https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-218r1.ipd.pdf
Проект стандарта новой версии требований по безопасной разработке SSDF версия 1.2
Проект стандарта новой версии требований по безопасной разработке SSDF версия 1.2
Forwarded from PWN AI (Artyom Semenov)
Помните больше года назад я сделал список Awesome_LLMSecOps, где были собраны интересные материалы, сравнительные таблицы и всякие там решения.
Недавно я решил существенно обновить его: добавил всё самое интересное, что появилось в 2025 году, а также включил новые темы, связанные с WhiteBox и подходом secure-by-design.
Теперь им уже можно насладиться на GitHub. Пусть этот список станет вашим надёжным щитом и верным мечом в мире LLM-security сейчас и в будущем.
https://github.com/wearetyomsmnv/Awesome-LLMSecOps
> щит и меч - настоящие
Недавно я решил существенно обновить его: добавил всё самое интересное, что появилось в 2025 году, а также включил новые темы, связанные с WhiteBox и подходом secure-by-design.
Теперь им уже можно насладиться на GitHub. Пусть этот список станет вашим надёжным щитом и верным мечом в мире LLM-security сейчас и в будущем.
https://github.com/wearetyomsmnv/Awesome-LLMSecOps
> щит и меч - настоящие
👍1
5 network security predictions for 2026:
1. Zero trust for AI becomes a priority.
2. Living-off-the-land attacks become pervasive, in part due to AI.
3. Browser security heats up, but to augment, not replace existing tools.
4.The AI security market begins to thin out.
5.SaaS security consolidation accelerates.
1. Zero trust for AI becomes a priority.
2. Living-off-the-land attacks become pervasive, in part due to AI.
3. Browser security heats up, but to augment, not replace existing tools.
4.The AI security market begins to thin out.
5.SaaS security consolidation accelerates.
Forwarded from Network Warrior
5 network security predictions for 2026
https://www.techtarget.com/searchsecurity/opinion/NetworkSecurity-predictions
https://www.techtarget.com/searchsecurity/opinion/NetworkSecurity-predictions
https://csrc.nist.gov/pubs/ir/8587/ipd
Проект отчета NIST по защите токенов в облаках. Дан анализ основных подходов и их плюсов и минусов.
Проект отчета NIST по защите токенов в облаках. Дан анализ основных подходов и их плюсов и минусов.
CSRC | NIST
NIST Internal or Interagency Report (NISTIR) 8587 (Draft), Protecting Tokens and Assertions from Forgery, Theft, and Misuse: Implementation…
This report provides implementation guidance to help federal agencies and cloud service providers (CSPs) protect identity tokens and assertions from forgery, theft, and misuse. Building on updates to NIST SP 800-53 (Release 5.1.1), it outlines principles…
https://www.zdnet.com/article/what-are-passkeys/
Хорошее и простое объяснение что такое passkey и как ими пользоваться. После недавних обновлений в телеграмм, passkeys стали весьма популярным инструментом.
Хорошее и простое объяснение что такое passkey и как ими пользоваться. После недавних обновлений в телеграмм, passkeys стали весьма популярным инструментом.
ZDNET
What are passkeys really? The simple explanation - for anyone tired of passwords
Yes, the technology underlying passkeys is confusing. Here's a plain-English guide that can help you ditch passwords today.
Несколько уже поздновато, но для небольших компаний ещё можно успеть выполнить часть шагов для подготовки к длительным праздникам.
Forwarded from Порвали два трояна
Пока ваша ИБ-команда будет отдыхать на новогодних каникулах, некоторые хакеры планируют работать сверхурочно.
Преступники пользуются тем, что обычные сотрудники расслаблены, часть SOC на больничных и в отпусках, поэтому проникнуть в компанию проще, а усилия по реагированию на инцидент скорее всего будут недостаточны и хуже скоординированы.
Чтобы не пришлось экстренно прерывать отдых с семьёй, примите несколько мер заблаговременно: от назначения ответственных и временной деактивации части аккаунтов до привлечения сервиса MDR.
Полный список для предпраздничной ИБ-подготовки читайте в блоге.
Торопитесь, осталась всего неделя!
#советы @П2Т
Please open Telegram to view this post
VIEW IN TELEGRAM
Блог Касперского
Как защитить корпоративную сеть во время праздников
Пять советов IT-администраторам, чтобы защитить сеть и избежать взлома во время новогодних каникул.
Добавилось 5 угроз по ИИ в БДУ ФСТЭК 19.12.2025:
УБИ. 222 Угроза подмены модели машинного обучения
УБИ. 221 Угроза модификации модели машинного обучения путем искажения («отравления») обучающих данных
УБИ. 220 Угроза нарушения функционирования («обхода») средств, реализующих технологии искусственного интеллекта
УБИ. 219 Угроза хищения обучающих данных
УБИ. 218 Угроза раскрытия информации о модели машинного обучения
УБИ. 222 Угроза подмены модели машинного обучения
УБИ. 221 Угроза модификации модели машинного обучения путем искажения («отравления») обучающих данных
УБИ. 220 Угроза нарушения функционирования («обхода») средств, реализующих технологии искусственного интеллекта
УБИ. 219 Угроза хищения обучающих данных
УБИ. 218 Угроза раскрытия информации о модели машинного обучения
Forwarded from Ассоциация ФинТех
ФСТЭК определила угрозы ИБ от ИИ.
✅ Федеральная служба по техническому и экспортному контролю внесла в банк данных угроз (БДУ) информационной безопасности риски, связанные с искусственным интеллектом. Теперь их надо будет учитывать разработчикам софта для госструктур и критической инфраструктуры, пишут «Ведомости».
В перечне описаны специфичные технологии ИИ, уязвимости в которых могут использоваться злоумышленниками в кибератаках. В частности, это модели машинного обучения, датасеты, а также RAG и LoRA. Также обозначены векторы возможных атак, включая эксплуатацию уязвимостей в фреймворках для ИИ, модификацию системных промптов или конфигураций агентов, а также DoS-атаки, направленные на исчерпание квоты запросов.
✅ Федеральная служба по техническому и экспортному контролю внесла в банк данных угроз (БДУ) информационной безопасности риски, связанные с искусственным интеллектом. Теперь их надо будет учитывать разработчикам софта для госструктур и критической инфраструктуры, пишут «Ведомости».
В перечне описаны специфичные технологии ИИ, уязвимости в которых могут использоваться злоумышленниками в кибератаках. В частности, это модели машинного обучения, датасеты, а также RAG и LoRA. Также обозначены векторы возможных атак, включая эксплуатацию уязвимостей в фреймворках для ИИ, модификацию системных промптов или конфигураций агентов, а также DoS-атаки, направленные на исчерпание квоты запросов.
На прошлой неделе обновились стандарты API от ЦБ.
Станадрты пока рекомендательные, но у ЦБ есть планы сделать Стандарты обязательными.
https://cbr.ru/press/event/?id=28214
Станадрты пока рекомендательные, но у ЦБ есть планы сделать Стандарты обязательными.
https://cbr.ru/press/event/?id=28214
www.cbr.ru
Банк России обновил комплекс стандартов Открытых API | Банк России
Forwarded from Ассоциация ФинТех
Банк России утвердил и опубликовал 10 стандартов, которые были разработаны специалистами Ассоциации ФинТех совместно с участниками АФТ при участии Банка России.
Опубликованные стандарты согласованы Экспертным советом АФТ по развитию Открытых API.
Стандарты охватывают важные для участников рынка области взаимодействия посредством Открытых API:
• Базовые основы взаимодействия: общие положения, глоссарий, профили безопасности API, обеспечивающие соответствие стандарту ФАПИ.СЕК, и требования к прикладным стандартам.
• Спецификации API и правила взаимодействия: для получения информации о счетах и согласий на доступ к ней - как для физических, так и для юридических лиц.
Стандарты пропилотированы участниками АФТ: на их основе уже работают реальные сервисы для клиентов банков. Переход участников пилотов на новые утвержденные версии спецификаций API по счетам физических и юридических лиц запланирован на 1 октября 2026 года.
🗣 Анастасия Каючкина, Директор по развитию Открытых данных и экосистем Ассоциации ФинТех: Применение единых рекомендательных стандартов Открытых API позволит финансовому рынку перейти от точечных интеграций к масштабируемому взаимодействию по единым правилам. Это снижает технологические барьеры между участниками, повышает уровень безопасности сервисов для клиентов и дает импульс созданию инновационных сервисов, где клиент может бесшовно управлять своими финансовыми продуктами.
🗣 Павел Салугин, Исполнительный Вице-Президент, ГПБ (АО): Внедрение единых стандартов Открытых API является одним из ключевых этапов в процессе создания более инновационной и адаптивной банковской экосистемы. Текущее участие Банка в разработке прикладных стандартов и пилотных проектах поможет обеспечить плавный переход к обязательному применению Открытых API. Сейчас у нас уже была возможность в рамках первых интеграций собрать обратную связь, поэтому утвержденные стандарты проверены практическим опытом.
🗣 Дамир Баттулин, Директор по развитию цифровых каналов, Альфа-Банк:
Инициатива Банка России по внедрению Open API это важный шаг в развитии открытых финансовых технологий и переходе банковского сектора на новый уровень клиентского сервиса. Этот подход позволит создавать более персонализированные продукты, повышать качество цифрового взаимодействия и упрощать доступ к финансовым услугам для частных и корпоративных клиентов. Реализация Open API в банках сделает возможности мультибанкинга частью повседневного клиентского опыта, а не сторонним решением. Для Альфа-Банка это направление соответствует нашему приоритету развивать цифровые сервисы, которые действительно упрощают жизнь клиентов и помогают им эффективнее управлять своими финансами.
🗣 Кира Донских, Руководитель отдела открытых данных и сервисов, Т-Банк: Стандарты Open API существенно упрощают разработку и вывод новых продуктов на банковский рынок, а все участники получают предсказуемую и масштабируемую сферу для сотрудничества. Благодаря этому бизнес может сосредоточиться на главном — создании удобных и ценных решений для клиентов, а не согласовании технических деталей.
🗣 Игорь Бессчастный, лидер Платформы API ВТБ: Утверждение стандартов Открытых API — важный шаг для перехода рынка от экспериментов к промышленному внедрению открытого банкинга. Сейчас самое время масштабировать и пилотировать решения, проверяя их в реальных клиентских сценариях. Для банков это означает не только новые возможности для партнерств, но и необходимость кратного повышения устойчивости и надежности API-инфраструктуры. ВТБ активно развивает Платформу API как основу для безопасного и масштабируемого взаимодействия банка с другими участниками рынка.
Опубликованные стандарты согласованы Экспертным советом АФТ по развитию Открытых API.
Стандарты охватывают важные для участников рынка области взаимодействия посредством Открытых API:
• Базовые основы взаимодействия: общие положения, глоссарий, профили безопасности API, обеспечивающие соответствие стандарту ФАПИ.СЕК, и требования к прикладным стандартам.
• Спецификации API и правила взаимодействия: для получения информации о счетах и согласий на доступ к ней - как для физических, так и для юридических лиц.
Стандарты пропилотированы участниками АФТ: на их основе уже работают реальные сервисы для клиентов банков. Переход участников пилотов на новые утвержденные версии спецификаций API по счетам физических и юридических лиц запланирован на 1 октября 2026 года.
🗣 Анастасия Каючкина, Директор по развитию Открытых данных и экосистем Ассоциации ФинТех: Применение единых рекомендательных стандартов Открытых API позволит финансовому рынку перейти от точечных интеграций к масштабируемому взаимодействию по единым правилам. Это снижает технологические барьеры между участниками, повышает уровень безопасности сервисов для клиентов и дает импульс созданию инновационных сервисов, где клиент может бесшовно управлять своими финансовыми продуктами.
🗣 Павел Салугин, Исполнительный Вице-Президент, ГПБ (АО): Внедрение единых стандартов Открытых API является одним из ключевых этапов в процессе создания более инновационной и адаптивной банковской экосистемы. Текущее участие Банка в разработке прикладных стандартов и пилотных проектах поможет обеспечить плавный переход к обязательному применению Открытых API. Сейчас у нас уже была возможность в рамках первых интеграций собрать обратную связь, поэтому утвержденные стандарты проверены практическим опытом.
🗣 Дамир Баттулин, Директор по развитию цифровых каналов, Альфа-Банк:
Инициатива Банка России по внедрению Open API это важный шаг в развитии открытых финансовых технологий и переходе банковского сектора на новый уровень клиентского сервиса. Этот подход позволит создавать более персонализированные продукты, повышать качество цифрового взаимодействия и упрощать доступ к финансовым услугам для частных и корпоративных клиентов. Реализация Open API в банках сделает возможности мультибанкинга частью повседневного клиентского опыта, а не сторонним решением. Для Альфа-Банка это направление соответствует нашему приоритету развивать цифровые сервисы, которые действительно упрощают жизнь клиентов и помогают им эффективнее управлять своими финансами.
🗣 Кира Донских, Руководитель отдела открытых данных и сервисов, Т-Банк: Стандарты Open API существенно упрощают разработку и вывод новых продуктов на банковский рынок, а все участники получают предсказуемую и масштабируемую сферу для сотрудничества. Благодаря этому бизнес может сосредоточиться на главном — создании удобных и ценных решений для клиентов, а не согласовании технических деталей.
🗣 Игорь Бессчастный, лидер Платформы API ВТБ: Утверждение стандартов Открытых API — важный шаг для перехода рынка от экспериментов к промышленному внедрению открытого банкинга. Сейчас самое время масштабировать и пилотировать решения, проверяя их в реальных клиентских сценариях. Для банков это означает не только новые возможности для партнерств, но и необходимость кратного повышения устойчивости и надежности API-инфраструктуры. ВТБ активно развивает Платформу API как основу для безопасного и масштабируемого взаимодействия банка с другими участниками рынка.