vCISO.n ensimmäisiin tehtäviin kuuluu yleensä kartoittaa yrityksen oikeita tietoturvatarpeita, tutustua yritykseen ja sen liiketoimintaan. Hyvin nopesti syntyy näkemys ilmeisistä uhkista ja uhkamalleista, joihin saadaan analyyttisellä lähestymisellä nopeita ratkaisuja.
Tehtävien eriyttämisellä ISO 27001:ssa tarkoitetaan kaikkia niitä käytäntöjä, joissa tietyn prosessin suorittamiseen tarvittava tieto ja/tai oikeudet pilkotaan. Ne jaetaan useammalle henkilölle tai roolille siten, että yksikään henkilö ei pysty yksin suorittamaan tai täysin hallitsemaan kyseistä prosessia.
Viime vuoden tapaan tarkastelimme aktiivisten sovellusten koko historiaa, emme vain sovellukseen liittyvää aktiviteettia yhden vuoden aikana. Näin saamme näkymän sovellusten koko elinkaareen, mikä taas johtaa tarkempiin mittareihin ja havaintoihin.
Web-sovellusten pentesteissä toistuvasti vastaan tuleva ilmiö on ulkoisten resurssien (tietoturvaton) käyttö. Ulkoisista, kolmannen osapuolen lähteistä, yleensä eri CDN (Content Delivery Network) palveluista ladattujen resurssien, kuten Javascriptin, CSS:n tai fonttien käytössä itsessään ei ole mitään erikoista, mikäs sen mukavampaa kuin pultata asioita pikaisesti omaan sovellukseen ja säästää aikaa ja rahaa.
ISO-standardin keskiverto elinajanodote on noin viisi vuotta, kerrallaan. Kun tiimalasi on valunut loppuun, äänestetään ja päätetään jätetäänkö kyseinen ISO-standardi voimaan sellaisenaan, tarvitaanko siihen muutoksia vai peruutetaanko se kokonaan.
Kun haavoittuvuuksia skannataan ulkopuolisen hyökkääjän näkökulmasta ja ilman, että kohdejärjestelmiin kirjaudutaan, saadaan rajallinen ja kapea kuva erilaisille uhkille altistumisesta. Jotta kuvasta saataisiiin parempi, on kohteisiin kirjauduttava sisään käyttäen tietynlaisia ja tietyin oikeuksin varustettuja tunnistetietoja.
Tietoturvatietoisuus (security awareness) tarkoittaa käytännössä yleistä tietoturvakoulutusta yleisistä tai toimialakohtaisista teemoista. Tyypillisesti termiin sisällytetään jatkuva koulutusprosessi, joka luo yritykselle yhtenäistä tietoturvakulttuuria. Tietoisuutta ISO27001 vaatii, että
AlphaSOC on juuri julkaissut Network Flight Simulator (flightsim) 2.2.1:n, joka on ilmainen avoimen lähdekoodin hyökkäyssimulaatiotyökalu. Tämä uusin julkaisu sisältää joukon uusia moduuleja, joiden avulla tietoturvatiimit voivat välittömästi arvioida Detection & Response -kattavuuden SIEM- ja SOAR-työkaluissa.
Saavun neukkariin 08:32, pari minuuttia yli sovitun ajan. Putsi, tämän koulutuksen toinen ja (pää)vetäjä, toivottaa huomenet aina yhtä iloisena ja innokkaana. Käydään pikaisesti kuulumiset läpi, vertaillaan nukuttujen tuntien määrää ja samalla testaillaan ATK:ta, jotta saadaan koulutus alkamaan ilman kommerverkkejä. 08:49 ”the bossin” eli Thomaksen kasvot ilmestyvät Teamsiin – hienoa – päästään testamaan myös audiot. Kor***n johdosta koulutuksia vedetään luonnollisesti etänä.
Esittelemme haavoittuvuuksienhallinnan perusteita sekä Holm Security skannerin ja alustan käyttöä käytännössä.
ISO 27001 -tietoturvastandardi edellyttää, että organisaation jokaisen työntekijän sekä tarvittaessa myös alihankkijoiden, konsulttien ja muiden vastaavien kolmansien osapuolten käyttäjien tulee saada asianmukaista tietoturvatietoisuuskoulutusta. KnowBe4 on ensimmäinen ja suurin seuraavan sukupolven tietoturvaharjoittelu- ja tietojenkalastelusimulointialusta.
Veracode julkisti äskettäin uuden version avoimen lähdekoodin kirjastojen skannausten tuloksista. Raportti antaa näkymän sovelluskirjastojen tietoturvan nykytilasta ja hieman viitteitä tulevaisuudesta. Raporttiin on koottu tulokset n. 13 miljoonasta skanauksesta yli 86 000 repositoryyn n. vuoden mittaisen ajanjakson aikana.
Jokainen organisaatio on tietoturvatarpeiltaan ja -kyvykkyyksiltään yksilöllinen, eikä ISO 27001 pyri tätä tosiasiaa muuttamaan. Standardi ohjaa ottamaan käyttöön asianmukaisia prosesseja ja käytäntöjä, joilla parannetaan, selkeytetään ja ylläpidetään tietoturvaa luontaisena osana jokapäiväistä toimintaa.
Spamhausin heinäkuussa ilmestyneen raportin hyvä uutinen oli, että havaittujen uusien botnetien komentopalvelimen määrä oli 12 % alhaisempi kuin edellisellä kvartaalilla. Sen sijaan huono uutinen on väärinkäytösten runsas määrä johtavien pilvipalveluiden tarjoajien, kuten Microsoftin ja Googlen, alustoilla.
AlphaSOC käsittelee tietoverkkojen telemetriatietoja ja paljastaa sekä tunnettuja että tuntemattomia, uusia uhkia. Monitasoisen analyysimenetelmän avulla tietoturva-asiantuntijat voivat löytää jopa kolme kertaa enemmän haittaohjelmia kuin pelkästään IOC-indikaattoreita käyttämällä.
Tämä on webinaaritallenne 12.5.2021, jossa Julian (Veracode) ja Thomas (Mint Security) näyttävät demoja ja esittelevät ajatuksia Veracoden käyttämisestä CI/CD-putkissa.
Haluatko riippumattoman asiantuntijan tuottaman arvion sovellus- tai järjestelmäkokonaisuutesi tietoturvanäkökohtien huomioinnista? Tarvitsetko vertailukelpoisen benchmarkin tietoturvakäytäntöjen tasosta
Spamhausin raportissa tuodaan heti esille hyvä uutinen. Tammikuussa 2021 eri maiden viranomaiset Euroopassa ja Yhdysvalloissa käynnistivät operaation pahamaineista Emotet-botnetia vastaan. Operaatiossa viranomaisten onnistuivat sulkemaan Emotetin käyttämät palvelimet.
Onko haaveissa olla ISO27001 yhteensopiva? Thomas on kirjoittanut blogin millaisista lähtökohdista ISO27001 sertifiointiprojektiin voi lähteä. Tässä blogissa avataan riskienhallinnan merkitystä ISO27001-sertifikaattia tavoiteltaessa.
Tässä kirjoituksessa esitellään muutamia keskeisiä kysymyksiä, jotka on hyvä esittää potentiaaliselle DNS -tasolla toimivan palomuurin toimittajalle (ja myös omassa organisaatiossasi, jotta varmistetaan, että yritykseen valitaan oikea palvelu. Aloitetaan perusasioista.
Yksinkertaisimmillaan DNS Firewall estää ja ohjaa loppukäyttäjiä menemästä haitallisille verkkosivuille, samoin kuten perinteisetkin palomuurit. Keskeinen ero näiden välillä on se, että DNS Firewall -palvelua käytetään eri verkkokerroksessa ja eri vaiheessa.
Veracoden vuosittaisessa tietoturvaskannausten tilastoraportissa, State of the Software Security (SOSS), listataan ja analysoidaan sovellusten yleisimpiä tietoturvapuutteita. Tarkastelun tavoitteena on ensisijaisesti auttaa tiimejä löytämään virheet ja puutteet; ja korjaamaan ne.
Välkommen till Ekonomiska Samfundets och Fintech Finlands diskussionsmöte om datasäkerhet och dess ekonomiska effekter. Mötet hålls på distans, och sändningen kan följas via Facebook eller Youtube
Tapahtui eräänä perjantaina, että Windows 10 suoritti poikkeuksellisesti BSOD-rituaalin. BSOD on Blue Screen of Death – ruutu jonka jonnet ei muista, mutta joka tuli hyvin tutuksi alkaen Windows NT 3.51 ajoilta todennäköisyyden harventuen uusimpien Windowsin myötä.
Maailman talousfoorumi (World Economi Forum, WEF) julkaisi äskettäin raportin, jossa tutkittiin yritysjohdon näkemyksiä mm. tietoturvasta. Yritysjohdon mukaan tietoturva nousee keskisimmäksi riskitekijäksi COVID19-pandemian takia. Seuraavina listalla olivat liiketoiminnan jatkuvuus ja joustavuus. Nykyään nämä kaikki ovat käytännössä tavalla tai toisella tietotekniikkaa.
Kun tarkastellaan yrityksen tai organisaation kyberturvallisuustrategiaa, on siihen nykyään sisällytettävä myös yrityksen työntekijät, jotka ovat kyberpuolustuksen ns inhimillinen osatekijä (human element). Voidaan varmaan olettaa, että
Meiltä kysytään säännöllisesti mobiilisovellusten tietoturvatestauksesta. Vastaus ei aina ole suoraviivainen vaan ”it depends” -henkinen. Miksi? Sitä yritämme avata seuraavassa.
