Log4j aneb nedávej Apachům ohnivou vodu, dopadne to špatně

Je doba vánoční plná příběhů a zázraků a na jeden takový je potřeba se podívat, protože se z něj můžeme hodně poučit.

Bylo, nebylo 9. 12. (byl a už není) se objevil níže uvedený tweet (mimochodem velmi trefná profilová fotka odkazující na dnes již kultovní film Leon), … a nastalo zděšení, často i oprávněné, hlavně tam, kam bezpečnost nechodí. Protože jak víme, kam nechodí bezpečnost, tam chodí hacker.

celý článek

Maskování, anonymizace a pseudonymizace dat

V souvislosti s ochranou osobních údajů a citlivých informací se často setkáváme s požadavkem, aby vybraná data byla uložena tak, aby jich v případě úniku nebylo možné zneužít.

V tomto článku se podíváme, jaké jsou naše možnosti a co je to maskování, anonymizace a pseudonymizace.

Štítky:
celý článek

Jak žádat o navýšení rozpočtu na kybernetickou bezpečnost – 2. díl

minulém dílu jsem psal o tom, jaké argumenty lze použít při žádosti o navýšení rozpočtu na kybernetickou bezpečnost.

Těžké, obzvlášť když proti vám sedí osoba, která vás nepotřebuje, a která s vámi vůbec vyjednávat nechce, a k vašim požadavkům tak od začátku i přistupuje. Může, je výše v hierarchii společnosti než vy a má svůj jasný cíl, který bedlivě sleduje.

celý článek

Bezpečnostní metriky – 3. díl

bezpečnostní metrikyNyní si vysvětleme, proč jsou příklady metrik, které jsme si uvedli minulém dílu, naprosto nevhodné.

Množství zachycených síťových skenů, pokusů o zneužití zranitelností, e-mailů se škodlivým kódem, bezpečnostních incidentů nebo zranitelných systémů poukazuje na jediné. Že jste schopni to detekovat, ale naprosto nic to nevypovídá o úrovni vaší bezpečnosti.

Štítky: ,
celý článek

Breach life cycle v roce 2023

breach life cyclePrůměrný breach life cycle je stále 277 dnů, přičemž 204 dnů se útočník pohyboval bez povšimnutí v prostředí organizace a na vypořádání se s incidentem pak organizace potřebovala 73 dnů.

Nejčastěji dochází k úniku osobních údajů klientů a zaměstnanců a duševního vlastnictví, které se prodávají od cca 140 do 180 USD za kus.

Štítky: ,
celý článek

Jaké kybernetické hrozby můžeme očekávat v roce 2024

kybernetické hrozby v roce 2024Přichází konec roku a tak opět nastává čas se zamyslet nad tím, jakým kybernetickým hrozbám budeme čelit v průběhu roku 2024.

Zásadně se nám změní krajina hrozeb, především v důsledku dalšího rozvoje AI, větší dostupností škodlivého kódu a zranitelností nultého dne. Ty již nebudou střeženy tak jako dosud. Noví hráči na trhu je budou poskytovat každému, kdo zaplatí a dostanou se tak více i k nestátním aktérům, kteří nebudou váhat je použít.

Štítky:
celý článek

Bezpečnostní metriky – 2. díl

bezpečnostní metrikyPři tvorbě bezpečnostních metrik je vhodné nahlédnout do mezinárodních standardů, norem a frameworků, které jasně uvádí, jaké požadavky by bezpečnostní metriky měly splňovat.

I když i tady je třeba si dávat pozor, protože i v nich lze narazit na příklady bezpečnostních metrik, které také nejsou úplně ideální.

Štítky: ,
celý článek

Následky DDoS útoků

DDoS útoky zpravidla trvají několik hodin, výjimečně i několik dnů. A některé organizace se s nimi setkávají i opakovaně.

Následky DDoS útoků mohou být různé. Na internetu jsou nejčastěji uváděny děsivé scénáře, které se shodují snad jedině v tom, že škody rostou s délkou trvání útoku. Ale kolik že ty DDoS útoky organizace skutečně stojí, se nikde nedočteme.

Štítky: ,
celý článek

Hodnocení zranitelností – 8. díl

Prvního listopadu spatřila světlo světa nová verze systému pro hodnocení zranitelností, CVSS v4.0.

Podívejme se, co je nového. Změny se objevují jak ve stávajících metrikách, tak se zde objevují i zcela nové metriky a samozřejmě i kalkulátor.

Štítky:
celý článek

Bezpečnostní metriky – 1. díl

V informační a kybernetické bezpečnosti používáme řadu metrik, které nám ukazují, jak na tom jsme. Bohužel ne vždy jsou používány ty správné metriky a správným způsobem.

O tom, jak k jejich návrhu přistoupit, pak bude pojednávat série příspěvků na toto téma, která je učena všem, kteří nechtějí vytvářet jen hezké, ale nic neříkající dashboardy, ale jde jim o to bezpečnost skutečně měřit a řídit.

Štítky: ,
celý článek

Simulovaný phishing – 2. díl

Pokud jde o vyhodnocování úspěšnosti phishingových kampaní, vyplatí se sledovat i jiné ukazatele, než jen failure rate, success rate a miss rate.

Je tomu tak proto, že lidský firewall má své limity a v každé organizaci se vždy najde někdo, kdo klikne. A v takovém případě je mnohem důležitější, než sledovat počet těch, co klikli nebo e-mail nahlásili, sledovat čas, který mezitím uběhl. Zkuste pouvažovat o následujících metrikách.

Štítky:
celý článek