Publikováno: 27. 12. 2021, v rubrice:
Bezpečnost, autor:
Robert Malý
, zobrazeno: 986x
Je doba vánoční plná příběhů a zázraků a na jeden takový je potřeba se podívat, protože se z něj můžeme hodně poučit.
Bylo, nebylo 9. 12. (byl a už není) se objevil níže uvedený tweet (mimochodem velmi trefná profilová fotka odkazující na dnes již kultovní film Leon), … a nastalo zděšení, často i oprávněné, hlavně tam, kam bezpečnost nechodí. Protože jak víme, kam nechodí bezpečnost, tam chodí hacker.
Publikováno: 03. 09. 2024, v rubrice:
Bezpečnost, autor:
Miroslav Čermák
, zobrazeno: 173x
Aneb od červených, žlutých a modrých týmů k fialovým, oranžovým a zeleným.
V každé organizaci vývoj, provoz a nasazování nových verzí nějak funguje a nějakým způsobem se i řeší bezpečnost. Někde více, někde méně a někde vůbec.
Publikováno: 11. 06. 2024, v rubrice:
Bezpečnost, autor:
Martin Mikala
, zobrazeno: 266x
Při vývoji programů využívajících kryptografii je důležité dodržovat několik základních principů.
Mezi ty nejdůležitější patří například používat doporučené algoritmy s vhodnými parametry a pro účely, pro které byly stvořeny, nebo neimplementovat samotné kryptografické algoritmy, ale použít některou z dostupných kryptografických knihoven (princip „Don’t roll your own crypto“ – „Nenasazuj vlastní kryptografii“).
Publikováno: 02. 06. 2024, v rubrice:
Bezpečnost, autor:
Miroslav Čermák
, zobrazeno: 525x
, 1 komentář
Snaha o atribuci útočníka v kyberprostoru je tady již od jeho samého počátku, ovšem ne vždy se nám to daří a ne vždy je možné bez jakékoliv pochybnosti formulovat jednoznačný závěr.
K identifikaci APT útoku resp. APT skupiny, která za ním stojí lze použít MITRE ATT&CK, Lockheed Martin’s Cyber Kill Chain nebo Diamond Model. Z použitých taktik, technik a postupů, zkr. TTPs. lze usuzovat, o koho by se mohlo jednat, resp. pro koho je takové chování typické.
Publikováno: 12. 05. 2024, v rubrice:
Bezpečnost, autor:
Martin Mikala
, aktualizováno: 07. 06. 2024, zobrazeno: 478x
Vznik a rozšíření nového kryptografického algoritmu je běh na velmi dlouhou trať plný těžkých překážek.
Doba od vymyšlení algoritmu, přes jeho vývoj, pečlivé testování, standardizaci, implementaci v běžných kryptografických knihovnách, počátek praktického užívání, až po rozšíření mezi širokou veřejnost, se neměří v měsících, ale v letech, a zpravidla ve dvouciferných číslech.
Publikováno: 06. 04. 2024, v rubrice:
Bezpečnost, autor:
Martin Mikala
, zobrazeno: 888x
Kvantové počítače představují naprosto zásadní hrozbu pro současnou kryptografii.
Na druhou stranu je však třeba zdůraznit, že žádné veřejně známé kvantové počítače zatím nedosahují a ani se zdaleka neblíží úrovni potřebné k prolomení současné kryptografie.
Publikováno: 02. 04. 2024, v rubrice:
Bezpečnost, autor:
Miroslav Čermák
, zobrazeno: 827x
Zapomeňme na cibuli jako model vícevrstvé bezpečnosti, neboť je to v pravdě nejméně vhodný příklad.
Pokud se chceme skutečně inspirovat přírodou, a hledat nějaké paralely, tak bychom měli upřít naši pozornost na mnohem zajímavější a pro tento účel i vhodnější plodiny, např. takový kokosový ořech rostoucí na kokosové palmě, který vám jako víceletá rostlina, může v případě péče nést plody i po mnoho let.
Publikováno: 04. 03. 2024, v rubrice:
Bezpečnost, autor:
Miroslav Čermák
, zobrazeno: 605x
V tomto příspěvku se podíváme na to, co by u každé metriky mělo být uvedeno.
Ve svém doporučení vycházím z požadavků uvedených v ISO/IEC 27004, standardu NIST 800-55, nejlepších praktik a dále pak vlastních zkušeností. Předpokládám, že seznam všech metrik budete někde evidovat, a u každé metriky pak budete evidovat i řadu atributů jako:
Publikováno: 17. 02. 2024, v rubrice:
Bezpečnost, autor:
Miroslav Čermák
, zobrazeno: 914x
V souvislosti s ochranou osobních údajů a citlivých informací se často setkáváme s požadavkem, aby vybraná data byla uložena tak, aby jich v případě úniku nebylo možné zneužít.
V tomto článku se podíváme, jaké jsou naše možnosti a co je to maskování, anonymizace a pseudonymizace.
Publikováno: 06. 02. 2024, v rubrice:
Bezpečnost, autor:
Miroslav Čermák
, zobrazeno: 836x
V minulém dílu jsem psal o tom, jaké argumenty lze použít při žádosti o navýšení rozpočtu na kybernetickou bezpečnost.
Těžké, obzvlášť když proti vám sedí osoba, která vás nepotřebuje, a která s vámi vůbec vyjednávat nechce, a k vašim požadavkům tak od začátku i přistupuje. Může, je výše v hierarchii společnosti než vy a má svůj jasný cíl, který bedlivě sleduje.
Publikováno: 25. 01. 2024, v rubrice:
Bezpečnost, autor:
Miroslav Čermák
, zobrazeno: 723x
Nyní si vysvětleme, proč jsou příklady metrik, které jsme si uvedli minulém dílu, naprosto nevhodné.
Množství zachycených síťových skenů, pokusů o zneužití zranitelností, e-mailů se škodlivým kódem, bezpečnostních incidentů nebo zranitelných systémů poukazuje na jediné. Že jste schopni to detekovat, ale naprosto nic to nevypovídá o úrovni vaší bezpečnosti.