Publikováno: 27. 12. 2021, v rubrice:
Bezpečnost, autor:
Robert Malý
, zobrazeno: 1 049x
Je doba vánoční plná příběhů a zázraků a na jeden takový je potřeba se podívat, protože se z něj můžeme hodně poučit.
Bylo, nebylo 9. 12. (byl a už není) se objevil níže uvedený tweet (mimochodem velmi trefná profilová fotka odkazující na dnes již kultovní film Leon), … a nastalo zděšení, často i oprávněné, hlavně tam, kam bezpečnost nechodí. Protože jak víme, kam nechodí bezpečnost, tam chodí hacker.
Publikováno: 03. 12. 2024, v rubrice:
Bezpečnost, autor:
Miroslav Čermák and
Michal Hanus
, zobrazeno: 162x
Znovu musíme zopakovat, že risk matice jest pro valuaci rizik naprosto nevhodný nástroj.
Nyní se podíváme na to, jak moc je risk matice, kterou používáte, špatná a o kolik miliónů můžete v důsledku jejího používání přijít.
Publikováno: 08. 11. 2024, v rubrice:
Bezpečnost, autor:
Radim Faltus
, zobrazeno: 313x
Má vaše společnost zavedena nějaká pravidla, jak se mají vaši zaměstnanci chovat na sociálních sítích?
A pokud ano, kontrolujete a vynucujete jejich dodržování?
Publikováno: 31. 10. 2024, v rubrice:
Bezpečnost, autor:
Miroslav Čermák and
Michal Hanus
, zobrazeno: 456x
Nepochopení toho, jak matice rizik, mapy rizik nebo chcete-li heat mapy fungují, je příčinou mnohých nedorozumění.
Matice rizik by měla primárně sloužit k vizualizaci rizik, tedy k rozřazení rizik dle typologie (podle vlivu/dominance pravděpodobnostní či dopadové složky rizika). Tj. k rámcové kategorizaci, a rozdělení na ta rizika, kterým byste se měli věnovat hned, kterým později, a kterým se nemusíte věnovat vůbec. Tedy ke snadné a rychlé prioritizaci, nikoli k jejich valuaci .
Publikováno: 19. 10. 2024, v rubrice:
Bezpečnost, autor:
Robert Malý
, zobrazeno: 358x
K tomuto článku mě dovedlo jakési rychlé ohlédnutí, co jsem za cca 25let, kdy se profesionálně věnuji kyberbezpečnosti viděl, protože ať už přímo nebo externě jsem měl možnost seznámit se s kyberbezpečností snad asi ve všech sektorech.
Nebudu mluvit o technologiích, ty se za 25 let neustále měnily i s ohledem na vývoj kyberútoků, kdy v 90. letech, v éře, kdy mnoho hackerských aktivit bylo motivováno spíše zvědavostí než zlým úmyslem až po dnešek, kdy zde kromě profesionální kyberkriminality máme i kybernetickou válku.
Publikováno: 10. 10. 2024, v rubrice:
Bezpečnost, autor:
Martin Mikala
, zobrazeno: 300x
Asymetrická kryptografie je zpravidla postavena na nějakém složitém matematickém problému, pro který není známý efektivní způsob řešení.
Pokud bychom byli takový problém schopni vyřešit, pak bychom mohli daný algoritmus bez problémů prolomit.
Publikováno: 26. 09. 2024, v rubrice:
Bezpečnost, autor:
Miroslav Čermák
, aktualizováno: 04. 10. 2024, zobrazeno: 633x
Stačí mi, když se podívám na vaší matici rizik a hned vám řeknu, jestli rizika ve vaší organizaci řídíte špatně nebo ne.
Jinými slovy, zda náhodou neřešíte rizika, která byste řešit nemuseli, nevynakládáte na ně zbytečné prostředky a naopak rizika, která byste zcela určitě řešit měli, neunikají vaší pozornosti.
Publikováno: 03. 09. 2024, v rubrice:
Bezpečnost, autor:
Miroslav Čermák
, zobrazeno: 429x
Aneb od červených, žlutých a modrých týmů k fialovým, oranžovým a zeleným.
V každé organizaci vývoj, provoz a nasazování nových verzí nějak funguje a nějakým způsobem se i řeší bezpečnost. Někde více, někde méně a někde vůbec.
Publikováno: 11. 06. 2024, v rubrice:
Bezpečnost, autor:
Martin Mikala
, aktualizováno: 10. 10. 2024, zobrazeno: 369x
Při vývoji programů využívajících kryptografii je důležité dodržovat několik základních principů.
Mezi ty nejdůležitější patří například používat doporučené algoritmy s vhodnými parametry a pro účely, pro které byly stvořeny, nebo neimplementovat samotné kryptografické algoritmy, ale použít některou z dostupných kryptografických knihoven (princip „Don’t roll your own crypto“ – „Nenasazuj vlastní kryptografii“).
Publikováno: 02. 06. 2024, v rubrice:
Bezpečnost, autor:
Miroslav Čermák
, zobrazeno: 728x
, 1 komentář
Snaha o atribuci útočníka v kyberprostoru je tady již od jeho samého počátku, ovšem ne vždy se nám to daří a ne vždy je možné bez jakékoliv pochybnosti formulovat jednoznačný závěr.
K identifikaci APT útoku resp. APT skupiny, která za ním stojí lze použít MITRE ATT&CK, Lockheed Martin’s Cyber Kill Chain nebo Diamond Model. Z použitých taktik, technik a postupů, zkr. TTPs. lze usuzovat, o koho by se mohlo jednat, resp. pro koho je takové chování typické.
Publikováno: 12. 05. 2024, v rubrice:
Bezpečnost, autor:
Martin Mikala
, aktualizováno: 10. 10. 2024, zobrazeno: 550x
Vznik a rozšíření nového kryptografického algoritmu je běh na velmi dlouhou trať plný těžkých překážek.
Doba od vymyšlení algoritmu, přes jeho vývoj, pečlivé testování, standardizaci, implementaci v běžných kryptografických knihovnách, počátek praktického užívání, až po rozšíření mezi širokou veřejnost, se neměří v měsících, ale v letech, a zpravidla ve dvouciferných číslech.