Forwarded from white2hack 📚
SOC Incident Response Playbook — 100+ Pages of Real-World Runbooks
This SOC Incident Response Playbook is a multi-scenario compendium that gives you ready-to-run workflows for incidents like:
💣 Ransomware infections (EDR/XDR, backups, containment paths)
🧑💻 Insider data exfiltration (DLP, CASB, proxy & email controls)
☁️ Cloud account compromise (M365/Azure/AWS/GWS identity abuse)
🌐 Web app exploitation (WAF, logs, SAST/DAST, secure coding feedback loop)
🔗 Supply chain compromise (trojanised updates, vendor risk & third-party access)
💾 USB-delivered malware
🌊 DDoS against public-facing services
📧 Business Email Compromise (BEC)
🔐 Unauthorised privilege escalation & DB access
🛰 DNS tunnelling, cloud misconfig exposure, RDP brute force, dev environment abuse & more
Each playbook is structured with: Preparation → Detection & Analysis → Containment → Eradication → Recovery → Lessons Learned & Success Metrics, plus typical tools (SIEM, EDR/XDR, CSPM, DLP, CASB, WAF, etc.) so you can plug it directly into your SOC procedures or SOAR.
#defensive
This SOC Incident Response Playbook is a multi-scenario compendium that gives you ready-to-run workflows for incidents like:
💣 Ransomware infections (EDR/XDR, backups, containment paths)
🧑💻 Insider data exfiltration (DLP, CASB, proxy & email controls)
☁️ Cloud account compromise (M365/Azure/AWS/GWS identity abuse)
🌐 Web app exploitation (WAF, logs, SAST/DAST, secure coding feedback loop)
🔗 Supply chain compromise (trojanised updates, vendor risk & third-party access)
💾 USB-delivered malware
🌊 DDoS against public-facing services
📧 Business Email Compromise (BEC)
🔐 Unauthorised privilege escalation & DB access
🛰 DNS tunnelling, cloud misconfig exposure, RDP brute force, dev environment abuse & more
Each playbook is structured with: Preparation → Detection & Analysis → Containment → Eradication → Recovery → Lessons Learned & Success Metrics, plus typical tools (SIEM, EDR/XDR, CSPM, DLP, CASB, WAF, etc.) so you can plug it directly into your SOC procedures or SOAR.
#defensive
🔥2
Forwarded from CodeCamp
Убираем главную боль всех LLM-разработчиков: принёс ультимативный список инструментов, которые решают проблему контекста и долгосрочного хранения данных 🗒
Это не просто свалка ссылок, а структурированная карта ландшафта Memory-решений:
— Все подходы: от классических векторных баз (Qdrant, Pinecone) до графов знаний (Neo4j) и гибридных схем;
— Подборка решений именно для управления памятью агентов: Mem0, Zep, MemGPT и Cognee;
— Удобная таблица, где сразу видно: опенсорс или проприетарщина, на чем работает (Graph/Vector) и для каких задач лучше подходит.
Выбираем стек🍆
Это не просто свалка ссылок, а структурированная карта ландшафта Memory-решений:
— Все подходы: от классических векторных баз (Qdrant, Pinecone) до графов знаний (Neo4j) и гибридных схем;
— Подборка решений именно для управления памятью агентов: Mem0, Zep, MemGPT и Cognee;
— Удобная таблица, где сразу видно: опенсорс или проприетарщина, на чем работает (Graph/Vector) и для каких задач лучше подходит.
Выбираем стек
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥1
Forwarded from ЭйАй Секур’илка
Small Language Model for AI Agents HandBook.pdf
2.1 MB
Интересный документ от Rakesh Gohe.
Представляет собой небольшой справочник по малым языковым моделям (SLM) для ИИ-агентов.
#ai #cybersecurity #aisecurity #ai #agents #agenticai
ЭйАй Секур’илка⬅️
Представляет собой небольшой справочник по малым языковым моделям (SLM) для ИИ-агентов.
#ai #cybersecurity #aisecurity #ai #agents #agenticai
ЭйАй Секур’илка
Please open Telegram to view this post
VIEW IN TELEGRAM
👎2
Forwarded from Alaid TechThread
A Security Engineer's Guide to the A2A Protocol
https://semgrep.dev/blog/2025/a-security-engineers-guide-to-the-a2a-protocol/
https://semgrep.dev/blog/2025/a-security-engineers-guide-to-the-a2a-protocol/
Semgrep
A Security Engineer's Guide to the A2A Protocol
A deep dive into the Agent-to-Agent (A2A) protocol — the emerging standard for agentic AI interoperability. Learn how A2A compares to MCP, what security engineers should watch for in agent communication, and how to secure agentic systems against new cybersecurity…
👎1🔥1
Forwarded from Новости информационной безопасности
BlueTriage — «швейцарский нож» для тех, кому лень настраивать полноценный SIEM
29 декабря. / securitylab.ru /. На GitHub появился BlueTriage — простой инструмент для быстрого разбора логов Windows, который берёт события безопасности в формате JSON, приводит их к единой схеме и прогоняет через набор простых правил, а на выходе отдаёт файл с алертами и HTML-отчёт для первичного анализа инцидента.
По сути, BlueTriage пытается закрыть типичную боль реагирования: когда логи уже выгружены, но их нужно быстро привести к понятному виду и вытащить «красные флажки» без тяжёлых SIEM-процессов и долгой настройки. В текущем MVP автор заложил цепочку «инджест → нормализация → детекты → экспорт», чтобы можно было прогнать набор событий одной командой и получить читаемый результат для ревью.
В стартовой комплектации есть несколько правил под популярные сценарии из Security-лога Windows: неудачные попытки входа (4625), создание пользователя (4720), добавление в привилегированные группы (4728/4732) и создание запланированной задачи (4698). Каждое правило помечено уровнем критичности и привязано к техникам MITRE ATT&CK (например, T1110 для перебора паролей и T1053.005 для планировщика задач), чтобы алерты проще было «приклеивать» к знакомым моделям атак.
Запуск сейчас заточен под Windows и виртуальное окружение Python: установка из репозитория, команда для сканирования JSON-файла с событиями и отдельная команда для генерации HTML-отчёта. Судя по описанию репозитория, проект написан на Python, а для шаблонов отчёта используется Jinja.
В планах у автора — поддержка EVTX (чтобы можно было кормить инструмент напрямую экспортом журналов Windows), переход на YAML-правила в духе «Sigma-lite», скоринг и сортировка по оценке (High → Low), а также Markdown-отчёты, удобные для тикетов.
29 декабря. / securitylab.ru /. На GitHub появился BlueTriage — простой инструмент для быстрого разбора логов Windows, который берёт события безопасности в формате JSON, приводит их к единой схеме и прогоняет через набор простых правил, а на выходе отдаёт файл с алертами и HTML-отчёт для первичного анализа инцидента.
По сути, BlueTriage пытается закрыть типичную боль реагирования: когда логи уже выгружены, но их нужно быстро привести к понятному виду и вытащить «красные флажки» без тяжёлых SIEM-процессов и долгой настройки. В текущем MVP автор заложил цепочку «инджест → нормализация → детекты → экспорт», чтобы можно было прогнать набор событий одной командой и получить читаемый результат для ревью.
В стартовой комплектации есть несколько правил под популярные сценарии из Security-лога Windows: неудачные попытки входа (4625), создание пользователя (4720), добавление в привилегированные группы (4728/4732) и создание запланированной задачи (4698). Каждое правило помечено уровнем критичности и привязано к техникам MITRE ATT&CK (например, T1110 для перебора паролей и T1053.005 для планировщика задач), чтобы алерты проще было «приклеивать» к знакомым моделям атак.
Запуск сейчас заточен под Windows и виртуальное окружение Python: установка из репозитория, команда для сканирования JSON-файла с событиями и отдельная команда для генерации HTML-отчёта. Судя по описанию репозитория, проект написан на Python, а для шаблонов отчёта используется Jinja.
В планах у автора — поддержка EVTX (чтобы можно было кормить инструмент напрямую экспортом журналов Windows), переход на YAML-правила в духе «Sigma-lite», скоринг и сортировка по оценке (High → Low), а также Markdown-отчёты, удобные для тикетов.
Forwarded from GitHub Community
Agent 3 — конструктор ИИ-агентов для автоматизации задач
Agent 3 позволяет быстро создавать автономных ИИ-помощников для различных сценариев: от Telegram- и Slack-ботов до полноценных веб-приложений.
Агенты могут работать автономно до трёх часов, самостоятельно тестируют свой код и исправляют ошибки без вмешательства пользователя.
Попробовать тут
🐱 GitHub
Agent 3 позволяет быстро создавать автономных ИИ-помощников для различных сценариев: от Telegram- и Slack-ботов до полноценных веб-приложений.
Агенты могут работать автономно до трёх часов, самостоятельно тестируют свой код и исправляют ошибки без вмешательства пользователя.
Попробовать тут
Please open Telegram to view this post
VIEW IN TELEGRAM
Фишинг - эффект от GenAI
IBM X-Force Threat Intelligence Index 2024 (https://newsletter.radensa.ru/wp-content/uploads/2024/03/IBM-XForce-Threat-Intelligence-Index-2024.pdf): у IBM в эксперименте среднее время на подготовку фишингового письма человеком оценено в ~16 часов, а с использованием генеративного ИИ — ~5 минут
Heiding et al. (https://arxiv.org/pdf/2308.12287) “Devising and detecting phishing emails…” (модель + экономический расчёт): авторы оценивают, что для 112 “жертв” подготовка фишингового письма в «классическом» сценарии занимает ~590 минут, а при AI-генерации — тоже ~5 минут
Hazell (https://arxiv.org/pdf/2305.06972) “Spear Phishing with Large Language Models”: в описании эксперимента указано, что 1 000 писем было сгенерировано менее чем за 2 часа (то есть менее 1 минуты на письмо)
Кибератаки - эффект от GenAI
PoCGen (https://arxiv.org/html/2506.04962v3): при генерации proof-of-concept эксплойтов для npm-уязвимостей среднее время одной попытки — ~11 минут, а успешные прогоны завершаются в среднем за ~7 минут. Авторы отдельно отмечают, что существенная доля времени (41%) уходит на вызовы LLM и что использование более быстрых/локальных моделей может дополнительно снизить время
IBM X-Force Threat Intelligence Index 2024 (https://newsletter.radensa.ru/wp-content/uploads/2024/03/IBM-XForce-Threat-Intelligence-Index-2024.pdf): у IBM в эксперименте среднее время на подготовку фишингового письма человеком оценено в ~16 часов, а с использованием генеративного ИИ — ~5 минут
Heiding et al. (https://arxiv.org/pdf/2308.12287) “Devising and detecting phishing emails…” (модель + экономический расчёт): авторы оценивают, что для 112 “жертв” подготовка фишингового письма в «классическом» сценарии занимает ~590 минут, а при AI-генерации — тоже ~5 минут
Hazell (https://arxiv.org/pdf/2305.06972) “Spear Phishing with Large Language Models”: в описании эксперимента указано, что 1 000 писем было сгенерировано менее чем за 2 часа (то есть менее 1 минуты на письмо)
Кибератаки - эффект от GenAI
PoCGen (https://arxiv.org/html/2506.04962v3): при генерации proof-of-concept эксплойтов для npm-уязвимостей среднее время одной попытки — ~11 минут, а успешные прогоны завершаются в среднем за ~7 минут. Авторы отдельно отмечают, что существенная доля времени (41%) уходит на вызовы LLM и что использование более быстрых/локальных моделей может дополнительно снизить время
Forwarded from OK ML
CVE-2025-68664 - уязвимость в LangChain Core
❄️ В langchain-core обнаружена критическая уязвимость, получившая название LangGrinch.
Проблема заключается в небезопасной сериализации/десериализации данных при использовании функций dumps() и dumpd() внутри LangChain.
💡 Эти функции не экранируют должным образом словари, содержащие ключ lc, который используется внутри LangChain как маркер сериализованных объектов (да, опять про сериализацию и проблемы с ней 🧑💻 ). Если данные, вводимые пользователем, содержат этот ключ, они могут быть ошибочно интерпретированы как внутренний объект LangChain во время десериализации, позволяя злоумышленнику инжектировать собственные структуры.
🎩 Риски (по сути украдено отсюда)
🎅 Кража секретов и чувствительных данных. Если десериализация выполняется с параметром secrets_from_env=True (раньше — включён по умолчанию) , злоумышленник может заставить систему прочитать и вернуть секреты из переменных окружения (например, API-ключи).
❤️ Инъекция объектов LangChain. Через специально сформированные поля (например, metadata, additional_kwargs, response_metadata) атакующий может заставить десериализатор создать объекты внутри доверенного пространства имён (langchain_core, langchain, langchain_community) с контролируемыми параметрами.
❤️ Потенциальное выполнение кода. При использовании шаблонов Jinja2 или других механизмов может возникнуть возможность RCE через внедрённые структуры, особенно если шаблоны интерпретируют опасные конструкции
Что делать?
Обновляться срочно, пока этот Гринч не утащил прод🌟 , ограничить разрешённые объекты при десериализации и отключить загрузку секретов из env по умолчанию.
Всё!
🔥
Проблема заключается в небезопасной сериализации/десериализации данных при использовании функций dumps() и dumpd() внутри LangChain.
Что делать?
Обновляться срочно, пока этот Гринч не утащил прод
Всё!
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥2
Forwarded from ITSecRu
Как начать карьеру в кибербезе и стоит ли это вообще делать?
Кибербезопасность – уже не модное словечко из презентации, а одна из самых быстрорастущих сфер, а безопасник – актуальнейшая профессия последних лет. Если вы хоть раз задумывались, стоит ли в нее идти, то это статья для вас.
https://www.itsec.ru/articles/kak-nachat-kareru-v-kiberbeze
Кибербезопасность – уже не модное словечко из презентации, а одна из самых быстрорастущих сфер, а безопасник – актуальнейшая профессия последних лет. Если вы хоть раз задумывались, стоит ли в нее идти, то это статья для вас.
https://www.itsec.ru/articles/kak-nachat-kareru-v-kiberbeze
Forwarded from AISecHub
superagent - https://github.com/superagent-ai/superagent
Superagent provides purpose-trained guardrails that make AI-agents secure and compliant. Purpose-trained models that secure your applications and keep them compliant with low-latency, production-ready performance.
Superagent provides purpose-trained guardrails that make AI-agents secure and compliant. Purpose-trained models that secure your applications and keep them compliant with low-latency, production-ready performance.
GitHub
GitHub - superagent-ai/superagent: Superagent provides purpose-trained guardrails that make AI-agents secure and compliant.
Superagent provides purpose-trained guardrails that make AI-agents secure and compliant. - superagent-ai/superagent
Forwarded from CyberSecurityTechnologies
LLMs_for_Vulnerability_Exploitation_in_Enterprise_Software.pdf
3.5 MB
#MLSecOps
#Red_Team_Tactics
"From Rookie to Expert: Manipulating LLMs for Automated Vulnerability Exploitation in Enterprise Software", Dec. 2025.
]-> All data, source code, and instructions
// We show in this work how publicly available LLMs can be socially engineered to transform novices into capable attackers, challenging the foundational principle that exploitation requires technical expertise. To that end, we propose RSA (Role-assignment, Scenario-pretexting, and Action-solicitation), a pretexting strategy that manipulates LLMs into generating functional exploits despite their safety mechanisms
#Red_Team_Tactics
"From Rookie to Expert: Manipulating LLMs for Automated Vulnerability Exploitation in Enterprise Software", Dec. 2025.
]-> All data, source code, and instructions
// We show in this work how publicly available LLMs can be socially engineered to transform novices into capable attackers, challenging the foundational principle that exploitation requires technical expertise. To that end, we propose RSA (Role-assignment, Scenario-pretexting, and Action-solicitation), a pretexting strategy that manipulates LLMs into generating functional exploits despite their safety mechanisms
🔥1