Audyt bezpieczeństwa infrastruktury IT to systematyczna ocena stanu kontroli bezpieczeństwa, konfiguracji i procesów w organizacji — punkt wyjścia do budowania dojrzałej postawy bezpieczeństwa. Bez wiedzy o aktualnym stanie środowiska niemożliwe jest skuteczne priorytetyzowanie inwestycji w bezpieczeństwo ani wykazanie postępu zarządowi. Ten przewodnik opisuje krok po kroku, jak przygotować i przeprowadzić audyt bezpieczeństwa infrastruktury IT — zarówno dla administratorów planujących audyt wewnętrzny, jak i dla menedżerów IT zamawiających audyt zewnętrzny.
Czym jest audyt bezpieczeństwa infrastruktury IT
Audyt bezpieczeństwa infrastruktury IT to usystematyzowany przegląd technicznych i proceduralnych kontroli bezpieczeństwa w organizacji. Jego celem jest odpowiedź na pytanie: czy istniejące kontrole bezpieczeństwa są właściwie skonfigurowane, czy obejmują wszystkie krytyczne aktywa i czy są skuteczne w obliczu aktualnych zagrożeń?
Warto rozróżnić audyt bezpieczeństwa od powiązanych, ale różnych działań. Test penetracyjny (pentest) to próba aktywnego włamania do systemu w celu znalezienia podatności możliwych do wykorzystania — symulacja atakującego. Audyt bezpieczeństwa jest szerszy i systematyczny: obejmuje przegląd konfiguracji, procesów, dokumentacji i architektury, a nie tylko techniczne luki możliwe do aktywnego wykorzystania. Ocena ryzyka to identyfikacja i kwantyfikacja ryzyk biznesowych — audyt dostarcza danych wejściowych do oceny ryzyka, ale sam w sobie jest oceną stanu kontroli, nie ryzyk.
Wyróżniamy kilka typów audytów bezpieczeństwa infrastruktury: audyt wewnętrzny — przeprowadzany przez własny zespół IT lub bezpieczeństwa, zazwyczaj jako regularny element programu bezpieczeństwa; audyt zewnętrzny — przeprowadzany przez niezależną firmę konsultingową, zapewnia obiektywność i specjalistyczną wiedzę; audyt compliance — ocena zgodności z wymaganiami regulacyjnymi (NIS2, ISO 27001, KNF, HIPAA). W praktyce organizacje korzystają ze wszystkich trzech typów w zależności od celu i kontekstu.
Przygotowanie do audytu
Właściwe przygotowanie decyduje o jakości i efektywności audytu. Źle przygotowany audyt pochłania czas, nie dając pełnego obrazu sytuacji.
Inwentaryzacja aktywów to fundament każdego audytu — nie można ocenić bezpieczeństwa aktywów, o których nie wiemy, że istnieją. Inwentaryzacja powinna obejmować: serwery (fizyczne i wirtualne, on-premises i chmurowe), stacje robocze i urządzenia mobilne, urządzenia sieciowe (przełączniki, routery, firewalle, AP), zasoby chmurowe (subskrypcje Azure/AWS/GCP, usługi SaaS), systemy OT/ICS, jeśli mają połączenie z siecią IT. Narzędzia do automatycznej inwentaryzacji (Lansweeper, Azure Arc, Microsoft Intune) znacznie przyspieszają ten proces.
Dokumentacja — przed audytem zebierz: schematy sieci (topologia, VLAN-y, strefy firewall, połączenia zewnętrzne), strukturę Active Directory (domeny, lasy, relacje zaufania, schematy organizacyjne), przepływy danych dla systemów krytycznych (ERP, CRM, systemy finansowe), istniejące polityki bezpieczeństwa (password policy, acceptable use, incident response). Brak dokumentacji jest sam w sobie odkryciem audytu — wskazuje na problemy z zarządzaniem infrastrukturą.
Uzgodnienie z interesariuszami — przed audytem ustaw oczekiwania z kluczowymi stronami: IT (zakres techniczny, okna testowania, kontakty), zarząd (cele biznesowe audytu, forma raportu końcowego), HR i dział prawny (zasady dostępu do danych personalnych podczas audytu, procedury w przypadku znalezienia dowodów naruszeń). Dobrze przeprowadzony brief przed audytem eliminuje nieporozumienia i przyspiesza pracę.
Kluczowe obszary audytu
Kompleksowy audyt bezpieczeństwa infrastruktury IT obejmuje kilka kluczowych obszarów. Przy ograniczonym czasie lub budżecie, priorytetyzuj obszary według poziomu ryzyka dla Twojej organizacji.
Tożsamość i dostęp — ocena stanu Active Directory z użyciem Ping Castle (wynik zdrowia i lista problemów), inwentaryzacja kont uprzywilejowanych (ilu użytkowników ma Domain Admin? Czy istnieją konta serwisowe z nadmiernymi uprawnieniami?), pokrycie MFA (jaki procent użytkowników ma włączone MFA? Czy konta administracyjne mają FIDO2?), analiza nieaktywnych kont (konta pracowników, którzy odeszli; konta testowe; konta tymczasowe). BloodHound uzupełni Ping Castle o graficzną mapę ścieżek ataku w AD.
Bezpieczeństwo sieci — przegląd reguł firewall (identyfikacja nieużywanych, zbyt szerokich lub "tymczasowych" reguł), weryfikacja segmentacji sieci (czy stacje robocze są oddzielone od serwerów? Czy OT/ICS jest izolowane?), skanowanie otwartych portów i usług od strony wewnętrznej i zewnętrznej (nmap), identyfikacja usług eksponowanych na internet bez uzasadnienia.
Bezpieczeństwo endpointów — pokrycie EDR (jaki procent urządzeń ma zainstalowane i aktywne rozwiązanie EDR?), poziom aktualizacji (jaki jest średni wiek poprawek bezpieczeństwa na stacjach i serwerach?), szyfrowanie dysków (BitLocker na stacjach roboczych i laptopach), konfiguracja zasad grupowych (GPO) w kontekście bezpieczeństwa.
Backup i odtwarzanie — pokrycie backupów (czy wszystkie krytyczne systemy mają kopie zapasowe? Jaki jest harmonogram?), wyniki testów odtwarzania (kiedy ostatnio testowano odtworzenie? Jaki był RTO?), ochrona przed ransomware (czy istnieje kopia offline lub immutowalna? Czy backup jest izolowany od sieci produkcyjnej?).
Polityki i procedury — ocena dokumentacji procesów bezpieczeństwa: udokumentowany plan reagowania na incydenty (Incident Response Plan), polityka dopuszczalnego użytkowania (Acceptable Use Policy), procedury onboardingu i offboardingu pracowników (szczególnie usuwanie dostępów przy odejściu), polityka zarządzania zmianami (Change Management).
Narzędzia audytowe
Profesjonalny audyt bezpieczeństwa wymaga odpowiednich narzędzi. Poniżej zestawienie najważniejszych — zarówno bezpłatnych, jak i komercyjnych.
Ping Castle (bezpłatne) — bez wątpienia najważniejsze narzędzie do audytu Active Directory dostępne za darmo. Generuje raport w formacie HTML z oceną zdrowia AD (0-100) i priorytetyzowaną listą problemów bezpieczeństwa. Uruchamiane bezpośrednio na kontrolerze domeny lub stacji z dostępem do AD. Wynik poniżej 50 oznacza poważne problemy wymagające natychmiastowej uwagi; powyżej 85 to dobry wynik dla większości organizacji.
BloodHound (bezpłatne) — graficzne narzędzie do mapowania ścieżek ataku w Active Directory. Zbiera dane przez SharpHound (kolektor), następnie wizualizuje relacje między obiektami AD i ścieżki prowadzące do Domain Admin. Nieocenione przy identyfikacji nieoczywistych ścieżek eskalacji uprawnień. Dostępne w wersji Community (bezpłatna) i Enterprise (komercyjna).
Nmap (bezpłatne) — standardowe narzędzie do skanowania sieci i identyfikacji otwartych portów i usług. Używane do budowania mapy aktywnych hostów, identyfikacji eksponowanych usług i wykrywania nieautoryzowanych urządzeń w sieci. Skanowanie wewnętrzne z wysokimi uprawnieniami pozwala uzyskać dokładny obraz ekspozycji usług w sieci wewnętrznej.
Nessus (Tenable) / OpenVAS (bezpłatny odpowiednik) — skanery podatności, które automatycznie identyfikują brakujące aktualizacje, błędne konfiguracje i znane podatności CVE na hostach w sieci. Nessus Essentials jest dostępny bezpłatnie dla skanowania do 16 adresów IP. OpenVAS (Greenbone Community Edition) jest w pełni bezpłatny i wystarczający dla małych i średnich środowisk.
Microsoft Secure Score (bezpłatne dla M365) — wbudowane narzędzie w portalu Microsoft 365 Defender oceniające postawę bezpieczeństwa środowiska Microsoft. Dla każdego obszaru (tożsamość, urządzenia, aplikacje, dane) wskazuje konkretne akcje poprawiające wynik z szacowanym wpływem. Idealny punkt startowy dla organizacji korzystających z M365.
Narzędzia dodatkowe: Lynis (audyt bezpieczeństwa systemów Linux/Unix), CIS-CAT (ocena zgodności z benchmarkami CIS), PEASS-ng/WinPEAS (enumeracja uprawnień i ścieżek eskalacji — tylko w środowisku testowym za zgodą).
Po audycie: plan remediacji
Audyt bez planu remediacji to tylko lista problemów. Wartość audytu realizuje się dopiero wtedy, gdy wyniki prowadzą do konkretnych, mierzalnych działań naprawczych.
Priorytetyzacja wyników — każde znalezisko audytu powinno być sklasyfikowane według ryzyka: Krytyczne (natychmiastowe działanie, ryzyko pełnego przejęcia systemu lub utraty krytycznych danych), Wysokie (działanie w ciągu 7-30 dni, znaczące ryzyko), Średnie (działanie w ciągu 90 dni), Niskie (planowanie w kolejnym cyklu). Priorytet powinien uwzględniać zarówno prawdopodobieństwo eksploatacji, jak i potencjalny wpływ na działalność.
Przypisanie właścicieli — każde znalezisko musi mieć przypisaną osobę odpowiedzialną za remedię i konkretny termin realizacji. Bez właściciela i terminu, rekomendacje audytu gromadzą się w nieczytanym dokumencie PDF. Matryca RACI (Responsible, Accountable, Consulted, Informed) pomaga w przejrzystym przypisaniu odpowiedzialności.
Retesty — po wdrożeniu działań naprawczych należy zweryfikować, czy rzeczywiście rozwiązały problem. Dla krytycznych i wysokich znalezisk retesty powinny być przeprowadzone przez tego samego audytora lub przez niezależną osobę. Ping Castle powinien być uruchomiony ponownie po naprawie problemów AD, aby potwierdzić poprawę wyniku.
Raport dla zarządu — wyniki audytu muszą być przekazane zarządowi w języku biznesowym, nie technicznym. Executive summary powinno zawierać: ogólną ocenę poziomu ryzyka organizacji, trzy do pięciu najpoważniejszych znalezisk i ich potencjalny wpływ biznesowy (utrata danych, przestój operacyjny, kary regulacyjne), rekomendowane priorytety inwestycji w bezpieczeństwo z szacowanymi nakładami. Zarząd nie musi rozumieć, czym jest Kerberoasting — musi rozumieć, że "niezabezpieczone konta serwisowe umożliwiają atakującemu przejęcie pełnej kontroli nad infrastrukturą w ciągu kilku godzin i skutkować mogą przestojem produkcyjnym trwającym wiele dni".
Jak ExColo może pomóc
ExColo przeprowadza kompleksowe audyty bezpieczeństwa infrastruktury IT — od oceny architektury bezpieczeństwa, przez dogłębny audyt Active Directory z użyciem Ping Castle i BloodHound, po przegląd segmentacji sieci i stan backupów. Każdy audyt kończy się priorytetyzowanym planem remediacji z konkretnymi krokami i szacunkami nakładów.
Oferujemy kompleksowe oceny architektury bezpieczeństwa, które stanowią doskonały punkt wyjścia dla audytu IT. Jeśli potrzebujesz obiektywnej oceny stanu bezpieczeństwa swojej infrastruktury — czy to jako punkt wyjścia do programu poprawy bezpieczeństwa, czy jako przygotowanie do audytu compliance NIS2 lub ISO 27001 — zapoznaj się z naszą ofertą usług bezpieczeństwa lub skontaktuj się z nami bezpośrednio.
