Cyberochrona w środowisku hybrydowym

Spis treści:

1. 1. 1. 1. Skomplikowane środowisko
         2. Automatyzacja jako wsparcie
         3. Zero Trust

Dynamiczny rozwój usług chmurowych i ich rosnąca popularność sprawiają, że zespoły ds. cyberbezpieczeństwa mierzą się z coraz liczniejszymi wyzwaniami. Rozproszenie infrastruktury IT zwiększa bowiem powierzchnię ataku, jednocześnie utrudniając wykrywanie zagrożeń i reagowanie na nie na bieżąco.

Korzystanie z usług chmurowych to standard w XXI w., zarówno w sektorze prywatnym, jak i publicznym. Organizacje rezygnują z własnych serwerowni i decydują się na migrację do chmury, co zapewnia im elastyczność, skalowalność, pozwala optymalizować koszty i ułatwia wdrażanie nowych rozwiązań. Jak wynika z raportu Fortinetu „2026 Cloud Security Report”, aż 88% ankietowanych przedsiębiorstw operuje w środowiskach hybrydowych (56%) lub multi-cloud (32%). Jednocześnie większość z nich korzysta z usług dwóch (28%), trzech (24%) lub większej liczby (29%) dostawców. Niesie to ze sobą jednak nowe ryzyka. Sytuacja ta bowiem sprawia, że monitorowanie i ochrona zasobów organizacji stają się coraz bardziej skomplikowane. Powierzchnia potencjalnego ataku nie tylko staje się większa, ale też ulega przy tym fragmentacji, co podnosi poziom ryzyka.

Skomplikowane środowisko

Korzystanie z więcej niż jednego dostawcy usług cloudowych często wiąże się z tym, że zarządzanie każdą chmurą odbywa się za pomocą osobnego narzędzia, wdrożonego punktowo. Zespoły bezpieczeństwa mają więc utrudnione zadanie, ponieważ bez spójnej architektury nie widzą wszystkich alertów w jednym miejscu. Taki stan rzeczy przyczynia się do wydłużenia czasu potrzebnego na analizę zdarzenia, a w efekcie – do wolniejszego reagowania na zagrożenia i powstawania luk w widoczności. A te, wraz z rosnącą liczbą narzędzi, są przez większość (69%) respondentów badania Fortinetu uznawane za główne przeszkody w skutecznym wdrażaniu mechanizmów ochronnych w chmurze.

Centralna konsola do obsługi całego rozproszonego środowiska podnosi widoczność, pozwalając na monitorowanie, wdrażanie polityk i zarządzanie ruchem za pomocą jednego interfejsu. Podejście oparte na unifikacji zarządzania pozwala szybciej reagować na potencjalne zagrożenia, zmniejszając ryzyko wystąpienia poważnego incydentu bezpieczeństwa. Korzystanie z centralnego interfejsu upraszcza też zrozumienie danego środowiska. Zespoły zajmujące się cyberbezpieczeństwem nie muszą na własną rękę doszukiwać się powiązań między alertami z różnych systemów, ponieważ odpowiednie narzędzie robi to za nie. To bardzo istotne, ponieważ jak wynika z raportu „2025 Cybersecurity Skills Gap”, na rynku panuje niedobór wykwalifikowanych specjalistów w tym obszarze. Aż 74% organizacji uważa, że w ich strukturach brakuje talentów zajmujących się ochroną przed cyberzagrożeniami, a 77% badanych wyraża obawy związane z luką kompetencyjną na rynku, zwłaszcza w obszarze bezpieczeństwa chmury. Często się zdarza, że w firmie na barki tych samych osób spada odpowiedzialność za infrastrukturę lokalną, sieć, urządzenia końcowe i incydenty. W tej sytuacji każdy sposób na uproszczenie zarządzania jest na wagę złota. Ponad połowa (64%) ankietowanych przez Fortinet przyznaje zresztą, że gdyby mogła zacząć od nowa, postawiłaby na rozwiązanie jednego dostawcy do zapewniania bezpieczeństwa sieci, chmury oraz aplikacji.

Co nie powinno więc dziwić, skomplikowane i fragmentaryczne środowiska odbijają się na kondycji psychicznej specjalistów. Zespoły zmuszone do dodatkowego wysiłku związanego z ograniczoną widocznością często cierpią na przepracowanie, co zmniejsza ich produktywność. Przedłużający się stan nadmiernej eksploatacji ich umiejętności może też prowadzić do wypalenia zawodowego. Dowodzą tego zresztą przeprowadzane badania. Jak wskazuje chociażby raport Antal Poland „Aktywność specjalistów i menedżerów na rynku pracy” (edycja 15, 2026), tylko w Polsce aż 80% respondentów uważa, że zaobserwowało u siebie przynajmniej jeden z objawów wypalenia zawodowego. Brak reakcji decydentów na te sygnały może doprowadzić wyłącznie do pogłębienia się problemu. Dlatego też dbanie o dobrostan zespołów IT oraz aktywne poszukiwanie czy kreowanie nowych talentów to zadania, do których organizacje w 2026 r. powinny podchodzić z należytą starannością – tym bardziej w kontekście obowiązujących przepisów dyrektywy NIS 2, która w Polsce wejdzie w życie za sprawą uchwalonej ustawy o krajowym systemie cyberbezpieczeństwa.

Automatyzacja jako wsparcie

Pomocą w odciążeniu przepracowanych zespołów i utrzymaniu wysokiego poziomu cyberbezpieczeństwa może się okazać sztuczna inteligencja. Narzędzia AI mogą być wdrażane do obsługi najbardziej czasochłonnych i powtarzalnych zadań, by wspierać zespoły w ich codziennej pracy. Algorytmy dobrze się sprawdzają w identyfikowaniu zdarzeń odbiegających od normy, np. podejrzanych działań użytkownika czy nietypowego ruchu w sieci. Przykładowo systemy klasy XDR (Extended Detection and Respond) używają mechanizmów AI do proaktywnego monitoringu behawioralnego, czyli korelacji informacji z wielu źródeł, co pozwala na wczesne wykrywanie potencjalnych niebezpieczeństw. Podobnie w systemach SIEM (Security Information and Event Management) sztuczna inteligencja zmniejsza ryzyko wystąpienia poważnych incydentów dzięki funkcjom grupowania i priorytetyzacji alertów. Dzięki temu specjaliści nie zostają zalani potopem sygnałów, ale otrzymują uporządkowaną listę spraw, którym powinni się przyjrzeć w pierwszej kolejności.

Oczywiście nie powinno się zakładać, że narzędzie zawsze będzie działać bezbłędnie. Podobnie jak w przypadku modeli językowych, które potrafią generować odpowiedzi oparte na zmyślonych przez nie danych, narzędzia AI wykorzystywane do cyberochrony również mogą się mylić. W skrajnych przypadkach może to prowadzić do fałszywych alarmów, co skutkuje wydłużeniem listy zadań dla zespołu cyberbezpieczeństwa, lub do przeoczeń, kiedy to AI uzna niebezpieczne zachowanie za normalne. Między innymi z tych względów 38% ankietowanych na potrzeby badania Xopero „Cyberbezpieczeństwo – Trendy 2026” nie ufa sztucznej inteligencji w zakresie cyberbezpieczeństwa, z czego 6% wyraża obawy, że AI może być źródłem nowych zagrożeń. Co prawda niemal 1/3 respondentów (32%) jest pozytywnie nastawiona do polegania na wynikach pracy narzędzi AI, ale z zastrzeżeniem, że niezbędna pozostaje kontrola człowieka. W przywołanej publikacji znajdujemy zresztą rekomendację, aby w cyberochronie stosować AI w modelu human in the loop – sztuczna inteligencja powinna wspierać analityków, np. filtrując ogromne wolumeny danych, ale to do człowieka należy nadanie tym danym kontekstu i podejmowanie strategicznych decyzji.

Co ciekawe, nieco inne zalecenie zawarto w „2026 Cloud Security Report” od Fortinetu. W końcowych wnioskach pojawiło się zalecenie, by jak najbardziej korzystać z automatyzacji, ale nie tylko do generowania powiadomień, którymi i tak musi się zająć zespół specjalistów. Raport zachęca do tego, by zaprzęgnąć inteligentne narzędzia do obsługi spraw niskiego ryzyka, aby nie obciążać pracowników zbędnymi alertami. Niemniej przykład grudniowej awarii Amazon Web Services i narzędzia Kiro AI, które postanowiło usunąć i odtworzyć środowisko produkcyjne, powodując trzynastogodzinną przerwę w usługach, jawi się jako przestroga przed zbytnim poleganiem na sztucznej inteligencji. Choć tamten przypadek nie dotyczył wykrywania zagrożeń, to nietrudno sobie wyobrazić, że narzędzie mogłoby wadliwie zadziałać przy obsłudze potencjalnego zagrożenia. Wdrożenie autonomicznej sztucznej inteligencji w tym obszarze wymaga więc pełnego zaufania do jej działań, a jak wskazują przywołane wyżej dane, do tego daleka droga – przynajmniej w Polsce.

Zero Trust

Brak zaufania w cyberbezpieczeństwie to zresztą dobra praktyka. Wdrażanie podejścia Zero Trust pozwala odzyskać kontrolę, ponieważ każdorazowy dostęp do zasobów wymaga weryfikacji tożsamości użytkownika, a często też urządzenia (Device Trust). Ponadto w przypadku kompromitacji poświadczeń jednego konta ogranicza to powierzchnię ataku, co jest bardzo ważne w kontekście niemalejącej skali oszustw mających na celu kradzież danych logowania (np. phishingu). Tymczasem według danych Xopero aż 41% organizacji nie wdrożyło jeszcze architektury Zero Trust, a tylko 13% ocenia wdrożenie tego podejścia u siebie jako zaawansowane/pełne.

Ponadto niezbędne pozostają cykliczne szkolenia z zakresu cyberbezpieczeństwa. Jako że narzędzia czasami zawodzą, ogromne znaczenie dla skutecznej ochrony przed zagrożeniami ma człowiek, i to nie tylko specjalista. Dobre nawyki pracowników, np. podejrzliwość wobec potencjalnie złośliwych wiadomości czy załączników, często pozwalają powstrzymać przestępców, zanim zdołają wyrządzić jakąkolwiek szkodę.

Autor

Szymon Cisicki