Większość firm, które audytuję, ma jedną wspólną cechę infrastruktury: sieć jest płaska. Drukarka, laptop księgowej, serwer plików, kamera i telefon VoIP siedzą w tej samej podsieci i mogą się nawzajem widzieć. To wygodne w konfiguracji i katastrofalne w skutkach, kiedy dojdzie do włamania. Segmentacja sieci to podział tego jednego wielkiego pokoju na osobne pomieszczenia z drzwiami, które trzeba świadomie otworzyć.

Dlaczego płaska sieć jest problemem

Kiedy wszystkie urządzenia leżą w jednej strefie, przejęcie jednego z nich oznacza dostęp do reszty. Atakujący nie musi pokonywać kolejnych barier, bo ich po prostu nie ma. To zjawisko nazywamy ruchem bocznym (lateral movement) i to ono zamienia drobny incydent w paraliż całej firmy.

  • Jeden słaby punkt otwiera całość. Zainfekowany laptop pracownika widzi serwer plików i próbuje szyfrować udziały sieciowe.
  • Urządzenia, których nie da się załatać. Kamery, drukarki i sprzęt przemysłowy często latami działają na starym oprogramowaniu. W płaskiej sieci stają się furtką.
  • Brak kontroli, kto z kim rozmawia. Nikt nie wie, że telefon VoIP nie ma powodu łączyć się z serwerem księgowym, dopóki nie zrobi tego złośliwe oprogramowanie.

W kilku incydentach ransomware, które prowadziłem, zasięg szkód dało się przypisać wprost brakowi segmentacji. Malware wchodził na jedną stację, a potem po płaskiej sieci docierał do backupów i serwerów w kilkanaście minut. Tam, gdzie były osobne strefy, straty kończyły się na jednym dziale.

Co daje segmentacja

Segmentacja nie powstrzyma każdego ataku, ale drastycznie ogranicza jego zasięg. To różnica między pożarem jednego pokoju a spaleniem całego budynku. Konkretne korzyści są następujące.

  1. Ograniczenie ruchu bocznego. Przejęcie urządzenia w jednej strefie nie daje automatycznego dostępu do pozostałych.
  2. Ochrona zasobów krytycznych. Serwery, backupy i systemy finansowe trzymamy w osobnych, mocno kontrolowanych strefach.
  3. Izolacja urządzeń ryzykownych. Sprzęt gości, IoT i systemy bez wsparcia dostają własną strefę bez dostępu do danych firmowych.
  4. Łatwiejszy nadzór i zgodność. Jasny podział ułatwia spełnienie wymagań RODO oraz kierunku, który wyznacza wdrożenie NIS2.

Jak zabrać się za segmentację

Zacznij od inwentaryzacji

Nie da się podzielić czegoś, czego się nie zna. Pierwszym krokiem jest lista urządzeń i usług oraz odpowiedź na pytanie, kto naprawdę musi z kim rozmawiać. Zwykle okazuje się, że drukarka nie potrzebuje dostępu do serwera domeny, a kamery do niczego poza własnym rejestratorem.

Wydziel logiczne strefy

Na start wystarczy kilka rozsądnych stref, opartych o VLAN i reguły na routerze lub firewallu:

  • strefa użytkowników (laptopy i stacje robocze),
  • strefa serwerów i danych krytycznych,
  • strefa urządzeń IoT i drukarek,
  • strefa gości z dostępem wyłącznie do internetu,
  • strefa zarządzania sprzętem sieciowym.

Ustaw reguły przepływu

Domyślna zasada powinna brzmieć: blokuj wszystko, przepuszczaj tylko to, co potrzebne. Każdy dozwolony przepływ między strefami to świadoma decyzja, a nie efekt uboczny płaskiej sieci. Zaczynamy od reguł restrykcyjnych i otwieramy dokładnie te porty, których wymaga działanie firmy.

Mikrosegmentacja, czyli krok dalej

Klasyczna segmentacja dzieli sieć na strefy. Mikrosegmentacja idzie głębiej i kontroluje ruch aż do poziomu pojedynczych aplikacji i serwerów, także wewnątrz tej samej strefy. To poziom, do którego warto dążyć w środowiskach z wrażliwymi danymi, choć nie trzeba go wdrażać od pierwszego dnia. Rozsądna kolejność to najpierw solidne strefy, potem stopniowe zacieśnianie reguł tam, gdzie ryzyko jest największe.

Segmentacja świetnie łączy się z warstwą detekcji na urządzeniach. Kiedy sieć jest podzielona, a dodatkowo działają rozwiązania EDR i XDR, nietypowe próby połączeń między strefami stają się wyraźnym sygnałem, że dzieje się coś złego. Sama izolacja ogranicza szkody, a detekcja pozwala zareagować, zanim atakujący znajdzie obejście.

Segmentacja a wymagania regulacyjne

Coraz częściej podział sieci przestaje być tylko dobrą praktyką, a staje się oczekiwaniem regulatora i klienta. Audytorzy pytają wprost, jak firma ogranicza rozprzestrzenianie się incydentu, a ubezpieczyciele cyber uzależniają od tego wysokość składki. Segmentacja jest jedną z najprostszych do udokumentowania kontroli: masz diagram stref, zestaw reguł i uzasadnienie każdej z nich. To dobrze wpisuje się w podejście oparte o analizę ryzyka, w którym najpierw identyfikujesz zasoby krytyczne, a potem otaczasz je najmocniejszymi barierami. Firmy objęte nowymi obowiązkami traktują dziś segmentację jako jeden z pierwszych, tanich kroków, które wymiernie zmniejszają skutki naruszenia.

Ile to kosztuje

Dobra wiadomość jest taka, że segmentacja w podstawowym zakresie rzadko wymaga nowego sprzętu. W większości firm switche zarządzalne i firewall już obsługują VLAN oraz reguły przepływu, tylko nikt z tego nie korzysta. Koszt to głównie czas na inwentaryzację, projekt stref i konfigurację, a nie zakupy. Dopiero mikrosegmentacja czy pełne oddzielenie środowisk produkcyjnych bywa inwestycją w dodatkowe narzędzia. Dlatego warto zacząć od tego, co masz, i rozbudowywać model stopniowo, w tempie dopasowanym do realnego ryzyka.

Najczęstsze błędy

  • Reguła zezwól wszystko między strefami. Segmentacja istnieje wtedy tylko na papierze.
  • Brak strefy dla gości i IoT. To najczęściej najsłabsze urządzenia w firmie.
  • Zapomniany dostęp administracyjny. Panele zarządzania switchami i firewallami wystawione do sieci użytkowników.
  • Segmentacja bez dokumentacji. Po roku nikt nie pamięta, dlaczego dana reguła istnieje i czy można ją usunąć.

Segmentacja to jedna z tych inwestycji, które nie robią wrażenia na prezentacji, a ratują firmę w dniu incydentu. Jeśli Twoja sieć wciąż jest płaska, dobrym punktem wyjścia jest przegląd tego, co i z czym się dziś łączy. Chętnie pomożemy zaprojektować podział stref i reguły, które pasują do tego, jak naprawdę pracuje Twoja firma.