Zero Trust / artykuł premium

Zero Trust w małej i średniej firmie - od czego zacząć bez rewolucji

Zero Trust nie oznacza braku zaufania do pracowników. Oznacza brak automatycznego zaufania do konta, urządzenia i lokalizacji tylko dlatego, że znajdują się „w sieci firmowej”. W MŚP można wdrażać ten model etapowo, bez blokowania codziennej pracy.

Przez lata wiele firm budowało bezpieczeństwo wokół granicy: biuro było „wewnątrz”, Internet „na zewnątrz”. Praca zdalna, aplikacje SaaS, prywatne urządzenia i chmura sprawiły, że taka granica przestała być wystarczająca. Konto księgowej zalogowane z domowego laptopa może mieć większy wpływ na firmę niż serwer stojący w szafie rack.

Najpierw tożsamośćMFA i porządek w kontach zwykle dają największy efekt przy najmniejszym koszcie.
Mniej uprawnieńDostęp „na wszelki wypadek” jest jednym z najcichszych źródeł ryzyka.
Etapy, nie rewolucjaZero Trust można wdrażać działami i systemami, bez zatrzymywania firmy.

W artykule

  1. Co Zero Trust oznacza w praktyce
  2. Mapa dojrzałości MŚP
  3. Plan wdrożenia na 90 dni
  4. Tabela decyzji
  5. Wnioski dla właściciela firmy

Zero Trust to sposób podejmowania decyzji o dostępie

W praktyce chodzi o to, żeby każde żądanie dostępu oceniać w kontekście: kto się loguje, z jakiego urządzenia, do jakiego zasobu, z jakiej lokalizacji, z jakim poziomem ryzyka i czy dana osoba naprawdę potrzebuje tych danych. Dla małej firmy nie musi to oznaczać rozbudowanego systemu klasy enterprise. Pierwszy krok to spis kont, wymuszenie MFA, odebranie niepotrzebnych uprawnień i uporządkowanie administratorów.

Mapa dojrzałości Zero Trust w MŚP

Wykres pokazuje przykładowy priorytet działań dla firmy, która zaczyna od środowiska mieszanego: komputery pracowników, chmura plików, poczta i kilka systemów biznesowych.

MFA i polityki logowania90/100
Przegląd kont użytkowników84/100
Urządzenia i aktualizacje76/100
Segmentacja zasobów62/100
Monitoring i alerty58/100

Najwyższe wyniki mają działania, które można wdrożyć szybko i które ograniczają skutki przejęcia hasła.

Dlaczego MFA jest ważniejsze niż kolejny firewall?

Firewall nadal jest potrzebny, ale coraz więcej incydentów zaczyna się od przejęcia konta, phishingu, słabego hasła albo logowania do usługi chmurowej. Jeżeli napastnik zna hasło i nie napotyka drugiego składnika, może wyglądać jak legalny użytkownik. Dlatego ochrona tożsamości staje się pierwszą linią obrony.

Zero Trust bez spisu kont nie istnieje

Nie da się ograniczyć dostępu, jeżeli firma nie wie, jakie konta istnieją, kto jest ich właścicielem, które są administracyjne i gdzie są używane. Inwentaryzacja kont jest mniej efektowna niż nowe narzędzie, ale często ważniejsza.

Plan wdrożenia na 90 dni

Dobry plan dla MŚP powinien zaczynać się od działań, które nie dezorganizują pracy. Najpierw zabezpiecza się konta i odzyskuje widoczność. Później ogranicza uprawnienia i segmentuje zasoby. Dopiero na końcu wdraża się bardziej zaawansowaną automatyzację, warunkowy dostęp i integracje z monitoringiem.

EtapDziałanieEfektRyzyko, które spada
Dni 1-15Spis kont, administratorów i usług zewnętrznych.Firma wie, kto ma dostęp do czego.Konta osierocone i niekontrolowani administratorzy.
Dni 16-30Wymuszenie MFA dla poczty, chmury i kont uprzywilejowanych.Przejęcie samego hasła przestaje wystarczać.Phishing i credential stuffing.
Dni 31-55Przegląd grup, folderów, ról i dostępów zewnętrznych.Mniej niepotrzebnych uprawnień.Wycieki z powodu zbyt szerokiego dostępu.
Dni 56-75Podział zasobów krytycznych i reguły dostępu.Atak na jedno konto nie daje dostępu do całej firmy.Ruch boczny i eskalacja uprawnień.
Dni 76-90Alerty, logi, procedura reakcji i test odtworzenia.Firma szybciej widzi incydent i wie, co robić.Długi czas wykrycia i chaos po zdarzeniu.

Zasada najmniejszych uprawnień w praktyce

Najmniejsze uprawnienia nie oznaczają utrudniania pracy. Oznaczają, że pracownik ma dostęp do danych, których realnie potrzebuje, przez czas, w którym ich potrzebuje. Dobrze działają role działowe, dostęp czasowy do projektów i regularny przegląd uprawnień wykonywany razem z kierownikami, a nie wyłącznie przez IT.

Dobre praktyki

  • Oddzielne konta administracyjne.
  • Brak współdzielonych loginów.
  • Dostęp projektowy z datą końca.
  • Przegląd uprawnień co kwartał.

Sygnały ostrzegawcze

  • Jedno konto admina używane do wszystkiego.
  • Folder „wszyscy” z dokumentami wrażliwymi.
  • Brak procedury po odejściu pracownika.
  • Publiczne linki bez właściciela.

Segmentacja: mała firma też może ograniczyć zasięg incydentu

Segmentacja nie musi zaczynać się od skomplikowanej architektury. W małej firmie może oznaczać oddzielenie sieci gościnnej, komputerów biurowych, serwerów, systemów księgowych i backupu. Chodzi o to, aby problem na jednym laptopie nie dawał prostego dojścia do wszystkiego.

Zero Trust działa wtedy, gdy firma przestaje traktować zalogowane konto jako wystarczający dowód bezpieczeństwa.

Wniosek dla MŚP

Najlepszy start to nie wielki projekt, ale konsekwentna lista działań: MFA, spis kont, usunięcie starych dostępów, oddzielne konta adminów, ograniczenie linków publicznych, aktualizacje urządzeń, backup i podstawowy monitoring. Taki zestaw nie brzmi marketingowo, ale realnie zmniejsza powierzchnię ataku.

Źródła i punkty odniesienia: