Forwarded from Пост Лукацкого
Раз уж написал утром про израильтян, то продолжу. У жителей земли обетованной есть своя, достаточно интересная, стратегия кибербезопасности. Из интересных моментов, на которые я бы обратил внимание:
🔤 Все компании делятся на две категории А и Б, отличающиеся по величине возможного прямого и косвенного ущерба от кибератак. Водораздел проходит по сумме 1,5 миллиона долларов. В доктрину включен простой опросник, который должен подсказать, в какую категорию попадает организация (независимо от ее формы собственности).
🔤 Требования по защите отличаются для компаний разных категорий. Для А все достаточно просто, для Б надо проводить оценку рисков, оценивать риск-аппетит, маппить выявленные риски в защитные меры и т.п.
🔤 Доктрина предлагает огромное количество различных опросников и иных таблиц, которые позволяют легко оценивать своей текущий уровень ИБ, составить модель нарушителя, определить риск-аппетит и т.п.
🔤 Интересно, что доктрина не просто говорит "используйте вот такую-то меру", а предлагает находить баланс между эффективности защитных мер и их стоимостью. Это нечто схожее с принципом экономической целесообразности, заложенным в приказы ФСТЭК и ГОСТ Банка России, но если в первом случае этот принцип просто есть и все, без пояснений и деталей, то во втором он вообще не работает - проверяющие Банка России плюют на все экономические расчеты и просто требуют буквального применения защитных мер из ГОСТ 57580.1.
🔤 Методика оценки рисков достаточно простенькая - на базе светофора (мне такие не очень нравятся в виду их неконкретности). Но зато в доктрине упомянуты достаточно свежие технологии ИБ - BAS, ASM, DRP и т.п.
В общем, рекомендуется, как минимум, к прочтению.
В общем, рекомендуется, как минимум, к прочтению.
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
👍3
Forwarded from Пост Лукацкого
ICDM V2.pdf
10.7 MB
Сама израильская доктрина ИБ и список ее защитных мер
Forwarded from AM Live (oleg IV)
В Правительстве РФ и ИТ-отрасли активно обсуждают инициативу Совфеда о введении обязательного страхования киберрисков. Рост числа атак на российские организации увеличил спрос на подобные услуги, однако базы для их унификации в стране пока нет.
Anti-Malware
В России хотят ввести обязательное страхование от кибератак
В Правительстве РФ и ИТ-отрасли активно обсуждают инициативу Совфеда о введении обязательного страхования киберрисков. Рост числа атак на российские организации увеличил спрос на подобные услуги,
Forwarded from Университет Иннополис
Расследования и анализ киберпреступности в мире
Наши специалисты выпустили новый дайджест, где представили популярные виды хакерских атак, технологии и продукты для борьбы с ними, результаты исследования рынка кадров в этой сфере. А также провели интервью с экспертами компаний «Лаборатория Касперского», Positive Technologies и F.A.C.C.T.
Печатный дайджест можно прочитать на Digital Innopolis Days 2023 в Иннополисе 19—20 октября.
➡️ Онлайн-версия
Наши специалисты выпустили новый дайджест, где представили популярные виды хакерских атак, технологии и продукты для борьбы с ними, результаты исследования рынка кадров в этой сфере. А также провели интервью с экспертами компаний «Лаборатория Касперского», Positive Technologies и F.A.C.C.T.
Печатный дайджест можно прочитать на Digital Innopolis Days 2023 в Иннополисе 19—20 октября.
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from DevSecOps Talks
Интерактивные курсы по уязвимостям
Всем привет!
По ссылке доступен бесплатный набор курсов, которые объясняют, как работает та или иная уязвимость в интерактивном режиме.
Доступно объяснение для следующих уязвимостей:
🍭 SQL Injection
🍭 XSS
🍭 Command Execution
🍭 User Enumeration
🍭 Open Redirects и другие
Курсы достаточно наглядные и короткие, могут быть использованы, например, для ознакомления разработчиков. Помимо объяснения логики работы уязвимостей сервис предоставляет базовый набор рекомендаций о том, как этого избежать.
В дополнение можно рассмотреть аналогичные ресурсы от Snyk или Kontra. Да, бесплатно доступно не все, но все равно есть интересный материал.
Всем привет!
По ссылке доступен бесплатный набор курсов, которые объясняют, как работает та или иная уязвимость в интерактивном режиме.
Доступно объяснение для следующих уязвимостей:
🍭 SQL Injection
🍭 XSS
🍭 Command Execution
🍭 User Enumeration
🍭 Open Redirects и другие
Курсы достаточно наглядные и короткие, могут быть использованы, например, для ознакомления разработчиков. Помимо объяснения логики работы уязвимостей сервис предоставляет базовый набор рекомендаций о том, как этого избежать.
В дополнение можно рассмотреть аналогичные ресурсы от Snyk или Kontra. Да, бесплатно доступно не все, но все равно есть интересный материал.
ISACARuSec
Обзор вышедших в этом году банковских ГОСТ 57580.3 57580.4 #Абисс_Конф
Опубликованы материалы конференции АБИСС
https://conf.abiss.ru/
https://conf.abiss.ru/
Ещё одно подтверждение, что тема безопасности интернета вещей входит в нашу жизнь.
https://sberdevices.ru/shop/product/smart_lamp_sber/
Лампочка с wifi и Bluetooth.
https://sberdevices.ru/shop/product/smart_lamp_sber/
Лампочка с wifi и Bluetooth.
SberDevices – официальный сайт умных устройств и сервисов
Умная лампа Sber с адаптивным светом E27/A60 купить недорого в интернет-магазине SberDevices
Закажите Умная лампа Sber с адаптивным светом E27/A60 по доступной цене в интернет-магазине SberDevices. Доставка курьером и самовывоз. Различные способы оплаты.
Forwarded from Нецифровая экономика (Dasha Sapozhkova)
Инвестиции в стартапы в кибербезе немного оживают — но всё ещё на низком уровне по сравнению с 2022 годом.
▪️ Венчурное финансирование стартапов в области кибербезопасности в третьем квартале немного выросло по сравнению со вторым кварталом: со $1,7 млрд до $1,9 млрд.
▪️ Любопытно, что количество сделок, наоборот, снизилось: с 181 во втором квартале до 153 — в третьем.
▪️ В 2022 году в третьем квартале венчурные сделки в кибербез составили $2,7 млрд.
Аналитики замечают сокращение крупных сделок на поздней стадии. За последний квартал было заключено всего пять сделок на сумму $75+ млн и только одна на сумму $200 млн.
Крупнейшие раунды квартала:
➡️ Cato Networks, стартап сетевой безопасности со штаб-квартирой в Тель-Авиве, закрыл раунд на $238 млн с оценкой более $3 млрд.
➡️ Nile из Сан-Хосе, штат Калифорния, соучредителями которого являются бывшие руководители Cisco Systems, закрыл раунд на $175 млн.
➡️ Другой американский стартап OneTrust, который помогает бизнесам управлять требованиями конфиденциальности, привлёк $150 млн.
Аналитики замечают сокращение крупных сделок на поздней стадии. За последний квартал было заключено всего пять сделок на сумму $75+ млн и только одна на сумму $200 млн.
Крупнейшие раунды квартала:
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from WTF_HR
Если бы устраивался конкурс на самую странную теорию заговора, то теория мертвого интернета безусловно заняла бы в нем призовое место.
Ее суть в том, что Сети в том виде, в котором мы ее себе представляем, не существует где-то с 2016 года, а большинство пользователей, которых вы считаете людьми – на самом деле боты, которые генерируют контент, что-то вроде продвинутых NPC-персонажей в видеоиграх.
Сторонники этой теории находят ее подтверждение в том, что большинство контента в сети давно вторично, а реакции пользователей предсказуемы. Все это делается, конечно, с подачи правительства и корпораций, которые тем самым хотят отвлечь человечество от реальных проблем и без помех осуществлять свои злодейские планы.
И при всей абсурдности этой теории, ей нельзя отказать в некоторой мрачной очаровательности и правдоподобности, тем более, что ботов в сети действительно полно. Но вот уж точно чего в ближайшее время избежать не удастся, так это ее воплощения в жизнь на корпоративных встречах.
Дело в том, что особенного успеха этот ваш искусственный интеллект достиг в работе с информацией – ее распознавании, структурировании, конспектировании и т.д. Другими словами, исполнилась вековая мечта всех мало-мальских начальников – у каждого из них теперь может быть свой собственный личный секретарь, он же стенографист, а иногда еще и коуч.
Появившиеся за последнее время инструменты на основе нейросетей позволяют не только расшифровывать аудиозаписи и превращать их в текст, но также делать структурированные заметки со встречи, а в последнее время – еще и давать пользователю обратную связь по манере говорения или участия в диалоге.
Более того, сбылась еще и мечта корпоративных мизантропов - теперь вместо себя на встречу можно отправить бота, который будет делать для вас заметки и сообщать о том, как прошла встреча (включая и эмоциональный градус). А если вы пришли на встречу позже всех, то «краткое содержание предыдущих серий» вам расскажет бот, а не коллеги, которые из-за этого будут вынуждены отвлекаться.
Короче, красота. И все это замечательно, но вот беда: уже несколько менеджеров разных компаний, придя на зум-встречу, оказывались окружены исключительно ботами-ассистентами своих коллег. Возникающие при этом впечатления выражаются в основном словом «крипово».
А самое забавное, что в больших корпорациях вы часто встречаетесь с незнакомыми коллегами, и если этот незнакомый коллега дал своему боту человеческое имя и человеческий же аватар, то сходу отличить его от живого человека не получится.
Хотя бывалые пользователи подобных систем (и такие уже есть) изобрели лайфхак, как отличить бота от живого человека – бот всегда приходит на встречу вовремя.
Ее суть в том, что Сети в том виде, в котором мы ее себе представляем, не существует где-то с 2016 года, а большинство пользователей, которых вы считаете людьми – на самом деле боты, которые генерируют контент, что-то вроде продвинутых NPC-персонажей в видеоиграх.
Сторонники этой теории находят ее подтверждение в том, что большинство контента в сети давно вторично, а реакции пользователей предсказуемы. Все это делается, конечно, с подачи правительства и корпораций, которые тем самым хотят отвлечь человечество от реальных проблем и без помех осуществлять свои злодейские планы.
И при всей абсурдности этой теории, ей нельзя отказать в некоторой мрачной очаровательности и правдоподобности, тем более, что ботов в сети действительно полно. Но вот уж точно чего в ближайшее время избежать не удастся, так это ее воплощения в жизнь на корпоративных встречах.
Дело в том, что особенного успеха этот ваш искусственный интеллект достиг в работе с информацией – ее распознавании, структурировании, конспектировании и т.д. Другими словами, исполнилась вековая мечта всех мало-мальских начальников – у каждого из них теперь может быть свой собственный личный секретарь, он же стенографист, а иногда еще и коуч.
Появившиеся за последнее время инструменты на основе нейросетей позволяют не только расшифровывать аудиозаписи и превращать их в текст, но также делать структурированные заметки со встречи, а в последнее время – еще и давать пользователю обратную связь по манере говорения или участия в диалоге.
Более того, сбылась еще и мечта корпоративных мизантропов - теперь вместо себя на встречу можно отправить бота, который будет делать для вас заметки и сообщать о том, как прошла встреча (включая и эмоциональный градус). А если вы пришли на встречу позже всех, то «краткое содержание предыдущих серий» вам расскажет бот, а не коллеги, которые из-за этого будут вынуждены отвлекаться.
Короче, красота. И все это замечательно, но вот беда: уже несколько менеджеров разных компаний, придя на зум-встречу, оказывались окружены исключительно ботами-ассистентами своих коллег. Возникающие при этом впечатления выражаются в основном словом «крипово».
А самое забавное, что в больших корпорациях вы часто встречаетесь с незнакомыми коллегами, и если этот незнакомый коллега дал своему боту человеческое имя и человеческий же аватар, то сходу отличить его от живого человека не получится.
Хотя бывалые пользователи подобных систем (и такие уже есть) изобрели лайфхак, как отличить бота от живого человека – бот всегда приходит на встречу вовремя.
the Guardian
The end of boring meetings: why workers are sending robots instead
They can take notes, make suggestions – and critique your performance if you do deign to turn up. So what if they’re faceless drones?
Спикеры обсуждают осталась ли приватность сегодня.
Высказали 2 стратегии:
1. Не выделятся из общего потока данных.
2. Не вызывать желания за тобой наблюдать.
Обращают внимание, что у молодого поколения возможности для приватности резко снижаются ещё до рождения, например в виде оцифрованных снимков узи.
Больше деталей тут
https://news.1rj.ru/str/garda_ai
#конференция_защита_данных
Высказали 2 стратегии:
1. Не выделятся из общего потока данных.
2. Не вызывать желания за тобой наблюдать.
Обращают внимание, что у молодого поколения возможности для приватности резко снижаются ещё до рождения, например в виде оцифрованных снимков узи.
Больше деталей тут
https://news.1rj.ru/str/garda_ai
#конференция_защита_данных
Книга для погружения в девопс философию по рекомендации спикера от Whoosh.
"Проект «Феникс». Роман о том, как DevOps меняет бизнес к лучшему".
#конференция_защита_данных
"Проект «Феникс». Роман о том, как DevOps меняет бизнес к лучшему".
#конференция_защита_данных