Вопрос инвестиций и их сохранения непростой, так как на фондовый рынок влияет что угодно и предсказать это невозможно, особенно в РФ, особенно сейчас, когда последние 30 лет мы все свои стремления вкладывали в интеграцию в глобализм (наверно, разделение труда в мире, как и в обычной корпорации - это более эффективно, так как производственные возможности у разных стран разные), а последние несколько лет мы столь же стремительно разворачиваемся на 180 градусов. Представьте себе автобус, на полной скорости влетающий в препятствие и упруго отскакивающий в противоположном направлении, что при этом происходит с пассажирами?
Как уже отмечал, я никогда не рассматривал фондовый рынок, как инструмент заработка (зарабатывать нужно работая!), но как инструмент накопления и сохранения. Однако и в этом случае надо иметь какую-то стратегию. Если взять классические книжки по инвестированию, то все они топят за биржевые ПИФ-ы (а то и за ПИФ-ы, не торгуемые свободно на бирже), что можно понять, поскольку это существенно понижает порог входа: через ПИФ можно купить маленькую долю всей индустрии и не разбираться в показателях компании для принятия решения насколько перспективно вложиться в ее бумаги. Но история с фондами FinEx и то, что российский рынок не настолько многогранен, чтобы в нем было невозможно разобраться непрофессионалу, на мой взгляд, делает предложение о ПИФ-ах не очень подходящим для РФ. Инвестировать в зарубежные активы тоже выглядит крайне рискованно, если не сказать "безумием", даже в активы дружественных стран. Поэтому напишу свои мысли.
0. Надо понимать горизонт инвестирования. Это - самое сложное, так как "побеждают быстрые и решительные" и нам всем надо быть Agile.
1. За всю свою жизнь не видел дефляцию рубля на горизонте больше года, поэтому если мы планируем на срок более двух лет, то надо рассчитывать на обесценивание рубля. В этом случае инструменты у нас такие:
- акции российских "голубых фишек": Лукойл (LKOH), НЛМК (NLMK), Татнфеть (TATN), Сбербанк (SBER) и т.п.
- еврооблигации, номинированные в юанях (примеры: Роснефть CYN, Полюс CYN, Русал, и т.п.) или замещенные еврооблигации РФ или тех же "голубых фишек" (примеры: замещенные облигации Газпром Капитал, замещенные государственные еврооблигации РФ)
2. При планировании более чем на год акции не успеют показать достойную доходность (в сравнении с депозитом), хорошие облигации на срок до двух лет могут не найтись, а инфляция, судя по ставке ЦБ, в 2025 будет беспрецедентная(к тому же - это старый, проверенный инструмент, используемый в РФ для повышения доходов от экспорта, а доходы стране нужны...) . Если к тому же точный срок, когда понадобятся деньги, не ясен, то здесь видится вариант с БПИФ Ликвидность. Юань (CNYM), как бы я не не любил ПИФ-ы.
3. При планировании на короткий срок, здесь, как правило, точно не ясно когда нужны деньги, поэтому ни короткие облигации, ни депозиты не подходят. Здесь можно воспользоваться БПИФ Ликвидность (LQDT). В свое время я его сравнивал с депозитом, доходность по нему сравнима с лучшими предложениями на рынке, но в отличие от депозита, средства можно снимать в любое время без потери процентов.
Касательно слухов о заморозке вкладов на депозитах, я такой сценарий не считаю правдоподобным (хотя, в истории это уже было, и, как говорится, у нас все возможно), но, в целом, никогда и не использовал депозиты, так как из-за своей жесткой фиксации сроков они не удобны. Если же хочется воспользоваться именно депозитом, то вот неплохой сервис от Мосбиржы - Финуслуги.
На 2025 много кто давал прогнозы, но с моим лично мнением более-менее совпадает небольшое исследование от Елены Разговоровой. В целом, описанный Еленой прогноз, на мой взгляд, подходит не только к 2025, а вообще к любому году, его можно взять за основную стратегию инвестирования в РФ.
Все что я тут написал - мое личное мнение, в инвестициях нет ничего "100%-ного", "абсолютно точного", каждый хозяин своим деньгам и должен думать сам.
#финансы
Как уже отмечал, я никогда не рассматривал фондовый рынок, как инструмент заработка (зарабатывать нужно работая!), но как инструмент накопления и сохранения. Однако и в этом случае надо иметь какую-то стратегию. Если взять классические книжки по инвестированию, то все они топят за биржевые ПИФ-ы (а то и за ПИФ-ы, не торгуемые свободно на бирже), что можно понять, поскольку это существенно понижает порог входа: через ПИФ можно купить маленькую долю всей индустрии и не разбираться в показателях компании для принятия решения насколько перспективно вложиться в ее бумаги. Но история с фондами FinEx и то, что российский рынок не настолько многогранен, чтобы в нем было невозможно разобраться непрофессионалу, на мой взгляд, делает предложение о ПИФ-ах не очень подходящим для РФ. Инвестировать в зарубежные активы тоже выглядит крайне рискованно, если не сказать "безумием", даже в активы дружественных стран. Поэтому напишу свои мысли.
0. Надо понимать горизонт инвестирования. Это - самое сложное, так как "побеждают быстрые и решительные" и нам всем надо быть Agile.
1. За всю свою жизнь не видел дефляцию рубля на горизонте больше года, поэтому если мы планируем на срок более двух лет, то надо рассчитывать на обесценивание рубля. В этом случае инструменты у нас такие:
- акции российских "голубых фишек": Лукойл (LKOH), НЛМК (NLMK), Татнфеть (TATN), Сбербанк (SBER) и т.п.
- еврооблигации, номинированные в юанях (примеры: Роснефть CYN, Полюс CYN, Русал, и т.п.) или замещенные еврооблигации РФ или тех же "голубых фишек" (примеры: замещенные облигации Газпром Капитал, замещенные государственные еврооблигации РФ)
2. При планировании более чем на год акции не успеют показать достойную доходность (в сравнении с депозитом), хорошие облигации на срок до двух лет могут не найтись, а инфляция, судя по ставке ЦБ, в 2025 будет беспрецедентная
3. При планировании на короткий срок, здесь, как правило, точно не ясно когда нужны деньги, поэтому ни короткие облигации, ни депозиты не подходят. Здесь можно воспользоваться БПИФ Ликвидность (LQDT). В свое время я его сравнивал с депозитом, доходность по нему сравнима с лучшими предложениями на рынке, но в отличие от депозита, средства можно снимать в любое время без потери процентов.
Касательно слухов о заморозке вкладов на депозитах, я такой сценарий не считаю правдоподобным (хотя, в истории это уже было, и, как говорится, у нас все возможно), но, в целом, никогда и не использовал депозиты, так как из-за своей жесткой фиксации сроков они не удобны. Если же хочется воспользоваться именно депозитом, то вот неплохой сервис от Мосбиржы - Финуслуги.
На 2025 много кто давал прогнозы, но с моим лично мнением более-менее совпадает небольшое исследование от Елены Разговоровой. В целом, описанный Еленой прогноз, на мой взгляд, подходит не только к 2025, а вообще к любому году, его можно взять за основную стратегию инвестирования в РФ.
Все что я тут написал - мое личное мнение, в инвестициях нет ничего "100%-ного", "абсолютно точного", каждый хозяин своим деньгам и должен думать сам.
#финансы
Telegram
Семейный Банкир|Елена Разговорова
Пока все отдыхали, я изучала стратегии 2025 крупнейших инвестиционных компаний и банков.
В одном таком отчете ~ 30-50 страниц. Свела для себя воедино общим файлом рекомендации аналитиков и их видение на 2025 год.
Перевела сложный аналитический сленг на…
В одном таком отчете ~ 30-50 страниц. Свела для себя воедино общим файлом рекомендации аналитиков и их видение на 2025 год.
Перевела сложный аналитический сленг на…
👍10💩1
Простые числа - основа криптографии. Именно потому что их бесконечно много и потому что их распределение, вроде бы, случайно, мы можем полагаться на схему RSA.
В RSA выбираются два простых числа p и q, но, поскольку эти числа очень большие, на практике выбираются случайные числа, прошедшие проверку на простоту. Тестов на простоту великое множество, когда-то давно в одной из курсовых работ я брал алгоритм, списанный вот из этой замечательной книжки - Ноден, Китте, Алгебраическая алгоритмика, за которой специально ездил в издательство "Мир" где-то в район ст. Москва-3 Ярославского направления. Важно запомнить, что на практике в схеме RSA используются "примерно" (прошедшие тесты) простые числа, что, безусловно, снижает криптостойкость.
Однако, изучение простых чисел не останавливается и до сих пор. И вот достаточно свежая публикация о разных способах вычисления (== понимания распределния, т.е. нарушение условия случайности) простых чисел. Да, ряд упомянутых методов помимо простых чисел выдают "примерно" простые (в статье их называют "грубые простые", rough primes), но это не супер-проблема, поскольку, во-первых, их процент не велик, а, во-вторых, на практике используются как раз те самые "примерно" простые, поэтому для целей практического криптоанализа подойдут.
Надо следить за темой. Кстати, Let's enrypt начали выдавать TLS-сертификаты на несколько дней. Понятно, что компрометация ключа, обычно, происходит не ввиду криптоанализа, но, тем не менее, тренд в сторону короткоживущих ключей - эффективное мероприятие.
#книги #crypto
В RSA выбираются два простых числа p и q, но, поскольку эти числа очень большие, на практике выбираются случайные числа, прошедшие проверку на простоту. Тестов на простоту великое множество, когда-то давно в одной из курсовых работ я брал алгоритм, списанный вот из этой замечательной книжки - Ноден, Китте, Алгебраическая алгоритмика, за которой специально ездил в издательство "Мир" где-то в район ст. Москва-3 Ярославского направления. Важно запомнить, что на практике в схеме RSA используются "примерно" (прошедшие тесты) простые числа, что, безусловно, снижает криптостойкость.
Однако, изучение простых чисел не останавливается и до сих пор. И вот достаточно свежая публикация о разных способах вычисления (== понимания распределния, т.е. нарушение условия случайности) простых чисел. Да, ряд упомянутых методов помимо простых чисел выдают "примерно" простые (в статье их называют "грубые простые", rough primes), но это не супер-проблема, поскольку, во-первых, их процент не велик, а, во-вторых, на практике используются как раз те самые "примерно" простые, поэтому для целей практического криптоанализа подойдут.
Надо следить за темой. Кстати, Let's enrypt начали выдавать TLS-сертификаты на несколько дней. Понятно, что компрометация ключа, обычно, происходит не ввиду криптоанализа, но, тем не менее, тренд в сторону короткоживущих ключей - эффективное мероприятие.
#книги #crypto
Quanta Magazine
Mathematicians Uncover a New Way to Count Prime Numbers
To make progress on one of number theory’s most elementary questions, two mathematicians turned to an unlikely source.
👍3😱1
Atomic Red Team - широко известный фреймворк для тестирования наших с вами XDR, вокруг которого давно сложилось сообщество, и вклад которого в наше общее дело не менее значим.
В частности, попался вот такой репозиторий, который можно использовать для эмуляции известных APT - получится что-то вроде теста MITRE.
Но еще больше мне понравился вот этот - AttackRuleMap, так как здесь предложен маппинг правил Sigma и Splunk - неплохое начало для создания собственного контента обнаружения.
#mdr
В частности, попался вот такой репозиторий, который можно использовать для эмуляции известных APT - получится что-то вроде теста MITRE.
Но еще больше мне понравился вот этот - AttackRuleMap, так как здесь предложен маппинг правил Sigma и Splunk - неплохое начало для создания собственного контента обнаружения.
#mdr
attackrulemap.netlify.com
ARM - AttackRuleMap
Mapping of open-source detection rules and atomic tests.
👍4🔥3
Поход на 2025 уже запланирован, буду надеяться, что удастся вырваться, а пока продолжу делиться интересными местами на р. Умба. В предыдущей заметке я рассказывал о п. Падун, а сегодня наш герой - Жемчужный плес.
В Интернете говорят, что этот участок р. Умба получил свое название потому что когда-то здесь добывали раковины речной жемчужницы Margaritifera margaritifera, но потом производство стало нерентабельным, поэтому, вполне возможно, что в настоящее время популяция восстановилась и есть возможность найти. Мы не искали, а случайно, не помню, чтобы кто-то нашел.
Место очень приятное, не менее красивое, чем Плес на р. Волга, которым вдохновлялся Левитан, о котором я упоминал в статье о Передвижниках (в статье есть панорама с "Горы Левитана"). Река здесь широкая, прямая, глубокая, течение спокойное, высокие песчаные берега покрыты лесом из сказочно красивых сосен. Комаров и мошки здесь было немного относительно других мест. Мы стояли одну ночь на левом берегу. Если мне не изменяет память, то старший во время утренней прогулки заметил кабана.
#здоровье
В Интернете говорят, что этот участок р. Умба получил свое название потому что когда-то здесь добывали раковины речной жемчужницы Margaritifera margaritifera, но потом производство стало нерентабельным, поэтому, вполне возможно, что в настоящее время популяция восстановилась и есть возможность найти. Мы не искали, а случайно, не помню, чтобы кто-то нашел.
Место очень приятное, не менее красивое, чем Плес на р. Волга, которым вдохновлялся Левитан, о котором я упоминал в статье о Передвижниках (в статье есть панорама с "Горы Левитана"). Река здесь широкая, прямая, глубокая, течение спокойное, высокие песчаные берега покрыты лесом из сказочно красивых сосен. Комаров и мошки здесь было немного относительно других мест. Мы стояли одну ночь на левом берегу. Если мне не изменяет память, то старший во время утренней прогулки заметил кабана.
#здоровье
🔥14😍2👏1🐳1
Мы все, конечно же должны стремиться к тому, чтобы никогда не ошибаться. Но возможно ли сделать так, чтобы ошибок не было? Возможно ли, чтобы стрелок никогда не промахивался, чтобы с конвейра никогда не выходил брак, а SOC никогда не пропускал инциденты?
Наверно, это возможно, если мы зафиксируем объем и качество, но ничто не стоит на месте, и мы вынуждены придумывать новые схемы обнаружения атак, а все новое делает нас более уязвимыми к ошибкам (более хрупкими, в терминах Талеба). На мой взгляд - это разумный компромисс между работать без ошибок, но какие-то сценарии не обнаруживать вовсе, и иметь более широкие возможности по обнаружению, но с большей вероятностью ошибаться. Да это вообще, по-моему, очевидная логика, чем большего ты хочешь, тем сложнее твои методы, тем больше риск, но больше и потенциальные приобретения. Ошибка - очевидное следствие риска, а ничто не достигается без риска.
В новой заметке, может, немного и с преувеличениями, но не более, чем это необходимо для целей лучшего понимания моих аргументов, порассуждал о невозможности достижения SOC-ом целевого показателя "0 пропущенных инцидентов" и о том, что это - очевидное следствие того, что инциденты неизбежны.
#mdr #vCISO #пятница
Наверно, это возможно, если мы зафиксируем объем и качество, но ничто не стоит на месте, и мы вынуждены придумывать новые схемы обнаружения атак, а все новое делает нас более уязвимыми к ошибкам (более хрупкими, в терминах Талеба). На мой взгляд - это разумный компромисс между работать без ошибок, но какие-то сценарии не обнаруживать вовсе, и иметь более широкие возможности по обнаружению, но с большей вероятностью ошибаться. Да это вообще, по-моему, очевидная логика, чем большего ты хочешь, тем сложнее твои методы, тем больше риск, но больше и потенциальные приобретения. Ошибка - очевидное следствие риска, а ничто не достигается без риска.
В новой заметке, может, немного и с преувеличениями, но не более, чем это необходимо для целей лучшего понимания моих аргументов, порассуждал о невозможности достижения SOC-ом целевого показателя "0 пропущенных инцидентов" и о том, что это - очевидное следствие того, что инциденты неизбежны.
#mdr #vCISO #пятница
Дзен | Статьи
Целевые показатели
Статья автора «REPLY-TO-ALL Information Security Blog» в Дзене ✍: Невозможно управлять тем, что невозможно измерить Питер Дрюкер Заставь дурака Богу молиться, он и лоб расшибет Русская пословица Я...
🔥5😁1
Как я отмечал книжку Драйзера Финансист следует прочитать каждому игроку на бирже инвестору. Но как бы не неоднозначно я относился к американской литературе, есть еще много хороших книжек американских авторов. И сегодня мы поговорим о книжке, которая мне тоже очень понравилась - "Щегол" Донны Тартт, и ее полезно изучить каждому любителю искусства, особенно, поклонникам голландского барокко.
"Щегол" - третий роман писательницы, опубликован в 2013 году, а уже в 2014 году получил Пулицеровскую премию. Главный герой романа - Теодор Деккер (Тео), который в 13 лет потерял мать в результате террористического акта, который на протяжении произведения переживает довольно непростую жизнь, но относительно успешно балансировать на грани пропасти герою помогает в том числе и любовь к искусству. "Щегол" - картина не самого известного голландского художника Карела Фабрициуса, написанная в 1654 году, - полноправный герой произведения. Эта картина одна из немногих уцелевших после взрыва в результате которого погиб и сам художник. Принято считать, что если бы не ранняя смерть Фабрициуса и утрата его произведений, он мог бы стать в один ряд с такими фигурами голландского золотого века, как Рембрандт и Вермеер. А на страницах романа, "Щегол" снова переживает взрыв.
Роман Тартт, неверно, можно считать детективом, но отошедшим от классических канонов этого жанра, так как мы сразу знаем кто преступник. Этот момент перекликается с "Преступлением и наказанием" Федора Михайловича, чье влияние, наверно, я уже научился чуствовать (например, у Фицджеральда). Но упоминание Достоевского явно еще не раз встретится в романе, так как второй по значимости персонаж книги, Борис Павликовский, олицетворяет собой собирательный образ всех американских стереотипов о русских: пренебрежение к закону, непомерное употребления алкоголя, благородство и верность дружбе, любовь к Достоевскому и Толстому. Именно Борис, как будто, окажет самое негативное влияние на личность Тео, но, в то же время, именно он поможет все исправить (напишу максимально аккуратно, чтобы не палить сюжет)
В 2019 году роман был экранизирован режиссером Джоном Кроули, сценарий написал Питер Строган. Фильм получил смешанные и негативные отзывы, в которых критиковались сюжет и повествование, но хвалили операторскую работу и актёрскую игру. Сообщается, что Донна Тартт была настолько недовольна экранизацией, что дала понять, что больше не будет продавать права на экранизацию своих произведений (очень жаль, поскольку я люблю сравнивать книги и экранизации). На IMDb оценка 6.4 - означает, что, не зная предыстории, я бы не выбрал этот фильм для просмотра (обычно, я не смотрю фильмы с оценкой ниже 7.0 ). Но, у меня сложные отношения с кино, и, видимо, я слабо в этом разбираюсь, может, поэтому кино мне понравилось. Я даже повелся на то, как молодой Борис (Финн Вулфхард) имитировал русский акцент, но ребята спалились во время сцены перебранки с пьяным отцом, ибо разговаривали по-русски с чудовищным акцентом, особенно весело они коверкали русский мат 😂
Кино мне понравилось тем, что оно попало в мои личные ощущения от книги (возможно, это та самая инерция сознания, и я уже подходил к фильму с готовым эмоциональным настроем) и то, как я представлял себе внешний вид героев. Единственный персонаж, обманувший мои ожидания по внешнему виду в кино - это Хобби, но сыграл он как надо. Также к минусам фильма я бы отнес то, что не удалось огромную книгу (Тартт ее писал аж 10 лет) уместить в двухчасовое кино без потери множества деталей из-за чего, вероятно, из фильма не все понятно, если не читал книгу. Однако, подобный монтаж с потерей части сюжета мы прощаем "Властилину колец", думаю, и здесь допустимо не судить строго.
#книги #кино
"Щегол" - третий роман писательницы, опубликован в 2013 году, а уже в 2014 году получил Пулицеровскую премию. Главный герой романа - Теодор Деккер (Тео), который в 13 лет потерял мать в результате террористического акта, который на протяжении произведения переживает довольно непростую жизнь, но относительно успешно балансировать на грани пропасти герою помогает в том числе и любовь к искусству. "Щегол" - картина не самого известного голландского художника Карела Фабрициуса, написанная в 1654 году, - полноправный герой произведения. Эта картина одна из немногих уцелевших после взрыва в результате которого погиб и сам художник. Принято считать, что если бы не ранняя смерть Фабрициуса и утрата его произведений, он мог бы стать в один ряд с такими фигурами голландского золотого века, как Рембрандт и Вермеер. А на страницах романа, "Щегол" снова переживает взрыв.
Роман Тартт, неверно, можно считать детективом, но отошедшим от классических канонов этого жанра, так как мы сразу знаем кто преступник. Этот момент перекликается с "Преступлением и наказанием" Федора Михайловича, чье влияние, наверно, я уже научился чуствовать (например, у Фицджеральда). Но упоминание Достоевского явно еще не раз встретится в романе, так как второй по значимости персонаж книги, Борис Павликовский, олицетворяет собой собирательный образ всех американских стереотипов о русских: пренебрежение к закону, непомерное употребления алкоголя, благородство и верность дружбе, любовь к Достоевскому и Толстому. Именно Борис, как будто, окажет самое негативное влияние на личность Тео, но, в то же время, именно он поможет все исправить (напишу максимально аккуратно, чтобы не палить сюжет)
В 2019 году роман был экранизирован режиссером Джоном Кроули, сценарий написал Питер Строган. Фильм получил смешанные и негативные отзывы, в которых критиковались сюжет и повествование, но хвалили операторскую работу и актёрскую игру. Сообщается, что Донна Тартт была настолько недовольна экранизацией, что дала понять, что больше не будет продавать права на экранизацию своих произведений (очень жаль, поскольку я люблю сравнивать книги и экранизации). На IMDb оценка 6.4 - означает, что, не зная предыстории, я бы не выбрал этот фильм для просмотра (обычно, я не смотрю фильмы с оценкой ниже 7.0 ). Но, у меня сложные отношения с кино, и, видимо, я слабо в этом разбираюсь, может, поэтому кино мне понравилось. Я даже повелся на то, как молодой Борис (Финн Вулфхард) имитировал русский акцент, но ребята спалились во время сцены перебранки с пьяным отцом, ибо разговаривали по-русски с чудовищным акцентом, особенно весело они коверкали русский мат 😂
Кино мне понравилось тем, что оно попало в мои личные ощущения от книги (возможно, это та самая инерция сознания, и я уже подходил к фильму с готовым эмоциональным настроем) и то, как я представлял себе внешний вид героев. Единственный персонаж, обманувший мои ожидания по внешнему виду в кино - это Хобби, но сыграл он как надо. Также к минусам фильма я бы отнес то, что не удалось огромную книгу (Тартт ее писал аж 10 лет) уместить в двухчасовое кино без потери множества деталей из-за чего, вероятно, из фильма не все понятно, если не читал книгу. Однако, подобный монтаж с потерей части сюжета мы прощаем "Властилину колец", думаю, и здесь допустимо не судить строго.
#книги #кино
❤7🔥3
Бурное развитие облаков в какой-то степени сдерживали риски приватности: как же, мол, мы будем в облачного провайдера передавать все наши секреты и т.д. и т.п. Теоретическое математическое решение предложено небезызвестными Ривестом и Адельманом аж в 1978 году в виде гомоморфного шифрования. В теории все почти неплохо - манипуляции с данными производятся с зашифрованными данными и, вроде как, секреты не разглашаются. Однако, на практике реализации гомоморфного шифрования вычислительно сложны, что делает их нерентабельными. Немного я касался этого в 2012 году.
Чуть позже пришло осознание, что любая безопасность - это вопрос доверия и что без доверия невозможна безопасность. И на самом деле доверие в безопасности повсюду: мы вынуждены доверять производителям железа, ОС, системного и прикладного ПО, да и самим производителям решений по безопасности, что подрядчиков, которым мы уже вынуждены доверять - великое множество, и что, добавив к этому списку доверенных облачных провайдеров какого-то катастрофического снижения ИБ не прогнозируется. В итоге, разговоры о небезопасности облаков как-то поутихли, а мы и без гомоморфного шифрования вполне себе активно используем облачные мощности.
Но на сцену выходят тяжелые схемы машинного обучения, облачные модели генеративного ИИ, которые, очевидно, несут в себе огромные функциональные возможности, которых очень хочется, но на пути снова встает та же проблема - приватность передаваемых данных: как же, мол, мы будем воблачного провайдера облачный ИИ передавать все наши секреты и т.д. и т.п. И сейчас в общем объеме исследований, лично я снова наблюдаю всплеск интереса к гомоморфному шифрованию! Статей великое множество, приведу эту в качестве примера. Здесь мы наши секреты уже прячем не только от облачного провайдера, но и от поставщика облачного машобуча.
Проблемы с производительностью здесь все те же, поэтому не удивлюсь, что спустя пару лет мы смиримся с тем, что в наш список доверенных 3rd party станет нормальным наряду с облачными провайдерами добавлять и облачные LLM, а вопросы рисков безопасности мы будем пытаться адресовать контрактными обязательствами с поставщиками.
#пятница #ml #vCISO
Чуть позже пришло осознание, что любая безопасность - это вопрос доверия и что без доверия невозможна безопасность. И на самом деле доверие в безопасности повсюду: мы вынуждены доверять производителям железа, ОС, системного и прикладного ПО, да и самим производителям решений по безопасности, что подрядчиков, которым мы уже вынуждены доверять - великое множество, и что, добавив к этому списку доверенных облачных провайдеров какого-то катастрофического снижения ИБ не прогнозируется. В итоге, разговоры о небезопасности облаков как-то поутихли, а мы и без гомоморфного шифрования вполне себе активно используем облачные мощности.
Но на сцену выходят тяжелые схемы машинного обучения, облачные модели генеративного ИИ, которые, очевидно, несут в себе огромные функциональные возможности, которых очень хочется, но на пути снова встает та же проблема - приватность передаваемых данных: как же, мол, мы будем в
Проблемы с производительностью здесь все те же, поэтому не удивлюсь, что спустя пару лет мы смиримся с тем, что в наш список доверенных 3rd party станет нормальным наряду с облачными провайдерами добавлять и облачные LLM, а вопросы рисков безопасности мы будем пытаться адресовать контрактными обязательствами с поставщиками.
#пятница #ml #vCISO
arXiv.org
A Selective Homomorphic Encryption Approach for Faster...
Federated learning (FL) has come forward as a critical approach for privacy-preserving machine learning in healthcare, allowing collaborative model training across decentralized medical datasets...
👍6😁1
Одним из прогнозов на ближайшее время было усиление контроля отрасли ИБ со стороны государства. По-моему это очевидно, однако, судя по ряду комментариев в Чате обсуждений, не всем, что и смотивировало меня пообещать написать эту заметку.
Одна из важнейших функций государства - обеспечение счастливого существования его граждан (ровно это я говорил здесь). Для счастливого существования граждан от государства требуется обеспечение определенных условий. Сильно упрощенно, но понятно, - это чтобы основные институты работали в штатном режиме - энергетика, чтобы были свет и тепло, финансы, чтобы работала экономика, ИТ, телекоммуникации и связь, чтобы обеспечивался информационный обмен.... Безопасность - это свойство работы институтов, так как небезопасность этих индустрий означает наличие уязвимостей, которые могут быть проэксплуатированы злоумышленником, а, следовательно, злоумышленники могут нарушить работу критичных для благосостояния граждан институтов, что приводит к тому, государство уже не выполняет свои обязательства перед своими гражданами.
Наличие ответственности государства перед гражданами дает основания налагать требования на критичные отрасли, работа которых влияет на благосостояние граждан. Очевидно, что для достижения хороших результатов необходимо ограничивать объем и фокусироваться в первую очередь на наиболее важным - этим и объясняется выделение КИИ. Но несложно догадаться, что, с одной стороны, ненужных институтов, в общем-то нет, а, ввиду глубокой конвергенции отраслей экономики, проблемы в одной области незамедлительно скажутся на другой, поэтому негативные последствия на неКИИ, очевидно, найдут свое отражение в КИИ, - это простое объяснение того, что понятие КИИ будет постепенно расширяться. С другой стороны, безопасности никогда не бывает достаточно, а с учетом того, что атаки эволюционируют по мере повышения нашей эффективности борьбы с ними, требования со стороны регулятора будут только ужесточаться. Будем верить, что эти требования государства будут объективно отвечать современным угрозам, а исполнители на предприятиях подойдут максимально серьезно к их реализации.
#РФ #vCISO
Одна из важнейших функций государства - обеспечение счастливого существования его граждан (ровно это я говорил здесь). Для счастливого существования граждан от государства требуется обеспечение определенных условий. Сильно упрощенно, но понятно, - это чтобы основные институты работали в штатном режиме - энергетика, чтобы были свет и тепло, финансы, чтобы работала экономика, ИТ, телекоммуникации и связь, чтобы обеспечивался информационный обмен.... Безопасность - это свойство работы институтов, так как небезопасность этих индустрий означает наличие уязвимостей, которые могут быть проэксплуатированы злоумышленником, а, следовательно, злоумышленники могут нарушить работу критичных для благосостояния граждан институтов, что приводит к тому, государство уже не выполняет свои обязательства перед своими гражданами.
Наличие ответственности государства перед гражданами дает основания налагать требования на критичные отрасли, работа которых влияет на благосостояние граждан. Очевидно, что для достижения хороших результатов необходимо ограничивать объем и фокусироваться в первую очередь на наиболее важным - этим и объясняется выделение КИИ. Но несложно догадаться, что, с одной стороны, ненужных институтов, в общем-то нет, а, ввиду глубокой конвергенции отраслей экономики, проблемы в одной области незамедлительно скажутся на другой, поэтому негативные последствия на неКИИ, очевидно, найдут свое отражение в КИИ, - это простое объяснение того, что понятие КИИ будет постепенно расширяться. С другой стороны, безопасности никогда не бывает достаточно, а с учетом того, что атаки эволюционируют по мере повышения нашей эффективности борьбы с ними, требования со стороны регулятора будут только ужесточаться. Будем верить, что эти требования государства будут объективно отвечать современным угрозам, а исполнители на предприятиях подойдут максимально серьезно к их реализации.
#РФ #vCISO
YouTube
Интервью - Сергей Солдатов. SOC-Форум 2021
Сергей Солдатов, руководитель SOC, Лаборатория Касперского
#SOC-Форум 2021
#SOC-Форум 2021
👍10🔥5
В семействе Living-off-the-land пополнение, на сей раз проект посвящен туннелям.
Состав пока удивляет - там есть ngrok , почему-то нет plink (putty), но будем следить за проектом. В ежегодном отчёте MDR, который я на днях закончил собирать за 2024, есть раздел про часто встречающиеся LotL-утилиты, может, в следующем году добавлю и раздел про туннели.
#MDR
Состав пока удивляет - там есть ngrok , почему-то нет plink (putty), но будем следить за проектом. В ежегодном отчёте MDR, который я на днях закончил собирать за 2024, есть раздел про часто встречающиеся LotL-утилиты, может, в следующем году добавлю и раздел про туннели.
#MDR
👍10❤3
12 февраля в очередной раз поговорим о SOC. Готовьте вопросы, подключайтесь к эфиру. Будем стараться оправдать ваши ожидания!
Telegram
AM Live
🔥 Технологии и продукты оснащения SOC
12 февраля 2025 - 11:00 (МСК)
Поделимся лучшими практиками проектирования и реализации корпоративного SOC. Вы получите проверенный список технологий и продуктов для оснащения SOC в зависимости от потребностей вашей организации.…
12 февраля 2025 - 11:00 (МСК)
Поделимся лучшими практиками проектирования и реализации корпоративного SOC. Вы получите проверенный список технологий и продуктов для оснащения SOC в зависимости от потребностей вашей организации.…
🔥6👍2
На днях посмотрел вебинар от Red Canary с привлекательным названием "Embedding AI agents in your SOC". Не могу сказать, что он был супер познавательным и полезным, слайдов не было и видеоряд вебинара слабо отличается от того, что я представил на скриншоте. Напрягаться выкачиванием видео я не стал, но любезно предоставленный организаторами транскрипт прилагаю, - каждый самостоятельно сможет оценить интересность и полезность мероприятия. Как по мне, так больше отдает желанием оседлать хайповую тему и поддержать напиcанную ранее статью про AI Agents
Но вот несколько вещей, которые я для себя пометил.
1. Основная ценность, основной сценарий AI (читай - LLM): добывание данных (Data retrieval), необходимых для расследования. Для аналитика сочинять запросы в базы данных, извлекать критерии для новых запросов из ответов и т.п. не является креативной задачей, но рутиной, а AI с этим может хорошо справляться. Ребята не говорили об reinforcement learning, и вообще не погружались в тему машобуча глубже понимания среднего инженера, но публикации о нейронках, делающих pivoting и, в общем-то, делающих вполне успешные расследования, уже не раз встречались (например)
2. Кроме того, использование для рутины AI гарантирует соблюдение стандартности процедуры. Иными словами, можно не требования от человека следовать предопределенному чеклисту, чтобы он ничего не забыл, а поручить это машине, которая при одинаковых входных данных будет выдавать одинаковый результат. При этом решается еще одна большая проблема - субъективизма аналитиков, что даже в условиях идеальной задокументированности, неискоренимо, ибо каждый человек уникален.Не перестаю удивляться тому, как на протяжении всей истории мы стремимся добиться от людей свойств машин (четкое исполнение алгоритмов), а от машин - обратного (импровизации).
3. Вопрос доверия облачным моделям мы крайний раз поднимали здесь. Ребята, ожидаемо используют облачные модели, при этом на вопрос о безопасности заливания запросов про клиентские данные в облачную модель, ответ был что-то типа необходимости выбора надежного поставщика, типа AWS или Azure.
4. Autonomous SOC - это сказка. Как мы всегда и писали AI/ML - это не более чем еще один инструмент автоматизации, который может автоматизировать рутину или полностью расследовать и оформлять типовые инциденты, однако, всегда будут задачи, требующие участия аналитика.
#MDR #ml
Но вот несколько вещей, которые я для себя пометил.
1. Основная ценность, основной сценарий AI (читай - LLM): добывание данных (Data retrieval), необходимых для расследования. Для аналитика сочинять запросы в базы данных, извлекать критерии для новых запросов из ответов и т.п. не является креативной задачей, но рутиной, а AI с этим может хорошо справляться. Ребята не говорили об reinforcement learning, и вообще не погружались в тему машобуча глубже понимания среднего инженера, но публикации о нейронках, делающих pivoting и, в общем-то, делающих вполне успешные расследования, уже не раз встречались (например)
2. Кроме того, использование для рутины AI гарантирует соблюдение стандартности процедуры. Иными словами, можно не требования от человека следовать предопределенному чеклисту, чтобы он ничего не забыл, а поручить это машине, которая при одинаковых входных данных будет выдавать одинаковый результат. При этом решается еще одна большая проблема - субъективизма аналитиков, что даже в условиях идеальной задокументированности, неискоренимо, ибо каждый человек уникален.
3. Вопрос доверия облачным моделям мы крайний раз поднимали здесь. Ребята, ожидаемо используют облачные модели, при этом на вопрос о безопасности заливания запросов про клиентские данные в облачную модель, ответ был что-то типа необходимости выбора надежного поставщика, типа AWS или Azure.
4. Autonomous SOC - это сказка. Как мы всегда и писали AI/ML - это не более чем еще один инструмент автоматизации, который может автоматизировать рутину или полностью расследовать и оформлять типовые инциденты, однако, всегда будут задачи, требующие участия аналитика.
#MDR #ml
Red Canary
Incorporating AI agents into SOC workflows | Red Canary
With the right guardrails, AI agents quantifiably improve speed in your security operations center, without compromising accuracy
👍4❤1😁1🥱1
Приз получен!
Огромное спасибо организаторам!
Обязательно напишу свое мнение о книжке, даже если не найду в ней ничего полезного, кроме как стандартных околополитических нарративов (книжка американская и официально там издана)
#мир
Огромное спасибо организаторам!
Обязательно напишу свое мнение о книжке, даже если не найду в ней ничего полезного
#мир
👍6👏2