Měsíc kybernetické bezpečnosti 2023

20 let Měsíce kybernetické bezpečnosti

V říjnu 2023 uplyne 20 let od zahájení Měsíce kybernetické bezpečnosti, měsíce věnovaného zvyšování povědomí o digitální bezpečnosti a umožnění všem chránit své osobní údaje před digitálními formami trestné činnosti.

Vládní představitelé a vedoucí pracovníci v průmyslu se letos zabývají tím, jak daleko jsme za posledních 20 let došli a kam se musíme posunout, abychom zabezpečili naši digitální budoucnost.

Přečtěte si náš blog: Klíčové faktory pro úspěšné dvacetileté partnerství: Exclusive Networks a Fortinet se podělily o své tajemství.

Jako globální specialista na kybernetickou bezpečnost digitální infrastruktury se společnost Exclusive Networks zavázala urychlit přechod k naprosto důvěryhodnému digitálnímu světu. Nadále spolupracujeme s našimi dodavateli a partnery na zabezpečení technologií, ochraně kritické infrastruktury a překonávání rozdílů v kariéře v oblasti kybernetické bezpečnosti prostřednictvím nejmodernějších řešení, služeb a školení, abychom náš svět vybavili kriticky potřebnými kybernetickými strážci zítřka. Patří sem i naše iniciativa Exclusive Academy, specializovaný školicí program, který má přivést mladé talenty a poskytnout jim praktické zkušenosti z terénu i teoretické školení od odborníků Exclusive Networks.

Jsme rádi, že můžeme oficiálně podpořit Měsíc kybernetické bezpečnosti 2023.

Letošní Měsíc povědomí o kybernetické bezpečnosti propaguje následující čtyři klíčové způsoby chování v oblasti kybernetické bezpečnosti, které byly vytvořeny tak, aby byly jednoduché a realizovatelné jak pro jednotlivce, tak pro podniky:

1. Vytvářejte silná hesla a používejte správce hesel
2. Zapojte vícefaktorové ověřování
3. Aktualizujte svůj software
4. rozpoznat a nahlásit pokusy o phishing

Ačkoli pomáháme partnerům a jejich zákazníkům chránit jejich data mnoha způsoby, dodržování těchto několika jednoduchých kroků může mít velký význam pro to, aby všichni zůstali v bezpečí online.

Vytvářejte silná hesla a používejte správce hesel

Slabá nebo odcizená hesla jsou příčinou 81 % případů narušení bezpečnosti dat. Věřili byste, že nejčastěji používanými hesly v roce 2023 budou stále "123456789" a "password"? Kyberzločinci mohou slabé nebo snadno uhodnutelné heslo prolomit během několika hodin. Naopak složitější, "silná" hesla mohou rozluštit i za více než celý život.

Společnost Microsoft definuje silné heslo jako:

• alespoň 12 znaků, lépe však 14 a více.
• kombinace velkých a malých písmen, číslic a symbolů.
• Nejedná se o slovo, které lze najít ve slovníku, ani o jméno osoby, postavy, produktu nebo organizace.
• výrazně se lišit od vašich předchozích hesel - ukradená hesla jsou často sdílena online a mohou je použít další kyberzločinci.
• Snadno zapamatovatelné pro vás, ale obtížně uhodnutelné pro ostatní, např. zapamatovatelná fráze jako "6MonkeysRLooking^".

Chcete-li udržet účty a zařízení v bezpečí, nikdy nikomu nesdělujte uživatelská jména ani hesla a nepište si je. Vzhledem k tomu, že průměrný uživatel má 27 různých pracovních aplikací, které je třeba ověřit, může být správce hesel velkým pomocníkem, pokud máte mnoho účtů a máte problém zapamatovat si více hesel. Mnoho správců hesel automaticky aktualizuje uložená hesla, uchovává je zašifrovaná a pro přístup vyžaduje vícefaktorové ověření.

Vzhledem k rizikům, která představuje nedostatečná hygiena hesel, se mnoho podniků v současné době obrací k ověřování bez hesla.

Přečtěte si více o zařízeních Thales FIDO2 Passwordless Devices.

Přečtěte si více

Povolení vícefaktorového ověřování

Vícefaktorové ověřování (MFA) poskytuje kromě hesel další úroveň zabezpečení, která zabraňuje neoprávněným uživatelům v přístupu k účtům a zařízením, a to i v případě, že heslo bylo uhodnuto nebo odcizeno. K přihlášení vyžaduje více než jeden druh pověření. MFA má několik podob, přičemž všechny zajišťují, že k účtu můžete přistupovat pouze vy.

Mezi metody MFA patří např:

• Něco, co znáte: Hesla, kódy PIN a bezpečnostní otázky
• Něco, co máte: hardwarové nebo softwarové tokeny, certifikáty, e-mail, SMS a telefonní hovory.
• Něco, co jste: Otisky prstů, rozpoznávání obličeje, skenování duhovky a otisků rukou
• Vaše poloha: Rozsahy zdrojových IP adres a geolokace

Častější využívání cloudu, mobilních zařízení a rozšířených dodavatelských řetězců vede organizace k hledání silných řešení MFA. Výše uvedené metody jsou založeny na různých technologiích, především na jednorázových heslech (OTP) a infrastruktuře veřejných klíčů (PKI). Zde je popsáno, jak tyto technologie fungují podle Thales.

OTP jsou formou "symetrického" ověřování, kdy je jednorázové heslo generováno současně na dvou místech - na ověřovacím serveru a na hardwarovém nebo softwarovém tokenu, který máte v držení. Pokud se OTP vygenerované vaším tokenem shoduje s OTP vygenerovaným ověřovacím serverem, je ověření úspěšné a je vám umožněn přístup.

Ověřování PKI je formou "asymetrického" ověřování, protože se opírá o dvojici rozdílných šifrovacích klíčů - konkrétně o soukromý šifrovací klíč a veřejný šifrovací klíč. Hardwarové tokeny založené na certifikátech PKI, jako jsou čipové karty a tokeny USB, jsou určeny k bezpečnému uložení vašeho tajného soukromého šifrovacího klíče. Když se například ověřujete na síťovém serveru vaší organizace, server vydá číselnou "výzvu". Tato výzva je podepsána vaším soukromým šifrovacím klíčem. Pokud existuje matematická korelace neboli "shoda" mezi podepsanou výzvou a vaším veřejným šifrovacím klíčem (známým síťovému serveru), je ověření úspěšné a je vám umožněn přístup do sítě.

Chcete-li se dozvědět více o kryptografii s veřejným klíčem, podívejte se na pořad The Science of Secrecy se Simonem Singhem.

Podívejte se zde

Aktualizace softwaru

Mnoho uživatelů předpokládá, že aktualizace softwaru jsou vydávány za účelem představení nových funkcí produktu, ale obsahují také důležité záplaty opravující zranitelnosti a chyby v zabezpečení IT. Totéž platí i pro operační systémy (OS) zařízení. Aktualizovaný software je základním způsobem, jak zůstat o krok napřed před těmi aktéry hrozeb, kteří se vyžívají v softwarových zranitelnostech.

Většina IT týmů bude pro podnikové aplikace a operační systém zařízení vaší organizace rozesílat automatické aktualizace softwaru. Právě to obvykle vyvolá restart vašeho zařízení. Pokud si software aktualizujete sami, vždy se ujistěte, že jej stahujete z oficiálního zdroje, protože neoficiální software často obsahuje malware. Mnoho zařízení a aplikací má možnost automatické aktualizace, což znamená, že se nemusíte obávat zastaralých verzí nebo chybějících důležitých bezpečnostních záplat.

Vyhledávání zranitelností v organizaci pomocí nástroje Tenable Nessus

zjistěte více

Rozpoznávání a hlášení pokusů o phishing

Phishing je podvod, jehož cílem je krádež citlivých informací nebo hesel, kompromitace zařízení nebo odeslání peněz kyberzločincům. Obvykle přichází formou e-mailu, ale může mít také podobu klamavých textových zpráv (tzv. smishing, kombinace SMS a phishingu), příspěvků na sociálních sítích, vyskakovacích oken na webu, telefonních hovorů (tzv. vishing - neboli hlasový phishing) a dokonce i nástrojů pro spolupráci, jako je Microsoft Teams - nový druh rizika.

Přečtěte si více o Blokování virů, malwaru a phishingu pomocí Mimecast Protection pro Microsoft Teams

číst více

Při phishingu používají kyberzločinci sociální inženýrství, aby vás přiměli ke sdílení soukromých a důvěrných údajů, jako jsou čísla bankovních účtů nebo přihlašovací údaje. Mohou po vás chtít jméno, údaje o účtu, datum narození, hesla a další citlivé nebo tajné informace. Často vás nalákají k otevření odkazu nebo souboru v legitimně vypadající zprávě. Vždy se ujistěte, že na odkaz nejprve najedete myší, abyste zkontrolovali, zda vypadá legitimně, a pokud máte jakékoli pochybnosti, neklikejte na něj a nahlaste ho. Dávejte si pozor na:

Při phishingu používají kyberzločinci sociální inženýrství, aby vás přiměli ke sdílení soukromých a důvěrných údajů, jako jsou čísla bankovních účtů nebo přihlašovací údaje. Mohou po vás chtít jméno, údaje o účtu, datum narození, hesla a další citlivé nebo tajné informace. Často vás nalákají k otevření odkazu nebo souboru v legitimně vypadající zprávě. Vždy se ujistěte, že na odkaz nejprve najedete myší, abyste zkontrolovali, zda vypadá legitimně, a pokud máte jakékoli pochybnosti, neklikejte na něj a nahlaste ho. Dávejte si pozor na:

• na nekonkrétního odesílatele, někoho, koho neznáte, nebo na někoho, kdo neodpovídá adrese "od".
• neznámé, neobvyklé nebo obecné pozdravy.
• pravopisné a gramatické chyby
• Podezřelý odkaz, který neodpovídá adrese URL webové stránky v e-mailu.
• Odkaz na obrázky nebo videa od osob, které neznáte.
• Odkaz nebo příloha pro zobrazení něčeho neočekávaného, např. pro sledování neznámého balíku
• Přílohy s nesprávnými nebo podezřelými názvy souborů nebo podezřelými příponami souborů (.bin, .com, .exe, .html, .pif, .vbs, .zip, .zzx).
• Obrázky s nízkým rozlišením

Chcete-li sledovat a šifrovat odesílané obchodní e-maily obsahující citlivé údaje, zvažte RPost.

ZJISTĚTE SI DALŠÍ INFORMACE

Obecný, každodenní phishing obvykle není cílený a lze ho snáze odhalit. Mezi další typy phishingu patří:

• Spear phishing: zaměřuje se na konkrétní osobu a studuje ji, aby mohl napsat přesvědčivější, legitimně vypadající zprávu a přimět ji, aby polevila v ostražitosti a sdílela citlivé informace.
• Whaling: zaměřuje se konkrétně na generální ředitele a členy vrcholového vedení.
• Phishing se sdíleným dokumentem: napodobuje e-mail ze stránek pro sdílení souborů, jako je Dropbox, Disk Google nebo OneDrive, který tvrdí, že vám byl nasdílen dokument, ale odkaz vede na falešnou přihlašovací stránku, která ukradne přihlašovací údaje k vašemu účtu.

V rámci boje proti phishingu mnoho organizací významně investuje do formálního vzdělávání svých zaměstnanců v oblasti kybernetické bezpečnosti a činí z nich nejcennější obrannou linii proti kybernetickým útokům.

Přečtěte si více o školeních Proofpoint zaměřených na zvyšování povědomí o bezpečnosti a platformě pro simulaci phishingu.

číst více

Kybernetická bezpečnost nemusí být složitá ani zdrcující. I pouhé procvičování těchto 4 základních kroků pomáhá vytvořit bezpečné návyky, které lze snadno začlenit do každodenního života. Když se každý člověk a každá organizace zapojí, společně snížíme kybernetická rizika a udržíme náš digitální způsob života chráněný a důvěryhodný.

Zjistěte více

Zjistěte více o způsobech, jak mohou organizace podpořit osvojování dovedností v oblasti kybernetické bezpečnosti:

• Exclusive Networks školení
• Budování nové generace odborníků na kybernetickou bezpečnost - model "Exclusive Academy".
• O měsíci zvyšování povědomí o kybernetické bezpečnosti