Większość incydentów w małych i średnich firmach nie bierze się z genialnych ataków. Bierze się z rzeczy, których nikt nie zrobił. Brak MFA, backup podłączony na stałe, konto byłego pracownika wciąż aktywne. Ta checklista porządkuje podstawy tak, żebyś mógł je po kolei sprawdzić i domknąć.
Konta i dostęp
To pierwsza rzecz, którą przejmuje atakujący, więc od niej zaczynamy.
- Włączone MFA dla wszystkich kont, a nie tylko dla administratorów.
- Konta imienne zamiast współdzielonych, żeby dało się ustalić, kto co zrobił.
- Uprawnienia nadane według zasady minimalnego dostępu, bez rozdawania roli administratora na zapas.
- Procedura odbierania dostępu w dniu odejścia pracownika.
- Regularny przegląd kont, przynajmniej raz na kwartał.
Najczęstsza dziura, jaką znajduję przy audytach, to aktywne konto osoby, która odeszła pół roku temu. Ono nie ma właściciela, nikt go nie pilnuje, a nadal działa.
Urządzenia i aktualizacje
Sprzęt bez łatek to otwarte drzwi, przez które wchodzi się bez hałasu.
- Automatyczne aktualizacje systemów i aplikacji, z kontrolą, czy faktycznie się wgrywają.
- Szyfrowanie dysków w laptopach, żeby zgubiony sprzęt nie oznaczał wycieku danych.
- Ochrona antywirusowa lub warstwa EDR na stacjach roboczych i serwerach.
- Wycofanie z użycia systemów bez wsparcia producenta.
Co z prywatnymi urządzeniami
Jeśli pracownicy czytają pocztę na prywatnych telefonach, ustal minimalne zasady: blokada ekranu, aktualny system, możliwość zdalnego wymazania danych firmowych. Bez tego dane wychodzą z firmy w kieszeni.
Poczta i sieć
Poczta to nadal najczęstszy kanał ataku, głównie przez phishing.
- Skonfigurowane SPF, DKIM i DMARC, żeby ograniczyć podszywanie się pod firmę.
- Filtrowanie treści i załączników na wejściu.
- Filtrowanie DNS, które blokuje wejście na złośliwe domeny.
- Sieć podzielona tak, żeby gość i drukarka nie były w tym samym segmencie co serwery.
Kopie zapasowe
Backup to ostatnia linia obrony, więc musi działać naprawdę.
- Kopie w modelu 3-2-1, z jedną kopią odseparowaną lub niezmienną.
- Objęcie backupem także danych z Microsoft 365 lub Google Workspace.
- Regularny test odtwarzania, a nie tylko sprawdzenie, czy zadanie się wykonało.
- Ustalone RTO i RPO dla danych krytycznych.
Ludzie i procedury
Technologia nie pomoże, jeśli ktoś kliknie w link i poda hasło na fałszywej stronie.
- Krótkie, regularne szkolenia z rozpoznawania phishingu.
- Jasna ścieżka zgłaszania podejrzanych wiadomości i incydentów.
- Spisana procedura na wypadek ataku, z numerami telefonów i kolejnością działań.
- Wyznaczona osoba lub firma, która wie, co robić, gdy coś się wydarzy.
Jak z tego korzystać
Nie musisz odhaczyć wszystkiego naraz. Zacznij od kont i backupu, bo tu leży najwięcej ryzyka przy najmniejszym koszcie. Potem urządzenia, poczta, ludzie. Raz na kwartał wróć do listy i sprawdź, co się zmieniło, bo firma i zagrożenia nie stoją w miejscu.
Jeśli chcesz mieć pewność, że nic nie zostało pominięte, warto przejść przez to z kimś z zewnątrz. Zobacz, jak wygląda audyt bezpieczeństwa IT, albo powierz codzienne pilnowanie tych punktów w ramach obsługi informatycznej firm. Lepiej odhaczyć listę spokojnie teraz niż w trakcie incydentu.