Мы выпустили платформу безопасной разработки МТС RED ASOC

В условиях роста числа атак и стоимости устранения уязвимостей в программном обеспечении, платформа ASOC (Application Security Orchestration and Correlation) решает ряд задач для создания устойчивого процесса разработки:

1. централизованно управляет встроенными и сторонними инструментами анализа защищённости ПО;
2. обеспечивает сопоставление данных из разных инструментов безопасности в едином формате представления;
3. повышает эффективность обработки уязвимостей.

Страница продукта с подробностями.

CyberSation в каждую компанию!

Под ритм breakbeat вместе с партнерами и клиентами мы подвели итоги года и на нашем мероприятии “CyberSation”анонсировали новые продукты и сервисы кибербезопасности.

Посчитаем:

* 44843 угрозы в 2023 году обнаружил и предотвратил наш Security Operations Center
* 968 уязвимых github-аккаунтов, которые подключаются в зависимостях разработчиков, обнаружила команда ART
* 8 сервисов кибербезопасности и 3 продукта в портфеле обеспечат устойчивость компаний в 2024 году.

А чтобы передать ощущение от прошедшего мероприятия - прикрепляю фотку.

Сервисы кибербезопасности: что такое и зачем?

➰13 декабря в 18:00, НЛК, аудитория 3.4

Продолжаем ориентироваться в карте профессий ИБ. На очереди очень интересная и уважаемая профессия — эксперт SOC и сервисов ИБ

О том, что такое SOC и как им нужно заниматься, расскажет Андрей Олегович Дугин, руководитель центра сервисов кибербезопасности МТС RED

Как можно вкатиться в сервисы кибербезопасности со студенческих лет? Узнаем завтра🔜

Утечки конфиденциальных данных в языковых моделях для генерации кода

Языковые генеративные модели обучаются на большом наборе данных, состоящих из различных строк кода, чтобы потом предоставлять разработчику функции авто-исправления и авто-дополнения. В этих данных могут содержаться конфиденциальные фрагменты, например, персональные данные или даже секреты.

Privacy leaks - это атаки на языковую модель с целью извлечения ценных данных, на которых обучалась эта модель. Среди всех возможных атак на ML, privacy leaks выглядят наиболее интересными с точки зрения последствий:

1. утечка конфиденциальных данных;
2. раскрытие системы принятия решений (структуры модели и ее параметров).

Интересное исследование представлено на конференции USENIX Security. В нем автор показывает пример подобных атак на генеративную модель в Github Copilot:

* составлен метод автоматизированного анализа модели к privacy leaks;
* разработан набор шаблонов с prompt для извлечения чувствительных данных и включен в инструмент анализа;
* даны рекомендации разработчикам для повышения устойчивости генеративных моделей.

Раскапываю сообщения в X, а там Ким с напоминанием.
🤔

Какой спорт лучше подходит для технического специалиста?

Не важно, разработчик, исследователь или лидер R&D-команды, заберись вот на ту гору. А для этого:

* Прокачай хард-скилл: физическая подготовка - это база.
* Проведи планирование: вспомни математику и разработай оптимальный маршрут с учетом особенностей местности. Результаты занеси в бэклог.
* Сделай груминг бэклога: раздели маршрут на спринты, определи экипировку и условия ее использования.
* Проведи ретроспективный анализ по итогам каждого спринта.

Будь готов к незапланированным открытиям в ландшафте и изменениям погодных условий, поэтому agile: каждый спринт вноси корректировки в план.

Между восхождением и разработкой есть много общего. С теми навыками и компетенциями, которые используются в рабочем процессе, можно покорять вершины.

Привет всем, кто нашел этот канал!

Давайте знакомиться. Меня зовут Денис Макрушин, и здесь я рассказываю про кибербезопасность, технологии и людей.

Набор постов, которые помогут лучше понять, что тут происходит:

* Про уязвимости и угрозы, которые несут опасность для людей

* Про разработку систем, которые защищают людей

* Про людей в исследованиях, разработке и информационной безопасности

Навигация в канале:

#Дайджест - подборки материалов и обзоры перспективных исследований

#Инсайт - идеи для исследований и гипотезы для проверки

Есть такая профессия — проектами управлять

На лекции Александра Колесникова мы разбирались, кто такой руководитель проекта, и как на него влияет работа в ИБ.

Вспомним основные тезисы:
* Управление проектами — это отдельная область компетенций и навыков, которую необходимо изучать всем, кто проходит путь от идеи до результата.
* При этом, эта область — лишь часть еще большей работы по созданию современных продуктов, нового программного обеспечения (в том числе в ИБ). Без выстроенной системы управления сложно получить производство качественного ПО.
* Сфера ИБ предъявляет существенные требования к ведению проектов и созданию продуктов на всех этапах жизненного цикла. И кстати, требования ИБ-проектов имеют свою специфику.

Провести, показать, повторить: первое отраслевое мероприятие МТС RED для партнеров и клиентов

Пусть это видео будет чем-то вроде подведения итогов этого года для нашей команды. Мы наконец-то собрались «лицом к лицу» с клиентами, партнерами, журналистами, чтобы рассказать о продуктах и сервисах. А здесь я поделюсь атмосферой события.

Компетенции будущего: текущий и будущий профиль лидера в 2026 году

И снова интересная аналитика от RosExpert. На этот раз объектом исследования стали компетенции и навыки CEO, которые потребуются в 2026 году для достижения актуальных целей и вызовов.

Выделил следующие мысли:

* Ключевым вызовом 2023 года для руководителя был дефицит кадров и удержание талантов. В 2026 в первую очередь будет вестись борьба за человеческие ресурсы, а уже затем за деньги и естественные ресурсы.
* Одним из ключевых навыков 2023 является автоматизация бизнес-процессов. Если кто-то скажет, что менеджер технической команды должен (или не должен) кодить, то теперь правильный ответ: менеджер должен уметь автоматизировать. И в 2026 году это умение будет ключевым. Вместе с умением работать с большими данными.
* 2023 - год тактического управления. 2026 - год стратегов.

И цитата, которую оставлю без интерпретаций:

То, что мы сейчас наблюдаем, это в том числе формирование «управленческого суверенитета». Раньше ты мог прочесть в американской книге по менеджменту ответ на любой свой управленческий вопрос. Сейчас это уже не работает. И вообще, всё, что написано в книгах, сейчас не работает.

report_v.2023.4: release candidate

Садись рядом. Давай обсудим наши итоги года. Не просто перечислим результаты, а выделим именно те, которые имели самый яркий эмоциональный окрас. Сделаем это в формате “параметр: значение”.

Капитал: к команде присоединились 160 исследователей и разработчиков, каждый из которых ведет компанию к технологическому лидерству.

Управляемые сервисы: заново собран и выпущен Security Operations Center, запущены 3 новых сервиса (шифрование каналов связи, Anti-DDoS, Security Awareness).

Продукты: выпущена платформа безопасной разработки ASOC, и успешно прошла стадию пилотирования платформа Cloud & Container Security.

Ключевой исследовательский проект: команда Advanced Research Team (ART), которая обнаружила уязвимость в ОС Windows и проблемы в Github-репозиториях.

Обучение: подготовили курс «Профессии в ИБ» для студентов НИЯУ МИФИ. В открытом доступе опубликованы 4 лекции. Пусть они заряжают всех, кто погружается в информационную безопасность.

Ключевой инсайт: открыл для себя теорию решения изобретательских задач (ТРИЗ) в контексте разработки управленческих решений.

Ключевой результат: наше с тобой знакомство.

С наступающим Новым Годом!

Для тех, кому дома скучно, а на улице холодно: метод поиска n-day уязвимостей в бинарном коде

Люблю и иногда практикую фаззинг для поиска дефектов в ПО. Если сегодня взять какой-нибудь непопулярный таргет, подготовить стенд и запустить тесты, то к концу праздничной недели можно найти пачку интересных уязвимостей.

В дополнение к уже известным техникам добавилось свежее исследование, которое точно нужно воспроизвести: “BinGo: Identifying Security Patches in Binary Code with Graph Representation Learning”.

Интересный метод поиска security-патчей в бинарном коде приложений. Актуален для тех случаев, когда владелец приложения скрыто исправляет какие-либо уязвимости в своем коде без регистрации CVE или без описания в change log. Помогает выявлять n-day уязвимости.

Метод основан на представлении бинарного файла в виде Code Property Graph - промежуточном представлении кода, изначально разработанном для анализа его безопасности. CPG включает в себя абстрактное синтаксическое дерево, граф потока управления и зависимости данных.

Особенность этого метода заключается в разработанной модели обнаружения security-исправлений, которая сравнивает бинарные файлы до и после исправления. И использует для этого сиамскую нейронную сеть, которая позволяет выделить сходство или различие между бинарями.

Уровень обнаружения security-патчей среди прочих модификаций бинарного кода: 80,77%. Отлично! Осталось вернуться домой из леса и подобрать интересные таргеты.

О профессиях, процессах и технологиях в управляемых сервисах безопасности

Чем занимается Security Operations Center? Основные тезисы открытой лекции «Эксперт SOC и сервисов ИБ», которую провел Андрей Дугин, руководитель центра сервисов кибербезопасности МТС RED:

* ключевая ценность и суть управляемых сервисов кибербезопасности — в экспертизе.
* Даже человек с многолетним опытом в ИБ может «клюнуть» на фишинговую рассылку.
* Обнаружить угрозу - недостаточно. Нужно оперативно снизить ее воздействие на бизнес. Звучит не так тривиально, как кажется.

Подробности о сервисах SOC, WAF, anti-DDoS, Security Awareness, о том, как они работают, и какие эксперты для этого нужны - в видео-записи лекции.

🤔 А что, если использовать метод определения security-патчей для выявления закладок в бинарном коде?

Гипотеза: метод и система определения security-исправлений в бинарном коде может быть применима для выявления вредоносных модификаций (закладок/имплантов) в приложениях.

Этапы исследования для проверки гипотезы:
1. подбор примеров (семплов) модификаций кода, являющихся закладками;
2. формирование CFG для подобранных семплов;
3. обучение сиамской сети для определения сходства заданного CFG с целевым CFG, полученным от семплов.

А теперь вопрос: студент направления ИБ, готов ли ты взять эту работу в качестве темы своей курсовой в весеннем семестре? Если да, то пиши в ЛС (контакты в описании канала).

Вы готовы, самураи?

Сетевая ИБ, оверлейные технологии, DevSecOps, криптография, стеганография, обнаружение и противодействие атакам, поиск уязвимостей, безопасность ОС, технологии блокчейн..
Это наиболее популярные тематики научно-исследовательских работ на кафедре

> Только начало: уже загружено 650 страниц ваших отчетов о НИР (средний объем отчета 59 страниц)
> Идейно работы можно разделить на 3 типа: разработка программных решений, исследовательские, а также связанные с учебным процессом кафедры и в перспективе интегрируемые в него

Шепотом можно произнести: пора думать о НИР следующего семестра

Информация для тех, кто готов. Наш преподаватель Денис Николаевич Макрушин предлагает в рамках НИР проверить такую гипотезу — метод и система определения security-исправлений в бинарном коде могут быть применимы для выявления вредоносных модификаций в приложениях

🌀Подробнее о методе

Разработчик, будь внимательнее: уязвимость в GitLab позволяет захватить учетную запись

CVE-2023-7028 позволяет атакующему изменить значение электронной почты в механизме восстановления пароля при отправке специально сформированного запроса, в котором нулевой элемент массива содержит действительный email, а следующий элемент - email злоумышленника.

Уязвимые версии:

все версии с 16.1 до 16.1.6,
16.2 до 16.2.9,
16.3 до 16.3.7,
16.4 до 16.4.5,
16.5 до 16.5.6,
16.6 до 16.6.4,
16.7 до 16.7.2.

PoC: 1, 2.