MITRE ATT&CK (Adversarial Tactics, Techniques, and Common Knowledge) to kompleksowa, globalnie dostępna baza wiedzy na temat zachowań i taktyk przeciwnika. Opracowana przez MITRE Corporation. Pierwsza baza ATT&CK powstała w 2013 roku, gdzie dostępnych było 64 techniki dla systemu Windows. Obecnie mamy 202 techniki i 435 sub-technik dla systemów Windows, MacOS i Linux. Struktura ATT&CK przedstawiona jest w…
Mamy drugi poniedziałek czerwca i czwartą, przed ostatnią publikację z obszaru modelowania zagrożeń. Dzisiaj naszym bohaterem będzie framework DREAD. DREAD to framework, który opracowany został przez firmę Microsoft i opublikowany po raz pierwszy w 2002 roku przez Davida LeBlanca i Michaela Howarda. Jest świetnym uzupełnieniem modelu STRIDE, którego opis znajdziesz tutaj: STRIDE Framework Co kryje…
Czy zastanawiał*ś się kiedyś, jak dobrze ocenić ryzyko cyberataków i lepiej chronić swoje zasoby? Chętnie Ci w tym pomogę, publikując kolejny artykuł z cyklu proaktywnego podejścia do cyberbezpieczeństwa w ramach inicjatywy 2BeAware . Przyglądniemy się bliżej metodyce PASTA – Process for Attack Simulation and Threat Analysis. PASTA, to metodyka opracowana przez CEO VerSprite Cybersecurity Tony…
W ramach #CyberMonday kontynuujemy temat modelowania zagrożeń i na warsztat bierzemy framework STRIDE. Jest to metodologia opracowana przez firmę Microsoft, która pomaga identyfikować i kategoryzować potencjalne zagrożenia bezpieczeństwa podczas tworzenia oprogramowania i projektowania systemów. Framework STRIDE pomaga zespołom ds. bezpieczeństwa w ciągłym identyfikowaniu potencjalnych zagrożeń na różnych etapach projektowania, tworzenia i wdrażania systemów. Dzięki temu…
Dzisiejszą publikację poświęcam na bardzo ważny element proaktywnego podejścia do zmniejszenia narażenia organizacji na ryzyko. Mowa tutaj o modelowaniu zagrożeń. Czy to jedyna korzyść płynąca, otóż nie. Dzięki modelowaniu możemy: ZAGROŻENIE, PODATNOŚĆ, RYZYKO Jak napisałem we wstępie, największą korzyścią płynącą ze stosowania modelowania jest zmniejszenie narażenia organizacji na ryzyko. Dlatego, zanim przejdę dalej, chcę wyjaśnić…
Mamy kolejny #cybermonday, 1 dzień tygodnia wg normy ISO-8061. W związku z tym przychodzę do Was z kolejną dawką wiedzy, w ramach inicjatywy 2BeAware. Dzisiaj będę mało oryginalny. W mojej publikacji przeczytasz o dyrektywie NIS2. Postanowiłem więc zebrać najważniejsze informacje na temat samej dyrektywy i wzbogacić ją dodatkowo na końcu o konkretne i sprawdzone linki,…