W świecie cyberbezpieczeństwa można usłyszeć o dziesiątkach technologii, które rozwiązują wszystkie problemy jednym kliknięciem. Co więcej, ten marketing często wyznacza priorytety inwestycyjne. Prawda jest prostsza, żadne z tych systemów nie mają sensu, jeśli nie działają podstawowe mechanizmy bezpieczeństwa. Poniżej osiem rzeczy, które naprawdę robią różnicę i które możesz wdrożyć od razu, nie wydając ani złotówki.

1. Ogranicz dostęp do urządzeń administracyjnych
   W większości firm logowanie do routerów, firewalli czy przełączników jest możliwe z dowolnego miejsca w sieci. Wystarczy, że ktoś trafi na adres IP urządzenia i już próbuje się zalogować. Dostęp do konfiguracji urządzeń powinien być możliwy tylko z jednej, zaufanej sieci. Z tej, z której administrujesz infrastrukturą. To jest proste ograniczenie, nie wymaga naprawdę żadnych inwestycji.
2. Wyłącz wszystko, czego nie używasz
   Większość urządzeń ma włączone funkcje, które nie są potrzebne nikomu takie jak Telnet, HTTP, FTP, stare wersje SNMP. Każda z nich to potencjalna furtka. Zostaw tylko to, co naprawdę jest używane.
   Im mniej aktywnych usług, tym mniej możliwości ataku.
3. Oddziel użytkowników od serwerów
   To chyba najczęstszy błąd, czyli jedna sieć dla wszystkich. Jeżeli myślicie, że to dotyczy tylko mikro firm to jesteście w dużym błędzie. Nawet w sporych organizacjach brak porządnej segmentacji jest na porządku dziennym. Użytkownicy, drukarki, monitoring, a nawet systemy produkcyjne w tej samej sieci. Jedna infekcja potrafi sparaliżować całą firmę. Wystarczy logicznie rozdzielić sieć, żeby drastycznie zmniejszyć ryzyko rozprzestrzenienia się ataku.
4. Zablokuj ruch między urządzeniami końcowymi
   Użytkownicy w tej samej sieci nie muszą się nawzajem „widzieć”. To nie te czasy. Nie ma powodu, żeby komputer z biura handlowego mógł pingować laptopa w dziale finansowym. Włącz izolację klientów w Wi-Fi i na switchach. Jedna drobna zmiana, a każdy atak typu ransomware ma o wiele trudniejsze zadanie.
5. Wymuś szyfrowanie tam, gdzie się da
   Logowanie przez Telnet albo konfiguracja urządzenia przez HTTP wciąż występują. Bo tak.
   Każde hasło, które leci otwartym tekstem po sieci, prędzej czy później zostanie przechwycone.
   Zamień HTTP na HTTPS, Telnet na SSH, FTP na SFTP. To nie jest jakieś dodatkowe zabezpieczenie tylko absolutne minimum.
6. Usuń domyślne konta i hasła
   Na wielu urządzeniach do dziś działają konta admin, root albo user z hasłami ustawionymi w dniu instalacji. Każdy słyszał o wpadce admin/admin. Te domyślne hasła zna każdy, kto kiedykolwiek miał kontakt z siecią. Usuń te konta, zmień nazwy użytkowników i ustaw silne hasła. Nie wymaga to żadnych zakupów, tylko kilku minut uwagi.
7. Uporządkuj DNS
   Komputery w sieci często korzystają z przypadkowych DNS-ów i nikt nad tym nie panuje.
   To świetna droga dla ataków phishingowych i komunikacji z zainfekowanymi hostami. Ustaw wewnętrzny serwer DNS, a na firewallu zablokuj zapytania do zewnętrznych resolverów. Dzięki temu kontrolujesz, dokąd faktycznie wychodzi ruch.

8. Włącz alerty i czytaj logi
   Urządzenia często zapisują błędy i zdarzenia ale nikt ich nie przegląda. Wystarczyłoby, żeby wysłały maila przy zmianie konfiguracji, restarcie czy nieudanej próbie logowania. Zanim wdrożysz zaawansowany system monitoringu, wykorzystaj to, co już masz. Wiele incydentów można zauważyć wcześniej tylko trzeba wiedzieć, gdzie patrzeć.

Wszystkie te rzeczy można zrobić samodzielnie, z wykorzystaniem istniejącej infrastruktury. Nie wymagają budżetu ani nowego sprzętu. Wymagają jedynie chęci, świadomości i trochę czasu z dostępem do konfiguracji.

Na koniec warto zapamiętać jedną rzecz: prawdziwe bezpieczeństwo zaczyna się nie od zakupów, ale od porządku. Jeśli uporządkujesz to, co już masz, każdy kolejny krok będzie łatwiejszy, tańszy i znacznie bardziej skuteczny.