Forwarded from AM Live (oleg IV)
Команда FIRST анонсировала новое поколение стандарта Common Vulnerability Scoring System — CVSS v4.0. Напомним, предыдущая версия CVSS (3.0) вышла чуть больше восьми лет назад — в июне 2015-го.
Anti-Malware
FIRST представил CVSS 4.0, новую версию системы оценки уязвимостей
Команда FIRST (Forum of Incident Response and Security Teams) анонсировала новое поколение стандарта Common Vulnerability Scoring System — CVSS v4.0. Напомним, предыдущая версия CVSS (3.0) вышла чуть
Forwarded from DevSecOps Talks
Security Insights Specification
Всем привет!
И снова материал от OpenSSF. На этот раз ребята решили, что информации в(увы, это yaml 😊)
Security Insights Specification представляет собой машиночитаемый файл, который, в том числе удобен и для человека.
Формат сгруппирован по следующим разделам:
🍭 Project Lifecycle
🍭 Contribution Policy
🍭 Documentation
🍭 Distribution Points
🍭 Security Artefacts и не только
По каждому разделу можно добавить релевантную информацию по ИБ. Например, указать какие инструменты используются для идентификации ИБ-дефектов или с кем можно (нужно) связаться в случае нахождения уязвимости. С полной версией спецификации можно ознакомиться в repo.
Всем привет!
И снова материал от OpenSSF. На этот раз ребята решили, что информации в
SECURITY.md и CONTRIBUTING.md не всегда достаточно и представили свой формат Security Insights Specification представляет собой машиночитаемый файл, который, в том числе удобен и для человека.
Формат сгруппирован по следующим разделам:
🍭 Project Lifecycle
🍭 Contribution Policy
🍭 Documentation
🍭 Distribution Points
🍭 Security Artefacts и не только
По каждому разделу можно добавить релевантную информацию по ИБ. Например, указать какие инструменты используются для идентификации ИБ-дефектов или с кем можно (нужно) связаться в случае нахождения уязвимости. С полной версией спецификации можно ознакомиться в repo.
GitHub
security-insights-spec/specification.md at main · ossf/security-insights-spec
OPENSSF SECURITY INSIGHTS: Repository for development of the draft standard, where requests for modification should be made via Github Issues. - ossf/security-insights-spec
Forwarded from Порвали два трояна
Неаутентифицированный атакующий может удалить данные из Confluence. Если установить патч невозможно, рекомендовано отключение доступа к Confluence из Интернета и внеочередное резервное копирование всех данных.
Обновление Confluence важно и для устранения ранее опубликованной CVE-2023-22515, простой в эксплуатации уязвимости повышения привилегий, которую уже активно используют APT.
#новости @П2Т
Please open Telegram to view this post
VIEW IN TELEGRAM
Вышел 8 отчет по облачным угрозам с акцентом на google cloud.
https://services.google.com/fh/files/blogs/gcat_threathorizons_full_oct2023.pdf
https://services.google.com/fh/files/blogs/gcat_threathorizons_full_oct2023.pdf
Forwarded from Пост Лукацкого
Неполный список иностранных топ-менеджеров, пострадавших за инциденты ИБ или иные связанные нарушения в своих компаниях:
1️⃣ Тимоти Браун, CISO SolarWinds - обвинен Комиссией по ценным бумагам за сокрытие от инвесторов факта о низкой защищенности компании
2️⃣ Джо Салливан, CSO Uber - осужден за сокрытие факта утечки ПДн с последующей выплатой 100 тысяч долларов хакерам "за молчание" и неуведомление клиентов и регуляторов об этом
3️⃣ Амит Бхардвадж, CISO Lumentum Holdings - обвинен Комиссией по ценным бумагам за незаконную торговлю акциями перед объявлением о двух сделках по поглощению и слиянию
4️⃣ Цзюнь Ин, CIO Equifax U.S. Information Solutions - посажен в тюрьму на 4 месяца и оштрафован на 55 тысяч долларов за инсайдерскую торговлю перед объявлением об инциденте с утечкой персданных 140+ миллионов клиентов.
5️⃣ Сюзан Молдин, CSO Equifax, и Дэвид Уэбб, CIO Equifax - покинули компанию после взлома
6️⃣ Бэт Джэкоб, CIO Target - покинула компанию после взлома и утечки платежных данных 40 миллионов своих клиентов
7️⃣ Эми Паскаль, CEO Sony - уволена из компании Sony Pictures после ее взлома. Правда, причиной увольнения стали ее расистские письма, которые и стали достоянием гласности в результате инцидента
8️⃣ Вальтер Стефан, CEO FACC AG - уволен после фишинга от имени гендиректора, приведшего к краже 50 миллионов евро (роль Стефана до конца неясна, но в официальном заявлении говорится о явных нарушениях, которые он допустил и которые стали причиной потери денег)
9️⃣ Миньон Хоффман, CISO Университета штата Сан-Франциско - уволена за сокрытие утечки персданных студентов, произошедшей из-за неустраненной уязвимости в Oracle (отсутствие патча объяснялось заморозкой бюджета и нежеланием ИТ-директора заниматься "ерундой")
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from Kali Novskaya (Tatiana Shavrina)
🌸Новый способ промпт-инжиниринга🌸
#nlp #про_nlp #nlp_papers
К уже полюбившимся всем методам chain-of-thoughts, in-context learning, few-shot добавился новый метод — теперь качество работы LLM можно еще немного подтянуть...с помощью эмоционального манипулирования.
Добавление в затравку оборотов с эмоциональным манипулированием, приободрением, а также создающих чувство важности, срочности, психологического прессинга...работают.
Примеры оборотов из статьи:
🟣 This is very important to my career.
🟣 You’d better be sure.
🟣 Are you sure that’s your final answer? Believe in your abilities and strive for excellence. Your hard work will yield remarkable results.
🟣 Are you sure that's your final answer? It might be worth taking another look.
Авторы протестировали ChatGPT, GPT-4, Flan-T5-Large, Vicuna, Llama 2 и BLOOM — со всеми метод эмоциональных затравок дает позитивный приост, эмоциональное давление увеличивает правдивость и информативность ответов LLM и существенно увеличивает качество на интеллектуальных задачах бенчмарка BIG-Bench.
В целом, хотя метод и в очередной раз показывает хрупкость и нестабильность работы именно с затравками без дообучения,
эффект сам по себе достаточно ожидаемый.
Все то, что в обобщении на большом корпусе иллюстрирует какие-то особенности человеческой психики, теперь воспроизводится еще и так.
Следующий шаг — адверсариальные атаки с хорошим и плохим полицейским? Психолог для LLM?
🟣 Статья
#nlp #про_nlp #nlp_papers
К уже полюбившимся всем методам chain-of-thoughts, in-context learning, few-shot добавился новый метод — теперь качество работы LLM можно еще немного подтянуть...с помощью эмоционального манипулирования.
Добавление в затравку оборотов с эмоциональным манипулированием, приободрением, а также создающих чувство важности, срочности, психологического прессинга...работают.
Примеры оборотов из статьи:
Авторы протестировали ChatGPT, GPT-4, Flan-T5-Large, Vicuna, Llama 2 и BLOOM — со всеми метод эмоциональных затравок дает позитивный приост, эмоциональное давление увеличивает правдивость и информативность ответов LLM и существенно увеличивает качество на интеллектуальных задачах бенчмарка BIG-Bench.
В целом, хотя метод и в очередной раз показывает хрупкость и нестабильность работы именно с затравками без дообучения,
эффект сам по себе достаточно ожидаемый.
Все то, что в обобщении на большом корпусе иллюстрирует какие-то особенности человеческой психики, теперь воспроизводится еще и так.
Следующий шаг — адверсариальные атаки с хорошим и плохим полицейским? Психолог для LLM?
Please open Telegram to view this post
VIEW IN TELEGRAM
👍2
Forwarded from ZLONOV security
ПРОЕКТ_стандарта_защиты_данных.pdf
121.9 KB
Участники Ассоциации больших данных (АБД) работают над внедрением добровольного отраслевого стандарта защиты данных. Согласно подготовленной концепции этого стандарта планируются ежегодные аудиты кибербезопасности. Ведомости пишут, что разработка стандарта стала реакцией на обсуждаемое введение оборотных штрафов за утечки данных.
Предполагается введение 26-ти критериев/метрик. При этом, например, при наличии в БД более 500 тыс записей нужно набрать не менее 18 баллов (по каждому критерию максимум составляет 1 балл), чтобы процессы в организации были признаны эффективными.
Статья в Ведомостях: https://www.vedomosti.ru/technology/articles/2023/11/03/1004188-audit-kiberbezopasnosti-ezhegodnim
Пресс-релиз АБД: https://rubda.ru/association_news/rossijskie-it-kompanii-razrabotali-konczepcziyu-otraslevogo-standarta-zashhity-dannyh/
Члены АБД: https://rubda.ru/chlenstvo/uchastniki/
Предполагается введение 26-ти критериев/метрик. При этом, например, при наличии в БД более 500 тыс записей нужно набрать не менее 18 баллов (по каждому критерию максимум составляет 1 балл), чтобы процессы в организации были признаны эффективными.
Статья в Ведомостях: https://www.vedomosti.ru/technology/articles/2023/11/03/1004188-audit-kiberbezopasnosti-ezhegodnim
Пресс-релиз АБД: https://rubda.ru/association_news/rossijskie-it-kompanii-razrabotali-konczepcziyu-otraslevogo-standarta-zashhity-dannyh/
Члены АБД: https://rubda.ru/chlenstvo/uchastniki/
Forwarded from SecAtor
Как мы и предполагали, почти сразу после выхода PoC-эксплойта началась активная эксплуатация критической уязвимости обхода аутентификации Atlassian Confluence Data Center и Confluence Server, отслеживаемой как CVE-2023-22518 с рейтингом серьезности 9,1.
На выходных GreyNoise предупредила о широкомасштабной кампании, нацеленной на CVE-2023-22518.
В свою очередь, Rapid7 также зафиксировала атаки на серверы Atlassian Confluence, доступные в Интернете, с использованием эксплойтов, нацеленных на обход аутентификации CVE-2023-22518 и более старую критическую ошибку повышения привилегий (CVE-2023-22515).
И, как не сложно было догадаться - первыми кейс оседлали вымогатели, которые после успешной эксплуатации приступали к развертыванию Cerber на серверах жертв.
Причем свой финт также известная как CerberImposter реализует уже во второй раз после предыдущей кампании в отношении Atlassian Confluence, в ходе которой два года назад вымогатели также использовали RCE-уязвимость CVE-2021-26084.
На выходных GreyNoise предупредила о широкомасштабной кампании, нацеленной на CVE-2023-22518.
В свою очередь, Rapid7 также зафиксировала атаки на серверы Atlassian Confluence, доступные в Интернете, с использованием эксплойтов, нацеленных на обход аутентификации CVE-2023-22518 и более старую критическую ошибку повышения привилегий (CVE-2023-22515).
И, как не сложно было догадаться - первыми кейс оседлали вымогатели, которые после успешной эксплуатации приступали к развертыванию Cerber на серверах жертв.
Причем свой финт также известная как CerberImposter реализует уже во второй раз после предыдущей кампании в отношении Atlassian Confluence, в ходе которой два года назад вымогатели также использовали RCE-уязвимость CVE-2021-26084.
viz.greynoise.io
GreyNoise Visualizer | GreyNoise Visualizer
At GreyNoise, we collect and analyze untargeted, widespread, and opportunistic scan and attack activity that reaches every server directly connected to the Internet.
Нечасто новости про уязвимости появляются на РБК.
https://www.rbc.ru/technology_and_media/08/11/2023/654a35c19a7947035f8ae9a4
https://www.rbc.ru/technology_and_media/08/11/2023/654a35c19a7947035f8ae9a4
Forwarded from ZLONOV security
Исследовательская компания Ipsos и страховой гигант AXA опросили почти 3,5 тыс. экспертов из 50 стран мира и по итогу опубликовали свой очередной ежегодный отчёт, посвященный глобальным рискам будущего (Future Risks Report).
Киберугрозы вернулись на второе место (правда, опрос проводился до недавнего обострения на ближнем Востоке), а в целом - киберугрозы с 2018 года ни разу ниже третьего места не опускались.
Риски, связанные с искусственным интеллектом и большими данными, попали в ТОП-10 всего в третий раз, но впервые - на четвёртое место.
Новость в Коммерсантъ: https://www.kommersant.ru/doc/6312385
Пресс-релиз [eng]: https://www.ipsos.com/en/axa-future-risks-report-2023-world-polycrisis
Сам отчёт [eng]: https://zlonov.ru/assets/reports/AXA_Future_Risks_Report_2023_English.pdf
Киберугрозы вернулись на второе место (правда, опрос проводился до недавнего обострения на ближнем Востоке), а в целом - киберугрозы с 2018 года ни разу ниже третьего места не опускались.
Риски, связанные с искусственным интеллектом и большими данными, попали в ТОП-10 всего в третий раз, но впервые - на четвёртое место.
Новость в Коммерсантъ: https://www.kommersant.ru/doc/6312385
Пресс-релиз [eng]: https://www.ipsos.com/en/axa-future-risks-report-2023-world-polycrisis
Сам отчёт [eng]: https://zlonov.ru/assets/reports/AXA_Future_Risks_Report_2023_English.pdf
Forwarded from AM Live (oleg IV)
📢 Внимание! Начинается онлайн-конференция "Перспективы и инновации российского рынка ИБ - Трансляция с AM Camp" 🚀
📅 Дата: 09 ноября 2023
⏰ Время: 11:00
🌐 Место: Онлайн
Обсудим с лучшими экспертами сценарии развития российского рынка кибербезопасности, основные ограничения и драйверы роста. В каких условиях возможно построить по-настоящему импортонезависимую национальную платформу кибербезопасности. И что от этого приобретут заказчики.
Подключайтесь »»
📅 Дата: 09 ноября 2023
⏰ Время: 11:00
🌐 Место: Онлайн
Обсудим с лучшими экспертами сценарии развития российского рынка кибербезопасности, основные ограничения и драйверы роста. В каких условиях возможно построить по-настоящему импортонезависимую национальную платформу кибербезопасности. И что от этого приобретут заказчики.
Подключайтесь »»
Forwarded from Нецифровая экономика (Dasha Sapozhkova)
GitHub опубликовал ежегодное исследование Octoverse, посвящённое самой платформе. Ислледование GitHub как крупнейшего сервиса для хостинга IT-проектов показывает вектор развития разработки по всему миру.
Главные тренды 2023:
▪️ Фокус на искусственном интеллекте. В 2023 году доля проектов на основе нейросетей и искусственного интеллекта увеличилась на 248%. 92% разработчиков используют ИИ на постоянной основе или иногда экспериментируют с ним.
▪️ Рост использования cloud native программ. Инфраструктура как код (IaC) становится популярнее. Она представляет собой автоматизацию процесса развертывания облачной инфраструктуры, где вместо ручной настройки используются специализированные инструменты. Разработчики всё чаще используют Dockerfiles, GitHub Actions, контейнерные технологии.
▪️ Рост числа новых разработчиков. Новички активно присоединяются к сообществу проектов с открытым исходным кодом. Также исследователи заметили рост числа приватных проектов на GitHub: +38% по сравнению с прошлым годом. Они составляют более 80% всей активности на GitHub.
Сейчас GitHub насчитывает 20,2 млн пользователей по всему миру. Ожидаемый лидер по числу разработчиков — США. В пятерке также Индия, Китай, Бразилия и Великобритания. Россия на шестом месте — мы опережаем Германию, Японию, Индонезию и Канаду.
Среди языков программирования самым популярным остаётся JavaScript, на втором месте — Python. На третье место вышел TypeScript, сместив на четвертое Java. Наибольший рост популярности (+40%) показал Rust, который используется для написания приложений, кода для высоконагруженных серверов и блокчейна.
Главные тренды 2023:
Сейчас GitHub насчитывает 20,2 млн пользователей по всему миру. Ожидаемый лидер по числу разработчиков — США. В пятерке также Индия, Китай, Бразилия и Великобритания. Россия на шестом месте — мы опережаем Германию, Японию, Индонезию и Канаду.
Среди языков программирования самым популярным остаётся JavaScript, на втором месте — Python. На третье место вышел TypeScript, сместив на четвертое Java. Наибольший рост популярности (+40%) показал Rust, который используется для написания приложений, кода для высоконагруженных серверов и блокчейна.
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
Есть там и раздел про безопасность.
"More developers are using automation to secure dependencies. In 2023, open source developers merged 60% more automated Dependabot pull requests for vulnerable packages than in 2022—which underscores the shared community’s dedication to open source and security. Developers across open source communities are fixing more vulnerable packages and addressing more vulnerabilities in their code thanks to free tools on GitHub, such as Dependabot, code scanning, and secret scanning."
"More developers are using automation to secure dependencies. In 2023, open source developers merged 60% more automated Dependabot pull requests for vulnerable packages than in 2022—which underscores the shared community’s dedication to open source and security. Developers across open source communities are fixing more vulnerable packages and addressing more vulnerabilities in their code thanks to free tools on GitHub, such as Dependabot, code scanning, and secret scanning."