Dobra, weźmy sobie dziś na tapetę Bezpieczeństwo infrastruktury IT to temat, który może na początku wydawać się skomplikowany dla zwykłego administrator IT. Ale nie martw się, dziś postaram się to uprościć i pokazać krok po kroku, jak podejść do audytu bezpieczeństwa twojej infrastruktury.
Audyt to rodzaj przeglądu, który pozwala ocenić, jakie zagrożenia mogą wystąpić w naszej infrastrukturze IT i co należy poprawić, aby zapewnić maksymalne bezpieczeństwo. To ważne nie tylko dla dużych firm, ale także dla małych przedsiębiorstw i osób prywatnych, które przechowują istotne dane. Zacznijmy od podstaw i przejdźmy przez każdy krok w sposób zrozumiały i przystępny.
Pierwszy krok w audycie to zrozumienie, co w ogóle chcemy chronić. Warto przygotować inwentaryzację wszystkich urządzeń, serwerów, aplikacji, sieci i oprogramowania, jakie posiadamy. Może to obejmować komputery pracowników, serwery przechowujące dane, routery, przełączniki sieciowe oraz aplikacje, z których korzystamy na co dzień. Nie trzeba od razu korzystać z zaawansowanych i drogich narzędzi, wystarczy nawet prosty arkusz kalkulacyjny, w którym zanotujemy, co mamy, gdzie jest zainstalowane, i kto jest za to odpowiedzialny. Dzięki temu będziemy wiedzieć, jakie elementy składają się na naszą infrastrukturę i które z nich mogą wymagać uwagi. Warto też pomyśleć o elementach, które mogą wydawać się niepozorne, ale wciąż są częścią infrastruktury. Na przykład drukarki sieciowe, systemy do wideokonferencji, kamery CCTV a nawet urządzenia IoT, takie jak inteligentne termostaty, wszystko to może stanowić potencjalne słabe ogniwo. Im dokładniej zidentyfikujemy nasze zasoby, tym łatwiej będzie je skutecznie zabezpieczyć.
Zrozumienie Zagrożeń.
Każdy element infrastruktury może być narażony na inne rodzaje zagrożeń. Przykładowo, komputer pracownika będzie narażony na ataki phishingowe próby wyłudzenia danych, a serwer na ataki typu ransomware czyli szyfrowanie danych i żądanie okupu. Ważne jest, aby zrozumieć, jakie zagrożenia mogą dotyczyć poszczególnych zasobów.Zrozumienie zagrożeń to nie tylko kwestia techniczna, to także edukacja użytkowników. Pracownicy powinni wiedzieć, jakie są zagrożenia związane z nieostrożnym klikaniem w podejrzane linki w e-mailach. Nawet najlepsze zabezpieczenia techniczne nie zadziałają, jeśli użytkownik przypadkowo zainstaluje złośliwe oprogramowanie, klikając w fałszywy link. Można miliony wydać na zabezpieczenia, magiczne skrzynki „All in one” a i tak na końcu problemem jest czynnik białkowy między krzesłem a komputerem.
Jeśli jesteś początkujący i jako administrator IT nie zajmowałeś sie wcześniej tematem bezpieczeństwa… Warto skorzystać z list zagrożeń dostępnych online, takich jak OWASP Top 10 która dotyczy zagrożeń w aplikacjach webowych, albo poczytać o popularnych wirusach i metodach ataków. Warto również śledzić strony poświęcone cyberbezpieczeństwu, które regularnie publikują informacje o nowych zagrożeniach. Dzięki temu będziemy świadomi aktualnych technik używanych przez cyberprzestępców.
Określenie Ryzyka.
OK! Dobra, zajmijmy się teraz określeniem ryzyka. Gdy już wiemy, jakie zagrożenia mogą nas dotyczyć, czas na określenie poziomu ryzyka. Ryzyko to połączenie dwóch rzeczy: prawdopodobieństwa, że coś się wydarzy, i konsekwencji, jakie będzie to miało. Przykład: Jeśli komputer używany do zabawy przez dzieci nie jest dobrze chroniony, ryzyko jest raczej małe, bo nawet jeśli dojdzie do infekcji, konsekwencje nie będą dramatyczne. Ale już w przypadku serwera, który przechowuje dane klientów, poziom ryzyka jest bardzo wysoki.Najprostszym sposobem oceny ryzyka jest nadanie wartości poszczególnym elementom, np. od 1 do 5, gdzie 1 oznacza niskie ryzyko, a 5 wysokie. Dzięki temu zyskujemy ogólny obraz, które elementy naszej infrastruktury wymagają pilnej uwagi. Warto też pomyśleć o tworzeniu mapy ryzyka, która pomoże wizualnie zobrazować, które zasoby są najbardziej narażone i jakie działania powinny być priorytetowe.
Sprawdzenie Aktualnych Zabezpieczeń.
Kiedy już zrozumieliśmy jakie na nas czekają zagrożenia oraz określiliśmy ryzyko ich wystąpienia w naszej infrastrukturze, możemy zacząć przechodzić do sprawdzania aktualnych zabezpieczeń.
Warto teraz sprawdzić, jakie zabezpieczenia już mamy i czy działają prawidłowo. Czy używamy antywirusa i czy jest aktualny? Czy mamy skonfigurowane kopie zapasowe i czy działają? Czy nasze hasła są wystarczająco mocne? Przykładem może być sprawdzenie, czy hasła do serwerów są skomplikowane czy zawierają cyfry, litery i znaki specjalne, a nie np. “dupa1” i NIE zmieniamy hasłem co 3mc!!! A najlepiej to zacząć korzystać z managera haseł !!! oraz 2 factor authentication.
Jeżeli korzystamy z sieci bezprzewodowej, należy sprawdzić, czy jest ona odpowiednio zabezpieczona, warto zmienić domyślne hasło i login oraz ustawić odpowiedni typ szyfrowania, jak WPA3 a jeśli nie posiadasz WAP3 to wybierz wybierz WPA2-PSK (AES). Unikaj starszych standardów, takich jak WEP lub WPA, które są podatne na ataki. Również należy upewnić się, że nasze urządzenia są na bieżąco aktualizowane – często luki w zabezpieczeniach wynikają z przestarzałego oprogramowania, które nie zostało zaktualizowane na czas.
Testowanie naszej infrastruktury.
Kiedy już mamy te wszystkie kroki za sobą. Kolejnym krokiem jest przetestowanie naszych zabezpieczeń. Możesz na początek spróbować prostych testów, jak np. zeskanowanie swojej sieci narzędziem takim jak Nmap, aby zobaczyć, jakie usługi są widoczne z zewnątrz oraz wewnątrz. Innym przykładem może być skorzystanie z narzędzi takich jak OpenVAS,Nessus,Wazuh.które pozwalają sprawdzić, czy twoja infrastruktura ma podatności na typowe ataki. Warto też pomyśleć o tzw. testach socjotechnicznych sprawdzeniu, jak pracownicy reagują na potencjalne zagrożenia. Czy wiedzą, jak postąpić, gdy otrzymają podejrzany e-mail? Czy zgłaszają incydenty do działu IT? Przede wszystkim pracownicy nie mogą sie bać działu IT, oraz nie mogą być, karani czy stygmatyzowani po takich testach kiedy okaże sie że dali sie zapłać!!! Pracownicy powinni mieć zaufanie do działu IT a w ten sposób uda nam sie zminimalizować wektor ataku jakim jest socjotechnika i fałszywe maile.
Na koniec warto przygotować plan działania, co należy poprawić. Może to być lista rzeczy do zrobienia, jak np.:
- Zmiana prostych haseł na bardziej skomplikowane.
- Aktualizacja oprogramowania.
- Segmentacja sieci.
- Wdrożenie kopii zapasowych (i ich regularne testowanie !!!).
- Przeprowadzenie szkoleń dla pracowników na temat bezpieczeństwa.
Warto podzielić ten plan na kroki, które są wykonalne i priorytetyzować je w zależności od ryzyka. Na przykład: wdrożenie mocnych haseł i aktualizacji oprogramowania powinno mieć wyższy priorytet niż optymalizacja wydajności. Regularne szkolenia z zakresu bezpieczeństwa także mogą znacząco wpłynąć na poprawę bezpieczeństwa – im bardziej świadomi są użytkownicy, tym trudniej jest cyberprzestępcom znaleźć słabe ogniwo.
Audyt bezpieczeństwa infrastruktury IT nie musi być skomplikowany. Ważne jest, żeby zacząć od podstaw – inwentaryzacji zasobów, zrozumienia zagrożeń, oceny ryzyka i sprawdzenia aktualnych zabezpieczeń. Następnie można przeprowadzić testy i stworzyć plan poprawy. Nawet podstawowe kroki mogą znacząco poprawić poziom bezpieczeństwa i zapobiec poważnym problemom w przyszłości.
Warto pamiętać, że audyt bezpieczeństwa to nie jednorazowe zadanie, ale proces, który powinien być regularnie powtarzany. Świat technologii zmienia się szybko, a cyberprzestępcy ciągle szukają nowych sposobów na złamanie zabezpieczeń. Dlatego audyty warto przeprowadzać co najmniej raz na kwartał, a dodatkowo reagować na nowe zagrożenia, jak tylko się pojawią.