Forwarded from Пост Лукацкого
Немецкий BSI выпустил не очень большой, но все-таки интересный отчет с обзором различных проблем и атак на системы, базирующиеся на искусственном интеллекте. Как введение в проблему вполне себе подойдет.
https://www.breaches.cloud/ набор инцидентов для облака. пригодится для моделирования угроз и оценки рисков.
www.breaches.cloud
Public Cloud Security Breaches
Breaches.cloud - Your Source for Public Cloud Security Mistakes
Forwarded from Пост Лукацкого
OWASP разработал свою десятку рисков для языковых моделей OWASP LLM Top Ten v.1:
🚀 Prompt Injections
💧 Data Leakage
🏖 Inadequate Sandboxing
📜 Unauthorized Code Execution
🌐 SSRF Vulnerabilities
⚖️ Overreliance on LLM-generated Content
🧭 Inadequate AI Alignment
🚫 Insufficient Access Controls
⚠️ Improper Error Handling
💀 Training Data Poisoning
🚀 Prompt Injections
💧 Data Leakage
🏖 Inadequate Sandboxing
📜 Unauthorized Code Execution
🌐 SSRF Vulnerabilities
⚖️ Overreliance on LLM-generated Content
🧭 Inadequate AI Alignment
🚫 Insufficient Access Controls
⚠️ Improper Error Handling
💀 Training Data Poisoning
owasp.org
OWASP Top 10 for Large Language Model Applications | OWASP Foundation
Aims to educate developers, designers, architects, managers, and organizations about the potential security risks when deploying and managing Large Language Models (LLMs)
Forwarded from Резбез
Привет! В прошлую субботу (20 мая) в рамках фестиваля кибербезопасности Positive Hack Days 12 состоялась презентация платформы rezbez.ru для обмена знаниями и опытом экспертов в области ИБ разных организаций. В течении этой недели планируется закончить выкладывать на платформу первую партию контента с базовыми методиками результативной кибербезопасности.
Если у вас уже сейчас есть предложения по контенту, который вы хотели бы опубликовать на платформе открытой методологии результативной кибербезопасности, то можно связаться с командой организаторов оставив комментарии к этому посту.
Если у вас уже сейчас есть предложения по контенту, который вы хотели бы опубликовать на платформе открытой методологии результативной кибербезопасности, то можно связаться с командой организаторов оставив комментарии к этому посту.
Forwarded from Пост Лукацкого
ФСТЭК, спустя 2 месяца с публикации проекта своего методического «Руководства по организации процесса управления уязвимостями в органе (организации)» утвердил этот документ. Я пока глубоко не погружался в документ, но он мне понравился - явных косяков я в нем не увидел, кроме одного (о нем ниже). Во-первых, сразу бросается в глаза оформление - наконец-то в методичках стали появляться иллюстрации, блок-схемы, таблицы... Работать с таким документом гораздо приятнее и удобнее.
Во-вторых, предположу, что приказы 17/21/31/31/239 уже не будут сильно меняться (хотя я бы все-таки реализовал задумку с единым каталогом защитных мер и ссылками на него из разных приказов), и ФСТЭК займется процессами, стоящими за большинством из мер защиты. Работа эта небыстрая, но зато благодарная - становится понятно, что скрывается за отдельными пунктами приказов регулятора. А самое главное, что кибербез становится непрерывным, а не дискретным (от аттестации до аттестации).
В-третьих, документ устанавливает следующие сроки устранения выявленных уязвимостей:
🔥 критический уровень опасности - до 24 часов
⚡ высокий уровень опасности - до 7 дней
🖕 средний уровень опасности - до 4 недель
🪫 низкий уровень опасности - до 4 месяцев.
При этом важно помнить, что фразу "устранение уязвимостей" надо трактовать не буквально. Как мне кажется речь идет о невозможности использования выявленных уязвимостей, что может быть достигнуто как установкой обновлений (прямое прочтение термина "устранение уязвимостей"), так и реализацией компенсирующих мер, о чем методичка тоже говорит достаточно явно. Если вспомнить выступление В.С.Лютикова на PHDays, то он об этом также говорил (либо патч, либо компенсирующие меры).
Во-вторых, предположу, что приказы 17/21/31/31/239 уже не будут сильно меняться (хотя я бы все-таки реализовал задумку с единым каталогом защитных мер и ссылками на него из разных приказов), и ФСТЭК займется процессами, стоящими за большинством из мер защиты. Работа эта небыстрая, но зато благодарная - становится понятно, что скрывается за отдельными пунктами приказов регулятора. А самое главное, что кибербез становится непрерывным, а не дискретным (от аттестации до аттестации).
В-третьих, документ устанавливает следующие сроки устранения выявленных уязвимостей:
🪫 низкий уровень опасности - до 4 месяцев.
При этом важно помнить, что фразу "устранение уязвимостей" надо трактовать не буквально. Как мне кажется речь идет о невозможности использования выявленных уязвимостей, что может быть достигнуто как установкой обновлений (прямое прочтение термина "устранение уязвимостей"), так и реализацией компенсирующих мер, о чем методичка тоже говорит достаточно явно. Если вспомнить выступление В.С.Лютикова на PHDays, то он об этом также говорил (либо патч, либо компенсирующие меры).
Please open Telegram to view this post
VIEW IN TELEGRAM
👍1
Forwarded from Пост Лукацкого
В любом случае помните, что документ является основой для разработки собственных документов по управлению уязвимостями. То есть он не догма, как его будут рассматривать многие, а руководство к действию. Но и сильно отходить от него не нужно.
Ложка дегтя - не учтена история с АСУ ТП, в которых не всегда работают те же подходы, что и при управлении уязвимостями в ИТ-инфраструктуре. А уж устранение критических уязвимостей в течение суток в средствах промышленной автоматизации... это вообще космос. Но опять же - взяв документ, разработанный ФСТЭК, за основу, можно что-то сделать и для своих АСУ ТП.
Ложка дегтя - не учтена история с АСУ ТП, в которых не всегда работают те же подходы, что и при управлении уязвимостями в ИТ-инфраструктуре. А уж устранение критических уязвимостей в течение суток в средствах промышленной автоматизации... это вообще космос. Но опять же - взяв документ, разработанный ФСТЭК, за основу, можно что-то сделать и для своих АСУ ТП.
Forwarded from Пост Лукацкого
Методический_документ_от_17_мая_2023_г_.pdf
2.3 MB
На сайте ФСТЭК выложена совершенно корявая версия методички по управлению уязвимостями в формате PDF - ее, видимо, не проверили после конвертации. Работать с ней нельзя - ни копировать из нее текст, ни делать поиск, ничего этакого. И картинки как-то не очень качественно сжаты. Я в итоге переделал его в то, с чем работать удобнее. Прилагаю.
https://www.schneier.com/blog/archives/2023/06/open-source-llms.html
Статья Брюса Шнаера по важности тех изменений которые нам несут LLM и их открытость.
Статья Брюса Шнаера по важности тех изменений которые нам несут LLM и их открытость.
👍1
Forwarded from Резбез
This media is not supported in your browser
VIEW IN TELEGRAM
Всем привет!
Хотим поделиться отличной новостью: мы выложили на сайт rezbez.ru статьи с методиками, которые помогут вам ознакомиться с основными принципами результативной кибербезопасности и сделать первые шаги к предотвращению возможности реализации недопустимых событий!
Если у вас есть свои идеи и материалы, которыми вы хотели бы поделиться с остальными, не стесняйтесь отправлять их нам. Чтобы связаться с командой организаторов, напишите письмо на info@rezbez.ru. Будем рады обсудить ваши наработки и, возможно, опубликовать их на сайте.
Давайте развивать наше сообщество вместе!
#резбез
🚀 Результативная Кибербезопасность
Хотим поделиться отличной новостью: мы выложили на сайт rezbez.ru статьи с методиками, которые помогут вам ознакомиться с основными принципами результативной кибербезопасности и сделать первые шаги к предотвращению возможности реализации недопустимых событий!
Если у вас есть свои идеи и материалы, которыми вы хотели бы поделиться с остальными, не стесняйтесь отправлять их нам. Чтобы связаться с командой организаторов, напишите письмо на info@rezbez.ru. Будем рады обсудить ваши наработки и, возможно, опубликовать их на сайте.
Давайте развивать наше сообщество вместе!
#резбез
🚀 Результативная Кибербезопасность
Cybersecurity Framework Profile for Hybrid Satellite Networks (HSN)
https://csrc.nist.gov/publications/detail/nistir/8441/draft
https://csrc.nist.gov/publications/detail/nistir/8441/draft
CSRC | NIST
NIST Internal or Interagency Report (NISTIR) 8441 (Withdrawn), Cybersecurity Framework Profile for Hybrid Satellite Networks (HSN)
The space sector is transitioning away from traditional vertically-integrated entities and towards Hybrid Satellite Networks (HSN) which is an aggregation of independently owned and operated terminals, antennas, satellites, payloads, or other components that…
Опубликован ежегодный отчет Verizon по утечкам.
https://www.scmagazine.com/analysis/ransomware/ransomware-attacks-have-room-to-grow-verizon-data-breach-report-shows
https://www.scmagazine.com/analysis/ransomware/ransomware-attacks-have-room-to-grow-verizon-data-breach-report-shows
SC Media
Ransomware attacks have room to grow, Verizon data breach report shows
After steady growth since 2019, reported ransomware activity has plateaued over the past two years, according to Verizon's annual data breach report.
Сегодня проходит техническая конфа по безопасности контейнеризации Бекон. Дальше будет несколько слайдов из неё.
Forwarded from k8s (in)security (Дмитрий Евдокимов)
01_Kubernetes,_ответь_мне,_кто_я_для_тебя,_Константин_Аксенов,_Флант.pdf
2.4 MB
"Kubernetes, ответь мне, кто я для тебя", Константин Аксенов, Флант
90 процентов получения админских полномочий K8s в ходе аудитов Лантри - это недостатки в конфигурации RBAC.
👍1
Forwarded from k8s (in)security (Дмитрий Евдокимов)
02_Не_такой_очевидный_RBAC_Kubernetes,_Дмитрий_Евдокимов,_Luntry.pdf
1.9 MB
"Не такой очевидный RBAC Kubernetes", Дмитрий Евдокимов, Luntry