Zero Trust w małej firmie – jak zacząć?

Zero Trust w małej firmie zaczyna się od „identity-first”: MFA odporne na phishing, porządek w kontach i uprawnieniach, kontrola urządzeń oraz segmentacja dostępu do danych. To najszybsza droga, by ograniczyć skutki phishingu i przejęć kont.

Spis treści

Czym jest Zero Trust w praktyce i dlaczego „VPN = bezpieczeństwo” już nie działa?

Zero Trust to podejście, w którym nie ufasz domyślnie ani użytkownikowi, ani urządzeniu, ani sieci, nawet jeśli „jest w firmie”. Każdy dostęp jest traktowany jak potencjalnie ryzykowny i powinien być:

zweryfikowany (tożsamość, urządzenie, kontekst),
ograniczony (najmniejsze uprawnienia),
monitorowany (logi, detekcja anomalii),
egzekwowany polityką (nie uznaniowo).

W praktyce VPN daje tylko „tunel do środka”. Jeśli konto zostanie przejęte, napastnik dostaje często dokładnie to, co użytkownik. A to jest sedno problemu, bo duża część naruszeń zaczyna się od człowieka i konta. W DBIR 2024 „czynnik ludzki” pojawia się w 68% naruszeń.

Od czego zacząć Zero Trust w firmie 10–200 osób, żeby miało to sens i nie zabiło produktywności?

Najpierw zasada, którą powtarzam studentom i klientom: Zero Trust to kolejność działań, nie zakup jednego produktu.

Dla małej firmy najlepsza kolejność wygląda tak:

Tożsamość i logowanie
Urządzenia i ich stan
Uprawnienia i dostęp do aplikacji
Dane i kopie zapasowe
Monitoring i reagowanie

To jest też spójne z podejściem „filarów” w modelach dojrzałości Zero Trust.

Jak zrobić „minimum viable Zero Trust” w 30 dni?

Poniżej wersja, którą realnie da się wdrożyć w małej firmie bez wielkiego budżetu, jeśli masz sensowną kontrolę nad IT.

1) Jak uporządkować tożsamości i konta jako fundament Zero Trust?

Zrób listę: konta pracowników, konta współpracowników, konta serwisowe, konta adminów.
Wyłącz lub ogranicz konta nieużywane.
Wprowadź zasadę: osobne konto admina (nawet w małej firmie).
Wymuś silne hasła tylko jako etap przejściowy, bo docelowo i tak chcesz iść w phishing-odporne metody.

Efekt: mniej „cichych” kont, które są idealnym celem po wycieku haseł.

2) Jak wdrożyć MFA tak, żeby realnie blokowało przejęcia kont?

Dla małej firmy najlepszy start to:

MFA obowiązkowe dla poczty, VPN, paneli administracyjnych, księgowości, CRM,
preferuj metody odporne na phishing (FIDO2/WebAuthn, passkeys) dla adminów i wrażliwych ról,
ogranicz SMS i e-mail jako metodę awaryjną (to częsty wektor obejścia).

W podejściu Zero Trust MFA to nie „checkbox”, tylko warunek dostępu zależny od ryzyka.

3) Jak ogarnąć urządzenia, żeby nie wpuszczać „nieznanych laptopów” do zasobów firmy?

Zdefiniuj, które urządzenia są zarządzane firmowo.
Wymuś szyfrowanie dysków, aktualizacje, blokadę ekranu.
Ustal minimalny standard: system wspierany, aktualny, EDR/antywirus, brak uprawnień lokalnego admina „na co dzień”.

W praktyce to jest różnica między „konto przejęte” a „konto przejęte i od razu mamy ruch boczny po sieci”.

4) Jak wyciąć największy błąd: zbyt szerokie uprawnienia?

Zrób szybki przegląd: kto ma dostęp do czego i dlaczego.
Ogranicz dostęp do udziałów, paneli i danych do grup, nie do pojedynczych osób.
Wprowadź zasadę: dostęp przyznawany na podstawie roli i potrzeby, nie na podstawie „bo prosił”.

Tu Zero Trust daje natychmiastowy zwrot, bo ogranicza rozmiar szkody, nawet jeśli atak się uda.

5) Jak ustawić logi i monitoring bez budowania „mini-SOC”?

W małej firmie nie zaczynasz od SIEM za fortunę. Zaczynasz od tego, żeby w ogóle mieć ślad:

logi logowań do poczty i IdP,
logi administracyjne (zmiany uprawnień, reset MFA),
alerty o nietypowych logowaniach i masowych pobraniach danych,
prosta retencja i osoba odpowiedzialna za przegląd alertów.

Mandiant pokazuje, że medianowy dwell time w 2023 to 10 dni. To oznacza, że bez sensownych alertów atakujący potrafi być w środku „w ciszy” wystarczająco długo, by narobić szkód.

Jak wygląda praktyczny plan 30–90 dni, gdy podstawy już działają?

Jak wdrożyć dostęp warunkowy i polityki oparte o ryzyko?

Blokuj logowania z nietypowych lokalizacji, krajów, anonimowych sieci.
Wymagaj mocniejszego uwierzytelnienia przy akcjach wrażliwych (zmiana danych, eksport, operacje finansowe).
Ogranicz logowanie do paneli administracyjnych tylko z urządzeń zarządzanych.

To jest klasyczny „Zero Trust policy engine” w praktyce, tylko wdrożony pragmatycznie.

Jak ograniczyć lateral movement w sieci, jeśli masz biuro i kilka serwerów?

Segmentuj sieć: goście, IoT, komputery pracowników, serwery.
Ogranicz ruch: zasada „tylko potrzebne porty i kierunki”.
Zadbaj o to, by urządzenie użytkownika nie widziało wszystkiego „jak na dłoni”.

W małej firmie nawet prosta segmentacja często rozbraja najgorsze scenariusze ransomware.

Jak uporządkować dane, żeby Zero Trust obejmował „to co najważniejsze”?

Klasyfikuj: dane krytyczne, wrażliwe, zwykłe.
Oddziel przechowywanie danych krytycznych od codziennego „share’a”.
Wprowadź kontrolę udostępnień i linków, zwłaszcza w narzędziach chmurowych.

Jak przejść na passwordless i czy ma to sens w małej firmie?

Ma sens, ale pod warunkiem, że nie rozwalisz procesu odzyskiwania kont.

Dobre podejście:

passwordless najpierw dla ról wrażliwych (admin, finanse),
potem dla reszty organizacji,
zawsze z planem awaryjnym: co jeśli ktoś zgubi telefon, zmieni urządzenie, utraci dostęp do klucza.

Passwordless jest częścią dojrzalszego IAM, ale samo w sobie nie „robi Zero Trust”, jeśli dalej masz szerokie uprawnienia i brak segmentacji.

Jakie błędy najczęściej zabijają Zero Trust w małej firmie?

MFA włączone, ale nie wymuszone dla wszystkich krytycznych usług.
Metody awaryjne (recovery) łatwiejsze do obejścia niż MFA.
Wszyscy mają uprawnienia „bo wygodniej”.
Brak rozdziału kont admin i user.
Brak logów i odpowiedzialności za przegląd alertów.

To są rzeczy, które widzę regularnie w małych organizacjach po pierwszym incydencie.

Jak sprawdzić, czy Zero Trust faktycznie działa, a nie tylko „ładnie brzmi”?

Ustal 6 prostych mierników:

% kont z MFA oraz % kont z phishing-odpornym MFA (dla ról krytycznych),
liczba kont admin i czas używania uprawnień admin,
liczba wyjątków od polityk (i kto je akceptuje),
czas wykrycia nietypowego logowania i czas reakcji,
liczba urządzeń „niezarządzanych” z dostępem do firmowych zasobów,
liczba zasobów, do których dostęp jest publiczny lub „dla wszystkich”.

Jeśli te liczby idą w dobrą stronę, Zero Trust nie jest teorią, tylko realną zmianą ryzyka.

Źródła

NIST SP 800-207: Zero Trust Architecture: (NIST Pubs)
CISA: Zero Trust Maturity Model v2.0: (CISA)
Verizon: 2024 Data Breach Investigations Report (m.in. 68% „human element”): (Verizon)
Google Cloud / Mandiant: M-Trends 2024 (median dwell time 10 dni w 2023): (services.google.com)

Kamil

Jestem administratorem systemów i specjalistą ds. cyberbezpieczeństwa z ponad 10-letnim doświadczeniem w zarządzaniu infrastrukturą IT, serwerami Linux, usługami cloud oraz ochroną systemów produkcyjnych.
Na co dzień w ZdalnyAdmin.com.pl zajmuję się audytami bezpieczeństwa, testami penetracyjnymi, wdrożeniami SOC, hardeningiem serwerów oraz reagowaniem na incydenty bezpieczeństwa.
Pracowałem z infrastrukturą obsługującą sklepy e-commerce, systemy finansowe, aplikacje SaaS oraz środowiska o podwyższonych wymaganiach dostępności i bezpieczeństwa.
W swoich publikacjach dzielę się praktycznym doświadczeniem z zakresu cyberbezpieczeństwa, DevOps i administracji systemami — bez marketingowych uproszczeń, za to z naciskiem na realne scenariusze i obowiązujące regulacje (NIS2, DORA, ISO 27001).

Zarejestruj domenę

VPS

Hosting

Hosting reseller

Storage S3

Backup danych

Macierz dyskowa

Serwer dedykowany

Serwer GPU

Najlepsze usługi Cloud & Hosting.

Zoptymalizowane m.in. dla środowisk takich jak:

Administracja serwerami

Testy wydajnościowe

Skaner podatności

Elektroniczne Zarządzanie dokumentacją

Testy Penetracyjne

Budowa aplikacji i rozwiązań serwerowych

Usługa vCISO

Ochrona przed atakami DDoS

Administracja siecią

Audyt NIS2

Audyt DORA

Audyt MICA

Testy TLPT

Security Operations Center