Bezpieczny model nie polega na całkowitym zakazie dostępu zdalnego. Polega na ograniczeniu go do konkretnych osób, urządzeń, usług i czasu oraz na możliwości szybkiego odebrania uprawnień.

1. Znajdź wszystkie ścieżki zdalnego dostępu

VPN może być tylko jedną z nich. Sprawdź publiczne RDP, porty paneli NAS, firewalle, narzędzia typu remote desktop, aplikacje producentów urządzeń, modemy LTE i konta dostawców.

2. Nie wystawiaj RDP bezpośrednio do internetu

Jeśli pulpit zdalny jest potrzebny, powinien być dostępny po VPN, ZTNA, przez kontrolowaną bramę albo inne rozwiązanie z silnym uwierzytelnianiem. Sam niestandardowy port nie jest zabezpieczeniem.

3. VPN powinien mieć MFA i indywidualne konta

  • każda osoba korzysta z własnego konta;
  • uprawnienia obejmują tylko potrzebne sieci i usługi;
  • MFA jest wymagane dla użytkowników i administratorów;
  • nieaktywne konta są automatycznie blokowane lub przeglądane;
  • logi pozwalają ustalić, kto i kiedy się łączył.

4. Dostawcy nie powinni mieć stałego, niekontrolowanego dostępu

Dostęp serwisowy warto włączać na określony czas, wymagać zatwierdzenia i ograniczać do konkretnych urządzeń. Po zakończeniu prac konto lub reguła powinny być wyłączone.

5. Zadbaj o urządzenie użytkownika

Bezpieczny tunel nie chroni przed zainfekowanym laptopem. Sprawdź aktualizacje, szyfrowanie dysku, ochronę endpointu, blokadę ekranu i możliwość zdalnego odebrania dostępu.

6. Ogranicz, dokąd prowadzi zdalne połączenie

Użytkownik księgowości nie musi mieć dostępu do sieci kamer, urządzeń produkcyjnych ani panelu firewalla. Segmentacja i reguły dostępu ograniczają skutki przejęcia konta.

7. Ustal procedurę odebrania dostępu

Lista powinna obejmować konto VPN, certyfikat, token MFA, narzędzie zdalne, konto systemowe, klucze SSH i dostęp dostawcy. Sama blokada skrzynki e-mail może nie wystarczyć.

Pytania kontrolne

  1. Czy z internetu widać RDP, SSH, panel NAS albo firewall?
  2. Czy każda osoba ma indywidualne konto i MFA?
  3. Czy wiemy, którzy dostawcy mają stały dostęp?
  4. Czy można ograniczyć użytkownika do jednej aplikacji lub podsieci?
  5. Czy logi są przechowywane i przeglądane?
  6. Jak szybko można odebrać wszystkie formy dostępu?

Podsumowanie

Zdalny dostęp powinien być traktowany jak wejście do budynku: przypisany do osoby, ograniczony do potrzebnego obszaru, rejestrowany i możliwy do zamknięcia bez szukania starych haseł.

Materiały źródłowe

CISA w przewodnikach ransomware zaleca ograniczanie publicznego RDP, stosowanie MFA i bezpiecznych metod zdalnego dostępu: CISA StopRansomware Guide.