Log4j aneb nedávej Apachům ohnivou vodu, dopadne to špatně

Je doba vánoční plná příběhů a zázraků a na jeden takový je potřeba se podívat, protože se z něj můžeme hodně poučit.

Bylo, nebylo 9. 12. (byl a už není) se objevil níže uvedený tweet (mimochodem velmi trefná profilová fotka odkazující na dnes již kultovní film Leon), … a nastalo zděšení, často i oprávněné, hlavně tam, kam bezpečnost nechodí. Protože jak víme, kam nechodí bezpečnost, tam chodí hacker.

celý článek

Jaký je přínos duhových týmů

Aneb od červených, žlutých a modrých týmů k fialovým, oranžovým a zeleným.

V každé organizaci vývoj, provoz a nasazování nových verzí nějak funguje a nějakým způsobem se i řeší bezpečnost. Někde více, někde méně a někde vůbec.

celý článek

Představují kvantové počítače hrozbu pro současnou kryptografii? – 3. díl

Při vývoji programů využívajících kryptografii je důležité dodržovat několik základních principů.

Mezi ty nejdůležitější patří například používat doporučené algoritmy s vhodnými parametry a pro účely, pro které byly stvořeny, nebo neimplementovat samotné kryptografické algoritmy, ale použít některou z dostupných kryptografických knihoven (princip „Don’t roll your own crypto“ – „Nenasazuj vlastní kryptografii“).

Štítky:
celý článek

Atribuce bez legrace aneb Dám dělovou ránu. Bum, bum, bum, bum.

Snaha o atribuci útočníka v kyberprostoru je tady již od jeho samého počátku, ovšem ne vždy se nám to daří a ne vždy je možné bez jakékoliv pochybnosti formulovat jednoznačný závěr.

K identifikaci APT útoku resp. APT skupiny, která za ním stojí lze použít MITRE ATT&CK, Lockheed Martin’s Cyber Kill Chain nebo Diamond Model. Z použitých taktik, technik a postupů, zkr. TTPs. lze usuzovat, o koho by se mohlo jednat, resp. pro koho je takové chování typické.

Štítky:
celý článek

Představují kvantové počítače hrozbu pro současnou kryptografii? – 2. díl

Vznik a rozšíření nového kryptografického algoritmu je běh na velmi dlouhou trať plný těžkých překážek.

Doba od vymyšlení algoritmu, přes jeho vývoj, pečlivé testování, standardizaci, implementaci v běžných kryptografických knihovnách, počátek praktického užívání, až po rozšíření mezi širokou veřejnost, se neměří v měsících, ale v letech, a zpravidla ve dvouciferných číslech.

Štítky:
celý článek

Představují kvantové počítače hrozbu pro současnou kryptografii?

Kvantové počítače představují naprosto zásadní hrozbu pro současnou kryptografii.

Na druhou stranu je však třeba zdůraznit, že žádné veřejně známé kvantové počítače zatím nedosahují a ani se zdaleka neblíží úrovni potřebné k prolomení současné kryptografie.

Štítky:
celý článek

Dost bylo cibule, přichází kokosák!

Zapomeňme na cibuli jako model vícevrstvé bezpečnosti, neboť je to v pravdě nejméně vhodný příklad.

Pokud se chceme skutečně inspirovat přírodou, a hledat nějaké paralely, tak bychom měli upřít naši pozornost na mnohem zajímavější a pro tento účel i vhodnější plodiny, např. takový kokosový ořech rostoucí na kokosové palmě, který vám jako víceletá rostlina, může v případě péče nést plody i po mnoho let.

Štítky:
celý článek

Bezpečnostní metriky – 4. díl

V tomto příspěvku se podíváme na to, co by u každé metriky mělo být uvedeno.

Ve svém doporučení vycházím z požadavků uvedených v ISO/IEC 27004, standardu NIST 800-55, nejlepších praktik a dále pak vlastních zkušeností. Předpokládám, že seznam všech metrik budete někde evidovat, a u každé metriky pak budete evidovat i řadu atributů jako:

Štítky:
celý článek

Maskování, anonymizace a pseudonymizace dat

V souvislosti s ochranou osobních údajů a citlivých informací se často setkáváme s požadavkem, aby vybraná data byla uložena tak, aby jich v případě úniku nebylo možné zneužít.

V tomto článku se podíváme, jaké jsou naše možnosti a co je to maskování, anonymizace a pseudonymizace.

Štítky:
celý článek

Jak žádat o navýšení rozpočtu na kybernetickou bezpečnost – 2. díl

minulém dílu jsem psal o tom, jaké argumenty lze použít při žádosti o navýšení rozpočtu na kybernetickou bezpečnost.

Těžké, obzvlášť když proti vám sedí osoba, která vás nepotřebuje, a která s vámi vůbec vyjednávat nechce, a k vašim požadavkům tak od začátku i přistupuje. Může, je výše v hierarchii společnosti než vy a má svůj jasný cíl, který bedlivě sleduje.

celý článek

Bezpečnostní metriky – 3. díl

bezpečnostní metrikyNyní si vysvětleme, proč jsou příklady metrik, které jsme si uvedli minulém dílu, naprosto nevhodné.

Množství zachycených síťových skenů, pokusů o zneužití zranitelností, e-mailů se škodlivým kódem, bezpečnostních incidentů nebo zranitelných systémů poukazuje na jediné. Že jste schopni to detekovat, ale naprosto nic to nevypovídá o úrovni vaší bezpečnosti.

Štítky: ,
celý článek