Publikováno: 27. 12. 2021, v rubrice:
Bezpečnost, autor:
Robert Malý
, zobrazeno: 810x
Je doba vánoční plná příběhů a zázraků a na jeden takový je potřeba se podívat, protože se z něj můžeme hodně poučit.
Bylo, nebylo 9. 12. (byl a už není) se objevil níže uvedený tweet (mimochodem velmi trefná profilová fotka odkazující na dnes již kultovní film Leon), … a nastalo zděšení, často i oprávněné, hlavně tam, kam bezpečnost nechodí. Protože jak víme, kam nechodí bezpečnost, tam chodí hacker.
Publikováno: 02. 09. 2023, v rubrice:
Bezpečnost, autor:
Miroslav Čermák
, zobrazeno: 163x
Pokud jde o vyhodnocování úspěšnosti phishingových kampaní, vyplatí se sledovat i jiné ukazatele, než jen failure rate, success rate a miss rate.
Je tomu tak proto, že lidský firewall má své limity a v každé organizaci se vždy najde někdo, kdo klikne. A v takovém případě je mnohem důležitější, než sledovat počet těch, co klikli nebo e-mail nahlásili, sledovat čas, který mezitím uběhl. Zkuste pouvažovat o následujících metrikách.
Publikováno: 16. 07. 2023, v rubrice:
Bezpečnost, autor:
Miroslav Čermák
, zobrazeno: 384x
Nejedná se o žádný sofistikovaný způsob, nevyužívá se ani žádné technické zranitelnosti, nýbrž obyčejných technik sociálního inženýrství.
Prostě vlezeš na nějaký web a ten ti zobrazí Bublinu s „Povolit oznámení z tohoto webu a vpravo je „Povolit“ a vlevo „Odmítnout“, přičemž většina lidí automaticky kliká na pravé tlačítko, aby se té bubliny, co jim na tom malém displeji zakrývá většinu obsahu webu, co nejrychleji zbavili.
Publikováno: 07. 07. 2023, v rubrice:
Bezpečnost, autor:
Miroslav Čermák
, zobrazeno: 369x
Návrh fyzických bezpečnostních opatření se odvíjí od postavení organizace na trhu, jejího poslání a hrozeb, kterým je vystavena.
Předpokladem je vždy rozčlenění objektu na zóny, ve kterých se může pohybovat veřejnost, kde dochází ke střetu mezi zaměstnanci a veřejností, a dále pak zóny, kde se mohou pohybovat jen zaměstnanci a konečně i zóny, kde se může pohybovat jen vybraná skupina zaměstnanců, např. výpočetní středisko.
Publikováno: 07. 06. 2023, v rubrice:
Bezpečnost, autor:
Miroslav Čermák
, zobrazeno: 564x
V rámci veřejného připomínkování návrhu nového zákona o kybernetické bezpečnosti jsem opět otevřel téma týkající se dostatečnosti CIA modelu a navrhoval jsem zvážit adoptování Parkerian hexad modelu.
Ten kromě důvěrnosti, integrity a dostupnosti pracuje ještě s atributy neodmítnutelnosti, užitečnosti a vlastnictví.
Publikováno: 01. 06. 2023, v rubrice:
Bezpečnost, autor:
Miroslav Čermák
, zobrazeno: 690x
Certified in Cybersecurity, dále jen CC, je základní bezpečnostní certifikace od společnosti (ISC)2, kterou je možné absolvovat bez poplatku, což je super.
A zdarma je možno absolvovat i stejnojmenný on-line kurz, který by vás měl na tuto zkoušku připravit. Přípravný kurz CC, který je dostupný po registraci na stránkách (ISC)2 se skládá z 5 modulů, v rámci kterých jsou vysvětleny základní pojmy.
Publikováno: 11. 05. 2023, v rubrice:
Bezpečnost, autor:
Robert Malý
, zobrazeno: 672x
Věříte tomu, co čtete v chatu MS Teams? A víte, že se vám může skrytě měnit?
Chatujete často, nevěříte na spoofing, říkáte si, co je psáno to je dáno? A co když vám řeknu, nedělejte to, chat se vám může změnit doslova pod rukama.
Publikováno: 10. 05. 2023, v rubrice:
Bezpečnost, autor:
Miroslav Čermák
, zobrazeno: 540x
Bezpečnostní osvěta (security awareness), trénink (training) a vzdělávání (education) představují tzv. vzdělávací kontinuum (learning continuum).
Ostatně takto to formuloval NIST ve své publikaci SP 800-16 Information Technology Security Training Requirements již v roce 1989.
Publikováno: 24. 04. 2023, v rubrice:
Bezpečnost, autor:
Miroslav Čermák
, zobrazeno: 464x
Microsoft Teams jako platforma pro skupinovou komunikaci je naprosto super, ovšem málokdo si uvědomuje, jak snadno může být zneužita.
Ostatně jako jakýkoliv jiný prostředek umožňující komunikaci a výměnu zpráv mezi uživateli.
Publikováno: 10. 04. 2023, v rubrice:
Bezpečnost, autor:
Miroslav Čermák
, zobrazeno: 357x
Exploit Prediction Scoring Systém, zkr. EPSS slouží ke stanovení pravděpodobnosti zneužití zranitelnosti, které bylo přiděleno CVE.
Hlavní myšlenka EPSS vychází z předpokladu, že jestliže existuje obrovské množství zranitelností, ale jen některé z nich jsou pak reálně zneužívány, tak by bylo vhodné se jako první věnovat těm zranitelnostem, u kterých je větší pravděpodobnost, že budou v následujících 30 dnech skutečně zneužity.
Publikováno: 03. 04. 2023, v rubrice:
Bezpečnost, autor:
Miroslav Čermák
, zobrazeno: 390x
Povrchový, hluboký a temný web. V originále surface, deep a darknet web lze využívat v rámci OSINT k získávání informací.
Nejčastěji se tyto tři vrstvy internetu zobrazují jako ledovec, kdy ta menší část je surface web nacházející se nad hladinou nazývaná též jako viditelný web (visible web) a deep web a darknet web je pak ta větší část skrytá pod hladinou, nazývaná též jako neviditelný/skrytý web (invisible/hidden web).