Владимир Бенгин (Минцифры) обращает внимание, что частым вопросом при расследовании инцидентов со стороны руководства компаний является - "А зачем нам эти данные и с такой давностью были нужны?". Следует обратить внимание на обработку только нужного объема данных.
#конференция_защита_данных
#конференция_защита_данных
Михаил Толчельников из VK поделился успешным опытом использования A/B-тестирование при принятии решения об устранении уязвимости в сервисе.
#конференция_защита_данных
#конференция_защита_данных
Forwarded from k8s (in)security (r0binak)
CNCF Kubernetes Policy Working group выпустила новый документ, посвященный политике управления, риска и соответствия, чтобы помочь коммьюнити узнать, как лучшие практики Cloud Native могут быть использованы для устранения ключевых бизнес-рисков.В документе описывается, как политики
PolicyEngine могут быть использованы в качестве строительного блока в Kubernetes для автоматизации безопасности, соответствия и управления. Политики явно выявляют риски и повышают осведомленность команд, что позволяет снизить риски на более ранних этапах. В статье также описывается, как политики могут применяться на каждом этапе жизненного цикла Cloud Native приложения.С полной версией документа можно ознакомиться по ссылке тут.
Forwarded from Пост Лукацкого
Вчера, на конференции "Защита данных. Сохранить все" я вел секцию, в которой выступала Анастасия Гайнетдинова, IT Security Analyst компании Whoosh. Она рассказывала о 4-х типичных направлениях, которые часто забывают при защите данных:
🔤 Ошибки при разработке ПО, среди которых, среди прочего, жестко зашитые креды в коде, что приводит к утечкам информации и иным нарушениям в защите данных.
🔤 По версии НКЦКИ атаки на подрядчиков являются одной из популярных проблем с ИБ в России последний год. Об этом же, но в контексте проверок контрагентов, говорила и Анастасия.
🔤 Бумажная безопасность и документационное обеспечение. Плейбуки, задокументированные триггеры, регламенты... Все это помогает в кризисные моменты четко следовать процедуре, а не бегать и кричать "А-а-а-а-а" в поисках решения.
🔤 "Нас не заденет". Вопрос стоит не "столкнемся мы с инцидентом с данными или нет", а "когда столкнемся". Поэтому стоит быть к нему готовым заранее.
Надеюсь, скоро выложат запись нашей секции (а этот зал точно записывался) и тогда вы сможете самостоятельно посмотреть выступления и Глеба, и Анастасии, и мое.
Надеюсь, скоро выложат запись нашей секции (а этот зал точно записывался) и тогда вы сможете самостоятельно посмотреть выступления и Глеба, и Анастасии, и мое.
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from Пост Лукацкого
Второе выступление у меня в секции было от Глеба Марченко, руководителя направления по защите данных Тинькофф с обзором того, что делает банк в этом направлении. Очень интересное было выступление, презентацию которого я прикладываю. Больше всего мне понравилась часть с рассказом про разработанный инструмент Hound, который позволяет сканировать различные источники информации (Postgress, GreenPlum, Cassandra, Oracle, ClickHouse, Hadoop) и за счет ML, регулярок, метаданных и т.п. искать различные чувствительные данные - персональные, секреты, ссылки на соцсети, названия юрлиц, IMSI, IMEI, IP и т.п.
Если вспоминать кривую хайпа Гартнера с технологиями защиты данных, то тема классификации там не достигла даже пика неоправданных ожиданий, не говоря уже о дне и тем более плато. А тут банк самостоятельно разрабатывает такое решение, сам размечает данные, сам обучает модели ML и активно его использует, автоматизируя очень непростую задачу, от которой зависит на самом деле весь процесс защиты информации (если ты не знаешь, где у тебя объект защиты, то как ты можешь его защищать?). Я недавно видел какой-то стартап, который применяет LLM для классификации и поиска защищаемых данных, а тут мы имеем прекрасный пример самостоятельной разработки. Детали по Hound, а также иным подходам к защите данных в Тинькофф, в презентации ниже👇
Если вспоминать кривую хайпа Гартнера с технологиями защиты данных, то тема классификации там не достигла даже пика неоправданных ожиданий, не говоря уже о дне и тем более плато. А тут банк самостоятельно разрабатывает такое решение, сам размечает данные, сам обучает модели ML и активно его использует, автоматизируя очень непростую задачу, от которой зависит на самом деле весь процесс защиты информации (если ты не знаешь, где у тебя объект защиты, то как ты можешь его защищать?). Я недавно видел какой-то стартап, который применяет LLM для классификации и поиска защищаемых данных, а тут мы имеем прекрасный пример самостоятельной разработки. Детали по Hound, а также иным подходам к защите данных в Тинькофф, в презентации ниже
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from Нецифровая экономика (Dasha Sapozhkova)
Художники защищаются от ИИ
Раз на законодательном уровне использование авторских материалов для обучения искусственного интеллекта пока не запрещается, художники решили взять дело в свои руки. Уникальный по своей сути инструмент Nightshade помогает иллюстраторам защитить свои работы от использования в целях обучения моделей ИИ.
Инструмент добавляет пиксели в изображение таким образом, что картинка не распознаётся моделями вроде DALL-E, Midjourney и Stable Diffusion. С помощью таких пикселей можно даже убедить ИИ, что собака, изображенная на картинке — это кошка. В итоге, использование «испорченных» Nightshade картинок искажает распознавание объектов.
Любопытно, что Nightshade — как и многие модели генеративного ИИ — продукт с открытым исходным кодом.
Nightshade пригодится художникам, которые хотят выставлять свои работы в интернет, но не желают, чтобы их интеллектуальная собственность использовалась в массивах данных для обучения ИИ. Пиксели, которые добавляет в изображение Nightshade, незаметны человеческому глазу — зато доставляют много неприятностей ИИ-моделям, приводя к сбоям в распознавании.
На картинке — результат работы Nightshade⤴️ Отравленные им изображения скармливали Stable Diffusion. В итоге нейросеть верила, что машина — это корова, сумка — тостер, шляпа — торт.
Такой саботаж в перспективе может серьёзно замедлить прогресс в генерации изображений, поскольку технологическим компаниям придётся кропотливо находить и удалять каждый поврежденный образец.
В теории, если производители ИИ-моделей не смогут придумать пути обхода, им придётся платить художникам за использование контента. Уж лучше купить проверенную базу, чем испортить всю модель «отравленными» материалами для обучения.
Раз на законодательном уровне использование авторских материалов для обучения искусственного интеллекта пока не запрещается, художники решили взять дело в свои руки. Уникальный по своей сути инструмент Nightshade помогает иллюстраторам защитить свои работы от использования в целях обучения моделей ИИ.
Инструмент добавляет пиксели в изображение таким образом, что картинка не распознаётся моделями вроде DALL-E, Midjourney и Stable Diffusion. С помощью таких пикселей можно даже убедить ИИ, что собака, изображенная на картинке — это кошка. В итоге, использование «испорченных» Nightshade картинок искажает распознавание объектов.
Любопытно, что Nightshade — как и многие модели генеративного ИИ — продукт с открытым исходным кодом.
Nightshade пригодится художникам, которые хотят выставлять свои работы в интернет, но не желают, чтобы их интеллектуальная собственность использовалась в массивах данных для обучения ИИ. Пиксели, которые добавляет в изображение Nightshade, незаметны человеческому глазу — зато доставляют много неприятностей ИИ-моделям, приводя к сбоям в распознавании.
На картинке — результат работы Nightshade
Такой саботаж в перспективе может серьёзно замедлить прогресс в генерации изображений, поскольку технологическим компаниям придётся кропотливо находить и удалять каждый поврежденный образец.
В теории, если производители ИИ-моделей не смогут придумать пути обхода, им придётся платить художникам за использование контента. Уж лучше купить проверенную базу, чем испортить всю модель «отравленными» материалами для обучения.
Please open Telegram to view this post
VIEW IN TELEGRAM
👍2
Ироничная и полезная презентация для ИБ малого и среднего бизнеса.
https://github.com/malwarejake-public/conference-presentations/blob/main/2023-MalwareJake-Security_for_SMBs.pdf
https://github.com/malwarejake-public/conference-presentations/blob/main/2023-MalwareJake-Security_for_SMBs.pdf
GitHub
conference-presentations/2023-MalwareJake-Security_for_SMBs.pdf at main · malwarejake-public/conference-presentations
Conference presentations. Contribute to malwarejake-public/conference-presentations development by creating an account on GitHub.
Forwarded from SecAtor
VMware выпустила исправления для критической RCE-уязвимости сервера vCenter Server.
Проблема отслеживается как CVE-2023-34048 и имеет оценку CVSS: 9,8, была обнаружена и раскрыта Григорием Дородновым из Trend Micro Zero Day Initiative.
Она описывается как уязвимость записи за пределами допустимого диапазона в реализации протокола DCE/RPC, что может быть использовано злоумышленником, имеющим сетевой доступ к vCenter Server, и потенциально может привести к RCE.
В VMware отмечают, что обходных путей для устранения этого недостатка не существует, кроме как соответствующих обновлений, которые доступны в следующих версиях ПО: VMware vCenter Server 8.0 (8.0U1d или 8.0U2), Сервер VMware vCenter 7.0 (7.0U3o) и VMware Cloud Foundation 5.x и 4.x.
Учитывая критичность уязвимости и отсутствие временных мер по ее смягчению, поставщик также представил патч для vCenter Server 6.7U3, 6.5U3 и VCF 3.x.
Последнее обновление дополнительно устраняет CVE-2023-34056 (оценка CVSS: 4,3), уязвимость частичного раскрытия информации, влияющую на vCenter, которая может позволить злоумышленнику с неадминистративными привилегиями получить доступ к неавторизированным данным.
Как заявляет VMware, ей не известно об использовании ошибок в реальных условиях, но настоятельно рекомендует клиентам действовать оперативно и как можно скорее применить исправления для нейтрализации любых потенциальных угроз.
Проблема отслеживается как CVE-2023-34048 и имеет оценку CVSS: 9,8, была обнаружена и раскрыта Григорием Дородновым из Trend Micro Zero Day Initiative.
Она описывается как уязвимость записи за пределами допустимого диапазона в реализации протокола DCE/RPC, что может быть использовано злоумышленником, имеющим сетевой доступ к vCenter Server, и потенциально может привести к RCE.
В VMware отмечают, что обходных путей для устранения этого недостатка не существует, кроме как соответствующих обновлений, которые доступны в следующих версиях ПО: VMware vCenter Server 8.0 (8.0U1d или 8.0U2), Сервер VMware vCenter 7.0 (7.0U3o) и VMware Cloud Foundation 5.x и 4.x.
Учитывая критичность уязвимости и отсутствие временных мер по ее смягчению, поставщик также представил патч для vCenter Server 6.7U3, 6.5U3 и VCF 3.x.
Последнее обновление дополнительно устраняет CVE-2023-34056 (оценка CVSS: 4,3), уязвимость частичного раскрытия информации, влияющую на vCenter, которая может позволить злоумышленнику с неадминистративными привилегиями получить доступ к неавторизированным данным.
Как заявляет VMware, ей не известно об использовании ошибок в реальных условиях, но настоятельно рекомендует клиентам действовать оперативно и как можно скорее применить исправления для нейтрализации любых потенциальных угроз.
https://github.com/MISP/misp-wireshark/releases Вышла версия 1.1 популярного плагина с поддержкой tshark. Плагин используется для перевода сессий Wireshark в формат для MISP.
GitHub
Releases · MISP/misp-wireshark
Lua plugin to extract data from Wireshark and convert it into MISP format - MISP/misp-wireshark
Forwarded from DevSecOps Talks
Semgrep: Secrets
Всем привет!
Расширение продуктовой линейки Semgrep – к статическому анализатору (SAST) и анализатору open source компонентов (SCA) добавился еще один продукт – Semgrep Secrets.
«О, еще один!» - можете подумать Вы. Однако, если верить описанию, это «чуть больше, чем просто регулярки».
Он обладает функционалом семантического анализа и возможностью проверки «использования» секрета. Это позволяет сократить количество "шума" в результатах.
Например:
🍭 Не только найти
🍭 Найти
Все эти примеры и не только отлично описаны в статье. Единственный нюанс – решение доступно в public beta через запрос команде Semgrep. Станет ли он платным (как SCA) или будет доступен массам бесплатно (хотя бы частично) – пока непонятно.
Всем привет!
Расширение продуктовой линейки Semgrep – к статическому анализатору (SAST) и анализатору open source компонентов (SCA) добавился еще один продукт – Semgrep Secrets.
«О, еще один!» - можете подумать Вы. Однако, если верить описанию, это «чуть больше, чем просто регулярки».
Он обладает функционалом семантического анализа и возможностью проверки «использования» секрета. Это позволяет сократить количество "шума" в результатах.
Например:
🍭 Не только найти
password, но и «понять», что он находится в параметрах new pg()
🍭 Найти переменные, которые передаются при установлении соединения с базой данных и убедиться, что переменные представляют из себя hardcoded string🍭 Найти
api-key и проверить, что он является активным и может быть использованВсе эти примеры и не только отлично описаны в статье. Единственный нюанс – решение доступно в public beta через запрос команде Semgrep. Станет ли он платным (как SCA) или будет доступен массам бесплатно (хотя бы частично) – пока непонятно.
Semgrep
Semantic Analysis for Secrets Detection | Blog
Avoid disclosing credentials, secrets, or keys in source-code with Semgrep Secrets; using semantic analysis, entropy analysis, & validation for high accuracy.
Нет треков для оргчасти и бизнесс-ИБ, но в целом очень полезно для планирования карьеры
Forwarded from Кибербез образование (Dima Fedorov)
Треки развития карьеры в ИБ:
- аналитик SOC;
- администратор СЗИ;
- инженер по безопасности приложений;
- пентестер;
- реверсер.
👉 Обновил навигацию на схеме: https://dfedorov.spb.ru/edu/
- аналитик SOC;
- администратор СЗИ;
- инженер по безопасности приложений;
- пентестер;
- реверсер.
Please open Telegram to view this post
VIEW IN TELEGRAM
👍5
Forwarded from Секьюрно
В сентябре в Лондоне прошел трехдневный саммит Gartner Security & Risk Management Summit 2023. Вступительная презентация Gartner была посвящена мифам, укоренившимся в кибербезе:
Вместо того, чтобы собирать огромный объем данных, проводить сложные расчеты вероятности киберсобытий, лучше использовать подход минимальной эффективной аналитики. Для этого предлагается использовать показатели, ориентированные на результат (ODM), связывающие операционные показатели и риски ИБ с бизнес-задачами, которые они поддерживают
Предлагается использовать минимально эффективный набор инструментов ИБ, что должно позволить повысить уровень контроля за архитектурой ИБ, упростить ее и снизить риск несовместимости используемых решений. Для поддержания простоты и совместимости Gartner предлагает смотреть в сторону «ячеистой архитектуры кибербезопасности» (CSMA)
Предлагается спускать меры ИБ для реализации на уровни ИТ, например на уровень бизнес-аналитиков, чтобы снизить нагрузку на ИБ-специалистов и не нанимать новых специалистов. По мнению Gartner ИБ часто является «бутылочным горлышком» при цифровой трансформации и вместо того, чтобы тормозить процесс «так как только профессионалы в ИБ скажут как надо делать» и пытаться найти экспертов нужно идти в сторону демократизации экспертных знаний
Добавление новых контролей ИБ часто приводит к обратным результатам. ИБ не должно стать препятствием в достижении бизнес-целей, дополнительные меры контроля и удобство пользователей должны быть сбалансированы. И вообще «средства контроля, которые обходятся, хуже, чем их полное отсутствие.»
А что думаете вы?
#gartner
Please open Telegram to view this post
VIEW IN TELEGRAM
Gartner
Gartner Security & Risk Management Summit 2023 London: Day 1 Highlight
Read the highlights from Day 1 at the Gartner Security & Risk Management Summit 2023 in London, U.K. #GartnerSEC #CISO
Forwarded from Positive Technologies
Слушайте открытую лекцию Алексея Лукацкого, бизнес-консультанта по ИБ Positive Technologies, «Кибербезопасность — направление для профессий будущего» 31 октября в 19:00. Регистрируйтесь заранее и смотрите онлайн.
Алексей расскажет:
😎 Что такое кибербезопасность и почему профессия, связанная с защитой информации, всегда была и останется актуальной.
😱 С какими вызовами приходится сталкиваться таким специалистам и как они могут помешать появлению растений-убийц.
😲 Как работают современные кибермошенники: от взлома АЭС до весьма своеобразных методов взлома биометрии и социальной инженерии.
@Positive_Technologies
#PositiveЭксперты
Please open Telegram to view this post
VIEW IN TELEGRAM