Forwarded from PWN AI (Artyom Semenov)
Кто-то знает бенчмарки для оценки генерации кода (на безопасность) ? Кроме PurpleLlama. Напишите пожалуйста в личку @wearetyomsmnv.
GitHub
PurpleLlama/CybersecurityBenchmarks/insecure_code_detector at main · meta-llama/PurpleLlama
Set of tools to assess and improve LLM security. Contribute to meta-llama/PurpleLlama development by creating an account on GitHub.
Forwarded from PWN AI (Artyom Semenov)
PWN AI
Кто-то знает бенчмарки для оценки генерации кода (на безопасность) ? Кроме PurpleLlama. Напишите пожалуйста в личку @wearetyomsmnv.
Пока имеем это
https://github.com/aryakvnust/LLMSecGuard
https://github.com/tuhh-softsec/LLMSecEval
https://github.com/s2e-lab/SecurityEval
спасибо кто откликнулся.
https://github.com/aryakvnust/LLMSecGuard
https://github.com/tuhh-softsec/LLMSecEval
https://github.com/s2e-lab/SecurityEval
спасибо кто откликнулся.
GitHub
GitHub - aryakvnust/LLMSecGuard: LLM Security Guard for Code
LLM Security Guard for Code. Contribute to aryakvnust/LLMSecGuard development by creating an account on GitHub.
Forwarded from PR machine
Как проверить готовы ли PR к кибератаке?
Тот случай, когда лучше не в бою. Уже лет 15, если не больше, слышу про бумажную безопасность и про подход "пока не грянет" и "авось пронесет". Так думать в 2024 — это примерно, как закрывать глаза руками и говорить «я в домике».
Ведь вы, пиарщики и внутриком, будете оплотом зыбкой надежды вырулить из репутационного кризиса. Это вам придется отрабатыватьпотоки шитсторма — утечку, атаку шифровальщика или любой другой киберинцидент не только в паблике, но и внутри компании. Примеры вы видели. Так как понять — вы готовы?
Задаем себе нехитрые контрольные вопросы. Если ответы будут «нет» хотя бы на три, пока вы не помогаете себе сэкономить время и отработать антикризисные меры, если с кибератакой столкнется ваша компания:
🔠 У вас в компании сформирована антикризисная рабочая группа, куда, помимо остальных специалистов, входит PR и внутренние коммуникации?
🔠 В компании создан регламент, план, чек-лист по реагированию на кибератаку?
🔠 PR, SMM, маркетинг и внутренние коммуникации принимали участие в составлении такого плана?
🔠 У вас есть общий канал для координации и оперативной связи друг с другом, в случае если компания атакована?
🔢 Вы хотя бы раз были участником тестовых киберучений, отработки симуляции атаки внутри и снаружи?
Это база, в реальности вопросов и процессов вокруг инцидента с кибератакой в разы больше. Но с этого чек-листа стоит начать.
Ну как? Сколько "да" набрали?
#кибербез #антикризис
Тот случай, когда лучше не в бою. Уже лет 15, если не больше, слышу про бумажную безопасность и про подход "пока не грянет" и "авось пронесет". Так думать в 2024 — это примерно, как закрывать глаза руками и говорить «я в домике».
Ведь вы, пиарщики и внутриком, будете оплотом зыбкой надежды вырулить из репутационного кризиса. Это вам придется отрабатывать
Задаем себе нехитрые контрольные вопросы. Если ответы будут «нет» хотя бы на три, пока вы не помогаете себе сэкономить время и отработать антикризисные меры, если с кибератакой столкнется ваша компания:
Это база, в реальности вопросов и процессов вокруг инцидента с кибератакой в разы больше. Но с этого чек-листа стоит начать.
Ну как? Сколько "да" набрали?
#кибербез #антикризис
Please open Telegram to view this post
VIEW IN TELEGRAM
👍1
Приближается конец года и вне зависимости от принадлежности к chapter, хорошей практикой для владельцев сертификатов является начать заполнять CPE за этот год.
👍4
Видео с конференции в Стокгольме https://www.sec-t.org/
https://youtube.com/playlist?list=PLv84MTo7Io20NL8jnkJYJX2CKr_lUfJRs
https://youtube.com/playlist?list=PLv84MTo7Io20NL8jnkJYJX2CKr_lUfJRs
Forwarded from BESSEC
Не так часто на хабре попадаются не просто полезные материалы, но еще интересные (сугубо личный опыт) 👨💻 Буквально на днях случайно нарвался на статью команды ИБ Wildberries 🛍 , которая довольно подробно (по целям и технически) описывает создание собственного #РАМ на основе Teleport для Linux и с FIDO2.
Рекомендую к ознакомлению!🫡
Рекомендую к ознакомлению!
Please open Telegram to view this post
VIEW IN TELEGRAM
Хабр
Строим свой PAM на основе Teleport
На связи команда Безопасности Wildberries — сегодня расскажем, как построить PAM на основе Teleport. Эту статью по мотивам нашего доклада на PHDays для вас подготовили...
Forwarded from AlexRedSec
Gartner констатирует, что многие организации продолжают использовать одинаковый набор мер для защиты серверной инфраструктуры и конечных устройств, несмотря на подверженность их разным угрозам, различия в бизнес-критичности и ценности этих активов⚠️
Чтобы грамотно и последовательно запланировать внедрение соответствующих мер защиты, Gartner предлагает воспользоваться их "пирамидой приоритизации" (🖥 см. первый скрин).
В целом, всё довольно правильно расписано: такие базовые вещи как харденинг, управление конфигурациями, уязвимостями и модное управление экспозициями (exposure management), приправленное инструментами по управлению доступом (PAM, MFA и пр.), должно применяться в первую очередь и везде независимо от типа актива (сервер или ноутбук сотрудника). Далее же идёт логичное разделение, но, конечно же, все нюансы учесть сложно, поэтому вышеуказанная пирамида не идеал и задает лишь основное направление при типовом использовании актива. Например, на следующем (после базового) уровне для конечных устройств рекомендуется внедрение защиты от вредоносного ПО, в то время как для серверов это самый последний шаг. Однако, если сервер выполняет роль файловой шары, то, конечно же, мы не будем откладывать внедрение антивирусного ПО на потом💻
В то же время, Gartner напоминает о необходимости повсеместного контроля и уменьшения поверхности атаки, а также выдает рекомендации по использованию соответствующих мер для разного типа активов (🖥 см. второй скрин).
Источник: Prioritize Security Controls for Enterprise Servers and End-User Endpoints by Gartner.
#controls #gartner
Чтобы грамотно и последовательно запланировать внедрение соответствующих мер защиты, Gartner предлагает воспользоваться их "пирамидой приоритизации" (
В целом, всё довольно правильно расписано: такие базовые вещи как харденинг, управление конфигурациями, уязвимостями и модное управление экспозициями (exposure management), приправленное инструментами по управлению доступом (PAM, MFA и пр.), должно применяться в первую очередь и везде независимо от типа актива (сервер или ноутбук сотрудника). Далее же идёт логичное разделение, но, конечно же, все нюансы учесть сложно, поэтому вышеуказанная пирамида не идеал и задает лишь основное направление при типовом использовании актива. Например, на следующем (после базового) уровне для конечных устройств рекомендуется внедрение защиты от вредоносного ПО, в то время как для серверов это самый последний шаг. Однако, если сервер выполняет роль файловой шары, то, конечно же, мы не будем откладывать внедрение антивирусного ПО на потом
В то же время, Gartner напоминает о необходимости повсеместного контроля и уменьшения поверхности атаки, а также выдает рекомендации по использованию соответствующих мер для разного типа активов (
Источник: Prioritize Security Controls for Enterprise Servers and End-User Endpoints by Gartner.
#controls #gartner
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
👍3
https://www.microsoft.com/en-us/security/blog/2024/09/23/securing-our-future-september-2024-progress-update-on-microsofts-secure-future-initiative-sfi/
Хороший пример отчета по ИБ для рынка. Затрагивает почти каждого в ИТ.
Хороший пример отчета по ИБ для рынка. Затрагивает почти каждого в ИТ.
Microsoft Security Blog
Progress update on Microsoft’s Secure Future Initiative | Microsoft Security Blog
Read more about the key updates and milestones of Microsoft's Secure Future Initiative in the September 2024 SFI Progress Report.
Видео с конференции по практической безопасности Бельгии BruCON
https://www.youtube.com/playlist?list=PLtb1FJdVWjUexj8SH95nfQFxuzvZHlSqs
https://www.youtube.com/playlist?list=PLtb1FJdVWjUexj8SH95nfQFxuzvZHlSqs
YouTube
BruCON 0x10
Share your videos with friends, family, and the world
Forwarded from Positive Technologies
Выпустили вам в помощь наш первый общедоступный фреймворк — AppSec Table Top, который можно скачать на нашем сайте.
🤔 Зачем нам это?
Индустрия безопасной разработки в России еще относительно молода, а западные подходы не всегда применимы в реалиях отечественного бизнеса. Поэтому мы создали собственную методологию. В ней учтена передовая экспертиза Positive Technologies в области application security, а также лучшие российские практики и зарубежные наработки.
«Описанные в методологии практики и пути их реализации помогают бизнесу выстроить процессы безопасной разработки так, чтобы уязвимостей было меньше, их обнаруживали раньше, а исправление стоило дешевле и было проще. Компания может выполнить любой из этапов как полностью своими силами, так и с нашей помощью, чтобы гарантированно и максимально безболезненно для команды получить хороший результат», — рассказал Евгений Иляхин, архитектор процессов безопасной разработки Positive Technologies.
Скачивайте гайдлайн на сайте, а дальше... вы будете знать, что делать.
@Positive_Technologies
Please open Telegram to view this post
VIEW IN TELEGRAM