Bezpieczny model nie polega na całkowitym zakazie dostępu zdalnego. Polega na ograniczeniu go do konkretnych osób, urządzeń, usług i czasu oraz na możliwości szybkiego odebrania uprawnień.
1. Znajdź wszystkie ścieżki zdalnego dostępu
VPN może być tylko jedną z nich. Sprawdź publiczne RDP, porty paneli NAS, firewalle, narzędzia typu remote desktop, aplikacje producentów urządzeń, modemy LTE i konta dostawców.
2. Nie wystawiaj RDP bezpośrednio do internetu
Jeśli pulpit zdalny jest potrzebny, powinien być dostępny po VPN, ZTNA, przez kontrolowaną bramę albo inne rozwiązanie z silnym uwierzytelnianiem. Sam niestandardowy port nie jest zabezpieczeniem.
3. VPN powinien mieć MFA i indywidualne konta
- każda osoba korzysta z własnego konta;
- uprawnienia obejmują tylko potrzebne sieci i usługi;
- MFA jest wymagane dla użytkowników i administratorów;
- nieaktywne konta są automatycznie blokowane lub przeglądane;
- logi pozwalają ustalić, kto i kiedy się łączył.
4. Dostawcy nie powinni mieć stałego, niekontrolowanego dostępu
Dostęp serwisowy warto włączać na określony czas, wymagać zatwierdzenia i ograniczać do konkretnych urządzeń. Po zakończeniu prac konto lub reguła powinny być wyłączone.
5. Zadbaj o urządzenie użytkownika
Bezpieczny tunel nie chroni przed zainfekowanym laptopem. Sprawdź aktualizacje, szyfrowanie dysku, ochronę endpointu, blokadę ekranu i możliwość zdalnego odebrania dostępu.
6. Ogranicz, dokąd prowadzi zdalne połączenie
Użytkownik księgowości nie musi mieć dostępu do sieci kamer, urządzeń produkcyjnych ani panelu firewalla. Segmentacja i reguły dostępu ograniczają skutki przejęcia konta.
7. Ustal procedurę odebrania dostępu
Lista powinna obejmować konto VPN, certyfikat, token MFA, narzędzie zdalne, konto systemowe, klucze SSH i dostęp dostawcy. Sama blokada skrzynki e-mail może nie wystarczyć.
Pytania kontrolne
- Czy z internetu widać RDP, SSH, panel NAS albo firewall?
- Czy każda osoba ma indywidualne konto i MFA?
- Czy wiemy, którzy dostawcy mają stały dostęp?
- Czy można ograniczyć użytkownika do jednej aplikacji lub podsieci?
- Czy logi są przechowywane i przeglądane?
- Jak szybko można odebrać wszystkie formy dostępu?
Podsumowanie
Zdalny dostęp powinien być traktowany jak wejście do budynku: przypisany do osoby, ograniczony do potrzebnego obszaru, rejestrowany i możliwy do zamknięcia bez szukania starych haseł.
Materiały źródłowe
CISA w przewodnikach ransomware zaleca ograniczanie publicznego RDP, stosowanie MFA i bezpiecznych metod zdalnego dostępu: CISA StopRansomware Guide.