Jak zidentyfikować podatności w organizacji
Dobrze przygotowany proces zarządzania podatnościami jest kluczowy dla cyberbezpieczeństwa organizacji i zachowania ciągłości biznesowej. Czym są podatności, jak je wykryć i w jakiej kolejności eliminować – tłumaczą eksperci T‑Mobile.
| CZEGO SIĘ DOWIESZ Z TEGO MATERIAŁU: JAKIE SĄ NAJWAŻNIEJSZE KATEGORIE PODATNOŚCI I Z CZEGO WYNIKAJĄ? W JAKI SPOSÓB MOŻNA ZIDENTYFIKOWAĆ LUKI W INFRASTRUKTURZE IT? JAK PRIORYTETYZOWAĆ PODATNOŚCI – OD CZEGO ZACZĄĆ? JAKI JEST CYKL ZARZĄDZANIA PODATNOŚCIĄ – DOBRE PRAKTYKI? |
Podatności to luki w organizacji, które mogą zostać wykorzystane podczas ataku w celu uzyskania dostępu do danych – wykradzenia ich lub zaszyfrowania. Luki mogą również pozwolić na dostęp do systemów, których uszkodzenie spowoduje przerwę w działaniu przedsiębiorstwa, a tym samym wygeneruje straty finansowe i wizerunkowe.
Choć problem rosnącego zagrożenia atakami cyberprzestępców jest powszechnie znany[1], bardzo wielu szefów polskich przedsiębiorstw zaczyna myśleć o cyberbezpieczeństwie dopiero wtedy, gdy sami padną ofiarą hakerów.
W Polsce poważne podejście do cyberbezpieczeństwa zaczyna się zwykle dopiero po incydencie. Nawet jeżeli organizacja zamówi i otrzyma raport na temat cyberbezpieczeństwa, to np. z powodu braku specjalistów, nadal potrzebuje wsparcia zewnętrznych podmiotów, aby wdrożyć rekomendacje – mówi Miłosz Jankowski, Leader Business Development Account Cybersecurity Products w T-Mobile Polska Business Solutions.
Potwierdza to Tomasz Papierniak, Starszy Konsultant ds. Cybersecurity, w T-Mobile Polska Business Solutions – Firmy często nie upubliczniają informacji, że stały się celem ataku. Zgłaszają się do nas dopiero po incydencie. Bardzo często widzimy, że nagle pojawiła się duża determinacja i przeznaczane są większe środki na cyberochronę. Ale trzeba mieć świadomość, że wszystkich luk nie da się załatać w jedną noc. Potrzebne jest przemyślane i systemowe podejście, które powinno być sformalizowane w postaci polityki zarządzania podatnościami – podkreśla ekspert.
Nie jest zaskoczeniem, że z zarządzaniem podatnościami i odpowiednim przygotowaniem najmniej problemu mają większe firmy, objęte już regulacjami prawnymi w tym obszarze i z doświadczeniem w realizowaniu projektów IT. Kłopoty dotykają natomiast firm o niższej dojrzałości cyfrowej – niezależnie do ich wielkości liczonej wartością rynkową.
Pięć grzechów głównych
Ponieważ profilaktyka zawsze jest tańsza niż leczenie, spójrzmy, z czego wynikają najczęstsze podatności w IT i jak je załatać, zanim wykorzystają je przestępcy.
Najobszerniejsza kategoria to błędy ludzkie. Człowiek jest najsłabszym ogniwem całego łańcucha i to ludzie są najczęściej atakowani. Zdecydowana większość włamań i wycieków danych (ok. 60 proc.) wykorzystywała element ludzki[2], a różnego rodzaju metody socjotechniczne – w tym phishing – stanowiły podstawę ataku. W tym obszarze rośnie znaczenie technik opartych na deepfakes produkowanych przez AI – zarówno głosowych, jak i wideo[3].
W tej kategorii mieszczą się również słabe hasła lub wykorzystywanie tego samego hasła do logowania się do różnych serwisów.
Drugim obszarem decydującym o powstawaniu podatności w infrastrukturze IT są błędy konfiguracyjne – styk podatności ludzkich (zaniechania) oraz technicznych (brak możliwości). Tu eksperci wskazują na złą konfigurację protokołów, pozostawianie otartych portów czy pozostawianie domyślnych haseł.
Zbliżoną kategorią są zaniedbania w aktualizacji oprogramowania, czy szerzej – niedostateczna kontrola zasobów IT organizacji. – Często w sieciach dużych przedsiębiorstw zdarzają się luki, w tym krytyczne podatności – tłumaczy Miłosz Jankowski. – Około 80 proc. podatności nie jest łatanych w ciągu pierwszego miesiąca po ich odkryciu. A to oznacza, że w oknie czasowym do aktualizacji cyberprzestępcy mogą dostać się do systemu.
Są wreszcie błędy niezależne bezpośrednio od administratorów – luki w oprogramowaniu. Aplikacje są coraz bardziej złożone, a wymagania rynkowe dotyczące tempa wypuszczania nowych produktów bardzo wysokie. Oznacza to, że aplikacje często są niedostatecznie przetestowane – ok. 75 proc. aplikacji zawiera co najmniej jedną podatność. Najczęściej dotyczą one niedostatecznej kontroli dostępu (niestosowania zasady least privilege i filozofii zero trust), wykorzystania udostępnionych bibliotek kodu, czy złej konfiguracji[4].
Tomasz Papierniak wskazuje na jeszcze jedną kategorię, która jako mniej techniczna, często jest pomijana w analizie podatności. Mowa o nieprzemyślanych procesach, które zawierają w sobie luki. Przykładem jest tu proces resetu hasła – źle zaprojektowany umożliwia przechwycenie konta w prosty sposób.
Narzędzia dla CISO
Eksperci T-Mobile wskazują na jeszcze jeden niepokojący fakt: mimo coraz sprawniejszych procedur kontroli i testowania liczba podatności ciągle rośnie. To efekt złożoności systemów IT, jak i rosnącego poziomu informatyzacji w dużych przedsiębiorstwach. Również cykl udostępniania łatek i ich wdrażania jest bardzo długi. Analizy Infosec mówią, że okres do załatania podatności to od 60 do nawet 150 dni[5], a jednocześnie czas w jakim pojawiają się pierwsze przypadki rzeczywistego wykorzystania podatności zero-day liczony jest w minutach.
Menedżerowie ds. bezpieczeństwa mają jednak szereg narzędzi udostępnianych w różnych modelach usługowych, które pozwalają na wykrywania słabości w organizacji. To m.in. systemy zarządzania podatnościami, testy penetracyjne, audyty cyberbezpieczeństwa czy nawet dedykowane zespoły red-team, których zadaniem jest znalezienie słabości w organizacji, tam gdzie narzędzia ich nie wykazały.
Zazwyczaj jednak pierwszą decyzją jest skupienie się na podatnościach technicznych i objęcie obszaru infrastruktury IT Systemem Zarządzania Podatnościami.
Od których podatności jednak zacząć? Miłosz Jankowski wskazuje, że najistotniejszym czynnikiem jest wpływ na biznes: bezpieczeństwo informacji i ciągłość działania. Kolejnym aspektem, który administrator musi wziąć pod uwagę, jest określenie czy wykorzystanie danej podatności wymaga wysokich kompetencji i czy istnieją już przypadki jej wykorzystania. Warto tu wspomnieć, że są serwisy, które priorytetyzują podatności na podstawie tych cech.
Należy również wziąć pod uwagę ekspozycję systemu z podatnością – jeżeli jest on dostępny jedynie z wewnątrz, zagrożenie jest odpowiednio niższe.
Czynność powtórzyć
O tym, że ocena podatności i ich usuwanie nie są jednorazowym zadaniem, lecz — podobnie jak całe zarządzanie bezpieczeństwem w organizacji — stanowią ciągły proces oparty na zasadzie nieustannego doskonalenia. W przypadku podatności stosujemy cykl: Discover, Assess, Prioritize, Report, Remediate, Verify. Konieczne jest również zrozumienie, że zaniedbana podatność może przekształcić się w incydent – mówi Tomek Papierniak.
To jednak nie oznacza, że wszystkie systemy IT powinny być monitorowane na bieżąco. – Oczywiście są takie, które wymagają monitoringu w czasie rzeczywistym. Ale są również przypadki, że np. serwery krytyczne są skanowane raz na tydzień. Wszystko zależy od wpływu danego systemu czy serwera na działanie firmy – przypomina Miłosz Jankowski.
Jak zatem powinien wyglądać cykl zarządzania podatnością? Fundamentem jest sprawdzenie, jakie mamy zasoby IT w firmie. – W kilku firmach spotkaliśmy działające serwery, o których dział IT zapomniał – mówi Jankowski. Kolejnym etapem są regularne skany oraz rzetelna ocena ich wyników. W związku z nowymi regulacjami konieczne jest również odpowiednie raportowanie wyników do osób decyzyjnych. Jeżeli zajdzie taka konieczność, należy dokonać aktualizacji i instalacji łatek, a następnie przeprowadzić kolejne skanowanie.
Najważniejsze wnioski
Skuteczny i dobrze zaprojektowany proces zarządzania podatnościami redukuje ryzyko powstania incydentu (zwłaszcza krytycznego) lub zmniejsza ewentualne straty z nim związane. Dla firm komercyjnych oznacza to ograniczenie przestojów i kosztów z tym związanych. Zarówno dla organizacji publicznych, jak i przedsiębiorstw, blokowanie wykorzystania podatności oznacza również zapewnienie ciągłości działania, eliminację wycieków danych oraz zapobieganie utracie wiarygodności.
Najczęściej występujące incydenty bezpieczeństwa kosztują znacznie więcej niż wykupienie usług zarządzania podatnościami – podkreślają eksperci T-Mobile.
[1] https://insights.integrity360.com/5-of-the-biggest-cyber-attacks-of-2025-so-far
[2] https://www.verizon.com/business/resources/reports/dbir/
[3] https://deepstrike.io/blog/social-engineering-statistics-2025
[4] https://owasp.org/Top10/2025/0x00_2025-Introduction/
[5] https://www.infosecinstitute.com/resources/vulnerabilities/time-to-patch-vulnerabilities-exploited-in-under-five-minutes/
Data publikacji: 05.12.2025
