Artykuł pochodzi z wydania: Maj 2026
Analizując rynek rozwiązań zabezpieczających, rzadko trafiamy na platformy, w których ciężar zarządzania świadomością użytkowników jest niemal całkowicie delegowany do silników analitycznych wspieranych sztuczną inteligencją. Takim nieoczywistym podejściem wyróżnia się duński start-up Moxso, który powoli, acz bardzo konsekwentnie zaczyna zagospodarowywać rynek, mocno redefiniując segment Security Awareness.
Z ałożona w 2021 r. w Kopenhadze spółka obrała sobie za cel zbudowanie wewnątrz organizacji swoistego „ludzkiego firewalla”. Producent z premedytacją odciął się od klasycznych, wymuszanych raz do roku, statycznych szkoleń wideo, które pracownicy zazwyczaj po prostu przeklikują. Zamiast tego zaoferowano zintegrowane środowisko ciągłej ewaluacji: łączące zaawansowane symulacje ataków phishingowych, zindywidualizowane szkolenia oraz weryfikację skompromitowanych poświadczeń w sieci. O tym, że mamy do czynienia z dojrzałym technologicznie projektem, a nie tylko kolejną rynkową wydmuszką, świadczy przede wszystkim tempo i kierunek rozwoju samej platformy. Producent wyraźnie zrezygnował z pompowania budżetów w agresywny marketing na rzecz solidnych nakładów w inżynierię oprogramowania oraz rozbudowę autorskich modeli analityki behawioralnej. Co z naszej, lokalnej perspektywy operacyjnej najistotniejsze – Polska stała się jednym ze strategicznych przyczółków do ekspansji tej technologii na resztę Europy. Obecność w elitarnych, inżynieryjnych programach akceleracyjnych Google’a to dla nas kolejny techniczny stempel jakości. Przyjrzyjmy się zatem z bliska, z czym dokładnie wiąże się wdrożenie tego systemu i czy faktycznie potrafi on odciążyć chronicznie zapracowane działy operacyjne IT.
Architektura
Od strony projektowej twórcy Moxso postawili na klasyczny, ale sprawdzony model SaaS. Dla administratorów lokalnych oznacza to tyle, że odpada jakikolwiek narzut związany z utrzymaniem serwerów, łataniem podatności w systemach operacyjnych czy martwieniem się o redundancję baz danych. Koncepcja zero-footprint sprawdza się tu idealnie, zwłaszcza że większość nowoczesnych firm i tak trzyma już swoje tożsamości oraz zasoby obliczeniowe w zewnętrznych chmurach.
Pod maską system opiera się na mocno rozproszonej architekturze. Wszystkie kluczowe mechanizmy – od silnika dystrybuującego fałszywe e-maile, przez moduły logowania zdarzeń, aż po interfejsy edukacyjne – egzystują jako niezależne, izolowane kontenery lub mikroserwisy. Z operacyjnego punktu widzenia to gwarancja odporności na awarie (high availability). Nawet jeśli podsystem odpowiedzialny za generowanie gigantycznej kampanii w tle dla wielotysięcznej korporacji zaliczy nagły pik obciążenia, nie wpłynie to w żaden sposób na płynność działania konsoli, z której w tym samym czasie korzysta CISO do generowania raportów dla zarządu.
Mózgiem całego układu jest algorytm analityczny, którego zadaniem jest wielowątkowe profilowanie użytkowników na podstawie ich codziennych zachowań System nie strzela symulacjami na oślep według statycznego harmonogramu. Zamiast tego bez przerwy trawi dane telemetryczne: mierzy czas reakcji na podesłany mail, wychwytuje momenty kliknięcia w złośliwe hiperłącza i odnotowuje próby podania haseł na sfabrykowanych stronach. Co równie ważne, rejestruje także poprawne reakcje, takie jak szybkie zgłoszenie incydentu przez pracownika.
Z perspektywy bezpieczeństwa i audytów (compliance) architektura spełnia rygorystyczne normy. Integracja z firmowym Active Directory lub jego chmurowymi odpowiednikami realizowana jest w trybie absolutnego minimum uprawnień (read-only). Moxso zasysa tylko te parametry, które są mu niezbędne do pracy, jak nazwa użytkownika, adres e-mail czy przynależność do grupy. Całość jest w 100% zbieżna z rodo, a dane telemetryczne i logi nie opuszczają bezpiecznych, fizycznie certyfikowanych serwerowni w granicach Unii Europejskiej.
Funkcjonalność
Najpoważniejszym problemem wielu konkurencyjnych rozwiązań jest bolesny i zasobożerny proces wdrożenia. Tymczasem platforma duńskiego producenta bryluje pod kątem „bezbolesnego” wpięcia w istniejący stos technologiczny. Zespoły korzystające natywnie z usług Microsoft 365 czy Google Workspace’a poczują się tu jak w domu, a czas liczony od akceptacji budżetu do startu pierwszej kampanii to dosłownie kwestia godzin, a nie tygodni.
Fundamentem sprawnie działającego środowiska jest utrzymanie zsynchronizowanej bazy pracowników. System komunikuje się bezpośrednio z usługą Entra ID z wykorzystaniem Graph API. Wystarczy zarejestrować aplikację korporacyjną w panelu Microsoftu i autoryzować ją tokenem OAuth 2.0 z uprawnieniami do odczytu profili. Tak skonfigurowany łącznik całkowicie eliminuje problem ręcznego rotowania użytkownikami – nowo zatrudniona osoba pojawia się w platformie treningowej automatycznie, a po wygaśnięciu kontraktu jej konto jest poprawnie dezaktywowane. Środowiska oparte na platformie Google Workspace czy integracje z firmowymi komunikatorami (Slack, Teams) realizowane są w równie bezproblemowy sposób.
Z technicznego punktu widzenia najwięcej uwagi na etapie Proof of Concept wymaga zawsze odpowiednie przepuszczenie symulowanego ruchu przez systemy obronne firmy. Konieczne jest zdefiniowanie precyzyjnych białych list (whitelisting), aby spreparowane ataki docierały do użytkowników, a nie tonęły w folderach kwarantanny czy były bezwzględnie ucinane przez filtry antyspamowe. Dotyczy to również odnośników w przeglądarkach webowych, do których kierują sfabrykowane e-maile. Użytkownicy ekosystemu Microsoft Defender konfigurują w tym celu natywne polityki (Advanced Delivery Policies), w których wprowadzają jawne zakresy IP i domeny należące do Moxso. Dla środowisk hybrydowych lub klasycznych instancji Exchange on-premise tworzy się po prostu reguły transportowe z pominięciem filtrów SCL.
W codziennej pracy operacyjnej system opiera się na trzech głównych modułach. Pierwszy z nich to ciągłe testy użytkowników pod kątem podatności na phishing – sfabrykowane wiadomości e-mail, mające na celu weryfikować odporność na manipulacje na poziomie poczty elektronicznej. Przygodę z systemem każda organizacja zaczyna od przymusowego testu sprawdzającego, by algorytmy mogły zmapować wstępną „naiwność” poszczególnych oddziałów. Potem pałeczkę przejmują kampanie celowane. Administrator dostaje dostęp do potężnej bazy złośliwych szablonów, która jest na okrągło zasilana scenariuszami z prawdziwych incydentów z całego świata. Możemy testować podatność zarówno na prymitywne fałszywki (rzekome paczki od kuriera), jak i na chirurgicznie precyzyjne ataki typu BEC (Business Email Compromise), celujące w działy finansowe. Mechanizm sam ocenia postępy pracownika – jeśli ten nie nabiera się już na proste sztuczki, system podbija poziom trudności, dorzucając do skrzynki zaawansowane oszustwa podatkowe w spreparowanych plikach PDF.
[…]
Marcin Jurczyk
Autor pracuje jako architekt w międzynarodowej firmie świadczącej usługi IT i posiada doświadczenie w zakresie projektowania i integracji systemów na poziomie infrastruktury, chmury i sieci.
