Forwarded from Управление Уязвимостями и прочее
FIRST выложили 11 февраля прогноз по количеству новых CVE-шек, которые заведут в 2026 году и в последующие годы. В 2026 году целятся в 59 427, но предполагают интервал от 30 012 до 117 673. В настолько широкий интервал наверняка попадут. 😉
📈 Такие прогнозы выглядят занимательно, но их практическая полезность не очевидна. Непонятно, что это будут за уязвимости? Какого типа? В каких продуктах? Насколько критичными они будут? Насколько эксплуатабельными? Просто пытаются угадать число идентификаторов, которые заведёт непонятно кто и непонятно зачем. 🙃
Вызывает вопросы и то, почему вдруг медианное значение в 2027 и 2028 годах должно снизиться. С чего вдруг? Разработка продуктов станет намного безопаснее за счёт ИИ? Или какие-то CNA-организации (например, Linux Kernel 🙄) перестанут вдруг плодить CVE на каждый чих? К сожалению, FIRST это не поясняют. 🤷♂️
🎯 Ещё один прогноз от CVE Forecast (Jerry Gamblin) целится в 50 022 CVE-идентификаторов.
@avleonovrus #FIRST #CVEorg #NVD #Mitre #CVEForecast #JerryGamblin
📈 Такие прогнозы выглядят занимательно, но их практическая полезность не очевидна. Непонятно, что это будут за уязвимости? Какого типа? В каких продуктах? Насколько критичными они будут? Насколько эксплуатабельными? Просто пытаются угадать число идентификаторов, которые заведёт непонятно кто и непонятно зачем. 🙃
Вызывает вопросы и то, почему вдруг медианное значение в 2027 и 2028 годах должно снизиться. С чего вдруг? Разработка продуктов станет намного безопаснее за счёт ИИ? Или какие-то CNA-организации (например, Linux Kernel 🙄) перестанут вдруг плодить CVE на каждый чих? К сожалению, FIRST это не поясняют. 🤷♂️
🎯 Ещё один прогноз от CVE Forecast (Jerry Gamblin) целится в 50 022 CVE-идентификаторов.
@avleonovrus #FIRST #CVEorg #NVD #Mitre #CVEForecast #JerryGamblin
Всем привет!
На случай проблем с ТГ - резервная ссылка на приватный канал в Max.
Канал в Max полноценно оживет только в случае значительных проблем с ТГ.
А пользователям Max рекомендую для частичной минимизации рисков использования приложения:
1. В настройках безопасности включить "Безопасный режим" (ограничивает контактами тех кто могут вам написать/пригласить в чат....).
2. Включить пароль для защиты профиля.
3. Проверить выданные права приложению в настройках операционной системы и оставить только необходимые.
p.s. проверьте папку спам, если не получите кода на почту при включении пароля для защиты профиля.
На случай проблем с ТГ - резервная ссылка на приватный канал в Max.
Канал в Max полноценно оживет только в случае значительных проблем с ТГ.
А пользователям Max рекомендую для частичной минимизации рисков использования приложения:
1. В настройках безопасности включить "Безопасный режим" (ограничивает контактами тех кто могут вам написать/пригласить в чат....).
2. Включить пароль для защиты профиля.
3. Проверить выданные права приложению в настройках операционной системы и оставить только необходимые.
p.s. проверьте папку спам, если не получите кода на почту при включении пароля для защиты профиля.
👌3
У меня напрашивается сравнение ИИ с изобретением паровых двигателей, пороха или даже работы Опенгеймера и его коллег.
Разрыв в возможностях доверенных ИИ у государств, компаний и злоумышленников может стать определяющим в исходах кибератак.
Как думаете чем сейчас возможно компенсировать быструю реакцию ИИ у себя?
Снизить площадь атаки, soc с sla сравнимым с скоростью ИИ, 0 терпимость к уязвимостям на периметре?
На сколько это увеличит ваше время выхода на рынок и ваши расходы?
Действительно, живём в уникальное время.
Разрыв в возможностях доверенных ИИ у государств, компаний и злоумышленников может стать определяющим в исходах кибератак.
Как думаете чем сейчас возможно компенсировать быструю реакцию ИИ у себя?
Снизить площадь атаки, soc с sla сравнимым с скоростью ИИ, 0 терпимость к уязвимостям на периметре?
На сколько это увеличит ваше время выхода на рынок и ваши расходы?
Действительно, живём в уникальное время.
Forwarded from Пост Лукацкого
Продолжаю наблюдение за ИИ. Надысь Anthropic выпустила презанятнейший материал Anthropic Red, в котором говорится, что новая модель Claude Opus 4.6 "из коробки" находит уязвимости в хорошо "вылизанных" проектах и делает это не как фаззер, а как исследователь – читает код, историю коммитов, ищет непокрытые пути и строит PoC. Они заявляют, что нашли и провалидировали 500 с лишним критичных багов, часть которого в коде, который годами гоняли под фаззерами.
Это приводит к интересным выводам. Кто-то пытается посчитать, сколько уязвимостей будет внесено в CVE в этом году. По версии FIRST их будет 59427 (в интервал от 30012 до 117673). Но мне гораздо ближе более практичный вывод от самого Anthropic, которая считает, что привычные 90-дневные окна раскрытия уязвимостей (disclosure) могут проиграть в борьбе со скоростью и объемом находок, сделанных LLM, которые не стоят на месте и будут развиваться. Если такие инструменты станут массовыми, "мы не успели проверить" перестанет быть оправданием даже для небольших команд.
OpenAI, выпустив GPT-5.3-Codex, говорит, что это первый релиз, который они классифицируют как High по своему фреймворку Preparedness Framework именно в домене кибербезопасности. Они не утверждают, что модель уже доказанно способна полностью автоматизировать кибероперации против защищенных целей, но они не могут исключить, что ее способности приблизились к такому порогу. То есть модель потенциально способна существенно облегчить или автоматизировать полный цикл киберопераций, включая разработку zero-day, их эксплуатацию и масштабирование.
И Anthropic, и OpenAI сами испугались своих детищ и стали ограничивать их в наступательных возможностях. Например, в тексте про 0-days Anthropic описывает новый слой в модели, специально заточенный под обнаружение киберзлоупотреблений, и прямо пишет про возможные вмешательства вплоть до блокировки трафика, если они увидят злые намерения. OpenAI тоже не сидит сложа руки и устанавливает правила по доступу к возможностям своих моделей с точки зрения кибербеза. Они требуют верификацию личности для пользователей (через chatgpt.com/cyber) и доступ для enterprise-команд через представителя OpenAI. Кто хочет более глубокий "кибер-режим", будут приглашены отдельно. Ну и автомониторинг/классификаторы подозрительной активности и запреты на классы поведения (утечки, вредоносы, разрушительное/неавторизованное тестирование). Кроме того, некоторые запросы с повышенным риском могут автоматически "скатываться" с модели GPT-5.3-Codex на "более слабую" GPT-5.2.
В дополнение к происходящим событиям вокруг GPT-5.3-Codex и Claude Opus 4.6, OpenAI только что анонсировала новый режим безопасности в ChatGPT под названием Lockdown Mode (только для корпоративных пользователей). Это опциональный режим повышенной безопасности для ChatGPT, ориентированный на высоко рискованных пользователей, например, руководителей, команды ИБ, юридические команды и организации, где возможна утечка конфиденциальных данных через ИИ. Он жестко ограничивает взаимодействие модели с внешними системами, чтобы снизить риск утечки данных через prompt injection.
В целом, обе компании по сути заявляют: "Мы не уверены, что пересекли красную линию, но готовы вести себя так, как будто пересекли". И исходя из этого предположения они ограничивают обычных пользователей в ИБ-возможностях. Но ведь кого-то они не ограничивают? Ведь правда же?... Кто-то может получить "лицензию на киберубийство" от OpenAI и Anthropic? И если раньше компании защищались аргументом “модель еще не настолько продвинута”, то теперь защита строится по принципу "способности могут развиваться быстрее, чем мы сможем это доказать эмпирически".
В интересное время живем... Продолжаю наблюдать.
#ии #тенденции #оценказащищенности
Это приводит к интересным выводам. Кто-то пытается посчитать, сколько уязвимостей будет внесено в CVE в этом году. По версии FIRST их будет 59427 (в интервал от 30012 до 117673). Но мне гораздо ближе более практичный вывод от самого Anthropic, которая считает, что привычные 90-дневные окна раскрытия уязвимостей (disclosure) могут проиграть в борьбе со скоростью и объемом находок, сделанных LLM, которые не стоят на месте и будут развиваться. Если такие инструменты станут массовыми, "мы не успели проверить" перестанет быть оправданием даже для небольших команд.
OpenAI, выпустив GPT-5.3-Codex, говорит, что это первый релиз, который они классифицируют как High по своему фреймворку Preparedness Framework именно в домене кибербезопасности. Они не утверждают, что модель уже доказанно способна полностью автоматизировать кибероперации против защищенных целей, но они не могут исключить, что ее способности приблизились к такому порогу. То есть модель потенциально способна существенно облегчить или автоматизировать полный цикл киберопераций, включая разработку zero-day, их эксплуатацию и масштабирование.
И Anthropic, и OpenAI сами испугались своих детищ и стали ограничивать их в наступательных возможностях. Например, в тексте про 0-days Anthropic описывает новый слой в модели, специально заточенный под обнаружение киберзлоупотреблений, и прямо пишет про возможные вмешательства вплоть до блокировки трафика, если они увидят злые намерения. OpenAI тоже не сидит сложа руки и устанавливает правила по доступу к возможностям своих моделей с точки зрения кибербеза. Они требуют верификацию личности для пользователей (через chatgpt.com/cyber) и доступ для enterprise-команд через представителя OpenAI. Кто хочет более глубокий "кибер-режим", будут приглашены отдельно. Ну и автомониторинг/классификаторы подозрительной активности и запреты на классы поведения (утечки, вредоносы, разрушительное/неавторизованное тестирование). Кроме того, некоторые запросы с повышенным риском могут автоматически "скатываться" с модели GPT-5.3-Codex на "более слабую" GPT-5.2.
В дополнение к происходящим событиям вокруг GPT-5.3-Codex и Claude Opus 4.6, OpenAI только что анонсировала новый режим безопасности в ChatGPT под названием Lockdown Mode (только для корпоративных пользователей). Это опциональный режим повышенной безопасности для ChatGPT, ориентированный на высоко рискованных пользователей, например, руководителей, команды ИБ, юридические команды и организации, где возможна утечка конфиденциальных данных через ИИ. Он жестко ограничивает взаимодействие модели с внешними системами, чтобы снизить риск утечки данных через prompt injection.
В целом, обе компании по сути заявляют: "Мы не уверены, что пересекли красную линию, но готовы вести себя так, как будто пересекли". И исходя из этого предположения они ограничивают обычных пользователей в ИБ-возможностях. Но ведь кого-то они не ограничивают? Ведь правда же?... Кто-то может получить "лицензию на киберубийство" от OpenAI и Anthropic? И если раньше компании защищались аргументом “модель еще не настолько продвинута”, то теперь защита строится по принципу "способности могут развиваться быстрее, чем мы сможем это доказать эмпирически".
В интересное время живем... Продолжаю наблюдать.
#ии #тенденции #оценказащищенности
На портале совета PCI SSC выложен проектновой версии. PCI Card Production and Provisioning Physical and Logical Security Standards v3.0.1. Доступ к порталу предоставляется только зарегистрированным организациям
https://blog.pcisecuritystandards.org/request-for-comments-pci-card-production-and-provisioning-physical-and-logical-security-standards-v3.0.1
https://blog.pcisecuritystandards.org/request-for-comments-pci-card-production-and-provisioning-physical-and-logical-security-standards-v3.0.1
blog.pcisecuritystandards.org
Request for Comments: PCI Card Production and Provisioning Physical and Logical Security Standards v3.0.1
From 13 February to 16 March, eligible PCI SSC stakeholders are invited to review and provide feedback on the draft PCI Card Production and Provisioning Physical and Logical Security Standards v3.0.1 during a 30-day request for comments (RFC) period.
Forwarded from Листок бюрократической защиты информации
План ТК 362 на 2026.pdf
332.4 KB
💫 Планы технического комитета по стандартизации «Защита информации» (ТК 362) на 2026 год ➤
В 2026 году технический комитет по стандартизации «Защита информации» (ТК 362) планирует разработку проектов следующих национальных стандартов:
1. ГОСТ Р «Защита информации. Система организации и управления защитой информации. Общие положение»
2. ГОСТ Р «Защита информации. Защита информации от неправомерной передачи распространения из информационных и автоматизированных систем. Общие положения»
3. ГОСТ Р «Защита информации. Информационный ресурс служебных баз данных средств защиты информации. Общие положения»
4. ГОСТ Р «Защита информации. Идентификация и аутентификация. Управление идентификацией и аутентификацией»
5. ГОСТ Р «Защита информации. Идентификация и аутентификация. Типовые угрозы и уязвимости процессов идентификации и аутентификации»
6. ГОСТ Р «Защита информации. Идентификация и аутентификация. Рекомендации по управлению идентификацией и аутентификацией»
7. ГОСТ Р «Защита информации. Идентификация и аутентификация. Технические средства аутентификации»
8. ГОСТ Р «Защита информации. Защита информации в облачной инфраструктуре. Общие положения»
9. ГОСТ Р 58256 «Защита информации. Управление потоками информации в информационной системе. Формат классификационных меток»
10. ГОСТ Р «Защита информации. Разработка безопасного программного обеспечения. Динамический анализ программного обеспечения. Общие требования»
11. ГОСТ Р «Защита информации. Разработка безопасного программного обеспечения. Термины и определения»
12. ГОСТ Р «Защита информации. Разработка безопасного программного обеспечения. Композиционный анализ программного обеспечения. Общие требования»
13. ГОСТ Р «Защита информации. Разработка безопасного программного обеспечения. Методика оценки уровня реализации процессов разработки безопасного программного обеспечения»
14. ГОСТ Р «Защита информации. Разработка безопасного программного обеспечения, реализующего технологии искусственного интеллекта. Общие требования»
15. ГОСТ Р «Защита информации. Угрозы безопасности информации при разработке программного обеспечения, реализующего технологии искусственного интеллекта. Общие требования»
16. ГОСТ Р «Информационная технология. Системы с конструктивной информационной безопасностью. Определение угроз безопасности и оценка рисков»
17. ГОСТ Р «Защита информации. Требования безопасности аппаратно-программной платформы доверенных программно-аппаратных комплексов. Общие положения»
18. ГОСТ Р «Защита информации. Доверенная среда исполнения. Общие положения»
19. ГОСТ Р «Защита информации. Доверенная среда исполнения. Требования к операционной системе»
20. ГОСТ Р «Защита информации. Доверенная среда исполнения. Требования к аппаратной платформе»
21. ГОСТ Р «Защита информации. Доверенный компонент безопасности. Часть 1. Общие положения»
22. ГОСТ Р «Защита информации. Безопасность интегральных схем. Общие положения»
Соответствующая информация, включающая календарный план, размещена на сайте ФСТЭК России.
В 2026 году технический комитет по стандартизации «Защита информации» (ТК 362) планирует разработку проектов следующих национальных стандартов:
1. ГОСТ Р «Защита информации. Система организации и управления защитой информации. Общие положение»
2. ГОСТ Р «Защита информации. Защита информации от неправомерной передачи распространения из информационных и автоматизированных систем. Общие положения»
3. ГОСТ Р «Защита информации. Информационный ресурс служебных баз данных средств защиты информации. Общие положения»
4. ГОСТ Р «Защита информации. Идентификация и аутентификация. Управление идентификацией и аутентификацией»
5. ГОСТ Р «Защита информации. Идентификация и аутентификация. Типовые угрозы и уязвимости процессов идентификации и аутентификации»
6. ГОСТ Р «Защита информации. Идентификация и аутентификация. Рекомендации по управлению идентификацией и аутентификацией»
7. ГОСТ Р «Защита информации. Идентификация и аутентификация. Технические средства аутентификации»
8. ГОСТ Р «Защита информации. Защита информации в облачной инфраструктуре. Общие положения»
9. ГОСТ Р 58256 «Защита информации. Управление потоками информации в информационной системе. Формат классификационных меток»
10. ГОСТ Р «Защита информации. Разработка безопасного программного обеспечения. Динамический анализ программного обеспечения. Общие требования»
11. ГОСТ Р «Защита информации. Разработка безопасного программного обеспечения. Термины и определения»
12. ГОСТ Р «Защита информации. Разработка безопасного программного обеспечения. Композиционный анализ программного обеспечения. Общие требования»
13. ГОСТ Р «Защита информации. Разработка безопасного программного обеспечения. Методика оценки уровня реализации процессов разработки безопасного программного обеспечения»
14. ГОСТ Р «Защита информации. Разработка безопасного программного обеспечения, реализующего технологии искусственного интеллекта. Общие требования»
15. ГОСТ Р «Защита информации. Угрозы безопасности информации при разработке программного обеспечения, реализующего технологии искусственного интеллекта. Общие требования»
16. ГОСТ Р «Информационная технология. Системы с конструктивной информационной безопасностью. Определение угроз безопасности и оценка рисков»
17. ГОСТ Р «Защита информации. Требования безопасности аппаратно-программной платформы доверенных программно-аппаратных комплексов. Общие положения»
18. ГОСТ Р «Защита информации. Доверенная среда исполнения. Общие положения»
19. ГОСТ Р «Защита информации. Доверенная среда исполнения. Требования к операционной системе»
20. ГОСТ Р «Защита информации. Доверенная среда исполнения. Требования к аппаратной платформе»
21. ГОСТ Р «Защита информации. Доверенный компонент безопасности. Часть 1. Общие положения»
22. ГОСТ Р «Защита информации. Безопасность интегральных схем. Общие положения»
Соответствующая информация, включающая календарный план, размещена на сайте ФСТЭК России.
Please open Telegram to view this post
VIEW IN TELEGRAM
👍1
В следующей ветке ядра Linux 7.0 планируется добавить алгоритм квантово устойчивой электронной подписи Module-Lattice-Based Digital Signature Algorithm "ML-DSA". Ранее до стандартизации NIST этот алгоритм носил имя CRYSTALS-Dilithium .
Такой же алгоритм используется в семействах Windows и MacOS.
Первый планируемый кейс использования- подписание модулей ядра.
В этом же релизе ядра уберут возможность подписания модулей ядра с использованием sha-1.
В 7.0 версии ядра также обновятся библиотеки AES.
Выглядит так, что не лишним будет при переходе на дистрибы с ядром 7 отдельное внимание уделить тестированию средств криптографии.
В силу того, что у нас средства криптографии из состава операционной системы не подлежат обязательной сертификации, одни из первых реализаций квантово устойчивых криптографий будут доступны как инструменты в составе ОС.
https://www.phoronix.com/news/Linux-7.0-Crypto-ML-DSA
Такой же алгоритм используется в семействах Windows и MacOS.
Первый планируемый кейс использования- подписание модулей ядра.
В этом же релизе ядра уберут возможность подписания модулей ядра с использованием sha-1.
В 7.0 версии ядра также обновятся библиотеки AES.
Выглядит так, что не лишним будет при переходе на дистрибы с ядром 7 отдельное внимание уделить тестированию средств криптографии.
В силу того, что у нас средства криптографии из состава операционной системы не подлежат обязательной сертификации, одни из первых реализаций квантово устойчивых криптографий будут доступны как инструменты в составе ОС.
https://www.phoronix.com/news/Linux-7.0-Crypto-ML-DSA
Phoronix
Linux 7.0 Lands ML-DSA Quantum-Resistant Signature Support
Adding to the exciting features for the big Linux 7.0 kernel release is support for the Module-Lattice-Based Digital Signature Algorithm 'ML-DSA' quantum-resistant signature algorithm.
Как мне кажется, необычная ситуация может сложиться на рынке труда в 2026.
1. Резкое повышением стоимости серверного оборудования, возможно сохранится этот тренд дальше и ИИ рынок не схлопнется.
2. Заметное падение спроса на ИТ персонал.
Могут привести к парадоксальным ситуациям в некоторых сегментах рынка труда - например, будет дешевле нанимать людей, чем пытаться это автоматизировать процесс или использовать ИИ.
https://wccftech.com/western-digital-has-no-more-hdd-capacity-left-out/
1. Резкое повышением стоимости серверного оборудования, возможно сохранится этот тренд дальше и ИИ рынок не схлопнется.
2. Заметное падение спроса на ИТ персонал.
Могут привести к парадоксальным ситуациям в некоторых сегментах рынка труда - например, будет дешевле нанимать людей, чем пытаться это автоматизировать процесс или использовать ИИ.
https://wccftech.com/western-digital-has-no-more-hdd-capacity-left-out/
Wccftech
Western Digital Has No More HDD Capacity Left, as CEO Reveals Massive AI Deals; Brace Yourself For Price Surges Ahead!
HDD capacity from one of the world's largest manufacturers has started to run dry, according to WD's CEO, as major LTAs have been signed out.
Американский орган CISA продвигает использование стандарта OpenEoX для управления жизненным циклом оборудования - сроков окрнчания поддержки ПО и оьорудования.
Ряд компаний уже реализовали этот стандарт у себя Cisco, Dell, IBM, Microsoft, Oracle, and Red Hat.
Очевидное применение этого стандарта - процессы управления уязвимостями, закупки оборудования/ПО, инветаризация.
https://www.cisa.gov/news-events/news/end-just-beginning-better-security-enhanced-vulnerability-management-openeox
Ряд компаний уже реализовали этот стандарт у себя Cisco, Dell, IBM, Microsoft, Oracle, and Red Hat.
Очевидное применение этого стандарта - процессы управления уязвимостями, закупки оборудования/ПО, инветаризация.
https://www.cisa.gov/news-events/news/end-just-beginning-better-security-enhanced-vulnerability-management-openeox
🔥1
Интересный подход для минимизации ошибок мультиагентных систем транслирует Сколтех - использование Байесовского подхода.
Forwarded from Борис_ь с ml
Хабр
Как изменилась индустрия AI Security за 2025 год?
В начале 2026 года мы (авторы телеграм-каналов по безопасности ИИ) собрались, чтобы подвести итоги прошедшего года и обсудить, куда движется безопасность ИИ в общем и целом. Разговор получился...
Как изменилась индустрия AI Security за 2025 год?
#иб_для_ml
17 января мы с Артемом (автор PWNAI), Женей (автор "Евгений Кокуйкин - Raft") и Владом (автор "llm security и каланы") провели стрим на тему изменений в AI Security за 2025.
И сейчас подготовили для вас его текстовое изложение! Приглашаю к прочтению: https://habr.com/ru/articles/1000736/
Я на стриме сфокусировался на перспективах развития индустрии на горизонте 2-3-5 лет с учетом достижений 2025. Это и появление нового класса решений по безопасности, основанных на анализе архитектуры моделей. Также был разговор про типы угроз для AI Cybersecurity в целом, и про средства автоматизации кибератак, и инциденты за прошлый год, и стоимость защиты, и многое другое.
#иб_для_ml
17 января мы с Артемом (автор PWNAI), Женей (автор "Евгений Кокуйкин - Raft") и Владом (автор "llm security и каланы") провели стрим на тему изменений в AI Security за 2025.
И сейчас подготовили для вас его текстовое изложение! Приглашаю к прочтению: https://habr.com/ru/articles/1000736/
Я на стриме сфокусировался на перспективах развития индустрии на горизонте 2-3-5 лет с учетом достижений 2025. Это и появление нового класса решений по безопасности, основанных на анализе архитектуры моделей. Также был разговор про типы угроз для AI Cybersecurity в целом, и про средства автоматизации кибератак, и инциденты за прошлый год, и стоимость защиты, и многое другое.
Компания СерчИнформ поделилась несколькими успешными кейсами использования ИИ для DLP:
1. Поиск защищаемой информации, например фото паспортов. OCR такое находит хуже.
2. Детектирование нескольких лиц в камере при открытии критичных документов.
3. Поиск неявной информации или передача информации для задач экономической безопасности. Обычный поиск по ключевым словам будет не эффективным.
4. Саммаризация долгих чатов/переписки для анализа сути переписки. Отдельно - анализ переписки на иностранных языках.
1. Поиск защищаемой информации, например фото паспортов. OCR такое находит хуже.
2. Детектирование нескольких лиц в камере при открытии критичных документов.
3. Поиск неявной информации или передача информации для задач экономической безопасности. Обычный поиск по ключевым словам будет не эффективным.
4. Саммаризация долгих чатов/переписки для анализа сути переписки. Отдельно - анализ переписки на иностранных языках.