https://www.zdnet.com/article/what-are-passkeys/
Хорошее и простое объяснение что такое passkey и как ими пользоваться. После недавних обновлений в телеграмм, passkeys стали весьма популярным инструментом.
Хорошее и простое объяснение что такое passkey и как ими пользоваться. После недавних обновлений в телеграмм, passkeys стали весьма популярным инструментом.
ZDNET
What are passkeys really? The simple explanation - for anyone tired of passwords
Yes, the technology underlying passkeys is confusing. Here's a plain-English guide that can help you ditch passwords today.
Несколько уже поздновато, но для небольших компаний ещё можно успеть выполнить часть шагов для подготовки к длительным праздникам.
Forwarded from Порвали два трояна
Пока ваша ИБ-команда будет отдыхать на новогодних каникулах, некоторые хакеры планируют работать сверхурочно.
Преступники пользуются тем, что обычные сотрудники расслаблены, часть SOC на больничных и в отпусках, поэтому проникнуть в компанию проще, а усилия по реагированию на инцидент скорее всего будут недостаточны и хуже скоординированы.
Чтобы не пришлось экстренно прерывать отдых с семьёй, примите несколько мер заблаговременно: от назначения ответственных и временной деактивации части аккаунтов до привлечения сервиса MDR.
Полный список для предпраздничной ИБ-подготовки читайте в блоге.
Торопитесь, осталась всего неделя!
#советы @П2Т
Please open Telegram to view this post
VIEW IN TELEGRAM
Блог Касперского
Как защитить корпоративную сеть во время праздников
Пять советов IT-администраторам, чтобы защитить сеть и избежать взлома во время новогодних каникул.
Добавилось 5 угроз по ИИ в БДУ ФСТЭК 19.12.2025:
УБИ. 222 Угроза подмены модели машинного обучения
УБИ. 221 Угроза модификации модели машинного обучения путем искажения («отравления») обучающих данных
УБИ. 220 Угроза нарушения функционирования («обхода») средств, реализующих технологии искусственного интеллекта
УБИ. 219 Угроза хищения обучающих данных
УБИ. 218 Угроза раскрытия информации о модели машинного обучения
УБИ. 222 Угроза подмены модели машинного обучения
УБИ. 221 Угроза модификации модели машинного обучения путем искажения («отравления») обучающих данных
УБИ. 220 Угроза нарушения функционирования («обхода») средств, реализующих технологии искусственного интеллекта
УБИ. 219 Угроза хищения обучающих данных
УБИ. 218 Угроза раскрытия информации о модели машинного обучения
Forwarded from Ассоциация ФинТех
ФСТЭК определила угрозы ИБ от ИИ.
✅ Федеральная служба по техническому и экспортному контролю внесла в банк данных угроз (БДУ) информационной безопасности риски, связанные с искусственным интеллектом. Теперь их надо будет учитывать разработчикам софта для госструктур и критической инфраструктуры, пишут «Ведомости».
В перечне описаны специфичные технологии ИИ, уязвимости в которых могут использоваться злоумышленниками в кибератаках. В частности, это модели машинного обучения, датасеты, а также RAG и LoRA. Также обозначены векторы возможных атак, включая эксплуатацию уязвимостей в фреймворках для ИИ, модификацию системных промптов или конфигураций агентов, а также DoS-атаки, направленные на исчерпание квоты запросов.
✅ Федеральная служба по техническому и экспортному контролю внесла в банк данных угроз (БДУ) информационной безопасности риски, связанные с искусственным интеллектом. Теперь их надо будет учитывать разработчикам софта для госструктур и критической инфраструктуры, пишут «Ведомости».
В перечне описаны специфичные технологии ИИ, уязвимости в которых могут использоваться злоумышленниками в кибератаках. В частности, это модели машинного обучения, датасеты, а также RAG и LoRA. Также обозначены векторы возможных атак, включая эксплуатацию уязвимостей в фреймворках для ИИ, модификацию системных промптов или конфигураций агентов, а также DoS-атаки, направленные на исчерпание квоты запросов.
На прошлой неделе обновились стандарты API от ЦБ.
Станадрты пока рекомендательные, но у ЦБ есть планы сделать Стандарты обязательными.
https://cbr.ru/press/event/?id=28214
Станадрты пока рекомендательные, но у ЦБ есть планы сделать Стандарты обязательными.
https://cbr.ru/press/event/?id=28214
www.cbr.ru
Банк России обновил комплекс стандартов Открытых API | Банк России
Forwarded from Ассоциация ФинТех
Банк России утвердил и опубликовал 10 стандартов, которые были разработаны специалистами Ассоциации ФинТех совместно с участниками АФТ при участии Банка России.
Опубликованные стандарты согласованы Экспертным советом АФТ по развитию Открытых API.
Стандарты охватывают важные для участников рынка области взаимодействия посредством Открытых API:
• Базовые основы взаимодействия: общие положения, глоссарий, профили безопасности API, обеспечивающие соответствие стандарту ФАПИ.СЕК, и требования к прикладным стандартам.
• Спецификации API и правила взаимодействия: для получения информации о счетах и согласий на доступ к ней - как для физических, так и для юридических лиц.
Стандарты пропилотированы участниками АФТ: на их основе уже работают реальные сервисы для клиентов банков. Переход участников пилотов на новые утвержденные версии спецификаций API по счетам физических и юридических лиц запланирован на 1 октября 2026 года.
🗣 Анастасия Каючкина, Директор по развитию Открытых данных и экосистем Ассоциации ФинТех: Применение единых рекомендательных стандартов Открытых API позволит финансовому рынку перейти от точечных интеграций к масштабируемому взаимодействию по единым правилам. Это снижает технологические барьеры между участниками, повышает уровень безопасности сервисов для клиентов и дает импульс созданию инновационных сервисов, где клиент может бесшовно управлять своими финансовыми продуктами.
🗣 Павел Салугин, Исполнительный Вице-Президент, ГПБ (АО): Внедрение единых стандартов Открытых API является одним из ключевых этапов в процессе создания более инновационной и адаптивной банковской экосистемы. Текущее участие Банка в разработке прикладных стандартов и пилотных проектах поможет обеспечить плавный переход к обязательному применению Открытых API. Сейчас у нас уже была возможность в рамках первых интеграций собрать обратную связь, поэтому утвержденные стандарты проверены практическим опытом.
🗣 Дамир Баттулин, Директор по развитию цифровых каналов, Альфа-Банк:
Инициатива Банка России по внедрению Open API это важный шаг в развитии открытых финансовых технологий и переходе банковского сектора на новый уровень клиентского сервиса. Этот подход позволит создавать более персонализированные продукты, повышать качество цифрового взаимодействия и упрощать доступ к финансовым услугам для частных и корпоративных клиентов. Реализация Open API в банках сделает возможности мультибанкинга частью повседневного клиентского опыта, а не сторонним решением. Для Альфа-Банка это направление соответствует нашему приоритету развивать цифровые сервисы, которые действительно упрощают жизнь клиентов и помогают им эффективнее управлять своими финансами.
🗣 Кира Донских, Руководитель отдела открытых данных и сервисов, Т-Банк: Стандарты Open API существенно упрощают разработку и вывод новых продуктов на банковский рынок, а все участники получают предсказуемую и масштабируемую сферу для сотрудничества. Благодаря этому бизнес может сосредоточиться на главном — создании удобных и ценных решений для клиентов, а не согласовании технических деталей.
🗣 Игорь Бессчастный, лидер Платформы API ВТБ: Утверждение стандартов Открытых API — важный шаг для перехода рынка от экспериментов к промышленному внедрению открытого банкинга. Сейчас самое время масштабировать и пилотировать решения, проверяя их в реальных клиентских сценариях. Для банков это означает не только новые возможности для партнерств, но и необходимость кратного повышения устойчивости и надежности API-инфраструктуры. ВТБ активно развивает Платформу API как основу для безопасного и масштабируемого взаимодействия банка с другими участниками рынка.
Опубликованные стандарты согласованы Экспертным советом АФТ по развитию Открытых API.
Стандарты охватывают важные для участников рынка области взаимодействия посредством Открытых API:
• Базовые основы взаимодействия: общие положения, глоссарий, профили безопасности API, обеспечивающие соответствие стандарту ФАПИ.СЕК, и требования к прикладным стандартам.
• Спецификации API и правила взаимодействия: для получения информации о счетах и согласий на доступ к ней - как для физических, так и для юридических лиц.
Стандарты пропилотированы участниками АФТ: на их основе уже работают реальные сервисы для клиентов банков. Переход участников пилотов на новые утвержденные версии спецификаций API по счетам физических и юридических лиц запланирован на 1 октября 2026 года.
🗣 Анастасия Каючкина, Директор по развитию Открытых данных и экосистем Ассоциации ФинТех: Применение единых рекомендательных стандартов Открытых API позволит финансовому рынку перейти от точечных интеграций к масштабируемому взаимодействию по единым правилам. Это снижает технологические барьеры между участниками, повышает уровень безопасности сервисов для клиентов и дает импульс созданию инновационных сервисов, где клиент может бесшовно управлять своими финансовыми продуктами.
🗣 Павел Салугин, Исполнительный Вице-Президент, ГПБ (АО): Внедрение единых стандартов Открытых API является одним из ключевых этапов в процессе создания более инновационной и адаптивной банковской экосистемы. Текущее участие Банка в разработке прикладных стандартов и пилотных проектах поможет обеспечить плавный переход к обязательному применению Открытых API. Сейчас у нас уже была возможность в рамках первых интеграций собрать обратную связь, поэтому утвержденные стандарты проверены практическим опытом.
🗣 Дамир Баттулин, Директор по развитию цифровых каналов, Альфа-Банк:
Инициатива Банка России по внедрению Open API это важный шаг в развитии открытых финансовых технологий и переходе банковского сектора на новый уровень клиентского сервиса. Этот подход позволит создавать более персонализированные продукты, повышать качество цифрового взаимодействия и упрощать доступ к финансовым услугам для частных и корпоративных клиентов. Реализация Open API в банках сделает возможности мультибанкинга частью повседневного клиентского опыта, а не сторонним решением. Для Альфа-Банка это направление соответствует нашему приоритету развивать цифровые сервисы, которые действительно упрощают жизнь клиентов и помогают им эффективнее управлять своими финансами.
🗣 Кира Донских, Руководитель отдела открытых данных и сервисов, Т-Банк: Стандарты Open API существенно упрощают разработку и вывод новых продуктов на банковский рынок, а все участники получают предсказуемую и масштабируемую сферу для сотрудничества. Благодаря этому бизнес может сосредоточиться на главном — создании удобных и ценных решений для клиентов, а не согласовании технических деталей.
🗣 Игорь Бессчастный, лидер Платформы API ВТБ: Утверждение стандартов Открытых API — важный шаг для перехода рынка от экспериментов к промышленному внедрению открытого банкинга. Сейчас самое время масштабировать и пилотировать решения, проверяя их в реальных клиентских сценариях. Для банков это означает не только новые возможности для партнерств, но и необходимость кратного повышения устойчивости и надежности API-инфраструктуры. ВТБ активно развивает Платформу API как основу для безопасного и масштабируемого взаимодействия банка с другими участниками рынка.
Forwarded from Листок бюрократической защиты информации
Рекомендации_по_настройке_регистрации_событий.pdf
193.6 KB
На сайте ФСТЭК России опубликованы Рекомендации по базовой настройке регистрации событий безопасности.
Please open Telegram to view this post
VIEW IN TELEGRAM
👍1
https://www.docker.com/blog/docker-hardened-images-for-every-developer/
Теперь захардененые образа от докера бесплатны. Раннее требовалась подписка.
Теперь захардененые образа от докера бесплатны. Раннее требовалась подписка.
Docker
Hardened Images for Everyone | Docker
Security for everyone. Docker Hardened Images are now free to use, share, and build on with no licensing surprises.
👍2
Forwarded from k8s (in)security (Дмитрий Евдокимов)
Одним из самых частых вопросов на протяжении последних 3-х лет, который мне задавали на моем тренинге, да и вообще на конференциях, после докладов, в кулуарах - это: "А есть отечественные аналоги Talos?"
Этот вопрос и сейчас активно спрашивают, НО теперь на него можно положительно ответить!
Проект ALT Orchestra (исходники) от ребят из Базальта, на базе
О проделанной работе, вкладе в
Мы очень рассчитываем на то что, это даст положительный толчок нашей индустрии, сигнал для регуляторов, что можно и нужно по другому защищать контейнерные окружения и не мучать всех антивирусами на
Кто-то уже активно использует
P.S. Также надеемся, что другие отечественные разработчики ОС посмотрят на этот вектор развития своих ОС.
Этот вопрос и сейчас активно спрашивают, НО теперь на него можно положительно ответить!
Проект ALT Orchestra (исходники) от ребят из Базальта, на базе
Talos и в реестре Российского ПО.О проделанной работе, вкладе в
upstream Talos, отличиях, изменениях и планах было рассказано в этом году на KUBER CONF.Мы очень рассчитываем на то что, это даст положительный толчок нашей индустрии, сигнал для регуляторов, что можно и нужно по другому защищать контейнерные окружения и не мучать всех антивирусами на
Node, и вообще повысит уровень безопасности, выбросив модель нарушителя "атакующий на Node" из модели угроз.Кто-то уже активно использует
container specific OS, а кого-то наконец сможет их использовать) P.S. Также надеемся, что другие отечественные разработчики ОС посмотрят на этот вектор развития своих ОС.
UPD. В комментарии добавлены слайды с KUBER CONF
Forwarded from DevSecOps Assessment Framework (DAF)
Предновогодний релиз DAF!
С наступающим новым годом, друзья! Все подводят итоги года, а мы запрыгиваем в последний вагон трудовых будней 2025 года с очередным релизом DAF!
Первая часть релиза (что добавилось и изменилось):
1. Актуализировали маппинг на ГОСТ 56939-2024
2. Добавили автомаппинг на BSIMM. Теперь проводя аудит по DAF можно сразу же получать результат относительно 5 фреймворков - ГОСТ 56939, DSOMM, SAMM, BSIMM, PT Table Top
3. Отдельный лист "Карта DAF" решили вовсе убрать, т.к. есть отличное визуальное представление на вкладке "Общее, домены, поддомены" (в нем еще добавили часть MLSecOps)
4. Учли некоторые пожелания пользователей DAF:
- скорректировали формулировки некоторых практик (T-ADI-ART-4-3, T-DEV-SCM-4-3, T-ADI-DEP-3-2, T-DEV-SRC-2-2, T-DEV-SRC-2-3, T-DEV-SRC-3-4, T-DEV-SRC-3-6)
- в выпадающем списке на странице «Практики» добавили вариант «Не заполнено» и по-умолчанию проставили для всех практик (чтобы было явно заметно что именно нужно еще заполнить при аудите)
- добавили на странице «Практики» отдельный столбец "Область действия практики", чтобы можно было заполнить часть практик для одной команды, часть - для группы команд, а еще часть - для всей компании в целом (например, общие на всю компанию регламенты, процессы)
5. Сделали более приятное визуальное оформление
6. Ну и как обычно, исправили битые ссылки, опечатки, прочие косяки с визуаломи добавили новые
Что перенесено на следующий релиз:
1. Новые способы расчета и оформление вкладки "FTE DevSecOps" - к сожалению, 4й квартал нас не пощадил и мы не пришли внутри к общему мнению как же правильно считать. Поэтому переносим на весенний релиз
Вторая часть релиза.
Мы довольно долго обходили вниманием MLSecOps, хотя это направление очень-очень близко нашему классическому DevSecOps. В этом релизе DAF мы исправили это упущение и добавили:
- отдельную вкладку "Практики+MLSecOps" - в ней голубой заливкой выделены отдельные практики MLSecOps, наложенные на обычные практики нашего фреймворка. Это сделано для того, чтобы можно было пользоваться фреймворком как для аудита только DevSecOps (вкладка "Практики"), так и для аудита MLSecOps (вкладка "Практики+MLSecOps"), который является "надстройкой" над DevSecOps
- на вкладке "Результаты аудита" добавили результаты по MLSecOps (эти строки скрыты, раскройте их, нажав слева сверху цифру "2")
- актуализировали "Общее, домены, поддомены" с учетом добавления MLSecOps
Ну и если сделали два релиза (в одном), то почему бы не сделать и третий, верно?😉 Вышел релиз английской версии DAF! Лайк, шер, репост своим зарубежным коллегам!☺️
С наступающим новым годом, друзья! Все подводят итоги года, а мы запрыгиваем в последний вагон трудовых будней 2025 года с очередным релизом DAF!
Первая часть релиза (что добавилось и изменилось):
1. Актуализировали маппинг на ГОСТ 56939-2024
2. Добавили автомаппинг на BSIMM. Теперь проводя аудит по DAF можно сразу же получать результат относительно 5 фреймворков - ГОСТ 56939, DSOMM, SAMM, BSIMM, PT Table Top
3. Отдельный лист "Карта DAF" решили вовсе убрать, т.к. есть отличное визуальное представление на вкладке "Общее, домены, поддомены" (в нем еще добавили часть MLSecOps)
4. Учли некоторые пожелания пользователей DAF:
- скорректировали формулировки некоторых практик (T-ADI-ART-4-3, T-DEV-SCM-4-3, T-ADI-DEP-3-2, T-DEV-SRC-2-2, T-DEV-SRC-2-3, T-DEV-SRC-3-4, T-DEV-SRC-3-6)
- в выпадающем списке на странице «Практики» добавили вариант «Не заполнено» и по-умолчанию проставили для всех практик (чтобы было явно заметно что именно нужно еще заполнить при аудите)
- добавили на странице «Практики» отдельный столбец "Область действия практики", чтобы можно было заполнить часть практик для одной команды, часть - для группы команд, а еще часть - для всей компании в целом (например, общие на всю компанию регламенты, процессы)
5. Сделали более приятное визуальное оформление
6. Ну и как обычно, исправили битые ссылки, опечатки, прочие косяки с визуалом
Что перенесено на следующий релиз:
1. Новые способы расчета и оформление вкладки "FTE DevSecOps" - к сожалению, 4й квартал нас не пощадил и мы не пришли внутри к общему мнению как же правильно считать. Поэтому переносим на весенний релиз
Вторая часть релиза.
Мы довольно долго обходили вниманием MLSecOps, хотя это направление очень-очень близко нашему классическому DevSecOps. В этом релизе DAF мы исправили это упущение и добавили:
- отдельную вкладку "Практики+MLSecOps" - в ней голубой заливкой выделены отдельные практики MLSecOps, наложенные на обычные практики нашего фреймворка. Это сделано для того, чтобы можно было пользоваться фреймворком как для аудита только DevSecOps (вкладка "Практики"), так и для аудита MLSecOps (вкладка "Практики+MLSecOps"), который является "надстройкой" над DevSecOps
- на вкладке "Результаты аудита" добавили результаты по MLSecOps (эти строки скрыты, раскройте их, нажав слева сверху цифру "2")
- актуализировали "Общее, домены, поддомены" с учетом добавления MLSecOps
Ну и если сделали два релиза (в одном), то почему бы не сделать и третий, верно?😉 Вышел релиз английской версии DAF! Лайк, шер, репост своим зарубежным коллегам!☺️
GitHub
Release 2025.12.26 · Jet-Security-Team/DevSecOps-Assessment-Framework
Список изменений:
Актуализировали маппинг на ГОСТ 56939-2024
Добавили автомаппинг на BSIMM. Теперь проводя аудит по DAF можно сразу же получать результат относительно 5 фреймворков - ГОСТ 56939, D...
Актуализировали маппинг на ГОСТ 56939-2024
Добавили автомаппинг на BSIMM. Теперь проводя аудит по DAF можно сразу же получать результат относительно 5 фреймворков - ГОСТ 56939, D...
Forwarded from DevSecOps Assessment Framework (DAF)
DevSecOps Assessment Framework (DAF) – A Fresh Approach to Secure Software Development
Good news everyone!
We are pleased to announce that the DevSecOps Assessment Framework (DAF) is now available in English for the international community.
There are many useful frameworks for evaluating the secure development processes, such as SAMM, BSIMM, DSOMM, and Microsoft SDL. However, there is no single framework that clearly describes what must be done and in which order to establish a secure development process, objectively assess existing maturity level, and identify next steps.
The DevSecOps Assessment Framework (DAF) aims to solve this problem. It consolidates recommendations and best practices from various areas of DevSecOps and integrates our community's extensive expertise structured and adapted to modern realities. Some practices from well-known frameworks are not included in DAF, but new and more detailed practices have been added instead. All models, domains, subdomains, and practices are described in clear language to avoid ambiguity and misinterpretation.
Like, share and repost! We would appreciate your feedback!
Good news everyone!
We are pleased to announce that the DevSecOps Assessment Framework (DAF) is now available in English for the international community.
There are many useful frameworks for evaluating the secure development processes, such as SAMM, BSIMM, DSOMM, and Microsoft SDL. However, there is no single framework that clearly describes what must be done and in which order to establish a secure development process, objectively assess existing maturity level, and identify next steps.
The DevSecOps Assessment Framework (DAF) aims to solve this problem. It consolidates recommendations and best practices from various areas of DevSecOps and integrates our community's extensive expertise structured and adapted to modern realities. Some practices from well-known frameworks are not included in DAF, but new and more detailed practices have been added instead. All models, domains, subdomains, and practices are described in clear language to avoid ambiguity and misinterpretation.
Like, share and repost! We would appreciate your feedback!
GitHub
Release 2025.12.25 · Jet-Security-Team/DevSecOps-Assessment-Framework-ENG
DAF_public_eng_v1.xlsx
Поздравляю всех читателей канала с наступающим 2026!
Год был непростой для автора и нашей сферы!
Автор постарается в новом году приносить вам больше актуальных полезных практик и новостей!
Желаю всем в новом году новых карьерных высот, освоения новых интересных навыков и новых встреч полных инсайтов!
Год был непростой для автора и нашей сферы!
Автор постарается в новом году приносить вам больше актуальных полезных практик и новостей!
Желаю всем в новом году новых карьерных высот, освоения новых интересных навыков и новых встреч полных инсайтов!
👍6