General
-
តើក្រុមក្រហម និងខៀវផ្តល់អត្ថប្រយោជន៍យ៉ាងដូម្តេច?
ក្រុមក្រហម និងក្រុមខៀវ គឺជាយុទ្ធសាស្ត្រពីរផ្សេងពីគ្នាសម្រាប់ធ្វើការវាយតម្លៃ (assessment) ទៅលើស្ថានភាពសន្តិសុខបច្ចេកវិទ្យាគមនាគមន៍ និងព័ត៌មានរបស់អង្គភាព។ នៅក្នុងអត្ថបទនេះ អ្នកនឹងស្វែងយល់ដឹងអំពីគុណសម្បត្តិធំៗនៃវិធីសាស្រ្តរបស់ក្រុមមួយៗ ហើយនឹងថាតើក្រុមទាំងពីរនេះអាចផ្តល់ផលវិបាកយ៉ាងដូចម្តេចខ្លះនៅពេលដែលយើងធ្វើការតេស្តទៅលើសន្តិសុខបច្ចេកវិទ្យាគមនាគមន៍ និងព័ត៌មាន (penetration testing)។ តើអ្វីទៅជា Red Team និង Blue Team? ក្រុមទាំងពីរខាងលើនេះគឺជាការប្រើប្រាស់អភិក្រម (approaches)…
Read More » -
ប្រយ័ត្នបើឃើញមានពាក្យ ‘Invoice’ នៅក្នុងអ៊ីមែ៉ល ឬក៏ឯកសារភ្ជាប់ជាប្រភេទ MS- Office
បើតាមរបាយការណ៍ចុងក្រោយស្តីអំពីការគំរាមគំហែងសន្តិសុខតាមប្រព័ន្ធអ៊ិនធឺណិតរបស់ក្រុមហ៊ុន Symantec បានបង្ហាញថា ១ ក្នុងចំណោមអ៊ីម៉ែល ៤១២ ដែលបានផ្ញើរក្នុងឆ្នាំ២០១៨ គឺជាមេរោគ។ បើសិនជាអ្នកទទួលបានអ៊ីម៉ែលដែលមានប្រធានបទ (subject) ថា “bill” ឬ “email delivery failure” ដែលមាន keywords ដូចជា “invoice”…
Read More » -
Training: Basic Cyber Incident Analysis
វគ្គបណ្តុះបណ្តាលស្តីពី “មូលដ្ឋានគ្រឹះនៃការវិភាគឧប្បទេវហេតុសន្តិសុខបច្ចេកវិទ្យាគមនាគមន៍ និងព័ត៍មាន” ក្រុមការងារ SecuDemy.com សហការណ៍ជាមួយនឹងវិទ្យាស្ថាន INSTINCT នឹងរៀបចំវគ្គបណ្តុះបណ្តាលមួយផ្តោតទៅលើចំណេះដឹង និងជំនាញជាមូលដ្ឋានក្នុងការវិភាគទៅលើឧប្បទេវហេតុសន្តិសុខបច្ចេកវិទ្យាគមនាគមន៍ និងព័ត៌មាន (Basic Cyber Indient Anaysis) នានា ដែលកើតមានឡើងនៅក្នុងអង្គភាពរបស់អ្នក។ គោលបំណងនៃវគ្គបណ្តុះបណ្តាលនេះ នឹងផ្តល់ឲ្យអ្នកសិក្សាទាំងអស់នូវជំនាញមូលដ្ឋានសម្រាប់ធ្វើការវិភាគស្វែងរកភស្តុតាងនានាដែលជាផ្នែកមួយនៃការស្រាវជ្រាវរកមូលហេតុនៃឧប្បទេវហេតុទាំងមូល ដែលនៅក្នុងនោះរួមមានៈ យល់ដឹងអំពីមុខងារជាមូលដ្ឋាននៃក្រុមការងារឆ្លើយតបឧប្បទេវេហតុសន្តិសុខបច្ចេកវិទ្យាគមនាគមន៍…
Read More » -
សំណួរសាកល្បងសម្រាប់ប្រឡងយក CISSP
ខាងក្រោមនេះគឺជាសំណួរសាកល្បងសម្រាប់ប្រឡងយកវិញ្ញាបនប័ត្រ CISSP ដែលអ្នកដែលចង់ធ្វើការប្រឡងគួរធ្វើការសាកល្បងឆ្លើយ CISSP_Baseline_Exam_V5.5Download
Read More » -
ពាក្យសម្ងាត់ប្រវែង០៨តួៈ គួបញ្ឈប់ការប្រើប្រាស់
វាដល់ពេលដែលយើងត្រូវធ្វើការបោះចោលពាក្យសម្ងាត់ដែលមានប្រវែងប្រាំបីតួ ឬតិចជាងនេះហើយ ដោយអ្នកត្រូវប្រើប្រាស់ពាក្យសម្ងាត់យ៉ាងហោចណាស់ប្រវែង១២តួវិញ។ ពាក្យសម្ងាត់ដែលមានប្រវែងប្រាំបីតួ ឬតិចជាងនេះ ត្រូវបានបំលែង “hashed” ដោយប្រើប្រាស់នូវបច្ចេកទេសទូលំទូលាយមួយគឺ NTLM algorithm របស់ Microsoft ហើយក្នុងពេលនេះត្រូវបានគេបំបែកបានហើយដោយប្រើប្រាស់ពេលវេលាស្មើនឹងខ្សែភាពយន្តមួយប៉ុណ្ណោះ។ បើតាមហេគឃ័រមានឈ្មោះថា “Tinker” បានប្រាប់ទៅដល់សារព័ត៌មាន The Register កាលពីពាក់កណ្តាលខែកុម្ភៈ បានឲ្យដឹងថា…
Read More » -
ចំនុចទាំង5 នៃអ៊ីម៉ែលក្លែងបន្លំៈ សូមគិតអោយច្បាស់មុនពេលអ្នកចុច!
ការចុចតែមួយម្តង អាចជាភាពខុសគ្នារវាងការថែរក្សាសុវត្ថិភាពទិន្នន័យ និងទទួលរងការបាត់បង់ហិរញ្ញវត្ថុដ៏ធំសម្បើម។ ចាប់ពីពេលដែលមានបុគ្គលិកម្នាក់ធ្លាក់ក្នុងអន្ទាក់អ៊ីម៉ែលក្លែងបន្លំហើយនោះ អាជីវកម្មរបស់អ្នកគឺងាយរងការលួចទិន្នន័យ និងការខាតបង់យ៉ាងធំ។ សូមមើលចំនុចទាំង ៥ ខាងក្រោម៖ ១. អក្ខរាវិរុទ្ធ និងវេយ្យាករណ៍មានការសរសេរខុសច្រើន ខណៈពេលដែលការប្រៀបធៀបនេះកើតឡើងម្តងម្កាលក៏ដោយ តែវាពិតជាល្អបំផុតសម្រាប់យើង ដែលថាអ៊ីម៉ែលដែលសរសេរមានកំហុសពាក្យពេជន៍ជាច្រើននោះគឺជាសញ្ញាព្រមានមួយសម្រាប់រឿងនេះ។ ក្រុមហ៊ុនជាច្រើនគឺមានយន្តការក្នុងការត្រួតពិនិត្យទៅលើអក្ខរាវិរុទ្ធ និងផ្ទៀងផ្ទាត់ពាក្យពេចន៍ច្រើនលើកច្រើនសារមុននឹងបញ្ជូនចេញ។ ហេតុដូច្នេះ សារដែលមានកំហុសឆ្គងពាក្យពេចន៍ គឺទំនងជាសារក្លែងបន្លំ។…
Read More » -
តើអ្វីទៅជា Red Team? ហេតុអ្វីបានជាខ្ញុំត្រូវការវា?
នៅក្នុងសង្គ្រាមតាមប្រព័ន្ធអ៊ីនធឺណិត អ្នកប្រហែលជាចង់ចូលទៅក្នុងក្រុមពណ៌ក្រហម (Red Team)។ នៅក្នុងអត្ថបទនេះ នឹងការពន្យល់ថាតើ Read Team មានន័យយ៉ាងដូចម្តេច? ហើយតើក្រុមមួយនេះអាចជួយដល់អង្គភាពគ្រប់ទំហំ គ្រប់ឧស្សាហកម្ម និងគ្រប់កម្រិតបច្ចេកទេសយ៉ាងណា? តើ Red Team ជាអ្វី? Red Team គឺជាការពិសោធន៏នៃការវាយប្រហារពហុស្រទាប់ដែលត្រូវបានរៀបចំឡើងដើម្បីធ្វើការវាស់វែង ថាតើមនុស្ស…
Read More » -
ផលវិបាកជាច្រើននៃការចោរកម្ម (Piracy) ឬការលួចចំលងឌីជីថល
មាតិកាឌីជីថល (Digital Content) អាចមានតម្លៃថ្លៃណាស់ ជាពិសេសគឺកញ្ចប់សូហ្វវែ៉រ (software packages)។ ពេលខ្លះ មាតិកានេះត្រូវចំណាយអស់ទឹកប្រាក់ជាច្រើនពាន់ដុល្លារ។ ប៉ុន្តែមិនមែនគ្រប់គ្នាសុទ្ធតែមានលទ្ធភាពទិញនៅក្នុងតម្លៃថ្លៃបែបនេះទេ។ ប្រសិនបើអ្នកចំណាយពេលខ្លះនៅលើអ៊ីនធឺណិតនោះ អ្នកអាចនឹងលឺអំពីការលួចចម្លង ឬចោរកម្មឌីជីថល។ ការលួចចម្លងឌីជីថលគឺជាទម្រង់មួយនៃការរំលោភបំពានច្បាប់រក្សាកម្មសិទ្ធិបញ្ញា។ ទោះជាយ៉ាងណាក៏ដោយ ការលួចចម្លងមិនត្រូវបានកំណត់ត្រឹមតែសូហ្វវែ៉រ នោះទេ។ ការលួចចម្លងរួមបញ្ចូលខ្សែភាពយន្ត សៀវភៅ និងហ្គេមជាច្រើនផងដែរ។…
Read More » -
ជំនាញដែលល្អបំផុតសម្រាប់អាជីពការងារជាអ្នកធ្វើតេស្តសន្តិសុខបច្ចេកវិទ្យាគមនាគមន៍ និងព័ត៌មាន
ក្រោយពីអានអត្ថបទ តើអ្នកចាប់យកអាជីពការងារផ្នែក PenTest យ៉ាងដូចម្តេចមក ខ្ញុំបានទទួលសំណួរជាច្រើនទាក់ទងទៅនឹងជំនាញដែលពាក់ព័ន្ធទៅនឹងអាជីពការងារនេះ។ ខ្ញុំបាទសូមលើកយកនូវជំនាញបឋមមួយចំនួនដែលអ្នកធ្វើតេស្តសន្តិសុខបច្ចេកវិទ្យាគមនាគមន៍ និងព័ត៌មាន (penentration tester) ទាំងអស់គួរតែមាន។ យើងនឹងពិភាក្សាគ្នាទៅលើជំនាញដែលដូចគ្នាៗ ដោយសារតែយើងមិនអាចរំពឹងថាមនុស្សម្នាក់ៗមានជំនាញដូចគ្នានោះទេ។ ១. យល់ឲ្យបានច្បាស់ពីប្រព័ន្ធប្រតិបត្តិការ។ ខ្ញុំមិនអាចសង្កត់ធ្ងន់ថា វាសំខាន់ប៉ុនណានោះទេ។ មនុស្សជាច្រើនចង់ក្លាយទៅជាអ្នកវាយប្រហារ (hackers) ឬជាអ្នកជំនាញសន្តិសុខប្រព័ន្ធ តែបែជាមិនដឹងអំពីប្រព័ន្ធទាំងនោះទៅវិញ។…
Read More » -
ធនាគារកណ្តាលម៉ាឡេស៊ីនឹងដាក់ឲ្យដំណើរការគោលនយោបាយបច្ចេកវិទ្យាក្នុងការគ្រប់គ្រងហានិភ័យ
ធនាគារកណ្តាលម៉ាឡេស៊ីនឹងដាក់ឲ្យប្រើប្រាស់នូវគោលនយោបាយបច្ចេកវិទ្យាគ្រប់គ្រងហានិភ័យ (Risk Managment in Technology Policy) នៅក្នុងខែមិថុនា ឆ្នាំ២០១៩ ខាងមុខនេះ ដើម្បីផ្តល់ជាគោលការណ៍ណែនាំទៅដល់ស្ថាប័នហិរញ្ញវត្ថុក្នុងការប្រយុទ្ធប្រឆាំងទៅនឹងការកើនឡើងឥតឈប់ឈរនៃឧក្រិដ្ឋកម្មតាមប្រព័ន្ធបច្ចេកវិទ្យា។ បើតាមការឱ្យដឹងពីនាយកប្រតិបត្តិនៃអង្គភាព CyberSecurity Malaysia លោក Amirudin បានឲ្យដឹងថាក្នុងឆ្នាំ ២០១៨ មានច្រើនជាង ១០,០០០ ករណីដែលត្រូវបានរាយការណ៍…
Read More » -
តើអ្នកចាប់យកអាជីពការងារផ្នែក PenTest យ៉ាងដូចម្តេច?
១. ព័ត៌មានទូទៅ អាជីពការងារផ្នែកធ្វើតេស្តសន្តិសុខបច្ចេកវិទ្យាគមនាគមន៍ និងព័ត៌មាន (Pentesting) គឺជាការងារមួយមិនដូចការងារផ្សេងទៀតនៅក្នុងទម្រង់ច្រើនយ៉ាង។ វានឹងសាកល្បងកម្រិតសមត្ថភាពរបស់អ្នកស្ទើរតែរាល់ថ្ងៃ ដែលជំរុញភាពច្នៃប្រឌិតនិងប្រទាក់ក្រឡា ដោយសារតែអ្នកធ្វើតេស្តដើម្បីស្វែងរកចំនុចខ្សោយ និងទម្រង់នៃការវាយប្រហារជាច្រើនបែបច្រើនយ៉ាង។ នៅក្នុងអាជីពនេះ អ្នកនឹងដើរតួនាទីជាហេគឃ័រដែលមានក្រមសីលធម៌ (ethical hacker) ដែលត្រូវបានជួលដើម្បីពង្រឹងសន្តិសុខអ៊ិនធឺណិតនិងប្រព័ន្ធនៅក្នុងអង្គភាពមួយ។ ការងារនេះគឺរួមផ្សំទាំងកិច្ចការបច្ចេកទេស និងការសរសេររបាយការណ៍ពាក់ព័ន្ធផងដែរ។ ការស្វែងរក, ការធ្វើតេស្ត និងការជួសជុលចំនុចខ្សោយទាំងនោះត្រូវតែអមទៅដោយឯកសាររបាយការណ៍ដ៏ល្អ…
Read More » -
តើអ្នកមានលក្ខណៈសម្បត្តិគ្រប់គ្រាន់ក្នុងការប្រឡង CISSP ហើយឬនៅ ?
តើអ្វីទៅជា CISSP? បើតាម Wikipedia បានឲ្យដឹងថា CISSP គឺជាវិញ្ញាបនប័ត្រឯករាជ្យផ្នែកសន្តិសុខបច្ចេកវិទ្យាគមនាគមន៍ និងព័ត៌មានមួយដែលមានឈ្មោះពេញថា Certified Information Systems Security Professional (CISSP) ហើយដំណើរការដោយស្ថាប័នមួយឈ្មោះថា “International Information System Security Certification…
Read More » -
អ្នកស្រាវជ្រាវបដិសេធន៍មិនផ្តល់ព័ត៌មានលំអិតដល់ក្រុមហ៊ុន Apple
អ្នកស្រាវជ្រាវផ្នែកសន្តិសុខអ៊ិនធឺណិតលោក Linus Henze បានរកឃើញចំនុចខ្សោយមួយនៅក្នុង macOS Mojave Keychain ដែលអាចអនុញ្ញាតឲ្យអ្នកវាយប្រហារលួចយកពាក្យសម្ងាត់ដែលរក្សាទុកនៅក្នុងម៉ាស៊ីន ដោយមិនចាំបាច់មានសិទ្ធិជាអភិបាលឡើយ (administrator)។ នៅក្នុងវិដេអូ លោក Henze បានធ្វើការបង្ហាញអំពីវិធីសាស្ត្រដែលបុគ្គលណាក៏ដោយក៏អាចធ្វើការអាក់សេស (access) ទៅកាន់កន្លែងរក្សាទុកពាក្យសម្ងាត់ដែលស្ថិតនៅក្នុង Apple’s secure vault បានដែរ។…
Read More »