V tomto příspěvku se podíváme na STDC framework a řekneme si, co má společného s modelem AIDA.

V příspěvku o AIDA jsem psal o tom, že je třeba si uvědomit, že lidé v daném tržním segmentu, na který jste se rozhodli cílit, se nacházejí v různých rozhodovacích fázích. Obecně pak lze identifikovat čtyři fáze nebo chcete-li skupiny, a to lidé, co:

Slabina (weakness) a zranitelnost (vulnerability) není totéž. A byť tyto pojmy bývají dost často používány jako synonyma, znamenají oba něco trochu jiného.

Za slabinu je v informační a kybernetické bezpečnosti obecně považována jakákoliv chyba v architektuře, návrhu, kódu nebo implementaci, která může vést ke zranitelnosti přímo zneužitelné útočníkem.

Chtělo by se mi použít známý slogan „Svět se zbláznil, držte se …“, ale nebylo by to přesné.

Bezpečností informací se profesionálně zabývám cca 20 let a mnohokrát jsem se divil nevědomosti lidí snižujících bezpečnost informací vedoucí i k úniku informací a nyní zažívám zdánlivý opak, kdy jakoby z důvodu vyšší bezpečnosti osobních údajů dochází k ohrožení dostupnosti služeb (to lze ještě chápat), ale občas i k ohrožení fyzické bezpečnosti lidí.

Google přichází v souvislosti se stále oblíbenějšími biometrickými autentizačními metodami se dvěma zcela novými metrikami, které by měly podstatně přispět ke zvýšení jejich bezpečnosti.

K důvěrně známým metrikám jako je False Acceptance Rate, zkr. FAR a False Rejection Rate, zkr. FRR nově přibyly ještě metriky Imposter Accept Rate, zkr. IAR a Spoof Accept Rate, zkr. SAR.

Na Bug Bounty programy můžeme narazit u různých společnosti, zpravidla z oboru IT, jako je např. Google, Microsoft, Facebook, apod.

Takový Bug Bounty program funguje vcelku jednoduše. Najdete zranitelnost, nahlásíte ji dané firmě a ona vám za ní zaplatí. Jenže je tu několik úskalí, především pro firmu, co takový Bug Bounty program vyhlásí.

Mnohými firmami, a to jak těmi, co penetrační testy a etické hackování poptávají, tak dokonce i těmi, co je nabízejí, jsou tyto dva přístupy k ověření bezpečnosti považovány za totéž.

Leč oba přístupy sledují úplně jiné cíle a mají společné snad jen to, že je zpravidla provádí vysoce kvalifikovaná osoba nebo dokonce tým profesionálů.

Zpracovávejte a uchovávejte jen nezbytně nutná data po nezbytně nutnou dobu.

Zpracovávejte jen nezbytně nutné informace, používejte je jen za účelem, za jakým jste je získali, chraňte je, aby jich nemohlo být zneužito, a odstraňte je v okamžiku, kdy už daný účel pomine.

Za posledních pár let došlo v oblasti vícefaktorové autentizace k podstatné změně.

Na definici vícefaktorové autentizace se sice nic nezměnilo, stále platí, že za ní můžeme označit takovou autentizaci, při které dochází k potvrzení identity uživatele několika různými způsoby, zpravidla heslem a poté použitím nějakého autentizačního zařízení, který uživatel vlastní, případně ověřením nějaké jeho biometrické charakteristiky.

V minulých dílech jsem se poměrně detailně věnoval metodice hodnocení zranitelností CVSS, která je de facto průmyslovým standardem pro stanovení závažnosti zranitelností.

Dnes bych se chtěl krátce zamyslet nad tím, jak postupovat v okamžiku, kdy je např. pomocí nějakého automatizovaného skeneru detekováno větší množství poměrně závažných zranitelností.

Malware se v zásadě šíří e-mailem, přes nakažené aplikace na nejrůznějších úložištích a v neposlední řadě pak přes web, kdy se jedná o tzv. drive by download malware, který nevyžaduje žádnou interaktivitu ze strany uživatele.

Právě posledně jmenovaný vektor útoku doznal v posledních měsících jisté změny.