Forwarded from MLSecOps | AI Governance (N P)
⭐️ OWASP Top 10 for Agentic Applications for 2026: Разбор главных угроз завтрашнего дня
Привет, Хабр! С вами снова Сергей Зыбнев, автор теле... а об этом позже. После нашего глубокого погружения в OWASP AI Testing Guide, пришло время заглянуть в будущее, которое наступит менее чем через месяц. Сегодня мы разберем еще один важнейший документ от OWASP, который смотрит на шаг вперед — OWASP Top 10 for Agentic Applications for 2026.
Если LLM — это мозг, то агентные системы — это полноценный организм с руками и ногами. Это ИИ, которые не просто отвечают на вопросы, а могут самостоятельно ставить цели, планировать и выполнять многошаговые задачи, используя различные инструменты (API, shell, браузер). Они могут управлять вашим календарем, писать код, заказывать товары и многое другое. И, конечно, такая автономия порождает совершенно новый класс угроз.
Этот Top 10 — попытка осмыслить и классифицировать риски, которые несут в себе эти мощные системы. Мы пройдемся по каждому из 10 пунктов, разберем их на реальных примерах и поговорим о том, как от них защищаться.
Продолжение: https://habr.com/ru/companies/owasp/articles/975504
Привет, Хабр! С вами снова Сергей Зыбнев, автор теле... а об этом позже. После нашего глубокого погружения в OWASP AI Testing Guide, пришло время заглянуть в будущее, которое наступит менее чем через месяц. Сегодня мы разберем еще один важнейший документ от OWASP, который смотрит на шаг вперед — OWASP Top 10 for Agentic Applications for 2026.
Если LLM — это мозг, то агентные системы — это полноценный организм с руками и ногами. Это ИИ, которые не просто отвечают на вопросы, а могут самостоятельно ставить цели, планировать и выполнять многошаговые задачи, используя различные инструменты (API, shell, браузер). Они могут управлять вашим календарем, писать код, заказывать товары и многое другое. И, конечно, такая автономия порождает совершенно новый класс угроз.
Этот Top 10 — попытка осмыслить и классифицировать риски, которые несут в себе эти мощные системы. Мы пройдемся по каждому из 10 пунктов, разберем их на реальных примерах и поговорим о том, как от них защищаться.
Продолжение: https://habr.com/ru/companies/owasp/articles/975504
Хабр
OWASP Top 10 for Agentic Applications for 2026: Разбор главных угроз завтрашнего дня
Привет, Хабр! С вами снова Сергей Зыбнев, автор теле... а об этом позже. После нашего глубокого погружения в OWASP AI Testing Guide, пришло время заглянуть в будущее, которое наступит менее чем через...
Несколько практических презентаций по безопасности ИИ из чата
https://news.1rj.ru/str/llamator
https://news.1rj.ru/str/llamator
Telegram
LLAMATOR | AI Red Team Community
Открытый чат LLAMATOR — фреймворка AI Red Teaming
Open chat of the LLAMATOR AI Red Teaming framework
https://github.com/LLAMATOR-Core/llamator
Open chat of the LLAMATOR AI Red Teaming framework
https://github.com/LLAMATOR-Core/llamator
Forwarded from Timur Nizamov
Всем привет! Делюсь презентациями с митапа LLAMATOR в Ереване
Forwarded from Timur Nizamov
Forwarded from Timur Nizamov
спикерам митапа в Питере (регистрация еще открыта до 11 декабря!) задана высокая планка 🥰
Forwarded from Timur Nizamov
Nikita Barsukov — Look at my Pickle (2025).pdf
9.9 MB
Вышло очередное ежегодное исследование от ENISA по бюджетированию ИБ.
https://www.enisa.europa.eu/publications/nis-investments-2025
7 ключевых выводов
1. Средний процент бюджета на ИБ от бюджета ИТ сохранился на прежнем уровне - 9%. Акцент трат смещается на аутсорсинг и покупку технологий.
2. Сохраняется проблема с поиском и удержанием ИБ специалистов.
3. Требования нормативных актов остаются главным драйвером расходов.
4. Требования NIS2 остается непростыми к реализации (патчинг, требования по BCP, цепочка поставок).
5. 30% организаций не проводили оценку своей безопасности за 12 месяцев. 28% организаций устанавливаются патчи для критичных уязвимостей больше 3 месяцев.
6. В связи с большим акцентом на сервис и аутсорсинг увеличивает риск атак на цепочку поставок.
7. Больше всего организации обеспокоены противодействию DOS, шифровальщикам, атакам на цепочку поставок, фишингу. Наиболее обеспокоены своей возможностью противодействия и восстановления организации малого и среднего бизнеса.
https://www.enisa.europa.eu/publications/nis-investments-2025
7 ключевых выводов
1. Средний процент бюджета на ИБ от бюджета ИТ сохранился на прежнем уровне - 9%. Акцент трат смещается на аутсорсинг и покупку технологий.
2. Сохраняется проблема с поиском и удержанием ИБ специалистов.
3. Требования нормативных актов остаются главным драйвером расходов.
4. Требования NIS2 остается непростыми к реализации (патчинг, требования по BCP, цепочка поставок).
5. 30% организаций не проводили оценку своей безопасности за 12 месяцев. 28% организаций устанавливаются патчи для критичных уязвимостей больше 3 месяцев.
6. В связи с большим акцентом на сервис и аутсорсинг увеличивает риск атак на цепочку поставок.
7. Больше всего организации обеспокоены противодействию DOS, шифровальщикам, атакам на цепочку поставок, фишингу. Наиболее обеспокоены своей возможностью противодействия и восстановления организации малого и среднего бизнеса.
www.enisa.europa.eu
NIS Investments 2025 | ENISA
ENISA is the EU agency dedicated to enhancing cybersecurity in Europe. They offer guidance, tools, and resources to safeguard citizens and businesses from cyber threats.
Forwarded from AlexRedSec
Свежее исследование на тему влияния "экстремальных" кибератак на рыночную капитализацию публичных компаний в период с 2000 по 2021 годы🆕
В рамках данной работы авторы оценили среднесрочные и долгосрочные (периоды в 1 и 2 года после инцидента соответственно) экономические последствия "экстремальных" кибератак (превышающие пороговые значения значимости инцидентов, например, прямые убытки в размере более 10 млн $).
Приведу кратко основные выводы:
🔗 Негативные последствия кибератак не являются временными, а сохраняются и усугубляются в течение длительного времени.
🔗 В течение первого года после экстремальной кибератаки рыночная стоимость пострадавших компаний в среднем оказывалась на 8,9% ниже, чем ожидалось.
🔗 Через два года после инцидента среднее отставание от ожидаемых показателей рыночной стоимости увеличивается до 14%.
🔗 Финансовые последствия со временем становятся все более серьезными, что опровергает предположение о том, что рост числа кибератак приведет к тому, что рынок станет менее чувствительным к ним.
🔗 Многие компании, столкнувшиеся с серьезным киберинцидентом, впоследствии были поглощены по значительно сниженной оценке (Yahoo, AOL, Mandiant, LinkedIn, Heartland Payment Systems).
🔗 Ransomware-атаки оказывают рыночное воздействие в 23 раза более серьезное, чем утечки данных, а кибератаки с использованием вредоносного ПО (malware) демонстрируют наиболее выраженный негативный эффект, приводя к снижению рыночной стоимости примерно на 45% (но есть нюансы, связанные с ограниченной выборкой).
🔗 В рамках оценки эффективности компаний до и после инцидента был зафиксирован неожиданный эффект — небольшое улучшение показателей после кибератаки. Это может быть связано с усилением внутреннего контроля, проведение аудитов и расследований, связанных с повышенным вниманием руководства.
#costs #breach #business #stock #market #ransomware
В рамках данной работы авторы оценили среднесрочные и долгосрочные (периоды в 1 и 2 года после инцидента соответственно) экономические последствия "экстремальных" кибератак (превышающие пороговые значения значимости инцидентов, например, прямые убытки в размере более 10 млн $).
Приведу кратко основные выводы:
#costs #breach #business #stock #market #ransomware
Please open Telegram to view this post
VIEW IN TELEGRAM
👍2
https://openai.com/index/strengthening-cyber-resilience/ На фоне новостей по использованию публичных моделей в кибер атаках OpenAI объявила об инвестициях в усиление безопасности использования моделей. Планируется улучшить: противодействие вредоносному использованию моделей, средства обнаружения, ред тиминг моделей.
Openai
Strengthening cyber resilience as AI capabilities advance
As our models grow more capable in cybersecurity, we’re investing in strengthening them, layering in safeguards, and partnering with global security experts.
Такое происходит очень не часто: Гартнер призвала CISO блокировать все AI браузеры в организации для минимизации риска. Полная версия отчета за пейволом.
https://www.gartner.com/en/documents/7211030
https://www.gartner.com/en/documents/7211030
Gartner
Cybersecurity Must Block AI Browsers for Now
Gartner Research on Cybersecurity Must Block AI Browsers for Now
В этом году у ISACA вышло 3 новых сертификации в области корпоративного управления безопасностью ИИ. Это фактически одни из самых первых сертификаций по безопасности ИИ в мире.
В мае 2025 года была анонсирована Advanced in AI Audit (AAIA). https://www.isaca.org/credentialing/aaia
В сентябре 2025 года - Advanced in AI Security Management (AAISM). https://www.isaca.org/credentialing/aaism
В декабре 2025 года - Advanced in AI Risk (AAIR). Экзамены будут доступны в 2Q2026. До 16.12.25 возможно зарегистрироваться для участия в платной бета версии экзамена. https://www.isaca.org/aair
Требования для всех трех сертификаций очень похожи:
1.Обладать действующей сертификацией ISACA. CISA для AAIA, CISM для AAISM, CRISC для AAIR. Допускается сертификация на основе и других профильных сертификаций (CIA, ACCA, CISSP и др.).
2.Сдать платный экзамен в центрах PSI или удаленно с прокторингом. https://home.psiexams.com/#/test-center?p=Z97SE74H Экзамен состоит из 90 вопросов, время на экзамен 150 минут.
3.Оплатить регистрационный взнос за рассмотрение заявки на сертификат и согласится с общим кодексом этики.
Более подробное описание экзамена указано тут https://www.isaca.org/credentialing/exam-candidate-guides
Домены знаний
AAIA: 1. AI Governance and Risk (33%). 2. AI Operations (46%). 3. AI Auditing Tools and Techniques (21%).
AAISM:1. AI Governance and Program Management (31%). 2. AI Risk and Opportunity Management (31 %). 3. AI Technologies and Controls (38%).
AAIR: 1. AI Risk Governance and Framework Integration. 2. AI Risk Program Management. 3. AI Life Cycle Risk Management.
Больше деталей и бесплатные тренировочные экзамены находятся по ссылкам выше.
В мае 2025 года была анонсирована Advanced in AI Audit (AAIA). https://www.isaca.org/credentialing/aaia
В сентябре 2025 года - Advanced in AI Security Management (AAISM). https://www.isaca.org/credentialing/aaism
В декабре 2025 года - Advanced in AI Risk (AAIR). Экзамены будут доступны в 2Q2026. До 16.12.25 возможно зарегистрироваться для участия в платной бета версии экзамена. https://www.isaca.org/aair
Требования для всех трех сертификаций очень похожи:
1.Обладать действующей сертификацией ISACA. CISA для AAIA, CISM для AAISM, CRISC для AAIR. Допускается сертификация на основе и других профильных сертификаций (CIA, ACCA, CISSP и др.).
2.Сдать платный экзамен в центрах PSI или удаленно с прокторингом. https://home.psiexams.com/#/test-center?p=Z97SE74H Экзамен состоит из 90 вопросов, время на экзамен 150 минут.
3.Оплатить регистрационный взнос за рассмотрение заявки на сертификат и согласится с общим кодексом этики.
Более подробное описание экзамена указано тут https://www.isaca.org/credentialing/exam-candidate-guides
Домены знаний
AAIA: 1. AI Governance and Risk (33%). 2. AI Operations (46%). 3. AI Auditing Tools and Techniques (21%).
AAISM:1. AI Governance and Program Management (31%). 2. AI Risk and Opportunity Management (31 %). 3. AI Technologies and Controls (38%).
AAIR: 1. AI Risk Governance and Framework Integration. 2. AI Risk Program Management. 3. AI Life Cycle Risk Management.
Больше деталей и бесплатные тренировочные экзамены находятся по ссылкам выше.
ISACA
AAIA™ Certification | ISACA Advanced in AI Audit™
The groundbreaking advanced AI credential, ISACA Advanced in AI Audit (AAIA), validates the ability to audit complex systems and mitigate risks related to AI.