Live Chat Software by Kayako
 News Categories
(20)Microsoft Technet (2)StarWind (6)TechRepublic (4)ComuterTips (1)SolarWinds (1)Xangati (1)MyVirtualCloud.net (28)VMware (8)NVIDIA (9)VDI (1)pfsense vRouter (4)VEEAM (3)Google (2)RemoteFX (1)developers.google.com (1)MailCleaner (1)Udemy (1)AUGI (2)AECbytes Architecture Engineering Constrution (7)VMGuru (2)AUTODESK (9)storageioblog.com (1)Atlantis Blog (23)AT.COM (2)community.spiceworks.com (1)archdaily.com (16)techtarget.com (3)hadoop360 (3)bigdatastudio (1)virtualizetips.com (1)blogs.vmware.com (3)VECITA (1)vecom.vn (1)Palo Alto Networks (4)itnews.com.au (2)serverwatch.com (1)Nhịp Cầu đầu tư (3)VnEconomy (1)Reuters (1)Tom Tunguz (1)Medium.com (1)Esri (1)www.specommerce.com (1)tweet (1)Tesla (1)fool.com (6)ITCNews (1)businessinsider.com (1)hbr.org Harvard Business Review (1)Haravan (2)techcrunch.com (1)vn.trendmicro.com (3)thangletoan.wordpress.com (3)IBM (1)www.droidmen.com (2)blog.parallels.com (1)betanews.com (9)searchvmware.techtarget.com (1)www.bctes.com (1)www.linux.com (4)blog.capterra.com (1)theelearningcoach.com (1)www.examgeneral.com (1)www.wetutoringnation.com (1)chamilo.org/ (1)www.formalms.org (1)chalkup.co (1)www.mindonsite.com (5)moodle.org (4)moodle.croydon.ac.uk (1)opensource.com (1)1tech.eu (1)remote-learner.net (1)paradisosolutions.com (2)sourceforge.net (24)searchbusinessanalytics.techtarget.com (1)nscs.gov.sg (1)virten.net (1)fastest.com.vn (1)elearninglearning.com (2)www.computerweekly.com (1)youtube.com (1)www.techradar.com (3)computer.howstuffworks.com (2)techz.vn (2)techsignin.com (1)itworld.com (20)searchsecurity.techtarget.com (1)makeuseof.com (1)nikse.dk (1)4kdownload.com (1)thegioididong.com (1)itcentralstation.com (1)www.dddmag.com (2)Engenius (1)networkcomputing.com (1)woshub.com (1)hainam121.wordpress.com (1)www.lucidchart.com (1)www.mof.gov.vn (3)www.servethehome.com (6)www.analyticsvidhya.com (1)petewarden.com (2)ethinkeducation.com
RSS Feed
Latest Updates
Oct
15

Một website được xây dựng với giao diện giống trang ngân hàng điện tử của Vietcombank nhưng khi truy cập người dùng có thể bị đánh cắp tài khoản.

Khi truy cập trang web có địa chỉ http://home... .com, người dùng sẽ được chuyển đến một trang có thiết kế rất giống website Internet banking của Vietcombank. Tuy nhiên, ngân hàng này khẳng định đây không phải địa chỉ trực tuyến của họ và họ không có bất kỳ mối liên hệ nào với website trên. Vietcombank cho biết trang web xây dựng với giao diện tương tự của ngân hàng mục đích là nhằm lừa đảo người dùng.

Trang giả mạo giống giao diện dịch vụ internet banking của Vietcombank.

Trang giả mạo giống giao diện dịch vụ internet banking của Vietcombank.

Khi mở website này trên trình duyệt Chrome hay Firefox dành cho máy tính, trình duyệt cũng cảnh báo: "Trang lừa đảo phía trước" và chặn truy cập. Tính năng Google Safe Browsing cảnh báo rằng trang web http://home... .com có thể lừa người dùng làm các hành động nguy hiểm như cài đặt phần mềm hoặc tiết lộ thông tin cá nhân như tài khoản, mật khẩu, số thẻ tín dụng... Trình duyệt của Google cũng đưa ra cảnh báo màu đỏ nhằm nhấn mạnh mức độ nguy hiểm. Tuy nhiên, khi truy cập với trình duyệt web trên di động như Chrome hay Safari, người dùng đều được chuyển tới trang giả mạo mà không có bất kỳ cảnh báo nào được đưa ra.

Cảnh báo màu đỏ là mức cao nhất của Google Safe Browsing.

Cảnh báo màu đỏ là mức cao nhất của Google Safe Browsing.

"Hình thức lừa đảo trên được gọi là tấn công fishing, trong đó, kẻ đứng sau tạo ra trang giả mạo giống trang thật nhằm đánh cắp thông tin người dùng", chuyên gia bảo mật Phạm Đức Hùng, chia sẻ. "Nếu người dùng không để ý mà nhập tên tài khoản, mật khẩu trên đó, dữ liệu này sẽ bị chuyển đến kẻ tấn công".

Theo ông Hùng, tấn công fishing không mới nhưng vẫn nhiều người "cắn câu". Để phát tán trang giả mạo, kẻ tấn công có thể gửi email giả đến nạn nhân kèm theo thông báo như yêu cầu người dùng đăng nhập gấp để đổi mật khẩu, kiểm tra số dư tài khoản... Phần hiển thị có thể vẫn là địa chỉ thật nhưng khi bấm vào lại được chuyển đến trang giả mạo.

"Thực tế, ngay khi truy cập đến trang lừa đảo là người dùng đã có nguy cơ mất an toàn rồi chứ chưa cần đăng nhập", ông Hùng nhấn mạnh. "Một số chương trình độc hại có thể tự động tải về và cài đặt trên máy tính của nạn nhân mà họ không hay biết".

Chuyên giao bảo mật này khuyến cáo người dùng cần kiểm tra kỹ thông tin về đường link, website hay ứng dụng mà mình truy cập, tránh mở email hay bấm vào link không rõ nguồn gốc. Trong trường hợp cần đăng nhập, có thể gõ địa chỉ trang đích thay vì bấm vào liên kết trong email hay trên mạng xã hội.

Một lưu ý khác là phần lớn các website, dịch vụ trực tuyến hiện nay sử dụng kết nối "https", trong đó, phần đầu của thanh địa chỉ sẽ hiện biểu tượng khóa màu xanh. Trong khi đó các website giả mạo có thể không xuất hiện đặc điểm này.

Với việc phát hiện website giả mạo trên, Vietcombank đã gửi khuyến cáo tới người sử dụng. Ngoài ra, BIDV, Vietinbank cũng cảnh báo khách hàng về sự xuất hiện của các trang giả mạo ngân hàng và nếu phát hiện người dùng nên đổi mật khẩu cũng như báo với ngân hàng.

Tháng 8/2016, một khách hàng của Vietcombank thông báo mất khoảng nửa tỷ đồng trong đêm dù không thực hiện bất kỳ giao dịch nào. Kiểm tra của ngân hàng cho thấy khách hàng này có truy cập vào website giả mạo Vietcombank trước khi xảy ra vụ việc trên.


Read more »



Oct
5
Kubernetes TLS tweaks whet user appetite for easier management
Posted by Thang Le Toan on 05 October 2018 06:46 AM

Kubernetes TLS bootstrap improvements in version 1.12 tackle container management complexity, and users hope there's more where that came from.

IT pros have said Kubernetes TLS bootstrap is a step in the right direction, and they have professed hope that it's the first of many more to come.

Automated Transport Layer Security (TLS) bootstrap is now a stable, production-ready feature as of last week's release of Kubernetes 1.12 to the open source community. Previously, IT pros set up secure communication between new nodes, as they were added to a Kubernetes cluster separately and often manually. The Kubernetes TLS bootstrap feature automates the way Kubernetes nodes launch themselves into TLS-secured clusters at startup.

"The previous process was more complicated and error-prone. [TLS bootstrap] enables simpler pairing similar to Bluetooth or Wi-Fi push-button pairing," said Tim Pepper, a senior staff engineer at VMware and release lead for Kubernetes 1.12 at the Cloud Native Computing Foundation.

Kubernetes maintainers predict this automation will discourage sys admins' previous workarounds to ease management, such as the use of a single TLS credential for an entire cluster. This workaround prevented the use of Kubernetes security measures that require each node to have a separate credential, such as node authorization and admission controls.

Kubernetes 1.12 pushed to beta a similarly automated process for TLS certificate requests and rotation once clusters are setup. Stable support for such long-term manageability tops Kubernetes users' wish list.

"TLS bootstrap helps, but doesn't completely automate the process of TLS handshakes between nodes and the Kubernetes master," said Arun Velagapalli, principal security engineer at Kabbage Inc., a fintech startup in Atlanta. "It's still a lot of manual work within the [command-line interface] right now."

Kubernetes TLS bootstrap automates TLS communication between Kubernetes nodes, but security in depth also requires Kubernetes TLS management between pods and even individual containers. This has prompted Kabbage engineers to explore the Istio service mesh and HashiCorp Vault for automated container security management.

Kubernetes management challenges linger

Industry analysts overwhelmingly agreed that Kubernetes is the industry standard for container orchestration. A 451 Research survey of 200 enterprise decision-makers and developers in North America conducted in March 2018 found 84% of respondents plan to adopt Kubernetes, rather than use multiple container orchestration tools.

Manually creating on-premises Kubernetes is not a simple ... If [ease of use came to] the default distro, I think that would help clients who are still sensitive about public cloud consider Kubernetes.
Chris Rileydirector of solutions architecture, cPrime Inc.

"It will take one to three years for most enterprises to standardize on Kubernetes, and we still see some use of Mesos, which has staying power for data-rich applications," said Jay Lyman, analyst at 451 Research. "But Kubernetes is well-timed as a strong distributed application framework for use in hybrid clouds."

Still, while many enterprises plan to deploy Kubernetes, IT experts questioned the extent of its widespread production use.

"A lot of people say they're using Kubernetes, but they're just playing around with it," said Jeremy Pullen, CEO and principal consultant at Polodis Inc., a DevSecOps and Lean management advisory firm in Tucker, Ga., which works with large enterprise clients. "The jury's still out on how many companies have actually adopted it, as far as I'm concerned."

The Kubernetes community still must make the container orchestration technology accessible to enterprise customers. Vendors such as Red Hat, Rancher and Google Cloud Platform offer Kubernetes distributions that automate cluster setup, but IT pros would like to see such features enter the standard Kubernetes upstream distribution, particularly for on-premises use.

"Manually creating on-premises Kubernetes is not a simple proposition, and the automation features for load balancers, storage, etc., are really public-cloud-centric," said Chris Riley, director of solutions architecture at cPrime Inc., an Agile software development consulting firm in Foster City, Calif. "If that same ease of use [came to] the default distro, I think that would help clients who are still sensitive about public cloud consider Kubernetes."

Kubernetes community leaders don't rule out this possibility as they consider the future of the project. Features in the works include the Kubernetes Cluster API and a standardized container storage interface slated for stable release by the end of 2018. Standardized and accessible cluster management is the top priority for the Kubernetes architecture special interest group.

"The question is, how many and which variations on [Kubernetes cluster management automation] does the community test there, and how do we curate the list we focus on?" Pepper said. "It becomes complicated to balance that. So, for now, we rely on service providers to do opinionated infrastructure integrations."


Read more »



Oct
2

Mạng xã hội Facebook với hơn 2 tỷ người dùng luôn là mục tiêu ưa thích trong các vụ tấn công của tin tặc. Nhiều người vẫn nghĩ rằng các “thủ thuật công nghệ” thần thánh như vượt tường lửa, dùng mã lệnh phá lớp phòng vệ ẩn sau dưới trang… là những cách tấn công tài khoản Facebook. Tuy nhiên, những thủ thuật được tin tặc thường xuyên sử dụng dưới đây lại đơn giản đến mức khó tin.

Là mục tiêu ưa thích của các cuộc tấn công mạng, tin tặc có rất nhiều thủ đoạn, phương thức để tấn công một tài khoản Facebook mà không cần phải sử dụng những hành động như trên phim. Bài viết dưới đây được trang Propet Hacker thực hiện, sẽ giới thiệu 10 phương thức thường được tin tặc sử dụng, và tất nhiên cũng là cách giúp người dùng tự bảo vệ sự an toàn của chính mình.

  1. Trang Facebook giả mạo (Facebook Phising):

Giả mạo (Phishing) là cách tấn công tài khoản Facebook nhằm đánh cắp mật khẩu phổ biến nhất, thường xuyên được các tin tặc sử dụng. Với việc giả mạo trang facebook, tin tặc sẽ tạo ra một trang hoàn toàn không thuộc quyền sở hữu của Facebook rồi lừa gạt người dùng nhập địa chỉ email và mật khẩu Facebook. Sau khi bấm đăng nhập, các thông tin trên sẽ được gửi về máy tính của những kẻ tấn công và tất nhiên chúng sẽ hoàn toàn khống chế Facebook của bạn bằng chính thông tin bạn đã nhập vào trước đó.

Trang giả mạo Facebook là thứ mà bạn gần như thấy hàng ngày trên mạng.

Trang giả mạo Facebook là thứ mà bạn gần như thấy hàng ngày trên mạng.

Biện pháp phòng tránh:

– Không bao giờ đăng nhập vào Facebook trên một máy tính lạ.

– Đề phòng các bài viết lạ, khi truy cập thì yêu cầu đăng nhập lại vào Facebook.

– Không bao giờ mở các liên kết lạ được gửi bởi bạn bè thông qua Messenger.

– Hãy sử dụng Chrome, bởi nó được tích hợp công cụ chặn các trang web lừa đảo.

– Cài đặt các phần mềm diệt virus.

– Kiểm tra địa chỉ trang đăng nhập có đúng là https://facebook.com hay không.

– Bật tính năng đăng nhập bằng 2 bước, cần có điện thoại để nhận mã xác nhận mỗi khi đăng nhập Facebook trên một máy tính lạ.

  1. Keylogging

Sử dụng Keylogging là một trong những phương pháp dễ dàng thực hiện nhất của tin tặc để tấn công tài khoản Facebook. Đây là phần mềm nhỏ, thường được bí mật cài đặt vào máy tính của bạn để ghi lại tất cả nội dung, ký tự được nhập vào từ bàn phím.

Bạn nhấn cái gì, tin tặc nhận được cái đấy.

Bạn nhấn cái gì, tin tặc nhận được cái đấy.

Biện pháp phòng tránh:

– Cài đặt các phần mềm anti-virus.

– Đừng bao giờ đăng nhập Facebook trên một máy tính lạ.

– Luôn tải phần mềm từ trang web chính thức của chúng hoặc từ các nguồn tải có uy tín.

– Đừng tải về hoặc cài đặt các phần mềm không rõ nguồn gốc.

– Quét virus kỹ cho ổ USB trước khi truy cập.

  1. Xem lại danh sách mật khẩu đã lưu trên trình duyệt

Không cần phải có trình độ máy tính siêu phàm hay phải là chuyên gia mã hóa tầm cỡ, cách thức này cực kì đơn giản đến nỗi người bình thường cũng làm được. Mỗi khi đăng nhập vào một trang web mới, trình duyệt bạn đã sử dụng sẽ mở hộp thoại với câu hỏi bạn có muốn lưu lại mật khẩu hay không. Đây là tiện ích trên trình duyệt giúp bạn không cần nhập lại mật khẩu khi đăng nhập vào lần tiếp theo.

Tuy nhiên, mọi mật khẩu mà bạn đã lưu đều được lưu lại trên máy tính và có thể xem lại cực kì dễ dàng. Do đó, hầu như ai cũng có thể truy cập và xem chúng bằng máy tính của bạn thông qua đường dẫn: chrome://settings/passwords.

Biện pháp phòng tránh:

– Hạn chế lưu lại mật khẩu từ trình duyệt.

– Cài mật khẩu bảo vệ cho Chrome.

– Cài mật khẩu cho máy tính.

  1. Tấn công từ điện thoại

Tin tặc có thể bí mật cài các phần mềm độc hại vào chiếc smartphone của bạn, nhất là trên hệ điều hành Android, nếu bạn không có các biện pháp bảo mật an toàn. Chúng sẽ theo dõi và lấy đi tất cả dữ liệu trong thiết bị khi bạn sử dụng, tất nhiên có cả mật khẩu Facebook. Và chỉ trong vòng tích tắc, tài khoản Facebook của bạn sẽ không cánh mà bay.

Tấn công vào điện thoại thông minh cũng là phương pháp thường được tin tặc sử dụng để đánh cắp thông tin quan trọng.

Tấn công vào điện thoại thông minh cũng là phương pháp thường được tin tặc sử dụng để đánh cắp thông tin quan trọng.

Biện pháp phòng tránh:

– Sử dụng phần mềm diệt virus ưu tín như Trend Micro Security, Avast, BitDefender,…

– Đừng bao giờ cài các ứng dụng không rõ nguồn gốc.

– Luôn luôn kiểm tra điện thoại nếu có các ứng dụng đáng nghi ngờ hoặc hoạt động bất bình thường.

  1. Kỹ thuật xã hội phi công nghệ (Social Engineering)

Đơn giản là tin tặc sử dụng kỹ thuật này dành cho những tài khoản Facebook có mật khẩu dễ đoán. Nếu mật khẩu tài khoản Facebook của bạn có chứa ngày sinh, số điện thoại, tên công ty hay thậm chí là tên người thân, bạn gái của bạn, những kẻ tấn công có thể dễ dàng sử dụng thông tin đó để xâm nhập vào tài khoản của bạn.

Đặt mật khẩu càng đơn giản, bạn càng gặp nguy hiểm.

Đặt mật khẩu càng đơn giản, bạn càng gặp nguy hiểm.

Biện pháp phòng tránh:

– Đừng bao giờ đặt mật khẩu quá dễ đoán.

– Đừng sử dụng cùng một mật khẩu cho nhiều tài khoản ở nhiều trang web khác nhau.

  1. Tấn công từ tài khoản Email

Không cần suy nghĩ đến bộ phim “Ma Trận” mà bạn hay xuyên, tin tặc chỉ cần tấn công và chiếm quyền tài khoản email của bạn, truy cập vào nó và sử dụng tính năng Quên mật khẩu trên Facebook để tạo lại mật khẩu mới, một mũi tên trúng hai con nhạn. Hoặc gần đây nhất, chỉ cần những kẻ tấn công biết được địa chỉ email đăng nhập của tài khoản Facebook, thông qua tính năng Quên mật khẩu và Xác thực bằng bạn bè, bạn hoàn toàn sẽ gặp nguy hiểm cực kì lớn. Đây là phương thức đang được sử dụng rất nhiều tại Việt Nam trong thời gian gần đây.

Không cần phải mất vài tiếng để hành động như phim bạn nhé, chỉ cần thiết lập xác thực hay yếu tố trên Google thôi.

Không cần phải mất vài tiếng để hành động như phim bạn nhé, chỉ cần thiết lập xác thực hay yếu tố trên Google thôi.

Biện pháp phòng tránh:

– Bật tính năng xác minh 2 bước cho tài khoản email. Cũng tương tự như Facebook, xác minh 2 bước trên email yêu cầu một chiếc điện thoại đã được đăng ký để nhận mã xác nhận khi đăng nhập email từ một máy tính lạ. Hiện nay các dịch vụ email phổ biến đều đã có xác minh 2 bước nên bạn không cần quá lo lắng.
– Sử dụng một mật khẩu khó đoán.

  1. Xem từ mã nguồn trang web

Dù đã được che khuất bởi các dấu tròn, nhưng mọi người dùng để có thể dễ dàng xem chúng bằng tính năng xem mã nguồn trang web của trình duyệt với việc thay thế một số đoạn mã đơn giản giúp hiển thị chúng. Tính năng xem mã nguồn trang web xuất hiện trên hầu hết các trình duyệt phổ biến hiện nay nên biện pháp đề phòng chúng hầu như không có.

Đây gần như là phương thức không có biện pháp phòng tránh, nhưng hãy cẩn thận khi sử dụng máy tính lạ.

Đây gần như là phương thức không có biện pháp phòng tránh, nhưng hãy cẩn thận khi sử dụng máy tính lạ.

  1. Tabnapping

Phương thức này cũng gần giống như Giả mạo trang Facebook, nhưng tinh vi hơn nhờ giao diện và địa chỉ trang web được thay đổi hoàn toàn. Chúng đội lốt dưới dạng các trang web tin tức lớn hay một trang web trò chơi nào đó, yêu cầu người dùng đăng nhập vào Facebook để thực hiện tiếp các bước đang bỏ dở hoặc chơi thêm nhiều lượt.

Đội lốt dưới dạng trang tin tức hoặc trò chơi, người dùng sẽ bị cuốn hút và buộc phải nhập thông tin Facebook để tiếp tục sử dụng.

Đội lốt dưới dạng trang tin tức hoặc trò chơi, người dùng sẽ bị cuốn hút và buộc phải nhập thông tin Facebook để tiếp tục sử dụng.

Biện pháp phòng tránh:

– Không bao giờ đăng nhập Facebook từ các trang web không đáng tin cậy.

– Hạn chế tải các phần mềm lạ, yêu cầu đăng nhập Facebook thì mới tải được.

– Không bao giờ chơi game miễn phí trên các trang web không đáng tin cậy.

  1. Tấn công từ mạng Wi-Fi

Đây là phương thức cần trình độ hiểu biết về kỹ thuật nhất định và kiến thức về mạng. Kẻ tấn công sẽ xâm nhập vào Wi-Fi của bạn, sau đó tấn công vào máy tính của bạn từ mạng Wi-Fi, thực hiện việc tấn công đường truyên lưu lượng mạng rồi sau cùng là đánh cắp mật khẩu Facebook.

Biện pháp phòng tránh:

– Hạn chế sử dụng các mạng Wi-Fi công cộng.

– Nếu dùng Wi-Fi công cộng, hãy sử dụng các phần mềm VPN để đảm bảo an toàn.

– Đặt giao thức bảo mật WPA-2 cho router Wi-Fi cá nhân.

– Thay đổi ngay mật khẩu Wi-Fi nếu nghi ngờ nó đã bị hack.

  1. Tấn công Facebook không cần mật khẩu

Đây là phương thức cực kì dễ làm nhưng lại phụ thuộc rất nhiều vào sự may mắn.

Một phương thức cực kì đơn giản, đến nỗi không thể tin là nó đơn giản đến vậy.

Một phương thức cực kì đơn giản, đến nỗi không thể tin là nó đơn giản đến vậy. Và phụ thuộc nhiều vào sự may mắn.

Rất nhiều người thường xuyên quên hoặc thậm chí không bao giờ đăng xuất tài khoản Facebook sau khi sử dụng máy tính. Vì vậy, ai cũng có thể truy cập vào tài khoản Facebook của bạn, câu tương tác, lừa đảo, trêu chọc hoặc làm vài chuyện bậy bạ mà chẳng cần đến bất kỳ kĩ thuật phức tạp nào để có mật khẩu. Đặc biệt khi quên thoát trên các thiết bị dịch vụ công cộng hoặc máy tính ở trường, đây sẽ là tấn bi kịch cho bạn.

Vì vậy, hãy nhớ thoát tài khoản Facebook bằng nút đăng xuất trước khi rời khỏi máy tính, đặc biệt khi nó không phải của mình.


Read more »



Sep
29
Cyber attackers are increasingly exploiting RDP, warns FBI
Posted by Thang Le Toan on 29 September 2018 02:30 AM

Businesses should to act to reduce the likelihood of compromise from cyber attackers exploiting the remote desktop protocol, warns the FBI

The use of RDP (remote desktop protocol) creates risk because it has the ability to control a computer remotely and usage should be closely regulated, monitored and controlled, say the FBI and US Department of Homeland Security.

Malicious cyber actors have developed methods of identifying and exploiting vulnerable RDP sessions over the internet to compromise identities, steal login credentials and ransom data, the two US agencies said in a joint public service announcement.

The use of remote administration tools, such as RDP, as an attack vector has been on the rise since mid- to late 2016 with the rise of dark markets selling tools for RDP access.

RDP is increasingly popular with cyber attackers because it allows an individual to control the resources and data of a computer over the internet.

Cyber actors can infiltrate the connection between the machines and inject malware or ransomware into the remote system, and because attacks using RDP do not require user input, intrusions are hard to detect.

Vulnerabilities include weak passwords that allow attackers to initiate RDP connections, outdated versions of RDP with weak encryption mechanisms that enable man-in-the-middle attacks, allowing unrestricted access to the default RDP port (3389), and allowing unlimited login attempts to a user account.

Threats include ransomware such as CrySiS, which targets businesses through open RDP ports; CryptON, which uses brute-force attacks to gain access to RDP sessions; and Samsam, which uses a wide range of exploits, including ones attacking RDP-enabled machines, to perform brute-force attacks.

In July 2018, Samsam threat actors used a brute-force attack on RDP login credentials to infiltrate a healthcare company and encrypt thousands of machines before detection, the FBI/DHS alert said.

Threat actors are also known to buy and sell stolen RDP login credentials on the dark web, with the value of credentials being determined by the location of the compromised machine, software used in the session, and any additional attributes that increase the usability of the stolen resources.

Read more about RDP-enabled cyber attacks

 

In August 2018, researchers at security firm Cybereason reported that a honeypot designed to look like a power transmission substation of an electricity supplier was discovered within two days and prepared for sale as an asset on the dark web to another criminal entity using the tool xDedic RDP Patch.

The tool allows a victim and an attacker to use the same credentials to log in to a machine simultaneously using RDP, which would otherwise be impossible because of built-in security restrictions in the latest versions.

Daily RDP incidents skyrocketed in May, with attackers going for backups in most cases, according to a report on malicious activity in the second quarter of 2018 by security firm Rapid 7.

The report said there is a consistent level of activity with RDP in the second quarter with peaks of activity, such as one in May that saw more than one million probes.

“Monitoring for brute-force activity, suspicious multi-country authentication and multi-organisation authentication helps to identify this type of activity, and implementing multi-factor authentication and monitoring for leaked credentials can help organisations actively protect themselves from these threats,” the report said.

Understanding exposures is another critical aspect to combating the threats, the Rapid 7 report said, noting that externally exposed RDP – even for a short period of time – can have a devastating effect on an organisation, as was shown by several of the RDP-enabled ransomware attacks in the second quarter.

To protect against RDP-based attacks, the FBI and DHS recommend that businesses:

  • Audit networks for systems using RDP for remote communication and disable the service if unneeded or install available patches.
  • Verify that all cloud-based virtual machine instances with a public IP do not have open RDP ports, specifically port 3389, unless there is a valid business reason to do so.
  • Place any system with an open RDP port behind a firewall and require users to use a virtual private network (VPN) to access it through the firewall.
  • Enable strong passwords and account lockout policies to defend against brute-force attacks.
  • Apply two-factor authentication where possible.
  • Apply system and software updates regularly.
  • Maintain a good back-up strategy.
  • Enable logging and ensure logging mechanisms capture RDP logins. Keep logs for a minimum of 90 days and review them regularly to detect intrusion attempts.
  • When creating cloud-based virtual machines, adhere to the cloud provider’s best practices for remote access.
  • Ensure third parties that require RDP access are required to follow internal policies on remote access.
  • Minimise network exposure for all control system devices and, where possible, disable RDP for critical devices.
  • Regulate and limit external-to-internal RDP connections. When external access to internal resources is required, use secure methods, such as VPNs.

Read more »



Sep
25
What is storage at the edge?
Posted by Thang Le Toan on 25 September 2018 12:12 AM

Storage at the edge is the collective methods and technologies that capture and retain digital information at the periphery of the network, as close to the originating source as possible. In the early days of the internet, managing storage at the edge was primarily the concern of network administrators who had employees at remote branch offices (ROBOS). By the turn of the century, the term was also being used to describe direct-attached storage (DAS) in notebook computers and personal digital assistants (PDAs) used by field workers. Because employees did not always remember to back up storage at the edge manually, a primary concern was how to automate backups and keep the data secure. 

Today, as more data is being generated by networked internet of things (IoT) devices, administrators who deal with storage at the edge are more concerned with establishing workarounds for limited or intermittent connectivity and dealing with raw data that might need to be archived indefinitely. The prodigious volume of data coming from highway video surveillance cameras, for example, can easily overwhelm a traditional centralized storage model. This has led to experiments with pre-processing data at its source and centralizing storage for only a small part of the data.

In the case of automotive data, for example, log files stored in the vehicle might simply be tagged so should the need arise, the data in question could be sent to the cloud for deeper analysis. In such a scenario, intermediary micro-data centers or high-performance fog computing servers could be installed at remote locations to replicate cloud services locally. This not only improves performance, but also allows connected devices to act upon perishable data in fractions of a second. Depending upon the vendor and technical implementation, the intermediary storage location may be referred to by one of several names including IoT gateway, base station or hub.


Read more »



Sep
21
BackupAssist software offers cloud-to-local backup
Posted by Thang Le Toan on 21 September 2018 02:48 AM

BackupAssist 365 can be set to automatically download files and email mailboxes from the cloud to an on-premises device, creating local backups as a cloud-to-cloud alternative.

SMB backup software specialist BackupAssist this week added protection for email mailboxes and files stored in the cloud.

The newest BackupAssist software, called BackupAssist 365, lets customers copy email mailboxes and files from the cloud to an on-premises server. The on-premises, off-cloud backup can protect businesses against accidental or malicious data deletion and ransomware.

 

Unlike cloud-to-cloud backup products that allow organizations to move data from SaaS applications to another public cloud, the new BackupAssist software only backs up to local storage.

Troy Vertigan, vice president of channel sales and marketing at BackupAssist, based in Australia, said the cloud-to-local backup costs up to 75% less than a cloud-to-cloud subscription.

Despite what the BackupAssist software's 365 name suggests, the product works with more than just Microsoft Office 365. BackupAssist 365 lets users back up mailboxes from Rackspace, Microsoft Exchange, Gmail, Outlook and Internet Message Access Protocol servers, as well as files from Google Drive, Dropbox, OneDrive, Secure File Transfer Protocol and WebDAV. BackupAssist CEO Linus Chang said a future update will enable support for the entire G Suite.

George Crump, president and founder of analyst firm Storage Switzerland, said BackupAssist 365 is a good option for protecting data born in the cloud, but he's not sure the vendor's customers are convinced they need that.

Screenshot of BackupAssist 365's Exchange interface

BackupAssist

BackupAssist 365 backs up Microsoft Exchange email mailboxes.
 

"The big challenge is convincing the entire market that you actually do need to back up Office 365. There's still this misbelief that the cloud is this magical place where data never gets deleted," Crump said.

Although cloud users don't have to worry about hardware failure or disaster recovery, Crump said that merely shifts the risk elsewhere.

There's still this misbelief that the cloud is this magical place where data never gets deleted.
George Crumppresident and founder, Storage Switzerland

"Once you're cloud-based, your concern really isn't disaster recovery anymore. What you're really protecting against is data corruption and account hijack," Crump said.

BackupAssist's Chang agreed his SMB target market needs convincing of the value of cloud backup. "The majority of SMB customers and the vast majority of consumers are not doing any sort of backup whatsoever," Chang said.

Chang said BackupAssist's customers also include managed service providers who are in charge of their clients' data, and BackupAssist 365 can help them stay compliant.

The new BackupAssist software is generally available. Its annual subscription fee is $1 per user, per month, for the first 24 users, and it drops to 95 cents for 25 to 49 users and 90 cents if there are 50 or more users. A user is defined as a single account identity, allowing for one user to back up multiple clouds.


Read more »



Sep
13

Bắt đầu như một doanh nghiệp dịch vụ sao lưu dựa trên đám mây đòi hỏi nắm bắt thị trường mục tiêu, một sự kết hợp vững chắc của các nhà cung cấp dự phòng và công thức định giá

Vì vậy, bạn đang nghĩ bạn muốn thêm bản sao lưu đám mây vào danh sách dịch vụ của mình. Hôm nay, có rất nhiều sự nhầm lẫn xung quanh những gì cung cấp của bạn nên bao gồm, nơi lưu trữ dữ liệu và ứng dụng của khách hàng, chi phí và các câu hỏi khác. Một phần của sự nhầm lẫn đến từ rất nhiều nhà cung cấp cạnh tranh cho sự chú ý của bạn - từ các giải pháp sao lưu, dịch vụ lưu trữ, đến các nhà cung cấp dịch vụ đám mây và hơn thế nữa.

Sai lầm mà nhiều nhà cung cấp dịch vụ được quản lý (MSP) tạo ra là bắt đầu với công nghệ sẵn có và sau đó làm việc để tạo ra một đề nghị xung quanh nó. Bạn sẽ cố gắng "vừa vặn một cái chốt vuông vào lỗ hổng trên đám mây" nếu bạn làm điều đó. Những gì bạn cần làm là để bắt đầu với doanh nghiệp của bạn và làm việc hướng tới công nghệ. Để hỗ trợ, tôi đã vạch ra bốn bước bạn có thể làm theo để có được doanh nghiệp dịch vụ sao lưu đám mây của bạn được xác định và sẵn sàng bán.

Bước 1: Xác định thị trường mục tiêu của bạn

Bạn đã biết thị trường của bạn là ai nhưng hãy nghĩ về khách hàng của bạn từ quan điểm về lượng dữ liệu họ sử dụng, các ứng dụng họ làm việc và mức độ quan trọng của cả hai. Khách hàng của bạn có thích ý tưởng sử dụng đám mây không? Họ có mở để lưu trữ các phần cơ sở hạ tầng của họ trong đám mây trong một thảm họa không? Những câu hỏi này và nhiều thứ khác cần được suy nghĩ, vì vậy bạn có thể xác định chính xác khách hàng sao lưu đám mây mục tiêu của bạn trông như thế nào - lý do là, khi bạn đã cạn kiệt bán cho cơ sở khách hàng hiện tại của mình, bạn biết loại khách hàng nào cần tìm để bán cho họ dịch vụ.

Bước 2: Chọn nhà cung cấp lưu trữ đám mây và sao lưu phù hợp

Hãy để tôi bắt đầu bằng cách chỉ ra rằng tôi đã sử dụng thuật ngữ "nhà cung cấp" số nhiều. Bạn có khả năng sẽ cần phải chọn một vài nhà cung cấp, trong tổng số, sẽ thủ công cung cấp dịch vụ của bạn. Ở mức tối thiểu, bạn sẽ cần chọn nhà cung cấp giải pháp sao lưu và nhà cung cấp bộ nhớ đám mây để khởi chạy một doanh nghiệp dịch vụ sao lưu đám mây. Nhưng trước khi bạn chỉ cần chạy đến nhà sản xuất phần mềm sao lưu tại chỗ của bạn và xem họ có tùy chọn đám mây hay không, thực sự nghĩ về nhu cầu của khách hàng mà bạn đã xác định trong bước đầu tiên. Dịch các nhu cầu kinh doanh đã xác định thị trường của bạn thành các yêu cầu công nghệ và tìm kiếm chúng cho các nhà cung cấp danh sách ngắn. Ví dụ, nếu tất cả khách hàng của bạn có ít nhất một ứng dụng quan trọng cần sao chép ảo vào đám mây để duy trì mức độ sẵn sàng cao, thì tìm kiếm của bạn cho các nhà cung cấp đám mây và sao lưu cần bao gồm khả năng đó. Dưới đây là danh sách đánh giá nhanh về những cân nhắc mà tôi cho là rất quan trọng:

  • Định giá - Nhiều nhà cung cấp lưu trữ đám mây có các mô hình định giá phức tạp. Điều này sẽ ảnh hưởng đến cách bạn định giá dịch vụ của mình. Hãy chắc chắn rằng nó đủ đơn giản để bạn có thể hiểu chính xác chi phí của bạn sao cho cung cấp dự phòng của bạn có thể dự đoán và sinh lời.
  • Các tầng lưu trữ - Không đi sâu vào chi tiết quá nhiều, gần như tất cả các lưu trữ đám mây chính đều có bộ nhớ nóng, ấm và lạnh. Mỗi cái có giá tốt hơn một chút cho mỗi GB, nhưng có những chi phí ẩn xung quanh thời gian truy xuất và phí đi ra giữa các biến khác. Hiểu mức độ dịch vụ bạn nhận được với mỗi loại và chọn những dịch vụ phù hợp với mô hình mong muốn của bạn.
  • Khả năng phục hồi - Khách hàng của bạn không quan tâm đến việc bạn sao lưu mọi thứ; họ quan tâm rằng bạn có thể giúp doanh nghiệp của họ hoạt động trở lại và hoạt động. Hãy tìm các nhà cung cấp sao lưu hỗ trợ nhu cầu khôi phục của bạn - ví dụ: khôi phục liên tục, thực thể ảo (P2V) và sao chép liên tục. Mỗi khả năng có thể trở thành một phần của việc cung cấp cơ sở của bạn, hoặc một sự gia tăng tùy chọn.

Bước 3: Nhận quyền định giá

Khách hàng của bạn không quan tâm đến việc bạn sao lưu mọi thứ; họ quan tâm rằng bạn có thể giúp doanh nghiệp của họ hoạt động trở lại và hoạt động.

Yếu tố này có tác động nhiều hơn đến việc khách hàng có mua hay không. Làm cho nó quá khó hiểu, quá tốn kém, thậm chí quá rẻ - bất cứ điều gì làm cho khách hàng tiềm năng của bạn không nhìn thấy giá trị - và họ có thể chỉ đơn giản là vượt qua. Có rất nhiều phần chuyển động, tổng cộng, thúc đẩy mô hình định giá của bạn trông như thế nào cho doanh nghiệp dịch vụ sao lưu đám mây của bạn. Điều này bao gồm chi phí, lao động, phần mềm, cơ sở hạ tầng, lưu trữ và bảo trì đám mây.

Tóm lại, bạn cần xác định tỷ lệ gánh nặng theo giờ của bạn (bao gồm chi phí kinh doanh có thể lập hóa đơn và không phải thanh toán được tính theo giờ) và chi phí dịch vụ của bạn (ví dụ: phần mềm, lưu trữ và chi phí đi ra), đưa ra một số giả định về dung lượng lưu trữ trung bình của khách hàng và quyết định tỷ suất lợi nhuận. Tính toán cơ bản cho định giá của bạn trông giống như sau:

Phần mềm + (Tỷ lệ gánh nặng x # giờ) + Chi phí lưu trữ / GB
Số GB

Bạn chỉ cần tăng tổng chi phí này để bao gồm biên lợi nhuận của mình và bạn có một mô hình định giá chi phí / GB đơn giản.

Bước 4: Bán dịch vụ sao lưu đám mây của bạn

Điều quan trọng nhất tôi có thể truyền đạt cho bạn trong bài viết này là thực tế là bạn không thực sự bán sao lưu đám mây. Bạn đang bán yên tâm, hoạt động thời gian hoạt động và liên tục kinh doanh . Để bán dịch vụ này, hãy bắt đầu bằng cách nói chuyện với khách hàng của bạn về nhu cầu kinh doanh của họ. Yêu cầu họ xác định dữ liệu, ứng dụng và hệ thống quan trọng đối với doanh nghiệp. Hỏi họ xem doanh nghiệp có thể tiếp tục chạy bao lâu mà không có những khối lượng công việc này. Khi bạn có tất cả đạn dược do khách hàng cung cấp này, bạn có thể thảo luận cách cung cấp chiến lược khôi phục và sao lưu đám mây cần thiết đáp ứng nhu cầu kinh doanh được xác định rõ ràng.

Có một số chính xác trong việc thực hiện điều này sẽ mất một thời gian và kinh nghiệm để có được 100% ngay, nhưng chiến lược trên là đúng. Nó rất tập trung vào khách hàng, cho phép khách hàng quyết định trả trước cái gì và cái gì không quan trọng, và nó cung cấp cho bạn tất cả ngữ cảnh cần thiết để chứng minh cách sao lưu đám mây có thể giúp đảm bảo doanh nghiệp vẫn hoạt động.

Tôi đã chỉ trầy xước bề mặt trên những gì nó cần để thực sự xác định và thiết lập một doanh nghiệp dịch vụ sao lưu đám mây. Tuy nhiên, bằng cách làm theo các bước cấp cao và đào sâu vào từng bước với một cái nhìn thấu đáo về chức năng, chi phí và giá trị của khách hàng, bạn sẽ sẵn sàng bổ sung một dịch vụ có thể dự đoán và mang lại lợi nhuận mà khách hàng của bạn muốn.


Read more »



Sep
12

Hành vi người dùng không thể đoán trước và các cơn bão khởi động có thể gây ra biến động sử dụng tài nguyên VDI suốt cả ngày. CNTT có thể thực hiện các bước để xác định và cắt giảm ảnh hưởng của những thay đổi này.

Trong bất kỳ triển khai VDI nào, việc sử dụng tài nguyên là điều bình thường.

Biến động nhỏ hơn trong việc sử dụng VDI có xu hướng liên quan đến hành vi người dùng cuối không thể đoán trước. Ví dụ: người dùng có thể quyết định phát video hoặc tải lên một tệp lớn, do đó gây ra mức tăng sử dụng tài nguyên. Tuy nhiên, các đột biến này thường ngắn ngủi và không gây ra bất kỳ sự cố nào miễn là mật độ máy tính để bàn ảo không quá cao.

Tuy nhiên, vấn đề sử dụng VDI lớn hơn là hoạt động tăng đột biến xảy ra do hoạt động của người dùng đồng thời. Người dùng có thể gây ra một cơn bão hoạt động, ví dụ, là kết quả của tất cả mọi người đăng nhập vào cùng một lúc vào buổi sáng. Những cơn bão khởi động này cuối cùng đã giảm dần, nhưng chúng có thể gây rối cao cho đến khi chúng hoạt động.

 

Làm thế nào để phát hiện biến động trong việc sử dụng VDI và đối phó với chúng

Xác định biến động sử dụng VDI thường dễ thực hiện. Chỉ cần sử dụng một máy tính để bàn ảo trên cơ sở hàng ngày có thể cung cấp cho các chuyên gia CNTT một cảm giác tốt về các mẫu hoạt động đang diễn ra.

Ví dụ, một chuyên gia CNTT có thể nhận thấy rằng hiệu suất trở nên chậm chạp lúc 9:00 sáng trong khoảng 10 phút, và sau đó một lần nữa vào khoảng giữa trưa khi mọi người đến ăn trưa. Mặc dù quan sát như vậy là chủ quan, CNTT có thể định lượng hiệu suất chậm chạp trong thời gian hoạt động nặng bằng cách sử dụng phần mềm giám sát hiệu suất .

Các chuyên gia CNTT cũng có thể sử dụng tự động hóa để quản lý các biến động sử dụng VDI bằng cách thực hiện phân phối lại tải công việc.

Chìa khóa để khắc phục các loại biến động hiệu suất này là tận dụng lợi thế của tự động hóa. Ví dụ, nếu các chuyên gia CNTT quan sát thấy một cơn bão VDI lớn xảy ra vào mỗi buổi sáng khi mọi người đến làm việc, họ có thể sử dụng tự động hóa để khởi động trước các máy ảo trước khi mọi người đến.

Các chuyên gia CNTT cũng có thể sử dụng tự động hóa để quản lý các biến động sử dụng VDI bằng cách thực hiện phân phối lại tải công việc.

Giả sử, ví dụ, CNTT biết rằng một nguồn lực lớn tăng đột biến xảy ra mỗi ngày vào buổi trưa. Tùy thuộc vào thành phần phần cứng nào đang được sử dụng quá mức, chúng có thể sử dụng một công cụ tự động hóa để tự động tăng thêm nút máy chủ và sau đó di chuyển một số máy ảo sang nút đó ngay trước khi đột biến tài nguyên xảy ra. Bằng cách này, có nhiều phần cứng hơn để đáp ứng nhu cầu.

Khi quá trình sử dụng tăng đột biến, CNTT có thể thiết lập việc triển khai tự động chuyển trực tiếp các máy ảo đó trở lại vị trí ban đầu và tắt nút máy chủ phụ để tiết kiệm chi phí điện và làm mát.

 

 


Read more »



Sep
9
Competency-Based Education Pt. 1: What is it and how is it being used in Moodle?
Posted by Thang Le Toan on 09 September 2018 03:43 PM

As mentioned in our reflections from OLC Innovate, competency-based education (CBE) and alternative credentialing are on the minds of many educators. While this has been a large component of on-the-job training and classroom activities for many years, there is a renewed focus and desire to apply CBE to the larger picture of training and education.

Competency-based education by nature is highly personal and with highly personalized education comes the challenges of customization and tracking, specifically customizing a learner’s path or plan and then tracking assessments, learner engagement, and progress.

Where to start

The LMS is naturally one of the first places institutions look to provide the customization and tracking that accompanies CBE. We’re thrilled that Moodle took the plunge to begin this work. And we say begin because there is still room for growth and depth, but it’s certainly a good start at a moment that there are a number of proprietary closed-source systems jockeying to take the edge on supporting CBE. From our perspective, one of the challenges with many of these systems is that they only support CBE so for institutions with lean budgets looking to get in the CBE game with a single program, the investment in an additional system(s) can create extra costs and perpetuate institutional silos.

Long-term Moodle users will recall Outcomes in earlier versions as a method of grading, and while they obviously share some similarities this iteration is not the same. The original outcomes were limited mostly to a grading method with limited reporting and visibility across the site. The Competency Framework and Learning Plans introduced in 3.1 take a much broader stroke.

Competency Framework

As the moniker suggests, this was developed as a framework so there is much more flexibility and room to interpret your particular use case for competencies (or concepts, domains, skills, values). As you begin to create a new competency framework, you’ll immediately see the ability to define the terms that make sense within your framework and configure scales to match the way you measure the competencies.

Competencies can be added to create a hierarchy and rules can be applied with flexibility so that outcomes can be marked in different ways. Completion of activities or courses can automatically trigger the default competency rating, send a notification for review, or in the case of hierarchical competencies, trigger completion when all child competencies are met or other completion rules are met. The competency rules make it possible to grant points to each child competency and allow learners to collect sufficient points from different competencies to have a parent competency met.

competency framework hierarchy

View of hierarchical structure in a competency framework.

After establishing the competency frameworks, competencies can be connected to courses across the site or within a category of courses. This begins to create the connection of material across the curriculum, program, or institution. Competencies can be tied to specific activities and resources within the courses, thereby creating a way to view the variety of ways learners can begin gaining knowledge toward specific competencies.

Use Cases

Even if your organization is not developing full competency-based programs, you may identify other areas where the competency framework could be used. A couple of examples to get you thinking about those would be:

  1. Institutions who have created writing across the curriculum or STEAM integration projects could create those program elements as a competency framework. Instructors could then identify competencies that will be covered in their course and map them directly to the assignments where students will focus on those skills. Program managers could then see assignments across the curriculum where writing (or technology or art) is a focus to meet these requirements.
  2. Employee development plans are another place to start. Most organizations have some combination of annual required training plus individualized courses of professional development. Create competency frameworks for these and map them to the training efforts across the Moodle site for a broad view of the training.

Learning Plans

With competency frameworks comes the ability to create learning plans. Learning plans allow for the assembly of competencies creating a map of sorts so learners clearly see where they will begin to learn and demonstrate their knowledge. Learning plan templates can then be assigned to individuals or cohorts of users. Users can see these plans and their personal progress from their profile page or within the Learning Plans block that can be added to the user dashboard.

Learning Plan Block

View of the Learning Plans block on the user dashboard.

Learning plans are the place where the tracking becomes personal. Templates can be applied to the user, but each plan could be further customized by the learner or an academic coach, manager, or other user with the ability to edit learning plans for others.

Learning Plan User Details

View of a learning plan, which gives an overview of competencies and learner progress.

Depending on the underlying assignments, assessments, and courses tied to competencies, learners could work toward achievements of different competencies within different time-frames. While default ratings can be set to trigger based on completion settings of activities and courses, reviewers can do more in-depth evaluation to elevate ratings.

Competency-Based Education in Moodle

While on the topic of reviewers, academic coaches, managers and other roles, it’s worth mentioning this as another major benefit of considering CBE within Moodle’s mature platform. As those who are familiar with Moodle are already aware, an extensive set of capabilities allow for roles to be constructed with varying capabilities. This means as organizations develop their CBE programs to provide student supports and program oversight, the appropriate roles can be configured and assigned within the site, providing the flexibility to use Moodle to support the program you create and not forcing your program to fit a generic model.

As you can see, there is a lot to explore when it comes to competency-based education and one blog post doesn’t even begin to cover the possibilities. However, I hope that this article was able to provide a general understanding of CBE and the goals that can be achieved by integrating this type of education into your learning strategy!

Stay tuned! We will be taking a deeper dive into competency-based education in subsequent blog posts!

(If you haven’t already, subscribe to our blog!)


Read more »



Sep
9
Competency-Based Education Pt. 2: Competencies in a Hierarchical Structure
Posted by Thang Le Toan on 09 September 2018 03:40 PM

In working with Competency Frameworks, grasping the competency rules is helpful to gaining a more comprehensive understanding of the hierarchical structure. It’s easy to understand a simple competency setup where competencies are at the same level and completion of that competency from a course triggers the completion of the competency within a learning plan.

But most of what people have in mind is more complex than that. We want to see progress toward the competencies either in building to proficiency in a single competency or acquiring multiple skills or competencies toward a broader level. Competency rules let you add some of that complexity into the equation.

We’ll use the following competency framework to illustrate, and our example will not involve manual reviews.

cbe hierarchy

In this trimmed down example, we have a Main competency with two sub competencies that each have two foundational competencies or skills. We’ll set up rules so that the foundational competencies are automatically rated foundational, and completion of both foundational competencies automatically triggers a Basic rating for the Sub competency. We will also establish rules so that completion of the two Sub competencies triggers completion of the Main competency with an Advanced rating.

How Scales Matter

A scale determines how proficiency is marked for a competency, and the first step to building out competency frameworks is to select or build the appropriate scale. Keep in mind that at least for now, completion of activities triggers competencies.

In the case of the default competency scale the levels are complete/not complete. If completion of a course or activity automatically marks the competency as complete the learner will never see the not complete rating unless there is a manual review or override.

Most competency frameworks benefit from custom scales that align with your existing nomenclature or the way you want these reflected to the learners. Some examples of those are:

  • Not yet competent, Competent
  • Working on, Demonstrates underlying goals
  • NE (not evidence), NY (not yet), D (developing), P (proficient)
  • Unsatisfactory, Inconsistent, Effective, Highly Effective, Exceptional
  • Foundational, Basic, Advanced

When you add a competency to the framework, you have the option to select your scale, and then it needs to be configured to mark as you expect. There are two options you want to define—the default rating and the ratings that trigger proficiency.

The item selected as the “Default” is the rating given when completion of an activity or course automatically marks a competency. The items selected as “Proficient” are the ratings that trigger a yes/no letting the learner know if their current level is an indicator of proficiency.

When adding a new competency, options are available to inherit the scale and settings from the framework or set it to something different. You could select a whole other scale, but in our example, we’ve used the same scale and adjusted the default and proficiency settings for the Main, Sub, and Foundational competencies.

In the screenshot below from our example for the sub-competencies we’ve selected “Basic” as the default scale value, while marking Foundational, Basic, and Advanced as levels for proficiency.

cbe level scale

Competency Rules

If a competency has sub-competencies, you can configure the completion rule for the competency. If not specified, no rules are applied so the competencies are triggered the same as other competencies by completion of the course and activities that are linked. The default rule used in our example is “Completed when all sub-competencies are complete.”

cbe competency rules

In this case for the Sub competencies we have not linked courses or activities to this competency, but instead will use mastery of the foundational (or child) competencies to trigger the Basic level of mastery. Likewise, we used Basic mastery of the Sub competencies to mark Advanced mastery of the Main competency once the Sub competencies are rated.

The screenshot below is for a learner who has completed Foundation 1, 3, and 4 competencies. Since 3 and 4 are both marked complete with a Foundational rating Sub2 is automatically marked with a Basic rating. Sub1 is not yet rated or marked proficient since Foundation 2 is not yet rated. Once the learner has a rating for Foundation 2, Sub1 will be marked Basic and Main will be marked Advanced.

cbe learning plan competencies

In a similar example, you could have a set of child competencies where the default might be ‘working on’ then once they collect all the child competencies the parent competency default is ‘complete’ or ‘demonstrates underlying goals.’

The other main competency rule option is to use points-based criteria. In the example shown below, there is a parent competency with five child competencies. On the parent competency, we’ve defined a competency rule to mark it as complete when the learner has completed four points worth. All five of these child competencies use the three-level scale we discussed earlier and trigger a Foundational rating. Apart from that, we’re able to give each competency a distinct point value within the competency rule.

cbe competency rules

You’ll notice for the five competencies, two are low value and only worth 1 point each, two are mid value and worth 2 points each, and one is a higher value and worth 4 points. In this example, maybe Option 5 is a day-long course with a known effectiveness covering lots of material about the parent competency. Options 3 and 4 might be courses with several exercises and assessments but are less intensive, and Options 1 and 2 might be just an assessment. Requiring 4 points allows the learner to mix and match so they could fulfill this competency by:

  • attending the day long course
  • completing Option 3 and 4
  • completing Options 1 and 2 plus one of 3 or 4

This is just one example of how the points-based rule could be applied to automatically mark completion.

Options other than completing the competency

For the examples presented here, we’ve considered only options to automatically mark completion. It’s not always the case this is the best or only option.

In working with competencies and developing frameworks and learning plans, also consider times when it may be more appropriate to simply attach evidence or recommend a competency. When a completion rule triggers a recommendation, the evidence will be added to the competency, and the system will request a review of this competency by a person with the appropriate role.

As we began to discuss here, and in our post about Competency-Based Education Pt. 1: What is it and how is it being used in Moodle?, these automated triggers are perfect for many applications, but reviewers can do more in-depth evaluation to elevate ratings and provide specific feedback to learners.

Up Next

Keep an eye out for the next post in our Competency-Based Education series. Up next, we’ll discuss roles, reviewers, and the system notifications that support Competencies and Learning Plans.


Read more »




Help Desk Software by Kayako