Ransomware pozostaje największym zagrożeniem finansowym dla organizacji w 2026 roku. Kluczowym czynnikiem decydującym o skali szkód nie jest metoda wejścia do sieci, lecz zdolność atakującego do swobodnego przemieszczania się po środowisku wewnętrznym. Mikrosegmentacja sieci bezpośrednio adresuje ten problem — ograniczając zasięg ataku do pojedynczego workloadu lub segmentu zamiast pozwalać ransomware na zaszyfrowanie całego środowiska.
Jak ransomware przemieszcza się po sieci
Nowoczesne ataki ransomware nie są zdarzeniami jednorazowymi — to wieloetapowe operacje, które mogą trwać od kilku dni do kilku tygodni. Anatomia typowego ataku wygląda następująco: uzyskanie dostępu początkowego (przez phishing, exploit publicznej usługi lub skompromitowane dane logowania), eskalacja uprawnień, rozpoznanie środowiska, ruch boczny (lateral movement), eksfiltracja danych, a dopiero na końcu szyfrowanie.
Techniki ruchu bocznego stosowane przez grupy ransomware są dobrze udokumentowane w bazie MITRE ATT&CK. Najczęściej stosowane to: PsExec i WMI do zdalnego uruchamiania procesów na innych hostach, RDP (Remote Desktop Protocol) do bezpośredniego dostępu do systemów Windows, SMB share enumeration i dostęp do udziałów sieciowych, Pass-the-Hash — ponowne użycie skradzionych skrótów haseł NTLM bez znajomości oryginalnego hasła, oraz Kerberoasting — ataki na konta usługowe Active Directory w celu uzyskania poświadczeń domenowych.
Kluczowy jest czas trwania ataku przed szyfrowaniem. Według danych Mandiant i CrowdStrike średni czas przebywania atakującego w sieci przed uruchomieniem szyfrowania wynosi 4–5 dni. W tym czasie atakujący mapują sieć, identyfikują systemy kopii zapasowych (aby je zaszyfrować lub zniszczyć w pierwszej kolejności) i kompromitują konta administracyjne. Organizacje bez segmentacji sieci nie mają żadnej technicznej bariery spowalniającej ten proces.
Dlaczego tradycyjna segmentacja nie wystarcza
Tradycyjna segmentacja sieciowa oparta na VLAN jest niewystarczająca z kilku powodów fundamentalnych dla architektury tego rozwiązania. VLAN-y ograniczają ruch między segmentami na poziomie sieci, ale ruch wschód-zachód (east-west) wewnątrz jednego VLANu jest całkowicie nieograniczony. Jeśli stacja robocza użytkownika i serwer plików należą do tego samego VLAN HR, zainfekowana stacja ma bezpośredni dostęp do wszystkich zasobów na serwerze plików.
Zapory ogniowe perymetryczne (perimeter firewalls) chronią granicę między siecią wewnętrzną a zewnętrzną, ale nie inspekcjonują ruchu bocznego między hostami wewnętrznymi. Atakujący, który uzyskał dostęp do jednej stacji roboczej przez phishing, operuje całkowicie poza zasięgiem zapory perymetrycznej — może swobodnie komunikować się z innymi systemami w sieci wewnętrznej.
Ograniczenia tradycyjnej segmentacji są szczególnie widoczne w kontekście ataków na systemy OT (Operational Technology) lub środowiska hybrydowe łączące sieć lokalną z chmurą. Reguły firewall oparte na adresach IP są kruche — adresy IP zmieniają się, maszyny wirtualne migrują między hostami, kontenery uruchamiają się z dynamicznymi adresami. Polityki bezpieczeństwa oparte na lokalizacji sieciowej nie nadążają za dynamicznym środowiskiem.
Czym jest mikrosegmentacja
Mikrosegmentacja to podejście do bezpieczeństwa sieci, w którym kontrole dostępu są stosowane na poziomie poszczególnych workloadów (maszyn wirtualnych, kontenerów, procesów), a nie całych segmentów sieciowych. Kluczowa różnica polega na tym, że polityki bezpieczeństwa są powiązane z tożsamością workloadu, a nie z jego lokalizacją sieciową — adresem IP czy VLAN-em.
W praktyce oznacza to, że każdy workload może komunikować się tylko z jawnie dozwolonymi partnerami komunikacyjnymi, niezależnie od jego miejsca w topologii sieci. Domyślną zasadą jest odmowa dostępu (default deny) dla wszystkich przepływów komunikacji, które nie są explicite dozwolone w polityce. Takie podejście jest zgodne z zasadą najmniejszych uprawnień zastosowaną do ruchu sieciowego.
Istnieją trzy główne podejścia technologiczne do mikrosegmentacji. Segmentacja oparta na sieci (np. Cisco TrustSec z SGT — Security Group Tags) stosuje etykiety do ruchu sieciowego na poziomie przełączników i routerów. Segmentacja oparta na hoście (np. Illumio Core, Guardicore) instaluje agenta na każdym workloadzie i kontroluje ruch na poziomie stosu sieciowego systemu operacyjnego. Segmentacja oparta na tożsamości (np. Elisity) przypisuje polityki na podstawie tożsamości urządzeń i użytkowników, nie adresów IP. Każde z tych podejść ma swoje zalety w różnych środowiskach — wybór zależy od infrastruktury, wymagań i etapu dojrzałości organizacji.
Jak mikrosegmentacja blokuje ransomware
Mikrosegmentacja bezpośrednio neutralizuje kluczowe techniki ruchu bocznego stosowane przez grupy ransomware. Gdy każdy workload może komunikować się tylko z jawnie dozwolonymi partnerami, skompromitowana stacja robocza pracownika nie może: nawiązać połączenia RDP z innymi stacjami roboczymi, uzyskać dostępu do SMB na serwerach plików (chyba że jest to explicite dozwolone), połączyć się z kontrolerami domeny przez porty administracyjne ani dotrzeć do systemów kopii zapasowych.
W praktycznym przykładzie: segment finansowy jest izolowany od segmentu HR, a oba segmenty mają zakaz komunikacji z serwerami kopii zapasowych poza dedykowanymi oknami backupu przez określone porty. Ransomware, które dostało się do stacji roboczej w segmencie finansowym przez phishing, może zaszyfrować lokalny dysk tej jednej stacji — ale nie może dotrzeć do serwera plików działu finansowego (nie ma zezwolonego przepływu), nie może dotrzeć do segmentu HR ani do serwerów kopii zapasowych. Promień wybuchu (blast radius) zostaje ograniczony do jednego urządzenia zamiast całej organizacji.
Szczególnie ważna jest ochrona serwerów kopii zapasowych. Grupy ransomware wiedzą, że organizacje z dobrymi kopiami zapasowymi mogą odmówić zapłacenia okupu i odtworzyć środowisko — dlatego celowo polują na systemy backupu w pierwszej kolejności. Mikrosegmentacja pozwala na izolację serwerów kopii zapasowych tak, że jedyne dozwolone połączenia przychodzące pochodzą z dedykowanych agentów backupu na chronionych workloadach — żadne inne połączenie nie jest możliwe.
Innym kluczowym obszarem jest ochrona kontrolerów domeny Active Directory. AD jest "klejnotem koronnym" dla atakujących ransomware — przejęcie konta administratora domeny daje dostęp do wszystkich systemów w środowisku. Mikrosegmentacja ogranicza dostęp do kontrolerów domeny wyłącznie do workloadów i kont, które rzeczywiście tego potrzebują, drastycznie zmniejszając powierzchnię ataku na AD.
Wdrożenie mikrosegmentacji: od czego zacząć
Wdrożenie mikrosegmentacji należy podejść iteracyjnie — próba segmentacji całego środowiska naraz jest receptą na zakłócenie działania produkcyjnego i niepowodzenie projektu. Poniżej przedstawiamy sprawdzone podejście krok po kroku:
- Faza 1 — Widoczność: Przed napisaniem jakiejkolwiek polityki musisz wiedzieć, kto z kim rozmawia. Wdróż narzędzie do mapowania przepływów komunikacji (flow mapping) w trybie obserwacyjnym. Przez 2–4 tygodnie zbieraj dane o wszystkich przepływach sieciowych w środowisku. Bez tej wiedzy nie możesz napisać poprawnych polityk i ryzykujesz zablokowanie legalnej komunikacji.
- Faza 2 — Zacznij od najważniejszych aktywów: Pierwsza iteracja segmentacji powinna chronić zasoby o najwyższej wartości i najwyższym ryzyku: serwery kopii zapasowych, kontrolery domeny, systemy finansowe, bazy danych z danymi klientów. Izolacja tych systemów daje natychmiastowy wzrost odporności na ransomware.
- Faza 3 — Polityka domyślnej odmowy dla nowych workloadów: Skonfiguruj narzędzie mikrosegmentacji tak, aby nowo uruchamiane workloady domyślnie nie miały żadnych dozwolonych przepływów komunikacji (default deny). Wymusza to dokumentowanie i zatwierdzanie każdej wymaganej komunikacji już na etapie wdrożenia nowego systemu.
- Faza 4 — Iteracyjne rozszerzanie: Stopniowo rozszerzaj mikrosegmentację na kolejne systemy i segmenty. Priorytetyzuj segmenty na podstawie ryzyka biznesowego. Regularnie weryfikuj, czy polityki odpowiadają aktualnym przepływom komunikacji — środowiska IT zmieniają się dynamicznie.
Mikrosegmentacja jest jednym z fundamentów architektury Zero Trust dla sieci. Połączenie mikrosegmentacji z kontrolą tożsamości i zarządzaniem urządzeniami tworzy wielowarstwową obronę, która radykalnie zwiększa koszt i złożoność udanego ataku ransomware.
Jak ExColo może pomóc
Wdrożenie mikrosegmentacji wymaga głębokiego zrozumienia środowiska sieciowego klienta, doświadczenia w projektowaniu polityk bezpieczeństwa oraz umiejętności zarządzania zmianą. Błędnie zaprojektowana mikrosegmentacja może zakłócić działanie aplikacji produkcyjnych, co jest najczęstszą przyczyną niepowodzeń tego typu projektów.
Zespół ExColo oferuje kompleksowe usługi mikrosegmentacji sieci: ocenę gotowości środowiska, mapowanie przepływów komunikacji, projektowanie polityk segmentacji, wdrożenie i testy w środowisku produkcyjnym oraz szkolenie zespołu IT w zakresie zarządzania politykami. Współpracujemy ze środowiskami on-premises, chmurowymi i hybrydowymi.
Skontaktuj się z nami, aby omówić, jak mikrosegmentacja może ograniczyć ryzyko ransomware w Twojej organizacji: formularz kontaktowy ExColo.
