Aktualności

SECURITY CASE STUDY 2019!

CSA Polska objęła patronatem merytorycznym konferencję SECURITY CASE STUDY 2019 (SCS 2019)!!! Planując tegoroczne aktywności konferencyjne nie można pominąć w kalendarzu daty 12-13 września. Odbędzie się wówczas w Warszawie jedno z największych wydarzeń dedykowanych bezpieczeństwu IT i informatyce śledczej. SCS każdego roku przyciąga setki uczestników społeczności IT Security bo jest inspirującym, poszerzającym horyzonty zawodowe wydarzeniem, przekładającym się na zwiększenie kompetencji, pozwalającym poznać nowe trendy, metody i technologie zapewniające wyższy poziom bezpieczeństwa. Wyzwania i zagrożenia związane z rozwojem cyberprzestępczości wymuszają coraz to nowsze, komplementarne, podejście do zagadnień bezpieczeństwa teleinformatycznego. Organizatorzy w czasie konferencji SCS starają się je systematycznie przedstawiać, stosując formułę przedstawiania studiów przypadków. SCS skupia Czytaj dalej

Jak bezpiecznie przenieść się do chmury – Security as a Service (SecaaS)

Kategorie SecaaS W celu uspójnienia pojęć przytoczę kilka powszechnie znanych definicji kategorii usług. Bezpieczeństwo sieci (Network Security) – obejmuje usługi związane z przyznawaniem dostępu sieciowego, dystrybucją, monitorowaniem i ochroną usług sieciowych. Skanowanie podatności (Vulnerability Scanning) – polega na skanowaniu systemów w poszukiwaniu luk. Bezpieczeństwo aplikacji webowych (Web Security) – oferuje ochronę publicznie dostępnych usług w czasie rzeczywistym, przekierowując ruch sieciowy przez pośredniczącą usługę chmurową. Bezpieczeństwo poczty (Email Security) – dostarcza ochronę poczty przed phishingiem, złośliwymi załącznikami itp. Zarządzanie tożsamością i dostępem (Identity and Access Management, IAM) – umożliwia zarządzanie tożsamością i kontrolę dostępu. Szyfrowanie (Encryption) – proces przekształcenia danych w Czytaj dalej

Jak bezpiecznie przenieść się do chmury – Secure Software Development Lifecycle

Secure Software Development Life Cycle (S-SDLC) Podczas wszystkich faz cyklu tworzenia oprogramowania możemy podjąć szereg działań w celu poprawy bezpieczeństwa aplikacji. Są one opisane szczegółowo w wielu powszechnie znanych i wykorzystywanych metodykach, normach, standardach, podręcznikach m.in.: Microsoft’s Security Development Lifecycle – zbiór zaleceń do tworzenia bezpiecznego oprogramowania. NIST 800-64 – Security Considerations in the Information System Development Life Cycle – publikacja opisująca kroki w zabezpieczaniu aplikacji na etapie poszczególnych faz jej rozwoju. ISO/IEC 27034 – składający się z kilku części standard opisujący praktyki bezpieczeństwa w wielu obszarach związanych z tworzeniem aplikacji z uwzględnieniem zarówno kontekstu technologicznego, jak i informacyjnego, biznesowego oraz zgodnościowego. pecb.com Czytaj dalej

Jak przenieść się do chmury – bezpieczeństwo centrum danych

Na czym polegają standardy bezpieczeństwa centrów danych używane przez dostawców usług chmurowych? Jak rozumieć oznaczenia literowe, liczbowe, poziomy i czym różnią się poszczególne kategorie? Omawiamy i wyjaśniamy. Standardy i klasyfikacje Dzisiaj omówię podstawowe i najczęściej stosowane przez dostawców pojęcia w zakresie prezentowania bezpieczeństwa centrów danych i co one w praktyce oznaczają. Najbardziej rozpoznawalne są standardy dla centrów danych wypracowane przez Uptime Institute oraz Stowarzyszenie Przemysłu Telekomunikacyjnego (Telecommunications Industry Association, TIA) i właśnie na tych skoncentruję się w artykule. Dodatkowo omówię jeszcze inne standardy, na które powołują się dostawcy m.in. SSAE 16 (dawny SAS 70), ISAE 3402, SOC1 i SOC2. Klasyfikacja Czytaj dalej

Interoperacyjność i przenaszalność – jak uniezależnić się od dostawcy

Zgodnie z zasadą Pareto 80% dochodu generuje 20% klientów, stąd dla każdego z dostawców ich utrzymanie jest kluczową kwestią. Służą temu różne programy lojalnościowe, ciągłe doskonalenie usług czy produktów, przywiązanie do marki itd. Nie ma w tym nic złego, jeśli nie ogranicza swobody klienta. Często jednak spotykamy się z praktykami mającymi na celu uzależnienie od dostawcy i konieczności korzystania tylko z jego produktów lub usług. Mówimy wtedy o zjawisku vendor lock-in, występującym również w przypadku usług  chmurowych. W artykule opiszę kilka wskazówek, jak uniknąć zagrożeń i nie dać się złapać w pułapkę uzależnienia. Podstawowe pojęcia Vendor lock-in – uzależnienie od Czytaj dalej

Kolejna już edycja ATSummit !!! Zniżka dla członków CSA

Advanced Threat Summit 2018 to jedna z największych i najważniejszych konferencji cybersecurity w Polsce. To spotkanie dedykowane dla menedżerów cyberbezpieczeństwa i bezpieczeństwa informacji z dużych i średnich podmiotów działających w Polsce. W tym roku spotykamy się 13-14 listopada w Warszawie! Program 5. edycji AT Summit będzie skoncentrowany na tematyce wpływu automatyzacji i sztucznej inteligencji na branżę cyberbezpieczeństwa, dbałości o bezpieczeństwo w całym procesie tworzenia systemów IT oraz cybercrime, i temu, skąd się bierze zło w sieci. Czekać na Was będzie kilkudziesięciu prelegentów, sesje równoległe i plenarne, 4 warsztaty do wyboru, ponad 20 różnych tematów dyskusji roundtable i wiele miejsca do Czytaj dalej

Jak bezpiecznie przenieść się do chmury – szyfrowanie danych

Jedną z najczęściej przez nas spotykanych obaw przed migracją do chmury jest troska o poufność przechowywanych tam informacji. Na szczęście jest to problem, który pomaga rozwiązać odpowiednio użyta kryptografia. Mechanizmy kryptografii stanowią bardzo uniwersalne narzędzie osiągania poufności (ochrona przed nieautoryzowanym dostępem), integralności (spójności – ochrona przed nieautoryzowanymi zmianami), uwierzytelnienia (potwierdzenie zadeklarowanej tożsamości) czy niezaprzeczalności (ochrona przed zaprzeczeniem wykonania operacji). O ich wykorzystaniu w procesie uwierzytelnienia wspomniałem w jednym z poprzednich odcinkówcyklu.  W tym skupię się na zastosowaniu ich do ochrony danych przechowywanych (data at rest)  i w trakcie przesyłu (data in transit) w chmurze.   Podstawowe definicje Szyfrowanie – metoda Czytaj dalej

Jak przenieść się do chmury – bezpieczeństwo środowiska wirtualnego

Przeniesienie się do chmury w wielu przypadkach oznacza wykorzystanie w znaczącym stopniu mechanizmów wirtualizacji. Warto znać ich charakterystykę oraz możliwe zagrożenia z nimi związane, by odpowiednio obronić swoje zasoby. Koncepcja wirtualizacji miała swój początek w 1960 roku wraz z rozwojem IBM System/360 model 67. W ostatniej dekadzie stała się fundamentem w rozwoju usług chmurowych. Oprócz niewątpliwych korzyści generuje też ryzyka, jak każda technologia. W dzisiejszym artykule omówimy, jakie są zagrożenia i najlepsze praktyki w kontekście bezpieczeństwa środowiska wirtualnego w chmurze. Zaczniemy od zagrożeń – a na końcu znajdziecie przegląd technik zabezpieczeń. Warto jednocześnie zauważyć, że dbanie o bezpieczeństwo środowisk wirtualizacyjnych Czytaj dalej

Jak bezpiecznie przenieść się do chmury – przygotowanie na wielką awarię

W nowym odcinku z cyklu “Jak bezpiecznie przenieść się do chmury” omówimy sytuację, której nie życzymy ani dostawcom usług chmurowych, ani ich klientom – ale na którą warto się przygotować. Wprowadzenie – wyprawa w chmury Przedstawiając zagadnienie ciągłości działania lubię posługiwać się przykładem Roberta Falcon Scotta i Roalda Amundsena w wyścigu o zdobycie bieguna południowego. Ponad 100 lat temu tych dwóch śmiałków rywalizowało ze sobą w ekstremalnym środowisku. Różniło ich podejście do osiągania celu i przetrwania w trudnych warunkach. Amundsen opierał się na sprawdzonych już wcześniej rozwiązaniach, dobrym rozpoznaniu terenu i panujących warunków oraz symulowaniu sytuacji kryzysowych, w których mógł Czytaj dalej

Chmura i kontrola dostępu – jak wdrożyć i zarządzać uprawnieniami

Kontrola dostępu W poprzednim odcinku z cyklu Jak bezpiecznie przenieść się do chmury przedstawione zostały podstawowe pojęcia i modele związane z zarządzanie tożsamością w modelu cloud computing. W tym artykule obszar ten zostanie uzupełniony o charakterystykę modeli kontroli dostępu wykorzystywanych w systemach informatycznych oraz opis ich zalet i ograniczeń w kontekście usług chmurowych. Kontrola dostępu rozumiana jest jako proces, który określa czy dany podmiot ma uprawnienia do dostępu, korzystania czy modyfikacji zasobu. Obejmuje sprawowanie nadzoru nad tym, którzy uczestnicy (osoby, procesy, maszyny, itd.) i na jakich zasadach mają dostęp do poszczególnych zasobów systemu komputerowego, na czym ten dostęp polega, w Czytaj dalej