Forwarded from Пост Лукацкого
Европол выпустил отчет об опасности использования генеративных нейросетей, конечно же на примере ChatGPT, в противоправных целях.
Европейские полицейские считают, что GAN могут быть использованы в следующих сценариях:
1️⃣ Систематизация знаний и ускорение подготовки преступников, включая и киберпреступников
2️⃣ Генерация фишинговых писем от имени коренных жителей той или иной страны
3️⃣ Маскировка под конкретного человека с копированием его манеры общения
4️⃣ Дезинформация и пропаганда за счет создания достоверно звучащего контента на базе неверных тезисов и предпосылок
5️⃣ Создание пока еще базового вредоносного кода
6️⃣ Сбор большого объема данных, используемых в преступной деятельности
7️⃣ Автоматизация и масштабирование существовавших ранее и новых схем мошенничества и киберпреступлений
При этом, как отмечают в Европоле, свежая версия ChatGPT на основе GPT-4 не улучшилась в части обхода ее защитных механизмов; то, что можно было плохого сделать в предыдущей версии ChatGPT, можно сделать и в нынешней.
ЗЫ. На фоне письма института "Будущее жизни" с просьбой к разработчикам систем на базе ИИ приостановить обучение моделей GPT-4+ из-за боязни, что ИИ начнет "вредить" человеку, все это выглядит как выпущенный джин из бутылки.
ЗЗЫ. Ну а Россия продолжит развитие ИИ в стране.
Европейские полицейские считают, что GAN могут быть использованы в следующих сценариях:
При этом, как отмечают в Европоле, свежая версия ChatGPT на основе GPT-4 не улучшилась в части обхода ее защитных механизмов; то, что можно было плохого сделать в предыдущей версии ChatGPT, можно сделать и в нынешней.
ЗЫ. На фоне письма института "Будущее жизни" с просьбой к разработчикам систем на базе ИИ приостановить обучение моделей GPT-4+ из-за боязни, что ИИ начнет "вредить" человеку, все это выглядит как выпущенный джин из бутылки.
ЗЗЫ. Ну а Россия продолжит развитие ИИ в стране.
Please open Telegram to view this post
VIEW IN TELEGRAM
https://www.nist.gov/news-events/events/2023/05/4th-multi-cloud-conference-and-workshop
This year’s Multi-Cloud Conference hosted by NIST, DOC, and Tetrate will focus on delivering Zero Trust Architecture (ZTA) through application-tier and network-tier policies in a high-assurance service mesh operating environment. This makes the enforcement of consistent, enterprise-wide policy a reality irrespective of service or application location, whether on-premises or across multiple clouds.
This year’s Multi-Cloud Conference hosted by NIST, DOC, and Tetrate will focus on delivering Zero Trust Architecture (ZTA) through application-tier and network-tier policies in a high-assurance service mesh operating environment. This makes the enforcement of consistent, enterprise-wide policy a reality irrespective of service or application location, whether on-premises or across multiple clouds.
Forwarded from Мероприятия по ИБ
Инфосистемы Джет:
CyberCamp Meetup "DevSecOps"
DevSecOps как бездонный океан: охватывает множество направлений, подходов и практик.
На митапе вас ждет незабываемое приключение! Наше плавание начнется с обзорной экскурсии по DevSecOps. Пришвартуемся на острове композиционного анализа. Пройдем между Сциллой и Харибдой защиты контейнеров и мобильных приложений, а затем отправимся исследовать другие направления DevSecOps.
Вас ждут шесть докладов от инженеров и разработчиков решений по DevSecOps, три практических задания на платформе киберучений — и подарки для тех, кто справится с ними лучше всех.
В программе:
• Путь самурая: фреймворк безопасной разработки
• Мифы и факты о цепочке поставки программного обеспечения
• Актуальные уязвимости в мобильных приложениях в 2022 году
• Введение во взлом веб-приложений. Как создать безопасное ПО
• Классификация и систематизация средств безопасности для Kubernetes
• Опыт построения AppSec-процессов в крупных корпорациях
а также три традиционных практических задания на платформе киберучений. Попутного ветра!
Дата проведения:
20 апреля 2023 г., | 11:00 (МСК)
Регистрация
#meetup #апрель
@InfoBezEvents
CyberCamp Meetup "DevSecOps"
DevSecOps как бездонный океан: охватывает множество направлений, подходов и практик.
На митапе вас ждет незабываемое приключение! Наше плавание начнется с обзорной экскурсии по DevSecOps. Пришвартуемся на острове композиционного анализа. Пройдем между Сциллой и Харибдой защиты контейнеров и мобильных приложений, а затем отправимся исследовать другие направления DevSecOps.
Вас ждут шесть докладов от инженеров и разработчиков решений по DevSecOps, три практических задания на платформе киберучений — и подарки для тех, кто справится с ними лучше всех.
В программе:
• Путь самурая: фреймворк безопасной разработки
• Мифы и факты о цепочке поставки программного обеспечения
• Актуальные уязвимости в мобильных приложениях в 2022 году
• Введение во взлом веб-приложений. Как создать безопасное ПО
• Классификация и систематизация средств безопасности для Kubernetes
• Опыт построения AppSec-процессов в крупных корпорациях
а также три традиционных практических задания на платформе киберучений. Попутного ветра!
Дата проведения:
20 апреля 2023 г., | 11:00 (МСК)
Регистрация
#meetup #апрель
@InfoBezEvents
Software Architecture and Design InfoQ Trends Report - April 2023
https://www.infoq.com/articles/architecture-trends-2023/
Three new items were added to the graph this year. Large language models and software supply chain security are new innovator trends, and "architecture as a team sport" was added under early adopters.
"when designing cloud architectures there is a need to think from the start about data collection, storage, and security, so that later on we can derive value from it, including the use of AI/ML.” "
Instead of compiling it to a Docker container and then needing to spin up an entire system inside that container on your orchestrator, you compile it to WebAssembly and that allows the container to be much more lightweight. It has security baked in because it's meant to run the browser. And it can run anywhere–in any cloud, or on any CPU, for that matter. – Eran Stiller
https://www.infoq.com/articles/architecture-trends-2023/
Three new items were added to the graph this year. Large language models and software supply chain security are new innovator trends, and "architecture as a team sport" was added under early adopters.
"when designing cloud architectures there is a need to think from the start about data collection, storage, and security, so that later on we can derive value from it, including the use of AI/ML.” "
Instead of compiling it to a Docker container and then needing to spin up an entire system inside that container on your orchestrator, you compile it to WebAssembly and that allows the container to be much more lightweight. It has security baked in because it's meant to run the browser. And it can run anywhere–in any cloud, or on any CPU, for that matter. – Eran Stiller
InfoQ
InfoQ Software Architecture and Design Trends Report - April 2023
This article provides an overview of how the InfoQ editorial team sees the Software Architecture and Design topic evolving in 2023, with a focus on what architects are designing for today.
Кстати если хотите быть на шаг впереди вашей разработки можете начать погружение в вопросы безопасности WebAssembly. Через 2-5 лет эта технология может стать мейнстримом.
👍1
Forwarded from k8s (in)security (Дмитрий Евдокимов)
Мы очень рады анонсировать нашу конференцию!
БЕКОН - техническая конференция по БЕзопасности КОНтейнеров и контейнерных сред
Дата и место: 7 июня 2023 года в Москве
Целевая аудитория: Архитекторы, Инфраструктурные и платформенные команды,
В программе 10 докладов, покрывающих практически все области безопасности контейнеров. Все доклады отбирал лично - так что за качество ручаюсь ;)
Постепенно опубликуем весь список + также могут появиться дополнительные активности.
Если вам понравится БЕКОН, то продолжим его готовить дальше вместе и с аппетитом применять полученные знания в работе!
P.S. Обратите внимание что зал небольшой - билетов совсем не много!
P.S.S. С автором названия связались и все подарки будут переданы лично =)
БЕКОН - техническая конференция по БЕзопасности КОНтейнеров и контейнерных сред
Дата и место: 7 июня 2023 года в Москве
Целевая аудитория: Архитекторы, Инфраструктурные и платформенные команды,
DevOps/DevSecOps, ИБ департаменты.В программе 10 докладов, покрывающих практически все области безопасности контейнеров. Все доклады отбирал лично - так что за качество ручаюсь ;)
Постепенно опубликуем весь список + также могут появиться дополнительные активности.
Если вам понравится БЕКОН, то продолжим его готовить дальше вместе и с аппетитом применять полученные знания в работе!
P.S. Обратите внимание что зал небольшой - билетов совсем не много!
P.S.S. С автором названия связались и все подарки будут переданы лично =)
Forwarded from k8s (in)security (Дмитрий Евдокимов)
В след за Kubernetes threat matrix компания
Похожую матрицу делали исследователи в работе "Attacking and Securing CI/CD Pipeline", так что если вам тема интересна - рекомендуем освежить в голове и эту работу 2021 года.
Microsoft выпустила DevOps threat matrix.Похожую матрицу делали исследователи в работе "Attacking and Securing CI/CD Pipeline", так что если вам тема интересна - рекомендуем освежить в голове и эту работу 2021 года.
👍1
Forwarded from Аналитический центр RPPA
Банк России опубликовал стандарт обеспечения безопасности финансовых сервисов с использованием технологии цифровых отпечатков устройств. Он устанавливает для банков единые правила формирования, хранения и применения уникальных цифровых отпечатков устройств — набора параметров, позволяющих однозначно идентифицировать устройство пользователя, с помощью которого совершаются банковские и другие финансовые операции, пояснили в ЦБ. За счет стандартизации алгоритма сбора цифровых отпечатков устройств финансовые институты смогут эффективнее противодействовать операциям без согласия клиентов, считает регулятор. Вместе с тем стандарт носит рекомендательный характер.
Полный текст стандарта тут.
Напомним, что для МФО уже действует стандарт, предотвращающий мошенничество при удаленном обслуживании, где одна из рекомендаций — верификация принадлежности устройства.
Полный текст стандарта тут.
Напомним, что для МФО уже действует стандарт, предотвращающий мошенничество при удаленном обслуживании, где одна из рекомендаций — верификация принадлежности устройства.
Коммерсантъ
Банкиры сдадут цифровые отпечатки
Новые стандарты безопасности финансовых сервисов вызвали вопросы экспертного сообщества
👍1
Forwarded from Управление Уязвимостями и прочее
Релиз карты отечественных вендоров Средств Управления Уязвимостями (СУУ). Это результаты проекта, который стартовал 15 января. Драфты я выкладывал по мере готовности.
Карта доступна в двух видах:
- малая, только с логотипами
- полная, с описаниями категорий и характеристиками
Полная читабельна только в непожатом виде, см. ниже.
Я старался согласовывать с представителями вендоров присутствие на карте и характеристики. Получилось это сделать где-то с 80%. Если вы представитель вендора представленного на карте и у вас есть вопросы по этому поводу - пишите в личку @leonov_av, всё решим.
Ну и тем, кто будет сегодня на CISO-FORUM, заходите на мою презентацию карты в 12:30. 😉
@avleonovrus #VMmap
Карта доступна в двух видах:
- малая, только с логотипами
- полная, с описаниями категорий и характеристиками
Полная читабельна только в непожатом виде, см. ниже.
Я старался согласовывать с представителями вендоров присутствие на карте и характеристики. Получилось это сделать где-то с 80%. Если вы представитель вендора представленного на карте и у вас есть вопросы по этому поводу - пишите в личку @leonov_av, всё решим.
Ну и тем, кто будет сегодня на CISO-FORUM, заходите на мою презентацию карты в 12:30. 😉
@avleonovrus #VMmap
1. Спикеры отмечают важность коммуникаций с бизнесом и полезность встраивания метрик бизнеса в процессы ИБ.
2. Важный элемент пользоваться имеющимися комитетами и органами управления для разделения и делегирования ответственности.
3. Алексей Лукацкий напомнил про судебные дела 2 CISO в США , твиттера и убера .
4. Указали на возможный способ снижения риска по судебным делам DLP - сбор заявлений работников на контроль коммуникаций на вредоносное ПО.
5. Отмечают важность дополнения пентестов и аудитов внешними и внутренними програмами багбаунти.
6. Поделились практикой добавления в команду пентеста руководителя внутреннего SOC для попытки обхода средств контроля.
7.вызвал дискуссию вопрос стоит ли начинать с багбаунти построение ИБ. нашли плюсы в обоих походах.
8. Крайне важно сделать безопасность частью продукта и вовлечь разработчиков в процессы безопасной разработки.
9. Отметили неактуальность периметровых и "колпаковых" подходов. Необходимо строить эфемерные, имутабельные, распределенные системы. (выступление на конференции RSA представителя Citi). Пример Kubernetes - патчить образа, а не всю систему в целом. Zero trust другой пример такого подхода.
10. Во время ковида Ciso стали пить вина на 20 процентов больше 😉
#cf23
2. Важный элемент пользоваться имеющимися комитетами и органами управления для разделения и делегирования ответственности.
3. Алексей Лукацкий напомнил про судебные дела 2 CISO в США , твиттера и убера .
4. Указали на возможный способ снижения риска по судебным делам DLP - сбор заявлений работников на контроль коммуникаций на вредоносное ПО.
5. Отмечают важность дополнения пентестов и аудитов внешними и внутренними програмами багбаунти.
6. Поделились практикой добавления в команду пентеста руководителя внутреннего SOC для попытки обхода средств контроля.
7.вызвал дискуссию вопрос стоит ли начинать с багбаунти построение ИБ. нашли плюсы в обоих походах.
8. Крайне важно сделать безопасность частью продукта и вовлечь разработчиков в процессы безопасной разработки.
9. Отметили неактуальность периметровых и "колпаковых" подходов. Необходимо строить эфемерные, имутабельные, распределенные системы. (выступление на конференции RSA представителя Citi). Пример Kubernetes - патчить образа, а не всю систему в целом. Zero trust другой пример такого подхода.
10. Во время ковида Ciso стали пить вина на 20 процентов больше 😉
#cf23
👍3