Hodnocení zranitelností – 8. díl

Prvního listopadu spatřila světlo světa nová verze systému pro hodnocení zranitelností, CVSS v4.0.

Podívejme se, co je nového. Změny se objevují jak ve stávajících metrikách, tak se zde objevují i zcela nové metriky a samozřejmě i kalkulátor.

Štítky:
celý článek

Bezpečnostní metriky – 1. díl

V informační a kybernetické bezpečnosti používáme řadu metrik, které nám ukazují, jak na tom jsme. Bohužel ne vždy jsou používány ty správné metriky a správným způsobem.

O tom, jak k jejich návrhu přistoupit, pak bude pojednávat série příspěvků na toto téma, která je učena všem, kteří nechtějí vytvářet jen hezké, ale nic neříkající dashboardy, ale jde jim o to bezpečnost skutečně měřit a řídit.

Štítky: ,
celý článek

Simulovaný phishing – 2. díl

Pokud jde o vyhodnocování úspěšnosti phishingových kampaní, vyplatí se sledovat i jiné ukazatele, než jen failure rate, success rate a miss rate.

Je tomu tak proto, že lidský firewall má své limity a v každé organizaci se vždy najde někdo, kdo klikne. A v takovém případě je mnohem důležitější, než sledovat počet těch, co klikli nebo e-mail nahlásili, sledovat čas, který mezitím uběhl. Zkuste pouvažovat o následujících metrikách.

Štítky:
celý článek

Jak probíhají útoky na uživatele chytrých telefonů: zrádné notifikace

Nejedná se o žádný sofistikovaný způsob, nevyužívá se ani žádné technické zranitelnosti, nýbrž obyčejných technik sociálního inženýrství.

Prostě vlezeš na nějaký web a ten ti zobrazí Bublinu s „Povolit oznámení z tohoto webu a vpravo je „Povolit“ a vlevo „Odmítnout“, přičemž většina lidí automaticky kliká na pravé tlačítko, aby se té bubliny, co jim na tom malém displeji zakrývá většinu obsahu webu, co nejrychleji zbavili.

Štítky:
celý článek

Kybernetická bezpečnost: základní fyzická bezpečnostní opatření

Návrh fyzických bezpečnostních opatření se odvíjí od postavení organizace na trhu, jejího poslání a hrozeb, kterým je vystavena.

Předpokladem je vždy rozčlenění objektu na zóny, ve kterých se může pohybovat veřejnost, kde dochází ke střetu mezi zaměstnanci a veřejností, a dále pak zóny, kde se mohou pohybovat jen zaměstnanci a konečně i zóny, kde se může pohybovat jen vybraná skupina zaměstnanců, např. výpočetní středisko.

Štítky:
celý článek

Je důvěrnost, integrita a dostupnost dostačující? Dle NÚKIB ano.

V rámci veřejného připomínkování návrhu nového zákona o kybernetické bezpečnosti jsem opět otevřel téma týkající se dostatečnosti CIA modelu a navrhoval jsem zvážit adoptování Parkerian hexad modelu.

Ten kromě důvěrnosti, integrity a dostupnosti pracuje ještě s atributy neodmítnutelnosti, užitečnosti a vlastnictví.

Štítky:
celý článek

CC aneb Certified in Cybersecurity

Certified in Cybersecurity, dále jen CC, je základní bezpečnostní certifikace od společnosti (ISC)2, kterou je možné absolvovat bez poplatku, což je super.

A zdarma je možno absolvovat i stejnojmenný on-line kurz, který by vás měl na tuto zkoušku připravit. Přípravný kurz CC, který je dostupný po registraci na stránkách (ISC)2 se skládá z 5 modulů, v rámci kterých jsou vysvětleny základní pojmy.

Štítky: ,
celý článek

Microsoft Teams: Jak se máte zranitelnosti?

Věříte tomu, co čtete v chatu MS Teams? A víte, že se vám může skrytě měnit?

Chatujete často, nevěříte na spoofing, říkáte si, co je psáno to je dáno? A co když vám řeknu, nedělejte to, chat se vám může změnit doslova pod rukama.

Štítky:
celý článek

Jak na vzdělávání v oblasti informační a kybernetické bezpečnosti

Bezpečnostní osvěta (security awareness), trénink (training) a vzdělávání (education) představují tzv. vzdělávací kontinuum (learning continuum).

Ostatně takto to formuloval NIST ve své publikaci SP 800-16 Information Technology Security Training Requirements již v roce 1989.

Štítky: ,
celý článek

Microsoft Teams: týmová spolupráce je super, ale…

Microsoft Teams jako platforma pro skupinovou komunikaci je naprosto super, ovšem málokdo si uvědomuje, jak snadno může být zneužita.

Ostatně jako jakýkoliv jiný prostředek umožňující komunikaci a výměnu zpráv mezi uživateli.

Štítky:
celý článek