Knowledge
-
ត្រៀមខ្លួនសម្រាប់ការវាយប្រហារៈផែនការ Contingency & Backup Plans
មេដឹកនាំអង្គភាពត្រូវបានគេរំពឹងថានឹងធ្វើការដោយប្រុងប្រយ័ត្នដើម្បីការពារធនធាន និងទ្រព្យសម្បត្តិដ៏មានតម្លៃនៅក្នុងប្រព័ន្ធព័ត៌មានរបស់ពួកគេ។ ខណៈពេលដែលមេដឹកនាំជាច្រើនយល់ច្បាស់ពីតម្រូវការ និងការទទួលខុសត្រូវរបស់ពួកគេ មានអ្នកដឹកនាំតិចតួចណាស់ដែលមានប្រវត្តិជាអ្នកជំនាញ និងបច្ចេកទេស ដើម្បីធ្វើការសំរេចចិត្តអំពីការការពារប្រព័ន្ធរបស់ពួកគេពីអ្នកវាយប្រហារ។ ជាដំបូង អ្នកដឹកនាំត្រូវយល់ថាប្រព័ន្ធបណ្តាញរបស់អង្គភាពមិនអាចត្រូវបានការពារ១០០ភាគរយ ពីអ្នកវាយប្រហារនោះឡើយ។ មិនថាអ្នកបំពាក់ប្រព័ន្ធសម្រាប់ធ្វើការតាមដានចាប់យក (detection) ប៉ុន្មានគ្រឿង ឬវិធានការសកម្មនានា (proactive measures) ត្រូវបានតំឡើងដើម្បីការពារបណ្តាញនោះទេ ក៏គ្មានការធានាប្រឆាំងទៅនឹងការវាយប្រហារផងដែរ។ មធ្យោបាយដ៏ល្អបំផុតសម្រាប់អង្គភាពមួយដើម្បីការពារខ្លួនឯង គឺត្រូវរៀបចំខ្លួនក្នុងន័យថាប្រសិនបើបណ្តាញត្រូវបានវាយប្រហារ…
Read More » -
ធនាគារជាតិកម្ពុជាចេញផ្សាយអំពី Technology Risk Management Guideline (TRM)
កាលពីពេលថ្មីៗនេះ ធនាគារជាតិនៃកម្ពុជាបានចេញផ្សាយនូវឯកសារស្តីអំពី “គោលការណ៍ណែនាំការគ្រប់គ្រងហានិភ័យបច្ចេកវិទ្យា ឬ Technology Risk Management Guideline (TRM)”។ តាមឯកសារនោះបានឲ្យដឹងថា គោលបំណងនៃគោលការណ៍ណែនាំនេះ គឺដើម្បីធ្វើឲ្យប្រសើរឡើងនូវសុវត្ថិភាព សន្តិសុខ និងប្រសិទ្ធិភាពនៃប្រតិបត្តិការអាជីវកម្មរបស់គ្រឹះស្ថានធនាគារ និងហិរញ្ញវត្ថុទាំងអស់ ដែលនឹងផ្តល់ប្រយោជន៍ទៅដល់គ្រឹះស្ថានខ្លួនឯង និងអតិថិជនរបស់ខ្លួនផងដែរ។ អ្នកទាំងអស់គ្នាអាចទាញយកឯកសារតាមរយ:តំណរភ្ជាប់ដូចខាងក្រោម៖ https://www.nbc.org.kh/download_files/publication/itguideline_eng/NBC-Risk-Management-Guidelines-July%202019.pdf
Read More » -
ទប់ស្កាត់ការវាយប្រហារតាមអុិនធឺណិតចំពោះអង្គភាពរបស់អ្នក តាមរយៈការបង្កើនការយល់ដឹងអំពីសន្តិសុខព័ត៌មាន
អត្ថបទពាណិជ្ជកម្ម ក្រុមហ៊ុន INFOSEC IQ គឺជាក្រុមហ៊ុនឯកទេសលើផ្នែកសន្តិសុខព័ត៌មានវិទ្យាបានបង្កើតកម្មវិធីដ៏ល្អមួយសម្រាប់បង្កើនការយល់ដឹងអំពីសន្តិសុខព័ត៌មានវិទ្យា ។ កម្មវិធីនេះមានលក្ខណៈពិសេសត្រង់មានចំណុចសំខាន់ៗចំនួនបួន៖ (១) អ្នកសិក្សាអាចជ្រើសរើសមេរៀនតាមចិត្តចង់ (២) មេរៀននីមួយៗគឺបង្កើតឡើងតាមរយៈបទពិសោធន៏ជាក់ស្តែងនៅក្នុងឧស្សាហកម្មផ្ទាល់ដែលបានប្រើប្រាស់ប្រព័ន្ធព័ត៌មានវិទ្យាជាយន្តការសម្រួលអាជីវកម្ម (៣) មេរៀនមានលក្ខណៈដែលអាចទំនាក់ទំនងទៅវិញទៅមកជាមួយអ្នកសិក្សា (Interactive Mode) និង (៤) មេរៀននីមួយៗត្រូវបានបង្កើតជាមេរៀនខ្លី ហើយខ្លឹម និងងាយយល់ ។ ចំណុចពិសេសទាំងបួននេះបានធ្វើ…
Read More » -
វិធីសាស្ត្រក្លាយខ្លួនជាសវនករសន្តិសុខព័ត៌មាន (IT Security Auditor)
ការធ្វើជាសវនករផ្នែកសន្តិសុខព័ត៌មានមានន័យថាជាការធ្វើការពាក់ព័ន្ធទៅនឹងសវនកម្មប្រព័ន្ធសន្តិសុខព័ត៌មានរបស់ហេដ្ឋារចនាសម្ព័ន្ធ IT នៅក្នុងក្រុមហ៊ុនមួយ។ ការងារនេះអាចមានការលំបាក ព្រោះវាមានពឹងផ្អែកទៅលើសុវត្ថិភាពព័ត៌មាន និងអនុលោមភាព។ ជាទូទៅវាតម្រូវឱ្យបេក្ខជនមានបទពិសោធនៅក្នុងផ្នែករដ្ឋបាលព័ត៌មានវិទ្យា និងសន្តិសុខព័ត៌មានជាចំណុចចាប់ផ្តើម។ (តែនេះមិនមែនតែងតែជាករណីសម្រាប់សវនករអនុលោមភាពឡើយ។ ) សវនកម្មសន្តិសុខព័ត៌មានត្រូវបានប្រើប្រាស់ដើម្បីបង្កើតរបាយការណ៍ស៊ីជម្រៅ ដែលបង្ហាញព័ត៌មានលម្អិតអំពីស្ថានភាពបច្ចុប្បន្ននៃសន្តិសុខព័ត៌មានរបស់ក្រុមហ៊ុនមួយ និងចំនុចដែលអ្វីៗអាចត្រូវបានកែលម្អ និងអ្វីៗកំពុងដំណើរការជាទូទៅ។ នេះមានប្រយោជន៍ ដោយសារអ្នករៀបចំផែនការ និងអ្នកធ្វើសេចក្តីសម្រេចចិត្តត្រូវដឹងថាតើប្រព័ន្ធព័ត៌មានវិទ្យាកំពុងដំណើរការយ៉ាងដូចម្តេច ហើយថាតើការយន្តការប្រុងប្រយ័ត្នផ្នែកសន្តិសុខបច្ចុប្បន្ន អាចនឹងត្រូវបានធ្វើឱ្យប្រសើរឡើងដើម្បីធានាបាននូវសមត្ថភាពនៅក្នុងក្រុមហ៊ុន។ បទពិសោធន៍ការងារ…
Read More » -
គន្លឹះសម្រាប់សរសេរប្រវត្តិរូបជាអ្នកសវនករព័ត៌មានវិទ្យា (IT Auditor)
ប្រវត្តិរូប (resumes) គឺជាឧបករណ៍ដ៏មានសារៈសំខាន់ដែលចាំបាច់ដើម្បីទទួលបានការងារ ជាពិសេសចំពោះការងារណាដែលត្រូវការការអប់រំ និងបទពិសោធន៍។ ជារឿយៗ ប្រវត្តិរូបនេះជាវិធីដំបូងរបស់អ្នក ដើម្បីឱ្យក្រុមហ៊ុននានាដឹងពីអ្វីដែលអ្នកមានសមត្ថភាព និងអ្វីដែលអ្នកអាចសាកសមនឹងក្រុមហ៊ុនមួយនោះ ដោយផ្អែកលើជំនាញ និងកម្រិតចំណេះដឹងរបស់អ្នក។ តួនាទីសវនករ IT មិនជាករណីលើកលែងនោះទេ ហើយដើម្បីទទួលបានភាពជោគជ័យតាមដែលអាចធ្វើទៅបាននៅក្នុងការស្វែងរកការងារសវនករផ្នែកអាយធីរបស់អ្នក អ្នកនឹងត្រូវការប្រវត្តិរូបដ៏ល្អដើម្បីជួយអ្នកឱ្យមានការចាប់ផ្តើមដ៏ល្អបំផុតមួយ។ អត្ថបទនេះនឹងរៀបរាប់លំអិតពីអ្វីដែលត្រូវបញ្ចូលនៅក្នុងប្រវត្តិរូបសង្ខេបរបស់អ្នក និងរបៀបសរសេរឃ្លាដែលអ្នកកំពុងព្យាយាមនិយាយដើម្បីបង្កើនផលប៉ះពាល់ជាវិជ្ជមានដែលប្រវត្តិរូបរបស់អ្នកអាចមាន។ គន្លឹះល្អៗសម្រាប់ការសរសេរប្រវត្តិរូបជាសវនករព័ត៌មានវិទ្យា ចូរផ្តោតទៅលើគោលដៅអាជីពជាសវនករព័ត៌មានវិទ្យាអ្នកប្រហែលជាបានសរសេរអំពីគោលបំណងរបស់អ្នករួចទៅហើយ…
Read More » -
វិធីសាស្ត្រដើម្បីក្លាយខ្លួនជាអ្នកធ្វើតេស្តសន្តិសុខអ៊ិនធឺណិត Pentester
ប្រសិនបើអ្នកជាមនុស្សដែលចូលចិត្តបញ្ហាប្រឈម និងតែងតែស្វៈស្វែងរកបញ្ហា អ្នកគួរតែពិចារណាក្លាយជាអ្នកធ្វើតេស្តសន្តិសុខអ៊ិនធឺណិត (penetration tester)។ តើអ្នកធ្វើតេស្តសន្តិសុខអ៊ិណធឺណិតធ្វើអ្វីខ្លះ ហើយធ្វើដូចម្តេចដើម្បីក្លាយខ្លួនជាអ្នកអាជីពក្នុងការងារនេះ? តើអ្វីទៅជាការធ្វើតេស្តសន្តិសុខអ៊ិនធឺណិត? មានទិដ្ឋភាពជាច្រើននៃការព័ត៌មានសន្តិសុខអ៊ិនធឺណិតដែលទាមទារឱ្យមានការបញ្ចូលព័ត៌មានពីមនុស្ស។ បញ្ហាសុវត្ថិភាពតាមអ៊ីនធឺណិត គឺជាបញ្ហាដែលផ្តោតលើមនុស្ស ហើយវាអាស្រ័យលើធនធានមនុស្សដែលអាចយល់ពីរបៀបដែលមនុស្សអាក្រក់គិត។ នៅក្នុងពិភពសន្តិសុខអ៊ីនធឺណិត អ្នកធ្វើតេស្តសន្តិសុខអ៊ិនធឺណិត គឺជួនកាលត្រូវបានគេចាត់ទុកថាជាអ្នក ethical hacker ពីព្រោះទិដ្ឋភាពខ្លះនៃការងារតម្រូវឱ្យធ្វើការងារអ្វីដែលហេគឃ័រនឹងធ្វើ។ Penetration Testing…
Read More » -
Script Kiddie: ជាបុគ្គលមិនមានជំនាញ ឬក៏ជាហេគឃ័រដ៏គ្រោះថ្នាក់
នរណាម្នាក់ក៏អាចទាញយកកម្មវិធីពីអ៊ីនធឺណិតផងដែរ។ មានកម្មវិធីរាប់ពាន់សម្រាប់ hacking និង security ដែលមានលើអ៊ិនធឺណិត។ កម្មវិធីទាំងនេះត្រូវបានអភិវឌ្ឍន៍ដោយអ្នកសរសេរកម្មវិធីកុំព្យូទ័រដែលមានជំនាញ និងអ្នកដែលមានចំណង់ចំណូលចិត្តផ្ទាល់។ កម្មវិធីភាគច្រើនគឺអ្នកអាចទាញយកដោយសេរី និងប្រើវា។ នេះអាចជាការប្រសើរមួយដល់អ្នកប្រើដែលចង់រៀនអំពីសន្តិសុខអ៊ីធឺណិត (cybersecurity)។ ទោះជាយ៉ាងណាក៏ដោយ វាអាចមានបញ្ហានៅពេល script kiddie ព្យាយាមប្រើវាសម្រាប់ការហេគឃីង។ តើអ្វីទៅជា Script Kiddie…
Read More » -
គន្លឹះ ១២ ចំនុចដើម្បីធ្វើបទបង្ហាញដ៏មានប្រសិទ្ធិភាពចំពោះមុខក្រុមប្រឹក្សាភិបាល
សន្តិសុខតាមប្រព័ន្ធអ៊ីនធឺណិត (Cybersecurity) គឺជាក្តីបារម្ភចម្បងសម្រាប់ក្រុមប្រឹក្សាភិបាល។ តាមពិត 42% នៃមេដឹកនាំជិត 500 នាក់ ដែលបានអង្កេតដោយ National Association of Corporate Directors បានបង្ហាញថា ហានិភ័យតាមអ៊ិនធឺណិតជាកត្តាមួយក្នុងចំណោមកង្វល់ទាំង 5 ដែលពួកគេកំពុងប្រឈម – នៅពីក្រោយការប្រែប្រួលអាកាសធាតុ…
Read More » -
ឯកសារជំនួយសម្រាប់ការប្រឡង CEH
ការសិក្សាទៅលើមុខវិជ្ជា Certified Ethical Hackers (CEH) អាចត្រូវបានធ្វើដោយខ្លួនឯង (វគ្គសិក្សាលើអ៊ីនធឺណិត) និងការបណ្តុះបណ្តាលក្នុងថ្នាក់រៀនដោយផ្ទាល់សម្រាប់អ្នកដែលមានថវិការសម្រាប់ប្រភេទនោះ។ អ្នកដែលចង់ប្រឡងយកវិញ្ញាបនប័ត្រនេះត្រូវមានបទពិសោធន៍ការងារយ៉ាងហោចណាស់រយៈពេល ២ឆ្នាំ។ ខាងក្រោមនេះគឺជាសៀវភៅសម្រាប់ត្រៀមប្រឡងយក CEH ហើយដែលត្រូវបានដាក់ឲ្យទាញយក (ប្រហែលដោយសារសេ៊រីចាស់ហើយមើលទៅ) http://whb.es/Certified%20Ethical%20Hacker%20(CEH)%20v3.0%20Official%20Course.pdf http://1.droppdf.com/files/j5pBT/ceh-certified-ethical-hacker-all-in-one-exam-guide-mcgrawhill-pdf-01qlt-.pdf នេះគឺជាឯកសារផ្លូវការនៃមុខវិជ្ជា CEH https://www.eccouncil.org/wp-content/uploads/2016/02/cehv9-brochure.pdf ខាងក្រោមនេះគឺជាតារាងពិន្ទុនៃការប្រឡង…
Read More » -
តើក្រុមក្រហម និងខៀវផ្តល់អត្ថប្រយោជន៍យ៉ាងដូម្តេច?
ក្រុមក្រហម និងក្រុមខៀវ គឺជាយុទ្ធសាស្ត្រពីរផ្សេងពីគ្នាសម្រាប់ធ្វើការវាយតម្លៃ (assessment) ទៅលើស្ថានភាពសន្តិសុខបច្ចេកវិទ្យាគមនាគមន៍ និងព័ត៌មានរបស់អង្គភាព។ នៅក្នុងអត្ថបទនេះ អ្នកនឹងស្វែងយល់ដឹងអំពីគុណសម្បត្តិធំៗនៃវិធីសាស្រ្តរបស់ក្រុមមួយៗ ហើយនឹងថាតើក្រុមទាំងពីរនេះអាចផ្តល់ផលវិបាកយ៉ាងដូចម្តេចខ្លះនៅពេលដែលយើងធ្វើការតេស្តទៅលើសន្តិសុខបច្ចេកវិទ្យាគមនាគមន៍ និងព័ត៌មាន (penetration testing)។ តើអ្វីទៅជា Red Team និង Blue Team? ក្រុមទាំងពីរខាងលើនេះគឺជាការប្រើប្រាស់អភិក្រម (approaches)…
Read More » -
សំណួរសាកល្បងសម្រាប់ប្រឡងយក CISSP
ខាងក្រោមនេះគឺជាសំណួរសាកល្បងសម្រាប់ប្រឡងយកវិញ្ញាបនប័ត្រ CISSP ដែលអ្នកដែលចង់ធ្វើការប្រឡងគួរធ្វើការសាកល្បងឆ្លើយ CISSP_Baseline_Exam_V5.5Download
Read More » -
ពាក្យសម្ងាត់ប្រវែង០៨តួៈ គួបញ្ឈប់ការប្រើប្រាស់
វាដល់ពេលដែលយើងត្រូវធ្វើការបោះចោលពាក្យសម្ងាត់ដែលមានប្រវែងប្រាំបីតួ ឬតិចជាងនេះហើយ ដោយអ្នកត្រូវប្រើប្រាស់ពាក្យសម្ងាត់យ៉ាងហោចណាស់ប្រវែង១២តួវិញ។ ពាក្យសម្ងាត់ដែលមានប្រវែងប្រាំបីតួ ឬតិចជាងនេះ ត្រូវបានបំលែង “hashed” ដោយប្រើប្រាស់នូវបច្ចេកទេសទូលំទូលាយមួយគឺ NTLM algorithm របស់ Microsoft ហើយក្នុងពេលនេះត្រូវបានគេបំបែកបានហើយដោយប្រើប្រាស់ពេលវេលាស្មើនឹងខ្សែភាពយន្តមួយប៉ុណ្ណោះ។ បើតាមហេគឃ័រមានឈ្មោះថា “Tinker” បានប្រាប់ទៅដល់សារព័ត៌មាន The Register កាលពីពាក់កណ្តាលខែកុម្ភៈ បានឲ្យដឹងថា…
Read More » -
ចំនុចទាំង5 នៃអ៊ីម៉ែលក្លែងបន្លំៈ សូមគិតអោយច្បាស់មុនពេលអ្នកចុច!
ការចុចតែមួយម្តង អាចជាភាពខុសគ្នារវាងការថែរក្សាសុវត្ថិភាពទិន្នន័យ និងទទួលរងការបាត់បង់ហិរញ្ញវត្ថុដ៏ធំសម្បើម។ ចាប់ពីពេលដែលមានបុគ្គលិកម្នាក់ធ្លាក់ក្នុងអន្ទាក់អ៊ីម៉ែលក្លែងបន្លំហើយនោះ អាជីវកម្មរបស់អ្នកគឺងាយរងការលួចទិន្នន័យ និងការខាតបង់យ៉ាងធំ។ សូមមើលចំនុចទាំង ៥ ខាងក្រោម៖ ១. អក្ខរាវិរុទ្ធ និងវេយ្យាករណ៍មានការសរសេរខុសច្រើន ខណៈពេលដែលការប្រៀបធៀបនេះកើតឡើងម្តងម្កាលក៏ដោយ តែវាពិតជាល្អបំផុតសម្រាប់យើង ដែលថាអ៊ីម៉ែលដែលសរសេរមានកំហុសពាក្យពេជន៍ជាច្រើននោះគឺជាសញ្ញាព្រមានមួយសម្រាប់រឿងនេះ។ ក្រុមហ៊ុនជាច្រើនគឺមានយន្តការក្នុងការត្រួតពិនិត្យទៅលើអក្ខរាវិរុទ្ធ និងផ្ទៀងផ្ទាត់ពាក្យពេចន៍ច្រើនលើកច្រើនសារមុននឹងបញ្ជូនចេញ។ ហេតុដូច្នេះ សារដែលមានកំហុសឆ្គងពាក្យពេចន៍ គឺទំនងជាសារក្លែងបន្លំ។…
Read More » -
តើអ្វីទៅជា Red Team? ហេតុអ្វីបានជាខ្ញុំត្រូវការវា?
នៅក្នុងសង្គ្រាមតាមប្រព័ន្ធអ៊ីនធឺណិត អ្នកប្រហែលជាចង់ចូលទៅក្នុងក្រុមពណ៌ក្រហម (Red Team)។ នៅក្នុងអត្ថបទនេះ នឹងការពន្យល់ថាតើ Read Team មានន័យយ៉ាងដូចម្តេច? ហើយតើក្រុមមួយនេះអាចជួយដល់អង្គភាពគ្រប់ទំហំ គ្រប់ឧស្សាហកម្ម និងគ្រប់កម្រិតបច្ចេកទេសយ៉ាងណា? តើ Red Team ជាអ្វី? Red Team គឺជាការពិសោធន៏នៃការវាយប្រហារពហុស្រទាប់ដែលត្រូវបានរៀបចំឡើងដើម្បីធ្វើការវាស់វែង ថាតើមនុស្ស…
Read More » -
ផលវិបាកជាច្រើននៃការចោរកម្ម (Piracy) ឬការលួចចំលងឌីជីថល
មាតិកាឌីជីថល (Digital Content) អាចមានតម្លៃថ្លៃណាស់ ជាពិសេសគឺកញ្ចប់សូហ្វវែ៉រ (software packages)។ ពេលខ្លះ មាតិកានេះត្រូវចំណាយអស់ទឹកប្រាក់ជាច្រើនពាន់ដុល្លារ។ ប៉ុន្តែមិនមែនគ្រប់គ្នាសុទ្ធតែមានលទ្ធភាពទិញនៅក្នុងតម្លៃថ្លៃបែបនេះទេ។ ប្រសិនបើអ្នកចំណាយពេលខ្លះនៅលើអ៊ីនធឺណិតនោះ អ្នកអាចនឹងលឺអំពីការលួចចម្លង ឬចោរកម្មឌីជីថល។ ការលួចចម្លងឌីជីថលគឺជាទម្រង់មួយនៃការរំលោភបំពានច្បាប់រក្សាកម្មសិទ្ធិបញ្ញា។ ទោះជាយ៉ាងណាក៏ដោយ ការលួចចម្លងមិនត្រូវបានកំណត់ត្រឹមតែសូហ្វវែ៉រ នោះទេ។ ការលួចចម្លងរួមបញ្ចូលខ្សែភាពយន្ត សៀវភៅ និងហ្គេមជាច្រើនផងដែរ។…
Read More »
