Penetration testing a ethical hacking není totéž

Mnohými firmami, a to jak těmi, co penetrační testy a etické hackování poptávají, tak dokonce i těmi, co je nabízejí, jsou tyto dva přístupy k ověření bezpečnosti považovány za totéž.

Leč oba přístupy sledují úplně jiné cíle a mají společné snad jen to, že je zpravidla provádí vysoce kvalifikovaná osoba nebo dokonce tým profesionálů.

Štítky:
celý článek

Měly by se účty uživatelů jen blokovat anebo rovnou mazat?

Na první pohled není důvod ponechávat v systému účty zaměstnanců, kteří již u vás nepracují anebo již nejsou vašimi klienty.

Jako best practice se doporučuje tyto účty smazat. Jednoduše proto, že když dojde k jejich smazání, nemůže je nikdo hacknout. V okamžiku, kdy účet jen zablokujete, může dojít k jeho odblokování např. za použití technik sociálního inženýrství. Jenže jsou zde určité konsekvence…

Štítky:
celý článek

Punycode a phishing, na který se prý nachytají i bezpečnostní experti

Čínský bezpečnostní expert  Xudong Zheng zveřejnil informaci, jak může být zneužito způsobu, jakým Google Chrome a Mozila Firefox zacházejí s názvy domén, které jsou zakódovány pomocí algoritmu Bootstring, známého spíše pod jménem Punycodehomografním útokům.

Tuto zprávu pak převzala i další média a nasadila tomu korunu, když uvedla, že ochrana proti tomuto útoku selže v okamžiku, kdy doménové jméno obsahuje znaky z různých jazyků, protože ono je tomu přesně naopak, jak se dozvíte dále.

Štítky: ,
celý článek

Je bezpečnostní chyba, error, bug, flaw, defekt a hole totéž?

questionByť se dost často tyto pojmy používají jako synonyma, tak přeci jen je mezi nimi určitý rozdíl.

Není totiž chyba jako chyba. V češtině se s tímto problémem asi příliš potýkat nebudete, ale při komunikaci s anglicky hovořícími kolegy byste mohli narazit.

Štítky:
celý článek

Security incident, breach a data disclosure

questionTento krátký příspěvek se snaží objasnit rozdíl mezi pojmy incident, breach a data disclosure.

Musím se přiznat, že s takto exaktním vymezením pojmů se nesetkávám moc často, ale občas na ně narazím v nejrůznějších bezpečnostních reportech, takže jestli je mezi vámi nějaký lingvista, prosím o jeho stanovisko ke konotaci těchto termínů.

Štítky:
celý článek

Audit, prověrka konfigurace, skenování zranitelností, penetrační test a analýza rizik

questionCílem tohoto příspěvku je popsat hlavní rozdíl mezi auditem, prověrkou konfigurace, penetračním testem, skenováním zranitelností a analýzou rizik.

Všechny tyto přístupu k posouzení úrovně bezpečnosti a identifikace slabých míst se vzájemně doplňují, mají své opodstatnění a poskytují určitý výstup, se kterým by se mělo dále pracovat, protože jedině tak je možné zabránit narušení důvěrnosti, integrity a dostupnosti.

Štítky:
celý článek

Zaměstnanci jsou nejslabším článkem celého systému

foodPokud jde o bezpečnost, tak stále platí, že zaměstnanci jsou jejím nejslabším článkem.

A není se čemu divit, protože nízké bezpečnostní povědomí vykazují i samotní majitelé firem a vedoucí pracovníci. Ti kolikrát ani netuší, jaká jsou jejich nejcennější aktiva, jakým hrozbám jsou vystaveni, kde se nacházejí slabá místa v jejich systému, a jak se mohou efektivně bránit.

Štítky:
celý článek

Jak (ne)vybrat manažera informační bezpečnosti

V souvislosti se vzrůstajícím počtem kybernetických útoků vedených proti malým a středním společnostem se znovu objevila otázka, zda by neměla být ustanovena role manažera informační bezpečnosti i v těchto společnostech.

Problém je, že jak vlastníci, manažeři, tak i personalisté, a jedno zda se jedná o zaměstnance HR oddělení v samotné společnosti nebo nějaké personální agentury, mají problém tuto pozici obsadit.

Štítky: , ,
celý článek

Informační bezpečnost vs. kybernetická bezpečnost

question

To, že pojem cyber je tak trochu buzzword, jsem již psal.

V poslední době se dost často hovoří o kybernetické bezpečnosti a jaksi se zapomíná, že existuje i informační bezpečnost. Je však kybernetická bezpečnost a informační bezpečnost totéž? Můžeme mezi ně položit rovnítko? Je jedna bezpečnost podmnožinou té druhé nebo mezi nimi dochází k určitému průniku?

Štítky: ,
celý článek

Pracovní smlouvy se vyplatí falšovat, víc než peníze

V ČR roste počet případů, kdy dochází k padělání pracovních smluv uzavíraných mezi zaměstnancem a zaměstnavatelem.

Abych byl úplně přesný, v jednom posledním případě se jednalo o manažerské smlouvy, které manažerovi při splnění určitých podmínek zaručují odstupné v určité výši. A jak už asi tušíte, právě výše odstupného a ony podmínky byly předmětem sporu, který se dostal až před soud.

Štítky:
celý článek