cybersecurity AWAREness in VET
cybersecurity AWAREness in VET
Späť do kurzu

Vedomostná Základňa AWARE

0% kompletne
0/0 Steps
  1. Modul 1: Stručná história kybernetickej bezpečnosti a etického hackovania
    4 Jednotky
    |
    1 Kvíz
  2. Modul 2: Digitálna transformácia a kybernetická bezpečnosť
    4 Jednotky
    |
    1 Kvíz
  3. Module 3: Hrozby v kybernetickom svete
    4 Jednotky
    |
    1 Kvíz
  4. Modul 4: Digitálne myslenie a získavanie digitálnych znalostí
    4 Jednotky
    |
    1 Kvíz
PROGRAM MODULOV
0% kompletne

Typy kybernetickej bezpečnosti

1. Bezpečnosť kritickej infraštruktúry

Bezpečnosť kritickej infraštruktúry sa týka ochrany systémov, sietí a aktív, ktorých nepretržitá prevádzka sa považuje za nevyhnutnú na zaistenie bezpečnosti danej krajiny, jej ekonomiky a zdravia a/alebo bezpečnosti verejnosti.

S pokračujúcimi trendmi, ako sú siete typu machine-to-machine (M2M) a internet vecí (IoT), sú zariadenia v priemyselných prostrediach čoraz viac pripojené k internetu a schopné vymieňať si údaje. Napriek dôležitosti týchto systémov je bezpečnosť často irelevantná pre tých, ktorí nie sú zapojení do IT.

Zabezpečenie kritickej infraštruktúry je rozdelené do troch typov:

  • Kontrola prístupu: Zabránenie neoprávneným používateľom a zariadeniam v prístupe k sieti;
  • Bezpečnosť aplikácií: Bezpečnostné opatrenia na hardvér a softvér na uzamknutie potenciálnych zraniteľností;
  • Firewally: Zariadenia na stráženie brány, ktoré môžu povoliť alebo zabrániť konkrétnej prevádzke vstúpiť do siete alebo ju opustiť.

2. Zabezpečenie aplikácie

Zatiaľ čo bezpečnosť aplikácií je hlavným zameraním vývojárov, tento typ kybernetickej bezpečnosti presahuje proces vývoja a návrhu. Dokonca aj keď nasadzujete iba hotový softvér a aplikácie, musíte neustále zabezpečiť, aby zostali bezpečné počas celého životného cyklu.

Zraniteľnosť je jedným z najvýznamnejších rizík, pretože kybernetické útoky ich využívajú na získanie prístupu do vášho prostredia. Existuje mnoho príkladov porušení, ktoré ukázali potenciálne zničenie exploitov. Napríklad odhadované celkové škody spôsobené ransomvérovou kampaňou WannaCry, ktorá využívala slabinu operačného systému Microsoft Windows, sa vyšplhali na miliardy dolárov.

Okrem zraniteľností medzi ďalšie výzvy v oblasti zabezpečenia aplikácií patria:

  • Vloženie kódu SQL a iného kódu – ide o typ útoku, pri ktorom útočník vloží škodlivý kód (napríklad príkazy SQL alebo JavaScript) do webovej aplikácie alebo databázy s cieľom ohroziť systém alebo ukradnúť citlivé údaje. Vloženie kódu možno použiť na zneužitie zraniteľností v systéme, ako sú chyby overenia vstupu alebo nedostatočne vyčistený vstup používateľa.
  • DDoS útoky – DDoS je skratka pre Distributed Denial of Service a označuje útok, pri ktorom sa používa viacero systémov (často napadnutých počítačov alebo serverov) na zaplavenie cieľovej webovej stránky alebo siete návštevnosťou, čím sa stáva nedostupnou pre legitímnych používateľov. DDoS útokom môže byť ťažké brániť sa, pretože môžu zahŕňať obrovské množstvo prevádzky a pochádzať z rôznych zdrojov.
  • Slabé kontroly prístupu – ide o situáciu, keď systém alebo aplikácia adekvátne neobmedzuje prístup k citlivým údajom alebo funkciám, čo umožňuje neoprávneným používateľom prezerať, upravovať alebo mazať informácie. Môže k tomu dôjsť v dôsledku celého radu faktorov, ako sú zlé pravidlá hesiel, nedostatočné autentifikačné opatrenia alebo neadekvátna správa privilégií.
  • Nedostatok šifrovania – šifrovanie označuje proces kódovania informácií spôsobom, ktorý ich robí nečitateľnými pre kohokoľvek bez správneho dešifrovacieho kľúča. Ak údaje nie sú šifrované, môžu byť zraniteľné voči zachyteniu a krádeži útočníkmi, ktorí majú prístup k sieti alebo systému, kde sú údaje uložené alebo prenášané.
  • Nesprávne konfigurácie – ide o chyby alebo prehliadnutia v konfigurácii softvéru, systémov alebo sietí, ktoré môžu spôsobiť ich zraniteľnosť voči útokom. Nesprávna konfigurácia môže nastať z rôznych dôvodov, ako je ľudská chyba, nepochopenie osvedčených bezpečnostných postupov alebo nesprávna komunikácia medzi rôznymi tímami alebo oddeleniami. Medzi príklady nesprávnej konfigurácie patrí ponechanie predvolených hesiel na mieste, zlyhanie pri oprave známych zraniteľností alebo nesprávna konfigurácia brán firewall alebo iných bezpečnostných kontrol.

3. Zabezpečenie siete

Zabezpečenie siete je široký pojem, ktorý zahŕňa aktivity a ovládacie prvky určené na ochranu integrity vašej sieťovej infraštruktúry – ochranu siete a údajov pred hrozbami, neoprávneným prístupom, prienikmi, narušeniami, zneužitím atď. Ovládacie prvky sú dostupné v troch formách:

  • Fyzické, ktoré zabraňuje neoprávnenému fyzickému prístupu k sieťovej infraštruktúre vrátane dátových centier, smerovačov a serverov;
  • Technická, ktorá chráni dáta v rámci siete, či už sú uložené alebo prenášané;
  • Administratívna, ktorá zahŕňa bezpečnostné procesy a politiky, ktoré riadia sieťový prístup.

4. Zabezpečenie cloudu

Zabezpečenie cloudu sa vzťahuje na technológiu, zásady a procesy používané na zmiernenie bezpečnostných rizík cloud computingu, či už pri použití verejných, súkromných alebo hybridných cloudov. Tento typ kybernetickej bezpečnosti nasledujú jedinečné výzvy, ako napríklad:

  • Viditeľnosť: Interný IT alebo bezpečnostný tím má menší prehľad o uložených údajoch. Je to preto, že k službám sa pristupuje mimo siete a spravuje ich poskytovateľ tretej strany.
  • Multi-cloud: Používanie multi-cloud prostredia je niečo, čo robí väčšina organizácií/spoločností/verejných a súkromných orgánov. Trend, ktorý bude stále rásť.
  • Súlad: Spoliehanie sa na externého poskytovateľa pri používaní verejného cloudu pridáva ďalšiu vrstvu do vášho procesu riadenia súladu s predpismi.

5. Bezpečnosť internetu vecí (IoT).

Zabezpečenie internetových zariadení a sietí, ku ktorým sú pripojené, pred hrozbami a narušeniami je akt zabezpečenia v IoT. Ochrana, identifikácia a monitorovanie rizík a zároveň pomoc pri oprave zraniteľností z rôznych zariadení, ktoré môžu predstavovať bezpečnostné riziká pre vašu firmu.

Typy etického hackovania

Hackerov možno klasifikovať ako bielych, čiernych a šedých na základe ich úmyslu hacknúť systém. Tieto odlišné výrazy pochádzajú zo starých spaghetti westernov, kde zlý chlap nosí čierny kovbojský klobúk a dobrý chlap biely.

Hackeri s bielym klobúkom sú etickí hackeri, ktorí sa vlámu do systémov, aby zabránili kybernetickým útokom. Čierne klobúky infiltrujú malvérom systému alebo prevádzku, aby zneužili zraniteľné miesta na osobný zisk.

White hat hackeri

Etické hackovanie, tiež známe ako hackovanie „bieleho klobúka“, sa vzťahuje na prax identifikácie zraniteľných miest v počítačových systémoch a sieťach s povolením a vedomím vlastníka systému za účelom zlepšenia bezpečnosti. Etickí hackeri používajú rovnaké techniky a nástroje ako zlomyseľní hackeri, ale ich cieľom je identifikovať a nahlásiť slabé miesta vlastníkovi systému, aby ich bolo možné opraviť skôr, ako ich môžu zneužiť útočníci.

White hat hackeri sú známi aj ako etickí hackeri. Nikdy nemajú v úmysle poškodiť systém. Namiesto toho sa snažia nájsť slabé miesta v počítači alebo sieťovom systéme v rámci penetračného testovania a hodnotenia zraniteľnosti.

Etické hackovanie nie je nelegálne a je jednou z najnáročnejších prác v IT priemysle. Mnoho spoločností si najíma etických hackerov na penetračné testovanie a hodnotenie zraniteľnosti.

Black hat hackeri

Black hat hackeri, známi aj ako crackeri, hackujú, aby získali neoprávnený prístup do systému a poškodili jeho prevádzku alebo ukradli citlivé informácie.

Black hat hacking je vždy nezákonný kvôli svojmu zámeru, vrátane krádeže firemných údajov, porušovania súkromia, poškodenia systému a blokovania sieťovej komunikácie.

Grey hat hackeri

Grey hat hackeri sú zmesou black hat a white hat hackerov. Konajú bez zlého úmyslu, ale pre zábavu využívajú slabinu zabezpečenia v počítačovom systéme alebo sieti bez súhlasu alebo vedomia vlastníka.

Majú v úmysle upozorniť majiteľov na slabosť a získať od nich ocenenie alebo malú odmenu.

Červený tím Hackeri

Hackerov z Red teamu si najímajú organizácie, aby simulovali reálne útoky na ich systémy, siete a aplikácie. Testujú obranyschopnosť organizácie a pomáhajú identifikovať slabé stránky, ktoré je potrebné riešiť.

Modrý tím Hackeri

Hackeri modrého tímu pracujú v rámci bezpečnostného tímu organizácie na obrane pred útokmi a ochrane aktív organizácie. Môžu používať hackerské techniky na identifikáciu a opravu slabých miest, monitorovanie systémov na podozrivú aktivitu a reagovanie na bezpečnostné incidenty.

Bug Bounty Hunters

Lovci odmien za chyby sú jednotlivci, ktorí hľadajú bezpečnostné chyby v systémoch, sieťach a aplikáciách a nahlasujú ich organizáciám výmenou za odmenu alebo odmenu.

Ukážte vašu obozretnosť, buďte vedomí!

Financované Európskou úniou. Vyjadrené názory a postoje sú názormi a vyhláseniami autora(-ov) a nemusia nevyhnutne odrážať názory a stanoviská Európskej únie alebo Európskej výkonnej agentúry pre vzdelávanie a kultúru (EACEA). Európska únia ani EACEA za ne nepreberajú žiadnu zodpovednosť.

Číslo projektu: 2021-1-SI01-KA220-VET-000033366

© 2024 AWARE | handcrafted and powered with love by p-consulting.gr