Wschód-zachód jako nowe pole walki: Dlaczego mikrosegmentacja nie jest już opcją

Każdy raport po incydencie opowiada tę samą historię. Atakujący dostaje się do środka — przez e-mail phishingowy, skradzione poświadczenia, niezałataną urządzenie brzegowe. Samo wejście rzadko jest katastrofą. Katastrofą jest to, co dzieje się w kolejnych godzinach: atakujący przemieszcza się wewnątrz sieci na wschód i zachód, dociera do systemów, których pierwotny incydent nie powinien był dotknąć, i dopiero wtedy szkoda staje się nieodwracalna.

Przez dziesięciolecia broniliśmy perymetru. W dużej mierze przegraliśmy ten argument. Pytanie warte zadania nie brzmi teraz, czy perymetr zostanie przełamany — zostanie — lecz czy architektura wewnętrzna zakłada, że już do tego doszło.

Wzorzec, który powtarza się w każdym sektorze

Sześć niedawnych incydentów z różnych branż i geografii — w tym organizacji działających pod reżimem DORA, NIS2 i PCI DSS — podziela jedną przyczynę: brak egzekwowalnych granic sieci wewnętrznej po uzyskaniu początkowego dostępu.

Ochrona zdrowia — Synnovis / NHS London (czerwiec 2024, Wielka Brytania). Ransomware Qilin uzyskał dostęp do Synnovis, dostawcy patologii obsługującego siedem szpitali NHS w Londynie. Po potwierdzeniu ruchu lateralnego przez sieć hybrydową, atakujący eksfiltrował 400 GB danych obejmujących ponad 900 000 pacjentów, a następnie zaszyfrował niemal wszystkie systemy. Odwołano ponad 10 000 wizyt i 1 700 planowych operacji. Co najmniej jedna śmierć pacjenta została później przypisana zakłóceniom. Odmówiono zapłaty 50 mln dolarów okupu. Cała kaskada wynikała z niekontrolowanego ruchu wschód-zachód po pierwotnym naruszeniu — potwierdzonego przez własne 18-miesięczne dochodzenie forensyczne Synnovis.

Energetyka / OT — duński sektor energetyczny (maj 2023, Dania). W największym skoordynowanym ataku na duńską infrastrukturę krytyczną, 22 firmy energetyczne zostały jednocześnie przełamane przez CVE-2023-28771 w zaporach Zyxel. Atakujący dotarli do systemów sterowania przemysłowego wielu operatorów. Opublikowany raport SektorCERT był jednoznaczny: operatorzy dysponowali bardzo ograniczoną segmentacją poza perymetrem. Kilka firm zostało zmuszonych do odłączenia od sieci krajowej i działania w trybie wyspowym. Bez wewnętrznej segmentacji OT/IT naruszenie zapory stało się naruszeniem ICS.

Farmacja — kaskada Cencora (luty 2024, UE/globalnie). Atakujący naruszyli zabezpieczenia dystrybutora farmaceutycznego Cencora i, wobec braku izolacji na poziomie workloadów między systemami Cencora a środowiskami danych jej klientów, naruszenie rozprzestrzeniło się na 27 kolejnych organizacji — w tym AbbVie, Bayer, Novartis, GlaxoSmithKline i Regeneron. Wszystkie to podmioty z siedzibą w Europie podlegające RODO i regulacjom sektorowym. Jedno naruszenie u jednego dystrybutora dotknęło trzy tuziny organizacji. Mechanizm nie był wyrafinowany — to płaska sieć ze współdzielonym dostępem do danych.

BFSI / fintech — Santander / Snowflake (maj 2024, Hiszpania/globalnie). ShinyHunters wykorzystali poświadczenia skradzione przez złośliwe oprogramowanie infostealer, aby uzyskać dostęp do bazy danych Santandera przez środowisko Snowflake strony trzeciej. Wobec braku izolacji sieciowej między magazynami danych w chmurze, ta sama kampania w oparciu o poświadczenia ostatecznie naruszyła 165 organizacji, w tym Ticketmaster (560 milionów rekordów). Oficjalne oświadczenie Santandera potwierdziło, że naruszenie nastąpiło przez bazę danych hostowaną przez stronę trzecią — żadna wewnętrzna granica sieci nie zablokowała ruchu.

Gaming / hazard — MGM Resorts (wrzesień 2023, globalnie). Pojedynczy 10-minutowy telefon do helpdesku — podszywający się pod pracownika znalezionego na LinkedIn — dał Scattered Spider uprawnienia administratora Okta. Z Okta przeszło się na Azure, z Azure na lokalne hiperwizory VMware ESXi. ALPHV zaszyfrował następnie ponad 100 hostów ESXi, wyłączając automaty do gier, klucze do pokojów i systemy rezerwacji w ponad 30 obiektach. MGM odnotował 100 mln dolarów straty w Q3. Analiza po incydencie wskazała, że szybkie szyfrowanie 100 serwerów ESXi „potencjalnie wskazuje na sieć, która nie była dobrze segmentowana." Trzy odrębne środowiska, żadna wewnętrzna granica sieci na żadnym etapie.

Gaming / hazard — Fast Track iGaming (październik 2025, Malta). Fast Track, maltański dostawca CRM obsługujący ponad 100 operatorów iGamingu globalnie, doznał zaawansowanego naruszenia dotykającego wielu klientów-operatorów przez jedno przejęte środowisko dostawcy. Ta sama strukturalna wada co w MGM: zaufana platforma strony trzeciej z szerokim dostępem i brakiem izolacji na poziomie najemców. Fast Track posiadał certyfikat SOC 2 Type 2 odnowiony cztery miesiące przed incydentem — dowód, że audyty compliance w określonym punkcie czasu nie zastępują ciągłego egzekwowania.

Spójny wniosek ze wszystkich sześciu: w żadnym przypadku pierwotne naruszenie nie spowodowało pełnych szkód. W każdym przypadku zrobił to niekontrolowany ruch wschód-zachód.

Czym jest mikrosegmentacja

Tradycyjna segmentacja sieci — VLANy, zapory obwodowe, strefy DMZ — dzieli sieć na strefy. Kontroluje ruch między strefami. Nie ogranicza ruchu wewnątrz strefy. Atakujący, który dotarł do dowolnego zasobu w segmencie, może swobodnie dotrzeć do każdego innego zasobu w tej samej strefie. W dużym przedsiębiorstwie pojedynczy VLAN może zawierać setki serwerów.

Poniższy diagram pokazuje strukturalną różnicę:

Mikrosegmentacja otacza każdy indywidualny workload — każdy serwer, VM, kontener, punkt końcowy lub urządzenie OT — wymuszonym politycznie mikro-perymetrem. Ruch między dowolnymi dwoma workloadami wymaga jawnej polityki zezwalającej. Wszystko inne jest domyślnie blokowane. To nie jest styl konfiguracji. To założenie architektoniczne: że wnętrze sieci nie jest zaufane, że dowolny zasób może być już przejęty i że żaden workload nie powinien docierać do innego bez udokumentowanego, zdefiniowanego politycznie powodu.

Praktyczna implementacja wykorzystuje zapory oparte na hoście, obecne w każdym nowoczesnym systemie operacyjnym — Windows, Linux, Unix, macOS — z centralnym silnikiem polityk konfigurującym i egzekwującym je w skali. Dla zasobów, które nie mogą uruchomić agenta — urządzenia OT, systemy legacy, sprzęt IoT, sprzęt medyczny — urządzenie bramowe bez agenta egzekwuje te same polityki bez ingerencji w chronione urządzenia.

Model pokrycia wygląda następująco:

Warto podkreślić dwa punkty. Po pierwsze, wykrywanie poprzedza egzekwowanie. Zanim zostanie napisana jakakolwiek polityka, platforma automatycznie mapuje wszystkie zasoby, przepływy ruchu i zależności aplikacyjne. Polityki odzwierciedlają obserwowane zachowanie, a nie diagramy architektury sprzed lat. Po drugie, tworzenie polityk jest oddzielone od ich wdrażania — nowe polityki można symulować na podstawie historycznego ruchu przed uruchomieniem na żywo. W środowiskach, gdzie ciągłość usług ma znaczenie (a ma znaczenie w każdym z wymienionych przypadków), zapobiega to przypadkowemu zablokowaniu legalnego procesu biznesowego podczas wdrożenia.

Czego wymagają regulatorzy

Trzy ramy prawne o bezpośrednim zastosowaniu do organizacji europejskich — oraz do firm z CEE i MENA działających na rynkach UE lub przetwarzających dane UE — zawierają konkretne, egzekwowalne wymagania dotyczące kontroli sieci wewnętrznej.

DORA — Rozporządzenie (UE) 2022/2554. Ustawa o cyfrowej odporności operacyjnej zaczęła obowiązywać 17 stycznia 2025 roku. Artykuł 9(4)(b) wymaga od podmiotów finansowych, aby „projektowały infrastrukturę połączeń sieciowych w sposób umożliwiający jej natychmiastowe odcięcie lub segmentację w celu minimalizacji i zapobiegania rozprzestrzenianiu się, w szczególności w przypadku wzajemnie połączonych procesów finansowych." Słowo „natychmiastowo" ma znaczenie techniczne — wyklucza ręczne procedury izolacji. Rozporządzenie delegowane Komisji (UE) 2024/1774, Art. 13(c), dodaje wymóg „oddzielnej i dedykowanej sieci do administrowania zasobami ICT." To bezpośredni wymóg granicy zarządzanie/operacje, która — gdyby istniała w MGM — zablokowałaby pivot z Azure do ESXi. Pełne operacyjne i nadzorcze implikacje omawia DORA w praktyce.

NIS2 — Dyrektywa (UE) 2022/2555. NIS2 stosuje się do podmiotów kluczowych i ważnych w sektorach takich jak energetyka, transport, zdrowie, infrastruktura cyfrowa i usługi finansowe. Artykuł 21(2)(e) wymaga „bezpieczeństwa sieci i systemów informatycznych", a wytyczne implementacyjne wskazują na segmentację sieci jako podstawową kontrolę ograniczającą propagację między systemami. Incydent w duńskim sektorze energetycznym — gdzie 22 operatorów zostało jednocześnie zaatakowanych przez wspólną ekspozycję perymetru — to dokładnie scenariusz, który NIS2 Art. 21 ma adresować. Polska transpozycja przez nowelizację ustawy KSC ma wejść w życie w 2026 roku, czyniąc obowiązki NIS2 egzekwowalnymi dla polskich podmiotów. Trzy dokumenty, które decydują o wynikach NIS2, omawia NIS2 bez dramatu.

PCI DSS 4.0.1. Aktualnie obowiązująca wersja standardu bezpieczeństwa danych branży kart płatniczych (v3.2.1 została wycofana w grudniu 2024). Wymaganie 1 dotyczy kontroli bezpieczeństwa sieci i izolacji CDE. Jeśli segmentacja jest wykorzystywana do ograniczenia zakresu zgodności, Wymagania 11.3 i 11.4 nakazują regularne testy penetracyjne weryfikujące rzeczywistą skuteczność segmentacji — nie jedynie jej deklarowanie. PCI SSC opublikowało dedykowane uzupełniające wytyczne dotyczące mikrosegmentacji i nowoczesnych architektur sieciowych we wrześniu 2024 roku.

ISO 27001:2022 — Kontrola A.8.22 Załącznika A. Rewizja z 2022 roku zastąpiła wcześniejszą kontrolę 13.1.3 wzmocnioną kontrolą A.8.22 „Separacja sieci". Wymaga od organizacji separowania sieci na odrębne domeny bezpieczeństwa w oparciu o poziomy zaufania i krytyczność oraz kontrolowania ruchu między tymi domenami. Kontrola explicite ujmuje separację jako mechanizm ograniczania zasięgu naruszenia. Certyfikacja utrzymywana na podstawie samej segmentacji VLAN — gdzie VLANy zawierają mieszane zasoby bez egzekwowania wewnątrzsegmentowego — nie spełnia intencji tej kontroli.

Dlaczego to pozostaje trudne w praktyce

Techniczny argument za mikrosegmentacją jest rozstrzygnięty od lat. Wdrożenie w skali było powolne z czterech konkretnych powodów.

Widoczność. Nie można napisać polityki regulującej, które workloady mogą się komunikować, nie wiedząc najpierw, co faktycznie się komunikuje. Większość organizacji tego nie wie. Diagramy sieci są nieaktualne. Zasoby shadow IT są nieudokumentowane. Workloady chmurowe wdrażane bezpośrednio przez zespoły deweloperskie są niewidoczne dla zespołu sieciowego. Każde podejście do segmentacji zaczynające się od warstwy polityk, bez wcześniejszego ustalenia dokładnego obrazu rzeczywistych przepływów ruchu, zakłóci legalny proces biznesowy.

Złożoność operacyjna. Tradycyjna segmentacja sprzętowa wymaga zaangażowania zespołu sieciowego przy każdej zmianie polityki. W środowiskach, gdzie workloady są wdrażane codziennie, nie skaluje się. Zarządzanie politykami w oddzielnych konsolach zapór — jednej dla centrum danych, innej dla chmury, jeszcze innej dla OT — tworzy dokładnie te luki widoczności, które atakujący wykorzystują.

Heterogeniczność. Nowoczesne przedsiębiorstwo obejmuje serwery lokalne, workloady wielochmurowe, klastry Kubernetes, punkty końcowe użytkowników, urządzenia OT i sprzęt IoT. Każde podejście do segmentacji pokrywające tylko część tego środowiska pozostawia niepokrytą część jako ścieżkę ruchu lateralnego. W duńskim przypadku energetycznym niepokryta była warstwa OT.

Konwergencja IT/OT. Technologia operacyjna była historycznie izolowana powietrzem. Transformacja cyfrowa wyeliminowała tę izolację. Urządzenia OT współdzielą teraz segmenty sieciowe z infrastrukturą IT, lecz działają pod zupełnie innymi ograniczeniami: nie mogą być aktualizowane w standardowych cyklach, nie mogą uruchamiać agentów bezpieczeństwa i mają wymagania dostępności nadrzędne wobec niemal wszystkiego innego. Standardowe narzędzia segmentacji korporacyjnej zawodzą całkowicie w tym środowisku. To szczególnie istotna luka dla operatorów przemysłowych i energetycznych w CEE i MENA, gdzie środowiska OT często łączą przestarzałe protokoły z nowoczesną łącznością chmurową.

Praktyczny punkt startowy

Przed jakąkolwiek oceną narzędzi, dwa pytania zasługują na uczciwą odpowiedź od osoby odpowiedzialnej za sieć:

Ile faktycznie wiem o własnej sieci — teraz, w tej chwili, czytając te słowa?

Nie to, co pokazuje diagram architektury sprzed trzech lat. Co faktycznie komunikuje się z czym, w produkcji, w tej chwili? Czy potrafisz wymienić 20 najbardziej aktywnych przepływów wschód-zachód w swoim środowisku dzisiaj? Czy jakiś host w sieci zainicjował połączenie z innym hostem na nieoczekiwanym porcie w ostatniej godzinie — i jeśli tak, masz na to alert, czy dowiedziałbyś się o tym dopiero podczas forensycznej analizy po incydencie, tygodnie później?

W większości środowisk uczciwa odpowiedź na to ostatnie pytanie brzmi: dowiedziałbyś się tygodnie później. Architektura jest udokumentowana; rzeczywisty stan ruchu — nie.

To właśnie tu platformy segmentacji oparte na wykrywaniu mają największy natychmiastowy wpływ, zanim zostanie napisana jakakolwiek polityka. Wdrożenie pasywnej warstwy telemetrycznej mapującej rzeczywiste przepływy ruchu — workload do workloadu, przez chmurę i środowisko lokalne, w tym OT i legacy — przekształca sieć z zakładanej architektury w obserwowaną rzeczywistość. Znajdziesz ruch, którego nie powinno być. Znajdziesz zasoby, których nie powinno tam być. Znajdziesz usługi wycofane sześć miesięcy temu, wciąż przyjmujące połączenia.

Jak dowiedziałbym się, że host jest przejęty i skanuje inne systemy w tej chwili?

To pytanie, na które płaskie sieci nie potrafią odpowiedzieć. W segmentowanym środowisku anomalna próba połączenia z workloadu A do workloadu B — gdzie nie istnieje polityka zezwalająca między nimi — generuje zdarzenie naruszenia polityki w momencie jego wystąpienia. Warstwa egzekwowania polityk zapewnia nie tylko ochronę, ale ciągłą widoczność: każda odrzucona próba połączenia jest rejestrowana, znaczona czasem i przypisana do źródłowego workloadu. Przejęty host próbujący skanować sieć pozostawia widoczny, audytowalny ślad dokładnie tego, gdzie próbował się przemieścić i czego mu odmówiono.

W płaskiej sieci takie skanowanie jest niewidoczne. Ruch jest domyślnie dozwolony. Nie ma nic do rejestrowania. Faza rozpoznania atakującego — która może trwać dni lub tygodnie przed wdrożeniem ransomware — przebiega w ciszy.

Praktyczna implikacja: pierwsza wartość mikrosegmentacji to nie egzekwowanie. To widoczność. Organizacja wdrażająca narzędzia do wykrywania i obserwacji przed napisaniem jednej polityki egzekwowania uzyskuje dokładny obraz tego, co faktycznie jest w sieci i co robi. Ten obraz sam w sobie często ujawnia naruszenia, błędne konfiguracje i ekspozycje systemów legacy, które były niewidoczne w zakładanej architekturze.

Egzekwowanie — właściwe mikro-perymetry — następuje potem, stopniowo. Podejście fazowe stosuje najpierw szerokie kontrole (blokowanie portów wysokiego ryzyka i podejrzanych przepływów lateralnych w całym przedsiębiorstwie), a następnie przechodzi do szczegółowych polityk specyficznych dla aplikacji. Postawa bezpieczeństwa poprawia się od pierwszego dnia, zanim wdrożenie jest kompletne.

Perspektywa praktyka

Oceniając dostępne podejścia pod kątem opisanych powyżej ograniczeń operacyjnych, przepaść między koncepcją a działającym wdrożeniem jest realna i spójna: większość programów utyka, bo rozwiązanie albo nie pokrywa całego środowiska (wykluczone są systemy OT i legacy), albo wymaga ręcznego tworzenia polityk na podstawie topologii, która nigdy nie była dokładnie udokumentowana, albo traktuje egzekwowanie jako jedną fazę zamiast stopniowego procesu.

Spośród rozwiązań, które poważnie przeanalizowałem, Xshield od ColorTokens spełnia wszystkie trzy wymagania bezpośrednio. Wykrywanie jest automatyczne. Pokrycie obejmuje IT, chmurę, kontenery, punkty końcowe, OT/IoT i systemy legacy, w tym systemy operacyjne bez wsparcia producenta — z jednej konsoli polityk. Lukę OT i legacy wypełnia urządzenie Gatekeeper bez agenta, egzekwujące polityki bez wymagania jakichkolwiek modyfikacji chronionych urządzeń. Model implementacji oddziela obserwację od egzekwowania, pozwalając organizacjom postępować w tempie, które nie zagraża ciągłości operacyjnej.

ColorTokens Xshield był uznany za Lidera w Forrester Wave dla rozwiązań mikrosegmentacji (Q3 2024) — jedynego dostawcy spośród 15 ocenianych, który uzyskał maksymalny wynik w kluczowych kategoriach funkcjonalności — i został wybrany jako Visionary Vendor na RSAC 2025 przez Enterprise Management Associates.

Zaznaczam to nie jako rekomendację dostawcy, lecz dlatego, że kryteria oceny są ważniejsze od wyboru. Organizacja oceniająca mikrosegmentację powinna wymagać: wdrożenia opartego na wykrywaniu, pokrycia całego środowiska, w tym OT i legacy, egzekwowania bez agenta tam, gdzie agentów nie można zainstalować, oraz zintegrowanego raportowania zgodności produkującego artefakty audytowe dla DORA, NIS2, PCI DSS i ISO 27001:2022 bez ręcznego zbierania dowodów. Rozwiązania spełniające te kryteria produkują działające wdrożenia. Pozostałe pozostawiają najtrudniejsze środowiska niepokryte i dostarczają co najwyżej częściowej ochrony.

Jak wygląda gotowość

Organizacja gotowa odpowiedzieć na pytanie o wschód-zachód ma trzy rzeczy na miejscu: dokładną, ciągle aktualizowaną mapę tego, co komunikuje się w jej sieci; mikro-perymetry z wymuszoną polityką ograniczające ruch lateralny do jawnie autoryzowanych przepływów; oraz dziennik naruszeń ujawniający anomalny ruch wschód-zachód w czasie rzeczywistym.

Ramy regulacyjne wskazują w to samo miejsce. Wymóg DORA dotyczący natychmiastowej zdolności segmentacji, kontrole bezpieczeństwa sieci NIS2, mandat PCI DSS dotyczący testowanej i weryfikowalnej izolacji CDE oraz wymóg ISO 27001:2022 dotyczący segmentacji sieci opartej na ryzyku — wszystkie odzwierciedlają tę samą techniczną rzeczywistość: strefowa separacja perymetru jest niewystarczająca dla obecnego modelu zagrożeń.

Organizacje, które przejdą przez następny istotny incydent z najmniejszymi szkodami, to niekoniecznie te z najbardziej wyrafinowaną detekcją. To te, których architektura wewnętrzna zakłada, że naruszenie już nastąpiło — i zbudowane stosownie do tego założenia. Dla zespołów bezpieczeństwa w CEE i MENA działających jednocześnie pod wieloma ramami regulacyjnymi, ta architektura zaczyna się od wiedzy o tym, co jest w sieci i co robi.

Eugene Titaev — marzec 2026