Mesiac povedomia o kybernetickej bezpečnosti 2023

20 rokov mesiaca zvyšovania povedomia o kybernetickej bezpečnosti

V októbri 2023 uplynie 20 rokov od začiatku Mesiaca povedomia o kybernetickej bezpečnosti, mesiaca venovaného zvyšovaniu povedomia o digitálnej bezpečnosti a umožneniu každému chrániť svoje osobné údaje pred digitálnymi formami trestnej činnosti.

Tento rok sa vládni predstavitelia a priemyselní riaditelia pozerajú na to, ako ďaleko sme za posledných 20 rokov pokročili a kam sa musíme posunúť, aby sme zabezpečili našu digitálnu budúcnosť.

Prečítajte si náš blog: Kľúčové faktory úspešného 20-ročného partnerstva: Exclusive Networks a Fortinet sa podelili o svoje tajomstvo

Ako globálny špecialista na kybernetickú bezpečnosť digitálnej infraštruktúry sa spoločnosť Exclusive Networks zaviazala urýchliť prechod na úplne dôveryhodný digitálny svet. Naďalej spolupracujeme s našimi dodávateľmi a partnermi na zabezpečení technológií, ochrane kritickej infraštruktúry a preklenutí medzery v kariére v oblasti kybernetickej bezpečnosti prostredníctvom najmodernejších riešení, služieb a školení, aby sme náš svet vybavili kriticky potrebnými kybernetickými strážcami budúcnosti. Patrí sem aj naša iniciatíva Exclusive Academy, špecializovaný vzdelávací program, ktorý má za cieľ prilákať mladé talenty a poskytnúť im praktické skúsenosti z terénu, ako aj teoretickú prípravu od expertov Exclusive Networks.

Sme radi, že môžeme oficiálne podporiť Mesiac povedomia o kybernetickej bezpečnosti 2023.

Tohtoročný Mesiac zvyšovania povedomia o kybernetickej bezpečnosti podporuje nasledujúce štyri kľúčové spôsoby správania v oblasti kybernetickej bezpečnosti, ktoré boli vytvorené tak, aby boli jednoduché a použiteľné pre jednotlivcov aj podniky:

1. Vytvárajte silné heslá a používajte správcu hesiel
2. Zapojte viacfaktorovú autentifikáciu
3. aktualizujte svoj softvér
4. rozpoznať a nahlásiť pokusy o phishing

Hoci partnerom a ich zákazníkom pomáhame chrániť ich údaje mnohými spôsobmi, dodržiavanie týchto niekoľkých jednoduchých krokov môže mať veľký význam pre to, aby každý zostal v bezpečí online.

Vytvárajte silné heslá a používajte správcu hesiel

Slabé alebo ukradnuté heslá sú zodpovedné za 81 % prípadov narušenia ochrany údajov. Verili by ste, že najčastejšie používanými heslami v roku 2023 budú stále "123456789" a "password"? Kyberzločinci dokážu slabé heslo alebo heslo, ktoré sa dá ľahko uhádnuť, prelomiť v priebehu niekoľkých hodín. Na druhej strane, rozlúštenie zložitejších, "silných" hesiel môže trvať viac ako celý život.

Spoločnosť Microsoft definuje silné heslo ako:

• minimálne 12 znakov, ale lepšie je 14 alebo viac.
• kombinácia veľkých písmen, malých písmen, číslic a symbolov
• nie je to slovo, ktoré možno nájsť v slovníku, ani názov osoby, postavy, produktu alebo organizácie
• výrazne sa líšiť od vašich predchádzajúcich hesiel - ukradnuté heslá sa často zdieľajú online, aby ich mohli použiť ďalší kyberzločinci
• Ľahko zapamätateľné pre vás, ale ťažké pre ostatných, napr. zapamätateľná fráza ako "6MonkeysRLooking^".

Ak chcete udržať účty a zariadenia v bezpečí, nikdy používateľské mená ani heslá s nikým nezdieľajte a nezapisujte si ich. Vzhľadom na to, že priemerný používateľ má 27 rôznych pracovných aplikácií, ktoré si vyžadujú overenie, správca hesiel môže byť skvelým pomocníkom, ak máte veľa účtov a máte problém zapamätať si viacero hesiel. Mnohí správcovia hesiel automaticky aktualizujú uložené heslá, uchovávajú ich zašifrované a na prístup k nim vyžadujú viacfaktorovú autentifikáciu.

Vzhľadom na riziká, ktoré predstavuje nedostatočná hygiena hesiel, sa mnohé podniky v súčasnosti orientujú na overovanie bez hesla.

Viac informácií o zariadeniach Thales FIDO2 bez hesla

Čítajte viac

Povolenie viacfaktorového overovania

Viacfaktorová autentifikácia (MFA) poskytuje okrem hesiel ďalšiu úroveň zabezpečenia, ktorá zabraňuje neoprávneným používateľom v prístupe k účtom a zariadeniam, a to aj v prípade, že heslo bolo uhádnuté alebo ukradnuté. Na prihlásenie sa vyžaduje viac ako jeden druh poverenia. MFA má viacero foriem, pričom všetky zabezpečujú, že prístup k vášmu účtu máte len vy.

Medzi metódy MFA patria napr:

• Niečo, čo poznáte: Heslá, kódy PIN a bezpečnostné otázky
• Niečo, čo máte: hardvérové alebo softvérové tokeny, certifikáty, e-mail, SMS a telefonáty
• Niečo, čím ste: Odtlačky prstov, rozpoznávanie tváre, skenovanie dúhovky a odtlačkov rúk
• Vaša poloha: Rozsahy zdrojových IP adries a geolokácia

Zvýšené využívanie cloudu, mobilných zariadení a rozšírených dodávateľských reťazcov núti organizácie hľadať silné riešenia MFA. Uvedené metódy sú založené na rôznych technológiách, predovšetkým na jednorazových heslách (OTP) a infraštruktúre verejných kľúčov (PKI). Podľa spoločnosti Thales je tu uvedené, ako tieto technológie fungujú.

OTP sú formou "symetrického" overovania, pri ktorom sa jednorazové heslo generuje súčasne na dvoch miestach - na overovacom serveri a na hardvérovom alebo softvérovom tokene, ktorý máte v držbe. Ak sa OTP vygenerované vaším tokenom zhoduje s OTP vygenerovaným overovacím serverom, overenie je úspešné a je vám udelený prístup.

Autentifikácia PKI je formou "asymetrickej" autentifikácie, pretože sa spolieha na dvojicu rozdielnych šifrovacích kľúčov - konkrétne na súkromný šifrovací kľúč a verejný šifrovací kľúč. Hardvérové tokeny založené na certifikátoch PKI, ako sú čipové karty a tokeny USB, sú určené na bezpečné uloženie vášho tajného súkromného šifrovacieho kľúča. Keď sa napríklad overujete na sieťovom serveri vašej organizácie, server vydá číselnú "výzvu". Táto výzva je podpísaná pomocou vášho súkromného šifrovacieho kľúča. Ak existuje matematická korelácia alebo "zhoda" medzi podpísanou výzvou a vaším verejným šifrovacím kľúčom (známym sieťovému serveru), overenie je úspešné a je vám udelený prístup do siete.

Ak sa chcete dozvedieť viac o kryptografii s verejným kľúčom, pozrite si film The Science of Secrecy so Simonom Singhom

Pozrite si tu

Aktualizujte svoj softvér

Mnohí používatelia predpokladajú, že aktualizácie softvéru sa vydávajú s cieľom predstaviť nové funkcie produktu, ale obsahujú aj dôležité záplaty na opravu zraniteľností a chýb v oblasti IT bezpečnosti. To isté platí aj pre operačné systémy zariadení (OS). Aktualizovaný softvér je základným spôsobom, ako zostať o krok vpred pred tými aktérmi hrozieb, ktorí sa vyžívajú v softvérových zraniteľnostiach.

Väčšina IT tímov bude posielať automatické aktualizácie softvéru pre podnikové aplikácie a OS zariadení vašej organizácie. Práve to zvyčajne vyvolá reštart vášho zariadenia. Keď aktualizujete softvér sami, vždy si skontrolujte, či ho sťahujete z oficiálneho zdroja, pretože neoficiálny softvér často obsahuje škodlivý softvér. Mnohé zariadenia a aplikácie majú možnosť automatickej aktualizácie, čo znamená, že sa nemusíte obávať zastaraných verzií alebo chýbajúcich dôležitých bezpečnostných záplat.

Vyhľadávanie zraniteľností v organizácii pomocou nástroja Tenable Nessus

zistite viac

Rozpoznávanie a nahlasovanie pokusov o phishing

Phishing je podvod, ktorého cieľom je ukradnúť citlivé informácie alebo heslá, kompromitovať zariadenia alebo poslať peniaze kyberzločincom. Zvyčajne prichádza vo forme e-mailu, ale môže mať aj podobu klamlivých textových správ (známych ako smishing, kombinácia SMS a phishingu), príspevkov na sociálnych sieťach, webových vyskakovacích okien, telefonátov (známych ako vishing - alebo hlasový phishing) a dokonca aj nástrojov na spoluprácu, ako je Microsoft Teams - nový druh rizika.

Čítajte viac o Blokovanie vírusov, malvéru a phishingu pomocou Mimecast Protection pre Microsoft Teams

čítajte viac

Pri phishingu kyberzločinci používajú sociálne inžinierstvo, aby vás oklamali a prinútili zdieľať súkromné a dôverné údaje, ako sú čísla bankových účtov alebo prihlasovacie údaje. Môžu žiadať vaše meno, údaje o účte, dátum narodenia, heslá a iné citlivé alebo tajné informácie. Často vás nalákajú na otvorenie odkazu alebo súboru v legitímne vyzerajúcej správe. Vždy sa uistite, že ste na odkaz najprv nabehli kurzorom myši, aby ste skontrolovali, či vyzerá legitímne, a ak máte akékoľvek pochybnosti, neklikajte naň a nahláste ho. Dávajte si pozor na:

Pri phishingu kyberzločinci používajú sociálne inžinierstvo, aby vás oklamali a prinútili zdieľať súkromné a dôverné údaje, napríklad čísla bankových účtov alebo prihlasovacie údaje. Môžu žiadať vaše meno, údaje o účte, dátum narodenia, heslá a iné citlivé alebo tajné informácie. Často vás nalákajú na otvorenie odkazu alebo súboru v legitímne vyzerajúcej správe. Vždy sa uistite, že ste na odkaz najprv nabehli kurzorom myši, aby ste skontrolovali, či vyzerá legitímne, a ak máte akékoľvek pochybnosti, neklikajte naň a nahláste ho. Dávajte si pozor na:

• Nekonkrétneho odosielateľa, niekoho, koho nepoznáte, alebo ktorý sa nezhoduje s adresou "od".
• neznáme, nezvyčajné alebo všeobecné pozdravy
• pravopisné a gramatické chyby
• podozrivý odkaz, ktorý sa nezhoduje s URL webovej stránky v e-maile
• Odkaz na obrázky alebo videá od ľudí, ktorých nepoznáte
• Odkaz alebo príloha na zobrazenie niečoho neočakávaného, napr. na sledovanie neznámeho balíka
• Prílohy s nesprávnymi alebo podozrivými názvami súborov alebo podozrivými príponami súborov (.bin, .com, .exe, .html, .pif, .vbs, .zip, .zzx)
• Obrázky s nízkym rozlíšením

Ak chcete sledovať a šifrovať odosielané obchodné e-maily obsahujúce citlivé údaje, zvážte možnosť RPost

ZISTITE viac

Všeobecný, každodenný phishing zvyčajne nie je cielený a dá sa ľahšie odhaliť. Medzi ďalšie typy phishingu patria:

• Spear phishing: zameriava sa na konkrétnu osobu a študuje ju, aby mohol napísať presvedčivejšiu, legitímne vyzerajúcu správu, ktorá ju oklame a prinúti ju poľaviť v ostražitosti a zdieľať citlivé informácie.
• Whaling: špecificky sa zameriava na generálnych riaditeľov a členov vrcholového tímu.
• Zdieľaný dokument phishing: napodobňuje e-mail zo stránok na zdieľanie súborov, ako je Dropbox, Disk Google alebo OneDrive, v ktorom sa uvádza, že vám bol zdieľaný dokument, ale odkaz je na falošnú prihlasovaciu stránku, ktorá ukradne vaše prihlasovacie údaje k účtu.

V rámci boja proti phishingu mnohé organizácie výrazne investujú do formálneho vzdelávania svojich zamestnancov v oblasti kybernetickej bezpečnosti a robia z nich najcennejšiu líniu obrany proti kybernetickým útokom.

Prečítajte si viac informácií o školení bezpečnostného povedomia a platforme simulácie phishingu spoločnosti Proofpoint

čítajte viac

Kybernetická bezpečnosť nemusí byť komplikovaná ani ohromujúca. Už len nácvik týchto 4 základných krokov pomáha vytvoriť si bezpečné návyky, ktoré sa dajú ľahko začleniť do každodenného života. Keď každý človek a každá organizácia zohrajú svoju úlohu, spoločne znížime kybernetické riziká a udržíme náš digitálny spôsob života chránený a dôveryhodný.

Zistite viac

Získajte viac informácií o spôsoboch, akými môžu organizácie podporiť zavádzanie zručností v oblasti kybernetickej bezpečnosti:

• Exclusive Networks školenia
• Budovanie novej generácie odborníkov na kybernetickú bezpečnosť - model "Exclusive Academy
• O mesiaci zvyšovania povedomia o kybernetickej bezpečnosti