image_2023-09-06_11-17-11.png
164.3 KB
Анализ GitOps для нужд безопасности #DevOops
Проверяете о скольких доменах вам не сообщили ИТшники для контроля? Попробуйте 2 ресурса dnsdumpster.com (до 100 записей на 1 домен бесплатно) и crt.sh (поиск доменных имен в выданных сертификатах).
И это один из доводов использования wildcard сертификатов TLS, иначе все поддомены видны на crt.sh.
И это один из доводов использования wildcard сертификатов TLS, иначе все поддомены видны на crt.sh.
Forwarded from DevSecOps Talks
Анализ ИБ пакетов в режиме «реального времени»
Всем привет!
Один из способов устранения проблем при debug – это Google! Зачастую он ведет на StackOverflow или иные подобные ресурсы, где можно встретить советы в стиле «Надо просто установить/обновить пакет до версии XXX».
Допустим, что вы – Разработчик, которому не все равно на ИБ(верим, что такие есть!) . Как узнать, есть ли у этого пакета уязвимости и насколько он «хорош» с точки зрения ИБ? Да, есть много разных ресурсов (например, Snyk Advisory, Deps и их аналоги), но потребуется сделать слишком много действий. А хочется здесь и сейчас!
Именно так размышляли члены SCAR (Supply Chain Attack Research – организация, объединяющая Checkmarx, Aqua, Cider, SNYK, Mend и не только), когда создавали Overlay.
Overlay представляет из себя надстройку для browser (Chrome, Mozilla), которая может распознавать упоминания пакетов на сайтах и сразу «подсказывать» что в нем есть плохого. Альтернативный сценарий – «расширение» выдачи информации о пакетах на индексах с добавлением информации по уязвимостям и результатам анализа OSSF Scorecard. Информацию об ограничениях работоспособности можно найти в repo проекта.
Выглядит крайне удобно и, что самое главное, developer-friendly ☺️
P.S. А если Вам захочется чуть больше узнать про SCAR и историю создания Overlay – можно обратиться к этой статье.
Всем привет!
Один из способов устранения проблем при debug – это Google! Зачастую он ведет на StackOverflow или иные подобные ресурсы, где можно встретить советы в стиле «Надо просто установить/обновить пакет до версии XXX».
Допустим, что вы – Разработчик, которому не все равно на ИБ
Именно так размышляли члены SCAR (Supply Chain Attack Research – организация, объединяющая Checkmarx, Aqua, Cider, SNYK, Mend и не только), когда создавали Overlay.
Overlay представляет из себя надстройку для browser (Chrome, Mozilla), которая может распознавать упоминания пакетов на сайтах и сразу «подсказывать» что в нем есть плохого. Альтернативный сценарий – «расширение» выдачи информации о пакетах на индексах с добавлением информации по уязвимостям и результатам анализа OSSF Scorecard. Информацию об ограничениях работоспособности можно найти в repo проекта.
Выглядит крайне удобно и, что самое главное, developer-friendly ☺️
P.S. А если Вам захочется чуть больше узнать про SCAR и историю создания Overlay – можно обратиться к этой статье.
GitHub
GitHub - os-scar/overlay: Overlay is a browser extension helping developers evaluate open source packages before picking them
Overlay is a browser extension helping developers evaluate open source packages before picking them - os-scar/overlay
Пятничный оффтоп. Генеративный ИИ прочно продолжает входить в нашу жизнь и совсем скоро HR начнут слышать от кандидатов в ответ на "Что для вас важно в будущем месте работы" - "Возможность использовать генеративный ИИ". В этом исследовании до 54% студентов отметили это в качестве фактора выбора работы. Похоже защита инструментов генеративного ИИ становится важным фактором офисного ИБ.
Forwarded from WTF_HR
Пятничное.
Люди, которые провели некоторое время на Балканах, хорошо знакомы с понятием «полако». Это слово в зависимости от контекста может означать очень разные вещи – от «спокойно» (такое, например, кричат друг другу сербские водители на перекрестках) до «да забей, давай тяпнем ракии за обедом».
В сообществе неприлично много по местным меркам работающих русских эмигрантов употребление этого слова в целом отражает столь непривычное им балканское неторопливое отношение к жизни.
Апофеоз «полако», впрочем, встречается не в Сербии, а в Черногории, где люди, если следовать популярным мемам, «рождаются уставшими и живут, чтобы отдыхать».
Именно эта максима из «Черногорских заповодей» мгновенна вспомнилась нам, как только мы прочли результаты нового опроса, проведенного среди более тысячи американских студентов, начинающих в эти самые дни последний курс обучения и собирающихся выпуститься в 2024 году.
Как всяких нормальных студентов последнего курса, их беспокоит неизвестность, которая лежит впереди, они сильно заинтригованы и слегка напуганы новыми технологиями и мечтают стать обеспеченными и счастливыми людьми. Но есть, как мы любим, один нюанс.
Около 80 (восьмидесяти!) процентов респондентов, утвердительно ответили на вопрос «Как часто вы испытывали выгорание» ответили «часто» или «время от времени», еще 16% ответили на вопрос «редко», и лишь 4% выгорание не испытывали совсем.
В общем, нынешние студенты, судя по исследованию, приходят на работу уже выгоревшими и работают, чтобы отдыхать.
Все, конечно, не так однозначно (с). Тут дело, конечно, отчасти в том, что термин «я выгорел» уже используется и вместо «мне было страшно за свое будущее», и «мне пришлось столкнуться со сложной задачей», и даже просто «я немного устал». С ним произошло примерно то же самое, что и со словами «токсичный», «обесценивание», «газлайтинг» и прочими «опопсевшими» терминами, которые могут иметь или не иметь конкретных определений, но которые вовсю использует экзальтированная молодежь, чтобы в красках описать, через что им приходится прохолить.
Но есть у нынешних выпускников бакалавриата и своя правда: они начинали учиться в ковидные времена, затем видели, как наступает (или не наступает) экономический кризис, а потом пришел этот ваш ИИ, который, как утверждают энтузиасты, вот-вот всех заменит и годы обучения пойдут прахом.
В общем, поволноваться этим людям пришлось в среднем больше, чем некоторым другим поколениям (и потому, вспоминая вчерашний пост, впору создавать мем «Поколение, пострадавшее от…»).
И потому свое ментальное благополучие эти люди ценят несколько больше, чем их предшественники, и охотнее идут в те компании, которые в своих объявлениях о работе заявляют, что о нем заботятся. Хозяйке, как говорится, на заметку.
А результаты опроса, кстати, почитайте – ибо наши выпускники во многих смыслах не сильно отличаются от опрошенных американских. Пригодится. ПДФ для гурманов – как всегда, следующим постом.
Хороших выходных!
Люди, которые провели некоторое время на Балканах, хорошо знакомы с понятием «полако». Это слово в зависимости от контекста может означать очень разные вещи – от «спокойно» (такое, например, кричат друг другу сербские водители на перекрестках) до «да забей, давай тяпнем ракии за обедом».
В сообществе неприлично много по местным меркам работающих русских эмигрантов употребление этого слова в целом отражает столь непривычное им балканское неторопливое отношение к жизни.
Апофеоз «полако», впрочем, встречается не в Сербии, а в Черногории, где люди, если следовать популярным мемам, «рождаются уставшими и живут, чтобы отдыхать».
Именно эта максима из «Черногорских заповодей» мгновенна вспомнилась нам, как только мы прочли результаты нового опроса, проведенного среди более тысячи американских студентов, начинающих в эти самые дни последний курс обучения и собирающихся выпуститься в 2024 году.
Как всяких нормальных студентов последнего курса, их беспокоит неизвестность, которая лежит впереди, они сильно заинтригованы и слегка напуганы новыми технологиями и мечтают стать обеспеченными и счастливыми людьми. Но есть, как мы любим, один нюанс.
Около 80 (восьмидесяти!) процентов респондентов, утвердительно ответили на вопрос «Как часто вы испытывали выгорание» ответили «часто» или «время от времени», еще 16% ответили на вопрос «редко», и лишь 4% выгорание не испытывали совсем.
В общем, нынешние студенты, судя по исследованию, приходят на работу уже выгоревшими и работают, чтобы отдыхать.
Все, конечно, не так однозначно (с). Тут дело, конечно, отчасти в том, что термин «я выгорел» уже используется и вместо «мне было страшно за свое будущее», и «мне пришлось столкнуться со сложной задачей», и даже просто «я немного устал». С ним произошло примерно то же самое, что и со словами «токсичный», «обесценивание», «газлайтинг» и прочими «опопсевшими» терминами, которые могут иметь или не иметь конкретных определений, но которые вовсю использует экзальтированная молодежь, чтобы в красках описать, через что им приходится прохолить.
Но есть у нынешних выпускников бакалавриата и своя правда: они начинали учиться в ковидные времена, затем видели, как наступает (или не наступает) экономический кризис, а потом пришел этот ваш ИИ, который, как утверждают энтузиасты, вот-вот всех заменит и годы обучения пойдут прахом.
В общем, поволноваться этим людям пришлось в среднем больше, чем некоторым другим поколениям (и потому, вспоминая вчерашний пост, впору создавать мем «Поколение, пострадавшее от…»).
И потому свое ментальное благополучие эти люди ценят несколько больше, чем их предшественники, и охотнее идут в те компании, которые в своих объявлениях о работе заявляют, что о нем заботятся. Хозяйке, как говорится, на заметку.
А результаты опроса, кстати, почитайте – ибо наши выпускники во многих смыслах не сильно отличаются от опрошенных американских. Пригодится. ПДФ для гурманов – как всегда, следующим постом.
Хороших выходных!
Любопытный ежегодный отчет Делойт по устройствам потребителей (от умных телевизоров до смартфонов), особенно для компаний e-commerce.
https://www2.deloitte.com/uk/en/insights/industry/telecommunications/connectivity-mobile-trends-survey/2023/connectivity-mobile-trends-survey-full-report.html
В части ИБ отмечается:
1. Значительный рост опасений потребителей, что их устройства подвержены взломам и что за потребителями будут чаще следить через эти устройства другие люди или организации.
2. Незначительный рост процента потребителей (3%-7%) которые отключили функцию отслеживания, включили второй фактор, использовали VPN, удалили аккаунт, купили устройство без функции слежки.
https://www2.deloitte.com/uk/en/insights/industry/telecommunications/connectivity-mobile-trends-survey/2023/connectivity-mobile-trends-survey-full-report.html
В части ИБ отмечается:
1. Значительный рост опасений потребителей, что их устройства подвержены взломам и что за потребителями будут чаще следить через эти устройства другие люди или организации.
2. Незначительный рост процента потребителей (3%-7%) которые отключили функцию отслеживания, включили второй фактор, использовали VPN, удалили аккаунт, купили устройство без функции слежки.
Deloitte Insights
Balancing act: Seeking just the right amount of digital for a happy, healthy connected life
Connected consumers feel digital fatigue, but want well-being, data privacy and security from their devices. The “just right” balance between virtual and physical worlds remains elusive.
Интересная статья про управленческие риски использования генеративных ИИ.
https://www.eweek.com/artificial-intelligence/generative-ai-risks
Авторы выделяют следующие 10 основных рисков использования генеративных ИИ:
1. Возможность того что, ИИ модель использует чужую интеллектуальную собственность без согласия правообладателя, что ведет к ответственности даже тех, кто не был в курсе про такое нарушение.
2. Вероятность использования конфиденциальной (чуствительной) пользовательской информации, которая может стать часть тренировочного набора данных.
3. Тренировочный датасет может быть необъективным, неполным или неточным.
4. В моделях может не быть встроенных мер безопасности таких же как требует ваша организация для защиты данных и соответствия требованиям.
5. Всегда есть шанс того, что работник неосознанно неверно использует модель или конфиденциальные данные, разглашая интеллектуальную собственность и конфиденциальную информацию компании.
6. Генеративные модели части галлюцинируют, что означает что они уверено создают контент который неточный (некорректный).
7. Модели часто хранят данные продолжительное время, что увеличивает вероятность подверженности атакам для датасетов.
8. Многие модели имеют мало или не имеют вовсе встроенных мер киберзащиты. Более того, генеративные модели можно обмануть для решения задач обхода мер безопасности нарушителями.
9. Нехватка прозрачности генеративных моделей делает сложным тестирования качества и аудит данных моделей и их использования.
10. Генеративные модели не часто являются предметом регулирования, несмотря на то, что ряд стран работает на законодательством ИИ, в общем вендоры генеративного ИИ не подпадают под те же стандарты защиты потребителей что и другие бизнесы.
https://www.eweek.com/artificial-intelligence/generative-ai-risks
Авторы выделяют следующие 10 основных рисков использования генеративных ИИ:
1. Возможность того что, ИИ модель использует чужую интеллектуальную собственность без согласия правообладателя, что ведет к ответственности даже тех, кто не был в курсе про такое нарушение.
2. Вероятность использования конфиденциальной (чуствительной) пользовательской информации, которая может стать часть тренировочного набора данных.
3. Тренировочный датасет может быть необъективным, неполным или неточным.
4. В моделях может не быть встроенных мер безопасности таких же как требует ваша организация для защиты данных и соответствия требованиям.
5. Всегда есть шанс того, что работник неосознанно неверно использует модель или конфиденциальные данные, разглашая интеллектуальную собственность и конфиденциальную информацию компании.
6. Генеративные модели части галлюцинируют, что означает что они уверено создают контент который неточный (некорректный).
7. Модели часто хранят данные продолжительное время, что увеличивает вероятность подверженности атакам для датасетов.
8. Многие модели имеют мало или не имеют вовсе встроенных мер киберзащиты. Более того, генеративные модели можно обмануть для решения задач обхода мер безопасности нарушителями.
9. Нехватка прозрачности генеративных моделей делает сложным тестирования качества и аудит данных моделей и их использования.
10. Генеративные модели не часто являются предметом регулирования, несмотря на то, что ряд стран работает на законодательством ИИ, в общем вендоры генеративного ИИ не подпадают под те же стандарты защиты потребителей что и другие бизнесы.
eWEEK
Risks of Generative AI: 6 Risk Management Tips
eWEEK content and product recommendations are editorially independent. We may make money when you click on links to our partners. Learn More. Generative AI models are powerful tools that data scientists are using to create powerful results, from content creation…
Далее автор предлагает следующие 6 лучших практики по ИИ:
1. Создать и заставить использовать политику использования Генеративного ИИ.
2. Используете данные своей компании и данные доверенных третьих лиц.
3. Обучите работников корректному использованию данных и моделей.
4. Вложитесь в инструменты киберзащиты генеративного ИИ.
5. Создайте команду аналитиков для контроля качества ИИ.
6. Исследуйте генеративные модели ИИ прежде чем их использовать.
По линку чуть больше деталей https://www.eweek.com/artificial-intelligence/generative-ai-risks
1. Создать и заставить использовать политику использования Генеративного ИИ.
2. Используете данные своей компании и данные доверенных третьих лиц.
3. Обучите работников корректному использованию данных и моделей.
4. Вложитесь в инструменты киберзащиты генеративного ИИ.
5. Создайте команду аналитиков для контроля качества ИИ.
6. Исследуйте генеративные модели ИИ прежде чем их использовать.
По линку чуть больше деталей https://www.eweek.com/artificial-intelligence/generative-ai-risks
eWEEK
Risks of Generative AI: 6 Risk Management Tips
eWEEK content and product recommendations are editorially independent. We may make money when you click on links to our partners. Learn More. Generative AI models are powerful tools that data scientists are using to create powerful results, from content creation…
Forwarded from ФБИТ_LIVE
Кто приносит заметную пользу инфобезу в России? Конечно же БИТ ИТМО 😇
Аспирант Дмитрий Сивков, магистранты Роман Сафиуллин и Кирилл Ерыпалов под руководством Алисы Воробьевой перевели на русский язык матрицу MITRE Atlas - обширную базу знаний о техниках и тактиках злоумышленников, совершающих атаки на системы искусственного интеллекта. Больше не нужно "прыгать" между матрицей и переводчиком. Достаточно открыть заветную ссылку.
Пользуйтесь матрицей для изучения методов и тактик атак, это поможет вам лучше понимать угрозы и средства защиты.
В MITRE Atlas вы найдете навигатор, содержащий разнообразные данные, которые могут быть использованы для исследований и анализа киберугроз.
Пользуйтесь русскоязычной MITRE Atlas, чтобы развить навыки необходимые для будущей карьеры в кибербезопасности и стать более конкурентоспособными на рынке труда.
Матрица на английском языке постоянно обновляется — по мере выявления атак в нее добавляются новые кейсы — и мы не отстаем, обновления выходят на русском языке с задержкой в несколько дней.
👉 Русскоязычная версия размещена на сайте факультета: https://atlas.securityhub.ru/. Как и англоязычный аналог, она интерактивная — в каждое из полей можно углубляться, изучая кейсы.
Аспирант Дмитрий Сивков, магистранты Роман Сафиуллин и Кирилл Ерыпалов под руководством Алисы Воробьевой перевели на русский язык матрицу MITRE Atlas - обширную базу знаний о техниках и тактиках злоумышленников, совершающих атаки на системы искусственного интеллекта. Больше не нужно "прыгать" между матрицей и переводчиком. Достаточно открыть заветную ссылку.
Пользуйтесь матрицей для изучения методов и тактик атак, это поможет вам лучше понимать угрозы и средства защиты.
В MITRE Atlas вы найдете навигатор, содержащий разнообразные данные, которые могут быть использованы для исследований и анализа киберугроз.
Пользуйтесь русскоязычной MITRE Atlas, чтобы развить навыки необходимые для будущей карьеры в кибербезопасности и стать более конкурентоспособными на рынке труда.
Матрица на английском языке постоянно обновляется — по мере выявления атак в нее добавляются новые кейсы — и мы не отстаем, обновления выходят на русском языке с задержкой в несколько дней.
👉 Русскоязычная версия размещена на сайте факультета: https://atlas.securityhub.ru/. Как и англоязычный аналог, она интерактивная — в каждое из полей можно углубляться, изучая кейсы.
Хабр
MITRE Atlas на русском — о безопасности ИИ в деталях
В сфере кибербезопасности доступ к актуальной информации о возможных угрозах — это решающий фактор обеспечения защиты. Поэтому специалисты активно используют матрицу MITRE...
👍5