Při tvorbě bezpečnostních metrik je vhodné nahlédnout do mezinárodních standardů, norem a frameworků, které jasně uvádí, jaké požadavky by bezpečnostní metriky měly splňovat.

I když i tady je třeba si dávat pozor, protože i v nich lze narazit na příklady bezpečnostních metrik, které také nejsou úplně ideální.

DDoS útoky zpravidla trvají několik hodin, výjimečně i několik dnů. A některé organizace se s nimi setkávají i opakovaně.

Následky DDoS útoků mohou být různé. Na internetu jsou nejčastěji uváděny děsivé scénáře, které se shodují snad jedině v tom, že škody rostou s délkou trvání útoku. Ale kolik že ty DDoS útoky organizace skutečně stojí, se nikde nedočteme.

Prvního listopadu spatřila světlo světa nová verze systému pro hodnocení zranitelností, CVSS v4.0.

Podívejme se, co je nového. Změny se objevují jak ve stávajících metrikách, tak se zde objevují i zcela nové metriky a samozřejmě i kalkulátor.

Než se vrhnete do vyhledávání informací, tak je vhodné si nejprve připravit prostředí, ze kterého budete tyto a s nimi související aktivity provádět.

Můžete sice do internetu přistupovat ze svého běžného zařízení a pod svým profilem, ovšem s ohledem na vaši bezpečnost to úplně nedoporučuji.

V informační a kybernetické bezpečnosti používáme řadu metrik, které nám ukazují, jak na tom jsme. Bohužel ne vždy jsou používány ty správné metriky a správným způsobem.

O tom, jak k jejich návrhu přistoupit, pak bude pojednávat série příspěvků na toto téma, která je učena všem, kteří nechtějí vytvářet jen hezké, ale nic neříkající dashboardy, ale jde jim o to bezpečnost skutečně měřit a řídit.

V rámci vedení hybridní války, PSYOPS a ovlivňování veřejného mínění můžeme stále častěji narazit na zprávy, kde autor uvádí i důvěryhodný zdroj a zaštiťuje se nejrůznějšími autoritami.

Autoritami, kterými jsou profesoři, docenti a doktoři z odpovídajícího oboru, kteří existují a jejichž práce byly publikovány v recenzovaných médiích a lze je dohledat. Nejde tedy o smyšlené autority, kterými se zaštiťuji nejrůznější MLM šmejdi a individua nabízející již po mnoho let na internetu jedinečné produkty na všechno možné.

Pokud jde o vyhodnocování úspěšnosti phishingových kampaní, vyplatí se sledovat i jiné ukazatele, než jen failure rate, success rate a miss rate.

Je tomu tak proto, že lidský firewall má své limity a v každé organizaci se vždy najde někdo, kdo klikne. A v takovém případě je mnohem důležitější, než sledovat počet těch, co klikli nebo e-mail nahlásili, sledovat čas, který mezitím uběhl. Zkuste pouvažovat o následujících metrikách.

V rámci neformálního vzdělávání se pro bezpečnostní profesionály nabízí absolvování mnoha různých kurzů zakončených certifikací.

K nejzajímavějším obecným certifikacím, které nejsou zaměřeny na žádnou konkrétní platformu pak patří kurzy a certifikace od společností ISACA, (ISC)², EC-Council, SANS institute, GIAC, CompTIA.

OSINT je proces transformace dat z OSD (Open Source Data) na OSIF (Open Source Information) následně na OSINT a nakonec na OSINT-V (validated).

V rámci OSINT je třeba naplánovat, z jakých zdrojů budou informace získávány.

Nejedná se o žádný sofistikovaný způsob, nevyužívá se ani žádné technické zranitelnosti, nýbrž obyčejných technik sociálního inženýrství.

Prostě vlezeš na nějaký web a ten ti zobrazí Bublinu s „Povolit oznámení z tohoto webu a vpravo je „Povolit“ a vlevo „Odmítnout“, přičemž většina lidí automaticky kliká na pravé tlačítko, aby se té bubliny, co jim na tom malém displeji zakrývá většinu obsahu webu, co nejrychleji zbavili.