, 19].
У традиційних моделях авторизації зі ста-
тичним часом життя токенів величина 𝑊𝑊
практично еквівалентна заданому зна-
ченню 𝑇𝑇𝑇𝑇𝑇𝑇, оскільки параметри сесії не змі-
нюються у відповідь на ризикові події [5,
10]. Натомість у ризик-адаптивному під-
ході 𝑇𝑇𝑇𝑇 – 𝑇𝑇𝑇𝑇𝑇𝑇 величина 𝑊𝑊 зменшується за
рахунок подієвого коригування часу життя
токена, коли виявлення аномальної поведі-
нки, змін контексту або інших ризикових
подій призводить до дострокового обме-
ження або відкликання сесії [12, 18-19]. Та-
ким чином, задача авторизації в умовах
Zero Trust формалізується як задача мінімі-
зації потенційного вікна атаки 𝑊𝑊 за умови
збереження прийнятних експлуатаційних
характеристик системи доступу.
Виклад основного матеріалу
дослідження
Методологія дослідження ґрунту-
ється на поєднанні формалізованих моде-
лей керування доступом, ризик-орієнтова-
них підходів до авторизації та принципів
архітектури Zero Trust [2, 10, 12-13, 19]. У
межах роботи використано системний під-
хід до аналізу процесів авторизації в корпо-
ративних інформаційних системах, що до-
зволяє розглядати керування доступом як
динамічний контур ухвалення рішень, зале-
жний від рівня довіри, контексту та поведі-
нки суб’єктів доступу.
Основу дослідження становить фор-
малізація ключових елементів системи
Access Management, зокрема множин кори-
стувачів, активів і привілеїв, а також відно-
шень доступу між ними. Авторизація розг-
лядається як функція, що відображає атри-
бути суб’єкта, характеристики ресурсу та
поточний контекст безпеки у рішення щодо
дозволу, обмеження або заборони доступу.
Такий підхід забезпечує можливість інтег-
рації рольових, атрибутивних і політик-орі-
єнтованих моделей у єдину схему ухва-
лення рішень.
Для врахування динаміки ризиків у
процесі доступу застосовано методи оціню-
вання довіри та ризику операцій [13, 19]. Рі-
вень довіри до користувача або сервісу ви-
значається на основі сукупності ідентифі-
каційних, контекстних, пристроєвих і пове-
дінкових факторів та розглядається як
змінна величина, що оновлюється впро-
довж активної сесії [15, 18]. Оцінка ризику
операції формується з урахуванням чутли-
вості активів, умов доступу та поточного
стану безпеки, що дозволяє адаптувати рі-
шення авторизації до реальних загроз.
Ключовим елементом методології є
ризик-адаптивне керування токенами дос-
тупу, яке реалізується шляхом динамічного
визначення часу їхнього життя залежно від
рівня довіри, контексту доступу та критич-
ності ресурсів [5-6, 12]. У дослідженні ви-
користано подієвий підхід, за якого вияв-
лення ризикових подій (аномальної поведі-
нки, змін контексту або порушень політик)
призводить до коригування параметрів се-
сії та, за необхідності, ініціювання додатко-
вих перевірок доступу. Це дозволяє мінімі-
зувати потенційне вікно атак без надмір-
ного зниження зручності використання си-
стеми.
Джерелом формування ризикових
подій у запропонованій методології висту-
пають різнорідні компоненти корпоратив-
ної інфраструктури безпеки, зокрема, сис-
теми аналізу поведінки користувачів і сут-
ностей (UEBA), системи управління поді-
ями та інцидентами безпеки (SIEM), сер-
віси керування ідентичностями та доступом
(IdP/IAM), засоби захисту кінцевих точок
Програмні системи захисту інформації
71
(EDR), а також механізми мережевого кон-
тролю доступу (NAC) [8, 13, 20-21]. Теле-
метричні дані, що надходять із цих джерел,
агрегуються та нормалізуються з метою ви-
явлення подій, які можуть свідчити про зро-
стання ризику доступу, такі як аномальна
поведінка, порушення цілісності пристрою,
нетипові зміни контексту або спроби злов-
живання токенами доступу.
Для кожної зафіксованої події фор-
мується оцінка серйозності
𝑆𝑆𝑆𝑆𝑆𝑆(𝑅𝑅𝑅𝑅𝑅𝑅𝑅𝑅𝑅𝑅𝑆𝑆𝑆𝑆𝑅𝑅𝑅𝑅), яка може визначатися на
основі правил (rule-based підхід) або за до-
помогою моделей машинного навчання у
вигляді нормалізованого ризикового скору
[8, 16]. Оновлення рівня довіри 𝑇𝑇𝑇𝑇 здійсню-
ється динамічно — безпосередньо під час
обробки запиту доступу (per-request), пері-
одично з фіксованим інтервалом ∆𝑅𝑅 або аси-
нхронно у відповідь на надходження ризи-
кової події (on-event), залежно від вимог до
чутливості та продуктивності системи [12-
13, 15]. Узагальнено методологічний кон-
веєр ризик-адаптивної авторизації можна
подати у вигляді послідовності: Telemetry
→ RiskEvent scoring → TL update → RiskOp
evaluation → Decision & TTL update → PEP
enforcement, що забезпечує замкнений кон-
тур ухвалення рішень, у якому сигнали без-
пеки безпосередньо впливають на параме-
три авторизації та керування сесіями в умо-
вах Zero Trust.
Схема на рис. 1 ілюструє архітек-
туру ризик-адаптивної авторизації в пара-
дигмі Zero Trust, у якій події безпеки з дже-
рел телеметрії (UEBA, SIEM, IdP/IAM,
EDR, NAC) агрегуються у формалізований
об’єкт RiskEvent та оцінюються за рівнем
серйозності. На рівні PDP здійснюється об-
числення та оновлення показників динамі-
чної довіри і операційного ризику, на ос-
нові яких формується рішення доступу та
адаптивно коригується час життя токена
(TTL). Рівень PEP забезпечує примусове
виконання ухваленого рішення (permit,
step-up, deny), а також керування токенами
і сесіями (introspection, denylist, revoke,
rotation) з одночасним формуванням ауди-
торських подій. Згенерований аудит повер-
тається до SIEM, утворюючи замкнений ко-
нтур зворотного зв’язку, що забезпечує без-
перервну переоцінку довіри та мінімізацію
вікна компрометації сесії. Запропонована
архітектура забезпечує перехід від статич-
ної моделі авторизації до безперервного
контекстно-орієнтованого контролю дос-
тупу, у якому параметри безпеки динамічно
узгоджуються з поточним рівнем ризику.
Такий підхід підвищує стійкість системи до
компрометації облікових даних і перехоп-
лення сесій без істотного зростання обчис-
лювального навантаження та збереження
прийнятного рівня зручності користування.
Рис. 1. Архітектура ризик-адаптив-
ної авторизації в Zero Trust (PDP/PEP)
На рис. 2 подано граф подій та керу-
ючих впливів у контурі PDP/PEP архітек-
тури Zero Trust. Після входу користувача та
видачі токена зміна контексту доступу (ло-
кація, пристрій) ініціює формування
𝑅𝑅𝑅𝑅𝑅𝑅𝑅𝑅𝑅𝑅𝑆𝑆𝑆𝑆𝑅𝑅𝑅𝑅, для якого обчислюється рівень
серйозності 𝑆𝑆𝑆𝑆𝑆𝑆(𝑅𝑅𝑅𝑅𝑅𝑅𝑅𝑅𝑅𝑅𝑆𝑆𝑆𝑆𝑅𝑅𝑅𝑅). На основі цієї
оцінки PDP ухвалює рішення доступу
(Permit / RequireMFA / Deny), яке реалізу-
ється рівнем PEP через примусове вико-
Програмні системи захисту інформації
72
нання, step-up аутентифікацію або відкли-
кання/ротацію токена. Усі дії журналю-
ються та передаються до SIEM, забезпечу-
ючи кореляцію й збагачення подій, що під-
креслює подієву, керовану та пояснювану
природу ризик-адаптивної авторизації.
Рис. 2. Граф подій та керуючих
впливів RiskEvent у контурі PDP/PEP (Zero
Trust)
Оцінювання ефективності запропо-
нованого підходу здійснюється за сценар-
ним принципом із використанням порівня-
льного аналізу [10, 12-13, 19]. У межах дос-
лідження розглядаються типові сценарії до-
ступу, що включають нормальну роботу,
контекстні та поведінкові аномалії, а також
компрометацію токенів. Запропонований
метод порівнюється з базовими моделями
авторизації за показниками тривалості по-
тенційного вікна атаки, частоти додаткових
перевірок доступу та експлуатаційних ха-
рактеристик ухвалення рішень. Такий під-
хід забезпечує об’єктивну оцінку переваг
ризик-адаптивної авторизації в умовах Zero
Trust.
Запропонований механізм може
бути реалізований у токеноорієнтованих
протоколах (OAuth 2.0 / OpenID Connect)
через адаптивне керування 𝑇𝑇𝑇𝑇𝐿𝐿 для access
token та політику refresh token з подієвим
скороченням строку дії [5-6, 16]. На прак-
тиці PDP виконує TL/RiskOp-оцінювання, а
PEP застосовує рішення
(Permit/RequireMFA/Deny) і параметри то-
кена; ризикові події надходять через
SIEM/UEBA або брокер подій, а анулю-
вання може виконуватися через introspec-
tion/denylist/rotation залежно від обраної ар-
хітектури.
Формальна модель авторизації та
довіри. Формалізація процесу авторизації в
умовах Zero Trust передбачає опис
суб’єктів доступу, ресурсів, привілеїв і кон-
тексту безпеки у вигляді взаємопов’язаних
множин і функцій, що дозволяє кількісно
враховувати довіру та ризик під час ухва-
лення рішень [13, 19]. На відміну від стати-
чних моделей контролю доступу, запропо-
нований підхід орієнтований на динамічне
оновлення параметрів авторизації залежно
від поведінки користувача та змін середо-
вища.
Нехай множина користувачів і серві-
сних суб’єктів доступу корпоративної сис-
теми визначається як:
𝑈𝑈 = {𝑢𝑢1, 𝑢𝑢2, … , 𝑢𝑢𝑚𝑚},
де 𝑢𝑢𝑗𝑗 − окремий користувач або сер-
віс, що ініціює запит на доступ. Кожному
суб’єкту відповідає набір атрибутів:
𝐴𝐴𝐴𝐴𝐴𝐴𝐴𝐴(𝑢𝑢𝑗𝑗) =
{𝑅𝑅𝑅𝑅𝑅𝑅𝑅𝑅𝑗𝑗, 𝐷𝐷𝑅𝑅𝐷𝐷𝐴𝐴𝑗𝑗, 𝐶𝐶𝑅𝑅𝑅𝑅𝐶𝐶𝐴𝐴𝐶𝐶𝐶𝐶𝐶𝐶𝑅𝑅𝑗𝑗, 𝐷𝐷𝑅𝑅𝐷𝐷𝐷𝐷𝐶𝐶𝑅𝑅𝑗𝑗, 𝐿𝐿𝑅𝑅𝐶𝐶𝐶𝐶𝐴𝐴𝐷𝐷𝑅𝑅𝐶𝐶𝑗𝑗},
які описують його функціональну роль, рі-
вень повноважень, характеристики при-
строю та контекст доступу [1, 13]. У рамках
Zero Trust ці атрибути розглядаються як
змінні величини, що можуть оновлюватися
під час активної сесії.
Множина активів інформаційної си-
стеми задається як:
𝐴𝐴 = {𝐶𝐶1, 𝐶𝐶2, … , 𝐶𝐶𝑛𝑛},
де 𝐶𝐶𝑖𝑖 − окремий інформаційний ресурс, сер-
віс або об’єкт обробки даних [1]. Для кож-
ного активу визначається вектор безпеко-
вих характеристик:
𝐴𝐴𝐴𝐴𝐴𝐴𝐴𝐴(𝐶𝐶𝑖𝑖) =
{𝐶𝐶𝑅𝑅𝐶𝐶𝐶𝐶𝑖𝑖, 𝐼𝐼𝐶𝐶𝐴𝐴𝑖𝑖, 𝐴𝐴𝐷𝐷𝐶𝐶𝐷𝐷𝑅𝑅𝑖𝑖, 𝑆𝑆𝑅𝑅𝐶𝐶𝑛𝑛𝑖𝑖, 𝑂𝑂𝑂𝑂𝐶𝐶𝑅𝑅𝐴𝐴𝑖𝑖},
де 𝐶𝐶𝑅𝑅𝐶𝐶𝐶𝐶𝑖𝑖, 𝐼𝐼𝐶𝐶𝐴𝐴𝑖𝑖, 𝐴𝐴𝐷𝐷𝐶𝐶𝐷𝐷𝑅𝑅𝑖𝑖 відображають вимоги
до конфіденційності, цілісності та доступ-
Програмні системи захисту інформації
73
ності, а 𝑆𝑆𝑆𝑆𝑆𝑆𝑆𝑆𝑖𝑖 характеризує чутливість ак-
тиву. На основі цих параметрів формується
оцінка ризику активу:
𝑅𝑅𝑅𝑅𝑆𝑆𝑅𝑅(𝑎𝑎𝑖𝑖) =
𝑓𝑓(𝐶𝐶𝐶𝐶𝑆𝑆𝑓𝑓𝑖𝑖, 𝐼𝐼𝑆𝑆𝐼𝐼𝑖𝑖, 𝐴𝐴𝐴𝐴𝑎𝑎𝑅𝑅𝐴𝐴𝑖𝑖, 𝑇𝑇ℎ𝑟𝑟𝑆𝑆𝑎𝑎𝐼𝐼𝑆𝑆𝑖𝑖, 𝑉𝑉𝑉𝑉𝐴𝐴𝑆𝑆𝑖𝑖),
яка використовується для визначення суво-
рості політик доступу та параметрів авто-
ризації.
Множина дозволених операцій або
привілеїв визначається як:
𝑃𝑃 = {𝑝𝑝1, 𝑝𝑝2, … , 𝑝𝑝𝑘𝑘},
де 𝑝𝑝𝑘𝑘 відповідає окремій дії над активом,
наприклад, читанню, зміні або адміністру-
ванню. Відношення доступу між користу-
вачами, активами та привілеями описується
множиною:
𝐴𝐴𝐴𝐴𝐴𝐴𝑆𝑆𝑆𝑆𝑆𝑆 ⊆ 𝑈𝑈 × 𝐴𝐴 × 𝑃𝑃,
причому трійка (𝑉𝑉𝑗𝑗, 𝑎𝑎𝑖𝑖, 𝑝𝑝𝑘𝑘) ∈ 𝐴𝐴𝐴𝐴𝐴𝐴𝑆𝑆𝑆𝑆𝑆𝑆 озна-
чає, що суб’єкту 𝑉𝑉𝑗𝑗 дозволено виконувати
операцію 𝑝𝑝𝑘𝑘 над активом 𝑎𝑎𝑖𝑖.
Для реалізації політик RBAC, ABAC
і PBAC вводяться допоміжні відношення
призначення ролей і привілеїв:
𝑈𝑈𝐴𝐴 ⊆ 𝑈𝑈 × 𝑅𝑅𝐶𝐶𝐴𝐴𝑆𝑆, 𝑃𝑃𝐴𝐴 ⊆ 𝑅𝑅𝐶𝐶𝐴𝐴𝑆𝑆 × 𝑃𝑃,
У загальному випадку рішення про
доступ формується як результат функції ав-
торизації:𝐷𝐷𝑆𝑆𝐴𝐴𝑅𝑅𝑆𝑆𝑅𝑅𝐶𝐶𝑆𝑆 = 𝑃𝑃𝐷𝐷𝑅𝑅(𝑈𝑈, 𝐴𝐴, 𝑃𝑃, 𝑃𝑃𝐶𝐶𝐴𝐴𝑅𝑅𝐴𝐴𝑅𝑅𝑆𝑆𝑆𝑆, 𝐶𝐶𝐶𝐶𝑆𝑆𝐼𝐼𝑆𝑆𝐶𝐶𝐼𝐼)
де 𝑃𝑃𝐶𝐶𝐴𝐴𝑅𝑅𝐴𝐴𝑅𝑅𝑆𝑆𝑆𝑆 − множина формалізованих пра-
вил доступу, 𝐶𝐶𝐶𝐶𝑆𝑆𝐼𝐼𝑆𝑆𝐶𝐶𝐼𝐼 − сукупність параме-
трів середовища виконання запиту.
Ключовим елементом запропонова-
ної моделі є динамічна оцінка рівня довіри
до суб’єкта доступу [13, 19]. Рівень довіри
𝑇𝑇𝑇𝑇(𝑉𝑉𝑗𝑗) визначається як зважена агрегація
нормалізованих показників ідентичності,
стану пристрою, контексту та поведінкових
характеристик:
𝑇𝑇𝑇𝑇(𝑉𝑉𝑗𝑗) = ∑ 𝑤𝑤𝑙𝑙
𝐿𝐿
𝑙𝑙=1 ∙ 𝑧𝑧𝑙𝑙(𝑉𝑉𝑗𝑗), 𝑧𝑧𝑙𝑙 ∈ [0,1],
∑ 𝑤𝑤𝑙𝑙 = 1,
де 𝑧𝑧𝑙𝑙(𝑉𝑉𝑗𝑗) − окремі складові оцінки довіри
(якість автентифікації, безпечність при-
строю, стабільність поведінки), 𝑤𝑤𝑙𝑙 − їхні ва-
гові коефіцієнти. На відміну від статичних
моделей, значення 𝑇𝑇𝑇𝑇 постійно оновлю-
ється під час сесії відповідно до зафіксова-
них подій безпеки:
𝑇𝑇𝑇𝑇𝑡𝑡+1 = 𝐴𝐴𝐴𝐴𝑅𝑅𝑝𝑝(0, 1, 𝑇𝑇𝑇𝑇𝑡𝑡 − ∆𝑇𝑇(𝑅𝑅𝑅𝑅𝑆𝑆𝑅𝑅𝑅𝑅𝐴𝐴𝑆𝑆𝑆𝑆𝐼𝐼𝑡𝑡)),
де 𝑅𝑅𝑅𝑅𝑆𝑆𝑅𝑅𝑅𝑅𝐴𝐴𝑆𝑆𝑆𝑆𝐼𝐼𝑡𝑡 відображає наявність анома-
лій або підозрілих дій у момент часу 𝐼𝐼. Опе-
ратор 𝐴𝐴𝐴𝐴𝑅𝑅𝑝𝑝 (0, 1,∙) обмежує значення рівня
довіри в діапазоні [0,1] і запобігає виходу
𝑇𝑇𝑇𝑇 за межі допустимих значень..
Оцінка ризику конкретної операції
доступу визначається функцією
𝑅𝑅𝑅𝑅𝑆𝑆𝑅𝑅𝑅𝑅𝑝𝑝(𝑉𝑉𝑗𝑗, 𝑎𝑎𝑖𝑖, 𝑝𝑝𝑘𝑘) = 𝛼𝛼 ∙ 𝑅𝑅𝑅𝑅𝑆𝑆𝑅𝑅(𝑎𝑎𝑖𝑖) + 𝛽𝛽 ∙
(1 − 𝑇𝑇𝑇𝑇(𝑉𝑉𝑗𝑗)) + 𝛾𝛾 ∙ 𝑅𝑅𝑅𝑅𝑆𝑆𝑅𝑅𝐶𝐶𝐶𝐶𝑆𝑆𝐼𝐼𝑆𝑆𝐶𝐶𝐼𝐼,
де 𝑅𝑅𝑅𝑅𝑆𝑆𝑅𝑅𝐶𝐶𝐶𝐶𝑆𝑆𝐼𝐼𝑆𝑆𝐶𝐶𝐼𝐼 характеризує поточний
контекст виконання операції (геолокація,
час, тип мережі), а коефіцієнти 𝛼𝛼, 𝛽𝛽, 𝛾𝛾 зада-
ють внесок кожного компонента. Така фор-
малізація дозволяє поєднати статичні хара-
ктеристики активу з динамічною довірою
до користувача.
Запропонована модель відрізняється
від традиційних підходів тим, що рішення
про доступ ухвалюється не лише на основі
ролей або атрибутів, а з урахуванням пото-
чного ризику операції та рівня довіри [12-
13, 19]. Це створює основу для реалізації
ризик-адаптивної авторизації, у межах якої
подальше керування токенами доступу та
параметрами сесії може бути безпосеред-
ньо пов’язане зі значеннями 𝑇𝑇𝑇𝑇 і 𝑅𝑅𝑅𝑅𝑆𝑆𝑅𝑅𝑅𝑅𝑝𝑝.
Таким чином, формальна модель авториза-
ції та довіри забезпечує математичне підґ-
рунтя для побудови адаптивних Zero Trust-
рішень, орієнтованих на мінімізацію вікна
атак і підвищення стійкості систем керу-
вання доступом.
Запропонований ризик-адаптив-
ний метод керування токенами доступу
(𝑻𝑻𝑻𝑻 – 𝑻𝑻𝑻𝑻𝑻𝑻). Запропонований метод керу-
вання токенами доступу ґрунтується на ідеї
динамічного коригування параметрів сесії
відповідно до поточного рівня довіри та ри-
зику виконуваних операцій [6, 10, 19]. На
відміну від традиційних підходів, у яких
час життя токена визначається статично або
залежить лише від чутливості ресурсу, у
межах даного дослідження токен розгляда-
ється як адаптивний елемент авторизацій-
ного контуру Zero Trust.
Нехай 𝑇𝑇𝑇𝑇𝑇𝑇 − час життя токена дос-
тупу, що визначає максимальну тривалість
дії авторизаційного рішення [12-13]. Запро-
поновано визначати початкове значення
𝑇𝑇𝑇𝑇𝑇𝑇 як функцію динамічного рівня довіри
до суб’єкта доступу, контекстних ризиків і
чутливості активу:
𝑇𝑇𝑇𝑇𝑇𝑇 = 𝑓𝑓(𝑇𝑇𝑇𝑇, 𝑅𝑅𝑅𝑅𝑆𝑆𝑅𝑅𝐶𝐶𝐶𝐶𝑆𝑆𝐼𝐼𝑆𝑆𝐶𝐶𝐼𝐼, 𝑆𝑆𝑆𝑆𝑆𝑆𝑆𝑆𝑅𝑅𝐼𝐼𝑅𝑅𝐴𝐴𝑅𝑅𝐼𝐼𝑆𝑆),
Програмні системи захисту інформації
74
Для практичної реалізації ця залеж-
ність може бути задана у вигляді лінійної
моделі з обмеженнями:
𝑇𝑇𝑇𝑇𝑇𝑇 = 𝑐𝑐𝑐𝑐𝑐𝑐𝑐𝑐(𝑇𝑇𝑇𝑇𝑇𝑇𝑚𝑚𝑚𝑚𝑚𝑚, 𝑇𝑇𝑇𝑇𝑇𝑇𝑚𝑚𝑚𝑚𝑚𝑚, 𝑘𝑘1 ∙ 𝑇𝑇𝑇𝑇 − 𝑘𝑘2 ∙
𝑅𝑅𝑐𝑐𝑅𝑅𝑘𝑘𝑅𝑅𝑅𝑅𝑅𝑅𝑅𝑅𝑅𝑅𝑅𝑅𝑅𝑅 − 𝑘𝑘3 ∙ 𝑆𝑆𝑅𝑅𝑅𝑅𝑅𝑅𝑐𝑐𝑅𝑅𝑐𝑐𝑆𝑆𝑐𝑐𝑅𝑅𝑆𝑆),
де 𝑇𝑇𝑇𝑇𝑇𝑇𝑚𝑚𝑚𝑚𝑚𝑚 та 𝑇𝑇𝑇𝑇𝑇𝑇𝑚𝑚𝑚𝑚𝑚𝑚 − мінімальне і макси-
мальне допустимі значення часу життя то-
кена, 𝑇𝑇𝑇𝑇 ∈ [0,1] − поточний рівень довіри,
𝑅𝑅𝑐𝑐𝑅𝑅𝑘𝑘𝑅𝑅𝑅𝑅𝑅𝑅𝑅𝑅𝑅𝑅𝑅𝑅𝑅𝑅 ∈ [0,1] − оцінка ризику конте-
ксту доступу, 𝑆𝑆𝑅𝑅𝑅𝑅𝑅𝑅𝑐𝑐𝑅𝑅𝑐𝑐𝑆𝑆𝑐𝑐𝑅𝑅𝑆𝑆 ∈ [0,1] − чутли-
вість активу, 𝑘𝑘1, 𝑘𝑘2, 𝑘𝑘3 − коефіцієнти впливу
відповідних факторів.
Особливістю запропонованого під-
ходу є підтримка подієвого коригування
часу життя токена впродовж активної сесії.
У разі фіксації ризикових подій, таких як
поведінкові аномалії, зміна геолокації або
порушення політик безпеки, здійснюється
штрафне зменшення часу життя токена [12-
13]:
𝑇𝑇𝑇𝑇𝑇𝑇𝑡𝑡+1 = 𝑇𝑇𝑇𝑇𝑇𝑇𝑡𝑡 − ∆𝑅𝑅 −
𝑃𝑃𝑅𝑅𝑅𝑅𝑃𝑃𝑐𝑐𝑅𝑅𝑆𝑆(𝑅𝑅𝑐𝑐𝑅𝑅𝑘𝑘𝑅𝑅𝑆𝑆𝑅𝑅𝑅𝑅𝑅𝑅𝑡𝑡),
де ∆𝑅𝑅 − час, що минув з моменту поперед-
нього оновлення, 𝑃𝑃𝑅𝑅𝑅𝑅𝑃𝑃𝑐𝑐𝑅𝑅𝑆𝑆(𝑅𝑅𝑐𝑐𝑅𝑅𝑘𝑘𝑅𝑅𝑆𝑆𝑅𝑅𝑅𝑅𝑅𝑅𝑡𝑡) −
штрафна функція, пропорційна серйозності
зафіксованої події:
𝑃𝑃𝑅𝑅𝑅𝑅𝑃𝑃𝑐𝑐𝑅𝑅𝑆𝑆(𝑅𝑅𝑐𝑐𝑅𝑅𝑘𝑘𝑅𝑅𝑆𝑆𝑅𝑅𝑅𝑅𝑅𝑅) = 𝜆𝜆 ∙
𝑆𝑆𝑅𝑅𝑆𝑆(𝑅𝑅𝑐𝑐𝑅𝑅𝑘𝑘𝑅𝑅𝑆𝑆𝑅𝑅𝑅𝑅𝑅𝑅), 𝑆𝑆𝑅𝑅𝑆𝑆 ∈ [0,1],
Отож, навіть за наявності чинного
дозволу на доступ токен може бути достро-
ково обмежений або відкликаний у разі зро-
стання ризику, що істотно зменшує потен-
ційне вікно атаки при компрометації сесії.
Запропонований метод інтегрується
у стандартну архітектуру PDP/PEP і дозво-
ляє реалізувати ризик-адаптивне керування
сесіями без зміни базових механізмів авте-
нтифікації. Це забезпечує його сумісність із
сучасними системами IAM/PAM та практи-
чну придатність для впровадження в корпо-
ративних інформаційних системах.
Модель ухвалення рішень автори-
зації. Для формалізації процесу авторизації
з урахуванням ризик-адаптивного керу-
вання токенами доступу розглянемо модель
ухвалення рішень, реалізовану на рівні Pol-
icy Decision Point (PDP) з подальшим засто-
суванням результатів на рівні Policy En-
forcement Point (PEP).
Нехай запит доступу описується
кортежем [13, 19]:
𝑞𝑞 = 〈𝑢𝑢, 𝑃𝑃, 𝑐𝑐, 𝑐𝑐𝑅𝑅𝑅𝑅, 𝑅𝑅〉,
де 𝑢𝑢 − суб’єкт доступу, 𝑃𝑃 − актив, 𝑐𝑐 − опе-
рація, 𝑐𝑐𝑅𝑅𝑅𝑅 − поточний контекст, 𝑅𝑅 − момент
часу. На основі цього запиту PDP обчислює
рівень довіри 𝑇𝑇𝑇𝑇(𝑢𝑢)та ризик операції
𝑅𝑅𝑐𝑐𝑅𝑅𝑘𝑘𝑅𝑅𝑐𝑐(𝑢𝑢, 𝑃𝑃, 𝑐𝑐).
Рішення авторизації формується як
елемент множини [10, 12]:
𝐷𝐷𝑅𝑅𝑐𝑐𝑐𝑐𝑅𝑅𝑐𝑐𝑅𝑅𝑅𝑅 ∈ {𝑃𝑃𝑅𝑅𝑃𝑃𝑃𝑃𝑐𝑐𝑅𝑅, 𝑅𝑅𝑅𝑅𝑞𝑞𝑢𝑢𝑐𝑐𝑃𝑃𝑅𝑅𝑖𝑖𝑖𝑖𝑖𝑖, 𝐷𝐷𝑅𝑅𝑅𝑅𝑆𝑆},
відповідно до порогових значень довіри та
ризику:
𝐷𝐷𝑅𝑅𝑐𝑐𝑐𝑐𝑅𝑅𝑐𝑐𝑅𝑅𝑅𝑅
= {
𝐷𝐷𝑅𝑅𝑅𝑅𝑆𝑆, 𝑇𝑇𝑇𝑇 < 𝑇𝑇𝑑𝑑𝑑𝑑𝑚𝑚𝑑𝑑 або 𝑅𝑅𝑐𝑐𝑅𝑅𝑘𝑘𝑅𝑅𝑐𝑐 > 𝑅𝑅𝑚𝑚𝑚𝑚𝑚𝑚,
𝑅𝑅𝑅𝑅𝑞𝑞𝑢𝑢𝑐𝑐𝑃𝑃𝑅𝑅𝑖𝑖𝑖𝑖𝑖𝑖, 𝑇𝑇𝑑𝑑𝑑𝑑𝑚𝑚𝑑𝑑 ≤ 𝑇𝑇𝑇𝑇 < 𝑇𝑇𝑚𝑚𝑚𝑚𝑚𝑚,
𝑃𝑃𝑅𝑅𝑃𝑃𝑃𝑃𝑐𝑐𝑅𝑅, 𝑇𝑇𝑇𝑇 ≥ 𝑇𝑇𝑚𝑚𝑚𝑚𝑚𝑚.
де 𝑇𝑇𝑑𝑑𝑑𝑑𝑚𝑚𝑑𝑑 та 𝑇𝑇𝑚𝑚𝑚𝑚𝑚𝑚− порогові значення рівня
довіри, що визначають суворість політики
доступу, 𝑅𝑅𝑚𝑚𝑚𝑚𝑚𝑚 − максимально допустимий
ризик операції.
Рис. 3. Діаграма порогових станів і
переходів ризик-адаптивної авторизації
(𝑃𝑃𝑅𝑅𝑃𝑃𝑃𝑃𝑐𝑐𝑅𝑅/𝑅𝑅𝑅𝑅𝑞𝑞𝑢𝑢𝑐𝑐𝑃𝑃𝑅𝑅𝑖𝑖𝑖𝑖𝑖𝑖/𝐷𝐷𝑅𝑅𝑅𝑅𝑆𝑆)
На рис. 3 подано діаграму станів ух-
валення рішення авторизації в архітектурі
Програмні системи захисту інформації
75
Zero Trust, що реалізує формулу (18) через
порогові значення рівня довіри 𝑇𝑇𝑇𝑇 та опера-
ційного ризику 𝑅𝑅𝑅𝑅𝑅𝑅𝑅𝑅𝑅𝑅𝑅𝑅.
Залежно від співвідношення з поро-
гами 𝑇𝑇𝑑𝑑𝑑𝑑𝑑𝑑𝑑𝑑, 𝑇𝑇𝑚𝑚𝑚𝑚𝑚𝑚, 𝑅𝑅𝑚𝑚𝑚𝑚𝑚𝑚 система перехо-
дить у стани 𝑃𝑃𝑃𝑃𝑃𝑃𝑃𝑃𝑅𝑅𝑃𝑃, 𝑅𝑅𝑃𝑃𝑅𝑅𝑅𝑅𝑅𝑅𝑃𝑃𝑃𝑃𝑅𝑅𝑅𝑅𝑅𝑅 або
𝐷𝐷𝑃𝑃𝐷𝐷𝐷𝐷, забезпечуючи інтерпретовану та ке-
ровану логіку доступу з підтримкою step-up
перевірок і блокування.
Параметри моделі (𝛼𝛼, 𝛽𝛽, 𝛾𝛾), пороги
(𝑇𝑇𝑑𝑑𝑑𝑑𝑑𝑑𝑑𝑑, 𝑇𝑇𝑚𝑚𝑚𝑚𝑚𝑚, 𝑅𝑅𝑚𝑚𝑚𝑚𝑚𝑚) та коефіцієнти керу-
вання токеном (𝑅𝑅1, 𝑅𝑅2, 𝑅𝑅3, 𝜆𝜆) налаштову-
ються відповідно до політики прийнятного
ризику підприємства та історії інцидентів.
Практично калібрування може виконува-
тися як задача мінімізації W за обмежень на
експлуатаційні показники: частоту додат-
кових перевірок 𝑆𝑆 ≤ 𝑆𝑆𝑚𝑚𝑚𝑚𝑚𝑚 і затримку ухва-
лення рішень 𝑇𝑇 ≤ 𝑇𝑇𝑚𝑚𝑚𝑚𝑚𝑚 [10, 12-14]. Почат-
кові значення параметрів встановлюються
експертно (policy-driven), після чого уточ-
нюються на основі журналів доступу та під-
тверджених інцидентів шляхом підбору,
що зменшує 𝑊𝑊 у сценаріях S2–S4 без над-
мірного зростання 𝑆𝑆 у сценарії S1.
У разі ухвалення рішення Permit або
RequireMFA PDP додатково визначає пара-
метри сесії, зокрема оновлене значення
часу життя токена 𝑇𝑇𝑇𝑇𝑇𝑇𝑡𝑡+1, відповідно до за-
пропонованого ризик-адаптивного методу.
Отримане рішення разом із параметрами
токена передається до PEP, який забезпечує
примусове виконання політики доступу,
ініціює додаткову автентифікацію або бло-
кує запит.
Таким чином, модель ухвалення рі-
шень авторизації забезпечує тісний зв’язок
між оцінкою довіри, ризику та керуванням
токенами доступу [13, 15]. Вона слугує пе-
рехідною ланкою між формальною мо-
деллю авторизації та практичною реаліза-
цією алгоритму PDP/PEP, створюючи ос-
нову для подальшого алгоритмічного опису
й експериментального оцінювання ефекти-
вності ризик-адаптивної авторизації в умо-
вах Zero Trust.
Алгоритм ризик-адаптивної авто-
ризації 𝑻𝑻𝑻𝑻 – 𝑻𝑻𝑻𝑻𝑻𝑻. Алгоритм ризик-адапти-
вної авторизації реалізує формалізований
процес ухвалення рішень на рівні Policy De-
cision Point з подальшим примусовим вико-
нанням на рівні Policy Enforcement Point
[10, 12, 13]. Його метою є адаптація параме-
трів авторизації та часу життя токенів дос-
тупу до поточного рівня довіри та ризику
операцій у межах архітектури Zero Trust.
Вхідними даними алгоритму є запит
доступу 𝑅𝑅 = 〈𝑅𝑅, 𝑎𝑎, 𝑅𝑅, 𝑐𝑐𝑃𝑃𝑐𝑐, 𝑃𝑃〉, множина полі-
тик доступу, поточний рівень довіри
𝑇𝑇𝑇𝑇𝑡𝑡(𝑅𝑅), а також параметри порогів і обме-
жень [13]. Вихідними даними є рішення ав-
торизації та оновлені параметри токена до-
ступу.
Алгоритм ризик-адаптивної автори-
зації 𝑇𝑇𝑇𝑇 – 𝑇𝑇𝑇𝑇𝑇𝑇 [10, 12-13, 18]:
1. Отримати запит доступу 𝑅𝑅 та зібрати
атрибути суб’єкта, активу й контек-
сту.
2. Обчислити поточний рівень довіри
𝑇𝑇𝑇𝑇(𝑅𝑅),.
3. Визначити ризик операції 𝑅𝑅𝑅𝑅𝑅𝑅𝑅𝑅𝑅𝑅𝑅𝑅 =
(𝑅𝑅, 𝑎𝑎, 𝑅𝑅).
4. Ухвалити попереднє рішення [11-12]:
−якщо 𝑇𝑇𝑇𝑇 < 𝑇𝑇𝑑𝑑𝑑𝑑𝑑𝑑𝑑𝑑 або 𝑅𝑅𝑅𝑅𝑅𝑅𝑅𝑅𝑅𝑅𝑅𝑅 > 𝑅𝑅𝑚𝑚𝑚𝑚𝑚𝑚,,
то Deny;
−якщо 𝑇𝑇𝑑𝑑𝑑𝑑𝑑𝑑𝑑𝑑 ≤ 𝑇𝑇𝑇𝑇 < 𝑇𝑇𝑚𝑚𝑚𝑚𝑚𝑚, то
RequireMFA;
− інакше − Permit.
5. У разі Permit або RequireMFA обчис-
лити базове значення часу життя то-
кена:
𝑇𝑇𝑇𝑇𝑇𝑇∖∗ =
𝑓𝑓(𝑇𝑇𝑇𝑇, 𝑅𝑅𝑅𝑅𝑅𝑅𝑅𝑅𝑅𝑅𝑅𝑅𝐷𝐷𝑃𝑃𝑃𝑃𝑐𝑐𝑃𝑃, 𝑆𝑆𝑃𝑃𝐷𝐷𝑅𝑅𝑅𝑅𝑃𝑃𝑅𝑅𝑆𝑆𝑅𝑅𝑃𝑃𝐷𝐷),
Якщо зафіксовано ризикову подію,
застосувати штрафне коригування:
𝑇𝑇𝑇𝑇𝑇𝑇𝑡𝑡+1 = 𝑇𝑇𝑇𝑇𝑇𝑇∖∗ − 𝑃𝑃𝑃𝑃𝐷𝐷𝑎𝑎𝑃𝑃𝑃𝑃𝐷𝐷(𝑅𝑅𝑅𝑅𝑅𝑅𝑅𝑅𝑅𝑅𝑆𝑆𝑃𝑃𝐷𝐷𝑃𝑃𝑡𝑡),
(20)
6. Обмежити 𝑇𝑇𝑇𝑇𝑇𝑇𝑡𝑡+1 значеннями 𝑇𝑇𝑇𝑇𝑇𝑇𝑚𝑚𝑚𝑚𝑑𝑑 і
𝑇𝑇𝑇𝑇𝑇𝑇𝑚𝑚𝑚𝑚𝑚𝑚,.
7. Передати рішення та параметри токена
до PEP для виконання.
8. Зареєструвати подію в системі моніто-
рингу безпеки.
Запропонований алгоритм забезпе-
чує безперервну адаптацію параметрів ав-
торизації та дозволяє оперативно реагувати
на зміну рівня ризику під час активної сесії.
Сценарії оцінювання та базові мо-
делі. Оцінювання ефективності ризик-ада-
птивного підходу до авторизації викону-
ється за сценарним методом із порівнянням
із базовими моделями доступу [10-13]. Це
Програмні системи захисту інформації
76
дозволяє проаналізувати роботу механізмів
авторизації в типових умовах експлуатації
як у штатному режимі, так і за підвищених
ризиків, з урахуванням загроз компромета-
ції ідентичностей, змін контексту доступу
та аномальної поведінки користувачів.
Перший сценарій (S1) відображає
нормальний режим доступу, за якого легі-
тимний користувач працює в очікуваному
контексті безпеки без фіксації ризикових
подій; рівень довіри та параметри авториза-
ції залишаються стабільними. Він викорис-
товується як базовий для оцінювання зруч-
ності доступу та відсутності надмірних об-
межень.
Другий сценарій (S2) моделює кон-
текстну аномалію, спричинену зміною гео-
локації, типу пристрою або мережевого се-
редовища. У цьому випадку зростає кон-
текстний ризик, що призводить до коригу-
вання рівня довіри та перевіряє здатність
системи адаптивно реагувати без негайного
блокування користувача.
Третій сценарій (S3) пов’язаний із
поведінковими аномаліями, такими як не-
типова активність або відхилення від звич-
них шаблонів доступу, і дозволяє оцінити
ефективність динамічного зниження довіри
та скорочення часу життя токенів у відпо-
відь на ризикові події.
Четвертий сценарій (S4) моделює
компрометацію токена під час активної се-
сії та зосереджується на аналізі вікна атаки,
у межах якого зловмисник може зловжи-
вати доступом, демонструючи найбільш
виразні переваги адаптивного керування
часом життя токенів.
Для порівняльного аналізу застосо-
вуються дві базові моделі авторизації: пе-
рша використовує статичний час життя то-
кена, незмінний протягом сесії, а друга вра-
ховує лише чутливість активу, скорочуючи
𝑇𝑇𝑇𝑇𝑇𝑇 для критичних ресурсів без урахування
динамічних змін довіри та контексту. На ві-
дміну від них, запропонований метод поєд-
нує оцінювання рівня довіри та операцій-
ного ризику з адаптивним керуванням пара-
метрами токенів доступу.
Оцінювання всіх сценаріїв здійсню-
ється за однакових умов і параметрів дос-
тупу, що забезпечує коректність порів-
няння результатів і дозволяє об’єктивно
оцінити вплив запропонованого ризик-ада-
птивного підходу на безпеку та експлуата-
ційні характеристики системи авторизації.
Результати та порівняльний ана-
ліз. Оцінювання ефективності запропоно-
ваної моделі здійснюється за сценарним пі-
дходом (S1–S4), визначеним у розділі мето-
дики, із фіксацією середніх значень показ-
ників за серією експериментальних запус-
ків. Для кожного сценарію вимірювалися:
потенційне вікно атаки 𝑊𝑊, частота step-up
перевірок, затримка ухвалення рішень 𝜏𝜏𝑑𝑑𝑑𝑑𝑑𝑑
та частка необґрунтованих блокувань. Ко-
жен сценарій моделювався не менше, ніж у
30 незалежних ітераціях із фіксацією сере-
дніх значень показників.
Обчислювальна складність PDP-оці-
нювання визначається структурою моделі
довіри. Обчислення інтегрального показ-
ника 𝑇𝑇𝑇𝑇 здійснюється як агрегація L ознак,
що зумовлює лінійну складність 𝑂𝑂(𝑇𝑇). Опе-
рації обчислення RiskOp та оновлення 𝑇𝑇𝑇𝑇𝑇𝑇
виконуються за фіксованої кількості пара-
метрів і мають константну складність 𝑂𝑂(1)
[9, 13]. Основний внесок у затримку ухва-
лення рішення L формують операції отри-
мання контекстних атрибутів і телеметрії
(IdP, EDR, NAC), тоді як власне обчислення
𝑇𝑇𝑇𝑇 і 𝑇𝑇𝑇𝑇𝑇𝑇 характеризується незначними на-
кладними витратами.
Результати аналізу підтвердили, що
запропонований ризик-адаптивний підхід із
динамічним рівнем довіри та керуванням
часом життя токенів суттєво підвищує без-
пеку порівняно з базовими моделями, з най-
більшим ефектом у сценаріях компромета-
ції токенів і появи поведінкових або кон-
текстних аномалій.
У сценаріях нормальної роботи (S1)
запропонований підхід не призводить до іс-
тотного погіршення експлуатаційних хара-
ктеристик, забезпечуючи затримку
PDP/PEP у межах допустимих значень та
низьку частоту додаткових перевірок дос-
тупу. Водночас у сценаріях підвищеного
ризику (S2–S4) динамічне керування часом
життя токенів забезпечує суттєве скоро-
чення потенційного вікна атаки − на 75–85
% відносно базової моделі 𝐴𝐴 зі статичним
𝑇𝑇𝑇𝑇𝑇𝑇 для контекстних і поведінкових анома-
лій, а в десятки разів у сценарії компроме-
Програмні системи захисту інформації
77
тації токена (S4). Такий ефект досягається
за рахунок контрольованого зростання час-
тоти step-up перевірок та помірного збіль-
шення затримки прийняття рішень, що уз-
годжується з принципами Zero Trust і не по-
рушує безперервність бізнес-процесів. Ва-
ріація затримки ухвалення рішень у межах
сценаріїв не перевищувала 5–8 %, що свід-
чить про стабільність роботи моделі за
умов зміни контекстних параметрів.
У табл. 1 узагальнено результати по-
рівняльного аналізу, які підтверджують, що
запропонований підхід дозволяє зменшити
потенційне вікно атак і підвищити адаптив-
ність авторизації без істотного погіршення
експлуатаційних характеристик.
Таблиця 1.
Порівняльні результати оцінювання
моделей авторизації
Критерій
Базова
модель
А (ста-
тичний
𝑇𝑇𝑇𝑇𝑇𝑇
токена)
Базова
модель
B (𝑇𝑇𝑇𝑇𝑇𝑇
за чут-
ливістю
активу)
Запропон
ований
метод
Потенційне
вікно атаки
𝑊𝑊
≈ 𝑇𝑇𝑇𝑇𝑇𝑇
(8 год) ↓ ~2× ↓ 10–90×
Реакція на
ризикові
події
Відсут
ня
Обмеже
на
Подієва,
динамічна
Частота
step-up
перевірок
1–3 % 3–6 % 2–15 %
(адапт.)
Ймовірність
необґрунто
ваних
блокувань
Висока Середня Низька
Затримка
прийняття
рішень 𝜏𝜏𝑑𝑑𝑑𝑑𝑑𝑑
8–10
мс 10–14 мс 12–25 мс
Показники, наведені в таблиці 1,
отримані на основі сценарного моделю-
вання з фіксованими параметрами 𝑇𝑇𝑇𝑇𝑇𝑇=8
год для моделі 𝐴𝐴 та диференційованими
значеннями 𝑇𝑇𝑇𝑇𝑇𝑇 за рівнем чутливості ак-
тиву для моделі B. Для запропонованого
методу 𝑇𝑇𝑇𝑇𝑇𝑇 змінювався адаптивно відпо-
відно до рівня RiskOp і 𝑇𝑇𝑇𝑇.
Як видно з рис. 4, у сценаріях S2–S4
спостерігається нелінійне скорочення 𝑊𝑊,
що зумовлено раннім спрацюванням меха-
нізму адаптивного зменшення 𝑇𝑇𝑇𝑇𝑇𝑇. У сце-
нарії S4 (компрометація токена) різниця
між моделлю 𝐴𝐴 та запропонованим мето-
дом є максимальною, що підтверджує ефе-
ктивність реактивного коригування пара-
метрів сесії.
Рис. 4. Порівняльний графік вікна
атаки 𝑊𝑊 за сценаріями S1–S4 для Базової
моделі А (статичний 𝑇𝑇𝑇𝑇𝑇𝑇 токена), Базової
моделі B (𝑇𝑇𝑇𝑇𝑇𝑇 за чутливістю активу) та за-
пропонованого методу.
У випадку використання базової мо-
делі А, що передбачає статичний час життя
токена, зловмисник у разі компрометації
зберігає можливість доступу до ресурсу
протягом усього періоду дії сесії. Це фор-
мує значне потенційне вікно атаки, яке не
скорочується навіть за наявності додатко-
вих ознак ризику. На відміну від цього, у за-
пропонованому методі час життя токена ав-
томатично коригується у відповідь на зафі-
ксовані ризикові події, що приводить до
швидкого обмеження або припинення дос-
тупу. Таким чином тривалість потенцій-
ного зловживання скомпрометованими об-
ліковими даними суттєво зменшується.
Порівняння з базовою моделлю B, у
якій час життя токена визначається виклю-
чно чутливістю активу, показало, що такий
підхід є недостатньо гнучким у динамічних
середовищах. Хоча він дозволяє частково
обмежити ризики для критичних ресурсів,
відсутність урахування поточного рівня до-
віри та поведінкових характеристик корис-
тувача призводить або до надмірно жорст-
ких обмежень, або до запізнілої реакції на
Програмні системи захисту інформації
78
реальні загрози [11, 13, 18]. Включення ди-
намічної оцінки довіри у запропонованому
методі дозволяє більш точно адаптувати па-
раметри авторизації до конкретної ситуації
доступу, зменшуючи кількість необґрунто-
ваних блокувань легітимних користувачів і
водночас підвищуючи стійкість системи
до атак.
Аналіз експлуатаційних характерис-
тик показав, що ризик-адаптивне керування
токенами не спричиняє істотного зростання
кількості додаткових перевірок доступу:
step-up authentication активується перева-
жно у сценаріях підвищеного ризику та за-
лишається мінімальною за нормальної по-
ведінки користувачів [9, 12-14]. Затримки
ухвалення рішень у точках реалізації полі-
тик не перевищують допустимих меж і не
впливають на загальну продуктивність сис-
теми.
Отримані результати
підтверджують, що ризик-адаптивна
авторизація забезпечує перехід від
статичної політики 𝑻𝑻𝑻𝑻𝑻𝑻 до подієво-
керованого механізму контролю доступу, в
якому параметри сесії безперервно
узгоджуються з поточним рівнем довіри та
ризику. Це формує формалізований зв’язок
між метрикою 𝑾𝑾, динамічною оцінкою 𝑻𝑻𝑻𝑻
та механізмом керування токенами, що
забезпечує контрольоване зменшення
експозиції до атак без непропорційного
зростання обчислювальних та
експлуатаційних витрат.
Обговорення результатів
Отримані результати демонструють,
що перехід від статичних моделей автори-
зації до ризик-адаптивного керування токе-
нами суттєво підвищує стійкість систем ке-
рування доступом (Access Management) до
загроз, пов’язаних із компрометацією іден-
тичностей і сесійних токенів. На відміну від
базових підходів із незмінними парамет-
рами доступу протягом усього життєвого
циклу сесії, запропонований метод забезпе-
чує зменшення потенційного вікна атаки
завдяки динамічному скороченню часу
життя токена у відповідь на ризикові події.
У таблиці 2 узагальнено вплив за-
пропонованого підходу на ключові експлу-
атаційні характеристики системи доступу.
Результати підтверджують, що підвищення
рівня безпеки досягається без непропорцій-
ного зростання обчислювальних витрат і
без порушення стабільності роботи серві-
сів.
Таблиця 2.
Вплив ризик-адаптивної авторизації на
експлуатаційні характеристики
Параметр Тенденція
зміни
Практичний
ефект
Рівень без-
пеки Зростає
Підвищення
стійкості до
атак
Вікно атаки
𝑊𝑊
Зменшу-
ється
Скорочення
часу потен-
ційного злов-
живання
Частота пере-
вірок доступу
Зростає
локально
(у S2–S4)
Контрольо-
вана адапта-
ція до ризику
Затримка
PDP/PEP
Незначне
зростання
Придатність
до реального
використання
Важливо зазначити, що скорочення
вікна атаки W має нелінійний характер і
прямо залежить від чутливості системи до
змін рівня довіри 𝑇𝑇𝑇𝑇. У сценаріях із різкими
поведінковими відхиленнями раннє спра-
цювання механізму адаптивного змен-
шення 𝑇𝑇𝑇𝑇𝑇𝑇 забезпечує швидке обмеження
сесії, що мінімізує часову експозицію до
атак навіть за наявності дійсного токена до-
ступу.
З точки зору системного аналізу за-
пропонований підхід реалізує замкнутий
керуючий контур, у якому телеметрія
RiskEvent виступає вхідним сигналом, мо-
дель довіри 𝑇𝑇𝑇𝑇 − регулятором, а час життя
токена 𝑇𝑇𝑇𝑇𝑇𝑇 − керованою змінною. Така ін-
терпретація дозволяє розглядати процес ав-
торизації як динамічну систему зі зворот-
ним зв’язком, де стабільність визначається
балансом між швидкістю реакції на ризик і
допустимими коливаннями частоти step-up
перевірок. Це створює підґрунтя для пода-
льшої формалізації моделі засобами теорії
керування та оптимізації параметрів полі-
тики доступу.
Програмні системи захисту інформації
79
Включення динамічного рівня до-
віри як керуючого параметра авторизації
дає змогу точніше відображати поточний
стан безпеки та поведінкові характеристики
користувача. На відміну від підходів, що
враховують лише чутливість активів, за-
пропонований метод забезпечує гнучке ко-
ригування доступу залежно від контексту,
зменшуючи кількість необґрунтованих
блокувань і водночас підвищуючи швид-
кість реакції на аномальні сценарії, що є
критичним для динамічних корпоративних
середовищ.
З експлуатаційної точки зору додат-
кові перевірки активуються переважно у
сценаріях підвищеного ризику та не впли-
вають на нормальний режим роботи. Затри-
мки у PDP та PEP залишаються в допусти-
мих межах, що підтверджує практичну при-
датність моделі для впровадження в систе-
мах реального часу. Тож, підхід забезпечує
баланс між підвищенням безпеки та зручні-
стю використання відповідно до принципів
Zero Trust.
Практичне значення запропонова-
ного підходу полягає у можливості інтегра-
ції механізму адаптивного 𝑇𝑇𝑇𝑇𝑇𝑇 у наявні
IAM/IdP-рішення без зміни архітектури ав-
тентифікації. Модель може бути реалізо-
вана як надбудова на рівні PDP, що мінімі-
зує витрати на впровадження та забезпечує
масштабованість у хмарних і гібридних се-
редовищах.
Отримані результати підтверджують
гіпотезу про те, що інтеграція динамічної
довіри в механізм керування токенами
створює формалізований зв’язок між кон-
текстом доступу, ризиком і тривалістю се-
сії, перетворюючи 𝑇𝑇𝑇𝑇𝑇𝑇 із статичного пара-
метра на керовану змінну безпеки.
На відміну від більшості існуючих
Zero Trust реалізацій, де механізм авториза-
ції залишається логічно відокремленим від
керування криптографічними або сесій-
ними параметрами, запропонований підхід
інтегрує ризикову оцінку безпосередньо в
механізм управління життєвим циклом то-
кена. Це усуває розрив між політичним рі-
шенням доступу та фактичною тривалістю
дії сесії, формуючи єдину адаптивну мо-
дель контролю доступу. Така інтеграція за-
безпечує не лише реактивне, а й превенти-
вне обмеження експозиції до атак.
Обмеження методу пов’язані з які-
стю та затримками телеметрії RiskEvent:
хибнопозитивні події можуть призводити
до надмірної активації step-up перевірок,
тоді як хибнонегативні події можуть приз-
водити до збереження надмірного TTL та
збільшення часової експозиції до атак. Крім
того, у розподілених середовищах критич-
ним є коректний вибір часових параметрів
(∆t) та калібрування порогів і ваг моделі до-
віри, оскільки їх некоректне налаштування
може спричинити або надмірно жорстку,
або занадто лояльну політику доступу.
Подальші дослідження можуть бути
спрямовані на використання адаптивних
методів машинного навчання для автомати-
чного калібрування порогів 𝑇𝑇𝑇𝑇 і RiskOp, а
також на формалізацію метрики оптималь-
ного балансу між частотою step-up переві-
рок і скороченням вікна атаки 𝑊𝑊. Окремого
аналізу потребує вплив затримок телеметрії
у мультихмарних і розподілених архітекту-
рах.
Висновки
У роботі запропоновано ризик-адап-
тивний підхід до авторизації в архітектурі
Zero Trust, що базується на динамічній
оцінці рівня довіри та керуванні часом
життя токенів доступу. Розроблена модель
дозволяє перейти від статичних механізмів
контролю доступу до адаптивної авториза-
ції, у якій параметри доступу коригуються
залежно від поточного рівня ризику та по-
ведінки користувача.
Результати аналізу показали, що за-
стосування динамічного керування токе-
нами приводить до зменшення потенцій-
ного вікна атак у сценаріях компрометації
токенів і поведінкових аномалій. Порівняно
з базовими моделями запропонований ме-
тод забезпечує більш точну реакцію на ри-
зикові події, обмежує час зловживання дос-
тупом і водночас знижує ймовірність необ-
ґрунтованих відмов у доступі для легітим-
них користувачів. Частота ініціювання до-
даткових перевірок доступу зростає конт-
рольовано та не призводить до істотного
Програмні системи захисту інформації
80
погіршення експлуатаційних характерис-
тик системи.
Практична значущість отриманих
результатів полягає в можливості викорис-
тання запропонованого підходу як механі-
зму реалізації принципів Zero Trust у кор-
поративних інформаційних системах без
радикальної перебудови існуючої
IAM/PAM-інфраструктури. Метод може
бути інтегрований у сучасні системи авто-
ризації, що використовують токеноорієнто-
вані протоколи, та адаптований до різних
профілів ризику підприємства.
Подальші дослідження доцільно
спрямувати на розширення набору сцена-
ріїв оцінювання з урахуванням складних
багатокрокових атак, інтеграцію запропо-
нованої моделі з системами UEBA та SIEM
для автоматизованого формування ризико-
вих подій, а також на кількісну оцінку ефе-
ктивності підходу в реальних виробничих
середовищах. Окремий інтерес становить
дослідження методів автоматичного нала-
штування порогових значень рівня довіри
та параметрів керування токенами з ураху-
ванням політики прийнятного ризику орга-
нізації.
Література
1. Glöckler J., Sedlmeir J., Frank M., Fridgen G.
A systematic review of identity and access
management requirements in enterprises and
potential contributions of self-sovereign
identity // Business & Information Systems
Engineering. 2024. Vol. 66. P. 421–440. DOI:
https://doi.org/10.1007/s12599-023-00830-x
2. Aljohani A. Zero-trust architecture:
Implementing and evaluating security
measures in modern enterprise networks //
SHIFRA. 2023. P. 1–13. DOI:
https://doi.org/10.70470/SHIFRA/2023/008
3. Glöckler J., Sedlmeir J., Frank M., Fridgen G.
Publisher correction: A systematic review of
identity and access management requirements
in enterprises and potential contributions of
self-sovereign identity // Business &
Information Systems Engineering. 2023. DOI:
https://doi.org/10.1007/s12599-023-00838-3
4. Aftab M. U., Qin Z., Hundera N. W., Ariyo O.,
Zakria Z., Son N. T., Dinh T. V. Permission-
based separation of duty in dynamic role-based
access control model // Symmetry. 2019. Vol.
11, no. 5. Art. 669. DOI:
https://doi.org/10.3390/sym11050669
5. Yadav V., Soni M. K., Pratap A. Secured
identity and access management for cloud
computing using zero trust architecture //
Cryptology and Network Security with
Machine Learning (ICCNSML 2023). Lecture
Notes in Networks and Systems. Vol. 918 / Eds.
A. Chaturvedi et al. Springer, 2024. DOI:
https://doi.org/10.1007/978-981-97-0641-9_47
6. Sivaraman H. Zero trust identity and access
management (IAM) in multi-cloud environments
// ESP Journal of Engineering & Technology
Advancements. 2023. Vol. 3. DOI:
https://doi.org/10.56472/25832646/JETA-
V3I6P108
7. Ahmadi S. Zero trust architecture in cloud
networks: Application, challenges and future
opportunities // Journal of Engineering
Research and Reports. 2024. Vol. 26, no. 2. P.
215–228. DOI:
https://doi.org/10.9734/jerr/2024/v26i21083
8. Lee J., Tang F., Thet P. M., Yeoh D.,
Rybczynski M., Mon Divakaran D. SIERRA:
Ranking anomalous activities in enterprise
networks. arXiv preprint, 2022. DOI:
https://doi.org/10.48550/arXiv.2203.16802
9. Kostiuk Y., Rzaieva S., Khorolska K., Mazur
N., Korshun N. Architecture of the software
system of confidential access to information
resources of computer networks // Proceedings
of the Workshop Cyber Security and Data
Protection (CSDP 2025). Vol. 4042. CEUR-
WS, 2025. P. 37–53.
10. Teerakanok S., Uehara T., Inomata A.
Migrating to zero trust architecture: Reviews
and challenges // Security and Communication
Networks. 2021. Art. 9947347. DOI:
https://doi.org/10.1155/2021/9947347
11. Костюк Ю., Бебешко Б., Крючкова Л., Лит-
винов В., Оксанич І., Складанний П., Хо-
рольська К. Захист інформації та безпека
обміну даними в безпроводових мобільних
мережах з автентифікацією і протоколами
обміну ключами // Кібербезпека: освіта, на-
ука, техніка. 2024. № 1(25). С. 229–252.
DOI: https://doi.org/10.28925/2663-
4023.2024.25.229252
12. Phiayura P., Teerakanok S. A comprehensive
framework for migrating to zero trust
architecture // IEEE Access. 2023. Vol. 11. P.
19487–19511. DOI:
https://doi.org/10.1109/ACCESS.2023.3248622
13. Syed N. F., Shah S. W., Shaghaghi A., Anwar A.,
Baig Z., Doss R. Zero trust architecture (ZTA):
A comprehensive survey // IEEE Access. 2022.
Vol. 10. P. 57143–57179. DOI:
https://doi.org/10.1109/ACCESS.2022.3174679
Програмні системи захисту інформації
81
14. Складанний П., Костюк Ю., Рзаєва С., Ма-
зур Н. Паралельна обробка даних у розши-
рюваних хеш-структурах та оцінка їх про-
дуктивності // Кібербезпека: освіта, наука,
техніка. 2025. № 3(31). С. 242–269. DOI:
https://doi.org/10.28925/2663-
4023.2025.31.1015
15. Amanlou S., Doss R., Li J. Implementing a
dynamic and context-aware trust evaluation
model for zero trust architecture (ZTA): A
fuzzy logic approach // Proceedings of the
2025 International Wireless Communications
and Mobile Computing (IWCMC). IEEE,
2025. P. 404–411. DOI:
https://doi.org/10.1109/IWCMC65282.2025.1
1059668
16. Muhammad A. R., Sukarno P., Wardana A. A.
Integrated security information and event
management (SIEM) with intrusion detection
system (IDS) for live analysis based on
machine learning // Procedia Computer
Science. 2023. Vol. 217. P. 1406–1415. DOI:
https://doi.org/10.1016/j.procs.2022.12.269
17. Костюк Ю., Складанний П., Рзаєва С., Са-
мойленко Ю., Коршун Н. Інтелектуальні
системи керування та захисту в кіберфізич-
них і хмарних середовищах Smart Grid // Кі-
бербезпека: освіта, наука, техніка. 2025. №
2(30). С. 125–156. DOI:
https://doi.org/10.28925/2663-
4023.2025.30.956
18. P. S. N., Pimpalkar A., Shelke N., Bahadur
Saini D. K. J. Zero trust architectures
empowered by AI: A paradigm shift in cloud
and edge cybersecurity // Proceedings of the
3rd International Conference on Sustainable
Computing and Data Communication Systems
(ICSCDS 2025). IEEE, 2025. P. 328–335.
DOI:
https://doi.org/10.1109/ICSCDS65426.2025.1
1166875
19. He Y., Huang D., Chen L., Ni Y., Ma X. A
survey on zero trust architecture: Challenges
and future trends // Wireless Communications
and Mobile Computing. 2022. Art. 6476274.
20. Цирканюк Д., Соколов В. Методика розслі-
дування інцидентів інформаційної безпеки
// Кібербезпека: освіта, наука, техніка. 2024.
№ 2(26). С. 140–154. DOI:
https://doi.org/10.28925/2663-
4023.2024.26.675
21. Kostiuk, Y., Skladannyi, P., Sokolov, V.,
Rzaieva S., Khorolska, K. Machine learning
methods for detecting intrusions based on
network traffic analysis. Proceedings of the
Cybersecurity // Providing in Information and
Telecommunication Systems II (CPITS-IІ
2025), October 26, 2025, Kyiv, Ukraine, Vol-
4145, P. 72-94. ISSN 1613-0073
Дата першого надходження до видання:
12.02.2026
Внутрішня рецензія отримана: 19.02.2026
Зовнішня рецензія отримана: 01.03.2026
Дата прийняття статті до друку: 19.03.2026
Дата публікації: 16.04.2026
Про авторів:
1 Костюк Юлія Володимирівна,
PhD in Computer Science
1 Kostiuk Julia,
PhD in computer science
http://orcid.org/0000-0001-5423-0985
1 Складанний Павло Миколайович,
к.т.н., доцент
2 Skladannyi Pavlo,
Ph.D (technical sciences), associate professor
http://orcid.org/0000-0002-9457-7454.
2 Гнатченко Дмитро Дмитрович,
PhD in Computer Science
1 Hnatchenko Dmytro,
PhD in computer science
http://orcid.org/0000-0002-7775-6039.
Місце роботи авторів:
1 Київський столичний університет
імені Бориса Грінченка
1 Borys Grinchenko
Kyiv Metropolitan University
тел. +38-044-272-19-02
E-mail: kubg@kubg.edu.ua
Сайт: https://kubg.edu.ua/
2 Державний торговельно-економічний
Університет
2 State University of Trade and Economics
тел. +38-044-531-49-84
E-mail: knute@knute.edu.ua
Сайт: https://knute.edu.ua/
|
| id | pp_isofts_kiev_ua-article-892 |
| institution | Problems in programming |
| keywords_txt_mv | keywords |
| language | Ukrainian |
| last_indexed | 2026-04-24T01:00:16Z |
| publishDate | 2026 |
| publisher | PROBLEMS IN PROGRAMMING |
| record_format | ojs |
| resource_txt_mv | ppisoftskievua/b1/a74cacdbc00cd6843c3ad5c9580216b1.pdf |
| spelling | pp_isofts_kiev_ua-article-8922026-04-23T22:26:13Z Risk-adaptive authorization in zero trust with dynamic trust and tokens Ризик-адаптивна авторизація в ZERO TRUST із динамічною довірою та токенами Kostiuk, Yu.V. Skladannyi, P.M. Hnatchenko, D.D. risk-adaptive authorizationж Zero Trust; access management; trust evaluation; token lifetime; identity security; policy-based access control UDC 004.056.5:004.7 ризик-адаптивна авторизація; Zero Trust (нульова довіра); керування доступом; оціню вання довіри; час життя токена; безпека ідентичностей; керування доступом на основі політик УДК004.056.5:004.7 The article addresses the problem of risk-adaptive authorization in a Zero Trust architecture using a mechanism of dynamic trust assessment and adaptive access token management. The relevance of the study is driven by the increasing number of attacks related to credential compromise, session hijacking, and privilege misuse in corpo rate information systems. The proposed approach is based on continuous analysis of user behavioral character istics, device parameters, network context, and resource criticality, enabling the formation of an integral risk indicator in real time. Unlike traditional models with fixed token lifetimes and static access policies, the devel oped model provides dynamic adjustment of the trust level throughout the entire interaction session. The integral risk indicator is defined as a function of threat likelihood and potential impact on the asset, ensuring adaptive adjustment of authorization parameters, including privilege scope, token lifetime, requirement for re-authentica tion, or enforced cryptographic key rotation. A mechanism for shortening or extending the token lifecycle de pending on changes in the security context is implemented, thereby minimizing the window of opportunity for exploiting compromised credentials. Special attention is paid to maintaining a balance between security level, system performance, and usability. The proposed approach increases resilience against session hijacking, cre dential stuffing, and insider misuse attacks and can be integrated into modern access management systems with out significant growth in computational overhead. Modeling results confirm the effectiveness of dynamic trust as a key element of risk-adaptive authorization.Problems in programming 2026; 1: 12-22 Устатті розв’язується задача ризик-адаптивної авторизації в архітектурі Zero Trust із використанням ме ханізму динамічної оцінки довіри та адаптивного керування токенами доступу. Актуальність дослі дження зумовлена зростанням кількості атак, пов’язаних із компрометацією облікових даних, перехоп ленням сесій та зловживанням привілеями в корпоративних інформаційних системах. Запропонований підхід базується на безперервному аналізі поведінкових характеристик користувача, параметрів при строю, мережевого контексту та критичності ресурсу, що дозволяє формувати інтегральний показник ризику в реальному масштабі часу. На відміну від традиційних моделей із фіксованим часом життя то кенів і статичними політиками доступу, розроблена модель передбачає динамічну зміну рівня довіри протягом усієї сесії взаємодії. Інтегральний показник ризику визначається як функція ймовірності реалі зації загрози та потенційного впливу на актив, що забезпечує адаптивне коригування параметрів автори зації: обсягу привілеїв, часу дії токена, необхідності повторної автентифікації або примусової ротації криптографічних ключів. Реалізовано механізм скорочення або продовження життєвого циклу токена залежно від змін безпекового контексту, що мінімізує вікно можливого використання скомпрометованих облікових даних. Особливу увагу приділено забезпеченню балансу між рівнем безпеки, продуктивністю та зручністю користування. Запропонований підхід підвищує стійкість до атак типу session hijacking, credential stuffing та insider misuse і може бути інтегрований у сучасні системи управління доступом без значного збільшення обчислювальних витрат. Результати моделювання підтверджують ефективність за стосування динамічної довіри як ключового елементу ризик-адаптивної авторизації.Problems in programming 2026; 1: 12-22 PROBLEMS IN PROGRAMMING ПРОБЛЕМЫ ПРОГРАММИРОВАНИЯ ПРОБЛЕМИ ПРОГРАМУВАННЯ 2026-04-23 Article Article application/pdf https://pp.isofts.kiev.ua/index.php/ojs1/article/view/892 PROBLEMS IN PROGRAMMING; No 1 (2026); 66-81 ПРОБЛЕМЫ ПРОГРАММИРОВАНИЯ; No 1 (2026); 66-81 ПРОБЛЕМИ ПРОГРАМУВАННЯ; No 1 (2026); 66-81 1727-4907 uk https://pp.isofts.kiev.ua/index.php/ojs1/article/view/892/945 Copyright (c) 2026 PROBLEMS IN PROGRAMMING |
| spellingShingle | risk-adaptive authorizationж Zero Trust access management trust evaluation token lifetime identity security policy-based access control UDC 004.056.5:004.7 Kostiuk, Yu.V. Skladannyi, P.M. Hnatchenko, D.D. Risk-adaptive authorization in zero trust with dynamic trust and tokens |
| title | Risk-adaptive authorization in zero trust with dynamic trust and tokens |
| title_alt | Ризик-адаптивна авторизація в ZERO TRUST із динамічною довірою та токенами |
| title_full | Risk-adaptive authorization in zero trust with dynamic trust and tokens |
| title_fullStr | Risk-adaptive authorization in zero trust with dynamic trust and tokens |
| title_full_unstemmed | Risk-adaptive authorization in zero trust with dynamic trust and tokens |
| title_short | Risk-adaptive authorization in zero trust with dynamic trust and tokens |
| title_sort | risk-adaptive authorization in zero trust with dynamic trust and tokens |
| topic | risk-adaptive authorizationж Zero Trust access management trust evaluation token lifetime identity security policy-based access control UDC 004.056.5:004.7 |
| topic_facet | risk-adaptive authorizationж Zero Trust access management trust evaluation token lifetime identity security policy-based access control UDC 004.056.5:004.7 ризик-адаптивна авторизація Zero Trust (нульова довіра) керування доступом оціню вання довіри час життя токена безпека ідентичностей керування доступом на основі політик УДК004.056.5:004.7 |
| url | https://pp.isofts.kiev.ua/index.php/ojs1/article/view/892 |
| work_keys_str_mv | AT kostiukyuv riskadaptiveauthorizationinzerotrustwithdynamictrustandtokens AT skladannyipm riskadaptiveauthorizationinzerotrustwithdynamictrustandtokens AT hnatchenkodd riskadaptiveauthorizationinzerotrustwithdynamictrustandtokens AT kostiukyuv rizikadaptivnaavtorizacíâvzerotrustízdinamíčnoûdovíroûtatokenami AT skladannyipm rizikadaptivnaavtorizacíâvzerotrustízdinamíčnoûdovíroûtatokenami AT hnatchenkodd rizikadaptivnaavtorizacíâvzerotrustízdinamíčnoûdovíroûtatokenami |