Defend Iceland

Question 1

Hvert er meginmarkmið Defend Iceland?

Answer 1

Að umbreyta stafrænni öryggismenningu Íslands með því að nýta fyrirbyggjandi aðgerðir eins og bug bounty platform og lýðvirkja netöryggisþekkingu (crowdsourcing cybersecurity expertise ) til að styrkja stafræna innviði þjóðarinnar.

Question 2

Hvaða þjónustu býður Defend Iceland upp á?

Answer 2

Defend Iceland veitir fyrirbyggjandi öryggisráðstafanir, þar með talið samkeppnishæft bug bounty platform, þjónustu siðferðilegra hakkara og samstarf við reynda öryggissérfræðinga til að greina og laga veikleika í net-, tölvu- og hugbúnaðarkerfum viðskiptavina.

Question 3

Hvernig nýtir Defend Iceland siðferðilega hakkara?

Answer 3

Með því að virkja siðferðilega hakkara í bug bounty prógramminu sínu til að finna öryggisveikleika áður en illgjarnir aðilar geta nýtt sér þá, og þannig styrkja stafrænar varnir viðskiptavina.

Question 4

Hvað er bug bounty prógramm?

Answer 4

Bug bounty prógramm er átak þar sem fyrirtæki verðlauna einstaklinga fyrir að tilkynna villur, sérstaklega öryggisgalla og veikleika, til að bæta öryggi kerfa þeirra.

Question 5

Af hverju eru fyrirbyggjandi öryggisráðstafanir mikilvægar?

Answer 5

Þær hjálpa til við að finna og milda veikleika áður en þeir geta verið nýttir af tölvuþrjótum, sem minnkar hættuna á öryggisbrestum og tilheyrandi skaða.

Question 6

Hvað þýðir „sókn er besta vörnin“ í netöryggi?

Answer 6

Að það er áhrifaríkara að leita virkan að og laga veikleika (sókn) en að treysta eingöngu á varnir eins og eldveggi og veiruvörn.

Question 7

Hvernig styður Defend Iceland lítil fyrirtæki og góðgerðarsamtök?

Answer 7

Með því að ráðstafa hluta af þjónustutekjum sínum til að verðlauna siðferðilega hakkara sem tilkynna veikleika í kerfum þessara aðila, og þannig auka stafrænt öryggi þeirra.

Question 8

Hvað er siðferðileg hökkun?

Answer 8

Siðferðileg hökkun felur í sér löglega innbrot í tölvur og tæki til að prófa varnir fyrirtækja, með það markmið að laga veikleika áður en þeir eru nýttir af illgjörnum aðilum.

Question 9

Af hverju er stafræn öryggisvitund starfsfólks nauðsynleg?

Answer 9

Að tryggja að allt starfsfólk sé meðvitað um hugsanlega öryggisveikleika og fyrirbyggjandi öryggisráðstafanir er lykilatriði í að viðhalda sterkum stafrænum vörnum innan fyrirtækis.

Question 10

Geturðu útskýrt muninn á veikleikamat og penetration test?

Answer 10

Veikleikamat greinir og forgangsraðar veikleikum í kerfi, á meðan penetration test nýtir sér þessa veikleika til að ákvarða umfang mögulegs skaða

Question 11

Hvernig heldurðu þér uppfærðum um nýjustu netöryggisógnir og strauma?

Answer 11

Með því að fylgjast með netöryggisfréttum, taka þátt í netspjallborðum, sækja ráðstefnur og taka stöðugt þátt í námi og vottunum.

Question 12

Hvað eru OWASP Top 10?

Answer 12

OWASP Top 10 er listi yfir alvarlegustu öryggisáhættu í vefumsóknum, skilgreindur af Open Web Application Security Project, þar með talið vandamál eins og injection gallar og cross-site scripting (XSS).

Question 13

Útskýrðu hvað SQL Injection er og hvernig á að koma í veg fyrir það.

Answer 13

SQL Injection er kóðainnspýtingartækni sem getur eyðilagt gagnagrunn. Það er hægt að koma í veg fyrir það með því að nota undirbúnar setningar með færibreytum og innsláttarsannprófun.

Question 14

Hvað er cross-site scripting (XSS)?

Answer 14

XSS er veikleiki sem leyfir árásarmönnum að sprauta illgjörnum skriptum inn í traustar vefsíður. Það er hægt að koma í veg fyrir það með því að hreinsa notendainntak og nota rétta úttakskóðun.

Question 15

Hvernig myndirðu útskýra mikilvægi netöryggis fyrir ó tæknimenntað starfsfólk?

Answer 15

Með því að leggja áherslu á hvernig netöryggi verndar gögn fyrirtækisins, orðspor og viðskiptavini, og útskýra mögulegar áhættur og áhrif öryggisbresta á skiljanlegan hátt.

Question 16

Hvað er zero-day veikleiki?

Answer 16

Zero-day veikleiki er hugbúnaðaröryggisgalli sem er óþekktur fyrir þá sem bera ábyrgð á að laga hann, og getur verið nýttur af árásarmönnum áður en lagfæring er til staðar.

Question 17

Lýstu ferlinu við threat modeling.

Answer 17

Threat modeling felur í sér að bera kennsl á mögulegar ógnir og veikleika, meta áhættu og innleiða aðgerðir til að koma í veg fyrir eða milda öryggisógnir á kerfi.

Question 18

Hvað er félagsleg verkfræði (social engineering), og hvernig er hægt að draga úr henni?

Answer 18

Félagsleg verkfræði er að blekkja fólk til að afhenda trúnaðarupplýsingar. Það er hægt að draga úr henni með öryggisvitundarþjálfun og ströngum staðfestingarferlum.

Question 19

Útskýrðu hugtakið „defense in depth“.

Answer 19

Defense in depth er öryggisstefna sem notar margar varnarlínur til að vernda upplýsingar, þannig að ef ein lína bregst, halda aðrar áfram að veita vernd.

Question 20

Hvernig nálgast þú áhættumat í netöryggi?

Answer 20

Með því að bera kennsl á eignir, meta ógnir og veikleika, ákvarða möguleg áhrif og forgangsraða áhættu til að innleiða viðeigandi öryggisstýringar.

Question 21

Hver er munurinn á symmetrískri og asymmetrískri dulkóðun?

Answer 21

Symmetrísk dulkóðun notar sama lykil fyrir dulkóðun og afkóðun, á meðan asymmetrísk dulkóðun notar opinberan lykil fyrir dulkóðun og einkalykil fyrir afkóðun.

Question 22

Hvað er CIA þríhyrningurinn í netöryggi?

Answer 22

CIA þríhyrningurinn stendur fyrir Trúnað (Confidentiality), Heilleika (Integrity) og Aðgengi (Availability), sem eru kjarnahugtök upplýsingatækniverndar.

Question 23

Hvernig meðhöndlar þú trúnaðarupplýsingar?

Answer 23

Með því að fylgja stefnu fyrirtækisins, nota örugg samskiptaleiðir, dulkóða viðkvæm gögn og tryggja að aðeins viðurkenndir aðilar hafi aðgang.

Question 24

Hvað er tveggja þátta auðkenning (2FA), og af hverju er hún mikilvæg?

Answer 24

2FA krefst tveggja forma auðkenningar áður en aðgangur er veittur, sem eykur öryggi með því að bæta við auka lagi fyrir utan lykilorð.

Question 25

Útskýrðu hugtakið „minnstu forréttindi“ (least privilege).

Answer 25

Minnstu forréttindi þýða að veita notendum lágmarks aðgang sem þeir þurfa til að sinna starfi sínu, sem dregur úr hættu á óheimilum aðgerðum.

Question 26

Hvað er eldveggur, og hvernig virkar hann?

Answer 26

Eldveggur er netöryggistæki sem fylgist með og síar inn- og útflæði netumferðar samkvæmt öryggisstefnu fyrirtækis.

Question 27

Hvernig myndirðu tryggja öryggi vefumsóknar?

Answer 27

Með því að innleiða inntakssannprófun, úttakskóðun, örugga auðkenningu og lotustjórnun, nota HTTPS, reglulega öryggisprófanir og halda hugbúnaði uppfærðum.

Question 28

Hvernig forgangsraðar þú veikleikum þegar þú finnur mörg vandamál?

Answer 28

Með því að meta alvarleika, nýtingarmöguleika, möguleg áhrif og líkur á nýtingu til að forgangsraða lagfæringum byggt á áhættustigi.

Question 29

Lýstu SSL/TLS og mikilvægi þess.

Answer 29

SSL/TLS eru samskiptareglur til að koma á sannvottuðum og dulkóðuðum tengingum milli netengtækja, sem tryggir örugg samskipti á internetinu.

Question 30

Hvað er phishing, og hvernig geta fyrirtæki varið sig gegn því?

Answer 30

Phishing er sviksamleg tilraun til að fá trúnaðarupplýsingar með því að þykjast vera áreiðanlegur aðili. Vörn felur í sér póstsíun, fræðslu starfsfólks og innleiðingu öryggisreglna.

Question 31

Útskýrðu muninn á black box og white box prófunum.

Answer 31

Black box prófanir meta kerfi án vitneskju um innri virkni, á meðan white box prófanir fela í sér prófanir með fullri vitneskju um hönnun og kóða kerfisins.

Question 32

Hverjar eru algengar tegundir malware?

Answer 32

Veirur, ormar, tróverji, ransomware, spyware, adware og rootkits.

Question 33

Hvernig höndlar þú aðstæður þar sem viðskiptavinur er tregur til að innleiða ráðlagðar öryggisráðstafanir?

Answer 33

Með því að útskýra áhættuna í viðskiptalegu samhengi, veita sönnun fyrir mögulegum áhrifum og bjóða hagkvæmar lausnir.

Question 34

Hvað er öryggisatvikaviðbragðsáætlun?

Answer 34

Sett af aðferðum til að greina, bregðast við og jafna sig eftir öryggisatvik til að lágmarka áhrif og endurheimta eðlilega starfsemi hratt.

Question 35

Hvernig myndirðu framkvæma öryggisúttekt?

Answer 35

Með því að fara yfir stefnur, ferla og stjórntæki, prófa kerfi fyrir veikleika og meta samræmi við öryggisstaðla.

Question 36

Hvað er netskipting (network segmentation), og af hverju er hún mikilvæg?

Answer 36

Netskipting skiptir neti í smærri hluta til að bæta frammistöðu og öryggi með því að takmarka aðgang og halda brestum innan ákveðinna svæða.

Question 37

Lýstu hlutverki dulkóðunar í gagnavernd.

Answer 37

Dulkóðun breytir lesanlegum gögnum í ólæsilegt form, verndandi þau gegn óheimilum aðgangi og tryggir trúnað.

Question 38

Hverjar eru aðferðir til að tryggja þráðlaus net?

Answer 38

Nota sterka dulkóðun (eins og WPA3), breyta sjálfgefnum lykilorðum, fela SSID, virkja MAC vistfangasíun og halda fastbúnaði uppfærðum.

Question 39

Útskýrðu intrusion detection systems (IDS) og intrusion prevention systems (IPS).

Answer 39

IDS fylgist með netumferð fyrir grunsamlega virkni, á meðan IPS bæði greinir og grípur til aðgerða til að koma í veg fyrir mögulegar ógnir.

Question 40

Hvernig tryggir þú samræmi við reglur um gagnavernd?

Answer 40

Með því að vera upplýstur um viðeigandi lög, innleiða nauðsynlegar stjórntæki, framkvæma reglulegar úttektir og viðhalda viðeigandi skjölum.

Question 41

Hvað er man-in-the-middle árás?

Answer 41

Árás þar sem árásarmaður hlerar og jafnvel breytir samskiptum milli tveggja aðila sem telja sig eiga bein samskipti.

Question 42

Hvernig tryggir þú öryggi farsíma í fyrirtækjaumhverfi?

Answer 42

Með því að nota mobile device management (MDM), framfylgja sterkri auðkenningu, nota dulkóðun og setja öryggisreglur.

Question 43

Hvað er mikilvægi uppfærslustjórnunar (patch management)?

Answer 43

Að uppfæra reglulega hugbúnað til að laga veikleika, auka öryggi og koma í veg fyrir að árásarmenn geti nýtt sér galla.

Question 44

Lýstu distributed denial-of-service (DDoS) árás.

Answer 44

DDoS árás yfirhleður kerfi með umferð frá mörgum uppsprettum, sem gerir það óaðgengilegt fyrir lögmæta notendur.

Question 45

Hvernig geta fyrirtæki varið sig gegn ransomware?

Answer 45

Með því að viðhalda reglulegum afritum, fræða starfsfólk, nota antivirus hugbúnað, halda kerfum uppfærðum og innleiða sterkar öryggisráðstafanir.

Question 46

Hvað hvetur þig til að vinna í netöryggi?

Answer 46

Ég nýt þess að leysa flókin vandamál og finnst gefandi að vita að vinna mín stuðlar að öryggi bæði fyrirtækja og einstaklinga. Einnig tel ég að netöryggi sé lykilþáttur í nútímasamfélagi, og mig langar að leggja mitt af mörkum til að skapa öruggara stafrænt umhverfi.

Question 47

Hver er hlutverk öryggisstefnu í fyrirtæki?

Answer 47

Hún útfærir væntingar, reglur og verklagsreglur fyrirtækisins til að vernda eignir og leiðbeina hegðun starfsfólks varðandi öryggi.

Question 48

Útskýrðu hvað sandkassi (sandboxing) er í netöryggi.

Answer 48

Sandkassi er stjórnað umhverfi þar sem hægt er að keyra kóða eða forrit til að fylgjast með hegðun án þess að stofna aðalkerfinu í hættu.

Question 49

Hvernig meðhöndlar þú viðkvæm gögn þegar þú framkvæmir öryggismat?

Answer 49

Með því að fylgja trúnaðarsamningum, geyma gögn á öruggan hátt, takmarka aðgang og eyða gögnum á öruggan hátt eftir notkun.

Question 50

Hvað er GDPR og af hverju er það mikilvægt?

Answer 50

General Data Protection Regulation er lög Evrópusambandsins um gagnavernd og persónuvernd, mikilvægt til að vernda persónuupplýsingar einstaklinga og setja strangar kröfur um samræmi fyrir fyrirtæki.

Question 51

Hvað er fjölþátta auðkenning (multifactor authentication) og hvernig eykur hún öryggi?

Answer 51

Fjölþátta auðkenning krefst margra forma sannvottunar, sem eykur öryggi með því að bæta við lögum fyrir utan lykilorð.

Question 52

Útskýrðu hugtakið „öryggi frá byrjun“ (security by design).

Answer 52

Að samþætta öryggisvenjur í þróunarferlinu frá upphafi frekar en að bæta þeim við síðar.

Question 53

Hvað eru hunangskrukkur (honeypots) og hvernig eru þær notaðar í netöryggi?

Answer 53

Hunangskrukkur eru tálbeitukerfi hönnuð til að laða að árásarmenn, sem leyfir fyrirtækjum að greina, rannsaka og draga úr ógnunum.

Question 54

Lýstu muninum á gögnum í hvíld (data at rest) og gögnum í flutningi (data in transit).

Answer 54

Gögn í hvíld eru geymd gögn sem ekki eru í virkri hreyfingu, á meðan gögn í flutningi eru gögn sem fara um netkerfi.

Question 55

Hvernig myndirðu innleiða öryggisvitundarþjálfun í fyrirtæki?

Answer 55

Með því að þróa heildstæða áætlun sem felur í sér regluleg þjálfunarnámskeið, uppfærslur um ógnir og prófanir á þekkingu starfsfólks.

Question 56

Hvað er VPN og af hverju er það notað?

Answer 56

Virtual Private Network dulkóðar nettengingar til að tryggja gagnasendingu og vernda friðhelgi notenda.

Question 57

Hvað er hlutverkastýrður aðgangsstýring (RBAC)?

Answer 57

RBAC úthlutar heimildum til notenda byggt á hlutverki þeirra innan fyrirtækis, sem einfalda stjórnun og eykur öryggi.

Question 58

Hvernig geturðu tryggt öryggi API-samskipta í vefumsókn?

Answer 58

Með því að innleiða auðkenningu, inntakssannprófun, hraðatakmarkanir og nota HTTPS til að dulkóða gögn.

Question 59

Hver eru algeng merki um að kerfi sé í hættu?

Answer 59

Óvenjuleg netumferð, óvænt hegðun kerfis, óþekkt ferli í gangi og viðvaranir frá öryggistólum.

Question 60

Hvað er öryggismerki (security token) og hvernig er það notað?

Answer 60

Öryggismerki er líkamleg eða stafrænt tæki sem veitir auðkenningu fyrir aðgang að kerfi, eykur öryggi með því að bæta við „eitthvað sem notandinn hefur“.

Question 61

Hvernig stjórnar þú lykilorðum á öruggan hátt?

Answer 61

Með því að nota sterk, einstök lykilorð, geyma þau á öruggan hátt (t.d. í lykilorðastjórum) og innleiða stefnu um reglulegar breytingar og flækjustig.

Question 62

Útskýrðu hugtakið „zero trust“ öryggislíkan.

Answer 62

Öryggishugtak þar sem ekkert innan eða utan netsins er treyst sjálfkrafa, krefst sannvottunar fyrir hverja aðgangsbeiðni.

Question 63

Hvað er SSL stripping og hvernig er hægt að koma í veg fyrir það?

Answer 63

SSL stripping er árás sem niðurfærir örugga HTTPS tengingu í HTTP. Hægt er að koma í veg fyrir hana með því að nota HSTS (HTTP Strict Transport Security).

Question 64

Hvernig nálgast þú öryggisráðstafanir fyrir IoT tæki?

Answer 64

Með því að breyta sjálfgefnum aðgangsorðum, uppfæra fastbúnað, skipta neti og slökkva á óþarfa eiginleikum.

Question 65

Hvað er DNS spoofing?

Answer 65

DNS spoofing er árás þar sem breyttum DNS færslum er beint að rangri vefsíðu án vitundar notandans.

Question 66

Lýstu mikilvægi logs í öryggisvöktun.

Answer 66

Logs veita skrá yfir kerfisvirkni, mikilvæg fyrir að greina, greina og bregðast við öryggisatvikum.

Question 67

Hvað er meginreglan um örugg föll (fail-safe defaults)?

Answer 67

Að hanna kerfi þannig að þau fari í öruggt ástand ef mistök verða, sem tryggir lágmarks áhættu þegar vandamál koma upp.

Question 68

Hvernig verndar þú gegn SQL injection árásum?

Answer 68

Með því að nota færibreytusetningar, inntakssannprófun og geymdar aðferðir til að koma í veg fyrir keyrslu illgjarns SQL kóða.

By using parameterized queries (also known as prepared statements), input validation, and stored procedures to prevent the execution of malicious SQL code. This ensures that user-supplied data is treated as data, not as executable code, thereby preventing attackers from injecting harmful SQL statements into your database queries.

Question 69

Hvert er hlutverk dulmálsfræði (cryptography) í netöryggi?

Answer 69

Dulmálsfræði tryggir upplýsingar með því að umbreyta þeim í ólæsilegt form, sem verndar trúnað og heilleika gagna.

Question 70

Hvað er hliðrun innan nets (lateral movement) í netárásum?

Answer 70

Þegar árásarmaður hreyfir sig innan nets eftir að hafa fengið upphaflegan aðgang til að finna og brjótast inn í fleiri kerfi.

Question 71

Hvernig verndar þú gegn cross-site request forgery (CSRF) árásum?

Answer 71

Með því að nota anti-CSRF token, staðfesta HTTP hausar og innleiða öruggar forritunarvenjur.

Question 72

Útskýrðu mikilvægi eignastýringar (asset management) í netöryggi.

Answer 72

Að vita hvaða eignir eru til staðar leyfir fyrirtækjum að vernda þær á áhrifaríkan hátt, tryggja að öll tæki og hugbúnaður séu skráð og tryggð.

Question 73

Hvert er hlutverk öryggismiðstöðvar (SOC)?
SOC stands for Security Operations Center.
It is a centralized unit within an organization that deals with security issues at both organizational and technical levels.

Answer 73

SOC fylgist með, greinir, rannsakar og bregst við netöryggisatvikum með samsetningu tæknilausna og sterku teymi.

Question 74

Lýstu hugtakinu um forréttindahækkun (privilege escalation).

Answer 74

Þegar árásarmaður fær hærri réttindi eða aðgang en ætlað var, sem leyfir honum að framkvæma óheimilar aðgerðir.

Question 75

Hvernig tryggir þú öruggan fjar aðgang að neti?

Answer 75

Með því að nota öruggar VPN tengingar, sterkar auðkenningaraðferðir, dulkóðun og vöktun á fjartengingum.

Question 75

Hvert er hlutverk gervigreindar í netöryggi?

Answer 75

Gervigreind getur bætt ógnagreiningu, sjálfvirknivætt viðbrögð og greint stór gagnasöfn til að bera kennsl á mynstur sem benda til öryggisógnana.

Question 76

Útskýrðu hvað Advanced Persistent Threat (APT) er.

Answer 76

APT eru langvarandi og markvissar netárásir þar sem innbrotsaðili fær aðgang að neti og helst ógreindur í lengri tíma.

Question 77

Lýstu muninum á auðkenningu (authentication) og heimild (authorization).

Answer 77

Auðkenning sannreynir hver notandi er, á meðan heimild ákvarðar hvaða auðlindir notandi hefur aðgang að.Af hverju viltu vinna hjá Defend Iceland?

Question 78

Útskýrðu hvað kjölfall (hash function) er og notkun þess í öryggi.

Answer 78

Kjölfall (eða hash function) er stærðfræðilegt reiknirit sem tekur inntak af hvaða lengd sem er og skilar útgangi af fastri lengd, sem kallast kjölgildi eða kjölfingur. Helstu eiginleikar góðs kjölfalls eru:

Einstefna (one-way): Það er ógerlegt að endurgera upprunalega inntakið úr kjölgildinu.
Hrunþol (collision resistance): Það er mjög ólíklegt að tvö mismunandi inntök gefi sama kjölgildi.

Notkun í öryggi:

Gagnheilleiki: Kjölföll eru notuð til að tryggja að gögn hafi ekki verið breytt. Með því að reikna kjölgildi af gögnum og bera það saman við upprunalegt kjölgildi geturðu staðfest að gögnin séu óbreytt.
Lykilorðageymsla: Í stað þess að geyma lykilorð í skýru máli, eru kjölgildi þeirra geymd. Þegar notandi slær inn lykilorð sitt er það kjölfært og borið saman við geymda kjölgildið.
Stafræn undirritun: Kjölföll eru hluti af stafrænum undirritunum sem staðfesta uppruna og heilleika skjala og skilaboða.
Algeng kjölföll eru t.d. SHA-256, SHA-3 og bcrypt.

Question 79

Af hverju viltu vinna hjá Defend Iceland?

Answer 79

Ég vil vinna hjá Defend Iceland því netöryggi er spennandi og vaxandi svið sem ég hef mikinn áhuga á. Ég brenn fyrir öryggi og elska áskoranir. Að taka þátt í verkefni sem miðar að því að styrkja stafrænt öryggi landsins hljómar mjög spennandi fyrir mig, og ég tel að ég geti lagt mitt af mörkum til þess.