Tag: Cyberbezpieczeństwo

W centrum uwagi ekspertów i administratorów IT znajduje się dziś tożsamość cyfrowa. Zarządzenie nią jest kluczowym elementem kompleksowej strategii bezpieczeństwa. Jak robić to skutecznie? Sprawdź możliwości Microsoft Entra ID, następcy dobrze znanego Azure Active Directory. 
Czym jest Microsoft Entra ID i kto może korzystać z tego rozwiązania? 
Microsoft Entra ID to nowoczesna, chmurowa usługa zarządzania tożsamością i dostępem (Identity and Access Management – IAM). Umożliwia organizacjom centralne zarządzanie cyfrowymi tożsamościami oraz kontrolowanie ich dostępu do zasobów IT. Entra ID to nie tylko narzędzie do zarządzania użytkownikami. To przede wszystkim kompleksowa platforma, która zabezpiecza „drzwi” do wszelkich aplikacji, danych i systemów. 

Kto może korzystać z rozwiązania Entra ID? Praktycznie każda organizacja, niezależnie od jej rozmiaru i branży, może czerpać korzyści z wdrożenia Microsoft Entra ID. Usługa ta jest niezwykle elastyczna i odpowiada na potrzeby szerokiego grona podmiotów. Są wśród nich: 

Przedsiębiorstwa produkcyjne i komercyjne: Do zarządzania tożsamościami pracowników, podwykonawców, partnerów biznesowych oraz aplikacji. 

Instytucje publiczne i jednostki samorządu terytorialnego (JST): Do zarządzania dostępem urzędników, współpracowników oraz obywateli do e-usług i wewnętrznych systemów. 

Małe i średnie firmy (MŚP): Entra ID jest skalowalna i dostępna dla organizacji, które nie posiadają rozbudowanej infrastruktury IT ani specjalistów od cyberbezpieczeństwa. Jej chmurowy charakter eliminuje potrzebę dużej inwestycji w sprzęt i jego utrzymanie. 

Organizacje korzystające z chmury Microsoft: Entra ID jest naturalnie zintegrowana z usługami Microsoft 365 (np. Office, Teams, SharePoint) oraz Azure, zapewniając bezproblemową współpracę i jednolite zarządzanie tożsamościami. 

Organizacje niekorzystające z chmury Microsoft: Co ważne, nie ma konieczności korzystania z innych usług chmurowych Microsoft, aby wdrożyć Entra ID. Jest to samodzielny byt, który może być wykorzystywany do zarządzania tożsamościami i dostępem do aplikacji on-premises (lokalnych), aplikacji SaaS-owych (Software as a Service) od innych dostawców, a także aplikacji hostowanych w innych chmurach (strategia multi-cloud). Dzięki temu Entra ID jest uniwersalnym rozwiązaniem, które integruje się z całym ekosystemem tożsamości użytkowników. 

Czym jest tożsamość cyfrowa i dlaczego zarządzanie nią jest tak ważne? 
Tożsamość cyfrowa to znacznie więcej niż login i hasło. To zestaw unikalnych atrybutów, który definiuje użytkownika (człowieka lub maszynę) w środowisku cyfrowym. Określa też jego uprawnienia do dostępu do zasobów. Tożsamością może być pracownik, podwykonawca, klient, ale także aplikacja, serwer, a nawet inteligentne urządzenie. Każda z tych „person” posiada swoją unikalną tożsamość, która staje się bramą do danych i systemów organizacji. 

Dlaczego zarządzanie tożsamością cyfrową jest tak ważne? Jest to klucz do bezpieczeństwa cybernetycznego i ciągłości działania firmy. Tożsamość stanowi swoiste drzwi do naszych systemów, danych i aplikacji. Jeśli te drzwi są słabo zabezpieczone lub niekontrolowane, stają się łatwym celem dla cyberprzestępców. 

Zwiększone ryzyko ataków na tożsamość:
Współczesne cyberzagrożenia w dużej mierze koncentrują się na kradzieży tożsamości. Ataki phishingowe, które mają na celu wyłudzenie danych uwierzytelniających, stanowią najpopularniejszy wektor ataku od kilku lat. Skutecznie zarządzana tożsamość chroni firmę przed nieautoryzowanym dostępem, wyciekami danych i atakami ransomware. 

Zgodność z regulacjami:
Coraz bardziej rygorystyczne przepisy dotyczące ochrony danych (takie jak RODO/GDPR, NIS 2) i zarządzania dostępem wymagają precyzyjnej kontroli nad tożsamościami i ich uprawnieniami. Systemy zarządzania tożsamością ułatwiają spełnienie tych wymogów, minimalizując ryzyko kar finansowych. 

Złożoność środowisk IT:
Firmy korzystają z coraz większej liczby aplikacji – zarówno lokalnych, jak i chmurowych (SaaS, IaaS). Centralne zarządzanie tożsamościami w jednym miejscu upraszcza administrację i redukuje ryzyko błędów. 

Wyzwania związane z pracą zdalną i hybrydową:
Wzrost popularności pracy zdalnej sprawia, że dostęp do zasobów firmy odbywa się z różnych lokalizacji i urządzeń, co zwiększa powierzchnię ataku. Skuteczne zarządzanie tożsamością pozwala na bezpieczne świadczenie usług poza fizycznym biurem. 

Automatyzacja i efektywność:
Ręczne zarządzanie tożsamościami w dużych organizacjach jest czasochłonne i podatne na błędy. Systemy IAM, takie jak Entra ID, automatyzują wiele procesów, takich jak tworzenie, modyfikowanie czy usuwanie kont, co zwiększa efektywność działów IT. 

Microsoft Entra ID, jako największa usługa odpowiedzialna za tożsamość na świecie, z 720 tysiącami organizacji korzystających i 300 milionami aktywnych użytkowników miesięcznie, przetwarza 60 miliardów uwierzytelnień dziennie. Ta skala świadczy o jej niezawodności i zdolności do sprostania nawet najbardziej wymagającym wyzwaniom bezpieczeństwa. 

[caption id="attachment_7404" align="aligncenter" width="1387"] Microsoft Entra ID największa na świecie usługa chmurowa dla tożsamości[/caption]
Nowości w Microsoft Entra ID wspomagające zarządzanie tożsamością 
Microsoft Entra ID, jako usługa chmurowa, rozwija się praktycznie każdego dnia, dostarczając swoim klientom najnowsze innowacje w dziedzinie bezpieczeństwa tożsamości. W ostatnich latach, a szczególnie w ciągu ostatnich 2-3 lat, pojawiło się wiele kluczowych nowości, które znacząco usprawniają zarządzanie tożsamością i podnoszą poziom cyberbezpieczeństwa firm: 

Rozwój metod uwierzytelniania odpornych na phishing (Phishing-Resistant Authentication): 

Passwordless (Bezhasłowe logowanie): To przyszłość uwierzytelniania. Microsoft Entra ID intensywnie promuje i rozwija metody, w których hasło nie jest już głównym czynnikiem. Przykłady to:  

– Windows Hello: Biometryczne logowanie (np. odcisk palca, rozpoznawanie twarzy) do urządzeń z systemem Windows, często zintegrowane z Entra ID. 

– Klucze sprzętowe FIDO: Fizyczne tokeny bezpieczeństwa (np. YubiKey), które oferują bardzo wysoki poziom odporności na phishing i są niezwykle wygodne w użyciu. Są dostępne w wielu wariantach i w przystępnych cenach. 

– Microsoft Authenticator jako FIDO: Aplikacja Microsoft Authenticator na urządzeniu mobilnym w połączeniu z Windows Hello może działać jako narzędzie uwierzytelniające zgodne ze standardem FIDO, eliminując potrzebę posiadania dedykowanego klucza sprzętowego. 

Uwierzytelnianie certyfikatem (Certificate-Based Authentication – CBA): Możliwość wykorzystania certyfikatów z lokalnego PKI (Public Key Infrastructure) lub nowość – Cloud PKI (chmurowa infrastruktura klucza publicznego) hostowana bezpośrednio w usłudze Microsoft 365. Certyfikat może być drugą metodą uwierzytelniania lub, jeśli jest zabezpieczony PIN-em, może służyć jako samodzielna metoda bezhasłowa. 

Zabezpieczenie tokenów: Entra ID wprowadza mechanizmy ochrony tokenów dostępu (np. dla Outlooka, Teams), co sprawia, że nawet w przypadku ich wykradzenia, adwersarzom trudno jest z nich skorzystać.  

Zaawansowana kontrola dostępu warunkowego w Entra ID (Conditional Access):

To inteligentne serce zarządzania dostępem w Entra ID. Pozwala na dynamiczne ocenianie ryzyka podczas każdego logowania i podejmowanie decyzji o dostępie w czasie rzeczywistym. 

Analizuje takie czynniki jak: lokalizacja użytkownika, typ urządzenia (zarządzane/niezarządzane, zgodne z polityką firmową, zaszyfrowane) czy typ aplikacji (czy obsługuje MFA). A przede wszystkim ryzyko użytkownika i logowania (wykrywane przez Identity Protection). 

W przypadku wykrycia ryzyka system może automatycznie wymusić dodatkowe uwierzytelnienie (np. MFA), zablokować dostęp, wymusić reset hasła lub ograniczyć dostęp do danych. To jest kwintesencja zasady Zero Trust: „nigdy nie ufaj, zawsze weryfikuj”. 

Microsoft Entra Identity Protection:

Wykorzystuje zaawansowany Machine Learning i sztuczną inteligencję do monitorowania i wykrywania zagrożeń dla tożsamości w czasie rzeczywistym. 

Analizuje miliardy sygnałów dziennie, identyfikując nietypowe zachowania, takie jak próby logowania z nietypowych lokalizacji, wiele nieudanych prób logowania, wycieki poświadczeń (np. tożsamości na sprzedaż w darknecie) czy podejrzane adresy IP. 

Automatycznie reaguje na incydenty, np. poprzez odwołanie sesji, zablokowanie dostępu czy wymuszenie resetu hasła. Ta automatyzacja i szybkość reakcji (w milisekundach) jest kluczowa w walce z zaawansowanymi atakami. 

Nowe metody i usprawnienia w procesach zarządzania dostępem:

Kody QR do logowania: Nowość, która jest w fazie preview, dedykowana szczególnie dla pracowników frontline’owych, którzy nie korzystają na co dzień z komputera. Użytkownik skanuje kod QR i podaje dedykowany PIN, co eliminuje potrzebę stosowania tradycyjnych haseł czy nawet posiadania telefonu z aplikacją. 

Temporary Access Passwords (TAPy): Tymczasowe hasła dostępu, które administrator może wygenerować na określony czas (np. dzień, tydzień, miesiąc) i z określoną liczbą użyć (jednorazowe lub wielokrotnego użytku). To rozwiązanie jest idealne do zarządzania dostępem dla podwykonawców, audytorów czy pracowników tymczasowych, znacznie upraszczając governance tożsamości. 

Możliwość korzystania z zewnętrznych metod MFA: Microsoft Entra ID integruje się z systemami MFA innych dostawców. To zapewnia elastyczność i pozwala na wykorzystanie już istniejących rozwiązań w firmie. 

Weryfikacja twarzy (Verified ID): Wprowadzenie usługi Verified ID, która umożliwia weryfikację tożsamości za pomocą twarzy, np. podczas procesów rekrutacyjnych czy udzielania dostępu do bardzo wrażliwych zasobów. Choć może to być jeszcze „pieśń przyszłości” dla niektórych sektorów, pokazuje kierunek rozwoju i możliwości platformy. 

Application Proxy:

Mechanizm umożliwiający bezpieczne publikowanie lokalnych aplikacji (on-premises) dla użytkowników zewnętrznych, bez konieczności konfiguracji VPN-a. 

Aplikacje te mogą korzystać z wszystkich benefitów chmury Entra ID. Są wśród nich: kontrola dostępu warunkowego, MFA, logowanie bezhasłowe czy mechanizmy Identity Protection, które znacząco zwiększają bezpieczeństwo. 

Podsumowując, Microsoft Entra ID, rozwijając te i wiele innych funkcji, staje się niezastąpionym narzędziem w walce z cyberzagrożeniami. Koncentrując się na tożsamości jako kluczowym elemencie bezpieczeństwa, umożliwia firmom wdrożenie kompleksowej strategii Zero Trust. A to ma fundamentalne znaczenie dla ochrony danych produkcyjnych, a także zapewnienia ciągłości działania w podatnym na cyberataki środowisku cyfrowym.

Setki tysięcy firm technologicznych – od wielkich korporacji po startupy i mikroprzedsiębiorstwa. Ogrom rozwiązań, systemów i aplikacji. Jak wybrać najlepsze narzędzie dla swojej organizacji? Pomocny może być Magiczny Kwadrant Gartnera ®, który analizuje i ocenia wyróżniające się na rynku technologie. Czym jest Gartner® Magic Quadrant™ i co daje firmom korzystanie z rozwiązań ujętych w tych zestawieniach? Wyjaśniamy.
Zacznijmy od przedstawienia firmy Gartner. To przedsiębiorstwo badawczo-doradcze, założone w 1979 roku w Stanach Zjednoczonych. Jego głównym celem jest dostarczanie obiektywnych i rzetelnych analiz oraz strategicznych porad dotyczących technologii i ich zastosowań w biznesie. Gartner jest dziś uznawany za wpływowy autorytet w branży IT. Raporty przygotowywanie przez firmę są wykorzystywane przez menedżerów, dyrektorów IT i inwestorów na całym świecie. Jednym z najbardziej znanych raportów Gartnera jest właśnie Magiczny Kwadrant.

Magiczny Kwadrant czy Magiczny Kwadrat?
Pochylmy się przez chwilę nad terminologią. W potocznym języku można spotkać określenie „Magiczny Kwadrat Gartnera”. Natomiast w oryginale nazwa ta brzmi Gartner® Magic Quadrant™. I to tłumaczenie tego terminu, czyli Magiczny Kwadrant Gartnera, jest poprawną nazwą raportu. Mówimy o „kwadrancie”, ponieważ wykres przedstawiający technologie jest podzielony na cztery ćwiartki (kwadranty).

Czym jest Magiczny Kwadrant Gartnera?
Magiczny Kwadrant Gartnera to specjalistyczne narzędzie analityczne i badawcze, służące do oceny i wizualnego pozycjonowania dostawców technologii w ramach konkretnego rynku. Przedstawia wyniki dogłębnych badań rynkowych i analiz. Ich celem jest dostarczenie firmom i inwestorom przeglądu krajobrazu w danej dziedzinie technologicznej.
Grafika z wynikami jest podzielona na cztery ćwiartki, a dostawcy technologii są umieszczani w jednej z nich na podstawie dwóch kluczowych osi oceny:

Zdolność do realizacji (Ability to Execute):
Oś pionowa, która ocenia, jak dobrze dostawca realizuje swoją obecną wizję. Bierze pod uwagę takie czynniki jak:

rentowność,
obsługa klienta,
wielkość sprzedaży,
możliwości produktu/usługi,
wykonywalność operacyjna.

Kompletność wizji (Completeness of Vision):
Oś pozioma, która ocenia, jak dobrze dostawca rozumie rynek i to, w jakim kierunku zmierza branża, i czy ma jasną wizję przyszłości. Analitycy biorą pod uwagę takie elementy jak:

strategia rynkowa,
strategia produktowa,
innowacyjność,
zrozumienie potrzeb klienta.

Kategorie firm w Magicznym Kwadrancie?
Gartner publikuje Magiczne Kwadranty dla setek różnych kategorii rynkowych, od rozwiązań cybersecurity, przez systemy CRM, ERP, po chmurę obliczeniową. W każdym Kwadrancie pojawiają się więc firmy specyficzne dla danego sektora technologicznego.
Firmy ujęte w Magicznym Kwadrancie są pozycjonowane w jednej z czterech ćwiartek, które reprezentują ich ogólną pozycję na rynku w stosunku do konkurencji:

Liderzy (Leaders): To dostawcy, którzy mają zarówno silną zdolność do realizacji bieżących działań, jak i kompletną wizję przyszłości rynku. Są dobrze przygotowani na nadchodzące wyzwania i innowacje. Zazwyczaj to ugruntowane firmy o dużej pozycji rynkowej.
Wizjonerzy (Visionaries): Ci dostawcy doskonale rozumieją, w jakim kierunku zmierza rynek, i często wprowadzają innowacyjne rozwiązania, które mogą zmienić zasady gry. Jednak ich zdolność do realizacji i wykonania tych wizji może być jeszcze niedojrzała lub nie tak mocna jak u Liderów.
Pretendenci (Challengers): Są to firmy, które świetnie radzą sobie z realizacją i często dominują w dużym segmencie rynku, ale mogą nie mieć tak kompletnej wizji przyszłości, jak Liderzy. Skupiają się na obecnych potrzebach rynku i efektywnej sprzedaży.
Gracze Niszowi (Niche Players): To firmy skupiające się z sukcesem na bardzo małym lub specyficznym segmencie rynku albo te, które mają ograniczoną zdolność do realizacji lub niejasną wizję. Mogą nie być innowacyjne na tle całego rynku, ale skutecznie odpowiadają na potrzeby swojej niszy.

Jak korzystać z Magicznego Kwadrantu Gartnera?
Decyzja o inwestycji w technologię jest złożona i wiąże się ze znacznymi kosztami oraz ryzykiem. Magiczny Kwadrant Gartnera pomaga firmom zminimalizować to ryzyko i podjąć bardziej świadome decyzje. Jest więc cennym punktem wyjścia w procesie inwestycyjnym.
Jak czytać analizy Gartnera? Warto pamiętać, by nie ograniczać się tylko do kwadrantu Liderów. Czasami Pretendenci mogą oferować lepsze rozwiązania cenowe lub specyficzne funkcje, a Gracz Niszowy może idealnie pasować do bardzo konkretnych potrzeb Twojej organizacji.
Co więcej, dobrze mieć na uwadze, że Magiczny Kwadrant to jedynie graficzne podsumowanie analiz. Pełne raporty Gartnera są znacznie bardziej obszerne, często mają nawet po kilkadziesiąt stron. Zawierają szczegółowe analizy każdego dostawcy, ich mocnych i słabych stron, co jest niezbędne do podjęcia ostatecznej decyzji.

Dlaczego warto sięgać po rozwiązania z Magicznego Kwadrantu?
Firma, która decyduje się na wdrożenie rozwiązania od dostawcy uwzględnionego w Magicznym Kwadrancie Gartnera, może liczyć na istotne korzyści.

Po pierwsze, raporty Gartnera są wynikiem niezależnych i dogłębnych badań. Fakt, że firma została w nich uwzględniona, a co więcej, dobrze pozycjonowana, świadczy o jej wiarygodności, stabilności i dojrzałości produktu. Gartner ocenia dostawców według spójnych kryteriów, co daje obiektywny punkt odniesienia.
Po drugie, Magiczny Kwadrant daje szeroki ogląd całego rynku. Pozwala więc zobaczyć, jacy są główni gracze, jakie są ich mocne strony i gdzie znajdują się w porównaniu do konkurencji.
Po trzecie, raporty Gartnera dostarczają również analiz mocnych i słabych stron każdego dostawcy, co pomaga lepiej zrozumieć potencjalne wyzwania.
Po czwarte, korzystanie z Magicznego Kwadrantu pozwala oszczędzić czas i zasoby, które firma musiałaby poświęcić na samodzielne badanie rynku i weryfikację potencjalnych dostawców.

Firmy z Magicznych Kwadrantów w ofercie Integrity Partners
W ofercie Integrity Partners znajdują się rozwiązania globalnych i docenianych na całym świecie dostawców technologii. Są one sprawdzone i wiarygodne, a wiele z nich zostało na przestrzeni ostatnich lat uwzględnionych w raportach Gartnera w różnych kategoriach. Np.
Microsoft: Lider w wielu kategoriach związanych z cyberbezpieczeństwem, w tym w obszarze Platform ochrony obciążeń w chmurze (2023) oraz Platform tożsamości pracowników
CyberArk: Lider w kategorii Privileged Access Management (PAM)
SailPoint: Lider w kategorii Identity Governance and Administration (IGA)
Check Point: Lider w kategoriach związanych z bezpieczeństwem
Darktrace: Lider w kategorii Network Detection and Response (NDR)
SentinelOne: Lider w kategorii Endpoint Protection Platforms (EPP)
Palo Alto Networks: Lider w kategorii Security Service Edge (SSE)
Akamai: Lider w kategorii Web Application and API Protection (WAAP)
BMC: Lider w kategorii IT Service Management Platforms
Elastic: Lider w kategorii Search AI Applications
F5 (F5 Networks): Lider w kategoriach Application Delivery Controllers (ADC) i Web Application and API Protection (WAAP)
Fortinet: Lider w kategoriach Network Firewalls i WAN Edge Infrastructure.
Imperva (obecnie Thales Company): Lider w kategorii Web Application and API Protection (WAAP)
Tufin: Lider w kategorii N Network Security Policy Management
Zimperium: Lider w kategorii Mobile Threat Defense (MTD)
Zscaler: Lider w kategoriach Security Service Edge (SSE) oraz Zero Trust Network Access (ZTNA)
Jeśli chcesz wdrożyć w swojej firmie rozwiązania docenione przez analityków Gartnera, zapraszamy do kontaktu z naszymi ekspertami.

„Firewall? Nie potrzebuję. Przecież mamy XDR-a!”. Takie podejście do budowania systemów bezpieczeństwa może okazać się kosztownym uproszczeniem. Czy zatem firewalle – zwłaszcza te nowej generacji – wciąż są niezastąpionym elementem nowoczesnej cyberobrony? Sprawdźmy, jaką pełnią funkcję i dlaczego nie warto pomijać ich w swojej strategii cyberbezpieczeństwa. 
Czym jest firewall i dlaczego kiedyś był wystarczający? 
Tradycyjny firewall działał jako “strażnik na granicy sieci”, kontrolując ruch sieciowy na podstawie zdefiniowanych reguł dotyczących adresów IP i portów. Jego głównym zadaniem było blokowanie nieautoryzowanego dostępu z zewnątrz do wewnętrznej sieci oraz ograniczanie ruchu wychodzącego. W prostych środowiskach i wobec ówczesnych zagrożeń takie podejście stanowiło podstawową, ale istotną warstwę ochrony.

Ewolucja zagrożeń i narodziny Next-Generation Firewall (NGFW) 
Wraz z ewolucją cyberataków tradycyjne firewalle stały się niewystarczające. Nowoczesne zagrożenia często wykorzystują złożone techniki, ukrywają się w legalnym ruchu i atakują na poziomie aplikacji. Odpowiedzią na te wyzwania okazały się firewalle nowej generacji (NGFW).  

Współczesne narzędzia Next Generation Firewall są bardzo zaawansowanymi rozwiązaniami. Pozwalają na wykrywanie i oczywiście blokowanie nie tylko prób ataków czy złośliwego oprogramowania. Są także w stanie identyfikować użytkowników, dzięki czemu polityki dostępowe możemy definiować per użytkownik, a nie adres IP. Co więcej, mogą także rozpoznawać aplikacje, co umożliwia granularną kontrolę nad tym, z czego korzystają użytkownicy naszej sieci. 

NGFW oferują też bezpieczny dostęp zdalny, często z możliwością łączenia się nie tylko za pomocą dedykowanego klienta, ale również przez przeglądarkę. 
Palo Alto Networks: Pionier w dziedzinie NGFW 
Na rynku jest dziś wiele firewalli nowej generacji. Jednak kluczową rolę w rozwoju koncepcji NGFW odegrała firma Palo Alto Networks. To właśnie ten producent dodał do firewalli bazujących na ograniczaniu ruchu z konkretnego adresu IP do konkretnego adresu IP dwie ważne funkcjonalności. Były nimi: rozpoznawanie aplikacji oraz identyfikacja użytkownika. 

Dzięki tym innowacjom polityki bezpieczeństwa przestały być ograniczone do adresów IP i portów, a zyskały granularność na poziomie użytkowników i aplikacji. Choć obecnie te funkcjonalności są standardem w NGFW wielu producentów, Palo Alto Networks nadal wyróżnia się szerokim portfolio zintegrowanych rozwiązań, obejmujących m.in. ochronę końcówek (XDR) pod marką Cortex oraz zabezpieczenia chmurowe. Ten ekosystem jest bardzo spójny i łatwy do konfiguracji. 
Na co zwracać uwagę przy wyborze firewalla nowej generacji? 
Decydując się na wdrożenie NGFW, warto zwrócić uwagę na kilka kluczowych funkcji, które takie rozwiązanie powinno mieć. Są wśród nich: 

Identyfikacja użytkowników: Możliwość definiowania polityk dostępu w oparciu o tożsamość użytkowników, a nie tylko adresy IP. 
Rozpoznawanie aplikacji: Zdolność do identyfikowania i kontrolowania ruchu na poziomie aplikacji, co pozwala na precyzyjne zarządzanie wykorzystaniem zasobów sieciowych. 
Aktualność bazy sygnatur: Regularne aktualizacje bazy danych o znanych zagrożeniach i aplikacjach są kluczowe dla skutecznej ochrony. 
Funkcjonalność VPN: Obsługa bezpiecznego dostępu zdalnego, zarówno poprzez dedykowanego klienta, jak i opcjonalnie przez przeglądarkę (tzw. serverless VPN). 
Przejrzystość interfejsu: Intuicyjny i łatwy w obsłudze interfejs ułatwia konfigurację, monitorowanie i analizę logów. 
Możliwości optymalizacji reguł: Funkcje pozwalające na identyfikowanie nieużywanych reguł i optymalizację konfiguracji. 
Wsparcie dla migracji: Narzędzia ułatwiające migrację z istniejących rozwiązań, w tym automatyczne wykrywanie aplikacji w regułach. 
Integracja z systemami zewnętrznymi: Możliwość integracji z Active Directory, Azure AD oraz zewnętrznymi listami reputacji (External Dynamic Lists – EDL) w celu zapewnienia lepszej reakcji na potencjalne zagrożenia. 
Podejście producenta: Transparentna komunikacja w przypadku wykrycia podatności i szybkie reagowanie na incydenty. 

Firewalle nowej generacji a systemy XDR 
Możliwości nowoczesnych rozwiązań w obszaru cyberbezpieczeństwa ewoluują. Tak samo jak ewoluują zagrożenia. Więcej o tym pisałem w artykule: Od firewalli po XDR-y. Jak zmieniał się krajobraz cyberbezpieczeństwa w firmach?. Czy zatem w dobie popularności systemów XDR firewalle w ogóle są potrzebne? Czy nie wystarczy zainstalować agenta XDR na wszystkich możliwych systemach i mieć super ochronę?  

Odpowiedź na to pytanie nie jest wcale taka prosta. Jeżeli spojrzymy tylko od strony użytkowników końcowych, to można by powiedzieć, że skoro jesteśmy w stanie wykryć i zablokować złośliwe oprogramowanie na samej stacji końcowej, to nie ma potrzeby inwestycji w nowoczesne rozwiązania firewall. I po części jest to prawda, ale rzadko kiedy zdarza się, że firma opiera swoje funkcjonowanie tylko na stacjach końcowych użytkowników. W zdecydowanej większości przypadków do swojego działania potrzebuje jeszcze serwerów, drukarek, zasobów dyskowych i innych rozwiązań sieciowych, na których nie jesteśmy w stanie zainstalować agenta XDR. 

Dodatkowo NGFW koncentrują się na kontroli i analizie ruchu sieciowego na styku sieci z zewnętrznym światem oraz wewnątrz segmentów sieci, natomiast systemy XDR zapewniają szersze spojrzenie na środowisko IT, integrując dane z punktów końcowych, serwerów, chmury i sieci w celu holistycznego wykrywania i reagowania na zagrożenia.  

NGFW działają jako pierwsza linia obrony, filtrując ruch i blokując wiele znanych ataków na poziomie sieci i aplikacji. Systemy XDR natomiast oferują zaawansowaną analizę behawioralną, korelację zdarzeń z różnych źródeł i automatyzację reakcji na bardziej złożone i ukryte zagrożenia, które mogłyby przedostać się przez firewall. 
Czy firewalle są dziś w ogóle potrzebne? 
Zatem, odpowiadając na pytanie postawione na początku artykułu: firewalle nadal są potrzebne. Nawet w erze zaawansowanych systemów XDR firewalle nowej generacji pozostają kluczowym elementem wielowarstwowego podejścia do bezpieczeństwa. Stanowią istotną warstwę ochrony, kontrolującą ruch sieciowy na poziomie użytkowników i aplikacji, a także zabezpieczającą urządzenia, na których nie można zainstalować agentów XDR.  

Dlaczego to takie ważne? Ponieważ bezpieczeństwo jest jak cebula. I nie, nie chodzi o to, że dziwnie pachnie. Nie chodzi też o to, że czasami doprowadza nas do płaczu. Chodzi o warstwy. Im więcej warstw w bezpieczeństwie, tym większa szansa na skuteczną ochronę. Bo jeśli zawiedzie jedna warstwa, inne mogą nas ochronić.  

Kontynuując myśl Osła ze Shreka „Wiesz, nie wszyscy lubią cebulę…”. Niestety z bezpieczeństwem też tak jest. Ale wybierając odpowiednie warzywa (czyli producenta i jego rozwiązania) oraz odpowiedniego kucharza (czytaj: integratora) posiadającego odpowiednią wiedzę, można osiągnąć wybitne rzeczy 😉   

Czy dane w chmurze są bezpieczne? To pytanie nabiera szczególnego znaczenia w przypadku wdrożenia rozwiązań do zarządzania tożsamością cyfrową. IGA w chmurze czy on-premises? Który model jest bardziej optymalny i w pełni ochroni wrażliwe dane przedsiębiorstw? O tym rozmawiamy z Janem Macherzyńskim, Principal IGA Architect and Evangelist z Integrity Partners w najnowszym odcinku „NIEbezpiecznych rozmów”.

IGA, czyli Identity Governance and Administration (Zarządzanie Tożsamością i Administracja), to rozwiązanie, które pomaga organizacjom zarządzać cyklem życia tożsamości cyfrowych użytkowników oraz kontrolować ich dostęp do zasobów i systemów IT.
IGA w chmurze
Jak wdrożyć IGA? Czy wybrać model on-premises czy SaaS? Czy chmura w tym przypadku jest bezpieczna?

–  Systemy IGA ze swojej natury mają bardzo rozległy wpływ na infrastrukturę firmy. Mogą w tej infrastrukturze zrobić naprawdę wiele, ponieważ zarządzają kontami, zarządzają uprawnieniami większości lub wszystkich użytkowników. Stąd są to takie systemy trochę masowego rażenia, więc przejęcie kontroli nad takim systemem czy modyfikacja danych w tym systemie mogłaby mieć bardzo rozległe i bardzo nieprzyjemne konsekwencje. I dla infrastruktury teleinformatycznej, i dla samego przedsiębiorstwa. Natomiast przez te wszystkie lata rozwoju systemów Identity Governance and Administration w chmurze producenci tych systemów zrobili naprawdę bardzo wiele, żeby te systemy odpowiednio zabezpieczyć – wyjaśnia Jan Macherzyński z Integrity Partners.

W najnowszym odcinku „NIEbezpiecznych rozmów” wyjaśniamy:

kiedy wybrać system IGA w chmurze, a kiedy on-premises
jakie są wady i zalety obu rozwiązań
dlaczego nie warto inwestować w rozwiązania hybrydowe
ile kosztuje IGA w chmurze – czy jest tańsza czy droższa od modelu on-premises
czy chmura jest naszą przyszłością.

Śniadanie technologiczne „Tożsamość w chmurze”
A już 12 czerwca w Warszawie organizujemy śniadanie technologiczne, podczas którego zgłębimy temat tożsamości w chmurze. O zarządzaniu tożsamością opowiadać będą eksperci z SailPoint i Integrity Partners. Agenda i rejestracja dostępne są na stronie: Tożsamość w chmurze: Jak SailPoint upraszcza migrację i zwiększa bezpieczeństwo? Serdecznie zapraszamy!

Oglądaj kanał IntegriTV!

Liczba cyberzagrożeń rośnie z dnia na dzień. A to oznacza, że tradycyjne centra operacji bezpieczeństwa (SOC) stają przed nowymi wyzwaniami. Wiążą się one z efektywnym zarządzaniem alertami i szybkim reagowaniem na incydenty. Ręczne procesy i rozproszone narzędzia często prowadzą do opóźnień i błędów, co zwiększa ryzyko dla organizacji. W odpowiedzi na te problemy powstała koncepcja NextGen SOC, która kładzie nacisk na automatyzację, integrację danych oraz wykorzystanie sztucznej inteligencji. Przykładem takiego podejścia jest platforma Cortex XSIAM od Palo Alto Networks. To zintegrowane rozwiązanie do zarządzania operacjami bezpieczeństwa.​ 
Ewolucja SOC: od tradycyjnych metod do nowoczesnych rozwiązań
Tradycyjne SOC opierają się na oddzielnych narzędziach, takich jak SIEM, SOAR czy EDR, które wymagają ręcznej integracji i analizy. To podejście jest jednak czasochłonne i podatne na błędy. Prowadzi bowiem do duplikacji alertów oraz opóźnień w wykrywaniu zagrożeń. Nowoczesne rozwiązania, takie jak NextGen SOC, koncentrują się na pełnej automatyzacji i konsolidacji funkcji bezpieczeństwa, co pozwala na szybsze i bardziej efektywne reagowanie na incydenty.​ 
Cortex XSIAM jako odpowiedź na współczesne potrzeby SOC 
Cortex XSIAM to platforma zaprojektowana z myślą o automatyzacji i skalowalności operacji SOC. Integruje dane z różnych źródeł, wykorzystując uczenie maszynowe do wykrywania zagrożeń i automatycznego inicjowania reakcji. Łączy funkcje XDR, analizy behawioralne oraz automatyzacje w jednym narzędziu. Eliminuje konieczność ręcznego zarządzania alertami i umożliwia zespołom bezpieczeństwa skupienie się na bardziej złożonych zadaniach.​ 
Kluczowe funkcjonalności Cortex XSIAM 
Cortex XSIAM daje organizacjom wiele istotnych korzyści: 

Konsoliduje dane i narzędzia: Platforma centralizuje różne funkcje SOC, takie jak XDR, SOAR, ASM i SIEM, w jednym rozwiązaniu, co upraszcza zarządzanie i analizę danych.​ 
Wykrywanie zagrożeń oparte na AI: Wykorzystuje modele sztucznej inteligencji do łączenia zdarzeń z różnych źródeł danych, co pozwala na dokładniejsze i szybsze wykrywanie zagrożeń na dużą skalę.​ 
Automatyzację reakcji na incydenty: Automatycznie wykonuje zadania związane z bezpieczeństwem, redukując potrzebę interwencji manualnej i przyspieszając czas reakcji na incydenty.​ 

Więcej niż SOC 
NextGen SOC, z platformą Cortex XSIAM na czele, stanowi odpowiedź na współczesne wyzwania w dziedzinie operacji bezpieczeństwa. Automatyzacja, integracja oraz wykorzystanie sztucznej inteligencji pozwalają na skuteczniejsze zarządzanie incydentami i ochronę organizacji przed rosnącą liczbą cyberzagrożeń.  

Aby dowiedzieć się więcej o praktycznym zastosowaniu tych rozwiązań, zapraszamy na śniadanie technologiczne „NextGen SOC – automatyzacja XSIAM w praktyce”, które odbędzie się 17 kwietnia. To doskonała okazja, by zrozumieć, jak nowoczesne technologie mogą usprawnić operacje SOC w Twojej organizacji.

Jak zabezpieczać aplikacje mobilne i webowe? Czy aplikacje pobierane z App Store i Google Play są bezpieczne? Jak hakerzy wykorzystują aplikacje do przejęcia danych i jak firmy powinny chronić aplikacje udostępniane użytkownikom? Na te i inne pytania odpowiada Bartłomiej Anszperger, Solution Engineering Manager CEE w F5 w kolejnym odcinku „NIEbezpiecznych rozmów”.

Szacuje się, że liczba aplikacji mobilnych dostępnych dla użytkowników przekracza dziś kilka milionów. Są wśród nich aplikacje do zamawiania jedzenia, do budzenia, do liczenia kroków, ale też do pracy, kontaktów z innymi czy do edytowania tekstów. Każdy może zbudować i zaoferować użytkownikom aplikację – mobilną i webową. Co więcej, rynek tego oczekuje. Jednak czy ilość przekłada się na jakość? Innym słowem – czy takie aplikacje, które ściągamy na telefon czy korzystamy z nich w przeglądarce na komputerze – na pewno są bezpieczne?

– Aplikacje pobrane z Google Play czy App Store na pewno są bezpieczniejsze.  Są bowiem już w jakiś sposób sprawdzone. Alternatywą jest ściągnięcie aplikacji z nieznanego źródła i zainstalowanie jej na swoim urządzeniu. W przypadku pobrania z oficjalnego sklepu wiemy, że ktoś się tej aplikacji przyjrzał, upewnił się, że ma właściwy format. Bardzo dużo da się zrobić, patrząc nawet na kod aplikacji. Są teraz też rozwiązania oparte na sztucznej inteligencji. Potrafią one poprzez analizę kodu wykrywać dodatkowy kod, który został wstrzyknięty do aplikacji. Natomiast nigdy nie mamy stuprocentowej pewności, bo po drugiej stronie pracują sprytni ludzie i oni też wiedzą, jak ten proces przebiega i potrafią się do niego dostosować – wyjaśnia Bartłomiej Anszperger w rozmowie na kanale IntegriTV.

Więcej o firmie 5F przeczytacie na stronie: https://www.f5.com/.
Aplikacje mobilne i webowe – nie tylko bezpieczeństwo
Łukasz Kopeć i Łukasz Pietrzak z Integrity Partners pytają eksperta także o inne rzeczy:

Jakie szkody może wyrządzić zainfekowana aplikacja mobilna?
Jak użytkownik może zadbać o bezpieczeństwo aplikacji?
Jak firmy powinny zabezpieczać swoje aplikacje?
Jak działają aplikacje oparte na usługach?
Czy sztuczna inteligencja może samodzielnie stworzyć aplikację?

Serdecznie zapraszamy do wysłuchania najnowszego odcinka „NIEbezpiecznych rozmów”.

 
Więcej w IntegriTV
Cyberwojna i operacje wpływu

Jak Identity Security zmienia bezpieczeństwo?

Jak zabezpieczyć swój telefon przed hakerami? Po co przestępcy atakują smartfony? Czy iOS jest bezpieczniejszy niż Android? Na te i inne pytania dotyczące ochrony urządzeń mobilnych w rozmowie na kanale IntegriTV odpowiada Yang-Giun Ro, sales engineer z firmy Zimperium.

Firmy i użytkownicy prywatni wciąż poświęcają mniej uwagi bezpieczeństwu urządzeń mobilnych niż ochronie komputerów. A to błąd. Wiele poważnych cyberataków zaczyna się od zaatakowania smartfona. Wystarczy przypomnieć case Ubera z 2022 roku. To nie wszystko.

– Z najnowszego raportu Zimperium dotyczącego zagrożeń mobilnych wynika, że 80 procent wszystkich stron phishingowych jest specjalnie zaprojektowanych dla urządzeń mobilnych. Powodem tego jest sposób, w jaki konsumujemy informacje na naszych smartfonach. Jeśli spojrzycie na telefon, zobaczycie, że pole adresu URL jest bardzo krótkie. Tak naprawdę nie można zobaczyć całego adresu URL. Dlatego tak łatwo ukryć fałszywe strony internetowe. Wystarczy trochę wiedzy z obszaru HTML. A nawet tego dziś już nie trzeba mieć. Można przecież wydać polecenie sztucznej inteligencji: „zbuduj mi stronę internetową, która wygląda jak strona DHL lub Facebooka” – mówi Yang-Giun Ro.

[caption id="attachment_6951" align="aligncenter" width="1280"] Android czy iOS Który system bezpieczniejszy[/caption]
Rozwiązania MTD i MDM
Zatem jak zabezpieczyć telefon? Firmy nie są bezsilne w walce z takimi zagrożeniami. Wspierają je między innymi rozwiązania Mobile Threat Defense. MTD chronią urządzenia mobilne (smartfony, tablety) przed różnego rodzaju zagrożeniami. Analizują aplikacje, wykrywają zagrożenia sieciowe, chronią przed phishingiem i atakami typu zero-day. Więcej na ten temat przeczytacie na stronie Zimperium.

Przydatne są także systemy MDM. Mobile Device Management to rozwiązanie, które pozwala firmom na efektywne zarządzanie wszystkich urządzeniami mobilnymi wykorzystywanymi przez pracowników i zabezpieczenie ich. Umożliwia zdalną konfigurację, monitorowanie, instalowanie aktualizacji, usuwanie danych, tworzenie kopii zapasowych czy wdrażanie polityk bezpieczeństwa.

O czym jeszcze rozmawia Yang-Giun Ro z Łukaszem Kopciem i Łukaszem Pietrzakiem z Integrity Partners?

Czy korzystanie z publicznych sieci WiFi jest bezpieczne?
W jakim celu rozwijane są sieci 5G?
Czy Google i Apple podsłuchują użytkowników telefonów?
Jak działają systemy Mobile Threat Defense?
W jaki sposób najlepiej zabezpieczyć służbowe smartfony?
Jak ochronić prywatny smartfon przed hakerami?

Firma Zimperium jest partnerem technologicznym Integrity Partners, zatem jeśli interesują Cię jej rozwiązania, skontaktuj się z nami!

Zapraszamy do oglądania i słuchania „NIEbezpiecznych rozmów”.

Kupujecie prezent na święta i kuszą Was smartwache lub „inteligentne” odkurzacze? Może okazać się, że wręczając bliskiej osobie urządzenie IoT, sprawicie jej nie przyjemność, a problem! O cyberatakach na domowe sprzęty podpięte do sieci WiFi oraz sposobach ich ochrony opowiada Joanna Wziątek-Ładosz, Senior Security Engineer w Tenable, w najnowszym odcinku „NIEbezpiecznych rozmów”.

W naszych domach jest coraz więcej urządzeń IoT, czyli sprzętów podłączonych do Internetu i komunikujących się z innymi urządzeniami i systemami. Na co dzień korzystamy ze SmartTV oraz lodówek czy robotów sprzątających sterowanych za pomocą aplikacji. Rzadko jednak myślimy o ich bezpieczeństwie. A powinniśmy, bo cyberprzestępcy atakując niezabezpieczony ekspres do kawy w wersji smart mogą dostać się do naszych komputerów i danych.

Czy zatem urządzenia IoT to dobry prezent na święta? I jak zabezpieczyć sprzęty podłączone do WiFi w naszych domach? O tym rozmawiają Łukasz Kopeć i Łukasz Pietrzak z Integrity Partners z Joanną Wziątek-Ładosz w świątecznym odcinku „NIEbezpiecznych rozmów”.

Poza tym w odcinku:

Po co instalować aktualizacje?
Czy urządzenia IoT potrzebują haseł?
Co IoT ma wspólnego ze studentami i Coca-Colą?
Jaki jest najlepszy prezent dla cyberbezpiecznika?
Czy naprawdę potrzebujemy urządzeń w wersji smart?

Zapraszamy do oglądania kanału IntegriTV!

O czym jeszcze rozmawiamy na kanale?

Cyberwojna i operacje wpływu
Jak zhakować fabrykę?
Grupy APT, deepfake i phishing
Jak Identity Security zmienia bezpieczeństwo?


Login i hasło to za mało, przekonują Magdalena Szopińska i Wojciech Wolas z CyberArk. Tym bardziej że dane bardzo wielu użytkowników już dawno wyciekły i cyberprzestępcy mają do nich swobodny dostęp. Jak się chronić? Kluczowym elementem cyberbezpieczeństwa musi być dziś cyfrowa tożsamość. Czym jest Identity Security? O tym więcej w kolejnym odcinku „NIEbezpiecznych rozmów”.

Na kanale IntegriTV eksperci z CyberArk wyjaśniają różnicę między cyfrową tożsamością a Identity Security i tłumaczą, czym jest i jak działa tożsamość maszyn.

– Nawet drukarka powinna mieć swoją tożsamość i możliwość weryfikacji tożsamości wszystkich urządzeń, z których musi pobierać jakieś wrażliwe dane. Pamiętajmy też o tym, że mając smartfona, mamy bardzo dużo różnych aplikacji, które korzystają z chmury. I te wszystkie procesy między sobą też muszą się komunikować i potwierdzać, że oprogramowanie, które ściągam, to jest oprogramowanie pochodzące z wiarygodnego miejsca, a nie podstawione przez hakerów – mówi Wojciech Wolas.

Więcej o Identity Security przeczytacie na także na naszej stronie.

Poza tym w odcinku:

– jak bezpiecznie pracować z innego kraju
– czy w przyszłości będziemy używać haseł
– dlaczego firmy nadal nabierają się na phishing
– czym jest profil ryzyka i jak go pogodzić z wygodą użytkowników

„NIEbezpieczne rozmowy” na kanale IntegriTV prowadzą Łukasz Kopeć i Łukasz Pietrzak z Integrity Partners. Oglądajcie!


Czy można zatrzymać pracę fabryki, hakując drukarkę lub kamerę przemysłową? Bezpieczeństwo OT oraz cyberataki na automatykę przemysłową są tematem nowego odcinka „NIEbezpiecznych rozmów”, dostępnych na kanale IntegriTV.

„NIEbezpieczne rozmowy” to cykl dyskusji z ekspertami na temat cyberbezpieczeństwa, chmury, sztucznej inteligencji i tożsamości cyfrowej. Prowadzą je Łukasz Kopeć i Łukasz Pietrzak z Integrity Partners.

Tym razem do rozmowy zaprosili Jarosława Chodkiewicza z GREYCORTEX, który wyjaśnił między innymi, czym są i jak działają systemy NDR i dlaczego widoczność sieci jest kluczowa w procesie ochrony technologii operacyjnej w przedsiębiorstwie.

NIS 2 a bezpieczeństwo OT
Jednym z tematów rozmowy jest dyrektywa NIS 2, która motywuje firmy do wdrażania rozwiązań z obszaru cyberbezpieczeństwa. Warto pamiętać, że już od kilku lat w całej Unii Europejskiej obowiązuje dyrektywa NIS, a w Polsce ustawa o Krajowym Systemie Cyberbezpieczeństwa. Obie są aktualnie zastępowane przez nowsze wersje.

NIS 2 zaczął obowiązywać w krajach Unii 18 października 2024 roku. W Polsce wciąż czekamy na ustawę KSC 2, które będzie implementować nową dyrektywę. Projekt pojawił się 24 kwietnia 2024 r., ale prace nad KSC 2 wciąż trwają.

Więcej o bezpieczeństwie OT oraz NIS 2 przeczytacie w artykule na naszej stronie.

Zapraszamy na IntegriTV!

Z przyjemnością informujemy, że Integrity Partners uzyskało status partnerski w programie Palo Alto Networks. Jesteśmy teraz na poziomie Platinum Innovator, co oznacza jeszcze większe możliwości dla naszych klientów. 

Aby awansować na wyższy poziom w programie partnerskim Palo Alto Networks, zespół naszych ekspertów musiał spełnić istotne wymagania. Ważne było nie tylko osiągnięcie określonych celów sprzedażowych, ale przede wszystkim uzyskanie certyfikatów poświadczających wiedzę i umiejętności.  
Nowy poziom partnerski Palo Alto Networks. Korzyści dla zespołu i dla klientów 
Dzięki udziałowi w programie partnerskim i ciągłemu podnoszeniu kwalifikacji możemy dać naszym klientom jeszcze więcej. 

Nasz zespół ma ciągły dostęp do najnowszych technologii i produktów Palo Alto. Regularnie bierze udział w szkoleniach, które pozwalają mu rozwijać wiedzę o rozwiązaniach tego producenta. Może też liczyć na priorytetowe wsparcie techniczne ekspertów Palo Alto. 
Co to oznacza dla naszych klientów? 
Wyższy poziom partnerski oznacza jeszcze ściślejszą współpracę naszego zespołu ze specjalistami Palo Alto. Dzięki temu nasi klienci zyskują: 

Szybki dostęp do najnowocześniejszych technologii zabezpieczających, które chronią przed najnowszymi zagrożeniami. 

Jeszcze efektywniej prowadzony proces wdrożeniowy wraz ze sprawną konfiguracją rozwiązań. 

Szybszą reakcję na codzienne wyzwania technologiczne i możliwość wsparcia przy skomplikowanych projektach. 

Klienci mają więc pewność, że współpracują z bardzo doświadczonym partnerem, który ma dostęp do najlepszych rozwiązań i wsparcia. A my ze swojej strony możemy zaoferować jeszcze szerszy zakres usług, w tym także profesjonalne doradztwo w zakresie bezpieczeństwa. 

Jeśli jesteście zainteresowani wdrożeniem rozwiązań Palo Alto Networks, zapraszamy do kontaktu z naszymi ekspertami.  A więcej o narzędziach tej firmy przeczytacie w naszym artykule.

Jesteś zainteresowany/a przedstawionym rozwiązaniem? Skontaktuj się z Integrity Partners – sprawdzonym integratorem rozwiązań cybersecurity, cloud i identity security.
Zarezerwuj termin w Microsoft Teams!
Napisz do nas: marketing@integritypartners.pl
 


Jak działają grupy APT i czy musimy się ich bać? Czym jest deepfake i jak się przed nim chronić? Dlaczego ciągle nabieramy się na phishing i czy cyberprzestępcy kiedykolwiek z niego zrezygnują? Czy branża cyberbezpieczeństwa poniosła porażkę w walce z zagrożeniami i jaki wpływ na to mają patoszkoleniowcy? Na te i inne pytania w drugim odcinku IntegriTV odpowiada Mateusz Ossowski z firmy Barracuda.

Świat cyberprzestępców jest dobrze zorganizowany. Jest w nim sektor prywatny, w którym chodzi przede wszystkim o wyciąganie pieniędzy od ofiar. Jest też sektor publiczny, czyli grupy działające na zlecenie rządów po to, by zaszkodzić innemu krajowi. Polska w ubiegłym roku była na 4 miejscu w Europie pod względem liczby ataków grup APT wymierzonych w państwo. Tak wynika z Microsoft Digital Defense Report.

Cyberprzestępcy w swoich działaniach używają między innymi dezinformacji, w tym deepfake’ów. Na razie deepfake to raczej ciekawostka, ale za kilka lat może zupełnie zmienić krajobraz cyberzagrożeń.

Jak odnaleźć się w świecie pełnym cyberwalki między siłami dobra i zła?

Zapraszamy serdecznie do obejrzenia podcastu.

Rozmowę prowadzą Łukasz Pietrzak i Łukasz Kopeć z Integrity Partners.

Wystartował właśnie nowy kanał na YouTube – IntegriTV, a w nim seria wywiadów z ekspertami zatytułowana „Niebezpieczne rozmowy”. Dyskutujemy o cyberbezpieczeństwie, Identity Security, sztucznej inteligencji i chmurze. W pierwszym odcinku wraz z Krzysztofem Malesą, dyrektorem ds. strategii bezpieczeństwa w Microsoft, przyglądamy się aktualnej sytuacji na świecie. Szukamy odpowiedzi na pytanie: czy jesteśmy w stanie cyberwojny i jak sobie z tym radzić.

Czym jest cyberwojna i jak wpływa na nasze cyberbezpieczeństwo? Jak zdefiniować operacje wpływu? Czy w świecie dezinformacji, operacji szpiegowskich i walk w cyberprzestrzeni Polska i biznes są bezpieczne? Krzysztof Malesa przybliża tajniki cyberwojny i wyjaśnia, jak zadbać o cyberbezpieczeństwo w życiu i w biznesie w trudnych czasach konfliktu za naszą wschodnią granicą.

To nie wszystko. Rozmawiamy także o Rządowym Centrum Bezpieczeństwa i wysyłanych przez nie SMS-ach, o powodzi, dyrektywie NIS2, kognitywistyce oraz o cyberatakach na Microsoft.

Zapraszamy do oglądania na kanale IntegriTV (YouTube) oraz na platformy podcastowe: Spotify i Apple Podcast.

Serię wywiadów w ramach kanału IntegriTV prowadzą Łukasz Pietrzak i Łukasz Kopeć z Integrity Partners.

[caption id="attachment_6972" align="aligncenter" width="1200"] Hardening od podstaw – Jak zabezpieczyć organizację[/caption]
Hardening, czy może po polsku „utwardzanie” (szczerze mówiąc wolę angielską nazwę), to w skrócie zwiększenie odporności danego systemu na włamania poprzez jego rekonfigurację. Utwardzać można zarówno systemy jak i urządzenia sieciowe, bazy danych, usługi czy stacje robocze.
Hardening – Od czego zacząć?
Oczywiście od planu. Warto zastanowić się jakie systemy chcemy hardenować, w jakiej kolejności i kiedy. Hardening zawsze dobrze jest rozpocząć od analizy ryzyka – odpowiedzmy tu sobie na pytania: które systemy są najbardziej narażone na włamania? Które systemy są kluczowe z punktu widzenia procesów biznesowych? Które systemy, w przypadku utraty integralności i dostępności niosłyby za sobą największe straty?
Potrzeba hardeningu może także wynikać z przebytego audytu zewnętrznego/wewnętrznego czy testów penetracyjnych, które wykazały istniejące podatności. Możemy mieć też potrzebę bycia zgodnymi z pewnymi standardami – dla przykładu, aby zachować zgodność z PCI-DSS musimy przeprowadzać okresowe skanowanie podatności i mitygować te, które są o wysokim priorytecie.
[caption id="attachment_6975" align="aligncenter" width="1920"] Hardening jakie rozwiązania cyberbezpieczeństwa wspierają hardening[/caption]
Jakie systemy utwardzać?
Najlepiej te, które są najbardziej krytyczne i narażone na włamania. Takimi systemami bez wątpienia są systemy, aplikacje i urządzenia, które są dostępne z Internetu. Atakujący z całego świata bez ustanku skanują Internet w poszukiwaniu udostępnionych usług. Nie muszą nawet robić tego sami – w Internecie dostępne są na bieżąco aktualizowane bazy danych, zawierające informacje na temat publicznych usług wystawionych do Internetu. Poniżej znajduje się jedna z takich usług – Shodan.

Proste zapytanie, pokazane poniżej, pozwoli nam wyszukać wszystkie usługi SSH dostępne w Polsce. I to nie tylko na domyślnym porcie 22. Muszę tutaj rozczarować fanów tzw. głębokiego ukrycia, a więc ukrywania usług na portach innych niż domyślne – wystawienie usługi na nietypowym porcie nie zabezpieczy nas przed znalezieniem naszej usługi. Jeśli atakujący jest uparty może to co najwyżej opóźnić trochę jego działania.
[caption id="attachment_1988" align="aligncenter" width="604"] Widok z konsoli shodan.io – liczba znalezionych usług SSH wystawionych do Internetu w Polsce[/caption]
 
Oprócz systemów wystawionych do Internetu warto brać także pod uwagę systemy krytyczne dla biznesu oraz te, które przechowują dane wrażliwe. Nie chcemy przecież, żeby atakujący przełamał zabezpieczenia bazy danych zawierających dane kadrowe naszych pracowników albo dostał się do systemu CRM, przechowującego dane wszystkich naszych klientów. Pamiętajmy, że atakujący może próbować uzyskać do takich systemów dostęp również z wewnątrz sieci. Jeśli jest to ktoś spoza naszej organizacji może użyć do tego stacji pośredniej (np. takiej wystawionej do Internetu, w przypadku nieprawidłowo wdrożonej segmentacji) albo stacji naszego nieświadomego pracownika – w końcu stacje użytkowników są jednym z najczęstszych źródeł ataku na organizację. Ponadto nasz pracownik może także działać świadomie na naszą szkodę – motywacja może być różna – od niezadowolenia z pracy do chęci zarobku kosztem naszej firmy.
Plan hardeningu
Nasze działania powinniśmy zaplanować. Mając już wstępną listę systemów, które warto zabezpieczyć możemy zrobić ich inwentaryzację i zaplanować ścieżkę aktualizacji. Dla przykładu mając serwer z Centos łatwiej zrobić nam będzie aktualizację do najnowszej wersji Centosa zamiast do Ubuntu. Dobrze byłoby przy tym zastanowić się, czy nasze działania nie spowodują niekompatybilności z istniejącymi usługami, które na danym hoście działają. Być może aktualizując system do najnowszej wersji sprawimy, że jakaś ważna usługa przestanie działać, bo np. jest dawno nie wspierana i nie jest z tą wersją kompatybilna.
Biorąc to pod uwagę możemy stworzyć sobie prosty arkusz, który pomoże nam zaplanować nasze prace. Poniżej znajduje się przykład takiego arkuszu.

Jest to oczywiście przykład, który zawiera bardzo podstawowe informacje i dla każdej organizacji taki arkusz może wyglądać inaczej i zawierać więcej istotnych parametrów.
Aktualizacje systemowe i oprogramowania
Każda organizacja powinna mieć tzw. politykę aktualizacji, która określa w jaki sposób realizowane jest aktualizowanie oprogramowania do nowszych wersji. Jeśli natomiast takiej polityki nie ma, lub nie jest ona przestrzegana może się zdarzyć, że mamy w swoim środowisku oprogramowanie, które jest nieaktualne i, w związku z tym, może posiadać podatności. Dlatego też myśląc o hardeningu powinniśmy wziąć pod uwagę aktualizację systemu operacyjnego do najnowszych, stabilnych wersji. To samo dotyczy usług i oprogramowania.
Oczywiście zanim przystąpimy do aktualizacji upewnijmy się, że nowe wersje będą ze sobą kompatybilne i po aktualizacji nie spowodujemy niedostępności jakichś krytycznych usług. Możemy zacząć od aktualizacji środowiska testowego, o ile takie środowisko posiadamy a dopiero później przejść do produkcji. Innym ze sposobów zabezpieczenia się przed taką ewentualnością jest wykonanie wcześniej kopii zapasowej a dopiero potem rozpoczęcie procesu aktualizacji. W razie problemów zawsze możemy wtedy odtworzyć system w oryginalnej formie i ustalić powód niedostępności po aktualizacji.
Wyłączenie zbędnych usług
Dzięki wyłączeniu zbędnych usług działających w systemie operacyjnym lub urządzeniu sieciowym efektywnie redukujemy ich powierzchnię ataku. Jeśli na przykład mamy serwer pocztowy Linux, na którym ktoś, z niewiadomych przyczyn, zainstalował kiedyś usługę NFS, pewnie powinniśmy ją odinstalować. O jedną usługę mniej do zabezpieczania, aktualizowania i utrzymywania. Dodatkową zaletą jest pozytywny wpływ na wydajność, bo te bardziej zaawansowane usługi potrafią czasami zajmować sporo miejsca w RAM i niepotrzebnie wykorzystywać cykle procesora.
Zablokowanie nieużywanych portów
Jeśli mamy jakieś usługi, których nie możemy wyłączyć może chociaż możemy zablokować do nich dostęp? Niektóre usługi są niezbędne dla prawidłowego działania systemu operacyjnego, ale niekoniecznie muszą być wystawione do sieci. Blokując do nich dostęp na zaporze sieciowej upewniamy się, że nie zostaną one wykorzystane do tzw. przemieszczania poziomego (Lateral Movement), a więc propagacji atakującego po naszej sieci.
Alternatywnie, jeśli usługa potrzebna jest tylko dla lokalnej aplikacji, możemy skonfigurować ją tak, żeby nasłuchiwała jedynie na lokalnym interfejsie loopback.
Jeśli chcemy sprawdzić jakie usługi nasłuchują na naszym systemie zarówno w systemach Linux jak i Windows możemy do tego użyć komendy „netstat”.
Odinstalowanie zbędnych programów
Niektóre programy mogą posiadać własne podatności, które pozwolą atakującemu przełamać zabezpieczenia danego hosta. Dobrym przykładem są tu stacje robocze. Zastanówmy się czy nadal potrzebujemy na stacjach roboczych zainstalowanego Flasha, skoro już od dawna jest on nie wspierany przez producenta i nie są do niego wydawane żadne aktualizacje zabezpieczeń a każdy szanujący się producent oprogramowania już dawno powinien zrezygnować z jego wsparcia.
Wyłączenie zbędnych protokołów
Protokoły sieciowe również mogą posiadać podatności. Ma to szczególne znaczenie w przypadku sprzętu sieciowego, ale może też dotyczyć serwerów czy stacji roboczych. Dla przykładu, szukając po słowie kluczowym „IPv6” na stronie MITRE możemy znaleźć sporo podatności występujących w implementacji tego protokołu. Czy rzeczywiście potrzebujemy wsparcia IPv6? Aktualnie adaptacja tego protokołu nie jest jeszcze powszechna, szczególnie w sieci LAN. Jeśli nie pracujemy jako ISP (Internet Service Provider) prawdopodobnie nie mamy potrzeby jego wspierania, tym samym, jeśli wyłączymy jego wsparcie na Access Pointach Wifi zabezpieczymy się przed znanymi i jeszcze nieznanymi podatnościami w implementacji danego vendora.
Zmiana domyślnych poświadczeń
Często urządzenia czy oprogramowanie, które kupujemy trafia do nas z zestawem domyślnych poświadczeń. Ma to szczególne znaczenie w przypadku sprzętu IoT, które czasami nie mają przypisanego swojego administratora w organizacji. Czasami też osoba, która nimi zarządza nie jest świadoma zagrożeń związanych z tymi urządzeniami. Warto jest więc upewnić się, że nasze usługi i urządzenia mają zmienione poświadczenia na inne niż domyślne. Listę przykładowych domyślnych poświadczeń możecie znaleźć poniżej.

Jeśli urządzeń mamy dużo najlepiej jest przeszukać je w poszukiwaniu domyślnych poświadczeń w sposób automatyczny. Możemy w tym celu skorzystać z darmowych dostępnych narzędzi, którymi przeskanujemy sieć i spróbujemy zalogować się do znalezionych usług domyślnymi poświadczeniami (przykładowy opis) albo możemy skorzystać z profesjonalnych, płatnych rozwiązań. Jednym z rozwiązań, które potrafi przeprowadzić taką ocenę jest Forescout, którego oferujemy w ramach naszego portfolio rozwiązań bezpieczeństwa.
Ochrona danych w spoczynku i w transmisji
Warto zadbać także o ochronę danych, zarówno w spoczynku jak i w locie. Jeśli w ramach komunikacji wysyłane są dane wrażliwe zawsze wykorzystujmy protokoły szyfrowane, co zapewni nam tajność przesyłanych danych w przypadku ich podsłuchania przez osoby niepowołane. Zamiast http używajmy HTTPS, zamiast telnetu SSH, zamiast FTP użyjmy FTPS/SFTP.
Co do danych w spoczynku szczególne znaczenie ma zabezpieczenie laptopów i innych urządzeń mobilnych. To one najbardziej narażone są na kradzież czy zgubę, zadbajmy więc o to, żeby dane przechowywane na nich były szyfrowane i to najlepiej metodą Full Disk Encryption. W środowiskach Windows najlepiej sprawdzi się tutaj wbudowany BitLocker, natomiast na systemach Linux można użyć LUKS a dla Mac OS mamy FileVault.
Skąd brać wskazówki na temat utwardzania systemów?
W dzisiejszych czasach ciężko jest być ekspertem od wszystkich systemów operacyjnych, usług, baz danych, wszystkich vendorów sieciowych i chmur obliczeniowych. Tego jest po prostu za dużo. 😊 Na szczęście nie musimy być ekspertem od wszystkiego, żeby zwiększyć poziom bezpieczeństwa naszej organizacji, niezależnie od tego z jakich rozwiązań korzysta.
Naprzeciw temu wyzwaniu wychodzą autorzy publikacji w CIS (Center of Internet Security). Udostępniają oni świetne dokumenty, zwane „CIS Benchmark”, które w prosty sposób opisują jak krok po kroku możemy przeprowadzić hardening danego rozwiązania.
Dokumenty podzielone są per system operacyjny, per usługa, per dana baza danych i pisane są przez ekspertów w swojej dziedzinie. Są łatwe do zrozumienia a każdy rozdział zawiera listę opisującą istotne ustawienia, które warto zmienić w danym systemie operacyjnym np. Windows Server 2016 czy Red Hat Linux w wersji 6. „Benchmarki” dostępne są do pobrania. Do pobrania wymagana jest jednak rejestracja. Dokumenty są dosyć obszerne (na przykład wskazówki dotyczące Windows Server potrafią mieć ponad 1000 stron), ale często są podzielone w taki sposób, żeby łatwo można było wybrać poszczególne podrozdziały, które mają znaczenie w naszej organizacji.
[caption id="attachment_1990" align="aligncenter" width="437"] Przykładowy fragment dokumentu CIS Benchmark dla Exchange 2016[/caption]
 
Oczywiście warto tutaj zauważyć, że zazwyczaj nie mamy potrzeby wprowadzać wszystkich wskazanych w tych dokumentach ustawień. Zalecenia są podzielone na kategorie istotności a także opisany jest potencjalny wpływ zastosowania danego ustawienia. Możemy więc podjąć świadomą decyzję czy daną zmianę powinniśmy wprowadzić czy nie.
Mimo, że dokumenty napisane zostały w ten sposób, żeby zrozumieć je mógł każdy specjalista bezpieczeństwa, niekoniecznie ekspert w danym systemie, na pewno powinniśmy wprowadzać opisane tam zmiany po konsultacji z lokalnym specjalistą odpowiedzialnym za dane zagadnienie w naszej organizacji. Niektóre ustawienia mogą mieć wpływ na powiązane usługi i lepiej jest dmuchać na zimne zamiast później tłumaczyć się z awarii 😊 Oczywiście przed takimi sytuacjami powinien chronić nas dobrze prowadzony proces Zarządzania Zmianą (Change Control), ale zdaję sobie sprawę, że nie każda organizacja taki proces stosuje.
Co prawda zalecenia CIS Benchmark to najlepsze praktyki i z punktu widzenia bezpieczeństwa najlepiej byłoby wdrożyć je wszystkie, ale na koniec i tak musimy patrzeć na nie przez pryzmat naszych potrzeb, polityk i procedur w naszej organizacji.
Automatyzacja procesu sprawdzania zgodności z dobrymi praktykami
Jeśli chcemy zaoszczędzić czas i szybko chcemy sprawdzić czy nasze środowisko jest zgodne z dobrymi praktykami opisanymi w CIS Benchmark może ten proces zautomatyzować.
Z pomocą przychodzi nam tutaj protokół SCAP (Security Content Automation Protocol), który pozwala na automatyczne skanowanie systemów w poszukiwaniu ustawień niezgodnych z dobrymi praktykami. Na stronie projektu OpenSCAP można pobrać narzędzia, które pozwolą nam wykonać takie skanowanie zarówno na maszynie lokalnej jak i na maszynie zdalnej, na przykład wykorzystując SCAP Workbench. W oparciu o analizę możemy później wprowadzić odpowiednie zmiany, żeby zwiększyć poziom bezpieczeństwa naszego serwera czy stacji roboczej.
[caption id="attachment_1991" align="aligncenter" width="494"] Narzędzie SCAP Workbench pozwala nam przeskanować lokalną lub zdalną maszynę pod względem zgodności z dobrymi praktykami[/caption]
 
 
Samo narzędzie jednak nie wystarczy – do skutecznej oceny stanu zgodności z dobrymi praktykami potrzebujemy też definicji reguł w formacie SCAP. Tu możemy wykorzystać na przykład darmowe repozytorium udostępnione przez NIST.
Alternatywnie swoją wersję narzędzia wraz z gotowymi regułami oferuje sama organizacja CIS – dostępna zarówno w wersji darmowej jak i płatnej CIS CAT Lite/Pro. Polecam wypróbować i sprawdzić na ile nasza stacja robocza zgodna jest z najlepszymi praktykami. Po weryfikacji otrzymujemy przejrzysty raport w HTML pokazujący wyniki naszego testu.
[caption id="attachment_1992" align="aligncenter" width="605"] Przykładowy wynik sprawdzenia stacji roboczej Windows narzędziem CIS CAT Lite[/caption]
 
Bezpieczeństwo w chmurze
Jeśli korzystamy z usług chmurowych często producenci tych środowisk udostępniają nam gotowe narzędzia automatyzujące proces „utwardzania” naszych usług, zarówno, jeśli chodzi o rozwiązania IaaS, PaaS jak i SaaS. Dla przykładu takim rozwiązaniem dla chmury Azure jest „Security Center”. Dla uzyskania wszystkich korzyści musimy posiadać wersję płatną, ale już w bezpłatnej może ona dać nam sporo wskazówek na temat tego jak zabezpieczyć nasze środowisko.
[caption id="attachment_1993" align="aligncenter" width="605"] Rekomendacje Azure Security Center[/caption]
Oczywiście Security Center ma dużo więcej możliwości, ale nie jest to tematem tego artykułu.
Utworzenie wzorca
Żeby zapewnić skalowalność naszego przedsięwzięcia dobrze jest zredukować powtarzalne procesy. Dla przykładu, jeśli planujemy utwardzić kilkanaście czy kilkadziesiąt systemów typu Centos dobrze jest zacząć od stworzenia maszyny wzorcowej. Stwórzmy jeden podstawowy obraz maszyny w postaci utwardzonej z wyłączonymi niepotrzebnymi usługami, bez zbędnych aplikacji, niepotrzebnie otwartych portów i z bezpieczną konfiguracją. Potem dla każdego nowego systemu nie musimy zaczynać od nowa a wystarczy skorzystać z istniejącego obrazu. Na tej samej zasadzie można stworzyć baseline konfiguracji urządzeń sieciowych.
Jeśli chodzi o środowiska chmurowe, często dostępne są już gotowe, utwardzone obrazy maszyn wirtualnych. Dla przykładu gotowe maszyny zgodnie z wytycznymi CIS (CIS hardened images) możemy znaleźć w poniższej tabeli.
[caption id="attachment_1994" align="aligncenter" width="605"] Gotowe obrazy maszyn wirtualnych, stworzone przez CIS[/caption]
 
Podsumowanie
Hardening, czy po polsku „utwardzanie” systemów, to proces długotrwały i wymagający dużo pracy, do którego powinniśmy podejść ostrożnie. Najlepiej byłoby, gdyby był wykonywany przez dział bezpieczeństwa w bliskiej kooperacji z działem IT oraz przy wsparciu zarządu. To w jakim stopniu utwardzimy systemy powinno wynikać z naszych potrzeb, polityk i aktualnych priorytetów. W trakcie realizacji dobrze jest postępować zgodnie z procesem Zarządzania Zmianą, który zapewni nam, że odpowiednie osoby zostaną poinformowane o zmianie i że proces w razie wystąpienia awarii będzie możliwy do odwrócenia.
Mam nadzieję, że tym artykułem przybliżyłem w skrócie na czym może polegać hardening. Jeśli potrzebujesz pomocy w realizacji podobnego przedsięwzięcia nie wahaj się skorzystać z doświadczenia profesjonalistów, jakimi są Integrity Partners.
Skontaktuj się z nami!