O penetračním testování i bug bounty programech jsme již psali. V tomto příspěvku bych rád srovnal tyto dva přístupy k identifikaci zranitelností, které  nemusí stát proti sobě, ale mohou se i vzájemně doplňovat.

Rozdíly jsou dány délkou trvání, náklady a typy objevených chyb, což zachycuje tabulka níže.

Došlo k citelnému poklesu klasického bankovního malware, který napadal koncová zařízení uživatelů.

Drtivá většina útoků je letos realizována prostřednictvím phishing e-mailů, které obsahují odkaz vedoucí na zpravidla hacknutý web s certifikátem, na kterém je umístěna kopie stránek internetového bankovnictví, takže je celkem jedno, z jakého zařízení klient přistupuje a jaký na něm běží operační systém.

Občas mě někdo osloví, jestli bych pro něj neudělal nějakou reklamu. Ale když se jej zeptám, zdali má zpracovanou marketingovou strategii a vůbec jaký je jeho integrovaný marketingový mix, tak je překvapen.

Netuší, že reklama je jen pouhá část integrovaného marketingového mixu a zároveň i to poslední, co by měl v dané chvíli řešit, a že musí být přizpůsobena na míru segmentu nebo personě, kterou chce oslovit.

V souvislosti s řízením a správou operačních rizik se můžeme setkat s tzv. třemi liniemi obrany.

Tento jednoduchý (three lines of defence, zkr. 3LOD) model je tady s námi již hezkou řádku let, cca dvě dekády, a je otázka, zda je tento model stále ještě plně funkční.

Na školení pořádaných samozvanými guru na sociální síť LinkedIn se o něm nedozvíte, a nikdo v ČR ho evidentně neumí a nedělá, tedy až na pár výjimek.

Což je škoda, protože je zde obrovská možnost s minimálními náklady dosáhnout neskutečných výsledků.

Dumpster diving, doslova potápění se v odpadcích, patří mezi nejjednodušší způsob jak získat citlivé informace.

A nemusí to být ani nic nepříjemného, jak by se mohlo na první pohled zdát. Dokonce se může jednat i o poměrně čistou práci. Obzvlášť ve firmách, které se chovají odpovědně a svědomitě třídí odpad.

Dnes si opět uvedeme jednoduchý příklad stanovení ceny produktu na základě znalostí z prvního dílu.

Představte si, že máte produkt A, který je úplně nový, ale moc se neprodává, takže co s ním?

S exploity se obchoduje stejně jako s jakoukoliv jinou komoditou. Jednoduše řečeno, někdo vykupuje švestky a dělá z nich kvalitní slivovici a někdy zase zero day exploity a dělá z nich kvalitní malware.

O kvalitě lze samozřejmě v obou případech diskutovat, ovšem oboje si své kupce najde, jen u těch exploitů je výkupní cena za kus kapánek vyšší a v čase roste.

V rámci strategického řízení musíme nejprve definovat vizi a misi. Následně pak provést hierarchický rozpad cílů.

Že cíle mají být SMART, již víme, ovšem s tím hierarchickým rozpadem cílů to bývá někdy docela potíž. Obzvláště pokud své služby poskytujete firmě v zahraničí anebo se zahraniční účastí, protože není cíl jako cíl. Ona totiž existuje celá hierarchická struktura cílů:

Nerozumíte? Není se čemu divit, protože kromě té první zkratky tyhle pojmy skoro nikdo nepoužívá.

A navíc ne každý musí tyto pojmy vnímat úplně stejně a dokonce se v jejich výkladu neshodnou ani organizace provádějící certifikace v oblasti informační bezpečnosti.