Forwarded from ИНФОБЕЗ МГТУ им. Н.Э. Баумана
Разговоры про автоматизацию в SOC, NG-SOC, математику, безопасную разработку, Secure by Design, поверхность атаки, контейнеризацию, bug bounty - это точно про романтику в ИБ!
Подписывайтесь на наш Youtube-канал!
#Макрушин #Интервью #Лекция
Please open Telegram to view this post
VIEW IN TELEGRAM
Атака на атакующего: уязвимость RCE в популярном у Red Team фреймворке Empire
Те, кто использовал опен-сорсный инструмент Empire для пентеста и ред тиминга, знают его возможности на этапе постэксплуатации.
Фреймворк состоит из четырех компонент, один из которых - Agent. Его задача заключается в установке канала управления и эксфильтрации данных с атакуемого хоста.
Уязвимость, позволяющая осуществить обход каталога (directory traversal), обнаружена в коммуникации между Agent и сервером управления. Можно подменить запросы агента и загрузить на сервер любой файл в произвольной директории.
Для этой уязвимости уже доступен PoC, поэтому пентестры и ред тимеры, проверяйте свою инфраструктуру на наличие имплантов.
Те, кто использовал опен-сорсный инструмент Empire для пентеста и ред тиминга, знают его возможности на этапе постэксплуатации.
Фреймворк состоит из четырех компонент, один из которых - Agent. Его задача заключается в установке канала управления и эксфильтрации данных с атакуемого хоста.
Уязвимость, позволяющая осуществить обход каталога (directory traversal), обнаружена в коммуникации между Agent и сервером управления. Можно подменить запросы агента и загрузить на сервер любой файл в произвольной директории.
Для этой уязвимости уже доступен PoC, поэтому пентестры и ред тимеры, проверяйте свою инфраструктуру на наличие имплантов.
Топ-10 техник атак на веб-приложения в 2023 году
Компания Portswigger при поддержке сообщества исследователей и багхантеров составляет рейтинг исследований безопасности веб-приложений. Кстати, в рейтинге 2021 года отметилось исследование нашей команды Advanced Security Research, которое было посвящено технике JS Prototype Pollution.
В 2023 году первое место в рейтинге заняло исследование “Smashing the state machine: the true potential of web race conditions”, в котором автор подсветил новые аспекты атак Race Condition в современных приложениях.
Компания Portswigger при поддержке сообщества исследователей и багхантеров составляет рейтинг исследований безопасности веб-приложений. Кстати, в рейтинге 2021 года отметилось исследование нашей команды Advanced Security Research, которое было посвящено технике JS Prototype Pollution.
В 2023 году первое место в рейтинге заняло исследование “Smashing the state machine: the true potential of web race conditions”, в котором автор подсветил новые аспекты атак Race Condition в современных приложениях.
Скомпрометированные учетки становятся основным вектором проникновения
В недавнем отчете подразделения Palo Alto Unit42 отмечен тренд: использование скомпрометированных учетных записей становится ключевой тактикой атакующих для обеспечения первичного доступа в организацию. Если в 2022 году для этой задачи в основном использовался фишинг, то уже в 2023 году эта техника отошла на второй план. Доля взломанных учёток: 20.5% от всех зафиксированных инцидентов.
Способов получить доступ к учетной записи - множество. О некоторых наиболее распространенных мы уже рассказывали. Чтобы исключить этот вектор атак, мы разработали и добавили в портфолио облачный сервис многофакторной аутентификации. И дополнили эту технологию новыми ценностями для бизнеса:
* подключение инфраструктуры за несколько дней;
* быстрое масштабирование на все филиалы;
* исключение капитальных затрат на инфраструктуру и внедрение.
И пусть MFA станет обязательной частью парольной политики в любой организации, где используются пароли.
В недавнем отчете подразделения Palo Alto Unit42 отмечен тренд: использование скомпрометированных учетных записей становится ключевой тактикой атакующих для обеспечения первичного доступа в организацию. Если в 2022 году для этой задачи в основном использовался фишинг, то уже в 2023 году эта техника отошла на второй план. Доля взломанных учёток: 20.5% от всех зафиксированных инцидентов.
Способов получить доступ к учетной записи - множество. О некоторых наиболее распространенных мы уже рассказывали. Чтобы исключить этот вектор атак, мы разработали и добавили в портфолио облачный сервис многофакторной аутентификации. И дополнили эту технологию новыми ценностями для бизнеса:
* подключение инфраструктуры за несколько дней;
* быстрое масштабирование на все филиалы;
* исключение капитальных затрат на инфраструктуру и внедрение.
И пусть MFA станет обязательной частью парольной политики в любой организации, где используются пароли.
Старое фото команды GReAT, на котором каждый сотрудник в образе какого-то героя. Где-то можно узнать персонажей из “Assassin’s Creed” или “Kill Bill”.
А мой персонаж просто не выспался. Потому что раскручивал какую-то уязвимость 🤪 Возможно, в домашнем роутере.
Да пребудет с нами бодрая неделя!
А мой персонаж просто не выспался. Потому что раскручивал какую-то уязвимость 🤪 Возможно, в домашнем роутере.
Да пребудет с нами бодрая неделя!
Опубликован NIST Cybersecurity Framework v.2
О ключевом нововведении фреймворка рассказывал летом, когда NIST опубликовал драфт документа. Основные обновления финальной версии:
* расширен скоп применения: теперь в фокусе не только критически важная инфраструктура, но и организации любого размера;
* Govern: добавлена новая функция, которая выделяет приоритет политикам управления ИБ;
* добавлен новый раздел “Supply Chain Risk Management”, который уделяет внимание устойчивому тренду защиты цепочки поставок;
* Implementation Examples: обновляемые примеры внедрения рекомендаций.
О ключевом нововведении фреймворка рассказывал летом, когда NIST опубликовал драфт документа. Основные обновления финальной версии:
* расширен скоп применения: теперь в фокусе не только критически важная инфраструктура, но и организации любого размера;
* Govern: добавлена новая функция, которая выделяет приоритет политикам управления ИБ;
* добавлен новый раздел “Supply Chain Risk Management”, который уделяет внимание устойчивому тренду защиты цепочки поставок;
* Implementation Examples: обновляемые примеры внедрения рекомендаций.
Рост активности мошенников в Telegram
Во второй половине прошлого года пользователи Telegram столкнулись с атаками, в которых злоумышленники представлялись руководителем компании, где работает или работала жертва, пытается войти в доверие и заставить подчиненного выполнить вредоносное действие. Например, провести платеж на счет злодея.
Пик данной активности мы наблюдали в период с октября по декабрь и вместе с коллегами по индустрии подготовили комментарий для РБК о том, как устроена эта мошенническая схема.
Сегодня злоумышленники масштабируют свою схему. Теперь они взламывают аккаунты пользователей, собирают голосовые сообщения, прогоняют их через генеративные нейросети (например, murf.ai) и рассылают контактам жертвы фейковые голосовые сообщения с просьбой о помощи.
Рекомендация и напоминание: не доверять никаким голосовым и видео-сообщениям, в которых есть побуждение к какому-либо действию, критичному для финансов или личных/корпоративных данных. Для защиты от подобных атак выработать привычку подтверждать это действие дополнительным звонком по альтернативному каналу (не в мессенджере).
Во второй половине прошлого года пользователи Telegram столкнулись с атаками, в которых злоумышленники представлялись руководителем компании, где работает или работала жертва, пытается войти в доверие и заставить подчиненного выполнить вредоносное действие. Например, провести платеж на счет злодея.
Пик данной активности мы наблюдали в период с октября по декабрь и вместе с коллегами по индустрии подготовили комментарий для РБК о том, как устроена эта мошенническая схема.
Сегодня злоумышленники масштабируют свою схему. Теперь они взламывают аккаунты пользователей, собирают голосовые сообщения, прогоняют их через генеративные нейросети (например, murf.ai) и рассылают контактам жертвы фейковые голосовые сообщения с просьбой о помощи.
Рекомендация и напоминание: не доверять никаким голосовым и видео-сообщениям, в которых есть побуждение к какому-либо действию, критичному для финансов или личных/корпоративных данных. Для защиты от подобных атак выработать привычку подтверждать это действие дополнительным звонком по альтернативному каналу (не в мессенджере).
РБК
Хакеры стали в разы чаще использовать при атаках аккаунты топ-менеджеров
Количество мошеннических рассылок сотрудникам от лица топ-менеджмента в последние месяцы выросло в несколько раз. По подсчетам «Лаборатории Касперского», каждый час таким образом атакуют около 40
Безопасная разработка в финтех: итоги круглого стола DevOpsConf
Ключевые тезисы, которые вместе с коллегами из финансовой отрасли озвучили в ходе обсуждения вопросов безопасной разработки:
* Процессы, роли и инструменты SSDL влияют на time-to-market продукта, но возможно снизить это влияние до минимальных значений. Например, за счет автоматизации процессов безопасной разработки и, в некоторых сценариях, за счет принятия рисков. В последнем сценарии важен баланс между риск-аппетитом владельцев бизнеса (то есть финансовыми и репутационными потерями, с которыми готов мириться бизнес) и требованиям регулятора.
* «Платформизация» разработки - тренд, который нужно учитывать организации любого уровня, разрабатывающей финансовые продукты. Объединение ключевых компетенций в команде-платформе и ее последующее масштабирование в продуктовые команды позволяет сохранять экспертный ресурс при росте масштабов разработки. Именно таким образом правильно внедрять практику Security Champions.
* Интегрировать и поддерживать open-source или купить коммерческое решение для безопасной разработки - ответ на этот вопрос находится в экономической плоскости. Развивать собственную команду разработки, которая будет адаптировать решение с открытым исходным кодом под имеющиеся процессы - инвестиция с высоким уровнем риска. Лучше инвестировать в процессы, которые не будут зависеть от инструмента и которые можно поддержать любым продуктом.
Ключевые тезисы, которые вместе с коллегами из финансовой отрасли озвучили в ходе обсуждения вопросов безопасной разработки:
* Процессы, роли и инструменты SSDL влияют на time-to-market продукта, но возможно снизить это влияние до минимальных значений. Например, за счет автоматизации процессов безопасной разработки и, в некоторых сценариях, за счет принятия рисков. В последнем сценарии важен баланс между риск-аппетитом владельцев бизнеса (то есть финансовыми и репутационными потерями, с которыми готов мириться бизнес) и требованиям регулятора.
* «Платформизация» разработки - тренд, который нужно учитывать организации любого уровня, разрабатывающей финансовые продукты. Объединение ключевых компетенций в команде-платформе и ее последующее масштабирование в продуктовые команды позволяет сохранять экспертный ресурс при росте масштабов разработки. Именно таким образом правильно внедрять практику Security Champions.
* Интегрировать и поддерживать open-source или купить коммерческое решение для безопасной разработки - ответ на этот вопрос находится в экономической плоскости. Развивать собственную команду разработки, которая будет адаптировать решение с открытым исходным кодом под имеющиеся процессы - инвестиция с высоким уровнем риска. Лучше инвестировать в процессы, которые не будут зависеть от инструмента и которые можно поддержать любым продуктом.
Code-to-Cloud: платформенный подход к обеспечению безопасности приложений
77% компаний-разработчиков обновляют код своих продуктов еженедельно, а 38% доставляют обновления каждый день. Частота этих обновлений растет. Развитие ИИ ускоряет процесс создания кода, а облака позволяют разработчикам моментально собирать и доставлять свои приложения.
Рост скоростей продуктовых изменений требует от команд безопасности соответствующий темп. Разработчики, DevOps-инженеры, команды product security - все делят между собой ответственность за безопасность продукта. При этом на каждом этапе его жизненного цикла на эту скорость влияют не только качество используемых инструментов, но и эффективность кросс-командного взаимодействия.
Другой вызов для команд безопасности заключается в широкой поверхности атаки. Пока разбираешь результаты анализа безопасности кода - кто-то из DevOps-инженеров собирает окружение с зараженным образом контейнера. Или другой пример: научившись внимательно следить за runtime развернутого приложения, по-прежнему не видишь скомпрометированную среду разработки.
Подход к защите cloud-native приложения должен быть целостным и сфокусированным на четырех объектах:
1. код приложения;
2. инфраструктура разработки;
3. продуктовое окружение (runtime);
4. данные.
Реализация этого подхода возможна при наличии единого «источника истины» для команд разработки и безопасности. Источник истины - это точка, в которой собираются актуальные артефакты приложения и его окружения, сходятся процессы и результаты. Интеграция процессов, ролей и инструментов в единую платформу создает позволяет получить этот источник.
Ключевое действие: интеграция. Аналитики Gartner даже придумали концепцию Cloud-Native Application Protection Platform (CNAPP), в рамках которой представили жизненный цикл приложений и интегрированный подход по обеспечению их безопасности от «кода до облака».
Бизнесу нужно унифицировать производство ПО так, чтобы вместо кучи продуктов, собирающих данные, была одна платформа, собирающая кучу данных. И уже после на этой куче можно тренировать ИИ и эволюционировать в автоматизации.
77% компаний-разработчиков обновляют код своих продуктов еженедельно, а 38% доставляют обновления каждый день. Частота этих обновлений растет. Развитие ИИ ускоряет процесс создания кода, а облака позволяют разработчикам моментально собирать и доставлять свои приложения.
Рост скоростей продуктовых изменений требует от команд безопасности соответствующий темп. Разработчики, DevOps-инженеры, команды product security - все делят между собой ответственность за безопасность продукта. При этом на каждом этапе его жизненного цикла на эту скорость влияют не только качество используемых инструментов, но и эффективность кросс-командного взаимодействия.
Другой вызов для команд безопасности заключается в широкой поверхности атаки. Пока разбираешь результаты анализа безопасности кода - кто-то из DevOps-инженеров собирает окружение с зараженным образом контейнера. Или другой пример: научившись внимательно следить за runtime развернутого приложения, по-прежнему не видишь скомпрометированную среду разработки.
Подход к защите cloud-native приложения должен быть целостным и сфокусированным на четырех объектах:
1. код приложения;
2. инфраструктура разработки;
3. продуктовое окружение (runtime);
4. данные.
Реализация этого подхода возможна при наличии единого «источника истины» для команд разработки и безопасности. Источник истины - это точка, в которой собираются актуальные артефакты приложения и его окружения, сходятся процессы и результаты. Интеграция процессов, ролей и инструментов в единую платформу создает позволяет получить этот источник.
Ключевое действие: интеграция. Аналитики Gartner даже придумали концепцию Cloud-Native Application Protection Platform (CNAPP), в рамках которой представили жизненный цикл приложений и интегрированный подход по обеспечению их безопасности от «кода до облака».
Бизнесу нужно унифицировать производство ПО так, чтобы вместо кучи продуктов, собирающих данные, была одна платформа, собирающая кучу данных. И уже после на этой куче можно тренировать ИИ и эволюционировать в автоматизации.
Поиск секретов в видео-контенте
Ранее мы рассмотрели способы поиска секретов в исходном коде (пароли, токены, API-ключи) и даже проанализировали утечку. Исследователи GitLab опубликовали метод и инструмент поиска секретов в видео.
Как эта утилита работает: видео-запись разбивается на кадры, в каждом кадре распознается текст с помощью OCR, в полученном тексте проводится поиск паттернов.
Инструмент может быть использован для целенаправленного поиска секретов в видео-записях рабочих встреч, а также для их мониторинга и массового сбора в публикуемом контенте на различных площадках, например, в социальных сетях и видео-хостингах.
Ранее мы рассмотрели способы поиска секретов в исходном коде (пароли, токены, API-ключи) и даже проанализировали утечку. Исследователи GitLab опубликовали метод и инструмент поиска секретов в видео.
Как эта утилита работает: видео-запись разбивается на кадры, в каждом кадре распознается текст с помощью OCR, в полученном тексте проводится поиск паттернов.
Инструмент может быть использован для целенаправленного поиска секретов в видео-записях рабочих встреч, а также для их мониторинга и массового сбора в публикуемом контенте на различных площадках, например, в социальных сетях и видео-хостингах.
И снова в МГТУ им. Баумана!
На этот раз коллеги кафедры «Защита информации» пригласили рассказать студентам про построение процессов безопасной разработки и поделиться опытом поиска уязвимостей в цепочке поставок.
Дал рекомендации, как начать погружение в безопасность продукта, и вместе с ребятами провел обзор навыков и компетенций роли «Security Engineer». Получил поток идей, инициатив и вопросов, которые до сих пор летят в личные сообщения. На некоторые вопросы отвечу здесь и запущу рубрику #ВопросПодписчика.
На этот раз коллеги кафедры «Защита информации» пригласили рассказать студентам про построение процессов безопасной разработки и поделиться опытом поиска уязвимостей в цепочке поставок.
Дал рекомендации, как начать погружение в безопасность продукта, и вместе с ребятами провел обзор навыков и компетенций роли «Security Engineer». Получил поток идей, инициатив и вопросов, которые до сих пор летят в личные сообщения. На некоторые вопросы отвечу здесь и запущу рубрику #ВопросПодписчика.
Morris II: первый компьютерный червь, который распространяется с помощью GenAI
Или все же это громкий заголовок исследования, в котором авторы используют уязвимости генеративного ИИ для вредоносных действий? Давайте разберемся.
Исследователи сформировали запросы, которые провоцируют ML-модель генерировать на выходе то, что атакующий подает на вход. В результате этой манипуляции получается спровоцировать модель воспроизвести запрос атакующего и выполнить вредоносное действие. И это вредоносное действие может быть направлено на другие компоненты, которые работают в одной экосистеме с этой моделью.
То, что эта атака проходит без вмешательства пользователя - еще не значит, что модель начнет отправлять запросы за пределы своей экосистемы другим подобным ML-моделям. Авторы сравнили свой концепт с червем, но я бы сравнил это с уязвимостью SSRF: можно манипулировать компонентами экосистемы, в которой находится уязвимая модель.
Поэтому данное исследование помимо интересного метода атаки на продукты, использующие GenAI, имеет заголовок, за которым прячется концепт, но не опасность червя Morris.
Или все же это громкий заголовок исследования, в котором авторы используют уязвимости генеративного ИИ для вредоносных действий? Давайте разберемся.
Исследователи сформировали запросы, которые провоцируют ML-модель генерировать на выходе то, что атакующий подает на вход. В результате этой манипуляции получается спровоцировать модель воспроизвести запрос атакующего и выполнить вредоносное действие. И это вредоносное действие может быть направлено на другие компоненты, которые работают в одной экосистеме с этой моделью.
То, что эта атака проходит без вмешательства пользователя - еще не значит, что модель начнет отправлять запросы за пределы своей экосистемы другим подобным ML-моделям. Авторы сравнили свой концепт с червем, но я бы сравнил это с уязвимостью SSRF: можно манипулировать компонентами экосистемы, в которой находится уязвимая модель.
Поэтому данное исследование помимо интересного метода атаки на продукты, использующие GenAI, имеет заголовок, за которым прячется концепт, но не опасность червя Morris.
Фундаментальная литература для погружения в машинное обучение
Всем привет! Меня зовут Иван Капунин, и нет, я не захватил канал Дениса. Мы решили поделиться опытом, который поможет новичкам погрузиться в область машинного обучения и науки о данных в режиме «от минимума к оптимуму».
Говорят, что можно бесконечно наблюдать за тремя вещами: как горит огонь, как течет вода и как в индустрии спорят о необходимости знаний математики для программиста. Однако в случае Machine Learning (и Data Science в целом) IT-специалисту, который хочет так или иначе погрузиться в эту тему, важен последний аспект. Вопрос лишь в том, насколько глубоким будет погружение.
Математическая база
Да, то самое словосочетание, вызывающее бурю всевозможных эмоций (как правило,радостных пугающих). Конечно, никто не мешает нам сразу взять модель из библиотеки
sklearn, написать 2 заветных строчки в виде
Существует множество статей с рассуждениями о том, какая математика нужна для понимания ML и насколько глубоко вообще стоит в нее погружаться (1 и 2).
В результате изучения подобных материалов и на основе собственного опыта, я подготовил список с минимальными требованиями в математике для погружения в область:
* Линейная алгебра: векторы, их геометрическая интерпретация, матрицы и базовые операции над ними.
* Математический анализ: график функции, производная функции, градиент, функции многих переменных.
* Статистика: математическое ожидание, дисперсия, распределение вероятностей, корреляция.
* Математические обозначения, которые сами по себе не являются разделом математики, но достаточно важны: символы, константы, индексирование, кванторы.
Вот и пригодился первый курс технического ВУЗа - тот период, когда студента мучают матаном и линалом, а он задается вопросом«ну и зачем оно мне надо?»
Конечно, этот список можно так или иначе дополнять. Но, повторюсь, наша задача - выделить необходимый минимум.
В следующих постах этой серии мы более детально разберем материалы для погружения в каждую из тем.
Рекомендую обязательно делать конспекты всех приходящих идей и инсайтов. Можно делать их прямо в комментариях к этому посту 🙂
Всем привет! Меня зовут Иван Капунин, и нет, я не захватил канал Дениса. Мы решили поделиться опытом, который поможет новичкам погрузиться в область машинного обучения и науки о данных в режиме «от минимума к оптимуму».
Говорят, что можно бесконечно наблюдать за тремя вещами: как горит огонь, как течет вода и как в индустрии спорят о необходимости знаний математики для программиста. Однако в случае Machine Learning (и Data Science в целом) IT-специалисту, который хочет так или иначе погрузиться в эту тему, важен последний аспект. Вопрос лишь в том, насколько глубоким будет погружение.
Математическая база
Да, то самое словосочетание, вызывающее бурю всевозможных эмоций (как правило,
sklearn, написать 2 заветных строчки в виде
.fit()/predict() и сказать, что мы овладели машинным обучением. Но будет ли у нас в результате понимание, что для решения прикладной задачи используется подходящая модель? Правильно ли мы предобработали данные? Сможем ли ли оценить и правильно интерпретировать результаты нашей модели?Существует множество статей с рассуждениями о том, какая математика нужна для понимания ML и насколько глубоко вообще стоит в нее погружаться (1 и 2).
В результате изучения подобных материалов и на основе собственного опыта, я подготовил список с минимальными требованиями в математике для погружения в область:
* Линейная алгебра: векторы, их геометрическая интерпретация, матрицы и базовые операции над ними.
* Математический анализ: график функции, производная функции, градиент, функции многих переменных.
* Статистика: математическое ожидание, дисперсия, распределение вероятностей, корреляция.
* Математические обозначения, которые сами по себе не являются разделом математики, но достаточно важны: символы, константы, индексирование, кванторы.
Вот и пригодился первый курс технического ВУЗа - тот период, когда студента мучают матаном и линалом, а он задается вопросом
Конечно, этот список можно так или иначе дополнять. Но, повторюсь, наша задача - выделить необходимый минимум.
В следующих постах этой серии мы более детально разберем материалы для погружения в каждую из тем.
Рекомендую обязательно делать конспекты всех приходящих идей и инсайтов. Можно делать их прямо в комментариях к этому посту 🙂
Фундамент в data science: экспресс-погружение в линейную алгебру
Продолжаем публикации, посвященные области машинного обучения. В этот раз сфокусируемся на линейной алгебре - "сердце" алгоритмов ML.
* Как приступить к обучению?
Все зависит от текущего уровня подготовки.
* В университете была необходимая база?
Можно освежить ее сразу с помощью конспектов, комбинируя ее с более сложной литературой.
* Первое знакомство?
Лучше начать с видео-материалов, но это пассивное изучение. Да, оно является самым простым способом познакомиться с новым материалом, но если задача заключается в более глубоком погружении в предмет, ничто не заменит практику. Поэтому рекомендую не оставлять этот аспект без внимания и все же порешать несколько заданий, приложенных в конце данного поста.
Конспекты в jupyter-тетрадках, которые пригодятся для практики работы с данными:
* векторы и матрицы
* векторы
* матрицы
Видео-материалы:
* введение в матрицы от Андрея Павликова
* введение в линейную алгебру от Deep Learning School
(векторы, матрицы, операции над матрицами)
* мини-курс от DA VINCI
Визуализация элементов линейной алгебры (весь плейлист):
* интро
* векторы и их преобразования
* матрицы
* умножение матриц
Литература:
* небольшое пособие с необходимой базой на русском языке
* интенсив-курсы (1 и 2) по линейной алгебре на английском языке
Шпаргалки:
* Linear algebra cheatsheet, UiO Language Technology Group
* Linear algebra cheatsheet, Laurent Lessard
А если всего вышеуказанного показалось мало:
* Линейная алгебра, Ильин, Позняк
* Матричный анализ и линейная алгебра, Тыртышников Е. Е.
* Vector Calculus, Linear Algebra And Differential Forms, John Hamal, Barbara and Burke Hubbard
Домашние задания:
* Линейные системы
* Векторы
* Алгебра матриц
* Обратные матрицы
Обязательно конспектируй все идеи и инсайты.
Продолжаем публикации, посвященные области машинного обучения. В этот раз сфокусируемся на линейной алгебре - "сердце" алгоритмов ML.
* Как приступить к обучению?
Все зависит от текущего уровня подготовки.
* В университете была необходимая база?
Можно освежить ее сразу с помощью конспектов, комбинируя ее с более сложной литературой.
* Первое знакомство?
Лучше начать с видео-материалов, но это пассивное изучение. Да, оно является самым простым способом познакомиться с новым материалом, но если задача заключается в более глубоком погружении в предмет, ничто не заменит практику. Поэтому рекомендую не оставлять этот аспект без внимания и все же порешать несколько заданий, приложенных в конце данного поста.
Конспекты в jupyter-тетрадках, которые пригодятся для практики работы с данными:
* векторы и матрицы
* векторы
* матрицы
Видео-материалы:
* введение в матрицы от Андрея Павликова
* введение в линейную алгебру от Deep Learning School
(векторы, матрицы, операции над матрицами)
* мини-курс от DA VINCI
Визуализация элементов линейной алгебры (весь плейлист):
* интро
* векторы и их преобразования
* матрицы
* умножение матриц
Литература:
* небольшое пособие с необходимой базой на русском языке
* интенсив-курсы (1 и 2) по линейной алгебре на английском языке
Шпаргалки:
* Linear algebra cheatsheet, UiO Language Technology Group
* Linear algebra cheatsheet, Laurent Lessard
А если всего вышеуказанного показалось мало:
* Линейная алгебра, Ильин, Позняк
* Матричный анализ и линейная алгебра, Тыртышников Е. Е.
* Vector Calculus, Linear Algebra And Differential Forms, John Hamal, Barbara and Burke Hubbard
Домашние задания:
* Линейные системы
* Векторы
* Алгебра матриц
* Обратные матрицы
Обязательно конспектируй все идеи и инсайты.
Поиск секретов в скрытых Git-коммитах
Искать секреты в исходном коде мы уже умеем. Но в git-репозиториях остались интересные места, до которых стандартными способами не доберешься. Речь о скрытых коммитах - информации об измененных файлах в репозитории, которая была удалена и не отображается в истории проекта.
Когда разработчик вносит изменения (коммит) в репозиторий, а затем по какой-то причине хочет отменить эти изменения, он выполняет команды:
Первая строка отменяет последний коммит и все последние изменения в файлах целевого репозитория, а вторая строка применяет все изменения в этом репозитории. То есть, данные команды удаляют последние внесенные изменения.
Тут появляется важная особенность, которую отметили исследователи: если коммит недоступен в истории изменений, то это не означает, что его нельзя восстановить. И тогда все коммиты, которые содержали секреты и затем были удалены разработчиком, можно восстановить и извлечь из них ценную информацию.
Исследователи опубликовали инструмент для извлечения скрытых коммитов публичного GitHub-репозитория и их анализа. Для репозиториев GitLab эта техника тоже работает, и также есть готовый инструмент. Security-чемпионы и специалисты по безопасности приложений берут этот подход в работу.
Искать секреты в исходном коде мы уже умеем. Но в git-репозиториях остались интересные места, до которых стандартными способами не доберешься. Речь о скрытых коммитах - информации об измененных файлах в репозитории, которая была удалена и не отображается в истории проекта.
Когда разработчик вносит изменения (коммит) в репозиторий, а затем по какой-то причине хочет отменить эти изменения, он выполняет команды:
git reset --hard HEAD^
git push origin -f
Первая строка отменяет последний коммит и все последние изменения в файлах целевого репозитория, а вторая строка применяет все изменения в этом репозитории. То есть, данные команды удаляют последние внесенные изменения.
Тут появляется важная особенность, которую отметили исследователи: если коммит недоступен в истории изменений, то это не означает, что его нельзя восстановить. И тогда все коммиты, которые содержали секреты и затем были удалены разработчиком, можно восстановить и извлечь из них ценную информацию.
Исследователи опубликовали инструмент для извлечения скрытых коммитов публичного GitHub-репозитория и их анализа. Для репозиториев GitLab эта техника тоже работает, и также есть готовый инструмент. Security-чемпионы и специалисты по безопасности приложений берут этот подход в работу.
Стратегия выявления угроз: на чем сосредоточить усилия при разработке методов обнаружения?
Как достичь эффективности при выявлении угроз при ограниченном ресурсе? Как оценить качество методов обнаружения? Встретил серию статей, автор которых ищет ответы на эти вопросы.
Security-инженеры и аналитики SOC знают, что ключевая цель при выявлении угроз заключается в создании механизмов для обнаружения и предотвращения как можно большего количества методов, которые использует злоумышленник для продвижения к своей цели.
То есть, эта цель превращается в решение задачи: не допустить, чтобы атакующий прошел все этапы своего пути до цели и остался незамеченным. С этого момента начинается игра вероятностей: насколько вероятно, что атакующий пойдет по пути, который не заметит защищающийся?
Здесь помогает следующая модель:
1. представляем каждую технику матрицы Mitre ATT&CK в виде точки;
2. путь атакующего от получения первичного доступа до продвижения цели можно представить в виде определенной последовательности точек;
3. техники матрицы, у которых есть множество подтехник, можно также разложить на группы точек (размер группы увеличивает вероятность выполнения данной техники);
4. каждую подтехнику можно выполнить с помощью разных процедур и инструментов - это добавляет еще больше точек в группы;
5. тактика выявления: чем больше процедур в рамках одной подтехники охватывает метод обнаружения, тем лучше данный метод. Эффективный метод обнаружения - тот, который выявляет процедуру с наибольшим количеством связей с другими процедурами.
И вот тут гипотеза, которую можно проверить в рамках исследовательской работы: составить граф всех процедур Mitre ATT&CK и определить узлы с наибольшим количеством связей (пример на рисунке отмечен желтым).
Эти узлы станут базой для выстраивания системы защиты и помогут определить приоритеты в условиях ограниченных ресурсов. Аналитик центра мониторинга получит еще одну возможность количественно обосновать необходимость разработки нового детекта или покупку «того самого» средства защиты.
#Инсайт
Как достичь эффективности при выявлении угроз при ограниченном ресурсе? Как оценить качество методов обнаружения? Встретил серию статей, автор которых ищет ответы на эти вопросы.
Security-инженеры и аналитики SOC знают, что ключевая цель при выявлении угроз заключается в создании механизмов для обнаружения и предотвращения как можно большего количества методов, которые использует злоумышленник для продвижения к своей цели.
То есть, эта цель превращается в решение задачи: не допустить, чтобы атакующий прошел все этапы своего пути до цели и остался незамеченным. С этого момента начинается игра вероятностей: насколько вероятно, что атакующий пойдет по пути, который не заметит защищающийся?
Здесь помогает следующая модель:
1. представляем каждую технику матрицы Mitre ATT&CK в виде точки;
2. путь атакующего от получения первичного доступа до продвижения цели можно представить в виде определенной последовательности точек;
3. техники матрицы, у которых есть множество подтехник, можно также разложить на группы точек (размер группы увеличивает вероятность выполнения данной техники);
4. каждую подтехнику можно выполнить с помощью разных процедур и инструментов - это добавляет еще больше точек в группы;
5. тактика выявления: чем больше процедур в рамках одной подтехники охватывает метод обнаружения, тем лучше данный метод. Эффективный метод обнаружения - тот, который выявляет процедуру с наибольшим количеством связей с другими процедурами.
И вот тут гипотеза, которую можно проверить в рамках исследовательской работы: составить граф всех процедур Mitre ATT&CK и определить узлы с наибольшим количеством связей (пример на рисунке отмечен желтым).
Эти узлы станут базой для выстраивания системы защиты и помогут определить приоритеты в условиях ограниченных ресурсов. Аналитик центра мониторинга получит еще одну возможность количественно обосновать необходимость разработки нового детекта или покупку «того самого» средства защиты.
#Инсайт
Forwarded from RED Security
Media is too big
VIEW IN TELEGRAM
Риски кибератак в телекоммуникационной отрасли 📡
Вчера на форуме «Телеком-2024» CTO МТС RED Денис Макрушин принял участие в дискуссии, посвящённой кибербезопасности и выявлению киберугроз в отрасли.
Конечно, с точки зрения расследования инцидентов в телекоме нет каких-то особенностей — сбор логов ИТ-систем, данных мониторинга и т. д. Однако, как и в других субъектах КИИ, прерывание ключевых процессов грозит серьёзными последствиями — проблемы со связью и другими связанными сервисами, например, мобильным и интернет-банкингом 📲
И несмотря на то, что наряду с банками телеком является одной из привлекательных мишеней для хакеров, на него приходится всего 4% от всех кибератак (по данным МТС RED SOC). А вот доля критичных инцидентов в общей массе стабильно очень высока. Это говорит о том, что отрасль обладает достаточно высоким уровнем зрелости в отношении защиты от киберугроз, а простые атаки редко приводят к результату 🎯
Денис также отметил ключевые проблемы киберустойчивости любого бизнеса в РФ:
1️⃣ Большое количество ресурсов, за которыми нужно следить и которые нужно оперативно защищать.
2️⃣ Уровень наблюдаемости событий. У большинства компаний доля обеспеченной мониторингом инфраструктуры не достигает и 70%, а многие вообще не осуществляют его, хотя с их уровнем зрелости следовало бы. Тем не менее рынок активно наращивает уровень наблюдаемости, и спрос на сервисы мониторинга постоянно растёт.
Вчера на форуме «Телеком-2024» CTO МТС RED Денис Макрушин принял участие в дискуссии, посвящённой кибербезопасности и выявлению киберугроз в отрасли.
Конечно, с точки зрения расследования инцидентов в телекоме нет каких-то особенностей — сбор логов ИТ-систем, данных мониторинга и т. д. Однако, как и в других субъектах КИИ, прерывание ключевых процессов грозит серьёзными последствиями — проблемы со связью и другими связанными сервисами, например, мобильным и интернет-банкингом 📲
И несмотря на то, что наряду с банками телеком является одной из привлекательных мишеней для хакеров, на него приходится всего 4% от всех кибератак (по данным МТС RED SOC). А вот доля критичных инцидентов в общей массе стабильно очень высока. Это говорит о том, что отрасль обладает достаточно высоким уровнем зрелости в отношении защиты от киберугроз, а простые атаки редко приводят к результату 🎯
Денис также отметил ключевые проблемы киберустойчивости любого бизнеса в РФ:
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from RED Security
Media is too big
VIEW IN TELEGRAM
Звёздные кибервойны. Эпизод 1
12 апреля 1961 г. — Юрий Гагарин стал первым человеком в космосе 👨🚀
27 апреля 1986 г. — первый случай взлома спутника на орбите 🛰
Как видите, человечеству понадобились тысячи лет, чтобы покорить космос, а после — всего 25 лет, чтобы навести там хакерскую суету.
Казалось бы, после такого серьёзного инцидента компании могли научиться обеспечивать киберзащиту космических аппаратов и передаваемой через них информации. Но в целях экономии этим озаботились далеко не все. В общем, всё как на Земле.
О взломах в космосе с Земли и наоборот — читайте в нашем новом материале на Хабре 👈
P.S. За статью спасибо СТО МТС RED Денису Макрушину и отдельное спасибо Юре за космос! 🚀
12 апреля 1961 г. — Юрий Гагарин стал первым человеком в космосе 👨🚀
27 апреля 1986 г. — первый случай взлома спутника на орбите 🛰
Как видите, человечеству понадобились тысячи лет, чтобы покорить космос, а после — всего 25 лет, чтобы навести там хакерскую суету.
Казалось бы, после такого серьёзного инцидента компании могли научиться обеспечивать киберзащиту космических аппаратов и передаваемой через них информации. Но в целях экономии этим озаботились далеко не все. В общем, всё как на Земле.
О взломах в космосе с Земли и наоборот — читайте в нашем новом материале на Хабре 👈
P.S. За статью спасибо СТО МТС RED Денису Макрушину и отдельное спасибо Юре за космос! 🚀