Log4j aneb nedávej Apachům ohnivou vodu, dopadne to špatně

Je doba vánoční plná příběhů a zázraků a na jeden takový je potřeba se podívat, protože se z něj můžeme hodně poučit.

Bylo, nebylo 9. 12. (byl a už není) se objevil níže uvedený tweet (mimochodem velmi trefná profilová fotka odkazující na dnes již kultovní film Leon), … a nastalo zděšení, často i oprávněné, hlavně tam, kam bezpečnost nechodí. Protože jak víme, kam nechodí bezpečnost, tam chodí hacker.

celý článek

Představují kvantové počítače hrozbu pro současnou kryptografii? – 2 díl

Vznik a rozšíření nového kryptografického algoritmu je běh na velmi dlouhou trať plný těžkých překážek.

Doba od vymyšlení algoritmu, přes jeho vývoj, pečlivé testování, standardizaci, implementaci v běžných kryptografických knihovnách, počátek praktického užívání, až po rozšíření mezi širokou veřejnost, se neměří v měsících, ale v letech, a zpravidla ve dvouciferných číslech.

Štítky:
celý článek

Představují kvantové počítače hrozbu pro současnou kryptografii?

Kvantové počítače představují naprosto zásadní hrozbu pro současnou kryptografii.

Na druhou stranu je však třeba zdůraznit, že žádné veřejně známé kvantové počítače zatím nedosahují a ani se zdaleka neblíží úrovni potřebné k prolomení současné kryptografie.

Štítky:
celý článek

Dost bylo cibule, přichází kokosák!

Zapomeňme na cibuli jako model vícevrstvé bezpečnosti, neboť je to v pravdě nejméně vhodný příklad.

Pokud se chceme skutečně inspirovat přírodou, a hledat nějaké paralely, tak bychom měli upřít naši pozornost na mnohem zajímavější a pro tento účel i vhodnější plodiny, např. takový kokosový ořech rostoucí na kokosové palmě, který vám jako víceletá rostlina, může v případě péče nést plody i po mnoho let.

Štítky:
celý článek

Bezpečnostní metriky – 4. díl

V tomto příspěvku se podíváme na to, co by u každé metriky mělo být uvedeno.

Ve svém doporučení vycházím z požadavků uvedených v ISO/IEC 27004, standardu NIST 800-55, nejlepších praktik a dále pak vlastních zkušeností. Předpokládám, že seznam všech metrik budete někde evidovat, a u každé metriky pak budete evidovat i řadu atributů jako:

Štítky:
celý článek

Maskování, anonymizace a pseudonymizace dat

V souvislosti s ochranou osobních údajů a citlivých informací se často setkáváme s požadavkem, aby vybraná data byla uložena tak, aby jich v případě úniku nebylo možné zneužít.

V tomto článku se podíváme, jaké jsou naše možnosti a co je to maskování, anonymizace a pseudonymizace.

Štítky:
celý článek

Jak žádat o navýšení rozpočtu na kybernetickou bezpečnost – 2. díl

minulém dílu jsem psal o tom, jaké argumenty lze použít při žádosti o navýšení rozpočtu na kybernetickou bezpečnost.

Těžké, obzvlášť když proti vám sedí osoba, která vás nepotřebuje, a která s vámi vůbec vyjednávat nechce, a k vašim požadavkům tak od začátku i přistupuje. Může, je výše v hierarchii společnosti než vy a má svůj jasný cíl, který bedlivě sleduje.

celý článek

Bezpečnostní metriky – 3. díl

bezpečnostní metrikyNyní si vysvětleme, proč jsou příklady metrik, které jsme si uvedli minulém dílu, naprosto nevhodné.

Množství zachycených síťových skenů, pokusů o zneužití zranitelností, e-mailů se škodlivým kódem, bezpečnostních incidentů nebo zranitelných systémů poukazuje na jediné. Že jste schopni to detekovat, ale naprosto nic to nevypovídá o úrovni vaší bezpečnosti.

Štítky: ,
celý článek

Breach life cycle v roce 2023

breach life cyclePrůměrný breach life cycle je stále 277 dnů, přičemž 204 dnů se útočník pohyboval bez povšimnutí v prostředí organizace a na vypořádání se s incidentem pak organizace potřebovala 73 dnů.

Nejčastěji dochází k úniku osobních údajů klientů a zaměstnanců a duševního vlastnictví, které se prodávají od cca 140 do 180 USD za kus.

Štítky: ,
celý článek

Jaké kybernetické hrozby můžeme očekávat v roce 2024

kybernetické hrozby v roce 2024Přichází konec roku a tak opět nastává čas se zamyslet nad tím, jakým kybernetickým hrozbám budeme čelit v průběhu roku 2024.

Zásadně se nám změní krajina hrozeb, především v důsledku dalšího rozvoje AI, větší dostupností škodlivého kódu a zranitelností nultého dne. Ty již nebudou střeženy tak jako dosud. Noví hráči na trhu je budou poskytovat každému, kdo zaplatí a dostanou se tak více i k nestátním aktérům, kteří nebudou váhat je použít.

Štítky:
celý článek

Bezpečnostní metriky – 2. díl

bezpečnostní metrikyPři tvorbě bezpečnostních metrik je vhodné nahlédnout do mezinárodních standardů, norem a frameworků, které jasně uvádí, jaké požadavky by bezpečnostní metriky měly splňovat.

I když i tady je třeba si dávat pozor, protože i v nich lze narazit na příklady bezpečnostních metrik, které také nejsou úplně ideální.

Štítky: ,
celý článek