Варианты тем дебатов по ИБ
1. Безопасность vs. Приватность
- должно ли государтсво встраивать бэкдоры в криптографию (или депонировать ключи)?
да: так как можно бороться с терроризмом, мошенничеством и т.п.
нет: так как теряется тайна личных переписок
- анонимность в интернете - это хорошо или плохо? (тема полуфинала)
да: так как это способтсвует свободе слова
нет: так как за базар надо отвечать
2. Безопасность vs. Требовния правообладателя: можно ли нарушать лицензионное соглашение для целей исследования безопасности (дело Майкла Линна из ISS против Cisco, Дима Скларов из Элкомсофта против Adobe)
да, так как это повышает качество продукта и защищает наши права, права потребителей
нет, так как закон нарушать нельзя, ибо правообладатель не разрешил явно
3. Отрицательная мотивация
- Стоит ли увольнять CISO из-за инцидентов ИБ
да: за прохую работу надо платить
нет: у него появился бесценный опыт
- Вообще, если сотрудник допустил ошибку и расследование показало, что злого умысла не было, его стоит наказывать? (тема полуфинала)
да: так как за все надо платить и это будет ему уроком
нет: так как были объективные причины, и виной всему обстоятельства, а наказине демотиврует и мы получим худший результат
4. Open-source проекты безопаснее проприетарных
да: так как открыт код для аудита
нет: так как код изучают и атакующие, не всегда понятно кто туда что коммитит, история знает случаи закладок (хотя и в проприетарных тоже)
5. Чем строже compliance, тем выше безопасность => государство должно ужесточать требования
да: стандарты дисциплинируют и задают базовый уровень, а ответственность стимулирует исполнять
нет: compliance != безопасность и появляюется новый вид апродуктивной деятельности - обход комплаенса, к тому же может создаваться опасная иллюзия безопасности, как раз из-за комплаенса
6. Этичен ли hack-back?
да: если меня атаковали, я имею права на активную защиту (в том числе 3rd party инфраструктуру, которая использовалась злоумышленниками)
нет: так как это может вести к злоупотреблениям и основаниям для хакерских атак
7. Этично ли нанимать на работу хакеров (с темным прошлым или настоящим)?
да: они супер-профессионалы
нет: они прежде всего криминальные элементы
8. Уничтожит ли сильный искусственный интелект (AGI) Человечество? (тема финала)
да, потому что
нет, будучи инструментом, он всегда останется инструментом
#vCISO
1. Безопасность vs. Приватность
- должно ли государтсво встраивать бэкдоры в криптографию (или депонировать ключи)?
да: так как можно бороться с терроризмом, мошенничеством и т.п.
нет: так как теряется тайна личных переписок
- анонимность в интернете - это хорошо или плохо? (тема полуфинала)
да: так как это способтсвует свободе слова
нет: так как за базар надо отвечать
2. Безопасность vs. Требовния правообладателя: можно ли нарушать лицензионное соглашение для целей исследования безопасности (дело Майкла Линна из ISS против Cisco, Дима Скларов из Элкомсофта против Adobe)
да, так как это повышает качество продукта и защищает наши права, права потребителей
нет, так как закон нарушать нельзя, ибо правообладатель не разрешил явно
3. Отрицательная мотивация
- Стоит ли увольнять CISO из-за инцидентов ИБ
да: за прохую работу надо платить
нет: у него появился бесценный опыт
- Вообще, если сотрудник допустил ошибку и расследование показало, что злого умысла не было, его стоит наказывать? (тема полуфинала)
да: так как за все надо платить и это будет ему уроком
нет: так как были объективные причины, и виной всему обстоятельства, а наказине демотиврует и мы получим худший результат
4. Open-source проекты безопаснее проприетарных
да: так как открыт код для аудита
нет: так как код изучают и атакующие, не всегда понятно кто туда что коммитит, история знает случаи закладок (хотя и в проприетарных тоже)
5. Чем строже compliance, тем выше безопасность => государство должно ужесточать требования
да: стандарты дисциплинируют и задают базовый уровень, а ответственность стимулирует исполнять
нет: compliance != безопасность и появляюется новый вид апродуктивной деятельности - обход комплаенса, к тому же может создаваться опасная иллюзия безопасности, как раз из-за комплаенса
6. Этичен ли hack-back?
да: если меня атаковали, я имею права на активную защиту (в том числе 3rd party инфраструктуру, которая использовалась злоумышленниками)
нет: так как это может вести к злоупотреблениям и основаниям для хакерских атак
7. Этично ли нанимать на работу хакеров (с темным прошлым или настоящим)?
да: они супер-профессионалы
нет: они прежде всего криминальные элементы
8. Уничтожит ли сильный искусственный интелект (AGI) Человечество? (тема финала)
да, потому что
нет, будучи инструментом, он всегда останется инструментом
#vCISO
👍11🔥1
Kaspersky Cyber Insights 2025
В завершающей заметке по теме (слайды) делюсь ссылками на записи выступлений, доступные на Brighttalk.
У меня профессионально исковерканный субъективный взгляд, но все равно, приведу личные рекомендации, что можно посмотреть:
Kaspersky SOC in 2025: Key Observations and Findings
Know Your Adversary with the Threat Landscape
AI-Related Threat Landscape: 2025 and Beyond
Panel Beyond the Perimeter: Practical Strategies to Leverage Threat Intelligence for Proactive Cybersecurity
#MDR #vCISO
В завершающей заметке по теме (слайды) делюсь ссылками на записи выступлений, доступные на Brighttalk.
У меня профессионально исковерканный субъективный взгляд, но все равно, приведу личные рекомендации, что можно посмотреть:
Kaspersky SOC in 2025: Key Observations and Findings
Know Your Adversary with the Threat Landscape
AI-Related Threat Landscape: 2025 and Beyond
Panel Beyond the Perimeter: Practical Strategies to Leverage Threat Intelligence for Proactive Cybersecurity
#MDR #vCISO
BrightTALK
APAC Cyber Insights 2025 - BrightTALK
Next-Gen SOC: Intelligence in Action
The ever-evolving threat landscape demands that Security Operations Centers (SOCs) evolve beyond traditional methods to meet emerging challenges with speed and intelligence. Let’s explore how cutting-edge threat intelligence…
The ever-evolving threat landscape demands that Security Operations Centers (SOCs) evolve beyond traditional methods to meet emerging challenges with speed and intelligence. Let’s explore how cutting-edge threat intelligence…
👍8
Понятно очевидное желание обнаружения атаки на как можно более ранних стадиях. Но принципиальная проблема в том, что для того, чтобы вредоносную активность обнаружить она должна проявиться. Т.е. сначала мы наблюдаем какие-то техники атакующего, а затем, собственно, за эти самые техники мы его детектим. При этом, не умаляется возможность предотвращения атак на ранних стадиях, поскольку мы не стремимся к полному отсутствию вредоносной активности, но к тому, чтобы эта вредоносная активность не успевала нам нанести ущерб прежде чем мы ее обнаружим, локализуем и остановим.
Видимо, все это и имеет в виду уважаемый Gartner, в своем "новом" документе "Emerging Tech: Top Use Cases in Preemptive Cyber Defense" от 13 августа 2024 (вторник, не пятница), но его чтение мне заметно подняло настроение, о чем не могу не написать в пятницу.
#MDR #vCISO #пятница
Видимо, все это и имеет в виду уважаемый Gartner, в своем "новом" документе "Emerging Tech: Top Use Cases in Preemptive Cyber Defense" от 13 августа 2024 (вторник, не пятница), но его чтение мне заметно подняло настроение, о чем не могу не написать в пятницу.
#MDR #vCISO #пятница
Дзен | Статьи
"Упреждающая киберзащита" от Gartner
Статья автора «REPLY-TO-ALL Information Security Blog» в Дзене ✍: В 1956 году американский писатель Филип Дик опубликовал антиутопию "Особое мнение" (The Minority Report), а в 2002 году вдохновленный
👍7❤1
Профессиональный нетворкинг
В любом деле важен нетворкинг! Особенно он важен для людей со схожими проблемами и задачами.... В общем, посещение конференций дело крайне полезное, именно как площадок для формирования профессиональных связей.
Наверно, можно ходить по конференции и со всеми знакомиться, обмениваться контактами, но, во-первых, для этого надо обладать неплохими софтскилами, чтобы не достать своих собеседников и не быть отправленным туда, куда нам никому не хочется....ну, разве что, мы не ставим перед собой цель прокачивания именно навыков коммуникации.
Лично для себя я уже давно выбрал способ лучше - выступление с докладом. Рассказать о себе со сцены сразу двум сотням слушателей значительно более эффективно, чем к каждому из них подойти и рассказать о себе одно и то же примерно 200 раз (едва ли у нас хватит фантазии для каждого из двухсот придумать уникальную историю, да и "гении никогда не повторяются!" ). Непосредственно со сцены у нас есть несколько десятков минут, чтобы заинтересовать слушателей свой персоной, и тогда уже они сами потянутся к нам и наша цель нетворкинга будет выполнена. Хорошему человеку, тем более профессионалу всегда есть что интересного рассказать! В общем, регистрируйтесь, не упускайте возможность!
И еще некоторый небольшой инсайд. ЛК - замечательный организатор мероприятий, за 10 лет работы не перестаю в этом убеждаться: все будет удобно, комфортно, интересно, весело, вкусно!
#vCISO #саморазвитие #kaspersky
В любом деле важен нетворкинг! Особенно он важен для людей со схожими проблемами и задачами.... В общем, посещение конференций дело крайне полезное, именно как площадок для формирования профессиональных связей.
Наверно, можно ходить по конференции и со всеми знакомиться, обмениваться контактами, но, во-первых, для этого надо обладать неплохими софтскилами, чтобы не достать своих собеседников и не быть отправленным туда, куда нам никому не хочется....
Лично для себя я уже давно выбрал способ лучше - выступление с докладом. Рассказать о себе со сцены сразу двум сотням слушателей значительно более эффективно, чем к каждому из них подойти и рассказать о себе одно и то же примерно 200 раз (едва ли у нас хватит фантазии для каждого из двухсот придумать уникальную историю, да и "гении никогда не повторяются!" ). Непосредственно со сцены у нас есть несколько десятков минут, чтобы заинтересовать слушателей свой персоной, и тогда уже они сами потянутся к нам и наша цель нетворкинга будет выполнена. Хорошему человеку, тем более профессионалу всегда есть что интересного рассказать! В общем, регистрируйтесь, не упускайте возможность!
И еще некоторый небольшой инсайд. ЛК - замечательный организатор мероприятий, за 10 лет работы не перестаю в этом убеждаться: все будет удобно, комфортно, интересно, весело, вкусно!
#vCISO #саморазвитие #kaspersky
Telegram
Kaspersky
⚡️Kaspersky Industrial Cybersecurity Conference 2025 состоится уже осенью, а это значит, что мы ждем ваши доклады!
Более 500 специалистов со всего мира встретятся в Сочи, чтобы обсудить ключевые вопросы ИБ в промышленности.
KICS Conference — отличная возможность…
Более 500 специалистов со всего мира встретятся в Сочи, чтобы обсудить ключевые вопросы ИБ в промышленности.
KICS Conference — отличная возможность…
🔥9💯2
P&L атаки
Есть такой старый постулат, что все наши усилия в ИБ должны повысить стоимость атаки настолько, чтобы атакующему было неинтересно нас атаковать, чтобы P&L проекта атаки был отрицательным. Я не раз писал о том, что это утрверждение уже давно работает крайне плохо, однако, до сих пор в маркетинговых листовках и публикациях такое утверждение можно встретить. Вероятно, это объясняется тем, что никакие контроли безопасности (== никакие инвестиции в ИБ) не исключат полностью возможность атаки, и, как будто, порог нерентабельности атаки выглядит логичным компромиссом для объема инвестиций в эту бездонную бочку с названием "корпоративная ИБ".
В современных условиях "нерентабельность атаки" представляет собой не столько порог инвестиций в ИБ, а, скорее, создает состояние гонки, поскольку, как бы мы не напрягались, атаки все равно будут, только ущерб от них будет еще выше! Логика здесь следующая: чем лучше защищена инфраструктура, тем дороже атака - нужны серьезные исследования, разработка эксплоитов, инструментов атаки, возможно, лабораторные испытания этих инструментов, насколько успешно они обходят используемые СЗИ, в общем, чем выше безопасность, тем дороже атака - это полностью укладывается в постулат, с чего мы начали. Однако, атаки все равно будут, а раз они дорогие, то для обеспечения положительного P&L, профит от атаки должен быть еще больше. Профит атаки, как минимум, косвенно, отражается на ущербе для жертвы - высокий профит для атакующего означает большой ущерб для жертвы. В итоге получаем, вероятно, не очень очевидную, тем более, непопулярную, закономерность: чем больше мы инвестируем в ИБ, чем лучше защищена наша инфраструктура, тем больший ущерб мы получим от компьютерной атаки. И даже хуже: если инцидент все-таки дошел до ущерба, то все наши инвестиции в ИБ, будучи несостоятельными, тоже превращаются в ущерб...
В общем, повышением уровня безопасности мы в немалой степени сами провоцируем рост ущерба.
#vCISO #пятница
Есть такой старый постулат, что все наши усилия в ИБ должны повысить стоимость атаки настолько, чтобы атакующему было неинтересно нас атаковать, чтобы P&L проекта атаки был отрицательным. Я не раз писал о том, что это утрверждение уже давно работает крайне плохо, однако, до сих пор в маркетинговых листовках и публикациях такое утверждение можно встретить. Вероятно, это объясняется тем, что никакие контроли безопасности (== никакие инвестиции в ИБ) не исключат полностью возможность атаки, и, как будто, порог нерентабельности атаки выглядит логичным компромиссом для объема инвестиций в эту бездонную бочку с названием "корпоративная ИБ".
В современных условиях "нерентабельность атаки" представляет собой не столько порог инвестиций в ИБ, а, скорее, создает состояние гонки, поскольку, как бы мы не напрягались, атаки все равно будут, только ущерб от них будет еще выше! Логика здесь следующая: чем лучше защищена инфраструктура, тем дороже атака - нужны серьезные исследования, разработка эксплоитов, инструментов атаки, возможно, лабораторные испытания этих инструментов, насколько успешно они обходят используемые СЗИ, в общем, чем выше безопасность, тем дороже атака - это полностью укладывается в постулат, с чего мы начали. Однако, атаки все равно будут, а раз они дорогие, то для обеспечения положительного P&L, профит от атаки должен быть еще больше. Профит атаки, как минимум, косвенно, отражается на ущербе для жертвы - высокий профит для атакующего означает большой ущерб для жертвы. В итоге получаем, вероятно, не очень очевидную, тем более, непопулярную, закономерность: чем больше мы инвестируем в ИБ, чем лучше защищена наша инфраструктура, тем больший ущерб мы получим от компьютерной атаки. И даже хуже: если инцидент все-таки дошел до ущерба, то все наши инвестиции в ИБ, будучи несостоятельными, тоже превращаются в ущерб...
В общем, повышением уровня безопасности мы в немалой степени сами провоцируем рост ущерба.
#vCISO #пятница
👍8🤔3🫡3🤣2❤1🤯1
Building a Successful Career in AI Cybersecurity
SANS выпустил документ, подчеркивающий важность вполне себе глубокого погружения нас, безопасников в машобуч, и представляющий собой руководство по построению карьеры на стыке искусственного интеллекта и кибербезопасности.
Ключевые выводы из доки
1. Конвергенция AI и Cybersecurity:
Документ подчеркивает, что искусственный интеллект и машинное обучение (ML) кардинально меняют ландшафт ИБ. AI используется как для усиления защиты, так и в качестве инструмента атак
2. п. 1 объясняет растущий спрос на специалистов:
Возникает новая категория ролей, таких как "Инженер по безопасности AI/ML" или "Специалист по безопасности данных", которые требуют уникального сочетания навыков ИБ и Машобуча.
3. Из доки можно выделить необходимые навыки и знания:
Технические навыки (Hard Skills):
- Понимание основ машинного обучения и data science.
- Знание языков программирования (Python, R) и умение работать с данными.
- Опыт работы со специализированными фреймворками и библиотеками (TensorFlow, PyTorch, scikit-learn).
- Глубокие знания в области ИБ
- Понимание облачных платформ (AWS, Azure, GCP) и их систем безопасности.
Soft Skills:
- Критическое и аналитическое мышление.
- Решение сложных проблем.
- Коммуникация (способность объяснять сложные концепции AI нетехническим специалистам).
- Любознательность и постоянное стремление к обучению.
4. Рекомендации по построению карьеры:
- Начните с основ: Получите прочную базу в классической ИБ (сертификаты типа CISSP, SSCP, CCSP очень приветствуются).
- Освойте Data Science: Изучите математику, статистику и основы машинного обучения через онлайн-курсы (Coursera, edX) или практические проекты.
- Получайте практический опыт: Применяйте свои знания в реальных проектах, участвуйте в соревнованиях по анализу данных (например, на Kaggle) или в открытых source-проектах.
- Вступайте в профессиональные сообщества, посещайте конференции и общайтесь с экспертами в этой области.
С развитием технологий и ужесточением регулирования спрос на экспертов, способных обеспечивать безопасность, надежность и этичность AI-систем, будет только расти.
Документ позиционирует карьеру в сфере AI Cybersecurity как одну из самых перспективных и востребованных в технологической индустрии. Это поле требует непрерывного обучения, но предлагает уникальную возможность быть на передовой борьбы с киберугрозами нового поколения и формировать будущее цифровой безопасности.
#ml #саморазвитие #vCISO
SANS выпустил документ, подчеркивающий важность вполне себе глубокого погружения нас, безопасников в машобуч, и представляющий собой руководство по построению карьеры на стыке искусственного интеллекта и кибербезопасности.
Ключевые выводы из доки
1. Конвергенция AI и Cybersecurity:
Документ подчеркивает, что искусственный интеллект и машинное обучение (ML) кардинально меняют ландшафт ИБ. AI используется как для усиления защиты, так и в качестве инструмента атак
2. п. 1 объясняет растущий спрос на специалистов:
Возникает новая категория ролей, таких как "Инженер по безопасности AI/ML" или "Специалист по безопасности данных", которые требуют уникального сочетания навыков ИБ и Машобуча.
3. Из доки можно выделить необходимые навыки и знания:
Технические навыки (Hard Skills):
- Понимание основ машинного обучения и data science.
- Знание языков программирования (Python, R) и умение работать с данными.
- Опыт работы со специализированными фреймворками и библиотеками (TensorFlow, PyTorch, scikit-learn).
- Глубокие знания в области ИБ
- Понимание облачных платформ (AWS, Azure, GCP) и их систем безопасности.
Soft Skills:
- Критическое и аналитическое мышление.
- Решение сложных проблем.
- Коммуникация (способность объяснять сложные концепции AI нетехническим специалистам).
- Любознательность и постоянное стремление к обучению.
4. Рекомендации по построению карьеры:
- Начните с основ: Получите прочную базу в классической ИБ (сертификаты типа CISSP, SSCP, CCSP очень приветствуются).
- Освойте Data Science: Изучите математику, статистику и основы машинного обучения через онлайн-курсы (Coursera, edX) или практические проекты.
- Получайте практический опыт: Применяйте свои знания в реальных проектах, участвуйте в соревнованиях по анализу данных (например, на Kaggle) или в открытых source-проектах.
- Вступайте в профессиональные сообщества, посещайте конференции и общайтесь с экспертами в этой области.
С развитием технологий и ужесточением регулирования спрос на экспертов, способных обеспечивать безопасность, надежность и этичность AI-систем, будет только расти.
Документ позиционирует карьеру в сфере AI Cybersecurity как одну из самых перспективных и востребованных в технологической индустрии. Это поле требует непрерывного обучения, но предлагает уникальную возможность быть на передовой борьбы с киберугрозами нового поколения и формировать будущее цифровой безопасности.
#ml #саморазвитие #vCISO
🔥11
npm debug and chalk packages compromised
Очередной эпичный supply chain через node.js
Разборы доступны здесь:
раз
два
История
а вот совсем недавно рассуждали 😢
#dev #vCISO #MDR
Очередной эпичный supply chain через node.js
Разборы доступны здесь:
раз
два
История
а вот совсем недавно рассуждали 😢
#dev #vCISO #MDR
www.aikido.dev
npm debug and chalk packages compromised
The popular packages debug and chalk on npm have been compromised with malicious code
👍3
Потенциал злоумышленника
Один мой старый приятель, тоже безопасник, поинтересовался вопросом оценки потенциала атакующего - нет ли каких-то общеизвестных\широкопризнанных фреймворков на этот счет. Может, плохо искали, но мы ничего не нашли, а значит, это повод задуматься о вопросе. Поток своего сознания на этот счет я изложил в статье.
Следующим шагом, конечно же, надо пособирать все эти capabilities атакующего в эксельку-калькулятор и предложить свою CMM для атакующего (по аналогии с этой). Если для такого калькулятора найдется производственная необходимость, обязательно этим займусь и поделюсь!
Ну а пока:
- подписывайте какие еще capabilities атакующего, помимо перечисленных в статье, следует учесть в калькуляторе
- пишите ваше обоснование производственной необходимости подобного калькулятора и нужна ли нам CMM для атакующего - это добавит мотивации инвестировать время в разработку такого калькулятора (пока особого практического смысла я не придумал)
#vCISO
Один мой старый приятель, тоже безопасник, поинтересовался вопросом оценки потенциала атакующего - нет ли каких-то общеизвестных\широкопризнанных фреймворков на этот счет. Может, плохо искали, но мы ничего не нашли, а значит, это повод задуматься о вопросе. Поток своего сознания на этот счет я изложил в статье.
Следующим шагом, конечно же, надо пособирать все эти capabilities атакующего в эксельку-калькулятор и предложить свою CMM для атакующего (по аналогии с этой). Если для такого калькулятора найдется производственная необходимость, обязательно этим займусь и поделюсь!
Ну а пока:
- подписывайте какие еще capabilities атакующего, помимо перечисленных в статье, следует учесть в калькуляторе
- пишите ваше обоснование производственной необходимости подобного калькулятора и нужна ли нам CMM для атакующего - это добавит мотивации инвестировать время в разработку такого калькулятора (пока особого практического смысла я не придумал)
#vCISO
Дзен | Статьи
Потенциал злоумышленника
Статья автора «REPLY-TO-ALL Information Security Blog» в Дзене ✍: В нашем арсенале есть методики оценки рисков, ущерба от инцидентов, критичности активов, уязвимостей и много еще чего, однако оценки
👍3
Продвинутая криптография
В апреле пролетала интересная статья (PDF), но только сейчас добрался о ней рассказать.
Итак, что же NCSC считает "продвинутой криптографией":
- Гомоморфное шифрование (Homomorphic encryption) - вычисления непосредственно над зашифрованными данными
- Конфиденциальный поиск (Private information retrieval) - запрос к базе данных без раскрытия самого запроса владельцу базы
- Многосторонние вычисления (Multiparty computation) - совместное вычисление результата без раскрытия входных данных друг другу
- Доказательства с нулевым разглашением (Zero-knowledge proofs) - доказательство обладания секретом без его раскрытия
- Приватное пересечение множеств (Private set intersection) - определение общих элементов множеств данных без раскрытия множеств.
- Шифрование на базе атрибутов (Attribute-based encryption) - расшифрование возможна только для тех, кто обладает определённым набором атрибутов.
В статье также дается мой любимый тезис, что любая технология - это способ решения задачи, но задача - первична, т.е. сначала надо поставить задчу\проблему, а потом уже искать решение, которое может быть, в том числе, в виде нашей любимой технологии. Поэтому, не надо стремиться использовать "продвинутые" методы, ибо в большинстве случаев можно обойтись типовыми. Тезис применим к любой автоматизации.
Общий вывод: сначала "традиционная" криптография. Она стандартизирована, хорошо изучена, высокопроизводительна, часто имеет аппаратное ускорение, в общем, зрелая. Advanced Cryptography - это возможное решение для специфических сценариев, где традиционные методы неприменимы, например, из-за сложных моделей доверия, однако эти технологии незрелы, ресурсоемки и несут дополнительные риски, поэтому их внедрение требует тщательной оценки рисков и внимательности\аккуратности при внедрении.
А вообще, за публикациями NCSC полезно следить, как и за публикациями NSA.
#crypto #vCISO
В апреле пролетала интересная статья (PDF), но только сейчас добрался о ней рассказать.
Итак, что же NCSC считает "продвинутой криптографией":
- Гомоморфное шифрование (Homomorphic encryption) - вычисления непосредственно над зашифрованными данными
- Конфиденциальный поиск (Private information retrieval) - запрос к базе данных без раскрытия самого запроса владельцу базы
- Многосторонние вычисления (Multiparty computation) - совместное вычисление результата без раскрытия входных данных друг другу
- Доказательства с нулевым разглашением (Zero-knowledge proofs) - доказательство обладания секретом без его раскрытия
- Приватное пересечение множеств (Private set intersection) - определение общих элементов множеств данных без раскрытия множеств.
- Шифрование на базе атрибутов (Attribute-based encryption) - расшифрование возможна только для тех, кто обладает определённым набором атрибутов.
В статье также дается мой любимый тезис, что любая технология - это способ решения задачи, но задача - первична, т.е. сначала надо поставить задчу\проблему, а потом уже искать решение, которое может быть, в том числе, в виде нашей любимой технологии. Поэтому, не надо стремиться использовать "продвинутые" методы, ибо в большинстве случаев можно обойтись типовыми. Тезис применим к любой автоматизации.
Общий вывод: сначала "традиционная" криптография. Она стандартизирована, хорошо изучена, высокопроизводительна, часто имеет аппаратное ускорение, в общем, зрелая. Advanced Cryptography - это возможное решение для специфических сценариев, где традиционные методы неприменимы, например, из-за сложных моделей доверия, однако эти технологии незрелы, ресурсоемки и несут дополнительные риски, поэтому их внедрение требует тщательной оценки рисков и внимательности\аккуратности при внедрении.
А вообще, за публикациями NCSC полезно следить, как и за публикациями NSA.
#crypto #vCISO
www.ncsc.gov.uk
Advanced Cryptography
Deciding when to use Advanced Cryptography to protect your data
👍6
Promptware: в полку warezz прибавление
Совсем недавно мы рассуждали об атаках на агентские системы и вот снова, почти, о том же.
Исследование (прямая ссылка на PDF) показывает, что promptware - специально сконструированные вредоносные промты - представляет серьёзную угрозу для пользователей LLM-ассистентов (на примере Gemini от Google). Атаки используют непрямые инъекции промтов через письма, календарные приглашения и общие документы, что позволяет злоумышленникам нарушать конфиденциальность, целостность и доступность систем. Приведены примеры запуска атак через приглашения в календаре или письма с вредоносным промтом в заголовке, а для активации требуется минимальное взаимодействие с пользователем, например, невинный запрос "Какие у меня встречи?", т.е. практически Zero touch. Также авторы показали, что promtware позволяет осуществлять горизонтальные перемещение в скомпрометированной системе, выходя за пределы LLM-приложения.
Авторы продемонстрировали 14 сценариев атак против трёх версий Gemini (веб, мобильная, Google Assistant), которые классифицировали по пяти типам угроз:
- Кратковременное отравление контекста (Short-term Context Poisoning)
- Постоянное отравление памяти (Permanent Memory Poisoning)
- Неправильное использование инструментов (Tool Misuse)
- Автоматический вызов агентов (Automatic Agent Invocation)
- Автоматический вызов приложений (Automatic App Invocation)
в результате которых удалось реализовать спам, фишинг, утечку данных, видеозапись пользователя, управление умным домом (открытие окон, включение котла), в общем, все что угодно. По мнению авторов 73% угроз оцениваются как высококритические.
В статье также предложен фреймворк TARA (Threat Analysis and Risk Assessment) на основе стандарта ISO/SAE 21434 и предложена оценка рисков по классике - на основе вероятности сценария атаки и влияния\ущерба от него.
Среди методов противодействия упоминаются:
- Изоляция контекста между агентами
- Валидация ввода/вывода
- A/B-тестирование
- Подтверждение действий пользователем
- Обнаружение подозрительных артефактов (URL)
однако, как мы знаем, митигационные меры не избавляют от риска, но снижают его уровень до низкого или среднего.
Ну что можно сказать?!
1. Promptware — практичная и опасная угроза, требующая срочного внимания, возможно, это новая область для систем обнаружения: мы научились находить SQL-инъкции, пора повышать уровень
2. Пока не видно вала публикаций на эту тему, как будто, индустрия пока не дооцениват риск атак на LLM-системы, а вендоры ИБ пока не осознали перспективность этого рынка
3. Если смотреть предлагаемые меры защиты, то можно обнаружить сходство с классикой: валидация пользовательского ввода, сегментация\изоляция, минимум полномочий и т.п. Соответственно, все эти меры надо сразу интегрировать в приложения, ибо навесная безопасность работает плохо, а это открывает новое важной и перспективное направление - безопасная архитектура LLM-систем, похожие эксперты упоминались здесь .
#ml #vCISO
Совсем недавно мы рассуждали об атаках на агентские системы и вот снова, почти, о том же.
Исследование (прямая ссылка на PDF) показывает, что promptware - специально сконструированные вредоносные промты - представляет серьёзную угрозу для пользователей LLM-ассистентов (на примере Gemini от Google). Атаки используют непрямые инъекции промтов через письма, календарные приглашения и общие документы, что позволяет злоумышленникам нарушать конфиденциальность, целостность и доступность систем. Приведены примеры запуска атак через приглашения в календаре или письма с вредоносным промтом в заголовке, а для активации требуется минимальное взаимодействие с пользователем, например, невинный запрос "Какие у меня встречи?", т.е. практически Zero touch. Также авторы показали, что promtware позволяет осуществлять горизонтальные перемещение в скомпрометированной системе, выходя за пределы LLM-приложения.
Авторы продемонстрировали 14 сценариев атак против трёх версий Gemini (веб, мобильная, Google Assistant), которые классифицировали по пяти типам угроз:
- Кратковременное отравление контекста (Short-term Context Poisoning)
- Постоянное отравление памяти (Permanent Memory Poisoning)
- Неправильное использование инструментов (Tool Misuse)
- Автоматический вызов агентов (Automatic Agent Invocation)
- Автоматический вызов приложений (Automatic App Invocation)
в результате которых удалось реализовать спам, фишинг, утечку данных, видеозапись пользователя, управление умным домом (открытие окон, включение котла), в общем, все что угодно. По мнению авторов 73% угроз оцениваются как высококритические.
В статье также предложен фреймворк TARA (Threat Analysis and Risk Assessment) на основе стандарта ISO/SAE 21434 и предложена оценка рисков по классике - на основе вероятности сценария атаки и влияния\ущерба от него.
Среди методов противодействия упоминаются:
- Изоляция контекста между агентами
- Валидация ввода/вывода
- A/B-тестирование
- Подтверждение действий пользователем
- Обнаружение подозрительных артефактов (URL)
однако, как мы знаем, митигационные меры не избавляют от риска, но снижают его уровень до низкого или среднего.
Ну что можно сказать?!
1. Promptware — практичная и опасная угроза, требующая срочного внимания, возможно, это новая область для систем обнаружения: мы научились находить SQL-инъкции, пора повышать уровень
2. Пока не видно вала публикаций на эту тему, как будто, индустрия пока не дооцениват риск атак на LLM-системы, а вендоры ИБ пока не осознали перспективность этого рынка
3. Если смотреть предлагаемые меры защиты, то можно обнаружить сходство с классикой: валидация пользовательского ввода, сегментация\изоляция, минимум полномочий и т.п. Соответственно, все эти меры надо сразу интегрировать в приложения, ибо навесная безопасность работает плохо, а это открывает новое важной и перспективное направление - безопасная архитектура LLM-систем, похожие эксперты упоминались здесь .
#ml #vCISO
Telegram
Солдатов в Телеграм
Когда AIOps становится AIУпс
Как только новая технология обретает популярность, сразу появляются техники атак на нее. Поэтому большое количество уязвимостей не всегда означает, что ПО дырявое ⡰⠤⡒ ⢤⠘⡡⡌⠨ ⠜⡃⡐ ⠴⠅⠍⠨⠅ ⢐⠣⡔⡘⠓ ⢁ ⠣⠩⢈⣄⣀⢘⡃⠴⠎⣀⡁, но точно, что оно - популярное.…
Как только новая технология обретает популярность, сразу появляются техники атак на нее. Поэтому большое количество уязвимостей не всегда означает, что ПО дырявое ⡰⠤⡒ ⢤⠘⡡⡌⠨ ⠜⡃⡐ ⠴⠅⠍⠨⠅ ⢐⠣⡔⡘⠓ ⢁ ⠣⠩⢈⣄⣀⢘⡃⠴⠎⣀⡁, но точно, что оно - популярное.…
👍6🔥3❤1
Машинное обучение в обнаружении
Есть масса применений машобуча в ИБ и нередко на маркетинговых мероприятиях можно услышать об успехах применения машинного обучения без учителя для обнаружения: есть некоторый движок, выполняющий профилирование, который затем выдает статистические отклонения. Проблема тут в том, что "статистическое отклонение" - это не всегда "инцидент", и окончательное решение принимает человек. Понятие инцидента - не простое, поэтому построить классификатор, который будет выдавать не статистическое отклонение, а инцидент невозможно без анализа обратной связи от пользователя(варианты решения этой задачи с помощью LLM пока не будем рассматривать, но и там проблем немало, ибо закономерность сохраняется: чем сложнее система, тем сложнее ей пользоваться ) . А это уже вопрос, решаемый в рамках машинного обучения с учителем, однако, в этом случае, для получения удовлетворительных результатов, нам нужны размеченные данные, типа, вот это статистическое отклонение - инцидент, а вот это статистическое отклонение - не инцидент. Кроме того, на практике нередки и false negative (пропуски), т.е. Модель надо подкрутить так, чтобы в сценариях прошлых промахов она, таки, выдавала статистическое отклонение, которое будет интерпретировано пользователем как инцидент. Чем размеченных данных будет больше, тем лучше, а если данных будем мало, построение такого классификатора под большим вопросом.
Таким образом, налицо двухходовочка:
- Unsupervised ML поможет найти статистическое отклонение - здесь будет много False positives, но практика показывает, что будут и False negative(собственно, этот объем False* и является основным аргументов скептиков относительно пригодности ML в ИБ вообще, сравнивающих ML-вердикты с выдачей ГПСЧ)
- Supervised ML теоретически можно обучить распознавать среди статистических отклонений инциденты, но в этом случае нужны большие размеченные данные, как например, в случае Автоаналитика
В нашем случае упомянутая двухходовочка для обнаружения горизонтальных перемещений в сети реализована одной Моделью без учителя. Но для поддержания удовлетворительного качества работы, все ее False* разбираются с участием аналитиков команды SOC, после чего Модель дорабатывается: начинает ловить прошлые пропуски и не генерить статистическое отклонение в определенных сценариях, не являющихся инцидентом.
Итого, нам всем нужно понимать:
1. Статистическое отклонение, выдаваемое Моделью без учителя - это еще не Инцидент
2. Для того, чтобы Модель научилась выдавать не статистические отклонения, а инциденты, обязательна обратная связь от пользователя, разметка данных пользователями
3. Чтобы обучить Модель на размеченных данных, их должно быть много
4. Нужно заниматься постоянным тюнингом Модели без учителя, выдающей статистические отклонения, чтобы она выдавала бизнес-значимые статистические отклонения, т.е. инциденты
5. В "коробочных" on prem решениях есть проблемы с получением обратной связи от пользователя и ее анализом, чтобы подстраивать и переобучать Модель, т.е. пп. 2-4 нереализуемы
В итоге получаем, что более-менее рабочим сценарием является портирование обученных моделей из облачных сервисов в on prem решения. Как, в частности, мы и сделаем с моделью обнаружения горизонтальных перемещений, которая из MDR когда-то станет доступна в KUMA. В этом случае постоянство качества Модели будет обеспечиваться ее постоянным тюнингом в рамках сервиса в предположении, что в пользовательской инфраструктуре демонстрируемые ею статистические отклонения будут интерпретировать как инциденты по тем же правилам, что и в MDR. Это очередная прекрасная демонстрация как правильно выкристаллизовывать облака в on prem, а никак не наоборот!
#MDR #vCISO #ml
Есть масса применений машобуча в ИБ и нередко на маркетинговых мероприятиях можно услышать об успехах применения машинного обучения без учителя для обнаружения: есть некоторый движок, выполняющий профилирование, который затем выдает статистические отклонения. Проблема тут в том, что "статистическое отклонение" - это не всегда "инцидент", и окончательное решение принимает человек. Понятие инцидента - не простое, поэтому построить классификатор, который будет выдавать не статистическое отклонение, а инцидент невозможно без анализа обратной связи от пользователя
Таким образом, налицо двухходовочка:
- Unsupervised ML поможет найти статистическое отклонение - здесь будет много False positives, но практика показывает, что будут и False negative
- Supervised ML теоретически можно обучить распознавать среди статистических отклонений инциденты, но в этом случае нужны большие размеченные данные, как например, в случае Автоаналитика
В нашем случае упомянутая двухходовочка для обнаружения горизонтальных перемещений в сети реализована одной Моделью без учителя. Но для поддержания удовлетворительного качества работы, все ее False* разбираются с участием аналитиков команды SOC, после чего Модель дорабатывается: начинает ловить прошлые пропуски и не генерить статистическое отклонение в определенных сценариях, не являющихся инцидентом.
Итого, нам всем нужно понимать:
1. Статистическое отклонение, выдаваемое Моделью без учителя - это еще не Инцидент
2. Для того, чтобы Модель научилась выдавать не статистические отклонения, а инциденты, обязательна обратная связь от пользователя, разметка данных пользователями
3. Чтобы обучить Модель на размеченных данных, их должно быть много
4. Нужно заниматься постоянным тюнингом Модели без учителя, выдающей статистические отклонения, чтобы она выдавала бизнес-значимые статистические отклонения, т.е. инциденты
5. В "коробочных" on prem решениях есть проблемы с получением обратной связи от пользователя и ее анализом, чтобы подстраивать и переобучать Модель, т.е. пп. 2-4 нереализуемы
В итоге получаем, что более-менее рабочим сценарием является портирование обученных моделей из облачных сервисов в on prem решения. Как, в частности, мы и сделаем с моделью обнаружения горизонтальных перемещений, которая из MDR когда-то станет доступна в KUMA. В этом случае постоянство качества Модели будет обеспечиваться ее постоянным тюнингом в рамках сервиса в предположении, что в пользовательской инфраструктуре демонстрируемые ею статистические отклонения будут интерпретировать как инциденты по тем же правилам, что и в MDR. Это очередная прекрасная демонстрация как правильно выкристаллизовывать облака в on prem, а никак не наоборот!
#MDR #vCISO #ml
Blogspot
Время материализовать облака
Мы рождены, чтоб сказку сделать былью ("Марш авиаторов", Герман-Хайт) Спешите порадоваться спуску с горы, ибо далее придется тащить на ...
👍6🔥2
Первый вредоносный MCP-сервер в мире
А вот и вредоносные MCP поспели!
The Register
Dark Reading
Оригнальная публикация от KOI
Понятно, что не все что скачивается с Github безопасно, однако, в свете последних тенденций атака отдает новизной.
Как и ожидалось, новый слой абстрации, в данном случае MCP, расширяет поверхность атаки.
#ml #vCISO
А вот и вредоносные MCP поспели!
The Register
Dark Reading
Оригнальная публикация от KOI
Понятно, что не все что скачивается с Github безопасно, однако, в свете последних тенденций атака отдает новизной.
Как и ожидалось, новый слой абстрации, в данном случае MCP, расширяет поверхность атаки.
#ml #vCISO
www.koi.ai
First Malicious MCP in the Wild: The Postmark Backdoor That's Stealing Your Emails | Koi Blog
🔥2
Расписание против аналитика: когда график диктует ошибки
На PHD в 2023 году я немного коснулся темы метрик, используемых в нашем SOC. За годы работы мы накопили массу статистик и значений метрик, которые также можно анализировать и обнаруживать интересные и полезные зависимости, помимо стандартной задачи - предсказания загрузки команды в зависимости от объема. Отрадно, что молодому поколению аналитиков тема анализа тенденций в работе операционного подразделения также интересна как и мне, и мы имеем в некотором смысле продолжение моего достаточно общего доклада про метрики, но на сей раз от моего коллеги - Даниила Малий. Даниил взял не все собираемые нами показатели, а только те, что используются в KPI для оценки эффективности и результативности работы ребят, с фокусом именно на ошибки и попытался найти зависимости количества ошибок от режима работы аналитика при сменном графике и времени суток, от уже обработанного объема (от продолжительности работы в смене), от скорости расследования алертов и их критичности, и многого другого.
Формальное описание доклада:
Доклад был подан на SOC Forum (логично, ибо доклад про SOC, от аналитика SOC) , попал в секцию "ИБ и бизнес", но не прошел отбор. С одной стороны, немного жаль, что крутой (на мой субъективный взгляд) доклад не войдет в программу, а, с другой стороны, это должно означать, что в программу вошли еще более крутые докалды доклады! Ну, как минимум, в эту секцию. Поэтому, для себя я уже решил однозначно выделить время и посмотреть, надеюсь, запись будет.
Я тоже член Экспертного комитета, правда, в секциях "SOC-практикум", "Defence" и "Тренды и аналитика угроз", и мой выбор, моя оценка докладов - это отражение меня. Фактически, то, что попадет в программу характеризует экспертность Экспертного комитета, конечно же, с субъективной точки зрения зрителя.
Ах да, забыл, доклад Даниила Малий мы подали в итоге на Zero Nights, посмотрим, получится ли попасть в программу там. Если никуда не пройдет, запишем вебинар и поделимся им в этом канале :) Так сказать, сами себе оркестр 🤣
#MDR #vCISO
На PHD в 2023 году я немного коснулся темы метрик, используемых в нашем SOC. За годы работы мы накопили массу статистик и значений метрик, которые также можно анализировать и обнаруживать интересные и полезные зависимости, помимо стандартной задачи - предсказания загрузки команды в зависимости от объема. Отрадно, что молодому поколению аналитиков тема анализа тенденций в работе операционного подразделения также интересна как и мне, и мы имеем в некотором смысле продолжение моего достаточно общего доклада про метрики, но на сей раз от моего коллеги - Даниила Малий. Даниил взял не все собираемые нами показатели, а только те, что используются в KPI для оценки эффективности и результативности работы ребят, с фокусом именно на ошибки и попытался найти зависимости количества ошибок от режима работы аналитика при сменном графике и времени суток, от уже обработанного объема (от продолжительности работы в смене), от скорости расследования алертов и их критичности, и многого другого.
Формальное описание доклада:
Название: Расписание против аналитика: когда график диктует ошибки
Краткое описание: График работы напрямую влияет на то, как SOC-аналитики принимают решения. Ошибки распределяются неравномерно: они зависят от времени суток, сменности и даже от последовательности задач. Исследуя долгосрочные выгрузки, можно выявить чёткие закономерности и использовать их для оптимизации процессов.
Доклад был подан на SOC Forum (логично, ибо доклад про SOC, от аналитика SOC) , попал в секцию "ИБ и бизнес", но не прошел отбор. С одной стороны, немного жаль, что крутой (на мой субъективный взгляд) доклад не войдет в программу, а, с другой стороны, это должно означать, что в программу вошли еще более крутые докалды доклады! Ну, как минимум, в эту секцию. Поэтому, для себя я уже решил однозначно выделить время и посмотреть, надеюсь, запись будет.
Я тоже член Экспертного комитета, правда, в секциях "SOC-практикум", "Defence" и "Тренды и аналитика угроз", и мой выбор, моя оценка докладов - это отражение меня. Фактически, то, что попадет в программу характеризует экспертность Экспертного комитета, конечно же, с субъективной точки зрения зрителя.
Ах да, забыл, доклад Даниила Малий мы подали в итоге на Zero Nights, посмотрим, получится ли попасть в программу там. Если никуда не пройдет, запишем вебинар и поделимся им в этом канале :) Так сказать, сами себе оркестр 🤣
#MDR #vCISO
Telegram
Солдатов в Телеграм
Как обещал, скидываю слайды с PHD2023 . Доклад назывался "Metrics in Security Operations"
👍14🤣1
ENISA Threat Landscape 2025.pdf
4.6 MB
ENISA THREAT LANDSCAPE 2025
Агентство Европейского союза по кибербезопасности (ENISA) опубликовало отчет "Обзор угроз ENISA 2025". В отчете анализируется почти 4900 киберинцидентов, коснувшихся европейских организаций в период с июля 2024 года по июнь 2025 года.
Основные тенденции:
1. Фишинг — главный вектор атаки (60%): Остается основным методом первоначального проникновения. Эволюционирует за счет таких техник, как ClickFix, фишинг-as-a-service (PhaaS, например, Darcula), и квишинг (QR-код фишинг).
2. Цепочки поставок и доверительные отношения. Злоумышленники все чаще атакуют сторонних поставщиков услуг (IT-компании, Телекомы) и цепочки поставок (вредоносные пакеты npm, расширения браузеров) для усиления эффекта атак.
3. Атаки на мобильные устройства: угрозы для Android-устройств растут, включая шпионские программы (KoSpy, BoneSpy), банковские трояны (Medusa) и эксплуатацию уязвимостей в телекоммуникационной инфраструктуре (SS7, Diameter).
4. Конвергенция групп угроз: Стираются границы между хактивизмом, киберпреступностью и спонсируемыми государствами группировками.
5. Ожидаемое использование ИИ: ИИ активно используется для создания более убедительных фишинговых писем (более 80% фишинга используют ИИ), генерации качественных подделок (deepfakes), разработки вредоносного ПО и обхода обнаружения. Также наблюдаются атаки на сам ИИ - джейлбрейки, отравление модели и атаки на цепочку поставок моделей ИИ.
Чаще всего ломают:
- Государственное управление - 38,2%
- Транспорт - 7,5%
- Цифровая инфраструктура и услуги - 4,8%
- Финансы - 4,5%
- Производство - 2,9%
Основные типы угроз:
1. Киберпреступность - 13,4% инцидентов
2. Государственные группы - 7,2%
3. Хактивизм - 79%
4. Манипулирование информацией (Foreign information manipulation and interference, FIMI) - остальное
Оригинальная ссылка на документ
Суммаризацию можно также почитать здесь:
State-aligned cyber threats against EU intensify, ENISA warns
Many Attacks Aimed at EU Targeted OT, Says Cybersecurity Agency
#MDR #vCISO
Агентство Европейского союза по кибербезопасности (ENISA) опубликовало отчет "Обзор угроз ENISA 2025". В отчете анализируется почти 4900 киберинцидентов, коснувшихся европейских организаций в период с июля 2024 года по июнь 2025 года.
Основные тенденции:
1. Фишинг — главный вектор атаки (60%): Остается основным методом первоначального проникновения. Эволюционирует за счет таких техник, как ClickFix, фишинг-as-a-service (PhaaS, например, Darcula), и квишинг (QR-код фишинг).
2. Цепочки поставок и доверительные отношения. Злоумышленники все чаще атакуют сторонних поставщиков услуг (IT-компании, Телекомы) и цепочки поставок (вредоносные пакеты npm, расширения браузеров) для усиления эффекта атак.
3. Атаки на мобильные устройства: угрозы для Android-устройств растут, включая шпионские программы (KoSpy, BoneSpy), банковские трояны (Medusa) и эксплуатацию уязвимостей в телекоммуникационной инфраструктуре (SS7, Diameter).
4. Конвергенция групп угроз: Стираются границы между хактивизмом, киберпреступностью и спонсируемыми государствами группировками.
5. Ожидаемое использование ИИ: ИИ активно используется для создания более убедительных фишинговых писем (более 80% фишинга используют ИИ), генерации качественных подделок (deepfakes), разработки вредоносного ПО и обхода обнаружения. Также наблюдаются атаки на сам ИИ - джейлбрейки, отравление модели и атаки на цепочку поставок моделей ИИ.
Чаще всего ломают:
- Государственное управление - 38,2%
- Транспорт - 7,5%
- Цифровая инфраструктура и услуги - 4,8%
- Финансы - 4,5%
- Производство - 2,9%
Основные типы угроз:
1. Киберпреступность - 13,4% инцидентов
2. Государственные группы - 7,2%
3. Хактивизм - 79%
4. Манипулирование информацией (Foreign information manipulation and interference, FIMI) - остальное
Оригинальная ссылка на документ
Суммаризацию можно также почитать здесь:
State-aligned cyber threats against EU intensify, ENISA warns
Many Attacks Aimed at EU Targeted OT, Says Cybersecurity Agency
#MDR #vCISO
👍8