Technologie sieciowe i infrastruktura to kręgosłup każdej organizacji. To właśnie one w dużym stopniu decydują o bezpieczeństwie dostępu do zasobów i komunikacji – a co za tym idzie, o odporności całej firmy na cyberzagrożenia.
W ramach serii o priorytetach technologicznych, procesowych i organizacyjnych rozmawiamy z Tomaszem Matułą, ekspertem rynku ICT i cyberbezpieczeństwa.
https://www.youtube.com/embed/4UdhNvTMvCM
Przypominamy, iż nasze sugestie w zakresie priorytetów nie stanowią checklisty “do odchaczenia”. To przede wszystkim narzędzie do refleksji i planowania, które ma pomóc ocenić, co już funkcjonuje w organizacji, a co warto rozważyć. Równie istotne jest traktowanie szacowania cyber ryzyk jako punkt wyjścia dla każdej strategii bezpieczeństwa. To właśnie od rzetelnej analizy ryzyk zależy, jakie technologie, procesy i usługi okażą się najbardziej skuteczne i adekwatne w konkretnym środowisku. Bez tego kroku działania mogą być przypadkowe, kosztowne i pozbawione realnej efektywności.
Pobierz grafikę z mapą priorytetów technologicznych, procesowych i organizacyjnych w cyberbezpieczeństwie i bezpieczeństwie informacji.
Poziom podstawowy – fundamenty bezpieczeństwa sieci
Na początkowym etapie najważniejsze jest wdrożenie prostych, ale skutecznych zabezpieczeń, które znacząco podnoszą poziom ochrony:
- Firewall podstawowy – pierwsza linia obrony przed nieautoryzowanym dostępem. pierwsza linia obrony przed nieautoryzowanym dostępem do sieci firmowej. Firewall filtruje ruch przychodzący i wychodzący na podstawie zdefiniowanych reguł. W małych organizacjach może to być UTM – natomiast co zasady rekomendujemy posiadanie dedykowanego urządzenia
- VPN – zapewniający bezpieczne, szyfrowane połączenie z siecią firmową, szczególnie istotne w pracy zdalnej i hybrydowej. VPN chroni dane przesyłane przez publiczne sieci Wi-Fi i zapobiega podsłuchiwaniu komunikacji.
- Segmentacja sieci – podział sieci na mniejsze, logiczne segmenty (np. oddzielenie komputerów pracowników od serwerów). Segmentacja ogranicza rozprzestrzenianie się zagrożeń i ułatwia zarządzanie dostępem do zasobów. Segmentacja najczęściej realizowana jest przez VLAN-y lub proste reguły na routerze.
- Aktualizacje urządzeń sieciowych – regularne łatki dla routerów, switchy czy firewalli to ochrona przed wykorzystaniem znanych podatności.
- Regularne aktualizacje urządzeń sieciowych i ferewall-i – to bardzo ważna, a niestety często zaniedbywana praktyka. Systematyczne instalowanie poprawek bezpieczeństwa na routerach, firewallach, switchach i innych urządzeniach zapobiega wykorzystaniu znanych luk, ale też podatności zero-day przez cyberprzestępców.
O tym, jak ważne są regularne aktualizacje mówi raport Google Threat Intelligence Group. W 2024 75 podatności zero-day zostało wykorzystanych na świecie w 2024 roku (spadek z 98 w 2023, wzrost z 63 w 2022). 44% z tych podatności (czyli 33) dotyczyło rozwiązań dla przedsiębiorstw, głównie urządzeń sieciowych i bezpieczeństwa, takich jak firewalle, VPN-y i routery. Ponad 60% wszystkich zero-day w sektorze enterprise dotyczyło produktów sieciowych i bezpieczeństwa.
- Silne hasła i hardening –Ustawianie silnych, unikalnych haseł do paneli administracyjnych urządzeń sieciowych, oraz ograniczenie liczby osób z uprawnieniami administratora. Hardening: wyłączanie nieużywanych kont, usług i portów na urządzeniach sieciowych
- Zabezpieczenie sieci Wi-Fi w firmie – stosowanie silnych haseł, ukrywanie SSID lub nadawanie mu nieoczywistej nazwy,ograniczenie dostępu do sieci Wi-Fi tylko dla uprawnionych urządzeń.
- Monitoring i audyty – monitorowanie logów urządzeń sieciowych pod kątem nietypowych zdarzeń, regularne przeglądy konfiguracji i audyty bezpieczeństwa. Audyty powinny objąć również zabezpieczenie fizycznego dostępu do urządzeń sieciowych – przechowuj je w zamkniętych szafach lub pomieszczeniach – bezpieczeństwo fizyczne jest integralną częścią cyberbezpieczeństwa.
Poziom podstawowy bezpieczeństwa sieci i infrastruktury opiera się na wdrożeniu prostych, ale skutecznych rozwiązań: firewalli, VPN, segmentacji, silnych haseł i regularnych aktualizacji. najważniejsze jest także monitorowanie, dokumentowanie zmian oraz edukacja użytkowników. Te podstawowe praktyki i rozwiązania, jeżeli są konsekwentnie realizowane, znacząco podnoszą poziom ochrony organizacji. Problem w tym, iż w wielu przypadkach środki te są zaniedbywane lub zupełnie niestosowane.
Poziom średniozaawansowany – wzmacnianie i rozbudowa
Firmy, które chcą zwiększyć dojrzałość w obszarze bezpieczeństwa sieci, powinny wdrożyć bardziej zaawansowane rozwiązania:
- NGFW (Next-Generation Firewall) – łączący klasyczne funkcje firewalla z zaawansowanymi mechanizmami inspekcji ruchu, filtrowania aplikacji, wykrywania zagrożeń i integrując w sobie systemy IDS/IPS umożliwiając automatyczne blokowanie zagrożeń w czasie rzeczywistym.
NGFW Pozwala na kontrolę ruchu na poziomie aplikacji, blokowanie złośliwych stron, inspekcję SSL/TLS, ochronę przed atakami typu malware i exploit. Umożliwia również wdrażanie polityk bezpieczeństwa opartych na użytkownikach, grupach i aplikacjach, a nie tylko na adresach IP i portach
Warto zaznaczyć, iż nowoczesne NGFW często są de facto platformami bezpieczeństwa, na bazie których jesteśmy w stanie wdrożyć bardzo rozbudowane usługi cybersec włącznie z DLP czy SD-WAN.
- Zaawansowana segmentacja sieci – wydzielanie stref bezpieczeństwa (np. VLAN-y dla różnych grup użytkowników, serwerów, urządzeń IoT) oraz ograniczanie ruchu między segmentami dzięki reguł firewalli i ACL (Access Control List).Taka praktyka zdecydowanie ułatwia zarządzanie dostępem i minimalizuje skutki ewentualnego ataku
- VPN z MFA – sam VPN, chociaż szyfruje ruch i chroni transmisję danych, nie zabezpiecza przed przejęciem konta, jeżeli atakujący zdobędzie login i hasło. W praktyce najczęstszą metodą ataku na VPN jest wykorzystanie wykradzionych lub zgadniętych danych uwierzytelniających.
Przykładem wykorzystania takiej luki w zabezpieczeniach jest słynny już przypadek ataku na Colonial Pipeline (2021) gdzie atakujący uzyskał dostęp do sieci przez nieaktywne konto VPN bez MFA, wykorzystując hasło, które wyciekło. Skutki były porażające: paraliż infrastruktury, żądanie okupu, straty finansowe i wizerunkowe.
- Ochrona przed DDoS – w formie usług operatora, dedykowanych urządzeń lub funkcji NGFW.
- NDR (Network Detection and Response) – monitorowanie ruchu sieciowego pod kątem anomalii, wykrywanie prób lateral movement, komunikacji z serwerami C&C czy nietypowych transferów danych.
- SD-WAN z funkcjami bezpieczeństwa – zapewniający segmentację, szyfrowanie, optymalizację połączeń oraz integrację z NGFW i UTM. Dodatkowo pozwalają na zaawansowane zarządzanie ruchem, segmentację, szyfrowanie i optymalizację połączeń między oddziałami, na QoS
Warto zaznaczyć, iż wiele rozwiązań typu IDS, IPS, NDR czy SD-WAN może być realizowanych przez dobrej jakości NGFW.
Poziom zaawansowany – automatyzacja, mikrosegmentacja i SASE
Na najwyższym poziomie dojrzałości sieć powinna stać się inteligentna, elastyczna a przy tym odporna na zagrożenia. Aby to osiągnąć, rekomendujemy wdrożenie następujących rozwiązan:
- Zero Trust Network Access (ZTNA) – zasada „zero zaufania”– każda próba dostępu do zasobu jest weryfikowana pod kątem tożsamości, kontekstu, stanu urządzenia i lokalizacji. ZTNA wymusza stosowania MFA, ciągłą weryfikację i zasadę najmniejszych uprawnień. Tego typu rozwiązania integrują się z mikrosegmentacją zapewniając dynamiczne, kontekstowe reguły dostępu.
- Mikrosegmentacja – podział sieci na bardzo małe, izolowane segmenty (np. Na poziomie aplikacji, serwera, urządzenia). Każdy segment ma własne, granularne polityki dostępu i kontroli ruchu. Mikrosegmentacja ogranicza możliwość lateral movement atakujących – choćby po przełamaniu jednej strefy, atak nie rozprzestrzenia się dalej.
- Zaawansowany SD-WAN – inteligentny routing z uwzględnieniem polityk bezpieczenstwa i wydajności, integrację z mikrosegmentacją, wsparcie dla pracy zdalnej i oddziałów.
- SASE (Secure Access Service Edge) – mało popularna, ale zyskująca w ostatnim czasie architektura, łącząca funkcje sieciowe (SD-WAN) i bezpieczeństwa (NGFW, SWG, CASB, ZTNA, DLP) w jednym, chmurowym rozwiązaniu. SASE umożliwia centralne zarządzanie politykami bezpieczeństwa, niezależnie od lokalizacji użytkowników i zasobów oraz zapewnia spójne a przy tym skalowalne i elastyczne zabezpieczenia dla środowisk hybrydowych, chmurowych i rozproszonych.
- Monitoring, Automatyzacja i orkiestracja – automatyczne wykrywanie i reagowanie na incydenty (np. izolacja segmentu, blokowanie ruchu, uruchamianie playbooków SOAR). Integracja z narzędziami SIEM, XDR, NDR i Threat Intelligence, centralne zarządzanie politykami i szybkie wdrażanie zmian w całym środowisku, stałe monitorowanie ruchu, zachowania użytkowników i urządzeń.
Choć rozwiązania takie jak SASE czy SD-WAN kojarzone są z dużymi korporacjami, coraz częściej dostępne są również dla średnich organizacji – w formie usług zarządzanych i w modelu subskrypcyjnym.
Chcesz porozmawiać o ochronie sieci i infrastruktury? Wypełnij formularz kontaktowy na dole strony, aby umówić się na konsultację z ekspertem Trecom.
