Bug bounty vs. penetrační test

O penetračním testování i bug bounty programech jsme již psali. V tomto příspěvku bych rád srovnal tyto dva přístupy k identifikaci zranitelností, které  nemusí stát proti sobě, ale mohou se i vzájemně doplňovat.

Rozdíly jsou dány délkou trvání, náklady a typy objevených chyb, což zachycuje tabulka níže.

Štítky: ,
celý článek

Nový trend ve vývoji bankovního malware v roce 2020

Došlo k citelnému poklesu klasického bankovního malware, který napadal koncová zařízení uživatelů.

Drtivá většina útoků je letos realizována prostřednictvím phishing e-mailů, které obsahují odkaz vedoucí na zpravidla hacknutý web s certifikátem, na kterém je umístěna kopie stránek internetového bankovnictví, takže je celkem jedno, z jakého zařízení klient přistupuje a jaký na něm běží operační systém.

Štítky:
celý článek

Tři linie obrany

V souvislosti s řízením a správou operačních rizik se můžeme setkat s tzv. třemi liniemi obrany.

Tento jednoduchý (three lines of defence, zkr. 3LOD) model je tady s námi již hezkou řádku let, cca dvě dekády, a je otázka, zda je tento model stále ještě plně funkční.

Štítky:
celý článek

Co je to dumpster diving

Dumpster diving, doslova potápění se v odpadcích, patří mezi nejjednodušší způsob jak získat citlivé informace.

A nemusí to být ani nic nepříjemného, jak by se mohlo na první pohled zdát. Dokonce se může jednat i o poměrně čistou práci. Obzvlášť ve firmách, které se chovají odpovědně a svědomitě třídí odpad.

celý článek

Není nedostupnost jako nedostupnost, aneb jaký je vztah mezi RTO, WRT, MTD, AIW a MTO

Nerozumíte? Není se čemu divit, protože kromě té první zkratky tyhle pojmy skoro nikdo nepoužívá.

A navíc ne každý musí tyto pojmy vnímat úplně stejně a dokonce se v jejich výkladu neshodnou ani organizace provádějící certifikace v oblasti informační bezpečnosti.

celý článek

Detekce cybersquatting, typosquatting a phishing webů – seriózní business nebo podvod?

Jednoduše jim sdělíte jméno vaší firmy nebo domény a oni prověří, zda si někdo jiný nezaregistroval doménu podobného jména jako je to vaše.

Následně od nich obdržíte report, kde budou tyto účelově založené domény uvedeny. Zaujala vás tato služba, anebo vůbec netušíte, proč, byste měli něco takového chtít?

celý článek

Business email compromise

Business email compromise, zkr. BEC, někdy též account email compromise, zkr. AEC značí, že došlo ke kompromitaci e-mailu zaměstnance určité organizace.

Z tohoto e-mailu je pak osloven další zaměstnanec, i proto se můžeme rovněž setkat s pojmem “man-in-the-email attack”. Nemusí se však jednat jen o e-mail, komunikace může probíhat i přes sociální síť či nějaký instant messaging.

Štítky:
celý článek

Bezpečnostní incidenty: taxonomie incidentů

V tomto dokumentu je uvedena taxonomie (kybernetických bezpečnostních) incidentů, (které jsou následkem kybernetických útoků) tak jak ji definovala ENISA.

Výše uvedený text není v závorce náhodou, protože sporná je už definice samotného incidentu a rozdělení jednotlivých incidentů do 9/11 kategorií rovněž vyvolává spoustu otázek, ostatně posuďte sami:

Štítky: ,
celý článek

Používáte na svém webu pluginy nebo skripty třetích stran?

Pak můžete mít problém, a je celkem jedno, zda se jedná o open source nebo closed source.

Podstatné je, že daný software může obsahovat nějakou zranitelnost, které může být zneužito. A čím používanější daný plugin je, tím vyšší je riziko, že se někdo pokusí dané zranitelnosti zneužít.

celý článek

Hybridní hrozby – 3. díl

V minulých dílech jsme si vysvětlili, co jsou to hybridní hrozby. Nyní si uvedeme obecný příklad vedení hybridní války.

Připomeňme, že z pohledu nezainteresovaných osob se bude jednat o zcela náhodné události.

Štítky:
celý článek