Forwarded from DevSecOps Talks
Новый релиз JCSF!
Чудеса случаются, если в них верить! Доказательство этому - новый релиз JCSF! 😊
В этой версии мы:
1. Актуализировали формулировки и скорректировали уровни зрелости для некоторых практик
2. Добавили маппинг и вкладки с автомаппингом на CIS RHEL и CIS Debian
3. Для соответствующих практик указали маппинг на Угрозы Безопасности Информации (УБИ) ФСТЭК
4. Причесали дизайн и внешний вид
В планах:
1. Сделать расчет FTE на задачи ИБ в средах контейнеризации и контейнерной оркестрации
2. Актуализировать связь контролей (вкладка "Контроли") и соответствующих групп практик
Если у вас есть вопросы или непреодолимое желание поучаствовать в развитии Jet Container Security Framework (JCSF) - обязательно пишите нам здесь в комментариях или на почту dso@jet.su
Чудеса случаются, если в них верить! Доказательство этому - новый релиз JCSF! 😊
В этой версии мы:
1. Актуализировали формулировки и скорректировали уровни зрелости для некоторых практик
2. Добавили маппинг и вкладки с автомаппингом на CIS RHEL и CIS Debian
3. Для соответствующих практик указали маппинг на Угрозы Безопасности Информации (УБИ) ФСТЭК
4. Причесали дизайн и внешний вид
В планах:
1. Сделать расчет FTE на задачи ИБ в средах контейнеризации и контейнерной оркестрации
2. Актуализировать связь контролей (вкладка "Контроли") и соответствующих групп практик
Если у вас есть вопросы или непреодолимое желание поучаствовать в развитии Jet Container Security Framework (JCSF) - обязательно пишите нам здесь в комментариях или на почту dso@jet.su
GitHub
Release 13.02.2026 · Jet-Security-Team/Jet-Container-Security-Framework
Список изменений:
Актуализировали формулировки и скорректировали уровни зрелости для некоторых практик
Добавили маппинг и вкладки с автомаппингом на CIS RHEL и CIS Debian
Для соответствующих практ...
Актуализировали формулировки и скорректировали уровни зрелости для некоторых практик
Добавили маппинг и вкладки с автомаппингом на CIS RHEL и CIS Debian
Для соответствующих практ...
Forwarded from AlexRedSec
Раффаэль Марти, довольно известная личная в ИБ-сообществе, представил свою модель оценки зрелости SIEM и AI SOC, которая призвана объективно оценить зрелость платформ безопасности, прежде всего, опираясь на архитектурные и операционные возможности, исключая классический подход на основе списка функций, дорожных карт и маркетинговых обещаний.
Основная цель новой модели — понять, насколько система способна работать автономно и адаптироваться к изменениям. Фреймворк использует систему оценки от 1 (Legacy/Manual) до 5 (Autonomous/AI-driven) для различных категорий, сгруппированных по четырем доменам:
🔘 Данные и управление
🟢 Федерализация данных
🟢 Оптимизация конвейера
🟢 Осведомленность о данных
🟢 Производительность
🟢 Современный ИИ
🔘 Детектирование и обучение
🟢 Поиск гипотез
🟢 Автоматическая настройка
🟢 Адаптивное детектирование
🟢 Память детектирования
🔘 Риски и контекст
🟢 Осведомленность об активах
🟢 Оценка риска в реальном времени
🟢 Контекст риска
🟢 Бизнес-контекст
🔘 Операционная реальность
🟢 Интерфейс запросов
🟢 Автоматизация триажа
🟢 Обнаружение слепых зон
🟢 Готовность к применению мер в режиме реального времени.
По итогам оценки категорий автор рекомендует обращать внимание не на общий средний балл, а на разрывы между оцениваемыми доменами, т.к. это позволит выявить структурные слабости используемого решения: например, высокий балл за ИИ-функционал, но низкий за качество данных означает, что ИИ будет принимать решение на основе ненадежных данных.
Подробнее про домены и категории можно почитать в блоге автора, оценить используемый SIEM можно на сайте фреймворка или здесь скачать эксельку для оффлайн оценки.
#framework #maturity #soc #siem #ai
Основная цель новой модели — понять, насколько система способна работать автономно и адаптироваться к изменениям. Фреймворк использует систему оценки от 1 (Legacy/Manual) до 5 (Autonomous/AI-driven) для различных категорий, сгруппированных по четырем доменам:
По итогам оценки категорий автор рекомендует обращать внимание не на общий средний балл, а на разрывы между оцениваемыми доменами, т.к. это позволит выявить структурные слабости используемого решения: например, высокий балл за ИИ-функционал, но низкий за качество данных означает, что ИИ будет принимать решение на основе ненадежных данных.
Подробнее про домены и категории можно почитать в блоге автора, оценить используемый SIEM можно на сайте фреймворка или здесь скачать эксельку для оффлайн оценки.
#framework #maturity #soc #siem #ai
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from Timur Nizamov
https://habr.com/ru/companies/alfa/articles/994378/
Промпт-инъекции — это не первопричина, а симптом более глубоких архитектурных проблем в безопасности ИИ-агентов. Об этом я написал статью на Хабр
Промпт-инъекции — это не первопричина, а симптом более глубоких архитектурных проблем в безопасности ИИ-агентов. Об этом я написал статью на Хабр
Хабр
Почему промпт-инъекции — это симптом, а не болезнь безопасности ИИ
Что вы представляете, когда кто-то говорит об AI-driven компании? Может быть, как чат-боты улучшают опыт клиентов? Или как сотрудники разворачивают любые модели для своих нужд? А может, как ИИ-агенты...
👏1
Интересный инструмент. На мой взгляд, подойдет для курсов обучения или если вы полностью доверяете как себе автору плагину и хрома =)
Forwarded from DevSecOps Talks
Guardon: анализ манифестов… в браузере!
Всем привет!
Для анализа Kubernetes-манифестов на соответствие лучшим практикам по информационной безопасности есть «проверенные временем» решения.
Например, Kyverno и OPA Gatekeeper.
Работают они перед тем, как ресурс будет создан в кластере. Хочется левее? И это можно. Например, в CI/CD. Еще левее? И да, так тоже можно!
Например, с использованием Guardon. Он представляет из себя браузерное расширение (Chrome), которое анализирует просматриваемые манифесты «прямо на месте».
Что он может:
🍭 Создавать правила с использованием собственного конструктора
🍭 Находить «проблемные места» в открытом манифесте
🍭 Предлагать решение найденных недостатков (генерация обновлённого yaml)
🍭 Копировать полученный результат для дальнейшей работы
🍭 Объяснять почему так (не) надо делать
🍭 Импортировать правила из Kyverno (пока что реализован прототип)
🍭Даже тёмная тема есть!!!
Удобно, что конструктор правил позволяет добавить необходимую информацию «от себя».
Посмотреть на него «в действии» можно в ролике, указанном в репозитории.
Да, достаточно молодая разработка, но выглядит достаточно интересно и подход может применяться на практике.
А вы бы стали использовать нечто подобное?
Всем привет!
Для анализа Kubernetes-манифестов на соответствие лучшим практикам по информационной безопасности есть «проверенные временем» решения.
Например, Kyverno и OPA Gatekeeper.
Работают они перед тем, как ресурс будет создан в кластере. Хочется левее? И это можно. Например, в CI/CD. Еще левее? И да, так тоже можно!
Например, с использованием Guardon. Он представляет из себя браузерное расширение (Chrome), которое анализирует просматриваемые манифесты «прямо на месте».
Что он может:
🍭 Создавать правила с использованием собственного конструктора
🍭 Находить «проблемные места» в открытом манифесте
🍭 Предлагать решение найденных недостатков (генерация обновлённого yaml)
🍭 Копировать полученный результат для дальнейшей работы
🍭 Объяснять почему так (не) надо делать
🍭 Импортировать правила из Kyverno (пока что реализован прототип)
🍭
Удобно, что конструктор правил позволяет добавить необходимую информацию «от себя».
Посмотреть на него «в действии» можно в ролике, указанном в репозитории.
Да, достаточно молодая разработка, но выглядит достаточно интересно и подход может применяться на практике.
А вы бы стали использовать нечто подобное?
GitHub
GitHub - sajal-n/guardon: Browser extension for Kubernetes YAML guardrails – security & compliance linting directly in GitHub/GitLab.
Browser extension for Kubernetes YAML guardrails – security & compliance linting directly in GitHub/GitLab. - sajal-n/guardon
Forwarded from Dealer.AI
Видение будущего с Agentic AI от Google.
На фоне новости о переходе создателя OpenClaw в OpenAI
подписчик поделился файлом отчета Google Cloud "Тренды AI-агентов 2026".
Отчет описывает пять ключевых сдвигов, которые, по мнению экспертов Google, переопределят роли сотрудников, рабочие процессы и бизнес-ценность в 2026 году, да и вообще в будущем.
Введение: Новая эра – Эра Агентного ИИ. Отчет начинается с тезиса о том, что в 2026 году фокус бизнеса смещается с обсуждения далекого будущего и AGI на практическое внедрение агентного ИИ. Если традиционный ИИ, включая простые чат-боты, отвечает на вопросы, то агентный ИИ понимает цель, строит план и выполняет действия (ReAct парадигма) в различных приложениях для ее достижения, оставаясь под контролем человека.
Это фундаментальный сдвиг от "дополнительного" инструмента к AI-first процессу, который требует изменения корпоративной культуры, найма, мышления.
Пять главных трендов AI-агентов в 2026 году
1. Агенты для каждого сотрудника. Так называемое расширенние с помощью ИИ возможностей личности для достижения пиковой продуктивности.
Новая рабочая модель: Каждый сотрудник становится супервайзером команды специализированных агентов. Его главная задача – не выполнять рутинные задачи, а управлять агентами, используя знание контекста компании (внутренние базы данных, CRM и т.д.).
Новые обязанности сотрудника:
1. Делегирование рутинных задач агентам.
2. Постановка целей для агентов.
3. Определение стратегии и принятие финальных решений.
4. Верификация качества работы агентов. Ключевой принцип: "заземление"– привязка ответов агентов к проверенным фактам и внутренним данным компании, что повышает точность и надежность.
Статистика: 52% руководителей в компаниях, использующих генеративный ИИ, уже внедрили агентов в производство. Среди них 49% используют их в клиентском сервисе, 46% – в маркетинге и безопасности.
2. Агенты для каждого рабочего процесса. Управление бизнесом с помощью заземленных агентных систем.
Здесь речь идет о создании "цифровых сборочных линий" – многоэтапных рабочих процессов, которые управляют целыми бизнес-процессами от начала до конца под наблюдением человека. Ценность заключается в том, чтобы заставить бизнес работать умнее, эффективнее и круглосуточно.
Ключевые протоколы настоящего и будущего:
· A2A (Agent2Agent): Открытый стандарт, позволяющий агентам от разных разработчиков и компаний взаимодействовать друг с другом. Например, агент медиакомпании связывается с агентом ритейлера.
· MCP очевидно.
· AP2 (Agent Payments Protocol). Протокол, который уже есть у Google для агентных платежей, решающий вопросы безопасности и подтверждения полномочий, когда не-человек инициирует транзакцию.
3. Агенты для ваших клиентов
Удовлетворение клиентов с помощью сервиса уровня консьержа. Эра простых чат-ботов с заранее прописанными сценариями уходит. В 2026 году их сменят "консьерж-агенты", которые помнят историю взаимодействия, предпочтения клиента и решают проблемы проактивно, обеспечивая персонализированный опыт один на один. Клиенту больше не нужно каждый раз представляться заново. Агент, благодаря доступу к CRM и данным логистики, сразу знает контекст.
· Старый чат-бот: Введите номер заказа.
· Новый консьерж-агент: «Здравствуйте, Елизавета! Вы по поводу синего свитера, купленного на прошлой неделе? Он уже доставлен. Вы хотите его вернуть или обменять?»
4. Агенты для безопасности.
Переход от оповещений к действиям. Современные центры безопасности страдают от усталости ввиду оповещений – 82% аналитиков обеспокоены, что пропускают реальные угрозы в потоке данных. Агенты могут взять на себя анализ, расследование и даже реагирование на угрозы, действуя как сила-умножитель для команды. Однако и они же являются новым инструментами для атак.
Принцип работы агентного SOC – выстраивание цикла полуавтономных операций. Агенты могут общаться через протокол A2A, использовать общие данные и адаптироваться в реальном времени. Новая роль аналитика безопасности в таком случае:
продолжение ниже👇 👇 👇 👇
На фоне новости о переходе создателя OpenClaw в OpenAI
подписчик поделился файлом отчета Google Cloud "Тренды AI-агентов 2026".
Отчет описывает пять ключевых сдвигов, которые, по мнению экспертов Google, переопределят роли сотрудников, рабочие процессы и бизнес-ценность в 2026 году, да и вообще в будущем.
Введение: Новая эра – Эра Агентного ИИ. Отчет начинается с тезиса о том, что в 2026 году фокус бизнеса смещается с обсуждения далекого будущего и AGI на практическое внедрение агентного ИИ. Если традиционный ИИ, включая простые чат-боты, отвечает на вопросы, то агентный ИИ понимает цель, строит план и выполняет действия (ReAct парадигма) в различных приложениях для ее достижения, оставаясь под контролем человека.
Это фундаментальный сдвиг от "дополнительного" инструмента к AI-first процессу, который требует изменения корпоративной культуры, найма, мышления.
Пять главных трендов AI-агентов в 2026 году
1. Агенты для каждого сотрудника. Так называемое расширенние с помощью ИИ возможностей личности для достижения пиковой продуктивности.
Новая рабочая модель: Каждый сотрудник становится супервайзером команды специализированных агентов. Его главная задача – не выполнять рутинные задачи, а управлять агентами, используя знание контекста компании (внутренние базы данных, CRM и т.д.).
Новые обязанности сотрудника:
1. Делегирование рутинных задач агентам.
2. Постановка целей для агентов.
3. Определение стратегии и принятие финальных решений.
4. Верификация качества работы агентов. Ключевой принцип: "заземление"– привязка ответов агентов к проверенным фактам и внутренним данным компании, что повышает точность и надежность.
Статистика: 52% руководителей в компаниях, использующих генеративный ИИ, уже внедрили агентов в производство. Среди них 49% используют их в клиентском сервисе, 46% – в маркетинге и безопасности.
2. Агенты для каждого рабочего процесса. Управление бизнесом с помощью заземленных агентных систем.
Здесь речь идет о создании "цифровых сборочных линий" – многоэтапных рабочих процессов, которые управляют целыми бизнес-процессами от начала до конца под наблюдением человека. Ценность заключается в том, чтобы заставить бизнес работать умнее, эффективнее и круглосуточно.
Ключевые протоколы настоящего и будущего:
· A2A (Agent2Agent): Открытый стандарт, позволяющий агентам от разных разработчиков и компаний взаимодействовать друг с другом. Например, агент медиакомпании связывается с агентом ритейлера.
· MCP очевидно.
· AP2 (Agent Payments Protocol). Протокол, который уже есть у Google для агентных платежей, решающий вопросы безопасности и подтверждения полномочий, когда не-человек инициирует транзакцию.
3. Агенты для ваших клиентов
Удовлетворение клиентов с помощью сервиса уровня консьержа. Эра простых чат-ботов с заранее прописанными сценариями уходит. В 2026 году их сменят "консьерж-агенты", которые помнят историю взаимодействия, предпочтения клиента и решают проблемы проактивно, обеспечивая персонализированный опыт один на один. Клиенту больше не нужно каждый раз представляться заново. Агент, благодаря доступу к CRM и данным логистики, сразу знает контекст.
· Старый чат-бот: Введите номер заказа.
· Новый консьерж-агент: «Здравствуйте, Елизавета! Вы по поводу синего свитера, купленного на прошлой неделе? Он уже доставлен. Вы хотите его вернуть или обменять?»
4. Агенты для безопасности.
Переход от оповещений к действиям. Современные центры безопасности страдают от усталости ввиду оповещений – 82% аналитиков обеспокоены, что пропускают реальные угрозы в потоке данных. Агенты могут взять на себя анализ, расследование и даже реагирование на угрозы, действуя как сила-умножитель для команды. Однако и они же являются новым инструментами для атак.
Принцип работы агентного SOC – выстраивание цикла полуавтономных операций. Агенты могут общаться через протокол A2A, использовать общие данные и адаптироваться в реальном времени. Новая роль аналитика безопасности в таком случае:
продолжение ниже
Please open Telegram to view this post
VIEW IN TELEGRAM
X (formerly Twitter)
Sam Altman (@sama) on X
Peter Steinberger is joining OpenAI to drive the next generation of personal agents. He is a genius with a lot of amazing ideas about the future of very smart agents interacting with each other to do very useful things for people. We expect this will quickly…
Forwarded from Dealer.AI
- Охота за угрозами. Аналитик использует интуицию, чтобы дать агенту задание. «Проверь этот сервер на необычный исходящий трафик».
- Супервизия, контроль. Настройка правил взаимодействия агентов и контроль их автоматических ответов.
- Стратегическая защита. Фокус на долгосрочном укреплении безопасности, а не на «тушении пожаров». По сути те же роли, что у разрабов+agents, только на языке SOC.
5. Агенты для масштабирования.
Повышение квалификации как главный драйвер бизнес-ценности. Технологии– это лишь половина уравнения. Вторая, критически важная половина это люди. Разрыв в навыках растет: «период полураспада» профессионального навыка сейчас составляет 4 года, а в IT - всего 2 года. Успех внедрения агентов напрямую зависит от инвестиций в обучение сотрудников. Помните выше посты про институт джунов и синьоров, а также новость, что компании снова взяли на себя роль обучения?👍
Статистика:
· 82% руководителей считают, что обучение помогает опережать конкурентов в гонке ИИ.
· 71% компаний отмечают рост выручки после инвестиций в обучение.
· 84% сотрудников хотят, чтобы их организация больше фокусировалась на ИИ.
Пять столпов стратегии обучения в компании, для повышения adoption:
1. Цели. Четко определить измеримые цели (например, 100% adoption ИИ-инструментов).
2. Спонсорство. Создать команду из трех ролей: исполнительный спонсор (финансирование), лидер инициативы (коммуникация) и AI-акселератор (техническая реализация).
3. Поддержание темпа/интереса. Геймификация, доски лидеров, еженедельные рассылки и квартальные премии за инновации.
4. Интеграция в рутину. Внутренние хакатоны и "работа в полях" для отработки навыков.
5. Управление рисками и создание цифровой дисциплины/гигиены в работе с ИИ инструментамм. Обучение сотрудников основам безопасности при работе с ИИ (какие данные можно загружать, как распознать ИИ-фишинг). Этот пункт я очень люблю, тк какие бы guardrails у вас не были, они не дают 100% надежности к утечке перс данных или NDA. Только воспитание цифровой гигиены у ваших сотрудников, может спасти вас от репутационных рисков.
Заключение:
Путь к агентным системам может быть сложным, но истинная ценность заключается не только в конечном продукте, но и в инновациях и оптимизации, которые происходят в процессе. Компании, которые экспериментируют сегодня, создают критически важный внутренний опыт для управления, контроля и масштабирования ИИ. Возможности 2026 года – это не просто технологии. Это возможность освободить команды от повторяющейся рутины, чтобы они могли сосредоточиться на творческих, стратегических и человеческих задачах. Доступ к агентному ИИ демократизирует инсайты, инновации и рост, но требует огромной ответственности за обеспечение безопасных, этичных и справедливых результатов для всех.
- Супервизия, контроль. Настройка правил взаимодействия агентов и контроль их автоматических ответов.
- Стратегическая защита. Фокус на долгосрочном укреплении безопасности, а не на «тушении пожаров». По сути те же роли, что у разрабов+agents, только на языке SOC.
5. Агенты для масштабирования.
Повышение квалификации как главный драйвер бизнес-ценности. Технологии– это лишь половина уравнения. Вторая, критически важная половина это люди. Разрыв в навыках растет: «период полураспада» профессионального навыка сейчас составляет 4 года, а в IT - всего 2 года. Успех внедрения агентов напрямую зависит от инвестиций в обучение сотрудников. Помните выше посты про институт джунов и синьоров, а также новость, что компании снова взяли на себя роль обучения?
Статистика:
· 82% руководителей считают, что обучение помогает опережать конкурентов в гонке ИИ.
· 71% компаний отмечают рост выручки после инвестиций в обучение.
· 84% сотрудников хотят, чтобы их организация больше фокусировалась на ИИ.
Пять столпов стратегии обучения в компании, для повышения adoption:
1. Цели. Четко определить измеримые цели (например, 100% adoption ИИ-инструментов).
2. Спонсорство. Создать команду из трех ролей: исполнительный спонсор (финансирование), лидер инициативы (коммуникация) и AI-акселератор (техническая реализация).
3. Поддержание темпа/интереса. Геймификация, доски лидеров, еженедельные рассылки и квартальные премии за инновации.
4. Интеграция в рутину. Внутренние хакатоны и "работа в полях" для отработки навыков.
5. Управление рисками и создание цифровой дисциплины/гигиены в работе с ИИ инструментамм. Обучение сотрудников основам безопасности при работе с ИИ (какие данные можно загружать, как распознать ИИ-фишинг). Этот пункт я очень люблю, тк какие бы guardrails у вас не были, они не дают 100% надежности к утечке перс данных или NDA. Только воспитание цифровой гигиены у ваших сотрудников, может спасти вас от репутационных рисков.
Заключение:
Путь к агентным системам может быть сложным, но истинная ценность заключается не только в конечном продукте, но и в инновациях и оптимизации, которые происходят в процессе. Компании, которые экспериментируют сегодня, создают критически важный внутренний опыт для управления, контроля и масштабирования ИИ. Возможности 2026 года – это не просто технологии. Это возможность освободить команды от повторяющейся рутины, чтобы они могли сосредоточиться на творческих, стратегических и человеческих задачах. Доступ к агентному ИИ демократизирует инсайты, инновации и рост, но требует огромной ответственности за обеспечение безопасных, этичных и справедливых результатов для всех.
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from AI да парень! / Sergei Notevskii
Дипсик можно не ждать.
Qwen опять выкатили модель, которую все будут использовать ближайшие полгода.
Qwen3.5-397B-A17B
Кратко:
- Гибридная архитектура как у Qwen-Next (Gated Delta+MoE).
Те скорость будет очень хорошей относительно конкурентов. Я давно порывался написать хвалебные отзывы на Qwen-Next, который выдает 140токенов/сек на A100 при условии квантизации AWQ и при этом отвечает лучше того же Qwen3-32b(dense), но уже видимо поздно.
- VL под капотом, понимание изображений лучше чем qwen3-vl.
- По бенчмаркам (тут не особо верим, но надеемся) - на уровне gpt 5.2 и opus 4.5
- Можно запустить на своем ноутбуке с 4xH100.Да тут я троллю
Ждем квантизаций и мелких собратьев.
Qwen опять выкатили модель, которую все будут использовать ближайшие полгода.
Qwen3.5-397B-A17B
Кратко:
- Гибридная архитектура как у Qwen-Next (Gated Delta+MoE).
Те скорость будет очень хорошей относительно конкурентов. Я давно порывался написать хвалебные отзывы на Qwen-Next, который выдает 140токенов/сек на A100 при условии квантизации AWQ и при этом отвечает лучше того же Qwen3-32b(dense), но уже видимо поздно.
- VL под капотом, понимание изображений лучше чем qwen3-vl.
- По бенчмаркам (тут не особо верим, но надеемся) - на уровне gpt 5.2 и opus 4.5
- Можно запустить на своем ноутбуке с 4xH100.
Ждем квантизаций и мелких собратьев.
👍1
Такие прогнозы как минимум полезны для вендоров VM для планирования сколько уязов добавить придется в базу ;)
Forwarded from Управление Уязвимостями и прочее
FIRST выложили 11 февраля прогноз по количеству новых CVE-шек, которые заведут в 2026 году и в последующие годы. В 2026 году целятся в 59 427, но предполагают интервал от 30 012 до 117 673. В настолько широкий интервал наверняка попадут. 😉
📈 Такие прогнозы выглядят занимательно, но их практическая полезность не очевидна. Непонятно, что это будут за уязвимости? Какого типа? В каких продуктах? Насколько критичными они будут? Насколько эксплуатабельными? Просто пытаются угадать число идентификаторов, которые заведёт непонятно кто и непонятно зачем. 🙃
Вызывает вопросы и то, почему вдруг медианное значение в 2027 и 2028 годах должно снизиться. С чего вдруг? Разработка продуктов станет намного безопаснее за счёт ИИ? Или какие-то CNA-организации (например, Linux Kernel 🙄) перестанут вдруг плодить CVE на каждый чих? К сожалению, FIRST это не поясняют. 🤷♂️
🎯 Ещё один прогноз от CVE Forecast (Jerry Gamblin) целится в 50 022 CVE-идентификаторов.
@avleonovrus #FIRST #CVEorg #NVD #Mitre #CVEForecast #JerryGamblin
📈 Такие прогнозы выглядят занимательно, но их практическая полезность не очевидна. Непонятно, что это будут за уязвимости? Какого типа? В каких продуктах? Насколько критичными они будут? Насколько эксплуатабельными? Просто пытаются угадать число идентификаторов, которые заведёт непонятно кто и непонятно зачем. 🙃
Вызывает вопросы и то, почему вдруг медианное значение в 2027 и 2028 годах должно снизиться. С чего вдруг? Разработка продуктов станет намного безопаснее за счёт ИИ? Или какие-то CNA-организации (например, Linux Kernel 🙄) перестанут вдруг плодить CVE на каждый чих? К сожалению, FIRST это не поясняют. 🤷♂️
🎯 Ещё один прогноз от CVE Forecast (Jerry Gamblin) целится в 50 022 CVE-идентификаторов.
@avleonovrus #FIRST #CVEorg #NVD #Mitre #CVEForecast #JerryGamblin
Всем привет!
На случай проблем с ТГ - резервная ссылка на приватный канал в Max.
Канал в Max полноценно оживет только в случае значительных проблем с ТГ.
А пользователям Max рекомендую для частичной минимизации рисков использования приложения:
1. В настройках безопасности включить "Безопасный режим" (ограничивает контактами тех кто могут вам написать/пригласить в чат....).
2. Включить пароль для защиты профиля.
3. Проверить выданные права приложению в настройках операционной системы и оставить только необходимые.
p.s. проверьте папку спам, если не получите кода на почту при включении пароля для защиты профиля.
На случай проблем с ТГ - резервная ссылка на приватный канал в Max.
Канал в Max полноценно оживет только в случае значительных проблем с ТГ.
А пользователям Max рекомендую для частичной минимизации рисков использования приложения:
1. В настройках безопасности включить "Безопасный режим" (ограничивает контактами тех кто могут вам написать/пригласить в чат....).
2. Включить пароль для защиты профиля.
3. Проверить выданные права приложению в настройках операционной системы и оставить только необходимые.
p.s. проверьте папку спам, если не получите кода на почту при включении пароля для защиты профиля.
👌2
У меня напрашивается сравнение ИИ с изобретением паровых двигателей, пороха или даже работы Опенгеймера и его коллег.
Разрыв в возможностях доверенных ИИ у государств, компаний и злоумышленников может стать определяющим в исходах кибератак.
Как думаете чем сейчас возможно компенсировать быструю реакцию ИИ у себя?
Снизить площадь атаки, soc с sla сравнимым с скоростью ИИ, 0 терпимость к уязвимостям на периметре?
На сколько это увеличит ваше время выхода на рынок и ваши расходы?
Действительно, живём в уникальное время.
Разрыв в возможностях доверенных ИИ у государств, компаний и злоумышленников может стать определяющим в исходах кибератак.
Как думаете чем сейчас возможно компенсировать быструю реакцию ИИ у себя?
Снизить площадь атаки, soc с sla сравнимым с скоростью ИИ, 0 терпимость к уязвимостям на периметре?
На сколько это увеличит ваше время выхода на рынок и ваши расходы?
Действительно, живём в уникальное время.
Forwarded from Пост Лукацкого
Продолжаю наблюдение за ИИ. Надысь Anthropic выпустила презанятнейший материал Anthropic Red, в котором говорится, что новая модель Claude Opus 4.6 "из коробки" находит уязвимости в хорошо "вылизанных" проектах и делает это не как фаззер, а как исследователь – читает код, историю коммитов, ищет непокрытые пути и строит PoC. Они заявляют, что нашли и провалидировали 500 с лишним критичных багов, часть которого в коде, который годами гоняли под фаззерами.
Это приводит к интересным выводам. Кто-то пытается посчитать, сколько уязвимостей будет внесено в CVE в этом году. По версии FIRST их будет 59427 (в интервал от 30012 до 117673). Но мне гораздо ближе более практичный вывод от самого Anthropic, которая считает, что привычные 90-дневные окна раскрытия уязвимостей (disclosure) могут проиграть в борьбе со скоростью и объемом находок, сделанных LLM, которые не стоят на месте и будут развиваться. Если такие инструменты станут массовыми, "мы не успели проверить" перестанет быть оправданием даже для небольших команд.
OpenAI, выпустив GPT-5.3-Codex, говорит, что это первый релиз, который они классифицируют как High по своему фреймворку Preparedness Framework именно в домене кибербезопасности. Они не утверждают, что модель уже доказанно способна полностью автоматизировать кибероперации против защищенных целей, но они не могут исключить, что ее способности приблизились к такому порогу. То есть модель потенциально способна существенно облегчить или автоматизировать полный цикл киберопераций, включая разработку zero-day, их эксплуатацию и масштабирование.
И Anthropic, и OpenAI сами испугались своих детищ и стали ограничивать их в наступательных возможностях. Например, в тексте про 0-days Anthropic описывает новый слой в модели, специально заточенный под обнаружение киберзлоупотреблений, и прямо пишет про возможные вмешательства вплоть до блокировки трафика, если они увидят злые намерения. OpenAI тоже не сидит сложа руки и устанавливает правила по доступу к возможностям своих моделей с точки зрения кибербеза. Они требуют верификацию личности для пользователей (через chatgpt.com/cyber) и доступ для enterprise-команд через представителя OpenAI. Кто хочет более глубокий "кибер-режим", будут приглашены отдельно. Ну и автомониторинг/классификаторы подозрительной активности и запреты на классы поведения (утечки, вредоносы, разрушительное/неавторизованное тестирование). Кроме того, некоторые запросы с повышенным риском могут автоматически "скатываться" с модели GPT-5.3-Codex на "более слабую" GPT-5.2.
В дополнение к происходящим событиям вокруг GPT-5.3-Codex и Claude Opus 4.6, OpenAI только что анонсировала новый режим безопасности в ChatGPT под названием Lockdown Mode (только для корпоративных пользователей). Это опциональный режим повышенной безопасности для ChatGPT, ориентированный на высоко рискованных пользователей, например, руководителей, команды ИБ, юридические команды и организации, где возможна утечка конфиденциальных данных через ИИ. Он жестко ограничивает взаимодействие модели с внешними системами, чтобы снизить риск утечки данных через prompt injection.
В целом, обе компании по сути заявляют: "Мы не уверены, что пересекли красную линию, но готовы вести себя так, как будто пересекли". И исходя из этого предположения они ограничивают обычных пользователей в ИБ-возможностях. Но ведь кого-то они не ограничивают? Ведь правда же?... Кто-то может получить "лицензию на киберубийство" от OpenAI и Anthropic? И если раньше компании защищались аргументом “модель еще не настолько продвинута”, то теперь защита строится по принципу "способности могут развиваться быстрее, чем мы сможем это доказать эмпирически".
В интересное время живем... Продолжаю наблюдать.
#ии #тенденции #оценказащищенности
Это приводит к интересным выводам. Кто-то пытается посчитать, сколько уязвимостей будет внесено в CVE в этом году. По версии FIRST их будет 59427 (в интервал от 30012 до 117673). Но мне гораздо ближе более практичный вывод от самого Anthropic, которая считает, что привычные 90-дневные окна раскрытия уязвимостей (disclosure) могут проиграть в борьбе со скоростью и объемом находок, сделанных LLM, которые не стоят на месте и будут развиваться. Если такие инструменты станут массовыми, "мы не успели проверить" перестанет быть оправданием даже для небольших команд.
OpenAI, выпустив GPT-5.3-Codex, говорит, что это первый релиз, который они классифицируют как High по своему фреймворку Preparedness Framework именно в домене кибербезопасности. Они не утверждают, что модель уже доказанно способна полностью автоматизировать кибероперации против защищенных целей, но они не могут исключить, что ее способности приблизились к такому порогу. То есть модель потенциально способна существенно облегчить или автоматизировать полный цикл киберопераций, включая разработку zero-day, их эксплуатацию и масштабирование.
И Anthropic, и OpenAI сами испугались своих детищ и стали ограничивать их в наступательных возможностях. Например, в тексте про 0-days Anthropic описывает новый слой в модели, специально заточенный под обнаружение киберзлоупотреблений, и прямо пишет про возможные вмешательства вплоть до блокировки трафика, если они увидят злые намерения. OpenAI тоже не сидит сложа руки и устанавливает правила по доступу к возможностям своих моделей с точки зрения кибербеза. Они требуют верификацию личности для пользователей (через chatgpt.com/cyber) и доступ для enterprise-команд через представителя OpenAI. Кто хочет более глубокий "кибер-режим", будут приглашены отдельно. Ну и автомониторинг/классификаторы подозрительной активности и запреты на классы поведения (утечки, вредоносы, разрушительное/неавторизованное тестирование). Кроме того, некоторые запросы с повышенным риском могут автоматически "скатываться" с модели GPT-5.3-Codex на "более слабую" GPT-5.2.
В дополнение к происходящим событиям вокруг GPT-5.3-Codex и Claude Opus 4.6, OpenAI только что анонсировала новый режим безопасности в ChatGPT под названием Lockdown Mode (только для корпоративных пользователей). Это опциональный режим повышенной безопасности для ChatGPT, ориентированный на высоко рискованных пользователей, например, руководителей, команды ИБ, юридические команды и организации, где возможна утечка конфиденциальных данных через ИИ. Он жестко ограничивает взаимодействие модели с внешними системами, чтобы снизить риск утечки данных через prompt injection.
В целом, обе компании по сути заявляют: "Мы не уверены, что пересекли красную линию, но готовы вести себя так, как будто пересекли". И исходя из этого предположения они ограничивают обычных пользователей в ИБ-возможностях. Но ведь кого-то они не ограничивают? Ведь правда же?... Кто-то может получить "лицензию на киберубийство" от OpenAI и Anthropic? И если раньше компании защищались аргументом “модель еще не настолько продвинута”, то теперь защита строится по принципу "способности могут развиваться быстрее, чем мы сможем это доказать эмпирически".
В интересное время живем... Продолжаю наблюдать.
#ии #тенденции #оценказащищенности
На портале совета PCI SSC выложен проектновой версии. PCI Card Production and Provisioning Physical and Logical Security Standards v3.0.1. Доступ к порталу предоставляется только зарегистрированным организациям
https://blog.pcisecuritystandards.org/request-for-comments-pci-card-production-and-provisioning-physical-and-logical-security-standards-v3.0.1
https://blog.pcisecuritystandards.org/request-for-comments-pci-card-production-and-provisioning-physical-and-logical-security-standards-v3.0.1
blog.pcisecuritystandards.org
Request for Comments: PCI Card Production and Provisioning Physical and Logical Security Standards v3.0.1
From 13 February to 16 March, eligible PCI SSC stakeholders are invited to review and provide feedback on the draft PCI Card Production and Provisioning Physical and Logical Security Standards v3.0.1 during a 30-day request for comments (RFC) period.