Forwarded from Пост Лукацкого
OWASP разработал свою десятку рисков для языковых моделей OWASP LLM Top Ten v.1:
🚀 Prompt Injections
💧 Data Leakage
🏖 Inadequate Sandboxing
📜 Unauthorized Code Execution
🌐 SSRF Vulnerabilities
⚖️ Overreliance on LLM-generated Content
🧭 Inadequate AI Alignment
🚫 Insufficient Access Controls
⚠️ Improper Error Handling
💀 Training Data Poisoning
🚀 Prompt Injections
💧 Data Leakage
🏖 Inadequate Sandboxing
📜 Unauthorized Code Execution
🌐 SSRF Vulnerabilities
⚖️ Overreliance on LLM-generated Content
🧭 Inadequate AI Alignment
🚫 Insufficient Access Controls
⚠️ Improper Error Handling
💀 Training Data Poisoning
owasp.org
OWASP Top 10 for Large Language Model Applications | OWASP Foundation
Aims to educate developers, designers, architects, managers, and organizations about the potential security risks when deploying and managing Large Language Models (LLMs)
Forwarded from Резбез
Привет! В прошлую субботу (20 мая) в рамках фестиваля кибербезопасности Positive Hack Days 12 состоялась презентация платформы rezbez.ru для обмена знаниями и опытом экспертов в области ИБ разных организаций. В течении этой недели планируется закончить выкладывать на платформу первую партию контента с базовыми методиками результативной кибербезопасности.
Если у вас уже сейчас есть предложения по контенту, который вы хотели бы опубликовать на платформе открытой методологии результативной кибербезопасности, то можно связаться с командой организаторов оставив комментарии к этому посту.
Если у вас уже сейчас есть предложения по контенту, который вы хотели бы опубликовать на платформе открытой методологии результативной кибербезопасности, то можно связаться с командой организаторов оставив комментарии к этому посту.
Forwarded from Пост Лукацкого
ФСТЭК, спустя 2 месяца с публикации проекта своего методического «Руководства по организации процесса управления уязвимостями в органе (организации)» утвердил этот документ. Я пока глубоко не погружался в документ, но он мне понравился - явных косяков я в нем не увидел, кроме одного (о нем ниже). Во-первых, сразу бросается в глаза оформление - наконец-то в методичках стали появляться иллюстрации, блок-схемы, таблицы... Работать с таким документом гораздо приятнее и удобнее.
Во-вторых, предположу, что приказы 17/21/31/31/239 уже не будут сильно меняться (хотя я бы все-таки реализовал задумку с единым каталогом защитных мер и ссылками на него из разных приказов), и ФСТЭК займется процессами, стоящими за большинством из мер защиты. Работа эта небыстрая, но зато благодарная - становится понятно, что скрывается за отдельными пунктами приказов регулятора. А самое главное, что кибербез становится непрерывным, а не дискретным (от аттестации до аттестации).
В-третьих, документ устанавливает следующие сроки устранения выявленных уязвимостей:
🔥 критический уровень опасности - до 24 часов
⚡ высокий уровень опасности - до 7 дней
🖕 средний уровень опасности - до 4 недель
🪫 низкий уровень опасности - до 4 месяцев.
При этом важно помнить, что фразу "устранение уязвимостей" надо трактовать не буквально. Как мне кажется речь идет о невозможности использования выявленных уязвимостей, что может быть достигнуто как установкой обновлений (прямое прочтение термина "устранение уязвимостей"), так и реализацией компенсирующих мер, о чем методичка тоже говорит достаточно явно. Если вспомнить выступление В.С.Лютикова на PHDays, то он об этом также говорил (либо патч, либо компенсирующие меры).
Во-вторых, предположу, что приказы 17/21/31/31/239 уже не будут сильно меняться (хотя я бы все-таки реализовал задумку с единым каталогом защитных мер и ссылками на него из разных приказов), и ФСТЭК займется процессами, стоящими за большинством из мер защиты. Работа эта небыстрая, но зато благодарная - становится понятно, что скрывается за отдельными пунктами приказов регулятора. А самое главное, что кибербез становится непрерывным, а не дискретным (от аттестации до аттестации).
В-третьих, документ устанавливает следующие сроки устранения выявленных уязвимостей:
🪫 низкий уровень опасности - до 4 месяцев.
При этом важно помнить, что фразу "устранение уязвимостей" надо трактовать не буквально. Как мне кажется речь идет о невозможности использования выявленных уязвимостей, что может быть достигнуто как установкой обновлений (прямое прочтение термина "устранение уязвимостей"), так и реализацией компенсирующих мер, о чем методичка тоже говорит достаточно явно. Если вспомнить выступление В.С.Лютикова на PHDays, то он об этом также говорил (либо патч, либо компенсирующие меры).
Please open Telegram to view this post
VIEW IN TELEGRAM
👍1
Forwarded from Пост Лукацкого
В любом случае помните, что документ является основой для разработки собственных документов по управлению уязвимостями. То есть он не догма, как его будут рассматривать многие, а руководство к действию. Но и сильно отходить от него не нужно.
Ложка дегтя - не учтена история с АСУ ТП, в которых не всегда работают те же подходы, что и при управлении уязвимостями в ИТ-инфраструктуре. А уж устранение критических уязвимостей в течение суток в средствах промышленной автоматизации... это вообще космос. Но опять же - взяв документ, разработанный ФСТЭК, за основу, можно что-то сделать и для своих АСУ ТП.
Ложка дегтя - не учтена история с АСУ ТП, в которых не всегда работают те же подходы, что и при управлении уязвимостями в ИТ-инфраструктуре. А уж устранение критических уязвимостей в течение суток в средствах промышленной автоматизации... это вообще космос. Но опять же - взяв документ, разработанный ФСТЭК, за основу, можно что-то сделать и для своих АСУ ТП.
Forwarded from Пост Лукацкого
Методический_документ_от_17_мая_2023_г_.pdf
2.3 MB
На сайте ФСТЭК выложена совершенно корявая версия методички по управлению уязвимостями в формате PDF - ее, видимо, не проверили после конвертации. Работать с ней нельзя - ни копировать из нее текст, ни делать поиск, ничего этакого. И картинки как-то не очень качественно сжаты. Я в итоге переделал его в то, с чем работать удобнее. Прилагаю.
https://www.schneier.com/blog/archives/2023/06/open-source-llms.html
Статья Брюса Шнаера по важности тех изменений которые нам несут LLM и их открытость.
Статья Брюса Шнаера по важности тех изменений которые нам несут LLM и их открытость.
👍1
Forwarded from Резбез
This media is not supported in your browser
VIEW IN TELEGRAM
Всем привет!
Хотим поделиться отличной новостью: мы выложили на сайт rezbez.ru статьи с методиками, которые помогут вам ознакомиться с основными принципами результативной кибербезопасности и сделать первые шаги к предотвращению возможности реализации недопустимых событий!
Если у вас есть свои идеи и материалы, которыми вы хотели бы поделиться с остальными, не стесняйтесь отправлять их нам. Чтобы связаться с командой организаторов, напишите письмо на info@rezbez.ru. Будем рады обсудить ваши наработки и, возможно, опубликовать их на сайте.
Давайте развивать наше сообщество вместе!
#резбез
🚀 Результативная Кибербезопасность
Хотим поделиться отличной новостью: мы выложили на сайт rezbez.ru статьи с методиками, которые помогут вам ознакомиться с основными принципами результативной кибербезопасности и сделать первые шаги к предотвращению возможности реализации недопустимых событий!
Если у вас есть свои идеи и материалы, которыми вы хотели бы поделиться с остальными, не стесняйтесь отправлять их нам. Чтобы связаться с командой организаторов, напишите письмо на info@rezbez.ru. Будем рады обсудить ваши наработки и, возможно, опубликовать их на сайте.
Давайте развивать наше сообщество вместе!
#резбез
🚀 Результативная Кибербезопасность
Cybersecurity Framework Profile for Hybrid Satellite Networks (HSN)
https://csrc.nist.gov/publications/detail/nistir/8441/draft
https://csrc.nist.gov/publications/detail/nistir/8441/draft
CSRC | NIST
NIST Internal or Interagency Report (NISTIR) 8441 (Withdrawn), Cybersecurity Framework Profile for Hybrid Satellite Networks (HSN)
The space sector is transitioning away from traditional vertically-integrated entities and towards Hybrid Satellite Networks (HSN) which is an aggregation of independently owned and operated terminals, antennas, satellites, payloads, or other components that…
Опубликован ежегодный отчет Verizon по утечкам.
https://www.scmagazine.com/analysis/ransomware/ransomware-attacks-have-room-to-grow-verizon-data-breach-report-shows
https://www.scmagazine.com/analysis/ransomware/ransomware-attacks-have-room-to-grow-verizon-data-breach-report-shows
SC Media
Ransomware attacks have room to grow, Verizon data breach report shows
After steady growth since 2019, reported ransomware activity has plateaued over the past two years, according to Verizon's annual data breach report.
Сегодня проходит техническая конфа по безопасности контейнеризации Бекон. Дальше будет несколько слайдов из неё.
Forwarded from k8s (in)security (Дмитрий Евдокимов)
01_Kubernetes,_ответь_мне,_кто_я_для_тебя,_Константин_Аксенов,_Флант.pdf
2.4 MB
"Kubernetes, ответь мне, кто я для тебя", Константин Аксенов, Флант
90 процентов получения админских полномочий K8s в ходе аудитов Лантри - это недостатки в конфигурации RBAC.
👍1
Forwarded from k8s (in)security (Дмитрий Евдокимов)
02_Не_такой_очевидный_RBAC_Kubernetes,_Дмитрий_Евдокимов,_Luntry.pdf
1.9 MB
"Не такой очевидный RBAC Kubernetes", Дмитрий Евдокимов, Luntry
Forwarded from k8s (in)security (Дмитрий Евдокимов)
03_Как_приручить_Linux_capabilities_в_Kubernetes,_Николай_Панченко.pdf
5.8 MB
"Как приручить Linux capabilities в Kubernetes", Николай Панченко, Тинькофф
Forwarded from k8s (in)security (Дмитрий Евдокимов)
11_K8s_в_PCI_DSS,_Александр_Маркелов,_Райффайзен_Банк.pdf
2 MB
"K8s в PCI DSS", Александр Маркелов, Райффайзен Банк
Forwarded from SecAtor
Лаборатория Касперского сегодня выкатила отчет о развитии информационных угроз в первом квартале 2023 года.
Исследователи отметили переход BlueNoroff на новые методы доставки своего вредоносного ПО, связанные с обходом MotW. Если ранее для первичного проникновения эти злоумышленники использовали документы Word и файлы с ярлыками, то теперь на вооружении - задействование форматов файлов ISO и VHD.
Также, по всей видимости, BlueNoroff экспериментирует с новыми типами файлов для доставки зловредов: обнаружен скрипт Visual Basic, файл Windows Batch и исполняемый файл Windows. Более того, аналитики нашли более 70 поддельных доменов, используемых BlueNoroff, похожих на домены японских венчурных компаний и банков.
Roaming Mantis реализовала новый механизм изменения настроек DNS. С 2019 по 2022 год группа использовала SMS-фишинг для распространения ссылки на страницу с вредоносным ПО для Android, позволяющим контролировать зараженное устройство и воровать информацию.
Однако в сентябре 2022 года анализ нового зловреда группы Wroba.o для Android позволил выявить функцию для изменения настроек DNS, нацеленную на определенные модели роутеров Wi-Fi, популярные преимущественно в Южной Корее. Это привело к широкому распространению угрозы в целевых регионах.
Без внимания не осталась и BadMagic: новая APT-угроза, связанная с российско-украинским конфликтом. Началось все с массовых заражений правительственных, сельскохозяйственных и транспортных организаций в Донецке, Луганске и Крыму. Цепочка заражений включала ссылку на ZIP-архив с файлом приманкой и вредоносным LNK с двойным расширением.
LNK-файл подгружал PowerShell-бэкдор PowerMagic, который, в свою очередь, разворачивал сложный модульный фреймворк CommonMagic. Расследование позволило изучить угрозу и установить связь с другими APT-кампаниями.
Зловред Prilex эволюционировал из инструмента для атак на банкоматы в самую продвинутую из известных нам угроз для платежных терминалов.
В отчет попала длительная кампанию по краже криптовалюты через поддельный браузер Tor, жертвами которой стали более 15 000 пользователей в 52 странах. Злоумышленники использовали метод банковских троянцев для подмены номеров банковских счетов, но заражали устройства жертв с помощью троянизированной версии браузера.
Ресерчеры оценили потенциальное влияние ChatGPT на ландшафт угроз и обнаружили вредоносную кампанию, эксплуатирующую растущую популярность проекта. Мошенники создавали в социальных сетях группы, имитирующие сообщества энтузиастов, для распространения троянца.
Весьма любопытным оказалось исследование на предмет задействования ChatGPT в аналитике угроз. Вообще же специалисты полагают, что участие искусственного интеллекта в нашей жизни выйдет далеко за пределы текущих возможностей современных проектов машинного обучения.
Кроме того, специалисты ЛК сегодня также выкатили два других отчета: по мобильным угрозам и в плоскости статистики по ПК.
Исследователи отметили переход BlueNoroff на новые методы доставки своего вредоносного ПО, связанные с обходом MotW. Если ранее для первичного проникновения эти злоумышленники использовали документы Word и файлы с ярлыками, то теперь на вооружении - задействование форматов файлов ISO и VHD.
Также, по всей видимости, BlueNoroff экспериментирует с новыми типами файлов для доставки зловредов: обнаружен скрипт Visual Basic, файл Windows Batch и исполняемый файл Windows. Более того, аналитики нашли более 70 поддельных доменов, используемых BlueNoroff, похожих на домены японских венчурных компаний и банков.
Roaming Mantis реализовала новый механизм изменения настроек DNS. С 2019 по 2022 год группа использовала SMS-фишинг для распространения ссылки на страницу с вредоносным ПО для Android, позволяющим контролировать зараженное устройство и воровать информацию.
Однако в сентябре 2022 года анализ нового зловреда группы Wroba.o для Android позволил выявить функцию для изменения настроек DNS, нацеленную на определенные модели роутеров Wi-Fi, популярные преимущественно в Южной Корее. Это привело к широкому распространению угрозы в целевых регионах.
Без внимания не осталась и BadMagic: новая APT-угроза, связанная с российско-украинским конфликтом. Началось все с массовых заражений правительственных, сельскохозяйственных и транспортных организаций в Донецке, Луганске и Крыму. Цепочка заражений включала ссылку на ZIP-архив с файлом приманкой и вредоносным LNK с двойным расширением.
LNK-файл подгружал PowerShell-бэкдор PowerMagic, который, в свою очередь, разворачивал сложный модульный фреймворк CommonMagic. Расследование позволило изучить угрозу и установить связь с другими APT-кампаниями.
Зловред Prilex эволюционировал из инструмента для атак на банкоматы в самую продвинутую из известных нам угроз для платежных терминалов.
В отчет попала длительная кампанию по краже криптовалюты через поддельный браузер Tor, жертвами которой стали более 15 000 пользователей в 52 странах. Злоумышленники использовали метод банковских троянцев для подмены номеров банковских счетов, но заражали устройства жертв с помощью троянизированной версии браузера.
Ресерчеры оценили потенциальное влияние ChatGPT на ландшафт угроз и обнаружили вредоносную кампанию, эксплуатирующую растущую популярность проекта. Мошенники создавали в социальных сетях группы, имитирующие сообщества энтузиастов, для распространения троянца.
Весьма любопытным оказалось исследование на предмет задействования ChatGPT в аналитике угроз. Вообще же специалисты полагают, что участие искусственного интеллекта в нашей жизни выйдет далеко за пределы текущих возможностей современных проектов машинного обучения.
Кроме того, специалисты ЛК сегодня также выкатили два других отчета: по мобильным угрозам и в плоскости статистики по ПК.
securelist.ru
Нашумевшие зловреды и целевые атаки в первом квартале 2023 года
Недавняя активность групп BlueNoroff и Roaming Mantis, новая APT-угроза, связанная с русско-украинским конфликтом, ChatGPT и аналитика угроз, вредоносная реклама в поисковых системах, кража криптовалюты и поддельный браузер Tor
👍2