Jaké kybernetické hrozby můžeme očekávat v roce 2025

Přichází konec roku a tak opět nastává čas se zamyslet nad tím, jakým kybernetickým hrozbám budeme čelit v průběhu roku 2025.

Vzhledem k pokročilejším bezpečnostním řešením se budeme stále častěji setkávat s vícefázovými a déle trvajícími útoky, které budou mít větší šanci uniknout pokročilým detekcím.

Štítky:
celý článek

Používáte matici rizik a mohl bych ji vidět? – 3. díl

anatomie risk maticeZnovu musíme zopakovat, že risk matice jest pro valuaci rizik naprosto nevhodný nástroj.

Nyní se podíváme na to, jak moc je risk matice, kterou používáte, špatná a o kolik miliónů můžete v důsledku jejího používání přijít.

Štítky: ,
celý článek

Jakou výši kybernetického rizika jste ochotni akceptovat?

Risk apetit představuje takovou úroveň rizika, kterou je organizace ochotná akceptovat po zahrnutí všech současných kontrol.

V mezinárodním standardu ISO 27005:2022 je risk appetite definován jako: „Amount and type of risk that an organization is willing to pursue or retain.“

Štítky:
celý článek

Používáte matici rizik a mohl bych ji vidět? – 2. díl

Nepochopení toho, jak matice rizik, mapy rizik nebo chcete-li heat mapy fungují, je příčinou mnohých nedorozumění.

Matice rizik by měla primárně sloužit k vizualizaci rizik, tedy k rozřazení rizik dle typologie (podle vlivu/dominance pravděpodobnostní či dopadové složky rizika). Tj. k rámcové kategorizaci, a rozdělení na ta rizika, kterým byste se měli věnovat hned, kterým později, a kterým se nemusíte věnovat vůbec. Tedy ke snadné a rychlé prioritizaci, nikoli k jejich valuaci .

Štítky: ,
celý článek

Neformální vzdělávání: Google cybersecurity

Kurz Google cybersecurity se skládá z 8 kurzů o celkové délce 170 hodin a měl by vás připravit na roli kybernetického bezpečnostního analytika (cybersecurity analyst).

Těm, kteří v oblasti kybernetické bezpečnosti začínají anebo by se jí chtěli věnovat, jej mohu vzhledem k jeho praktickému zaměření vřele doporučit.

Štítky:
celý článek

Používáte matici rizik a mohl bych ji vidět?

Stačí mi, když se podívám na vaší matici rizik a hned vám řeknu, jestli rizika ve vaší organizaci řídíte špatně nebo ne.

Jinými slovy, zda náhodou neřešíte rizika, která byste řešit nemuseli, nevynakládáte na ně zbytečné prostředky a naopak rizika, která byste zcela určitě řešit měli, neunikají vaší pozornosti.

Štítky: ,
celý článek

Jaký je přínos duhových týmů

Aneb od červených, žlutých a modrých týmů k fialovým, oranžovým a zeleným.

V každé organizaci vývoj, provoz a nasazování nových verzí nějak funguje a nějakým způsobem se i řeší bezpečnost. Někde více, někde méně a někde vůbec.

celý článek

OSINT: Google hacking, dorking a pokročilé vyhledávání

Pokročilé vyhledávání je založeno na použití speciálních operátorů, což jsou de facto vyhrazená klíčová slova, za kterými následuje dvojtečka a po ní výraz, který hledáme.

A pak tu máme ještě Google hacking nebo také Google dorking, který obsahuje databázi zajímavých dotazů založenou právě na pokročilém vyhledávání.

Štítky:
celý článek

Neformální vzdělávání: TryHackMe

Portál TryHackMe nabízí možnost se připravit na roli etického hackera, penetračního testera, bezpečnostního analytika apod.

Po registraci je k dispozici hned několik cest (paths), kterými se můžete vydat a po jejich absolvování pak na vás čeká i certifikát. Cesta se skládá z modulů (module), které tvoří nějaký logický celek. A moduly se pak skládají z tzv. místností (rooms), ve kterých se učíte a prověřujete své znalosti konkrétní problematiky ve formě otázek a praktických příkladů (tasks).

celý článek

Atribuce bez legrace aneb Dám dělovou ránu. Bum, bum, bum, bum.

Snaha o atribuci útočníka v kyberprostoru je tady již od jeho samého počátku, ovšem ne vždy se nám to daří a ne vždy je možné bez jakékoliv pochybnosti formulovat jednoznačný závěr.

K identifikaci APT útoku resp. APT skupiny, která za ním stojí lze použít MITRE ATT&CK, Lockheed Martin’s Cyber Kill Chain nebo Diamond Model. Z použitých taktik, technik a postupů, zkr. TTPs. lze usuzovat, o koho by se mohlo jednat, resp. pro koho je takové chování typické.

Štítky:
celý článek