Forwarded from k8s (in)security (Дмитрий Евдокимов)
Сегодня мы очень рады сообщить вам, что стали доступны все видеозаписи докладов с прошедшей конференции БЕКОН, посвящённой безопасности контейнеров и контейнерных сред (
Таким образом сейчас уже доступны все материалы с мероприятия:
- Видео
- Презентации
- Фотоотчет
P.S. Теперь уже можно смело готовиться к следующему БЕКОНу ;)
Kubernetes в первую очередь).Таким образом сейчас уже доступны все материалы с мероприятия:
- Видео
- Презентации
- Фотоотчет
P.S. Теперь уже можно смело готовиться к следующему БЕКОНу ;)
https://cloudsecurityalliance.org/blog/2023/06/22/perspectives-on-ai-a-conversation-with-torq-s-cto/
cloudsecurityalliance.org
Perspectives on AI: A Conversation with Torq's CTO | CSA
In this interview with Leonid Belkind, Co-Founder & CTO, Torq, learn about the current capabilities of AI for cybersecurity professionals.
Forwarded from Makrushin
«Наступательный ИИ» в руках атакующего
Концепция «наступательного ИИ» заключается в использовании технологий машинного обучения для осуществления вредоносных действий. Эти действия разделяются на два множества:
1. атаки на системы, использующие ИИ или «adversarial ML», которым мы с Иваном Капуниным посвятили отдельную лекцию;
2. атаки с использованием ИИ для совершенствования техник атакующего.
Авторы лаборатории Offensive AI подготовили интересный обзор сценариев применения ИИ в наступательных целях. Инсайты:
* авторы насчитали 33 техники, в которых атакующий может использовать ИИ, и разделили их на блоки: automation, campaign resilience, credential theft, exploit development, information gathering, social engineering, stealth;
* все сценарии атак могут быть разделены по следующим задачам: Предсказание, Генерация, Анализ, Извлечение, Принятие решения.
Для меня наиболее примечательными являются две задачи: Предсказание и Принятие решения. Посмотрим, какие исследования существуют в этом направлении.
Концепция «наступательного ИИ» заключается в использовании технологий машинного обучения для осуществления вредоносных действий. Эти действия разделяются на два множества:
1. атаки на системы, использующие ИИ или «adversarial ML», которым мы с Иваном Капуниным посвятили отдельную лекцию;
2. атаки с использованием ИИ для совершенствования техник атакующего.
Авторы лаборатории Offensive AI подготовили интересный обзор сценариев применения ИИ в наступательных целях. Инсайты:
* авторы насчитали 33 техники, в которых атакующий может использовать ИИ, и разделили их на блоки: automation, campaign resilience, credential theft, exploit development, information gathering, social engineering, stealth;
* все сценарии атак могут быть разделены по следующим задачам: Предсказание, Генерация, Анализ, Извлечение, Принятие решения.
Для меня наиболее примечательными являются две задачи: Предсказание и Принятие решения. Посмотрим, какие исследования существуют в этом направлении.
Полезный документ для использования в концептуальных прогнозах новых типов угроз ИБ.
Forwarded from WTF_HR
Один наш источник любит рассказывать, что десять лет назад в среде гуманитариев было круто рассуждать, что их дети, собиравшиеся на юридический факультет, будут разбирать юридические казусы с участием роботов, включая пресловутый «кто должен заплатить, если в аварии виновата машина-беспилотник». Сегодня эта штука стала не просто реальностью, а обыденностью – кейсы, связанные с взаимодействием роботов и людей, разбираются не только в юриспруденции, но и во многих других областях, хотя взаимодействие это и не на 100% похоже на то, что предполагалось.
Мы это все к тому, что подвезли очередной доклад Всемирного Экономического Форума про наиболее интересные технологии обозримого будущего, и это отличное руководство к действию для тех, кто думает, в какую профессию отдавать детей.
Генеративный ИИ там есть, но не на первом месте, а на втором. А на первом – гибкие аккумуляторы. Как эта штука изменит мир, можно рассуждать долго, но главное, что вполне понятно, представители каких профессий на этом заработают – и это совершенно не программисты.
На третьем месте находится дань экологической повесте – авиационное топливо, не загрязнающее окружающую среду. Авиация – самый заметный (хотя и не самый большой) загрязнитель окружающей среды, и решение этой задачки – это не только деньги, но и большой плюс в карму.
А вот на четвертом месте – одна из самых интересных на наш взгляд штук – создание искусственных вирусов. Звучит страшно, но на деле такие вирусы позволяют, например, лечить генетические заболевания, для которых сейчас лечение отсутствует в принципе. И вот тут очень много работы не только для медиков и биологов, но и спецов по машинному обучению.
Есть в списке пресловутая метавселенная, но под интересным соусом. Создатели доклада считают, что ее основное применение будет в области психического здоровья, что открывает интересные перспективы сотрудничества психиатров с айтишниками.
Во второй половине первой десятки можно найти носимые сенсоры для растений, моделирование клеточных процессов на молекулярном уровне, гибкую нейроэлектронику (дада, это ровно то, что вы подумали), экологически чистые ЦОДы и ИИ в здравоохранении.
На наш взгляд, правило большого пальца при выборе профессии будущего должно звучать так – большинство наиболее востребованных специальностей уже сейчас имеют кросс-функциональную или кросс-отраслевую природу, и эта тенденция будет только усиливаться. В некоторым смысле на земле наступает вторая эпоха Возрождения, когда не просто можно быть одновременно художником, инженером и биологом, а именно такая конвергенция будет создавать ценность.
И кстати, если вы решили, что гуманитариям в этом самом будущем не место, то это вы зря. Всех этих замечательных Ренессансных людей (и роботов) придется организовывать, вдохновлять, решать проблемы в их отношениях (как личных, так и юридических) и даже держать за ручку, когда им по разным причинам будет не просто. И для этого всего-то и надо будет, что на базовом уровне разбираться в том, чем они занимаются.
Мы это все к тому, что подвезли очередной доклад Всемирного Экономического Форума про наиболее интересные технологии обозримого будущего, и это отличное руководство к действию для тех, кто думает, в какую профессию отдавать детей.
Генеративный ИИ там есть, но не на первом месте, а на втором. А на первом – гибкие аккумуляторы. Как эта штука изменит мир, можно рассуждать долго, но главное, что вполне понятно, представители каких профессий на этом заработают – и это совершенно не программисты.
На третьем месте находится дань экологической повесте – авиационное топливо, не загрязнающее окружающую среду. Авиация – самый заметный (хотя и не самый большой) загрязнитель окружающей среды, и решение этой задачки – это не только деньги, но и большой плюс в карму.
А вот на четвертом месте – одна из самых интересных на наш взгляд штук – создание искусственных вирусов. Звучит страшно, но на деле такие вирусы позволяют, например, лечить генетические заболевания, для которых сейчас лечение отсутствует в принципе. И вот тут очень много работы не только для медиков и биологов, но и спецов по машинному обучению.
Есть в списке пресловутая метавселенная, но под интересным соусом. Создатели доклада считают, что ее основное применение будет в области психического здоровья, что открывает интересные перспективы сотрудничества психиатров с айтишниками.
Во второй половине первой десятки можно найти носимые сенсоры для растений, моделирование клеточных процессов на молекулярном уровне, гибкую нейроэлектронику (дада, это ровно то, что вы подумали), экологически чистые ЦОДы и ИИ в здравоохранении.
На наш взгляд, правило большого пальца при выборе профессии будущего должно звучать так – большинство наиболее востребованных специальностей уже сейчас имеют кросс-функциональную или кросс-отраслевую природу, и эта тенденция будет только усиливаться. В некоторым смысле на земле наступает вторая эпоха Возрождения, когда не просто можно быть одновременно художником, инженером и биологом, а именно такая конвергенция будет создавать ценность.
И кстати, если вы решили, что гуманитариям в этом самом будущем не место, то это вы зря. Всех этих замечательных Ренессансных людей (и роботов) придется организовывать, вдохновлять, решать проблемы в их отношениях (как личных, так и юридических) и даже держать за ручку, когда им по разным причинам будет не просто. И для этого всего-то и надо будет, что на базовом уровне разбираться в том, чем они занимаются.
Forwarded from Group-IB
▪️Group-IB detected a 304% increase in the number of scam resources that utilized the name and likeness of legitimate brands in 2022 compared to the preceding year.
▪️ The number of scam pages created to impersonate a single brand across all verticals and regions rose, on average, by 162% year-on-year.
▪️ The number of phishing websites increased by 62% in 2022 compared to the previous year.
▪️ Globally, scammers’ interest in the financial sector skyrocketed dramatically, as the average number of scam resources created per financial brand increased year-on-year by 186% in 2022.
Download the Digital Risk Trends 2023 report to learn about the threat landscape, get full statistics on phishing and scam across different regions and industries and learn how to mitigate the risks for your brand.
#report #DigitalRiskTrends2023
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from Пост Лукацкого
Тинькофф запускает CTF. Онлайн и оффлайн. 15-16 июля. Победители получат денежные призы и заряд позитивной энергии 👨💻
Please open Telegram to view this post
VIEW IN TELEGRAM
👍2👎1
Forwarded from PiterPy Сonf Сhannel
PiterPy 2023 meetup #1 — бесплатный онлайн-митап PiterPy x Zeen
Митап пройдет на сайте — 13 июля в 18:00.
В программе:
Алексей Морозов — Экзотические уязвимости в питонячем стеке
Алексей рассмотрит интересные уязвимости и баги, которые встречаются в архитектуре приложений на языке Python. В докладе будут представлены уязвимости бизнес-логики, кастомизация типов, гонок, шаблонизаторов, библиотек и многое другое.
Олег Пригода — Как сделать удобный инструмент для тестирования операционной системы
Олег расскажет, как в его команде написали обвязку для pytest и теперь прогоняют разные типы тестов для разных продуктов — от разных команд на разном железе в требованиях SDL.
Михаил Лукин — Введение в GPGPU для программистов на Python
Михаил расскажет о применении вычислений на видеокартах в проектах на Python для инженерных и научных задач на примере определения физико-химических характеристик образца в приложенном магнитном поле. Узнаем о том, с какими проблемами они столкнулись при использовании стандартных библиотек и как их решили.
Вы сможете задать вопросы спикерам и подискутировать с другими участниками. Авторы лучших вопросов получат призы.
Участие бесплатное. Регистрация по ссылке.
Добавляйте событие в календарь, чтобы ничего не пропустить.
А сразу после митапа мы проведем День открытых дверей с членами ПК PiterPy. Если вы задумываетесь о выступлении на конференции, приглашаем познакомиться лично и узнать, как проходит подготовка спикеров.
Приходите с черновиком доклада, примерными тезисами или просто идеей выступления. Тему можно выбрать на сайте PiterPy или предложить свою. Выбирайте свободный слот 13 июля в календаре и регистрируйтесь. Члены Программного комитета пообщаются с каждым индивидуально. Время на одного участника — 20 минут.
Когда? 13 июля с 20:00 до 21:00 по Москве
Где? На платформе митапа
Подробности уточняйте у координатора Марии Аликиной в Telegram или на почте — maria.alikina@jugru.org
Митап пройдет на сайте — 13 июля в 18:00.
В программе:
Алексей Морозов — Экзотические уязвимости в питонячем стеке
Алексей рассмотрит интересные уязвимости и баги, которые встречаются в архитектуре приложений на языке Python. В докладе будут представлены уязвимости бизнес-логики, кастомизация типов, гонок, шаблонизаторов, библиотек и многое другое.
Олег Пригода — Как сделать удобный инструмент для тестирования операционной системы
Олег расскажет, как в его команде написали обвязку для pytest и теперь прогоняют разные типы тестов для разных продуктов — от разных команд на разном железе в требованиях SDL.
Михаил Лукин — Введение в GPGPU для программистов на Python
Михаил расскажет о применении вычислений на видеокартах в проектах на Python для инженерных и научных задач на примере определения физико-химических характеристик образца в приложенном магнитном поле. Узнаем о том, с какими проблемами они столкнулись при использовании стандартных библиотек и как их решили.
Вы сможете задать вопросы спикерам и подискутировать с другими участниками. Авторы лучших вопросов получат призы.
Участие бесплатное. Регистрация по ссылке.
Добавляйте событие в календарь, чтобы ничего не пропустить.
А сразу после митапа мы проведем День открытых дверей с членами ПК PiterPy. Если вы задумываетесь о выступлении на конференции, приглашаем познакомиться лично и узнать, как проходит подготовка спикеров.
Приходите с черновиком доклада, примерными тезисами или просто идеей выступления. Тему можно выбрать на сайте PiterPy или предложить свою. Выбирайте свободный слот 13 июля в календаре и регистрируйтесь. Члены Программного комитета пообщаются с каждым индивидуально. Время на одного участника — 20 минут.
Когда? 13 июля с 20:00 до 21:00 по Москве
Где? На платформе митапа
Подробности уточняйте у координатора Марии Аликиной в Telegram или на почте — maria.alikina@jugru.org
Forwarded from k8s (in)security (Дмитрий Евдокимов)
На протяжении всей моей карьеры мне всегда нравилось быть на стыке практической и академической безопасности и брать лучшее из этих двух миров. Тут на глаза попался академический пейпер "Secrets Revealed in Container Images: An Internet-wide Study on Occurrence and Impact" в котором исследователи очень интересно и системно подошли к анализ наличия секретов в образах контейнеров. Они проанализировали:
-
Результаты можете видеть на скриншотах. Отмечу что вся методология расписаны и даже даны все
- Как и сколько авторы нашли
- Как авторы даже проверили часть найденный секретов и они были рабочими ;)
Не поленитесь и почитайте работу полностью)
-
337,171 образов c Docker Hub и 8,076 с private registries
- 1,647,300 слоев суммарноРезультаты можете видеть на скриншотах. Отмечу что вся методология расписаны и даже даны все
regexp по которым они искали. В конце авторы также дают свои рекомендации как правильно работать с образами и секретами. Мне очень понравилось 2 момента:- Как и сколько авторы нашли
private registries и что там можно было все скачать и даже залить/отравить вредоносный образ- Как авторы даже проверили часть найденный секретов и они были рабочими ;)
Не поленитесь и почитайте работу полностью)
https://cloudsecurityalliance.org/artifacts/cloud-and-compromise-gamifying-of-cloud-security
https://cloudsecurityalliance.org/artifacts/what-is-iam-for-the-cloud/
https://cloudsecurityalliance.org/artifacts/what-is-iam-for-the-cloud/
cloudsecurityalliance.org
Cloud & Compromise: Gamifying of Cloud Security | CSA
Conduct a cloud threat modeling tabletop exercise that familiarizes all participants with the cloud incident response process.
Второе издание мнения Гугл по перспективам кибербезопасности для членов Правления.
https://inthecloud.withgoogle.com/perspectives-on-security-for-the-board-2/download.html
https://www.forbes.com/sites/emmylucas/2023/07/13/google-cloud-ciso-phil-venables-on-cybersecurity-cloud-adoption-and-the-boardroom/
"Read the second edition of Perspectives on Security for the Board, published by Google Cloud’s Office of the CISO to learn more about our latest insights:
How the board’s role and responsibilities in cloud security and adoption are changing
What steps boards can take to navigate the evolving threat landscape. See examples of recent real-world vulnerability incidents and how Mandiant (now a part of Google Cloud) addressed them.
Learn more about our actionable, AI security framework that boards can use to help ensure their organizations use AI in a responsible way."
"We hope this report helps Boards of Directors by providing them
with information and insights they need to make informed decisions about cloud, artificial intelligence, and
overall security posture. To help address this challenge, Boards should continue to leverage the three principles
for effective risk oversight: 1) get educated; 2) be engaged; and 3) stay informed. This approach — coupled with
a strong relationship with the CISO and technology, business, and compliance stakeholders — will help foster
greater transparency and collaboration between Boards and company leaders."
https://inthecloud.withgoogle.com/perspectives-on-security-for-the-board-2/download.html
https://www.forbes.com/sites/emmylucas/2023/07/13/google-cloud-ciso-phil-venables-on-cybersecurity-cloud-adoption-and-the-boardroom/
"Read the second edition of Perspectives on Security for the Board, published by Google Cloud’s Office of the CISO to learn more about our latest insights:
How the board’s role and responsibilities in cloud security and adoption are changing
What steps boards can take to navigate the evolving threat landscape. See examples of recent real-world vulnerability incidents and how Mandiant (now a part of Google Cloud) addressed them.
Learn more about our actionable, AI security framework that boards can use to help ensure their organizations use AI in a responsible way."
"We hope this report helps Boards of Directors by providing them
with information and insights they need to make informed decisions about cloud, artificial intelligence, and
overall security posture. To help address this challenge, Boards should continue to leverage the three principles
for effective risk oversight: 1) get educated; 2) be engaged; and 3) stay informed. This approach — coupled with
a strong relationship with the CISO and technology, business, and compliance stakeholders — will help foster
greater transparency and collaboration between Boards and company leaders."
Withgoogle
Perspectives On Security For The Board: Edition 2
Google Cloud