80% ataków wykorzystuje
błędy konfiguracji
Nie luki w oprogramowaniu — błędy konfiguracji. Domyślne hasła, otwarte porty, wyłączone logowanie, zbyt szerokie uprawnienia. Atakujący nie muszą szukać zero-day, gdy drzwi są otwarte.
Hardening to proces zamykania tych drzwi — systematycznie, według sprawdzonego standardu CIS Benchmarks, z pełną dokumentacją zmian i możliwością wycofania.
Kontekst regulacyjny
Dlaczego to ważne w 2026
Domyślna konfiguracja systemów jest zaprojektowana z myślą o kompatybilności, nie bezpieczeństwie. NIS2/KSC 2.0 wymaga aktywnego zarządzania konfiguracją — hardening to najbardziej konkretny sposób na spełnienie tego wymogu.
Art. 21 ust. 2 lit. e NIS2
Dyrektywa wymaga bezpieczeństwa w utrzymaniu systemów i zarządzania podatnościami. Błędy konfiguracji to podatności — hardening je eliminuje. Audytor zapyta o baseline konfiguracji i dowody przeglądów.
MITRE ATT&CK — 80% technik
Framework MITRE ATT&CK kataloguje techniki ataków. Około 80% z nich wykorzystuje błędy konfiguracji, a nie luki w kodzie. Hardening bezpośrednio eliminuje wektory ataku opisane w MITRE.
Domyślne = niebezpieczne
Domyślna konfiguracja Windows Server ma włączone 200+ niepotrzebnych usług, otwarte porty administracyjne i wyłączone logowanie zaawansowane. Każdy z tych elementów to potencjalny punkt wejścia.
Proces
Jak to działa
Hardening to nie przycisk „zabezpiecz” — to metodyczny proces audytu, planowania, wdrażania i weryfikacji. Każda zmiana jest udokumentowana i odwracalna.
Audyt konfiguracji
Skanujemy obecną konfigurację i porównujemy z CIS Benchmarks. Wynik: raport ze szczegółową listą odchyleń, ich ryzykiem i priorytetem naprawy.
Plan wdrożenia
Każdą zmianę analizujemy pod kątem wpływu na aplikacje biznesowe. Kolejność: najpierw zmiany o najwyższym wpływie na bezpieczeństwo i najniższym ryzyku operacyjnym.
Wdrożenie zmian
Zmiany wdrażamy etapami — najpierw test, potem produkcja. Każda zmiana jest udokumentowana i odwracalna. Automatyzacja przez GPO, Intune lub skrypty konfiguracyjne.
Ciągła weryfikacja
Comiesięczne skanowanie wykrywa odchylenia od baseline (drift). Nowe aktualizacje systemu mogą zmienić ustawienia — automatycznie je korygujemy i raportujemy.
Zakres
Co obejmuje hardening
Windows 10/11
Stacje robocze: wyłączenie niepotrzebnych usług, konfiguracja firewalla, zasady haseł, logowanie zaawansowane, kontrola aplikacji.
Windows Server
Serwery: minimalizacja powierzchni ataku, konfiguracja RDP, zarządzanie certyfikatami, auditing, ochrona kont uprzywilejowanych.
Microsoft 365
Tenant M365: konfiguracja Exchange Online, SharePoint, Teams, Entra ID. Warunkowy dostęp, MFA, polityki retencji, DLP.
Urządzenia sieciowe
Firewalle, switche, access pointy: wyłączenie nieużywanych portów, szyfrowanie zarządzania, segmentacja sieci, ACL.
Najlepsze praktyki
Jak podejść do hardeningu mądrze
Zacznij od audytu, nie od zmian
Nie wdrażaj CIS Benchmarks na ślepo. Najpierw zmierz obecny stan, zrozum odchylenia i ich przyczyny. Niektóre ustawienia mogą być celowe — np. wymagane przez aplikację biznesową.
Priorytetyzuj według ryzyka
CIS Benchmark dla Windows Server ma 300+ rekomendacji. Nie musisz wdrażać wszystkich naraz. Zacznij od tych, które eliminują najczęstsze wektory ataku w Twojej branży.
Hardening to proces, nie projekt
Jednorazowy hardening traci wartość po pierwszej aktualizacji systemu. Konfiguracja się zmienia — potrzebujesz ciągłego monitorowania odchyleń i automatycznej korekty.
Dokumentuj każdą zmianę
Hardening bez dokumentacji to problem przy troubleshootingu. Każda zmiana musi mieć: co zmieniono, dlaczego, kiedy, kto zatwierdził i jak wycofać. W SecIQ to element standardowego procesu.
W pakiecie
Co dostajesz w SecIQ
Hardening to element wdrożenia i utrzymania w każdym pakiecie SecIQ. Zakres zależy od infrastruktury i poziomu pakietu.
Audyt konfiguracji vs CIS Benchmarks (raport z oceną ryzyka)
Hardening stacji roboczych (Windows 10/11) według CIS Level 1
Hardening serwerów (Windows Server) według CIS Level 1
Hardening tenanta Microsoft 365 (Exchange, SharePoint, Entra ID)
Konfiguracja zaawansowanego logowania (audit policy)
Mapowanie zmian na MITRE ATT&CK — które techniki eliminujemy
Automatyzacja przez GPO / Intune / skrypty konfiguracyjne
Dokumentacja baseline konfiguracji (wymagana przez KSC 2.0)
Comiesięczne skanowanie — wykrywanie odchyleń od baseline
Raport zgodności CIS — procent spełnionych rekomendacji
Porównanie kosztów
Koszt rynkowy vs SecIQ
| Element | Cena rynkowa (jednorazowo) | W pakiecie SecIQ |
|---|---|---|
| Audyt konfiguracji vs CIS Benchmarks | 5 000 – 15 000 PLN | W cenie pakietu |
| Wdrożenie hardeningu (stacje + serwery) | 8 000 – 25 000 PLN | W cenie pakietu |
| Hardening M365 tenant | 5 000 – 12 000 PLN | W cenie pakietu |
| Dokumentacja baseline | 3 000 – 8 000 PLN | W cenie pakietu |
| Ciągły monitoring i korekta driftu | 2 000 – 5 000 PLN/mies. | W cenie pakietu |
Łączny koszt rynkowy: 10 000 – 35 000 PLN jednorazowo + koszty utrzymania. W SecIQ — element comiesięcznego pakietu ochrony.
Pytania i odpowiedzi
Najczęstsze pytania
CIS Benchmarks to opracowane przez Center for Internet Security zestawy rekomendacji konfiguracyjnych dla systemów operacyjnych, aplikacji i urządzeń sieciowych. Każda rekomendacja ma uzasadnienie, instrukcję wdrożenia i sposób weryfikacji. To globalny standard — używany przez organizacje od małych firm po agencje rządowe.
To najczęstsza obawa i dlatego hardening robi się etapami, nie jednym przyciskiem. Najpierw audyt obecnej konfiguracji, potem analiza wpływu każdej zmiany, a dopiero potem wdrożenie — z możliwością szybkiego wycofania. W SecIQ każda zmiana jest testowana przed wdrożeniem produkcyjnym.
Art. 21 ust. 2 lit. e NIS2 wymaga bezpieczeństwa w utrzymaniu systemów i zarządzania podatnościami. Hardening eliminuje podatności konfiguracyjne — te, które atakujący wykorzystują najczęściej. To jeden z najbardziej mierzalnych sposobów na spełnienie wymogów ustawy.
Hardening to nie jednorazowy projekt — konfiguracja zmienia się z każdą aktualizacją systemu, nową aplikacją czy zmianą w infrastrukturze. W SecIQ hardening jest procesem ciągłym: comiesięczne skanowanie konfiguracji, raportowanie odchyleń i korygowanie — automatycznie.
Zamknij drzwi, zanim ktoś spróbuje je otworzyć
Hardening to jeden z najbardziej mierzalnych sposobów na podniesienie bezpieczeństwa. Zaczynamy od audytu — zobaczysz dokładnie, co wymaga poprawy i jaki to ma wpływ.