Prvního listopadu spatřila světlo světa nová verze systému pro hodnocení zranitelností, CVSS v4.0.
Podívejme se, co je nového. Změny se objevují jak ve stávajících metrikách, tak se zde objevují i zcela nové metriky a samozřejmě i kalkulátor.
Prvního listopadu spatřila světlo světa nová verze systému pro hodnocení zranitelností, CVSS v4.0.
Podívejme se, co je nového. Změny se objevují jak ve stávajících metrikách, tak se zde objevují i zcela nové metriky a samozřejmě i kalkulátor.
V informační a kybernetické bezpečnosti používáme řadu metrik, které nám ukazují, jak na tom jsme. Bohužel ne vždy jsou používány ty správné metriky a správným způsobem.
O tom, jak k jejich návrhu přistoupit, pak bude pojednávat série příspěvků na toto téma, která je učena všem, kteří nechtějí vytvářet jen hezké, ale nic neříkající dashboardy, ale jde jim o to bezpečnost skutečně měřit a řídit.
Pokud jde o vyhodnocování úspěšnosti phishingových kampaní, vyplatí se sledovat i jiné ukazatele, než jen failure rate, success rate a miss rate.
Je tomu tak proto, že lidský firewall má své limity a v každé organizaci se vždy najde někdo, kdo klikne. A v takovém případě je mnohem důležitější, než sledovat počet těch, co klikli nebo e-mail nahlásili, sledovat čas, který mezitím uběhl. Zkuste pouvažovat o následujících metrikách.
Nejedná se o žádný sofistikovaný způsob, nevyužívá se ani žádné technické zranitelnosti, nýbrž obyčejných technik sociálního inženýrství.
Prostě vlezeš na nějaký web a ten ti zobrazí Bublinu s „Povolit oznámení z tohoto webu a vpravo je „Povolit“ a vlevo „Odmítnout“, přičemž většina lidí automaticky kliká na pravé tlačítko, aby se té bubliny, co jim na tom malém displeji zakrývá většinu obsahu webu, co nejrychleji zbavili.
Návrh fyzických bezpečnostních opatření se odvíjí od postavení organizace na trhu, jejího poslání a hrozeb, kterým je vystavena.
Předpokladem je vždy rozčlenění objektu na zóny, ve kterých se může pohybovat veřejnost, kde dochází ke střetu mezi zaměstnanci a veřejností, a dále pak zóny, kde se mohou pohybovat jen zaměstnanci a konečně i zóny, kde se může pohybovat jen vybraná skupina zaměstnanců, např. výpočetní středisko.
V rámci veřejného připomínkování návrhu nového zákona o kybernetické bezpečnosti jsem opět otevřel téma týkající se dostatečnosti CIA modelu a navrhoval jsem zvážit adoptování Parkerian hexad modelu.
Ten kromě důvěrnosti, integrity a dostupnosti pracuje ještě s atributy neodmítnutelnosti, užitečnosti a vlastnictví.
Certified in Cybersecurity, dále jen CC, je základní bezpečnostní certifikace od společnosti (ISC)2, kterou je možné absolvovat bez poplatku, což je super.
A zdarma je možno absolvovat i stejnojmenný on-line kurz, který by vás měl na tuto zkoušku připravit. Přípravný kurz CC, který je dostupný po registraci na stránkách (ISC)2 se skládá z 5 modulů, v rámci kterých jsou vysvětleny základní pojmy.
Věříte tomu, co čtete v chatu MS Teams? A víte, že se vám může skrytě měnit?
Chatujete často, nevěříte na spoofing, říkáte si, co je psáno to je dáno? A co když vám řeknu, nedělejte to, chat se vám může změnit doslova pod rukama.
Bezpečnostní osvěta (security awareness), trénink (training) a vzdělávání (education) představují tzv. vzdělávací kontinuum (learning continuum).
Ostatně takto to formuloval NIST ve své publikaci SP 800-16 Information Technology Security Training Requirements již v roce 1989.
Microsoft Teams jako platforma pro skupinovou komunikaci je naprosto super, ovšem málokdo si uvědomuje, jak snadno může být zneužita.
Ostatně jako jakýkoliv jiný prostředek umožňující komunikaci a výměnu zpráv mezi uživateli.