Penetrationstest

cyber, attack, encryption-3327240.jpg

Angreb i virksomhedernes forsyningskæde steg med over 600 % i år

8 minutters læsning / Af / Datasikkerhed, Hacking, LOG4SHELL, Open Source, Penetrationstest / , , , , ,

De fleste virksomheder mener, at de ikke bruger open source-softwarebiblioteker med kendte sårbarheder, men nye undersøgelser finder dem i 68% af udvalgte virksomhedsapplikationer. Antallet af dokumenterede forsyningskædeangreb, der involverer ødelæggende tredjepartskomponenter, er steget 633% i løbet af det sidste år og sidder nu på over 88.000 kendte tilfælde, ifølge en ny rapport fra software supply chain management selskabet Sonatype. I mellemtiden har forekomster af transitive sårbarheder, som softwarekomponenter arver fra deres egne afhængigheder, også nået hidtil usete niveauer og plager to tredjedele af open source-biblioteker. “Afhængighedernes netværkskarakter fremhæver vigtigheden af at have synlighed og bevidsthed om disse komplekse forsyningskæder,” …

Angreb i virksomhedernes forsyningskæde steg med over 600 % i år Se mere…

brain, heart, mind-5371476.jpg

Hvordan en fejl i OpenSSL forårsagede en sikkerhedskrise

9 minutters læsning / Af / Hacking, Heartbleed, Patches, Penetrationstest, Pentest / , , ,

Heartbleed er en sårbarhed i OpenSSL, der kom frem i april 2014; det var til stede på tusindvis af webservere, herunder dem, der kører store websteder som Yahoo. Heartbleedkan spores til en enkelt kodelinje i OpenSSL, et open source-kodebibliotek. OpenSSL er et open source-kodebibliotek, der implementerer TLS-protokollerne (Transport Layer Security) og SSL (Secure Sockets Layer).  Sårbarheden betød, at en skadelig bruger let kunne narre en sårbar webserver til at sende følsomme oplysninger, herunder brugernavne og adgangskoder. TLS/SSL-standarderne er afgørende for moderne webkryptering, og mens fejlen lå i OpenSSL-implementeringen frem for selve standarderne, er OpenSSL så udbredt – da fejlen …

Hvordan en fejl i OpenSSL forårsagede en sikkerhedskrise Se mere…

Penetration test.jpg

Penetrationstest eller sårbarhedsscanning? Hvad er forskellen?

3 minutters læsning / Af / Cybersecurity, Databeskyttelse, IT-Sikkerhed, Penetrationstest, Pentest / , , ,

Pentesting og sårbarhedsscanning forveksles ofte med den samme tjeneste. Problemet er, at virksomhedsejere ofte bruger den ene, når de virkelig har brug for den anden. Lad os dykke ned og forklare forskellene. Folk forveksler ofte penetrationstest og sårbarhedsscanning, og det er ikke helt uden grund. Begge leder efter svagheder i din it-infrastruktur ved at udforske dine systemer på samme måde som en egentlig hacker ville. Der er dog en meget vigtig skelnen mellem de to – og hvornår de hver især er den bedre løsning. Manuel eller automatiseret? Penetrationstest er en manuel sikkerhedsvurdering, hvor cybersikkerhedsprofessionelle forsøger at finde en …

Penetrationstest eller sårbarhedsscanning? Hvad er forskellen? Se mere…

Singapore har lanceret NICE = National Integrated Centre for Evaluation

3 minutters læsning / Af / Cybersikkerhed, IOT, Penetrationstest / , ,

Det er et samarbejde mellem CSA og Nanyang Technological University Singapore. Eftersom Singapore sigter mod at imødekomme kravene i sine cybersikkerhedsevalueringsbehov, har det oprettet en ny facilitet til at vurdere og certificere systemer for deres cybersikkerheds-robusthed, som skrevet af Cyber Security Agency of Singapore (CSA) og Nanyang Technological University (NTU). De har i fællesskab lanceret NICE initiativet. Det 13,99 millioner dollars nationale integrerede center for evaluering (NICE) vil lette sårbarhedsvurdering af software- og hardwareprodukter, fysiske hardwareangreb og sikkerhedsforanstaltninger. Producenter og udviklere vil kunne få deres produkter testet og certificeret på det nye center, hvorigennem regeringen håber at drive test-, …

Singapore har lanceret NICE = National Integrated Centre for Evaluation Se mere…

Er du klar til NIS2 og krav om kryptering? – bøderne er lige steget til 10 millioner € hvis IT sikkerheden ikke er i orden.

5 minutters læsning / Af / Cybersikkerhed, Kryptering, Kryptografi, Overvågning, Overvågningssoftware, Penetrationstest, Pentest / , , , ,

Lovkravene i NIS2 vil i modsætning til NIS1 af 2016 bl. a. omfatte flere private virksomheder indenfor en række områder. Der er derfor stort fokus på de endelige detaljer som nu ligger klar. NIS2 Loven kommer til at få betydning for en række sektorer, der ikke har været omfattet af forgængeren, NIS1. Nu skal alle private virksomheder indenfor fødevaresektoren, spildevandssektoren, affaldssektoren, rumsektoren og en række delsektorer i fremstillingsindustrien (som producerer fx lægemidler, medicinsk udstyr, kemikalier) til at overholde de nye krav. Oprindeligt i NIS1 inkludererede man operatører af væsentlige tjenester, herunder energi, transport, finans, sundhed og drikkevand. Hertil kommer digitale tjenestudbydere og digital …

Er du klar til NIS2 og krav om kryptering? – bøderne er lige steget til 10 millioner € hvis IT sikkerheden ikke er i orden. Se mere…

Ransomware Konsulent

Det koster 700% mere end løsesummen at blive ramt af Ransomware

5 minutters læsning / Af / Cybersikkerhed, Datasikkerhed, DeKryptering, Gidselforhandler, Kryptering, Penetrationstest, Ransomware, Sikkerhedshuller / , , , , , ,

Et forskerhold fra Checkpoint har analyseret de sikkerhedsmæssige konsekvenser af et ransomware-angreb. De inkluderer de andre omkostninger, der er cirka 700% højere end den løsesum, der kræves af trusselsaktørerne. Herhjemme er det nogenlunde det samme billede. Analyserne omfatter skadesvirkningen af den økonomiske byrde, der pålægges af hændelsesresponsindsatsen, systemgendannelse, juridiske gebyrer, overvågningsomkostninger og den samlede virkning af forretningsforstyrrelser. Ransomware-angreb involverer typisk at stjæle data fra virksomheden og kryptere systemer for at presse offeret til at betale for at dekryptere filer og for at undgå en datalækage. Forskere ved Check Point (en Firewall leverandør) udarbejdede ransomware-statistikker ved at analysere data fra …

Det koster 700% mere end løsesummen at blive ramt af Ransomware Se mere…

Hvem er den største insidertrussel?

8 minutters læsning / Af / CISCO, Cybersecurity, Cybersikkerhed, Datasikkerhed, Hacking, Hævn, IT-Sikkerhed, Malware, Medarbejdertrusler, Penetrationstest, Phishing, Ransomware, Sikkerhedshuller, Zero Trust / , , , , , , , ,

Phishing-simuleringer er ikke nok til at identificere organisationens største insidere-sårbarheder eller minimere risikoen fra dem. Penetrationstest viser ofte, hvor problematisk det kan være at med mennesker. Ofte ses det at folk henter og bruger tabte USB’er, opgiver adgangskoder over telefonen og endda klikker på simulerede phishing-links. Mange virksomheder har også set de virkelige konsekvenser af sådanne handlinger. Murphy, leder af cybersikkerhed hos Schneider Downs, et certificeret offentligt regnskabs- og forretningsrådgivningsfirma, siger, at han engang undersøgte årsagen til et  ransomware-angreb på et firma og sporede hændelsen tilbage til en arbejdstager, der havde klikket på en faktura for pickles. “Det var …

Hvem er den største insidertrussel? Se mere…

FBI: Ransomware bande har infiltreret 52 amerikanske kritiske infrastruktur organisationer

3 minutters læsning / Af / Cybersecurity, Cybersikkerhed, Penetrationstest, Ragnar Locker, Ransomware / , ,

Det amerikanske Federal Bureau of Investigation (FBI) siger at Ragnar Locker ransomware bande har brudt i et netværk af mindst 52 organisationer fra flere amerikanske kritiske infrastruktur sektorer. Dette blev afsløret i en fælles TLP i går aftes: WHITE flash alarm offentliggjort mandag i samarbejde med CISA, Cybersikkerhed og Infrastruktur Security Agency. “Fra januar 2022 har FBI identificeret mindst 52 enheder på tværs af 10 kritiske infrastruktursektorer, der er berørt af RagnarLocker ransomware, herunder enheder i den kritiske fremstillings-, energi-, finans-, regerings- og informationsteknologisektorer,” sagde den føderale retshåndhævende myndighed. SE PDF.” “RagnarLocker ransomware aktører arbejder som en del af …

FBI: Ransomware bande har infiltreret 52 amerikanske kritiske infrastruktur organisationer Se mere…

Gratis Log4J scannere til test af LOG4SHELL sikkerhedshullet

4 minutters læsning / Af / Cybersecurity, LOG4J, LOG4SHELL, Penetrationstest, Ransomware / , , , , , , ,

Vi har prøvet at lave en komplet liste (nye kommer til hver time) over scanner, web eller runtime systemer til at detektere en af de værste sikkerhedshuller i mands minde nemlig Apaches LOG4SHELL. Sikkerhedshullet er under aktiv udnyttelse blandt hackere at vi anbefaler at slukke for systemer og patche til den seneste version 2.3.2, og dernæst lave indgående tests og penetrationstests, fordi der kan være installeret f.eks. Ransomware eller overvågningssoftware, bots og bitcoin mining bot software på systemer der ikke er undersøgt. Bemærk at siden der er stærk fokus på disse patches er der allerede opdaget flere andre sikkerhedshuller …

Gratis Log4J scannere til test af LOG4SHELL sikkerhedshullet Se mere…

Aarhus og Aalborg universiteter lukker i frygt for LOG4J og aflyser eksamen

2 minutters læsning / Af / Cybersecurity, Hacking, IT-Sikkerhed, LOG4SHELL, Penetrationstest / , , , , ,

I både Aarhus og Aalborg lukker universiteterne på grund af LOG4J. Alt for mange af de 2 universiteters software indeholder LOG4J komponenten som er et af verdens mest anvendte logfil systemer. Der oplyses at ingen er angrebet. LOG4JSHELL skrev vi om i hele sidste uge. Lukningen sker indtil videre indtil at man kender konsekvenserne for LOG4JSHELL sårbarheden. Det er alene dele af infrastrukturen, således vil den nødvendige administration blive holdt åben, men en del af de helt centrale systemer er nu lukket. Dermed følger universiteterne mediernes og vor anbefaling om at lukke nu. Det er enten det eller at …

Aarhus og Aalborg universiteter lukker i frygt for LOG4J og aflyser eksamen Se mere…

Scroll to Top