Forwarded from PWN AI (Artyom Semenov)
OWASP релизнул гайд по реагированию на дипфейки.
из основного:
Документ говорит о том, что стоит сосредоточится на соблюдении проверенных процедур и политик, нежели на том чтобы обучать сотрудников отличать подделки.
Необходимо внедрить финансовый контроль, чтобы можно было отслеживать факты мошенничества.
Необходимо внедрить на собеседованиях процедуры проверки личности: Требовать дополнительной проверки личности, включая сверку документов и использование сертифицированных систем верификации.
Изменение форматов собеседований: Проводить несколько собеседований разного формата (видео, телефон, личная встреча) для предотвращения мошенничества.
Внедрить управление по инцидентам для таких случаев: Создание плана реагирования на дипфейки, назначение ответственных лиц и регулярное тестирование плана.
Приведены меры по защите для разных групп лиц, TTP и рекомендации по созданию плана реагирования на дипфейки.
из основного:
Документ говорит о том, что стоит сосредоточится на соблюдении проверенных процедур и политик, нежели на том чтобы обучать сотрудников отличать подделки.
Необходимо внедрить финансовый контроль, чтобы можно было отслеживать факты мошенничества.
Необходимо внедрить на собеседованиях процедуры проверки личности: Требовать дополнительной проверки личности, включая сверку документов и использование сертифицированных систем верификации.
Изменение форматов собеседований: Проводить несколько собеседований разного формата (видео, телефон, личная встреча) для предотвращения мошенничества.
Внедрить управление по инцидентам для таких случаев: Создание плана реагирования на дипфейки, назначение ответственных лиц и регулярное тестирование плана.
Приведены меры по защите для разных групп лиц, TTP и рекомендации по созданию плана реагирования на дипфейки.
👍1
Спасибо всем большое за то, что читаете канал.
2000 это значимая цифра.
В комментариях можно оставить обратную связь: что нравится, что не нравится, чего хотелось бы от канала.
2000 это значимая цифра.
В комментариях можно оставить обратную связь: что нравится, что не нравится, чего хотелось бы от канала.
👍11
ISACARuSec
Спасибо всем большое за то, что читаете канал. 2000 это значимая цифра. В комментариях можно оставить обратную связь: что нравится, что не нравится, чего хотелось бы от канала.
image_2024-09-26_20-50-05.png
304.3 KB
Майский отчет гартнер по необходимости защиты runtime в Kubernetes
Ссылка любезно предоставлена рассылкой компании Аква.
Выглядит как уже советы для решивших базовые вопросы по безопасности кубера. Упоминаний бесплатных средств нет.
https://www.gartner.com/doc/reprints?id=1-2IUND3XL&ct=240919
Ссылка любезно предоставлена рассылкой компании Аква.
Выглядит как уже советы для решивших базовые вопросы по безопасности кубера. Упоминаний бесплатных средств нет.
https://www.gartner.com/doc/reprints?id=1-2IUND3XL&ct=240919
Интересный список каналов по ИБ, как минимум, пара микроблогов.
https://news.1rj.ru/str/CyberSachok/2064
На счет первого топа коллеги приукрасили. Первым топом по ИБ (пусть только и на основе по количества подписчиков) является топ Алексея Комарова.
https://zlonov.ru/telegram-security-list-2024/
https://news.1rj.ru/str/CyberSachok/2064
На счет первого топа коллеги приукрасили. Первым топом по ИБ (пусть только и на основе по количества подписчиков) является топ Алексея Комарова.
https://zlonov.ru/telegram-security-list-2024/
Telegram
Sachok
Представляем первый рейтинг Топ — 43 лучших каналов в тематике ИБ в российском Telegram.
Основной критерий ранжирования в рейтинге — качество контента в канале и содержание. Каналы по шкале от 1 до 10 в нашем закрытом опроснике оценивала фокус группа из…
Основной критерий ранжирования в рейтинге — качество контента в канале и содержание. Каналы по шкале от 1 до 10 в нашем закрытом опроснике оценивала фокус группа из…
Формализованный документ от NIST (американского Росстандарта) по подходам тестирования критических моделей машинного обучения (CAIS). Основная идея: если в силу угроз или высокой стоимости саму модель тестировать нельзя - нужно создать и тестировать прокси.
https://csrc.nist.gov/pubs/cswp/31/proxy-validation-and-verification-for-cais/final
https://csrc.nist.gov/pubs/cswp/31/proxy-validation-and-verification-for-cais/final
CSRC | NIST
Proxy Validation and Verification for Critical AI Systems: A Proxy Design Process
This white paper describes a five-phase process that includes identifying or building proxy systems that have high similarity to a Critical AI System (CAIS), representing a kind of validation, and verifying the proxy by creating and testing both use and misuse…
Описание современных ухищрений для рассылки фишинга и спама от Cisco Talos
https://blog.talosintelligence.com/simple-mail-transfer-pirates/
https://blog.talosintelligence.com/simple-mail-transfer-pirates/
Cisco Talos Blog
Simple Mail Transfer Pirates: How threat actors are abusing third-party infrastructure to send spam
Many spammers have elected to attack web pages and mail servers of legitimate organizations, so they may use these “pirated” resources to send unsolicited email.
https://www.cisa.gov/news-events/alerts/2024/09/26/asds-acsc-cisa-and-us-and-international-partners-release-guidance-detecting-and-mitigating-active
Неплохой документ про обнаружение и устранение последствий атак на active directory от CISA и ASD (Американский и Австралийские регуляторы по ИБ)
Неплохой документ про обнаружение и устранение последствий атак на active directory от CISA и ASD (Американский и Австралийские регуляторы по ИБ)
Forwarded from Yandex Cloud: Security
Эксперты Positive Technologies допускают быстрый рост зарплаты ИБ-специалистов до 2030 года. Мы проверили: аномалий пока что нет. В карточках рассказываем, сколько платят специалистам по информационной безопасности и от чего это зависит.
Сообщество обсуждает возможные риски для проекта Zap после найма всех 3 лидов на работу в компанию Checkmarx. Лицензию Апач пока обещают сохрнить.
https://www.zaproxy.org/blog/2024-09-24-zap-has-joined-forces-with-checkmarx/
https://www.zaproxy.org/blog/2024-09-24-zap-has-joined-forces-with-checkmarx/
ZAP
ZAP Has Joined Forces With Checkmarx
This is a huge investment (and vote of confidence) in ZAP and will secure the project’s future success.
https://blog.cloudflare.com/connection-tampering/
Интересное исследование по проблеме подмены трафика в Интернете.
Интересное исследование по проблеме подмены трафика в Интернете.
The Cloudflare Blog
A global assessment of third-party connection tampering
Cloudflare brings visibility to the practice of connection tampering as observed from our global network.
Ряд источников активно обсуждает правки в стандарт NIST Special Publication 800-63-4, где в п.3.1.1.2 явно указано, что пароли теперь не рекомендуется менять на регулярной основе. А только в случае компрометации.
https://pages.nist.gov/800-63-4/sp800-63.html
Есть два важных ньюанса:
1. Это лишь проект стандарта NIST опубликованный для сбора предложений.
2. В случае отмены регулярной смены паролей нужно предусматривать механизмы поиска скомпрометированных паролей и оповещения/сброса.
https://pages.nist.gov/800-63-4/sp800-63.html
Есть два важных ньюанса:
1. Это лишь проект стандарта NIST опубликованный для сбора предложений.
2. В случае отмены регулярной смены паролей нужно предусматривать механизмы поиска скомпрометированных паролей и оповещения/сброса.
Трек security рекомендуется к ознакомлению. Другие треки тоже довольно крепкие по содержанию и применимости.