Publikováno: 03. 05. 2023, v rubrice:
Řízení rizik, autor:
Miroslav Čermák
, zobrazeno: 714x
Byť jsou k dispozici nejrůznější návody pro řízení rizik informačních systémů, tak AI systémy jsou v lecčems jedinečné, především ve své nepředvídatelnosti, neboť jsou trénovány nad daty, která se mohou měnit a dále se pak samy mění na základě interakce s lidmi.
NIST zveřejnil řadu dokumentů týkajících se řízení rizik umělé inteligence. Klíčový je pak rámec pro řízení rizik umělé inteligence AI RMF 1.0 z ledna 2023.
Publikováno: 24. 04. 2023, v rubrice:
Bezpečnost, autor:
Miroslav Čermák
, zobrazeno: 720x
Microsoft Teams jako platforma pro skupinovou komunikaci je naprosto super, ovšem málokdo si uvědomuje, jak snadno může být zneužita.
Ostatně jako jakýkoliv jiný prostředek umožňující komunikaci a výměnu zpráv mezi uživateli.
Publikováno: 10. 04. 2023, v rubrice:
Bezpečnost, autor:
Miroslav Čermák
, zobrazeno: 552x
Exploit Prediction Scoring Systém, zkr. EPSS slouží ke stanovení pravděpodobnosti zneužití zranitelnosti, které bylo přiděleno CVE.
Hlavní myšlenka EPSS vychází z předpokladu, že jestliže existuje obrovské množství zranitelností, ale jen některé z nich jsou pak reálně zneužívány, tak by bylo vhodné se jako první věnovat těm zranitelnostem, u kterých je větší pravděpodobnost, že budou v následujících 30 dnech skutečně zneužity.
Publikováno: 03. 04. 2023, v rubrice:
Bezpečnost, autor:
Miroslav Čermák
, zobrazeno: 1 050x
Povrchový, hluboký a temný web. V originále surface, deep a darknet web lze využívat v rámci OSINT k získávání informací.
Nejčastěji se tyto tři vrstvy internetu zobrazují jako ledovec, kdy ta menší část je surface web nacházející se nad hladinou nazývaná též jako viditelný web (visible web) a deep web a darknet web je pak ta větší část skrytá pod hladinou, nazývaná též jako neviditelný/skrytý web (invisible/hidden web).
Publikováno: 19. 03. 2023, v rubrice:
Bezpečnost, autor:
Miroslav Čermák
, zobrazeno: 903x
, 1 komentář
Zájem o něj rostl od roku 2016, ovšem pak se začaly objevovat první pochybnosti a tak následovaly výzvy k ukončení jeho používání.
Varování ohledně instalace a používání aplikace TikTok od čínské společnosti ByteDance na zařízeních přistupujících k informačním a komunikačním systémům kritické informační infrastruktury, informačním systémům základní služby a významným informačním systémům vydal nakonec i NÚKIB.
Publikováno: 12. 03. 2023, v rubrice:
Bezpečnost, autor:
Robert Malý
, zobrazeno: 623x
Vzít aplikaci vyvíjenou on-prem, umístit ji do cloudu a myslet si, že jsem tím vyřešil i její bezpečnost, je zásadní omyl.
Obzvlášť když jsem se vůbec nevypořádal s něčím takovým jako je bezpečnostní perimetr cloudu.
Publikováno: 06. 03. 2023, v rubrice:
Bezpečnost, autor:
Miroslav Čermák
, zobrazeno: 557x
Princip zálohování spočívá v tom, že vytváříme kopii dat anebo i více kopií dat na záložní média, abychom z nich mohli data v případě narušení integrity obnovit.
Záložním médiem pak mohou být flash disky, pevné disky, optické disky, pásky anebo cloud. Většina organizací vytváří jednu záložní kopii, některé dvě, a některé dokonce i tři. Volba vhodné technologie zálohování se pak odvíjí od požadavků na RTO a RPO.
Publikováno: 21. 02. 2023, v rubrice:
Bezpečnost, autor:
Miroslav Čermák
, aktualizováno: 22. 02. 2023, zobrazeno: 1 138x
Průměrný breach lifecycle se v minulém roce pohyboval kolem 277 dní.
Přičemž 207 dnů útočník operoval skrytě v síti organizace, než se jej podařilo odhalit a dalších 70 dnů pak trvala obnova a vypořádání se s následky incidentu. V zásadě se jedná o dost podobná čísla jako loni. Drobné zlepšení v řádu jednotek dnů nehraje v podstatě žádnou roli.
Publikováno: 12. 02. 2023, v rubrice:
Řízení rizik, autor:
Miroslav Čermák
, zobrazeno: 784x
Občas můžeme narazit na otázku, zda je lepší provádět analýzu rizik kvantitativní anebo kvalitativní.
Problém je, že na tuhle otázku jednoznačně nelze odpovědět, protože každý přístup je vhodné použít v trochu jiné situaci.
Publikováno: 02. 02. 2023, v rubrice:
Bezpečnost, autor:
Miroslav Čermák
, zobrazeno: 668x
Z mnoha bezpečnostních reportů vyplývá, že až za 80 % bezpečnostních incidentů mohou samotní zaměstnanci organizace.
Není až tak podstatné, jestli to je přesně 80 % či více, ale že je to poměrně velké číslo.