Tag: bezpieczeństwo

Koniec wsparcia dla Windows 10 coraz bliżej. Po 14 października 2025 roku nie będą już dostępne regularne aktualizacje zabezpieczeń tej wersji systemu. Microsoft nie będzie też zapewniał wsparcia technicznego ani nowych funkcji dla użytkowników Windows 10. Co to oznacza w praktyce i jakie opcje mają firmy korzystające wciąż z tego narzędzia? 

Czy mój komputer przestanie działać? 

Komputery z systemem Windows 10 będą nadal funkcjonować, niemniej bez regularnych aktualizacji staną się bardziej podatne na zagrożenia bezpieczeństwa. Microsoft zdecydowanie rekomenduje więc migrację do Windows 11 lub skorzystanie z programu ESU (Program Rozszerzonych Aktualizacji Zabezpieczeń), który zapewni maksymalne bezpieczeństwo użytkownikom Windows 10.

Po 14 października 2025 roku Microsoft nie będzie już dostarczać:

Wsparcia technicznego.
Nowych funkcji i aktualizacji.
Aktualizacji jakościowych (w tym poprawek bezpieczeństwa i niezawodności).

Program Rozszerzonych Aktualizacji Zabezpieczeń (ESU)

Dla tych, którzy nie są gotowi na migrację do Windows 11, Microsoft przygotował program Extended Security Updates (ESU). Jest to płatny abonament, który umożliwia firmom oraz użytkownikom indywidualnym dalsze otrzymywanie krytycznych i ważnych aktualizacji zabezpieczeń po oficjalnej dacie zakończenia wsparcia.

Kluczowe informacje o programie ESU: 

Wymagania: Urządzenia muszą mieć zainstalowaną wersję Windows 10, 22H2, aby kwalifikować się do programu.
Ograniczenia: Program ESU obejmuje wyłącznie aktualizacje zabezpieczeń. Nie zapewnia nowych funkcji, aktualizacji niezwiązanych z bezpieczeństwem, a także ogólnego wsparcia technicznego.
Wsparcie techniczne: Microsoft będzie udzielał wsparcia technicznego tylko w przypadku problemów związanych z samą aktywacją, instalacją lub regresjami programu ESU.

 Koniec wsparcia Windows 10. Pakiety i cennik ESU

Program ESU dla przedsiębiorstw i organizacji jest dostępny w programie licencjonowania zbiorowego (Microsoft Volume Licensing Program). Opłaty naliczane są na zasadzie rocznej subskrypcji.

Koszty ESU: 

Rok 1 (2025 – 2026): Windows 10 ESU Year 1 to koszt 65,00 € za urządzenie. Pakiet obejmuje aktualizacje zabezpieczeń dla krytycznych i ważnych luk w zabezpieczeniach zdefiniowanych przez Microsoft Security Response Center (MSRC).
Rok 2 (2026 – 2027): Windows 10 ESU Year 2 to koszt 130,00 € za urządzenie.
Rok 3 (2027 – 2028): Windows 10 ESU Year 3 to koszt 261,00 € za urządzenie.

 Ważne: Subskrypcja jest kumulatywna. Jeśli zdecydujesz się na zakup w drugim roku, musisz również opłacić licencję za pierwszy rok.

Darmowe ESU: 

Wirtualne maszyny: Program jest dostępny bez dodatkowych opłat dla maszyn wirtualnych Windows 10 działających w usługach takich jak Windows 365, Azure Virtual Desktop, Azure virtual machines, a także innych usługach chmurowych Microsoft.
Klienci Windows 365: Urządzenia końcowe z systemem Windows 10, które łączą się z usługą Windows 365 Cloud PCs, mają prawo do bezpłatnych aktualizacji ESU przez trzy lata.

Zakończenie wsparcia dla Windows 10 to naturalny etap w cyklu życia produktu, ale jednocześnie wyzwanie dla wielu firm. Program ESU stanowi solidne, choć tymczasowe, rozwiązanie, które pozwala na płynne i bezpieczne przejście na nowszy system.

Jeśli masz pytania dotyczące programu ESU lub potrzebujesz wsparcia w planowaniu migracji do Windows 11, zespół Integrity Partners jest gotowy, by Ci pomóc.

Ważna informacja dla firm z sektora MSP – od teraz mogą one w łatwy sposób podnieść bezpieczeństwo swoich danych. Microsoft wprowadził trzy nowe pakiety: Microsoft Defender Suite, Microsoft Purview Suite oraz Microsoft Defender and Purview Suites, które są dodatkami do Microsoft 365 Business Premium. Nowe produkty Microsoftu to odpowiedź na rosnące cyberzagrożenia i coraz bardziej złożone wymogi regulacyjne, z którymi mierzą się małe i średnie firmy.  

Dla kogo są przeznaczone nowe produkty?

Nowe produkty zostały zaprojektowane z myślą o małych i średnich firmach. Są więc przeznaczone dla klientów korzystających z Microsoft 365 Business Premium (od 25 do 300 użytkowników). Dzięki tym rozwiązaniom firmy z sektora MSP zyskują dostęp do zaawansowanych funkcji bezpieczeństwa, które dotychczas były dostępne tylko dla dużych przedsiębiorstw.

Co wchodzi w skład pakietu Microsoft 365 Business Premium?

Microsoft 365 Business Premium to kompleksowe rozwiązanie dla firm, które łączy w sobie narzędzia do podnoszenia produktywności oraz zaawansowane zabezpieczenia. Obejmuje ono:

aplikacje Office (Word, Excel, PowerPoint),

Microsoft Teams,

zaawansowane funkcje bezpieczeństwa, takie jak Microsoft Defender for Business,

narzędzia do zarządzania urządzeniami.

Co zawierają nowe pakiety Microsoft?

Nowe dodatki podnoszą bezpieczeństwo firm w kluczowych obszarach:

Microsoft Defender Suite dla Business Premium
Microsoft Defender Suite for Microsoft 365 Business Premium to:

Zaawansowana ochrona tożsamości 

 Obejmuje Microsoft Entra ID P2 oraz Microsoft Defender for Identity. Chronią one przed atakami na tożsamość. Co więcej, zapewniają zaawansowane mechanizmy wykrywania zagrożeń.

Zabezpieczenie urządzeń 

Dzięki Microsoft Defender for Endpoint Plan 2 pakiet oferuje ochronę przed złośliwym oprogramowaniem. Daje także zaawansowane narzędzia do wykrywania i reagowania na zagrożenia.

Bezpieczeństwo poczty i aplikacji 

 Microsoft Defender for Office 365 P2 oraz Microsoft Defender for Cloud Apps chronią przed phishingiem i zagrożeniami w chmurze. Umożliwiają także kontrolę nad aplikacjami SaaS.

Microsoft Purview Suite dla Business Premium
Microsoft Purview Suite for Microsoft Business Premium to:

Ochrona danych 

 Zawiera Microsoft Purview Information Protection i Data Loss Prevention (DLP), które klasyfikują i zabezpieczają wrażliwe dane, zapobiegając ich wyciekom.

Zgodność z przepisami 

 Narzędzia takie jak Microsoft Purview Insider Risk Management, Communication Compliance i eDiscovery (Premium) pomagają w zarządzaniu ryzykiem wewnętrznym i monitorowaniu komunikacji. Ułatwiają także procesy dochodzeniowe, zapewniając zgodność z regulacjami.

Microsoft Defender and Purview Suites dla Business Premium
Microsoft Defender and Purview Suites for Microsoft 365 Business Premium to kompleksowe połączenie obu powyższych pakietów w jednym rozwiązaniu. Oferuje ono pełną ochronę, a także zgodność z przepisami. Dodatkowo generuje znaczne oszczędności w porównaniu z zakupem poszczególnych produktów oddzielnie.

Czytaj więcej o bezpieczeństwie w pakiecie Business Premium.

Nowe pakiety Microsoft. Co to oznacza dla klientów Integrity Partners?

Dzięki nowym pakietom Microsoft klienci Integrity Partners mogą znacząco podnieść poziom bezpieczeństwa swoich organizacji. Dostęp do zaawansowanych narzędzi, które wcześniej były poza zasięgiem małych i średnich firm, pozwala na skuteczną ochronę przed stale rosnącymi zagrożeniami. Integrity Partners może teraz pomóc swoim klientom wdrożyć skuteczne rozwiązania, które nie tylko usprawnią ich operacje, ale przede wszystkim zabezpieczą przed cyberzagrożeniami.

Chcesz wzmocnić bezpieczeństwo swojej firmy? Skontaktuj się z nami już dziś, aby dowiedzieć się więcej o pakietach Microsoft Defender i Purview. Pomożemy Ci wybrać rozwiązanie idealne dla Twojego biznesu. 

Jeśli zastanawiasz się, który pakiet będzie najlepszy dla Twoich pracowników, skontaktuj się z naszymi specjalistami. Chętnie odpowiemy na pytania i wyjaśnimy, jakie są różnice pomiędzy poszczególnymi rozwiązaniami z oferty Microsoft. Podpowiemy też, który z pakietów wybrać, by spełnił oczekiwania Twojej organizacji.  

W centrum uwagi ekspertów i administratorów IT znajduje się dziś tożsamość cyfrowa. Zarządzenie nią jest kluczowym elementem kompleksowej strategii bezpieczeństwa. Jak robić to skutecznie? Sprawdź możliwości Microsoft Entra ID, następcy dobrze znanego Azure Active Directory. 
Czym jest Microsoft Entra ID i kto może korzystać z tego rozwiązania? 
Microsoft Entra ID to nowoczesna, chmurowa usługa zarządzania tożsamością i dostępem (Identity and Access Management – IAM). Umożliwia organizacjom centralne zarządzanie cyfrowymi tożsamościami oraz kontrolowanie ich dostępu do zasobów IT. Entra ID to nie tylko narzędzie do zarządzania użytkownikami. To przede wszystkim kompleksowa platforma, która zabezpiecza „drzwi” do wszelkich aplikacji, danych i systemów. 

Kto może korzystać z rozwiązania Entra ID? Praktycznie każda organizacja, niezależnie od jej rozmiaru i branży, może czerpać korzyści z wdrożenia Microsoft Entra ID. Usługa ta jest niezwykle elastyczna i odpowiada na potrzeby szerokiego grona podmiotów. Są wśród nich: 

Przedsiębiorstwa produkcyjne i komercyjne: Do zarządzania tożsamościami pracowników, podwykonawców, partnerów biznesowych oraz aplikacji. 

Instytucje publiczne i jednostki samorządu terytorialnego (JST): Do zarządzania dostępem urzędników, współpracowników oraz obywateli do e-usług i wewnętrznych systemów. 

Małe i średnie firmy (MŚP): Entra ID jest skalowalna i dostępna dla organizacji, które nie posiadają rozbudowanej infrastruktury IT ani specjalistów od cyberbezpieczeństwa. Jej chmurowy charakter eliminuje potrzebę dużej inwestycji w sprzęt i jego utrzymanie. 

Organizacje korzystające z chmury Microsoft: Entra ID jest naturalnie zintegrowana z usługami Microsoft 365 (np. Office, Teams, SharePoint) oraz Azure, zapewniając bezproblemową współpracę i jednolite zarządzanie tożsamościami. 

Organizacje niekorzystające z chmury Microsoft: Co ważne, nie ma konieczności korzystania z innych usług chmurowych Microsoft, aby wdrożyć Entra ID. Jest to samodzielny byt, który może być wykorzystywany do zarządzania tożsamościami i dostępem do aplikacji on-premises (lokalnych), aplikacji SaaS-owych (Software as a Service) od innych dostawców, a także aplikacji hostowanych w innych chmurach (strategia multi-cloud). Dzięki temu Entra ID jest uniwersalnym rozwiązaniem, które integruje się z całym ekosystemem tożsamości użytkowników. 

Czym jest tożsamość cyfrowa i dlaczego zarządzanie nią jest tak ważne? 
Tożsamość cyfrowa to znacznie więcej niż login i hasło. To zestaw unikalnych atrybutów, który definiuje użytkownika (człowieka lub maszynę) w środowisku cyfrowym. Określa też jego uprawnienia do dostępu do zasobów. Tożsamością może być pracownik, podwykonawca, klient, ale także aplikacja, serwer, a nawet inteligentne urządzenie. Każda z tych „person” posiada swoją unikalną tożsamość, która staje się bramą do danych i systemów organizacji. 

Dlaczego zarządzanie tożsamością cyfrową jest tak ważne? Jest to klucz do bezpieczeństwa cybernetycznego i ciągłości działania firmy. Tożsamość stanowi swoiste drzwi do naszych systemów, danych i aplikacji. Jeśli te drzwi są słabo zabezpieczone lub niekontrolowane, stają się łatwym celem dla cyberprzestępców. 

Zwiększone ryzyko ataków na tożsamość:
Współczesne cyberzagrożenia w dużej mierze koncentrują się na kradzieży tożsamości. Ataki phishingowe, które mają na celu wyłudzenie danych uwierzytelniających, stanowią najpopularniejszy wektor ataku od kilku lat. Skutecznie zarządzana tożsamość chroni firmę przed nieautoryzowanym dostępem, wyciekami danych i atakami ransomware. 

Zgodność z regulacjami:
Coraz bardziej rygorystyczne przepisy dotyczące ochrony danych (takie jak RODO/GDPR, NIS 2) i zarządzania dostępem wymagają precyzyjnej kontroli nad tożsamościami i ich uprawnieniami. Systemy zarządzania tożsamością ułatwiają spełnienie tych wymogów, minimalizując ryzyko kar finansowych. 

Złożoność środowisk IT:
Firmy korzystają z coraz większej liczby aplikacji – zarówno lokalnych, jak i chmurowych (SaaS, IaaS). Centralne zarządzanie tożsamościami w jednym miejscu upraszcza administrację i redukuje ryzyko błędów. 

Wyzwania związane z pracą zdalną i hybrydową:
Wzrost popularności pracy zdalnej sprawia, że dostęp do zasobów firmy odbywa się z różnych lokalizacji i urządzeń, co zwiększa powierzchnię ataku. Skuteczne zarządzanie tożsamością pozwala na bezpieczne świadczenie usług poza fizycznym biurem. 

Automatyzacja i efektywność:
Ręczne zarządzanie tożsamościami w dużych organizacjach jest czasochłonne i podatne na błędy. Systemy IAM, takie jak Entra ID, automatyzują wiele procesów, takich jak tworzenie, modyfikowanie czy usuwanie kont, co zwiększa efektywność działów IT. 

Microsoft Entra ID, jako największa usługa odpowiedzialna za tożsamość na świecie, z 720 tysiącami organizacji korzystających i 300 milionami aktywnych użytkowników miesięcznie, przetwarza 60 miliardów uwierzytelnień dziennie. Ta skala świadczy o jej niezawodności i zdolności do sprostania nawet najbardziej wymagającym wyzwaniom bezpieczeństwa. 

[caption id="attachment_7404" align="aligncenter" width="1387"] Microsoft Entra ID największa na świecie usługa chmurowa dla tożsamości[/caption]
Nowości w Microsoft Entra ID wspomagające zarządzanie tożsamością 
Microsoft Entra ID, jako usługa chmurowa, rozwija się praktycznie każdego dnia, dostarczając swoim klientom najnowsze innowacje w dziedzinie bezpieczeństwa tożsamości. W ostatnich latach, a szczególnie w ciągu ostatnich 2-3 lat, pojawiło się wiele kluczowych nowości, które znacząco usprawniają zarządzanie tożsamością i podnoszą poziom cyberbezpieczeństwa firm: 

Rozwój metod uwierzytelniania odpornych na phishing (Phishing-Resistant Authentication): 

Passwordless (Bezhasłowe logowanie): To przyszłość uwierzytelniania. Microsoft Entra ID intensywnie promuje i rozwija metody, w których hasło nie jest już głównym czynnikiem. Przykłady to:  

– Windows Hello: Biometryczne logowanie (np. odcisk palca, rozpoznawanie twarzy) do urządzeń z systemem Windows, często zintegrowane z Entra ID. 

– Klucze sprzętowe FIDO: Fizyczne tokeny bezpieczeństwa (np. YubiKey), które oferują bardzo wysoki poziom odporności na phishing i są niezwykle wygodne w użyciu. Są dostępne w wielu wariantach i w przystępnych cenach. 

– Microsoft Authenticator jako FIDO: Aplikacja Microsoft Authenticator na urządzeniu mobilnym w połączeniu z Windows Hello może działać jako narzędzie uwierzytelniające zgodne ze standardem FIDO, eliminując potrzebę posiadania dedykowanego klucza sprzętowego. 

Uwierzytelnianie certyfikatem (Certificate-Based Authentication – CBA): Możliwość wykorzystania certyfikatów z lokalnego PKI (Public Key Infrastructure) lub nowość – Cloud PKI (chmurowa infrastruktura klucza publicznego) hostowana bezpośrednio w usłudze Microsoft 365. Certyfikat może być drugą metodą uwierzytelniania lub, jeśli jest zabezpieczony PIN-em, może służyć jako samodzielna metoda bezhasłowa. 

Zabezpieczenie tokenów: Entra ID wprowadza mechanizmy ochrony tokenów dostępu (np. dla Outlooka, Teams), co sprawia, że nawet w przypadku ich wykradzenia, adwersarzom trudno jest z nich skorzystać.  

Zaawansowana kontrola dostępu warunkowego w Entra ID (Conditional Access):

To inteligentne serce zarządzania dostępem w Entra ID. Pozwala na dynamiczne ocenianie ryzyka podczas każdego logowania i podejmowanie decyzji o dostępie w czasie rzeczywistym. 

Analizuje takie czynniki jak: lokalizacja użytkownika, typ urządzenia (zarządzane/niezarządzane, zgodne z polityką firmową, zaszyfrowane) czy typ aplikacji (czy obsługuje MFA). A przede wszystkim ryzyko użytkownika i logowania (wykrywane przez Identity Protection). 

W przypadku wykrycia ryzyka system może automatycznie wymusić dodatkowe uwierzytelnienie (np. MFA), zablokować dostęp, wymusić reset hasła lub ograniczyć dostęp do danych. To jest kwintesencja zasady Zero Trust: „nigdy nie ufaj, zawsze weryfikuj”. 

Microsoft Entra Identity Protection:

Wykorzystuje zaawansowany Machine Learning i sztuczną inteligencję do monitorowania i wykrywania zagrożeń dla tożsamości w czasie rzeczywistym. 

Analizuje miliardy sygnałów dziennie, identyfikując nietypowe zachowania, takie jak próby logowania z nietypowych lokalizacji, wiele nieudanych prób logowania, wycieki poświadczeń (np. tożsamości na sprzedaż w darknecie) czy podejrzane adresy IP. 

Automatycznie reaguje na incydenty, np. poprzez odwołanie sesji, zablokowanie dostępu czy wymuszenie resetu hasła. Ta automatyzacja i szybkość reakcji (w milisekundach) jest kluczowa w walce z zaawansowanymi atakami. 

Nowe metody i usprawnienia w procesach zarządzania dostępem:

Kody QR do logowania: Nowość, która jest w fazie preview, dedykowana szczególnie dla pracowników frontline’owych, którzy nie korzystają na co dzień z komputera. Użytkownik skanuje kod QR i podaje dedykowany PIN, co eliminuje potrzebę stosowania tradycyjnych haseł czy nawet posiadania telefonu z aplikacją. 

Temporary Access Passwords (TAPy): Tymczasowe hasła dostępu, które administrator może wygenerować na określony czas (np. dzień, tydzień, miesiąc) i z określoną liczbą użyć (jednorazowe lub wielokrotnego użytku). To rozwiązanie jest idealne do zarządzania dostępem dla podwykonawców, audytorów czy pracowników tymczasowych, znacznie upraszczając governance tożsamości. 

Możliwość korzystania z zewnętrznych metod MFA: Microsoft Entra ID integruje się z systemami MFA innych dostawców. To zapewnia elastyczność i pozwala na wykorzystanie już istniejących rozwiązań w firmie. 

Weryfikacja twarzy (Verified ID): Wprowadzenie usługi Verified ID, która umożliwia weryfikację tożsamości za pomocą twarzy, np. podczas procesów rekrutacyjnych czy udzielania dostępu do bardzo wrażliwych zasobów. Choć może to być jeszcze „pieśń przyszłości” dla niektórych sektorów, pokazuje kierunek rozwoju i możliwości platformy. 

Application Proxy:

Mechanizm umożliwiający bezpieczne publikowanie lokalnych aplikacji (on-premises) dla użytkowników zewnętrznych, bez konieczności konfiguracji VPN-a. 

Aplikacje te mogą korzystać z wszystkich benefitów chmury Entra ID. Są wśród nich: kontrola dostępu warunkowego, MFA, logowanie bezhasłowe czy mechanizmy Identity Protection, które znacząco zwiększają bezpieczeństwo. 

Podsumowując, Microsoft Entra ID, rozwijając te i wiele innych funkcji, staje się niezastąpionym narzędziem w walce z cyberzagrożeniami. Koncentrując się na tożsamości jako kluczowym elemencie bezpieczeństwa, umożliwia firmom wdrożenie kompleksowej strategii Zero Trust. A to ma fundamentalne znaczenie dla ochrony danych produkcyjnych, a także zapewnienia ciągłości działania w podatnym na cyberataki środowisku cyfrowym.

Doskonała wiadomość dla klientów Integrity Partners! Firma Darktrace, której system NDR mamy w swojej ofercie, została uznana za lidera w kategorii Network Detection and Response (NDR) w najnowszym raporcie Gartner® Magic Quadrant™.
Wyróżnienie w raporcie Gartnera, szczególnie w prestiżowym Magicznym Kwadrancie, ma duże znaczenie w branży IT i technologii. Jest efektem dogłębnych rynkowych badań przyprowadzonych przez analityków w oparciu o rygorystyczne kryteria. Potwierdza tym samym pozycję firmy i jej rozwiązania na rynku.

Co wyróżnienie dla Darktrace oznacza dla klientów Integrity Partners?
W portfolio Integrity Partners znajduje się wiele rozwiązań docenionych w raportach Gartnera. To dla nas szczególnie ważne, by oferować naszym obecnym i potencjalnym klientom zweryfikowane narzędzia doceniane na całym świecie.
Wybierając technologie wymienione przez Gartnera w raportach, klienci Integrity Partners:

Mają pewność, że jakość narzędzi i pozycja producenta zostały zweryfikowane. Sama obecność w Magicznym Kwadrancie, a zwłaszcza w kwadrancie Liderów, świadczy o tym, że firma i jej rozwiązanie zostały poddane szczegółowej analizie przez niezależnych ekspertów i spełniają wysokie standardy rynkowe. Wskazuje też na to, że producent rozumie potrzeby rynku, a jego wizja jest zgodna z kierunkami rozwoju branży.
Oszczędzają czas. Raport służy firmom jako cenne narzędzie do oceny dostawców i wstępnego wyboru potencjalnych rozwiązań. Tym samym skraca czas i zasoby potrzebne na własne badania. Pomaga działom IT w podejmowaniu strategicznych decyzji.

Więcej o raporcie Gartner Magic Quadrant: Jak analizować Magiczny Kwadrant Gartnera (Gartner Magic Quadrant)? – Integrity Partners

Darktrace NDR. Co docenili analitycy Gartnera?
Analitycy Gartnera docenili system NDR od Darktrace za:

zaawansowane wykrywanie zagrożeń i zautomatyzowaną reakcję,
dochodzenia oparte na sztucznej inteligencji, które zwiększają efektywność pracy zespołów SOC,
proaktywne mechanizmy obronne wzmacniające bezpieczeństwo sieci,
oraz potężny, intuicyjny interfejs użytkownika.

Czym jest system NDR?
System NDR (Network Detection and Response) to kluczowe narzędzie cyberbezpieczeństwa, którego głównym celem jest wykrywanie, a także reagowanie na zagrożenia w sieci komputerowej. W odróżnieniu od tradycyjnych rozwiązań, które często bazują na znanych sygnaturach ataków, NDR skupia się na identyfikacji nietypowych zachowań i anomalii w ruchu sieciowym.
NDR jest szczególnie skuteczny w wykrywaniu:

Nieznanego złośliwego oprogramowania (malware): Dzięki analizie behawioralnej system potrafi zidentyfikować aktywność nieznanych zagrożeń, które ominęłyby tradycyjne antywirusy.
Ataków ukierunkowanych: Pomaga wykryć ataki wykorzystujące socjotechnikę czy luki w oprogramowaniu.
Zagrożeń wewnętrznych (insider threats): Monitoruje podejrzane zachowania użytkowników, którzy mają autoryzowany dostęp do sieci.
Ransomware i eksfiltracji danych: Dzięki analizie nietypowych przepływów danych NDR może wcześnie wykryć próby szyfrowania danych czy ich kradzieży.

Jeśli interesuje Cię system NDR Darktrace lub inne rozwiązania wyróżnione w raportach Gartnera, skontaktuj się z naszymi ekspertami.

Czym są ataki DDoS, a czym DoS? Jaką rolę w ich przeprowadzaniu odgrywają boty, w tym Mirai? Czy można ochronić się przed tego typu cyberatakami? Jak zadbać o bezpieczeństwo firmowych stron internetowych? Na te i inne pytania odpowiada Bartłomiej Anszperger, Solution Engineering Manager CEE w F5, w kolejnym odcinku „NIEbezpiecznych rozmów”.

Liczba ataków DDoS, czyli distributed denial of service, wciąż rośnie. DDoS to inaczej  zbiór czynności nakierowanych na to, żeby w jakiś sposób zakłócić usługę danej firmy, państwa czy instytucji. Ich efektem może być brak dostępności strony internetowej lub usługi online. A to z kolei prowadzi do strat finansowych oraz utraty zaufania klientów i użytkowników.

Dlaczego cyberprzestępcy coraz chętniej sięgają po tego typu ataki?

– Mamy cały czas rozwój przepływności w sieciach i coraz większe sieci. Czyli siłą rzeczy ataki DDoS mogą być także coraz większe. Dodatkowo nasz Internet jest lepszy, a urządzenia końcowe wydajniejsze. Czyli możemy je wykorzystywać do wysyłania ruchu właściwie bez wpływu na ich wydajność. Co więcej, mamy złożoną sytuację polityczną, a musimy pamiętać, że DDoS to nie jest tylko działalność hakerów niezrzeszonych. Bywają tam również hakerzy zrzeszeni, często stanowiący służby innych krajów – wyjaśnia Bartłomiej Anszperger z F5.

Ataki DDoS i DoS pod lupą
Łukasz Pietrzak i Łukasz Kopeć, prowadzący kanał IntegriTV, zapytali także gościa odcinka o to, czy:

Jesteśmy w stanie rozpoznać, czy przerwa w działaniu usługi to usterka techniczna, czy cyberatak?
Możemy skutecznie zabezpieczyć się przed atakami DDoS?
Nasze domowe urządzenia IoT mogą zostać wykorzystane w ataku DDoS?
Udział botów w atakach DDoS i DoS jest znaczący?
Bot Mirai nadal działa?
Szyfrowanie HPPTS i certyfikaty SSL wystarczą, by czuć się bezpiecznie?

Serdecznie zapraszamy do obejrzenia odcinka „NIEbezpiecznych rozmów” na naszym kanale na YouTube lub wysłuchania go  na Spotify lub Apple Podcasts.

Jak zabezpieczać aplikacje mobilne i webowe? Czy aplikacje pobierane z App Store i Google Play są bezpieczne? Jak hakerzy wykorzystują aplikacje do przejęcia danych i jak firmy powinny chronić aplikacje udostępniane użytkownikom? Na te i inne pytania odpowiada Bartłomiej Anszperger, Solution Engineering Manager CEE w F5 w kolejnym odcinku „NIEbezpiecznych rozmów”.

Szacuje się, że liczba aplikacji mobilnych dostępnych dla użytkowników przekracza dziś kilka milionów. Są wśród nich aplikacje do zamawiania jedzenia, do budzenia, do liczenia kroków, ale też do pracy, kontaktów z innymi czy do edytowania tekstów. Każdy może zbudować i zaoferować użytkownikom aplikację – mobilną i webową. Co więcej, rynek tego oczekuje. Jednak czy ilość przekłada się na jakość? Innym słowem – czy takie aplikacje, które ściągamy na telefon czy korzystamy z nich w przeglądarce na komputerze – na pewno są bezpieczne?

– Aplikacje pobrane z Google Play czy App Store na pewno są bezpieczniejsze.  Są bowiem już w jakiś sposób sprawdzone. Alternatywą jest ściągnięcie aplikacji z nieznanego źródła i zainstalowanie jej na swoim urządzeniu. W przypadku pobrania z oficjalnego sklepu wiemy, że ktoś się tej aplikacji przyjrzał, upewnił się, że ma właściwy format. Bardzo dużo da się zrobić, patrząc nawet na kod aplikacji. Są teraz też rozwiązania oparte na sztucznej inteligencji. Potrafią one poprzez analizę kodu wykrywać dodatkowy kod, który został wstrzyknięty do aplikacji. Natomiast nigdy nie mamy stuprocentowej pewności, bo po drugiej stronie pracują sprytni ludzie i oni też wiedzą, jak ten proces przebiega i potrafią się do niego dostosować – wyjaśnia Bartłomiej Anszperger w rozmowie na kanale IntegriTV.

Więcej o firmie 5F przeczytacie na stronie: https://www.f5.com/.
Aplikacje mobilne i webowe – nie tylko bezpieczeństwo
Łukasz Kopeć i Łukasz Pietrzak z Integrity Partners pytają eksperta także o inne rzeczy:

Jakie szkody może wyrządzić zainfekowana aplikacja mobilna?
Jak użytkownik może zadbać o bezpieczeństwo aplikacji?
Jak firmy powinny zabezpieczać swoje aplikacje?
Jak działają aplikacje oparte na usługach?
Czy sztuczna inteligencja może samodzielnie stworzyć aplikację?

Serdecznie zapraszamy do wysłuchania najnowszego odcinka „NIEbezpiecznych rozmów”.

 
Więcej w IntegriTV
Cyberwojna i operacje wpływu

Jak Identity Security zmienia bezpieczeństwo?

Rozwiązanie Palo Alto Networks Cortex XDR, które Integrity Partners ma w swojej ofercie, osiągnęło niespotykane wcześniej wyniki w testach MITRE ATT&CK w 2024 roku. Cortex XDR jako pierwszy w historii testów wykrył 100% ataków bez potrzeby strojenia systemu oraz bez opóźnień.

Detekcja zagrożeń na poziomie technik ataków, jaką stosuje rozwiązanie Palo Alto Networks Cortex XDR, stanowi dziś złoty standard cyberochrony. Dostarcza analitykom bezpieczeństwa precyzyjnych informacji potrzebnych do ich identyfikacji. To już drugi rok z rzędu, gdy XDR od Palo Alto osiągnął 100% skuteczność w wykrywaniu i eliminacji zagrożeń.
Testy MITRE ATT&CK 2024. Cortex XDR na tle konkurencji
Cortex XDR osiągnął najwyższy wskaźnik zapobiegania atakom wśród wszystkich dostawców. Co kluczowe dla ochrony punktów końcowych – przy zerowej liczbie fałszywych alarmów.

Test przeprowadzony w 2024 roku był bardziej rygorystyczny niż wcześniejsze. Obejmował próby generowania fałszywych alarmów, testy ochrony systemów macOS oraz rozszerzone scenariusze dla systemów Linux. Co istotne, liczba uczestników testu spadła z 29 do 19, ponieważ kilku znaczących dostawców zrezygnowało z udziału w nim. Aż 2/3 testowanych rozwiązań wykryło mniej niż 50% składowych ataku, co podkreśla wzrost wymagań w ostatnich testach.

[caption id="attachment_7020" align="aligncenter" width="768"] Palo Alto Networks osiągnęło najwyższą skuteczność wykrywania technik ataków (80 detections) w testach MITRE ATT&CK 2024, wyprzedzając konkurencję, w tym Cybereason (79), SentinelOne (72) i Microsoft (57).[/caption]
Cortex XDR. Najlepsza ochrona i wykrywanie w branży
W szóstej rundzie testów MITRE ATT&CK XDR od Palo Alto ustanowił nowe standardy ochrony stacji końcowych. Osiągnął najwyższe wyniki zarówno w wykrywaniu ataków, jak i w zapobieganiu im.

Wyniki detekcji:

Cortex XDR osiągnął historyczne 100% wykrycia technik ataków dla wszystkich kroków symulowanych ataków, bez zmian konfiguracji i opóźnień w wykrywaniu. Wyniki te potwierdzają zaangażowanie Palo Alto w dostarczanie najbardziej kompleksowej ochrony dla głównych systemów operacyjnych – Windows, macOS i Linux.

Wyniki zapobiegania:

MITRE ATT&CK ocenia również zdolność rozwiązania do blokowania ataków, zanim spowodują szkody. W tej rundzie Cortex XDR zapobiegł 8 z 10 kroków ataków, utrzymując zerową liczbę fałszywych alarmów. Fałszywe alarmy mogą zakłócić kluczowe procesy biznesowe, potencjalnie powodując znaczne straty finansowe.

W przypadku dwóch pozostałych kroków ataków, których test MITRE ATT&CK nie zaliczył jako zablokowane, system Cortex XDR również zapobiegł zagrożeniu, tj.

Dla połączenia ssh z podejrzanego hosta w Chinach zablokował komunikację, zanim doszło do próby ataku.
Podczas próby zaszyfrowania danych, działanie procesu szyfrowania zostało natychmiast odwrócone przez agenta Cortex XDR. Atak został powstrzymany, a system poinformował o jego wystąpieniu.

Dzięki połączeniu ogromnej precyzji w zapobieganiu atakom z brakiem fałszywych alarmów Cortex XDR staje się doskonałym rozwiązaniem dla najbardziej wymagających organizacji na świecie.

[caption id="attachment_7021" align="aligncenter" width="768"] Palo Alto Networks osiągnęło najlepsze wyniki w zapobieganiu atakom (8 Attack Steps Prevented) ze wskaźnikiem Zero False Positives w testach MITRE ATT&CK 2024, wyprzedzając m.in. Cybereason (7) i Trend Micro (7).[/caption]
Czym są testy MITRE ATT&CK?
MITRE ATT&CK to najbardziej rygorystyczny test w branży cyberbezpieczeństwa, mierzący skuteczność rozwiązań w wykrywaniu i zapobieganiu rzeczywistym zagrożeniom. Test symuluje ataki prowadzone przez zaawansowanych przeciwników, co czyni go prawdziwym wyznacznikiem skuteczności ochrony.

W tegorocznej edycji testów skupiono się na dwóch kluczowych źródłach ataków:

Ransomware: Emulacja zachowań typowych dla kampanii ransomware, takich jak szyfrowanie danych i wyłączanie krytycznych usług.
Ataki inspirowane działaniami Korei Północnej (DPRK): Symulacja ataków na systemy macOS, bazująca na wykorzystaniu złośliwego oprogramowania modułowego w celu podniesienia uprawnień i kradzieży danych uwierzytelniających.

Monitorowanie zagrożeń przez Palo Alto Networks
Zespół badawczy Cortex Threat Research stale monitoruje ewoluujący krajobraz zagrożeń. W ciągu ostatniego roku intensywnie analizował grupy APT powiązane z DPRK, odkrywając nowe kampanie i złośliwe oprogramowanie używane do infiltracji organizacji na całym świecie. Dzięki temu Palo Alto nieustannie udoskonala i wzmacnia możliwości Cortex XDR. Wyniki MITRE ATT&CK tylko to potwierdzają.

Dowiedz się więcej o rozwiązaniach klasy XDR.

Jeśli zainteresowały Cię możliwości systemu klasy XDR od Palo Alto lub masz dodatkowe pytania dotyczące tego rozwiązania, skontaktuj się z naszymi ekspertami.

Jesteś zainteresowany/a przedstawionym rozwiązaniem? Skontaktuj się z Integrity Partners – sprawdzonym integratorem rozwiązań network security, cloud i identity security.
Zarezerwuj termin w Microsoft Teams!
Napisz do nas: marketing@integritypartners.pl
 

Jak zabezpieczyć swój telefon przed hakerami? Po co przestępcy atakują smartfony? Czy iOS jest bezpieczniejszy niż Android? Na te i inne pytania dotyczące ochrony urządzeń mobilnych w rozmowie na kanale IntegriTV odpowiada Yang-Giun Ro, sales engineer z firmy Zimperium.

Firmy i użytkownicy prywatni wciąż poświęcają mniej uwagi bezpieczeństwu urządzeń mobilnych niż ochronie komputerów. A to błąd. Wiele poważnych cyberataków zaczyna się od zaatakowania smartfona. Wystarczy przypomnieć case Ubera z 2022 roku. To nie wszystko.

– Z najnowszego raportu Zimperium dotyczącego zagrożeń mobilnych wynika, że 80 procent wszystkich stron phishingowych jest specjalnie zaprojektowanych dla urządzeń mobilnych. Powodem tego jest sposób, w jaki konsumujemy informacje na naszych smartfonach. Jeśli spojrzycie na telefon, zobaczycie, że pole adresu URL jest bardzo krótkie. Tak naprawdę nie można zobaczyć całego adresu URL. Dlatego tak łatwo ukryć fałszywe strony internetowe. Wystarczy trochę wiedzy z obszaru HTML. A nawet tego dziś już nie trzeba mieć. Można przecież wydać polecenie sztucznej inteligencji: „zbuduj mi stronę internetową, która wygląda jak strona DHL lub Facebooka” – mówi Yang-Giun Ro.

[caption id="attachment_6951" align="aligncenter" width="1280"] Android czy iOS Który system bezpieczniejszy[/caption]
Rozwiązania MTD i MDM
Zatem jak zabezpieczyć telefon? Firmy nie są bezsilne w walce z takimi zagrożeniami. Wspierają je między innymi rozwiązania Mobile Threat Defense. MTD chronią urządzenia mobilne (smartfony, tablety) przed różnego rodzaju zagrożeniami. Analizują aplikacje, wykrywają zagrożenia sieciowe, chronią przed phishingiem i atakami typu zero-day. Więcej na ten temat przeczytacie na stronie Zimperium.

Przydatne są także systemy MDM. Mobile Device Management to rozwiązanie, które pozwala firmom na efektywne zarządzanie wszystkich urządzeniami mobilnymi wykorzystywanymi przez pracowników i zabezpieczenie ich. Umożliwia zdalną konfigurację, monitorowanie, instalowanie aktualizacji, usuwanie danych, tworzenie kopii zapasowych czy wdrażanie polityk bezpieczeństwa.

O czym jeszcze rozmawia Yang-Giun Ro z Łukaszem Kopciem i Łukaszem Pietrzakiem z Integrity Partners?

Czy korzystanie z publicznych sieci WiFi jest bezpieczne?
W jakim celu rozwijane są sieci 5G?
Czy Google i Apple podsłuchują użytkowników telefonów?
Jak działają systemy Mobile Threat Defense?
W jaki sposób najlepiej zabezpieczyć służbowe smartfony?
Jak ochronić prywatny smartfon przed hakerami?

Firma Zimperium jest partnerem technologicznym Integrity Partners, zatem jeśli interesują Cię jej rozwiązania, skontaktuj się z nami!

Zapraszamy do oglądania i słuchania „NIEbezpiecznych rozmów”.

Z przyjemnością informujemy, że Integrity Partners uzyskało status partnerski w programie Palo Alto Networks. Jesteśmy teraz na poziomie Platinum Innovator, co oznacza jeszcze większe możliwości dla naszych klientów. 

Aby awansować na wyższy poziom w programie partnerskim Palo Alto Networks, zespół naszych ekspertów musiał spełnić istotne wymagania. Ważne było nie tylko osiągnięcie określonych celów sprzedażowych, ale przede wszystkim uzyskanie certyfikatów poświadczających wiedzę i umiejętności.  
Nowy poziom partnerski Palo Alto Networks. Korzyści dla zespołu i dla klientów 
Dzięki udziałowi w programie partnerskim i ciągłemu podnoszeniu kwalifikacji możemy dać naszym klientom jeszcze więcej. 

Nasz zespół ma ciągły dostęp do najnowszych technologii i produktów Palo Alto. Regularnie bierze udział w szkoleniach, które pozwalają mu rozwijać wiedzę o rozwiązaniach tego producenta. Może też liczyć na priorytetowe wsparcie techniczne ekspertów Palo Alto. 
Co to oznacza dla naszych klientów? 
Wyższy poziom partnerski oznacza jeszcze ściślejszą współpracę naszego zespołu ze specjalistami Palo Alto. Dzięki temu nasi klienci zyskują: 

Szybki dostęp do najnowocześniejszych technologii zabezpieczających, które chronią przed najnowszymi zagrożeniami. 

Jeszcze efektywniej prowadzony proces wdrożeniowy wraz ze sprawną konfiguracją rozwiązań. 

Szybszą reakcję na codzienne wyzwania technologiczne i możliwość wsparcia przy skomplikowanych projektach. 

Klienci mają więc pewność, że współpracują z bardzo doświadczonym partnerem, który ma dostęp do najlepszych rozwiązań i wsparcia. A my ze swojej strony możemy zaoferować jeszcze szerszy zakres usług, w tym także profesjonalne doradztwo w zakresie bezpieczeństwa. 

Jeśli jesteście zainteresowani wdrożeniem rozwiązań Palo Alto Networks, zapraszamy do kontaktu z naszymi ekspertami.  A więcej o narzędziach tej firmy przeczytacie w naszym artykule.

Jesteś zainteresowany/a przedstawionym rozwiązaniem? Skontaktuj się z Integrity Partners – sprawdzonym integratorem rozwiązań cybersecurity, cloud i identity security.
Zarezerwuj termin w Microsoft Teams!
Napisz do nas: marketing@integritypartners.pl
 

W ciągu ostatnich kilku lat firmy na całym świecie dokonały swego rodzaju skoku technologicznego w sposobie pracy. Wiele przedsiębiorstw umożliwia dziś wykonywanie obowiązków służbowych zdalnie lub hybrydowo. Przed 2020 rokiem taka sytuacja była sporadyczna. Zmiana sposobu pracy to nie tylko niebywały rozwój i zwiększenie możliwości pracowników, ale też nowe zagrożenia. Znaczenia nabiera więc ochrona endpointów i szeroki zakres monitorowania. 

Cyberzagrożenia związane z pracą zdalną wymagają modyfikacji technologicznych w firmach. Przyjrzyjmy się, jak zmieniało się podejście do bezpieczeństwa na przestrzeni lat i zastanówmy, które rozwiązania mogą dziś najskuteczniej zabezpieczyć firmowe dane. 
Strefy bezpieczeństwa 
Jeszcze kilka, kilkanaście lat temu w standardowej firmie (dla uproszczenia przyjmujemy tutaj firmę z biurem centralnym i jednym oddziałem) zakładano, że główne zagrożenia znajdują się w sieci Internet. Natomiast to, co znajdowało się wewnątrz organizacji, było uznawane za bezpieczne. Takie podejście oparte na strefach bezpieczeństwa (z ang. Security Zone) funkcjonowało przez długi czas.  

W większości przypadków sieć była podzielona na trzy strefy: wewnętrzną (często nazywaną „trust”, czyli zaufaną), zewnętrzną – Internet (często nazywaną „untrust”, czyli niezaufaną) oraz sieć DMZ (Demilitarized Zone – strefa zdemilitaryzowana), w której znajdowały się publicznie dostępne zasoby. Ruch pomiędzy tymi strefami był filtrowany za pomocą firewalla (tzw. perimeter firewall). Jego głównym zadaniem było filtrowanie i blokowanie prób nieautoryzowanego dostępu do sieci wewnętrznej.  

Rozwój technologii jednak doprowadził do sytuacji, w której ochrona tzw. brzegu sieci stała się już niewystarczająca. Dlaczego? Ponieważ żyjemy w czasach, w których nierzadko potencjalny atakujący już znajduje się wewnątrz sieci korporacyjnej. Jak powiedział były dyrektor FBI Robert S. Mueller: „Istnieją tylko dwa rodzaje firm. Te, które zostały zhakowane, i te, które zostaną zhakowane”.   
BYOD – nowe furtki dla cyberprzestępców 
Mimo dużego rozwoju technologicznego i postępu, jaki przez ostatnie lata zrobiliśmy w dziedzinie bezpieczeństwa, wciąż mierzymy się z nowymi zagrożeniami. A to dlatego, że potencjalni atakujący także zyskali nowe możliwości dostania się do zasobów firmowych. Czasy, w których pracownicy łączyli się z tymi zasobami tylko z komputerów stacjonarnych użytkowanych od 8 do 16 w siedzibie firmy, odeszły w niepamięć.  

Dzisiejsza rzeczywistość wygląda zupełnie inaczej. Praktycznie w każdej firmie wykorzystujemy laptopy. Często są to urządzenia, które służą także do realizacji innych zadań niż służbowe. Co więcej, normą staje się podejście BYOD (Bring Your Own Device – przynieś swoje własne urządzenie). Do tego dochodzą jeszcze urządzania mobilne: tablety i smartfony, które do pełni działania wymagają połączenia z Internetem.  

To wszystko, co ma nam ułatwiać (i ułatwia) życie, jest także nową szansą „wejścia” do organizacji dla osób niepożądanych. Z tego też powodu „ciężar” ochrony zasobów firmowych został przesunięty z ochrony „granicy” naszej sieci (tzw. perymetru) w kierunku ochrony stacji końcowych oraz urządzeń mobilnych. Innym słowem tych urządzeń, które w bezpośredni sposób są wykorzystywane do pracy na najcenniejszym zasobie każdej firmy, czyli na danych. To właśnie w tym obszarze czyha na firmy najwięcej zagrożeń.   
Nieświadomy pracownik i ochrona endpointów – stacji roboczych użytkowników 
Przestępcy nie muszą dziś wcale szukać zaawansowanych metod ataku czy możliwości „wejścia” do sieci firmowej. W większości przypadków wystarczy znaleźć najsłabsze ogniwo całego mechanizmu obrony. Zazwyczaj jest nim człowiek, a konkretnie pracownik. Zwłaszcza taki, który nie zna najlepszych praktyk bezpieczeństwa lub też nie może zastosować ich w codziennym życiu.  

To wszystko sprawiło, że w zakresie bezpieczeństwa niezbędne stało się większe skupienie uwagi na stacjach końcowych użytkowników. Oczywiście przez lata starano się to robić przy użyciu różnej klasy antywirusów i firewalli lokalnych (czyli instalowanych na komputerach). Jednak takie podejście już dawno przestało być wystarczające. Dlaczego? Ponieważ rozwiązania tego typu opierają swoją skuteczność na sygnaturowym sprawdzaniu potencjalnie złośliwego oprogramowania. 
Ograniczenia wykrywania zagrożeń opartego na sygnaturach 
Jak to działa? Jeżeli jakieś zagrożenie zostało zidentyfikowane, producent oprogramowania antywirusowego dodawał odpowiednie sygnatury do swojej bazy. Wszystko po to, żeby możliwe było wykrycie i zablokowanie na innych systemach tego typu zagrożenia. Działanie to przypomina trochę dzielenie się zdjęciem złodzieja przez sklepikarzy (tylko na trochę większą skalę). Gdyby złodziej po jednej udanej kradzieży został zidentyfikowany na monitoringu, to jego zdjęcie zostałoby udostępnione innym sklepom. Dzięki temu pracownicy mogliby od razu rozpoznać przestępcę.  

Samo podejście wydaje się słuszne, jednak jest kompletnie nieskuteczne. Każdy złodziej może zmienić swój wygląd. Ten okradający stacjonarne sklepiki – ubierając okulary, zakładając czapkę czy nawet perukę i utrudniając tym samym identyfikację. Ten działający w cyberprzestrzeni – maskując (zaciemniając) kod danego programu. W rezultacie program antywirusowy, nawet mając odpowiednią sygnaturę, nie będzie w stanie wykryć, że to, co jest właśnie uruchamiane na komputerze, pomoże atakującemu w przejęciu kontroli na maszyną.  

Oczywiście mechanizmy wykorzystywane przez programy antywirusowe również się rozwijały. Producenci wprowadzali nowe narzędzia/algorytmy, które miały analizować uruchamiane programy w sposób bardziej heurystyczny. Jednak ze względu na swoje ograniczenia wynikające z architektury tego typu oprogramowanie staje się coraz mniej skuteczne w zakresie wykrywania i neutralizacji nowych, coraz bardziej złożonych typów zagrożeń.   
EDR – całościowe spojrzenie na urządzenie pracownika 
To wszystko sprawiło, że konieczne stało się zaprojektowanie na nowo (choć bazując na doświadczeniu) mechanizmów, które będą bardziej optymalnie i przede wszystkim skuteczniej chronić komputery pracowników (ochrona endpointów). Ponieważ rzeczywiste ukierunkowane ataki są znacznie bardziej skomplikowane, niezbędne stało się wypracowanie innego podejścia. Opiera się ono na całościowym wglądzie w to, co dzieje się na komputerze użytkownika. Na rynku pojawiły się rozwiązania EDR.   

Czym jest EDR? Z angielskiego Endpoint Detection and Response. Czyli systemy, których zadaniem jest weryfikacja bezpieczeństwa uruchamianych programów (Detection, detekcja) oraz blokowanie potencjalnie niechcianego zachowania (Reponse – czyli reakcja). Systemy klasy EDR mają w tym zakresie znacznie większe możliwości niż standardowe antywirusy. Dodatkowo pozwalają popatrzeć na całościowe zachowanie systemu, a także użytkownika w tym systemie.  
Różnica między EDR-em a oprogramowaniem antywirusowym 
Zadaniem oprogramowania antywirusowego było sprawdzanie, czy plik wykonywalny jest złośliwy czy też nie. Z kolei systemy EDR w sposób ciągły monitorują zachowanie programu w trakcie jego działania. Co więcej, pozwalają na zbieranie danych telemetrycznych z zachowania zarówno programów, całego systemu, jak i tego, co użytkownik próbuje zrobić na stacji.  

Aby lepiej zobrazować różnicę pomiędzy systemami EDR a klasycznym oprogramowaniem antywirusowym, wyobraźmy sobie ogromny ogród zoologiczny z wieloma różnymi zwierzętami. Każde zwierzę ma swoją klatkę, a my chcemy upewnić się, że wszystkie są bezpieczne i zdrowe. EDR to taki superopiekun, który nie pilnuje jednego zwierzęcia, ale patrzy na wszystkie naraz. Ma specjalne urządzenie, które pozwala mu widzieć, co się dzieje w każdej klatce jednocześnie. Dzięki temu, jeśli jedno zwierzę zaczyna się źle czuć, a inne próbuje uciec, EDR od razu to zauważa i może szybko zareagować. Zadaniem EDR-a jest pilnowanie nie tylko zwierząt, ale także ludzi odwiedzających dane zoo (czyli użytkowników) i reagowanie w przypadku, gdyby użytkownik chciał wyrządzić krzywdę jakiemuś zwierzęciu.  

W tej analogii klasyczny antywirus byłby strażnikiem pilnującym wejścia do ogrodu. Skanowałby wchodzących i zgodnie z posiadaną wiedzę pozwalał im lub zabraniał wejścia. Miałby jednak bardzo ograniczone możliwości w zakresie reakcji na zdarzenia, które miałyby miejsce już po przejściu przez inicjalną kontrolę.   
XDR – kolejny krok w rozwoju systemów ochrony 
Rozwinięciem koncepcji systemów klasy EDR są rozwiązania XDR, czyli eXtended Detection and Response. Dają one organizacjom nie tylko wcześniej omówione funkcjonalności. Pozwalają także na rozszerzenie zakresu monitorowania poza punkty końcowe. Obejmują więc infrastrukturę IT, w tym urządzenia sieciowe, serwery oraz zasoby chmurowe, a także systemy zarządzania tożsamością. Jest to możliwe dzięki integracji rozwiązania XDR z tymi elementami, głównie poprzez przesyłanie logów do centralnej konsoli zarządzającej systemu XDR.  

Firma zyskuje zatem możliwość łączenia wielu różnych zarejestrowanych zdarzeń (tzw. Log stiching). Łącząc logi z firewalla z logami ze stacji końcowej możemy zobaczyć nie tylko, który użytkownik zainicjował daną komunikację i z jakiego komputera (te informacje zazwyczaj mamy już dostępne na poziomie samego firewalla). Dodatkowo widzimy także, jaki proces na komputerze jest odpowiedzialny za taką komunikację.  

Posłużmy się znów analogią. Wyobraźmy sobie ogromne puzzle, które przedstawiają obraz całego miasta. Każdy kawałek puzzli to mały fragment tego, co się dzieje w różnych częściach miasta (np. w parku, na ulicy, w szkole). Log stitching to z kolei taki specjalny układacz puzzli, który zbiera wszystkie kawałki i łączy je w jeden, duży obraz. Dzięki temu możemy zobaczyć całe miasto w jednym momencie, zamiast patrzeć na każdy kawałek osobno. Co to daje specjalistom ds. bezpieczeństwa? Mogą łatwiej i szybciej zrozumieć, co się stało, kiedy i gdzie, oraz sprawniej reagować na zagrożenia. Więcej o informacji o XDR-ach znajdziecie w naszym artykule oraz filmie.

Podsumowując, musimy pamiętać o tym, że krajobraz cyberbezpieczeństwa zmienia się nieustannie. Podobnie jak sposób, w jaki korzystamy z technologii. Firmy, które chcą pozostać bezpieczne, muszą wykorzystywać możliwości nowych rozwiązań. Dzięki temu będą w stanie skuteczniej walczyć z cyberzagrożeniami. 

Zainteresowały Cię omówione w artykule rozwiązania? Zapraszamy do kontaktu! Nasi eksperci czekają na pytania.

Jesteś zainteresowany/a przedstawionym rozwiązaniem? Skontaktuj się z Integrity Partners – sprawdzonym integratorem rozwiązań cybersecurity, cloud i identity security.
Zarezerwuj termin w Microsoft Teams!
Napisz do nas: marketing@integritypartners.pl
 

Kolejna edycja Integrity Partners Cloud Days za nami! W tym roku spotkaliśmy się w pięknych okolicznościach przyrody, aby rozmawiać o sztucznej inteligencji, narzędziach Microsoft i bezpieczeństwie danych. Było nie tylko merytorycznie, ale i… magicznie! 

Integrity Partners Cloud Days to cykliczne wydarzenie, które organizujemy dla osób zainteresowanych rozwiązaniami Microsoft, a także podniesieniem poziomu bezpieczeństwa danych i pracowników. Naszym celem jest dzielenie się wiedzą z zakresu chmury. Przedstawiamy przede wszystkim praktyczne przykłady zastosowania narzędzi Microsoft w biznesie. Dajemy też naszym gościom szansę na networking i poznawanie innych specjalistów z branży.  
Cloud Days 2024. Działo się! 
W tym roku spotkaliśmy się w hotelu Santa Natura w Nowej Wsi pod Warszawą. Piękna pogoda, wspaniałe otoczenie, świeża zieleń drzew, a także duża dawka wiedzy przełożyły się na pełne emocji i merytoryki spotkanie ponad 100 specjalistów z wielu firm i instytucji. 

Rozmawialiśmy przede wszystkim o cyberbezpieczeństwie oraz o coraz większych możliwościach sztucznej inteligencji.  

Swoją wiedzą podzielili się: 

Adrian Popławski, PO Dyrektora BUCL, Integrity Partners 

Nasz ekspert wyjaśnił, jakie wymagania stawiają przed firmami dyrektywa NIS2 oraz Narodowy Program Ochrony Infrastruktury Krytycznej. Przybliżył znaczenie strategii Zero Trust oraz wpływ takich systemów jak między innymi SIEM, SOAR, EDR, IPS, WAF na bezpieczeństwo danych, aplikacji, urządzeń i infrastruktury. 

Pokazał też na przykładzie narzędzi FinOps, jak lepiej zarządzać wydatkami na chmurę publiczną. Co więcej, podpowiedział, jak przygotować plan ewakuacji systemów i aplikacji do chmury, wykorzystując dostępne narzędzia. 

Dominik Mostowski, Microsoft Cloud Solutions Architect, Integrity Partners 

Dominik poruszył bardzo istotny temat ochrony tożsamości z Entra ID. To chmurowa usługa zarządzania tożsamościami i dostępem, umożliwiająca pracownikom dostęp do zasobów.  

Odpowiedział także na coraz częściej wybrzmiewające pytanie: skąd Copilot czerpie dane? Wyjaśnił, jak wdrożyć Copilota, by zapewnić poufność i bezpieczeństwo firmowych danych. 

Maciej Koral, Microsoft Cloud Solutions Consultant, Integrity Partners 

Maciej podczas swojego wystąpienia skupił się na bezpieczeństwie stacji roboczych. Przybliżył uczestnikom spotkania dwa narzędzia Microsoft – Defendera oraz Intune’a. To dwa współpracujące ze sobą rozwiązania, które zapewniają ochronę urządzeniom i danym w organizacjach.  

Bartosz Wołowicz, Microsoft Cloud Solutions Expert, Integrity Partners 

Nasz ekspert od rozwiązań chmurowych podpowiedział, jak zapewnić zgodność z dyrektywą NIS2 środowisk hybrydowych i wielochmurowych, wykorzystując Defender for Cloud. To natywna platforma ochrony aplikacji w chmurze, chroniąca przed lukami bezpieczeństwa i przed cyberzagrożeniami. 

Przedstawił też możliwości rozwiązania Microsoft Sentinel. To narzędzie chroniące chmurę i łączące w sobie dwie technologie – SIEM oraz SOAR. Dzięki niemu firmy mogą więc spełnić wymagania, jakie nakłada na nie NIS2. 

Marcin Makowiecki, Senior Partner Development Manager, Microsoft Polska 

Ekspert z Microsoft pokazał możliwości nowych laptopów Surface. Co niezwykle istotne dla pracowników i biznesu – mają one wbudowane narzędzia sztucznej inteligencji. Dzięki temu praca z nimi jest szybsza, bardziej kreatywna i bezpieczniejsza (o nowych urządzeniach od Microsoft przeczytacie więcej na naszej stronie). 

Damian Miros oraz Dawid Kwietniewski, Microsoft Cloud Solutions Specialists, Integrity Partners 

Tajemnice Copilot for Microsoft zdradzili nasi specjaliści Damian i Dawid. Zaprezentowali bowiem na praktycznych przykładach, jak działa sztuczna inteligencja w Microsoft 365. Co więcej, uczestnicy konferencji mogli na własne oczy zobaczyć, jak AI wspiera pracę z Wordem, Excelem, Power Pointem oraz Outlookiem. 

Małgorzata Koziej, Data&AI Specialist, Microsoft Polska 

O Microsoft Fabric oraz sztucznej inteligencji napędzającej analizę danych opowiedziała ekspertka z Microsoft. Narzędzie, które przedstawiła, to kompleksowa platforma analityczna, zapewniająca jedno zintegrowane środowisko do współpracy i analizy danych biznesowych. 

Jan Gachowski, Microsoft Power Platform Team Leader, Integrity Partners 

Analizie danych przyjrzał się również ekspert z Integrity Partners, przedstawiając Power BI. To zestaw narzędzi analitycznych, umożliwiających wizualizację danych i udostępnianie informacji w całej organizacji, a także osadzanie ich w aplikacji lub usłudze. 

Marcin Aniszewski, Managed Services Business Unit Director, Integrity Partners 

Wystąpienia ekspertów zakończył dyrektor naszego pionu Managed Services. Nieprzypadkowo! Dzięki tej prelekcji uczestnicy dowiedzieli się, jak wdrożyć wymagania NIS2 oraz jak podnieść bezpieczeństwo swoich danych i systemów z pomocą Integrity Partners. Marcin zaprezentował także obszary, w których nasi specjaliści mogą pomóc, oraz abonamenty bezpieczeństwa dla Microsoft 365. 

Podsumowując, w części merytorycznej goście Cloud Days 2024, jak zapewnić ciągłą ochronę tożsamości, urządzeń, aplikacji, infrastruktury, sieci oraz danych. Dzięki tej wiedzy będą bez wątpienia lepiej zarządzać swoimi środowiskami IT oraz ich bezpieczeństwem. 
A po godzinach – magia! 
Jednak nie samą merytoryką żyje konferencja Cloud Days! Pierwszy dzień prelekcji zakończyliśmy kolacją, rozmowami, nawiązywaniem kontaktów, a także pokazem magii. W świat czarów i sztuczek zabrał nas Iluzjonista Y, czyli najsłynniejszy polski iluzjonista, który występował między innymi dla Mike’a Tysona czy Roberta Lewandowskiego. 

Tym razem natomiast otworzył drzwi do świata magii przed uczestnikami naszego wydarzenia. Były karty, ogień, wiele zaskoczeń i jeszcze więcej śmiechu. 

Chcecie dowiedzieć się więcej? Zobaczcie filmik podsumowujący Cloud Days. 

I już dziś zapraszamy Was na Integrity Partners Cloud Days 2025. Zatem – do zobaczenia!