Forwarded from AISecHub
ISO/IEC 42005:2025 has been formally published! ISO 42005 provides guidance for organizations conducting AI system impact assessments.
Establishing a process and performing an AI system impact assessment is integral for organizations looking to pursue ISO 42001 certification. More importantly, the AI impact assessment allows organizations to identify high risk AI systems and determine any potential impact to individuals, groups, or societies as it relates to fairness, safety, and transparency. - https://www.iso.org/standard/44545.html
Establishing a process and performing an AI system impact assessment is integral for organizations looking to pursue ISO 42001 certification. More importantly, the AI impact assessment allows organizations to identify high risk AI systems and determine any potential impact to individuals, groups, or societies as it relates to fairness, safety, and transparency. - https://www.iso.org/standard/44545.html
ISO
ISO/IEC 42005:2025
Information technology — Artificial intelligence (AI) — AI system impact assessment
Forwarded from RED BLUE Machines | ИИ и безопасность
В Майкрософте отредтимили 100 аи-содержащих продуктов и вот что поняли:
* Нужно понимать тестируемую систему и контекст её использования
* Необязательно использовать сложные методы для тестирования (промт инжиниринга иногда достаточно)
* AI red teaming ≠ Safety Benchmarking (редтиминг должен выявлять новые категории угроз, которые невозможно учесть стандартными метриками безопасности)
* Стоит автоматизировать редтиминг, чтобы охватить больше рисков
* Роль человека остается ключевой
* LLM усиливают существующие риски и создают новые
* Безопасность ИИ-систем никогда не будет до конца обеспечена
+ рассматривают в качестве примеров отдельные кейсы
Не то чтобы статья-откровение, но если прям очень далеки, то стоит посмотреть
Lessons From Red Teaming 100 Generative AI Products
https://arxiv.org/abs/2501.07238
* Нужно понимать тестируемую систему и контекст её использования
* Необязательно использовать сложные методы для тестирования (промт инжиниринга иногда достаточно)
* AI red teaming ≠ Safety Benchmarking (редтиминг должен выявлять новые категории угроз, которые невозможно учесть стандартными метриками безопасности)
* Стоит автоматизировать редтиминг, чтобы охватить больше рисков
* Роль человека остается ключевой
* LLM усиливают существующие риски и создают новые
* Безопасность ИИ-систем никогда не будет до конца обеспечена
+ рассматривают в качестве примеров отдельные кейсы
Не то чтобы статья-откровение, но если прям очень далеки, то стоит посмотреть
Lessons From Red Teaming 100 Generative AI Products
https://arxiv.org/abs/2501.07238
arXiv.org
Lessons From Red Teaming 100 Generative AI Products
In recent years, AI red teaming has emerged as a practice for probing the safety and security of generative AI systems. Due to the nascency of the field, there are many open questions about how...
👍2
Переход на постквантовую криптографию для менеджера ИБ
https://pqcc.org/post-quantum-cryptography-migration-roadmap/
https://pqcc.org/post-quantum-cryptography-migration-roadmap/
Forwarded from Ассоциация ФинТех
Практический_гайд_по_созданию_ИИ_агентов.pdf
41.1 MB
Сбер представил гайд по созданию ИИ-агентов для бизнеса.
На конференции ЦИПР старший вице-президент, руководитель блока «Технологическое развитие» Сбербанка Андрей Белевцев представил практический гайд по созданию ИИ-агентов — автономных систем, которые самостоятельно выполняют различные задачи с помощью генеративного искусственного интеллекта, пишет Лента.ру.
Сообщается, что данное руководство будет полезно ИТ-специалистам, архитекторам, участникам команды разработки, которые хотят разобраться в ключевых аспектах построения и внедрения мультиагентных систем в условиях реальной корпоративной среды.
На конференции ЦИПР старший вице-президент, руководитель блока «Технологическое развитие» Сбербанка Андрей Белевцев представил практический гайд по созданию ИИ-агентов — автономных систем, которые самостоятельно выполняют различные задачи с помощью генеративного искусственного интеллекта, пишет Лента.ру.
Сообщается, что данное руководство будет полезно ИТ-специалистам, архитекторам, участникам команды разработки, которые хотят разобраться в ключевых аспектах построения и внедрения мультиагентных систем в условиях реальной корпоративной среды.
👍4
Анализ инцидентов в облаках CSA и рекомендуемые меры митигации.
https://cloudsecurityalliance.org/artifacts/top-threats-to-cloud-computing-2025
https://cloudsecurityalliance.org/artifacts/top-threats-to-cloud-computing-2025
cloudsecurityalliance.org
Top Threats 2025 | 8 Real-World Cybersecurity Breaches | CSA
Use CSA’s Top Threats report to reflect on recent cybersecurity breaches, including the Snowflake data breach, CrowdStrike outage, & Microsoft breach 2024.
https://cyber-ed.ru/start-karery-v-blue-team
Новый бесплатный курс для защитников.
К концу года коллеги возможно выпустят бесплатный курс по реверсу.
Новый бесплатный курс для защитников.
К концу года коллеги возможно выпустят бесплатный курс по реверсу.
CyberED
Специалист по противодействию кибератакам
На бесплатном курсе вы узнаете: с чего начинается информационная безопасность, как выстраивать защиту компьютерных систем, данных и сетей.
Рекомендую к просмотру слайды с конференции по безопасности контейнеров БеКон. Позже обещали выложить презентации и на сам сайт конференции. @bekon_conf (в канале конференции есть ещё презентации)
Forwarded from Конференция БеКон
Неочевидные_и_непонятные_моменты_безопасности_Kubernetes_Дмитрий.pdf
2.5 MB
Дмитрий Евдокимов переходит к своему докладу: "Неочевидные и непонятные моменты безопасности Kubernetes".
👍1👎1
https://csrc.nist.gov/pubs/cswp/45/metrics-and-methodology-for-hardware-security-cons/final
Небольшой документ от NIST по безопасности оборудования.
Небольшой документ от NIST по безопасности оборудования.
CSRC | NIST
Metrics and Methodology for Hardware Security Constructs
Although hardware is commonly believed to be security-resilient, it is often susceptible to vulnerabilities that arise from design and implementation flaws. These flaws can jeopardize the hardware’s security, its operations, and critical user information.…
Первый релиз нового проекта OWASP по уязвимостям бизнесс логики.
Топ построен путем анализа уязвимостей 2023-2025 большой языковой моделью.
https://owasp.org/www-project-top-10-for-business-logic-abuse/
Топ построен путем анализа уязвимостей 2023-2025 большой языковой моделью.
https://owasp.org/www-project-top-10-for-business-logic-abuse/
owasp.org
OWASP Top 10 for Business Logic Abuse | OWASP Foundation
A very brief, one-line description of your project
Forwarded from PWN AI (Artyom Semenov)
В последнее время анализируя множество исследований, статьей по теме - ощущаю нехватку того что меры которые предлагаются для защиты не содержат как правило проактивного характера.
У нас есть классический cyberkillchain. Mitre попытались отобразить его в своём фреймворке Atlas - несколько этапов от начального рекона до эксфильтрации и т.д. Это круто, но как мне кажется - знания о защите должны также быть, не хуже да и вообще быть изложены в структурированном виде. А то всё об угрозах да и об угрозах - а как защищать, когда атака уже идёт ? Говорить "не использовать MLFlow" или другое решение выглядит обсурдным.
Поэтому с начала марта я задумался о том как можно было бы представить anti cyberkillchain, да так чтобы он ещё укладывался в ландшафт ML.
я закомитил свои наработки по теме сюда
https://github.com/wearetyomsmnv/ML-Defense-Matrix
это матрица противодействия разным этапам, как мне самому кажется - это очень верхнеуровневый документ, его определённо надо дорабатывать с коллегами которые строят защиту - поэтому призываю вас принять участие, дать комменты(только обоснованные) - чтобы сделать проактивную защиту ML лучше. Не всегда можно покрыть риски только на этапе разработки. Это печалит.
О чём документ: В нём я изложил меры по защите(очень поверхностно, думаю буду прорабатывать их в соответствии с публикациям на arxiv) которые можно использовать на разных этапах - защита от разведки, защита от исполнения кода и тд. В перспективе добавить тему уже услышанную всеми - это агенты.
Инциденты уже шагают, угрозы уже изучены и задокументированы - но вот защита ... С этим всё слабо кмк. Прошу репост, тех кто заинтересован в развитии такой истории.
У нас есть классический cyberkillchain. Mitre попытались отобразить его в своём фреймворке Atlas - несколько этапов от начального рекона до эксфильтрации и т.д. Это круто, но как мне кажется - знания о защите должны также быть, не хуже да и вообще быть изложены в структурированном виде. А то всё об угрозах да и об угрозах - а как защищать, когда атака уже идёт ? Говорить "не использовать MLFlow" или другое решение выглядит обсурдным.
Поэтому с начала марта я задумался о том как можно было бы представить anti cyberkillchain, да так чтобы он ещё укладывался в ландшафт ML.
я закомитил свои наработки по теме сюда
https://github.com/wearetyomsmnv/ML-Defense-Matrix
это матрица противодействия разным этапам, как мне самому кажется - это очень верхнеуровневый документ, его определённо надо дорабатывать с коллегами которые строят защиту - поэтому призываю вас принять участие, дать комменты(только обоснованные) - чтобы сделать проактивную защиту ML лучше. Не всегда можно покрыть риски только на этапе разработки. Это печалит.
О чём документ: В нём я изложил меры по защите(очень поверхностно, думаю буду прорабатывать их в соответствии с публикациям на arxiv) которые можно использовать на разных этапах - защита от разведки, защита от исполнения кода и тд. В перспективе добавить тему уже услышанную всеми - это агенты.
Инциденты уже шагают, угрозы уже изучены и задокументированы - но вот защита ... С этим всё слабо кмк. Прошу репост, тех кто заинтересован в развитии такой истории.
GitHub
GitHub - wearetyomsmnv/ML-Defense-Matrix: Mitre Atlas counter-attack techniques
Mitre Atlas counter-attack techniques. Contribute to wearetyomsmnv/ML-Defense-Matrix development by creating an account on GitHub.
👍3👎1
В ЕС запустили сервис безопасного DNS для органов власти, телекома и обычных пользователей.
https://www.joindns4.eu/
Безопасность заключается в блокировке запросов к известным вредоносным доменам.
https://www.joindns4.eu/
Безопасность заключается в блокировке запросов к известным вредоносным доменам.
www.joindns4.eu
Official site of the DNS4EU project
Join DNS4EU, an EU initiative providing secure, private, and reliable DNS services for users across Europe. Safeguard your online experience with DNS solutions that prioritise privacy, data protection, and compliance with EU standards. Explore DNS4EU for…