02 Przykładowy projekt "Moje Cyberbezpieczeństwo" - moojpanie/CyberPodstawy GitHub Wiki

Opis Organizacji/Użytku Domowego:

Jestem właścicielem małej firmy z 10 pracownikami. Wszyscy pracujemy zdalnie i korzystamy z różnych urządzeń, takich jak komputery, laptopy, smartfony i tablety. Komunikujemy się za pomocą e-maili i narzędzi do wideokonferencji, a nasze dane są przechowywane w chmurze. Nasza firma działa w branży IT, więc bezpieczeństwo cybernetyczne jest dla nas kluczowe.

Analiza Ryzyka:

  1. Phishing: Phishing to technika, którą hakerzy używają do wyłudzania poufnych informacji, takich jak hasła i dane karty kredytowej, poprzez podszywanie się pod zaufane strony internetowe lub e-maile. Ryzyko może być zminimalizowane poprzez szkolenie pracowników, jak rozpoznać próby phishingu, oraz przez stosowanie zaawansowanych filtrów antyspamowych i oprogramowania antywirusowego.

  2. Ataki Ransomware: Ransomware to typ złośliwego oprogramowania, które szyfruje pliki na komputerze ofiary i żąda okupu za ich odszyfrowanie. Regularne tworzenie kopii zapasowych danych i utrzymanie aktualnego oprogramowania antywirusowego może znacznie zmniejszyć ryzyko.

  3. Ataki Man-in-the-Middle: Ataki Man-in-the-Middle polegają na przechwytywaniu i potencjalnym modyfikowaniu komunikacji między dwoma stronami bez ich wiedzy. Stosowanie szyfrowania, takiego jak HTTPS i VPN, może pomóc zabezpieczyć dane przesyłane przez sieć.

  4. Ataki na hasła: Hakerzy często próbują odgadnąć hasła do systemów poprzez ataki siłą brutto lub korzystając z list haseł wykradzionych z innych źródeł. Stosowanie silnych, unikalnych haseł i dwuetapowej weryfikacji może znacznie zmniejszyć to ryzyko.

  5. Ataki DDoS: Ataki DDoS polegają na zasypywaniu serwisu ogromną ilością ruchu sieciowego w celu jego wyłączenia. Odpowiednie zabezpieczenia sieciowe, takie jak firewalle i systemy zapobiegania intruzjom, mogą pomóc w obronie przed takimi atakami.

  6. Ataki na oprogramowanie: Hakerzy często wykorzystują luki w oprogramowaniu do uzyskania nieautoryzowanego dostępu do systemów. Regularne aktualizacje i łatanie oprogramowania jest kluczowe dla minimalizacji tego ryzyka.

  7. Ataki na urządzenia mobilne: Urządzenia mobilne są często celem ataków, ponieważ mogą zawierać wiele cennych informacji i często są mniej zabezpieczone niż komputery stacjonarne. Stosowanie oprogramowania antywirusowego na urządzeniach mobilnych i regularne aktualizacje systemów operacyjnych może pomóc zabezpieczyć te urządzenia.

Polityki Bezpieczeństwa:

  1. Polityka haseł: Wszyscy pracownicy muszą stosować silne, unikalne hasła, które zawierają co najmniej 12 znaków, w tym litery, cyfry i znaki specjalne. Hasła muszą być regularnie aktualizowane co 60 dni. Nie jest dozwolone używanie tych samych haseł na różnych platformach.

  2. Polityka aktualizacji oprogramowania: Wszystkie urządzenia muszą być zabezpieczone najnowszym oprogramowaniem antywirusowym i systemem operacyjnym. Aktualizacje muszą być instalowane jak najszybciej po ich wydaniu. Pracownicy muszą zrozumieć, że opóźnienie w instalacji aktualizacji może narazić systemy na ryzyko.

  3. Polityka kopii zapasowych: Regularne kopie zapasowe danych są obowiązkowe. Kopie zapasowe powinny być tworzone co najmniej raz na tydzień i przechowywane w bezpiecznym miejscu. W przypadku utraty danych, firma powinna być w stanie szybko przywrócić dane z kopii zapasowej.

  4. Polityka dostępu do sieci: Dostęp do sieci firmy jest ograniczony tylko do autoryzowanych użytkowników. Wszelkie próby nieautoryzowanego dostępu są monitorowane i zgłaszane.

  5. Polityka bezpieczeństwa e-maili: Pracownicy muszą być świadomi ryzyka związanego z phishingiem i innymi atakami przeprowadzanymi za pomocą e-maili. Wszelkie podejrzane e-maile powinny być natychmiast zgłaszane.

  6. Polityka bezpieczeństwa urządzeń mobilnych: Jeśli pracownicy korzystają z urządzeń mobilnych do dostępu do sieci firmy, te urządzenia muszą być zabezpieczone odpowiednimi środkami, takimi jak szyfrowanie, blokada ekranu i zdalne kasowanie danych.

  7. Polityka szkolenia z zakresu bezpieczeństwa: Wszyscy pracownicy muszą regularnie uczestniczyć w szkoleniach z zakresu bezpieczeństwa, które obejmują najnowsze zagrożenia i najlepsze praktyki.

Zarządzanie Tożsamością i Dostępem:

Wszyscy pracownicy muszą korzystać z dwuetapowej weryfikacji podczas logowania do naszych systemów. Dostęp do wrażliwych danych jest ograniczony tylko do osób, które naprawdę go potrzebują. Wykorzystujemy zaawansowane narzędzia do zarządzania tożsamością i dostępem, aby zapewnić, że tylko uprawnione osoby mają dostęp do naszych systemów.

Bezpieczeństwo Sieci:

  1. Firewall i IDS/IPS: Wszystkie punkty wejścia do naszej sieci są chronione za pomocą firewalli, które są skonfigurowane do blokowania nieautoryzowanego dostępu. Dodatkowo, systemy wykrywania i zapobiegania intruzjom (IDS/IPS) są używane do monitorowania i analizy ruchu sieciowego w celu wykrywania podejrzanych aktywności.

  2. Sieć VPN: Zalecamy korzystanie z sieci VPN podczas korzystania z publicznych sieci Wi-Fi. VPN tworzy bezpieczny tunel dla ruchu sieciowego, co pomaga chronić dane przed przechwytywaniem.

  3. Bezpieczeństwo Wi-Fi: Nasze sieci Wi-Fi są zabezpieczone za pomocą silnego szyfrowania (WPA2 lub WPA3). Dodatkowo, stosujemy segregację sieci, aby oddzielić ruch gości od ruchu biznesowego.

  4. Kontrola dostępu do sieci (NAC): Stosujemy polityki NAC, aby upewnić się, że tylko autoryzowane urządzenia mają dostęp do naszej sieci. Każde urządzenie musi być zarejestrowane i zgodne z naszymi politykami bezpieczeństwa, zanim uzyska dostęp do sieci.

  5. Segregacja sieci: Nasza sieć jest podzielona na segmenty, aby ograniczyć rozprzestrzenianie się ataków. Krytyczne systemy i dane są izolowane w osobnych segmentach sieci.

  6. Monitorowanie i audyt sieci: Regularnie monitorujemy ruch sieciowy i logi systemowe, aby wykrywać niezwykłe wzorce aktywności, które mogą wskazywać na atak. Przeprowadzamy również regularne audyty bezpieczeństwa sieci, aby upewnić się, że nasze zabezpieczenia są na najwyższym poziomie.

  7. Aktualizacje i łatanie: Wszystkie urządzenia sieciowe, takie jak routery, przełączniki i serwery, są regularnie aktualizowane i łatane, aby zapewnić, że są chronione przed znanymi lukami bezpieczeństwa.

  8. Plan reagowania na incydenty sieciowe: Mamy na miejscu plan reagowania na incydenty sieciowe, który określa, jak należy reagować na różne typy incydentów sieciowych, takie jak ataki DDoS, naruszenia bezpieczeństwa i awarie sieci.

Plan Reagowania na Incydenty:

  1. Identyfikacja: Pierwszym krokiem jest identyfikacja incydentu. Może to obejmować monitorowanie systemów i sieci w poszukiwaniu niezwykłych aktywności, analizę raportów z systemów IDS/IPS lub zgłoszenia od użytkowników.

  2. Ocena: Po zidentyfikowaniu potencjalnego incydentu, następnym krokiem jest jego ocena. To obejmuje ustalenie skali incydentu, jakie systemy są dotknięte, jakie dane mogły zostać skompromitowane i jaki jest potencjalny wpływ na organizację.

  3. Zawieszenie: Gdy incydent jest oceniany, następnym krokiem jest podjęcie działań w celu zawieszenia incydentu i zminimalizowania dalszych szkód. To może obejmować odłączenie dotkniętych systemów od sieci, zablokowanie określonego ruchu sieciowego lub zastosowanie łatek bezpieczeństwa.

  4. Śledztwo: Po zawieszeniu incydentu, przeprowadzane jest śledztwo w celu ustalenia, jak doszło do incydentu, jakie były jego przyczyny i jak można go było uniknąć. To może obejmować analizę logów systemowych, przeglądanie zapisów audytu i przeprowadzanie wywiadów z użytkownikami.

  5. Naprawa: Po zakończeniu śledztwa, dotknięte systemy są naprawiane i przywracane do normalnej działalności. To może obejmować odzyskiwanie danych z kopii zapasowych, reinstalację oprogramowania lub wymianę skompromitowanych urządzeń.

  6. Lekcje: Po każdym incydencie, ważne jest, aby wyciągnąć z niego lekcje. To może obejmować aktualizację polityk bezpieczeństwa, przeprowadzenie dodatkowych szkoleń dla użytkowników lub wprowadzenie dodatkowych środków bezpieczeństwa.

  7. Komunikacja: Komunikacja jest kluczowym elementem każdego planu reagowania na incydenty. Informacje o incydencie powinny być komunikowane w odpowiedni sposób, zarówno wewnątrz organizacji, jak i na zewnątrz (jeśli to konieczne), zgodnie z obowiązującymi przepisami i politykami firmy.

Edukacja i Świadomość:

Wszyscy pracownicy przechodzą regularne szkolenia z bezpieczeństwa cybernetycznego. Szkolenia te obejmują identyfikację prób phishingu, bezpieczne praktyki online i najnowsze zagrożenia cybernetyczne. Uważamy, że edukacja jest kluczowym elementem naszej strategii bezpieczeństwa, dlatego inwestujemy w regularne szkolenia i aktualizacje dla naszych pracowników.