Cyberbezpieczeństwo często kojarzy się z zapobieganiem. W praktyce równie ważne jest wykrywanie. Nawet dobra konfiguracja nie daje gwarancji, że nikt nie kliknie w phishing, konto nie zostanie przejęte, a złośliwy proces nie uruchomi się na komputerze. Dlatego MŚP potrzebuje widoczności: kto się loguje, co się zmienia, które kopie się nie wykonały i gdzie pojawia się nietypowa aktywność.
W artykule
Monitoring zaczyna się od zdarzeń, które mają konsekwencje
Nie każde zdarzenie wymaga alarmu. MŚP powinno zacząć od sygnałów, które mogą oznaczać realne ryzyko: logowanie administratora z nietypowej lokalizacji, wyłączenie ochrony endpoint, masowe usunięcie plików, seria nieudanych logowań, nieudany backup, nagły wzrost transferu danych, dodanie nowego konta z wysokimi uprawnieniami lub utworzenie publicznego linku do poufnego folderu.
Priorytety monitoringu w MŚP
Wykres pokazuje przykładową kolejność wdrażania monitoringu w firmie, która nie ma własnego SOC i chce ograniczyć najważniejsze ryzyka.
Najpierw warto monitorować zdarzenia o dużych konsekwencjach i niskim koszcie obserwacji: backup, administratorów, pocztę i stacje robocze.
Sygnał musi być czytelny
Za dużo alertów jest prawie tak samo groźne jak ich brak. Jeżeli skrzynka administratora otrzymuje setki powiadomień dziennie, ważny sygnał ginie w szumie. Dobra konfiguracja monitoringu oznacza progi, priorytety, grupowanie zdarzeń i opis reakcji. Alert powinien mówić: co się stało, gdzie, od kiedy, jaki jest priorytet i co należy sprawdzić.
| Zdarzenie | Priorytet | Pierwsza reakcja | Co dokumentować |
|---|---|---|---|
| Nieudany backup zasobu krytycznego | Wysoki | Sprawdzić przyczynę, uruchomić kopię ponownie, potwierdzić sukces. | Czas błędu, zasób, przyczyna, wynik ponowienia. |
| Logowanie administratora z nietypowej lokalizacji | Krytyczny | Zablokować sesję lub zweryfikować użytkownika poza kanałem logowania. | Adres IP, konto, czas, decyzja, działania zabezpieczające. |
| Masowa zmiana plików | Wysoki | Odizolować urządzenie, sprawdzić procesy i ostatnie działania użytkownika. | Zakres plików, konto, urządzenie, punkt backupu. |
| Dodanie nowego admina | Wysoki | Potwierdzić zmianę z właścicielem procesu. | Kto dodał konto, powód, czas, uprawnienia. |
| Seria nieudanych logowań | Średni/Wysoki | Sprawdzić źródło, wymusić reset hasła lub MFA challenge. | Skala, konta, źródła, podjęte działania. |
MTTD i MTTR: dwie liczby, które pokazują dojrzałość
MTTD oznacza średni czas wykrycia incydentu, a MTTR średni czas reakcji lub przywrócenia działania. Mała firma nie musi raportować tych wartości jak korporacja, ale powinna znać orientacyjne czasy. Jeżeli nieudany backup jest zauważany po tygodniu, a podejrzane logowanie po miesiącu, organizacja ma problem nie z narzędziem, lecz z widocznością.
Monitoring powinien obejmować procedurę eskalacji
Alert bez procedury jest tylko powiadomieniem. Trzeba ustalić, kto odbiera zgłoszenia po godzinach, kiedy blokować konto, kiedy odcinać urządzenie od sieci, kiedy kontaktować się z dostawcą systemu, a kiedy uruchamiać procedurę naruszenia danych. Dobrze działa krótka karta reakcji dla najczęstszych zdarzeń.
Start monitoringu
- Alerty backupu i testy kopii.
- Logowania administratorów.
- Poczta i podejrzane wiadomości.
- EDR lub podstawowa ochrona endpoint.
Dojrzały model
- Korelacja zdarzeń z wielu źródeł.
- Retencja logów dla systemów krytycznych.
- Scenariusze reakcji i ćwiczenia.
- Raport miesięczny z wnioskami.
Najgorszy monitoring to taki, którego nikt nie czyta
Narzędzia mogą generować poprawne alerty, ale jeśli nie ma właściciela reakcji, firma nadal nie wykrywa incydentów operacyjnie. Odpowiedzialność jest częścią systemu.
Monitoring bezpieczeństwa w MŚP powinien być prosty, ale konsekwentny: mniej alertów, lepsze priorytety, jasna odpowiedzialność i dokumentowane decyzje.
Wniosek praktyczny
Najlepszy pierwszy miesiąc monitoringu to nie tysiąc wykresów, lecz pięć dobrze obsłużonych sygnałów: backup, logowania administratorów, phishing, ochrona endpoint i zmiany uprawnień. Dopiero potem warto rozbudowywać logi, korelacje i automatyzację.
Źródła i punkty odniesienia:
- NIST SP 800-61 Rev. 3 - Incident Response Recommendations - rekomendacje dotyczące wykrywania, reagowania i doskonalenia obsługi incydentów.
- CERT Polska - Raport roczny 2024 - lokalny obraz zagrożeń i incydentów w polskim Internecie.
- Era Informatyki - Bezpieczeństwo - polska baza tematów o bezpieczeństwie IT, audycie, infrastrukturze, phishingu i narzędziach analizy.