Forwarded from DevSecOps Assessment Framework (DAF)
Новый релиз DAF!
Всем привет! Спешим поделиться важным событием: очередной релиз DAF случился. В нем мы многое пересмотрели, изменили и улучшили.
Что добавилось и изменилось:
1. Появился маппинг на ПЗ ЦБ - очень важное дополнение DAF для финансовых организаций. Общее количество маппингов достигло 6!
2. Добавили автомаппинг на ГОСТ 56939-2024 (новая вкладка). Это было нелегко, но мы справились, теперь можно проводя аудит по DAF и сразу же получать результат относительно 4х фреймворков - ГОСТ 56939, DSOMM, SAMM, PT Table Top!
3. Актуализировали Карту DAF
4. Изменились названия вкладок:
— Маппинг со стандартами -> Практики
— Heatmap -> Результаты аудита
5. Во вкладке "Результаты аудита" появилась сводная информация по % выполненных практик доменов и поддоменов, а также вычисление текущего уровня зрелости Компании по DAF
6. Добавилась вкладка "Общее, домены, поддомены", концептуально описывающая "что надо защищать" с декомпозицией от общего к частному
7. Во вкладке "Кирилламида" добавился новый вид Кирилламиды с отображением % выполнения практик каждого уровня
8. Исправили битые ссылки, опечатки, прочие косяки с визуаломи добавили новые
Что перенесено на следующий релиз:
1. Новые способы расчета и оформление вкладки "FTE DevSecOps"
Отдельным релизом в октябре выйдет перевод DAF на английский язык. В связи с чем у нас к вам, дорогие друзья, есть просьба: если вы или ваши коллеги\знакомые можете написать и опубликовать материалы (статья, обзор, анонс и пр.) по английской версии DAF на каких-либо зарубежных площадках для англоговорящего коммьюнити Appsec\DevSecOps - дайте нам знать, пожалуйста (можно комментарием под этим постом).
Ну и на сладкое 🍰
Планируем сделать небольшие видеоролики о том, что такое DAF, как он устроен и как правильно им пользоваться. Ждите анонсов!
Всем привет! Спешим поделиться важным событием: очередной релиз DAF случился. В нем мы многое пересмотрели, изменили и улучшили.
Что добавилось и изменилось:
1. Появился маппинг на ПЗ ЦБ - очень важное дополнение DAF для финансовых организаций. Общее количество маппингов достигло 6!
2. Добавили автомаппинг на ГОСТ 56939-2024 (новая вкладка). Это было нелегко, но мы справились, теперь можно проводя аудит по DAF и сразу же получать результат относительно 4х фреймворков - ГОСТ 56939, DSOMM, SAMM, PT Table Top!
3. Актуализировали Карту DAF
4. Изменились названия вкладок:
— Маппинг со стандартами -> Практики
— Heatmap -> Результаты аудита
5. Во вкладке "Результаты аудита" появилась сводная информация по % выполненных практик доменов и поддоменов, а также вычисление текущего уровня зрелости Компании по DAF
6. Добавилась вкладка "Общее, домены, поддомены", концептуально описывающая "что надо защищать" с декомпозицией от общего к частному
7. Во вкладке "Кирилламида" добавился новый вид Кирилламиды с отображением % выполнения практик каждого уровня
8. Исправили битые ссылки, опечатки, прочие косяки с визуалом
Что перенесено на следующий релиз:
1. Новые способы расчета и оформление вкладки "FTE DevSecOps"
Отдельным релизом в октябре выйдет перевод DAF на английский язык. В связи с чем у нас к вам, дорогие друзья, есть просьба: если вы или ваши коллеги\знакомые можете написать и опубликовать материалы (статья, обзор, анонс и пр.) по английской версии DAF на каких-либо зарубежных площадках для англоговорящего коммьюнити Appsec\DevSecOps - дайте нам знать, пожалуйста (можно комментарием под этим постом).
Ну и на сладкое 🍰
Планируем сделать небольшие видеоролики о том, что такое DAF, как он устроен и как правильно им пользоваться. Ждите анонсов!
GitHub
Release 2025.09.30 · Jet-Security-Team/DevSecOps-Assessment-Framework
Список изменений:
Появился маппинг на ПЗ ЦБ - очень важное дополнение DAF для финансовых организаций. Общее количество маппингов достигло 6!
Добавили автомаппинг на ГОСТ 56939-2024 (новая вкладка)...
Появился маппинг на ПЗ ЦБ - очень важное дополнение DAF для финансовых организаций. Общее количество маппингов достигло 6!
Добавили автомаппинг на ГОСТ 56939-2024 (новая вкладка)...
Forwarded from Солдатов в Телеграм
State of Cybersecurity 2025: Глобальный обзор ISACA
Опубликован ежегодный отчет ISACA, основанный на опросе 3800+ киберспециалистов по всему миру. Кратко прескажу о чем там. Кстати, сама же ISACA выпустила дайджест, который можно быстро просмотреть, если нет возможности читать весь отчет. И отчет и дайджест прикладываю.
Кадровый вопрос
- Критическая нехватка: 55% команд не укомплектованы. Хуже всего ситуация в компаниях среднего размера (500-4999 сотрудников).
- Долгий найм: Заполнение вакансий среднего и высшего уровня занимает 3-6 месяцев (39%) или даже больше полугода (25%).
- Новый идеальный кандидат: Адаптивность (61%) впервые обогнала практический опыт (60%) как главный критерий при найме. Компании ищут гибких, бысто адаптирующихся, быстро обучающихся специалистов, а не просто готовых технических экспертов.
- Стресс и выгорание: 66% специалистов считают свою работу более стрессовой, чем 5 лет назад. Главные причины:
-- Усложнение угроз (63%).
-- Завышенные ожидания и объем работы (50%).
-- Дисбаланс между работой и личной жизнью (50%).
- Парадокс удержания: Несмотря на стресс, только 50% компаний испытывают трудности с удержанием персонала — это самый низкий показатель с 2020 года ("Эра Большого Удержания"). Люди уходят из-за высокого стресса, ограниченных возможностей для роста и, кто бы сомневался, предложений от других компаний.
- Сокращение льгот: Работодатели сокращают инвестиции в сотрудников: оплата сертификатов упала на 11 п.п. (с 65% до 54%), компенсация обучения — на 5 п.п.
Тревожные тенденции
- Старение персонала: Самая большая возрастная группа - 45-54 года (35%), а молодежи (до 35 лет) становится меньше. Надвигается кризис преемственности и нехватки опытных руководителей.
- Растущий разрыв в навыках:
-- Софт-скиллы — главный пробел (59%, +8 п.п.). На первом месте: критическое мышление (57%), коммуникация (56%), решение проблем (47%).
-- Технические навыки: Самые большие пробелы — облачные вычисления (37%), безопасность данных (33%), LLM SecOps (33%).
- Слабая подготовка новичков: Только 27% опрошенных согласны, что выпускники вузов готовы к работе. Основные пробелы у джунов: реагирование на инциденты, безопасность данных, обнаружение угроз.
Операционка и бюджетирование
- Бюджетный пессимизм: Лишь 41% ждут роста бюджетов (в 2024 было 47%, -6 п.п.). 18% прогнозируют сокращение.
- Поддержка совета директоров — ключевой фактор успеха: Там, где Совет адекватно приоритезирует инвестиции в кибербезопасность (56%):
-- на 95% выше вероятность, что стратегия безопасности совпадает с бизнес-целями.
-- Команды чувствуют себя увереннее (56% против 21%).
-- Бюджеты реже считают недостаточными (35% против 74%).
-- Лучше удерживают персонал (48% против 64%).
- Оценка рисков: 11% компаний проводят ее ежемесячно (+3 п.п.). Главные препятствия: нехватка времени (35%) и персонала (30%).
Риски и угрозы
- Рост атак: 35% компаний сообщают о росте числа кибератак (небольшое снижение в сравнении с 2024).
- Основные векторы атак: Социальная инженерия (44%), уязвимости (37%), вредоносное ПО и инсайдеры (по 26%).
- Низкая уверенность: Лишь 41% полностью или очень уверены в способности своей команды обнаруживать и реагировать на угрозы.
- Проблема недостаточной отчетности: 56% респондентов считают, что компании замалчивают киберинциденты.
Искусственный интеллект
- ИИ в защите: Растет использование ИИ для автоматизации обнаружения угроз (32%), защиты конечных точек (30%) и облегчения рутинных задач (28%).
- Безопасники подключаются: активно участвуют в жизненном цикле ИИ:
-- 40% (+11 п.п.) вовлечены в разработку и внедрение ИИ-решений.
-- 47% (+12 п.п.) участвуют в создании политик использования ИИ.
- ИИ и зрелость: компании, не проводящие оценку рисков, в 44% случаев не используют ИИ для безопасности, что говорит о взвешенном подходе к новым рискам.
Опубликован ежегодный отчет ISACA, основанный на опросе 3800+ киберспециалистов по всему миру. Кратко прескажу о чем там. Кстати, сама же ISACA выпустила дайджест, который можно быстро просмотреть, если нет возможности читать весь отчет. И отчет и дайджест прикладываю.
Кадровый вопрос
- Критическая нехватка: 55% команд не укомплектованы. Хуже всего ситуация в компаниях среднего размера (500-4999 сотрудников).
- Долгий найм: Заполнение вакансий среднего и высшего уровня занимает 3-6 месяцев (39%) или даже больше полугода (25%).
- Новый идеальный кандидат: Адаптивность (61%) впервые обогнала практический опыт (60%) как главный критерий при найме. Компании ищут гибких, бысто адаптирующихся, быстро обучающихся специалистов, а не просто готовых технических экспертов.
- Стресс и выгорание: 66% специалистов считают свою работу более стрессовой, чем 5 лет назад. Главные причины:
-- Усложнение угроз (63%).
-- Завышенные ожидания и объем работы (50%).
-- Дисбаланс между работой и личной жизнью (50%).
- Парадокс удержания: Несмотря на стресс, только 50% компаний испытывают трудности с удержанием персонала — это самый низкий показатель с 2020 года ("Эра Большого Удержания"). Люди уходят из-за высокого стресса, ограниченных возможностей для роста и, кто бы сомневался, предложений от других компаний.
- Сокращение льгот: Работодатели сокращают инвестиции в сотрудников: оплата сертификатов упала на 11 п.п. (с 65% до 54%), компенсация обучения — на 5 п.п.
Тревожные тенденции
- Старение персонала: Самая большая возрастная группа - 45-54 года (35%), а молодежи (до 35 лет) становится меньше. Надвигается кризис преемственности и нехватки опытных руководителей.
- Растущий разрыв в навыках:
-- Софт-скиллы — главный пробел (59%, +8 п.п.). На первом месте: критическое мышление (57%), коммуникация (56%), решение проблем (47%).
-- Технические навыки: Самые большие пробелы — облачные вычисления (37%), безопасность данных (33%), LLM SecOps (33%).
- Слабая подготовка новичков: Только 27% опрошенных согласны, что выпускники вузов готовы к работе. Основные пробелы у джунов: реагирование на инциденты, безопасность данных, обнаружение угроз.
Операционка и бюджетирование
- Бюджетный пессимизм: Лишь 41% ждут роста бюджетов (в 2024 было 47%, -6 п.п.). 18% прогнозируют сокращение.
- Поддержка совета директоров — ключевой фактор успеха: Там, где Совет адекватно приоритезирует инвестиции в кибербезопасность (56%):
-- на 95% выше вероятность, что стратегия безопасности совпадает с бизнес-целями.
-- Команды чувствуют себя увереннее (56% против 21%).
-- Бюджеты реже считают недостаточными (35% против 74%).
-- Лучше удерживают персонал (48% против 64%).
- Оценка рисков: 11% компаний проводят ее ежемесячно (+3 п.п.). Главные препятствия: нехватка времени (35%) и персонала (30%).
Риски и угрозы
- Рост атак: 35% компаний сообщают о росте числа кибератак (небольшое снижение в сравнении с 2024).
- Основные векторы атак: Социальная инженерия (44%), уязвимости (37%), вредоносное ПО и инсайдеры (по 26%).
- Низкая уверенность: Лишь 41% полностью или очень уверены в способности своей команды обнаруживать и реагировать на угрозы.
- Проблема недостаточной отчетности: 56% респондентов считают, что компании замалчивают киберинциденты.
Искусственный интеллект
- ИИ в защите: Растет использование ИИ для автоматизации обнаружения угроз (32%), защиты конечных точек (30%) и облегчения рутинных задач (28%).
- Безопасники подключаются: активно участвуют в жизненном цикле ИИ:
-- 40% (+11 п.п.) вовлечены в разработку и внедрение ИИ-решений.
-- 47% (+12 п.п.) участвуют в создании политик использования ИИ.
- ИИ и зрелость: компании, не проводящие оценку рисков, в 44% случаев не используют ИИ для безопасности, что говорит о взвешенном подходе к новым рискам.
👍3
Forwarded from Солдатов в Телеграм
Выводы и рекомендации
- Инвестируйте в адаптивность и софт-скиллы, технических знаний уже недостаточно.
- Начните планирование преемственности работников сейчас, стареющая рабочая сила — это бомба замедленного действия.
- Боритесь с выгоранием. Гибкий график и перераспределение нагрузки — обязательное условие, а не опция.
- Вовлекайте безопасников во все инициативы, связанные с ИИ, так как без их участия безопасность ИИ-проектов под угрозой.
- Работайте с советом директоров. Умение донести ценность кибербезопасности на языке бизнеса — критически важный навык для лидеров.
- Будущее за гибкими, хорошо коммуницирующими командами, которые действуют как стратегические партнеры бизнеса в эпоху ИИ и неопределенности.
#vCISO
- Инвестируйте в адаптивность и софт-скиллы, технических знаний уже недостаточно.
- Начните планирование преемственности работников сейчас, стареющая рабочая сила — это бомба замедленного действия.
- Боритесь с выгоранием. Гибкий график и перераспределение нагрузки — обязательное условие, а не опция.
- Вовлекайте безопасников во все инициативы, связанные с ИИ, так как без их участия безопасность ИИ-проектов под угрозой.
- Работайте с советом директоров. Умение донести ценность кибербезопасности на языке бизнеса — критически важный навык для лидеров.
- Будущее за гибкими, хорошо коммуницирующими командами, которые действуют как стратегические партнеры бизнеса в эпоху ИИ и неопределенности.
#vCISO
👍2
Forwarded from Пост Лукацкого
Тут Майк выпустил фреймворк ИИ-ответственности, призванный прояснить, кто за что отвечает в обеспечении безопасности ИИ-систем, по аналогии с моделью "shared responsibility" в облаках. В нём даётся карта ответственности (responsibility matrix) между провайдером и заказчиком (или разработчиком), охватывающая разные модели развёртывания AI и разные домены безопасности. Проект охватывает 8 моделей развёртывания AI и 16 доменов безопасности (традиционные + специфичные для AI).
8 моделей развертывания ИИ:
6️⃣ Публичная LLM-платформа → ChatGPT, Gemini, Claude
2️⃣ Публичная LLM-платформа с API-интеграцией → API-доступ к GPT, Anthropic, Cohere
3️⃣ SaaS-продукт с AI-функциями → Notion AI, GitHub Copilot
4️⃣ Вендорская модель, размещённая в облаке клиента (Managed AI) → Azure OpenAI, Bedrock, Vertex AI
5️⃣ Самостоятельно развёрнутая LLM (on-prem / частное облако) → Llama 3, Mistral, Falcon на своих серверах
6️⃣ Встроенный AI-модуль в программный продукт → ERP с ML-анализом или рекомендациями
7️⃣ Специализированное AI-решение под конкретный домен → AI для SOC, антифрод, медицинская диагностика
8️⃣ Разработка собственной модели с нуля / fine-tuning → внутренние R&D-команды
16 доменов ИБ:
6️⃣ Управление идентификацией и доступом (IAM)
2️⃣ Управление данными и приватностью
3️⃣ Шифрование данных "на лету" и "на хранении"
4️⃣ Регистрация событий/промптов и аудит обращений к модели
5️⃣ Управление уязвимостями и патчами
6️⃣ Безопасность кода и зависимостей
7️⃣ Управление жизненным циклом модели (ModelOps)
8️⃣ Управление обучающими данными
9️⃣ Мониторинг дрейфа модели и метрик
6️⃣ 1️⃣ Обнаружение атак на модель (poisoning, inversion, extraction)
6️⃣ 6️⃣ Безопасность API и оконечных устройств
6️⃣ 2️⃣ Соответствие нормативным требованиям (compliance, GDPR, ИИ-акты и т.п.)
6️⃣ 3️⃣ Этические и репутационные риски
6️⃣ 4️⃣ Непрерывность бизнеса и отказоустойчивость ИИ-сервисов
6️⃣ 5️⃣ Реагирование на инциденты и реагирование на утечки / атаки
6️⃣ 6️⃣ Поверхность атаки и тестирование безопасности (red teaming / оценка защищенности).
Очень хороший фреймворк...
#ии #mlsecops #framework
8 моделей развертывания ИИ:
16 доменов ИБ:
Очень хороший фреймворк...
#ии #mlsecops #framework
Please open Telegram to view this post
VIEW IN TELEGRAM
https://rmpocalypse.github.io/
Ещё немного усложнилась работа у облачных провайдеров на AMD.
Ещё немного усложнилась работа у облачных провайдеров на AMD.
RMPocalypse Attack
How A Catch-22 Breaks AMD SEV-SNP
Forwarded from InfoSec VK Hub
MLSecOps: практические векторы атак
Пока индустрия массово внедряет ML-системы, классический AppSec оказывается недостаточным. Угрозы теперь — в самих данных и поведении моделей. Именно эту проблему на практике разбирает прикладное исследование выпускника ВШЭ Алексея Солдатова. Куратором проекта выступил Павел Литиков, архитектор ИБ в команде AI VK. Он отвечал за интеграцию практического опыта: помогал формировать гипотезы атак, проверять инструменты тестирования на жизнеспособность и направлять команду студентов к результату, который можно использовать для построения безопасности в VK.
🔹 В статье вы узнаете о:
• классификации угроз на всех этапах жизни ML-модели;
• обзоре open-source инструментов для атак (и их актуальности);
• примерах реальных атак: Data Poisoning и Model Stealing;
• разработке собственного инструмента для тестирования безопасности ML-моделей.
🔹 Читать исследование
VK Security | Буст этому каналу!
#эксперты #AI #исследование
Пока индустрия массово внедряет ML-системы, классический AppSec оказывается недостаточным. Угрозы теперь — в самих данных и поведении моделей. Именно эту проблему на практике разбирает прикладное исследование выпускника ВШЭ Алексея Солдатова. Куратором проекта выступил Павел Литиков, архитектор ИБ в команде AI VK. Он отвечал за интеграцию практического опыта: помогал формировать гипотезы атак, проверять инструменты тестирования на жизнеспособность и направлять команду студентов к результату, который можно использовать для построения безопасности в VK.
• классификации угроз на всех этапах жизни ML-модели;
• обзоре open-source инструментов для атак (и их актуальности);
• примерах реальных атак: Data Poisoning и Model Stealing;
• разработке собственного инструмента для тестирования безопасности ML-моделей.
VK Security | Буст этому каналу!
#эксперты #AI #исследование
Please open Telegram to view this post
VIEW IN TELEGRAM
https://blogs.microsoft.com/on-the-issues/2025/10/16/mddr-2025/
6 ежегодный отчет MS по защите.
6 ежегодный отчет MS по защите.
Microsoft On the Issues
Extortion and ransomware drive over half of cyberattacks
Microsoft launches its sixth annual Digital Defense Report, highlighting trends from July 2024 to June 2025, including that over half of cyberattacks with known motives were driven by extortion or ransomware. The report stresses that legacy security is i…