Любопытный ежегодный отчет Делойт по устройствам потребителей (от умных телевизоров до смартфонов), особенно для компаний e-commerce.
https://www2.deloitte.com/uk/en/insights/industry/telecommunications/connectivity-mobile-trends-survey/2023/connectivity-mobile-trends-survey-full-report.html
В части ИБ отмечается:
1. Значительный рост опасений потребителей, что их устройства подвержены взломам и что за потребителями будут чаще следить через эти устройства другие люди или организации.
2. Незначительный рост процента потребителей (3%-7%) которые отключили функцию отслеживания, включили второй фактор, использовали VPN, удалили аккаунт, купили устройство без функции слежки.
https://www2.deloitte.com/uk/en/insights/industry/telecommunications/connectivity-mobile-trends-survey/2023/connectivity-mobile-trends-survey-full-report.html
В части ИБ отмечается:
1. Значительный рост опасений потребителей, что их устройства подвержены взломам и что за потребителями будут чаще следить через эти устройства другие люди или организации.
2. Незначительный рост процента потребителей (3%-7%) которые отключили функцию отслеживания, включили второй фактор, использовали VPN, удалили аккаунт, купили устройство без функции слежки.
Deloitte Insights
Balancing act: Seeking just the right amount of digital for a happy, healthy connected life
Connected consumers feel digital fatigue, but want well-being, data privacy and security from their devices. The “just right” balance between virtual and physical worlds remains elusive.
Интересная статья про управленческие риски использования генеративных ИИ.
https://www.eweek.com/artificial-intelligence/generative-ai-risks
Авторы выделяют следующие 10 основных рисков использования генеративных ИИ:
1. Возможность того что, ИИ модель использует чужую интеллектуальную собственность без согласия правообладателя, что ведет к ответственности даже тех, кто не был в курсе про такое нарушение.
2. Вероятность использования конфиденциальной (чуствительной) пользовательской информации, которая может стать часть тренировочного набора данных.
3. Тренировочный датасет может быть необъективным, неполным или неточным.
4. В моделях может не быть встроенных мер безопасности таких же как требует ваша организация для защиты данных и соответствия требованиям.
5. Всегда есть шанс того, что работник неосознанно неверно использует модель или конфиденциальные данные, разглашая интеллектуальную собственность и конфиденциальную информацию компании.
6. Генеративные модели части галлюцинируют, что означает что они уверено создают контент который неточный (некорректный).
7. Модели часто хранят данные продолжительное время, что увеличивает вероятность подверженности атакам для датасетов.
8. Многие модели имеют мало или не имеют вовсе встроенных мер киберзащиты. Более того, генеративные модели можно обмануть для решения задач обхода мер безопасности нарушителями.
9. Нехватка прозрачности генеративных моделей делает сложным тестирования качества и аудит данных моделей и их использования.
10. Генеративные модели не часто являются предметом регулирования, несмотря на то, что ряд стран работает на законодательством ИИ, в общем вендоры генеративного ИИ не подпадают под те же стандарты защиты потребителей что и другие бизнесы.
https://www.eweek.com/artificial-intelligence/generative-ai-risks
Авторы выделяют следующие 10 основных рисков использования генеративных ИИ:
1. Возможность того что, ИИ модель использует чужую интеллектуальную собственность без согласия правообладателя, что ведет к ответственности даже тех, кто не был в курсе про такое нарушение.
2. Вероятность использования конфиденциальной (чуствительной) пользовательской информации, которая может стать часть тренировочного набора данных.
3. Тренировочный датасет может быть необъективным, неполным или неточным.
4. В моделях может не быть встроенных мер безопасности таких же как требует ваша организация для защиты данных и соответствия требованиям.
5. Всегда есть шанс того, что работник неосознанно неверно использует модель или конфиденциальные данные, разглашая интеллектуальную собственность и конфиденциальную информацию компании.
6. Генеративные модели части галлюцинируют, что означает что они уверено создают контент который неточный (некорректный).
7. Модели часто хранят данные продолжительное время, что увеличивает вероятность подверженности атакам для датасетов.
8. Многие модели имеют мало или не имеют вовсе встроенных мер киберзащиты. Более того, генеративные модели можно обмануть для решения задач обхода мер безопасности нарушителями.
9. Нехватка прозрачности генеративных моделей делает сложным тестирования качества и аудит данных моделей и их использования.
10. Генеративные модели не часто являются предметом регулирования, несмотря на то, что ряд стран работает на законодательством ИИ, в общем вендоры генеративного ИИ не подпадают под те же стандарты защиты потребителей что и другие бизнесы.
eWEEK
Risks of Generative AI: 6 Risk Management Tips
eWEEK content and product recommendations are editorially independent. We may make money when you click on links to our partners. Learn More. Generative AI models are powerful tools that data scientists are using to create powerful results, from content creation…
Далее автор предлагает следующие 6 лучших практики по ИИ:
1. Создать и заставить использовать политику использования Генеративного ИИ.
2. Используете данные своей компании и данные доверенных третьих лиц.
3. Обучите работников корректному использованию данных и моделей.
4. Вложитесь в инструменты киберзащиты генеративного ИИ.
5. Создайте команду аналитиков для контроля качества ИИ.
6. Исследуйте генеративные модели ИИ прежде чем их использовать.
По линку чуть больше деталей https://www.eweek.com/artificial-intelligence/generative-ai-risks
1. Создать и заставить использовать политику использования Генеративного ИИ.
2. Используете данные своей компании и данные доверенных третьих лиц.
3. Обучите работников корректному использованию данных и моделей.
4. Вложитесь в инструменты киберзащиты генеративного ИИ.
5. Создайте команду аналитиков для контроля качества ИИ.
6. Исследуйте генеративные модели ИИ прежде чем их использовать.
По линку чуть больше деталей https://www.eweek.com/artificial-intelligence/generative-ai-risks
eWEEK
Risks of Generative AI: 6 Risk Management Tips
eWEEK content and product recommendations are editorially independent. We may make money when you click on links to our partners. Learn More. Generative AI models are powerful tools that data scientists are using to create powerful results, from content creation…
Forwarded from ФБИТ_LIVE
Кто приносит заметную пользу инфобезу в России? Конечно же БИТ ИТМО 😇
Аспирант Дмитрий Сивков, магистранты Роман Сафиуллин и Кирилл Ерыпалов под руководством Алисы Воробьевой перевели на русский язык матрицу MITRE Atlas - обширную базу знаний о техниках и тактиках злоумышленников, совершающих атаки на системы искусственного интеллекта. Больше не нужно "прыгать" между матрицей и переводчиком. Достаточно открыть заветную ссылку.
Пользуйтесь матрицей для изучения методов и тактик атак, это поможет вам лучше понимать угрозы и средства защиты.
В MITRE Atlas вы найдете навигатор, содержащий разнообразные данные, которые могут быть использованы для исследований и анализа киберугроз.
Пользуйтесь русскоязычной MITRE Atlas, чтобы развить навыки необходимые для будущей карьеры в кибербезопасности и стать более конкурентоспособными на рынке труда.
Матрица на английском языке постоянно обновляется — по мере выявления атак в нее добавляются новые кейсы — и мы не отстаем, обновления выходят на русском языке с задержкой в несколько дней.
👉 Русскоязычная версия размещена на сайте факультета: https://atlas.securityhub.ru/. Как и англоязычный аналог, она интерактивная — в каждое из полей можно углубляться, изучая кейсы.
Аспирант Дмитрий Сивков, магистранты Роман Сафиуллин и Кирилл Ерыпалов под руководством Алисы Воробьевой перевели на русский язык матрицу MITRE Atlas - обширную базу знаний о техниках и тактиках злоумышленников, совершающих атаки на системы искусственного интеллекта. Больше не нужно "прыгать" между матрицей и переводчиком. Достаточно открыть заветную ссылку.
Пользуйтесь матрицей для изучения методов и тактик атак, это поможет вам лучше понимать угрозы и средства защиты.
В MITRE Atlas вы найдете навигатор, содержащий разнообразные данные, которые могут быть использованы для исследований и анализа киберугроз.
Пользуйтесь русскоязычной MITRE Atlas, чтобы развить навыки необходимые для будущей карьеры в кибербезопасности и стать более конкурентоспособными на рынке труда.
Матрица на английском языке постоянно обновляется — по мере выявления атак в нее добавляются новые кейсы — и мы не отстаем, обновления выходят на русском языке с задержкой в несколько дней.
👉 Русскоязычная версия размещена на сайте факультета: https://atlas.securityhub.ru/. Как и англоязычный аналог, она интерактивная — в каждое из полей можно углубляться, изучая кейсы.
Хабр
MITRE Atlas на русском — о безопасности ИИ в деталях
В сфере кибербезопасности доступ к актуальной информации о возможных угрозах — это решающий фактор обеспечения защиты. Поэтому специалисты активно используют матрицу MITRE...
👍5
Вступили в силу новые правила SEC. Теперь требуется раскрывать стратегию управления киберрисками и как борды ими управляет.
Требования по раскрытию по инцидентам ИБ вступают в силу с середины декабря.
https://www.scmagazine.com/news/what-businesses-need-to-know-to-comply-with-secs-new-cyber-disclosure-rules
Требования по раскрытию по инцидентам ИБ вступают в силу с середины декабря.
https://www.scmagazine.com/news/what-businesses-need-to-know-to-comply-with-secs-new-cyber-disclosure-rules
SC Media
What businesses need to know to comply with SEC’s new cyber disclosure rules
On the disclosure front, one of the biggest questions businesses have had centers around “materiality,” or how the SEC will define a covered incident.
👍2
https://www.securityweek.com/cisa-releases-guidance-on-adopting-ddos-mitigations/
https://www.cisa.gov/sites/default/files/2023-09/TLP%20CLEAR%20-DDOS%20Mitigations%20Guidance_508c.pdf
https://www.cisa.gov/sites/default/files/2023-09/TLP%20CLEAR%20-DDOS%20Mitigations%20Guidance_508c.pdf
SecurityWeek
CISA Releases Guidance on Adopting DDoS Mitigations
CISA has released new guidance to help federal agencies decide upon and prioritize DDoS mitigations based on mission and reputational impact.
👍1
Forwarded from DevSecOps Talks
8 tips for securing CI/CD pipeline
Всем привет!
Тема безопасности конвейера сборки набирает все большую популярность, появляются различные guides, стандарты, рекомендации и т.д. SNYK не стал исключением и выпустил свой cheatsheet.
Внутри можно найти:
🍭 Check your dependencies for potential security issues
🍭 Perform static analysis on your own code
🍭 Scan your container images
🍭 CI pre and post merge scanning и не только
Для каждой из 8-и рекомендаций приводятся примеры и описание того, что имеется ввиду.
Всем привет!
Тема безопасности конвейера сборки набирает все большую популярность, появляются различные guides, стандарты, рекомендации и т.д. SNYK не стал исключением и выпустил свой cheatsheet.
Внутри можно найти:
🍭 Check your dependencies for potential security issues
🍭 Perform static analysis on your own code
🍭 Scan your container images
🍭 CI pre and post merge scanning и не только
Для каждой из 8-и рекомендаций приводятся примеры и описание того, что имеется ввиду.
Snyk
8 tips for securing your CI/CD pipeline with Snyk | Snyk
In this post, we’ll cover using Snyk in your CI/CD pipelines to catch security issues quickly and empower your developers to fix them before they ever get to production.
Интересное мнение по месту поиску кадров в ИБ
https://www.darkreading.com/operations/cybersecurity-skills-gap-roadies-gamers-are-untapped-talent
https://www.darkreading.com/operations/cybersecurity-skills-gap-roadies-gamers-are-untapped-talent
Dark Reading
Cybersecurity Skills Gap: Roadies & Gamers Are Untapped Talent
Gamers and former sound engineers and roadies can help boost the cybersecurity talent pool. Their flexible mindset and attention to detail make them valuable resources.
https://www.europol.europa.eu/media-press/newsroom/news/iocta-spotlight-report-malware-based-cyber-attacks-published
Свежий отчет Европола по кибер преступности.
"
Malware-based cyber-attacks remain the most prominent threat to industry;
Ransomware affiliate programs have become established as the main form of business organisation for ransomware groups;
Phishing emails containing malware, Remote Desktop Protocol (RDP) brute forcing and Virtual Private Network (VPN) vulnerability exploitation are the most common intrusion tactics;
The Russian war of aggression against Ukraine led to a significant boost in Distributed Denial of Service (DDoS) attacks against EU targets;
Initial Access Brokers (IABs), droppers-as-a-service and crypter developers are key enablers utilised in the execution of cyber-attacks;
The war of aggression against Ukraine and Russia’s internal politics have uprooted cybercriminals. pushing them to move to other jurisdictions.
"
Свежий отчет Европола по кибер преступности.
"
Malware-based cyber-attacks remain the most prominent threat to industry;
Ransomware affiliate programs have become established as the main form of business organisation for ransomware groups;
Phishing emails containing malware, Remote Desktop Protocol (RDP) brute forcing and Virtual Private Network (VPN) vulnerability exploitation are the most common intrusion tactics;
The Russian war of aggression against Ukraine led to a significant boost in Distributed Denial of Service (DDoS) attacks against EU targets;
Initial Access Brokers (IABs), droppers-as-a-service and crypter developers are key enablers utilised in the execution of cyber-attacks;
The war of aggression against Ukraine and Russia’s internal politics have uprooted cybercriminals. pushing them to move to other jurisdictions.
"
Europol
IOCTA spotlight report on malware-based cyber-attacks published | Europol
Malware-based cyber-attacks, specifically ransomware, remain the most prominent threat. These attacks can attain a broad reach and have a significant financial impact on industry. Europol’s spotlight report takes an in-depth look at the nature of malware…
https://www.philvenables.com/post/leverage-points-a-cybersecurity-perspective
12 leverage points to deal with complexity in cybersecurity
12 leverage points to deal with complexity in cybersecurity
Risk and Cyber
Leverage Points - A Cybersecurity Perspective
Security is an emergent property of the complex systems we inhabit. In other words, security isn’t a thing that you do, rather it's a property that emerges from a set of activities and sustained conditions. There are optimal places in such complex systems…
Forwarded from Yandex Cloud
В рамках трека Security на Scale 2023 мы расскажем о новой стратегии безопасности Yandex Cloud, а также обсудим DevSecOps, защиту веб-ресурсов и API и многое другое.
Регистрируйтесь на самую крупную IT-конференцию для бизнеса по ссылке и не забывайте добавлять мероприятие в свои календари
Please open Telegram to view this post
VIEW IN TELEGRAM
👍1