Forwarded from Минцифры России
Участники бесплатного онлайн-курса узнают, как проверять ИТ-инфраструктуру компаний на прочность, как находить уязвимости в защите и как противостоять кибератакам.
Белые хакеры — это специалисты по ИТ-безопасности, которые стоят на защите интересов государства и бизнеса. Они участвуют в пентестах и Bug Bounty и получают за найденные уязвимости миллионы рублей.
Курс разработали лучшие представители профессии совместно с образовательным центром CyberEd при поддержке Минцифры. Специалисты поделятся историями из своей практики и расскажут, что по-настоящему значит быть белым хакером.
На курсе научат:
Курс длится 48 академических часов. За это время участники разберут 12 уровней атак.
@mintsifry #кибербез
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from Пост Лукацкого
Топ 5 уже внедренных или планируемых к внедрению в американских организациях технологий защиты:
1️⃣ EDR / XDR
2️⃣ Фильтрация e-mail
3️⃣ Регистрация событий на хостах
4️⃣ NGFW
5️⃣ VPN
А пять самых редких технологий:
1️⃣ Full PCAP
2️⃣ Обманные технологии
3️⃣ Сетевой анализ пакетов
4️⃣ Анализ сетевого трафика / аномалий
5️⃣ Машинное обучение / ИИ
А пять самых редких технологий:
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from SecAtor
VMware устранила несколько серьезных недостатков безопасности в vCenter Server, которые могут позволить злоумышленникам выполнить код и обойти проверку подлинности в уязвимых системах.
Ошибки были обнаружены в реализации протокола DCE/RPC, который обеспечивает бесперебойную работу нескольких систем, создавая виртуальную унифицированную вычислительную среду.
Все уязвимости были обнаружены и разрыты исследователями Cisco Talos Димитриосом Тацисом и Александром Николичем.
Среди серьезных недостатков: переполнение кучи (CVE-2023-20892), использование после освобождения (CVE-2023-20893), чтение за пределами границ (CVE-2023-20895), ошибки записи за пределы допустимого диапазона (CVE-2023-20894).
Первые два (CVE-2023-20892, CVE-2023-20893) могут быть использованы злоумышленниками, не прошедшими проверку подлинности и имеющими доступ к сети, для получения доступа к выполнению кода в атаках высокой сложности, которые не требуют взаимодействия с пользователем.
Злоумышленник, нацеленный на CVE-2023-20895, может вызвать чрезмерное чтение и повреждение памяти, что позволит обойти аутентификацию на неисправленных устройствах vCenter Server.
Пятая уязвимость vCenter Server, связанная с чтением за границу, отслеживаемая как CVE-2023-20896, может быть удаленно использована в атаках типа DoS, нацеленных на несколько служб VMware на целевом хосте (например, vmcad, vmdird, vmafdd).
Ошибки были обнаружены в реализации протокола DCE/RPC, который обеспечивает бесперебойную работу нескольких систем, создавая виртуальную унифицированную вычислительную среду.
Все уязвимости были обнаружены и разрыты исследователями Cisco Talos Димитриосом Тацисом и Александром Николичем.
Среди серьезных недостатков: переполнение кучи (CVE-2023-20892), использование после освобождения (CVE-2023-20893), чтение за пределами границ (CVE-2023-20895), ошибки записи за пределы допустимого диапазона (CVE-2023-20894).
Первые два (CVE-2023-20892, CVE-2023-20893) могут быть использованы злоумышленниками, не прошедшими проверку подлинности и имеющими доступ к сети, для получения доступа к выполнению кода в атаках высокой сложности, которые не требуют взаимодействия с пользователем.
Злоумышленник, нацеленный на CVE-2023-20895, может вызвать чрезмерное чтение и повреждение памяти, что позволит обойти аутентификацию на неисправленных устройствах vCenter Server.
Пятая уязвимость vCenter Server, связанная с чтением за границу, отслеживаемая как CVE-2023-20896, может быть удаленно использована в атаках типа DoS, нацеленных на несколько служб VMware на целевом хосте (например, vmcad, vmdird, vmafdd).
👍1
https://www.mandiant.com/resources/blog/securing-ai-pipeline
"In this blog post we will look briefly at the current state of AI, and then explore perhaps the most important question of them all: How do we secure it?"
"In this blog post we will look briefly at the current state of AI, and then explore perhaps the most important question of them all: How do we secure it?"
Google Cloud Blog
Securing the AI Pipeline | Mandiant | Google Cloud Blog
👍1
ISACARuSec
https://www.bleepingcomputer.com/news/security/keepass-v254-fixes-bug-that-leaked-cleartext-master-password/
Коллеги, самое время запатчится если ещё не патчили Keepass. Опубликован PoC.
Forwarded from RPPA PRO: Privacy • AI • Cybersecurity • IP
Privacy_Standards_and_Frameworks_1688026286.pdf
173.3 KB
#materials #privacy
Подборка стандартов и фреймворков в области приватности
📍 Источник: Максим Лагутин
Подборка стандартов и фреймворков в области приватности
Please open Telegram to view this post
VIEW IN TELEGRAM
👍3
Forwarded from k8s (in)security (Дмитрий Евдокимов)
Сегодня мы очень рады сообщить вам, что стали доступны все видеозаписи докладов с прошедшей конференции БЕКОН, посвящённой безопасности контейнеров и контейнерных сред (
Таким образом сейчас уже доступны все материалы с мероприятия:
- Видео
- Презентации
- Фотоотчет
P.S. Теперь уже можно смело готовиться к следующему БЕКОНу ;)
Kubernetes в первую очередь).Таким образом сейчас уже доступны все материалы с мероприятия:
- Видео
- Презентации
- Фотоотчет
P.S. Теперь уже можно смело готовиться к следующему БЕКОНу ;)
https://cloudsecurityalliance.org/blog/2023/06/22/perspectives-on-ai-a-conversation-with-torq-s-cto/
cloudsecurityalliance.org
Perspectives on AI: A Conversation with Torq's CTO | CSA
In this interview with Leonid Belkind, Co-Founder & CTO, Torq, learn about the current capabilities of AI for cybersecurity professionals.
Forwarded from Makrushin
«Наступательный ИИ» в руках атакующего
Концепция «наступательного ИИ» заключается в использовании технологий машинного обучения для осуществления вредоносных действий. Эти действия разделяются на два множества:
1. атаки на системы, использующие ИИ или «adversarial ML», которым мы с Иваном Капуниным посвятили отдельную лекцию;
2. атаки с использованием ИИ для совершенствования техник атакующего.
Авторы лаборатории Offensive AI подготовили интересный обзор сценариев применения ИИ в наступательных целях. Инсайты:
* авторы насчитали 33 техники, в которых атакующий может использовать ИИ, и разделили их на блоки: automation, campaign resilience, credential theft, exploit development, information gathering, social engineering, stealth;
* все сценарии атак могут быть разделены по следующим задачам: Предсказание, Генерация, Анализ, Извлечение, Принятие решения.
Для меня наиболее примечательными являются две задачи: Предсказание и Принятие решения. Посмотрим, какие исследования существуют в этом направлении.
Концепция «наступательного ИИ» заключается в использовании технологий машинного обучения для осуществления вредоносных действий. Эти действия разделяются на два множества:
1. атаки на системы, использующие ИИ или «adversarial ML», которым мы с Иваном Капуниным посвятили отдельную лекцию;
2. атаки с использованием ИИ для совершенствования техник атакующего.
Авторы лаборатории Offensive AI подготовили интересный обзор сценариев применения ИИ в наступательных целях. Инсайты:
* авторы насчитали 33 техники, в которых атакующий может использовать ИИ, и разделили их на блоки: automation, campaign resilience, credential theft, exploit development, information gathering, social engineering, stealth;
* все сценарии атак могут быть разделены по следующим задачам: Предсказание, Генерация, Анализ, Извлечение, Принятие решения.
Для меня наиболее примечательными являются две задачи: Предсказание и Принятие решения. Посмотрим, какие исследования существуют в этом направлении.
Полезный документ для использования в концептуальных прогнозах новых типов угроз ИБ.
Forwarded from WTF_HR
Один наш источник любит рассказывать, что десять лет назад в среде гуманитариев было круто рассуждать, что их дети, собиравшиеся на юридический факультет, будут разбирать юридические казусы с участием роботов, включая пресловутый «кто должен заплатить, если в аварии виновата машина-беспилотник». Сегодня эта штука стала не просто реальностью, а обыденностью – кейсы, связанные с взаимодействием роботов и людей, разбираются не только в юриспруденции, но и во многих других областях, хотя взаимодействие это и не на 100% похоже на то, что предполагалось.
Мы это все к тому, что подвезли очередной доклад Всемирного Экономического Форума про наиболее интересные технологии обозримого будущего, и это отличное руководство к действию для тех, кто думает, в какую профессию отдавать детей.
Генеративный ИИ там есть, но не на первом месте, а на втором. А на первом – гибкие аккумуляторы. Как эта штука изменит мир, можно рассуждать долго, но главное, что вполне понятно, представители каких профессий на этом заработают – и это совершенно не программисты.
На третьем месте находится дань экологической повесте – авиационное топливо, не загрязнающее окружающую среду. Авиация – самый заметный (хотя и не самый большой) загрязнитель окружающей среды, и решение этой задачки – это не только деньги, но и большой плюс в карму.
А вот на четвертом месте – одна из самых интересных на наш взгляд штук – создание искусственных вирусов. Звучит страшно, но на деле такие вирусы позволяют, например, лечить генетические заболевания, для которых сейчас лечение отсутствует в принципе. И вот тут очень много работы не только для медиков и биологов, но и спецов по машинному обучению.
Есть в списке пресловутая метавселенная, но под интересным соусом. Создатели доклада считают, что ее основное применение будет в области психического здоровья, что открывает интересные перспективы сотрудничества психиатров с айтишниками.
Во второй половине первой десятки можно найти носимые сенсоры для растений, моделирование клеточных процессов на молекулярном уровне, гибкую нейроэлектронику (дада, это ровно то, что вы подумали), экологически чистые ЦОДы и ИИ в здравоохранении.
На наш взгляд, правило большого пальца при выборе профессии будущего должно звучать так – большинство наиболее востребованных специальностей уже сейчас имеют кросс-функциональную или кросс-отраслевую природу, и эта тенденция будет только усиливаться. В некоторым смысле на земле наступает вторая эпоха Возрождения, когда не просто можно быть одновременно художником, инженером и биологом, а именно такая конвергенция будет создавать ценность.
И кстати, если вы решили, что гуманитариям в этом самом будущем не место, то это вы зря. Всех этих замечательных Ренессансных людей (и роботов) придется организовывать, вдохновлять, решать проблемы в их отношениях (как личных, так и юридических) и даже держать за ручку, когда им по разным причинам будет не просто. И для этого всего-то и надо будет, что на базовом уровне разбираться в том, чем они занимаются.
Мы это все к тому, что подвезли очередной доклад Всемирного Экономического Форума про наиболее интересные технологии обозримого будущего, и это отличное руководство к действию для тех, кто думает, в какую профессию отдавать детей.
Генеративный ИИ там есть, но не на первом месте, а на втором. А на первом – гибкие аккумуляторы. Как эта штука изменит мир, можно рассуждать долго, но главное, что вполне понятно, представители каких профессий на этом заработают – и это совершенно не программисты.
На третьем месте находится дань экологической повесте – авиационное топливо, не загрязнающее окружающую среду. Авиация – самый заметный (хотя и не самый большой) загрязнитель окружающей среды, и решение этой задачки – это не только деньги, но и большой плюс в карму.
А вот на четвертом месте – одна из самых интересных на наш взгляд штук – создание искусственных вирусов. Звучит страшно, но на деле такие вирусы позволяют, например, лечить генетические заболевания, для которых сейчас лечение отсутствует в принципе. И вот тут очень много работы не только для медиков и биологов, но и спецов по машинному обучению.
Есть в списке пресловутая метавселенная, но под интересным соусом. Создатели доклада считают, что ее основное применение будет в области психического здоровья, что открывает интересные перспективы сотрудничества психиатров с айтишниками.
Во второй половине первой десятки можно найти носимые сенсоры для растений, моделирование клеточных процессов на молекулярном уровне, гибкую нейроэлектронику (дада, это ровно то, что вы подумали), экологически чистые ЦОДы и ИИ в здравоохранении.
На наш взгляд, правило большого пальца при выборе профессии будущего должно звучать так – большинство наиболее востребованных специальностей уже сейчас имеют кросс-функциональную или кросс-отраслевую природу, и эта тенденция будет только усиливаться. В некоторым смысле на земле наступает вторая эпоха Возрождения, когда не просто можно быть одновременно художником, инженером и биологом, а именно такая конвергенция будет создавать ценность.
И кстати, если вы решили, что гуманитариям в этом самом будущем не место, то это вы зря. Всех этих замечательных Ренессансных людей (и роботов) придется организовывать, вдохновлять, решать проблемы в их отношениях (как личных, так и юридических) и даже держать за ручку, когда им по разным причинам будет не просто. И для этого всего-то и надо будет, что на базовом уровне разбираться в том, чем они занимаются.