1807
Чат для обсуждения DevSecOps и постов канала @sec_devops Вакансии: @appsec_job Услуги: https://radcop.online/
Ну правильно, вместо них будем показывать очередную "уж я то знаю как правильно" реализацию токенов
Читать полностью…
https://curity.io/resources/learn/phantom-token-pattern/
Читать полностью…
Прикреплю свежую версию расписания:
Читать полностью…
Коллеги, добрый день! Не сочтите за рекламу, все у нас бесплатно и для слушателей и для спикеров. Вчера на встрече сообщества SDL в РФ про такую активность рассказывал. Тема внедрения БРПО весьма сложная. Вот, пытаемся разбираться вместе. Добро пожаловать! Уже прошло 4 вебинара, впереди ещё 6 и экзамен для слушателей) Но, судя по запросам, мы продолжим вещание и дальше, чем 10 вебинаров.
Читать полностью…
Почему я о методичках радею? - с ними очень удобно вести переговоры с руководством/разрабами/тестерами по процессу. Аргумент "Свыше велено" очень хорошо кроет любое их своеволие :)
Читать полностью…
Все больше и больше компаний вступают в сертификацию РБПО, ФСТЭК готовит хорошие документы, становится понятнее + коллеги рассказывают о собственном опыте. Прорвёмся)
Читать полностью…
Как вчера выяснилось, на 2025 почти все расписано
Читать полностью…
Не, ты же у себя так называемую лабораторию делаешь для сертификации процесса РБПО, поэтому каждое изменение тоже документируешь, но улучшать то не возбраняется
Читать полностью…
если не серт по рбпо то придется холдить версию на n лет не?
Читать полностью…
а безопасность бонусом
Читать полностью…
а версий практически нет
Читать полностью…
Коллеги, есть ли у нас какая-нибудь статистика по используемым корпоративным версиям gitlab? Кто какие юзает и кто как их проверял?
Читать полностью…
Это разница в 2.5 раза
Если до было 14 дней то стало 5.5 дней
Не вижу ничего сомнительного
-150% сомнительная цифра )) это они помножили время на ноль и еще от нуля половину отняли ))
Читать полностью…
актуально для чата безопасности
Читать полностью…
Чтобы не светить клиенту jwt токены
Читать полностью…
Приветствую! Кто-нибудь реализовывал Phantom token exchange protocol на уровне Kubernetes Ingress/Gateway?
Читать полностью…
БЕСПЛАТНЫЕ ОНЛАЙН ВЕБИНАРЫ!
Уважаемые слушатели!
Каждую среду в 19.00 Учебный центр МАСКОМ проводит бесплатные онлайн вебинары по направлению РБПО👨💻
Специально для вас мы пригласили в качестве спикеров настоящих профессионалов в области кибербезопасности - разработчики, руководители разработки и преподаватели-практики из ведущих ВУЗов страны (МАИ, Мосполитех, МГТУ им. Н.Э. Баумана, РосНОУ) эксклюзивно поделятся своим опытом и секретами разработки
📝Всем, кто поучаствует в минимум 5 вебинарах и сдаст финальный экзамен, будет выдан именной сертификат
РЕГИСТРАЦИЯ
РАСПИСАНИЕ ВЕБИНАРОВ
О))про РБПО, интересное, тоже стараемся, в процессе
Читать полностью…
Я думаю, что это просто неизбежно. Разница между ГОСТ 2016 и 2024 весьма значительна, хотя, да, нужно и его, наверное, "вылизать", нет пределов совершенству. Нужно только поскорее два методических сделать, по внедрению и проверке соответствия, с тем, чтобы минимизировать разносортицу в процессе (она, безусловно, неизбежна, но лучше строить всё каким-то одним /несколькими оптимальными способами, я так думаю)
Я, всё же, не только за учебники, но и за методички :)
Так что можно не гнать коней и обтачивать процесс. Если обзавестись какими-то материалами по тому ГОСТу/методике, что будет описывать процесс оценки - ещё лучше, авто-аудит можно провести приближённый к реальности.
Читать полностью…
Либо заносить статью расходов для внешней лабы, у которых уже расписано все на 3 года вперед работ)
Читать полностью…
Ну, я не вижу никаких соображений относительно ап.версий, кроме чисто экономических, если нет критерия по регулятору. Если нет никаких заморочек с применением для серт.продукции или чего-то похожего (процесса рбпо в целом), то я исхожу из минимизации угроз по линии безопасности. Т. Е. использование крайних версий предпочтительнее.
Разумеется, если внутренний нарушитель "минимален", и нет неконтролируемого взаимодействия с внешними сетями, то можно и на старых работать, в принципе, отчего нет..
Если говорить о применении в процессе разработки, результат которого пойдёт на сертификацию, то версия указывается в документе, описывающем средства разработки, и ещё в одном, так вот не вспомню. Теоретически, ее могут проверить в исп.лаборатории, и, если это версия, содержащая уязвимости, и это не оговорено компенсирующими мерами или условиями эксплуатации - могут сделать замечание.
На практике мне такого встречать не доводилось.
там максимальные воркфлоу
Читать полностью…
Кто какую версию использует и обусловлен ли выбор версии какими-либо проверками
Читать полностью…
100% это весь объем времени, все что больше 100 - уходит в минус…обычная математика школьная
Читать полностью…
+1 здоровый скептицизм никому не повредил, плюс метрики и KPI это всегда большой потенциал приписок и искажений.
Читать полностью…
Enhancing LinkedIn’s security posture management with AI-driven insights
В сегодняшнем нашем посте инженеры LinkedIn рассказывают о собственной Security Posture Platform (SPP) — внутренней системе, которая предоставляет динамическое представление об инфраструктуре компании и упрощает управление уязвимостями. Основная цель SPP заключается в предоставлении актуальной картины безопасности всей цифровой экосистемы компании. Платформа интегрируется с существующими инструментами безопасности и автоматизирует сбор и анализ данных, что позволяет оценивать риски практически в режиме реального времени. Это помогает проактивно управлять безопасностью, сокращая количество ручных операций.
Ключевые особенности SPP:
- Каталогизация активов: SPP собирает данные обо всех цифровых активах компании, включая физические устройства и облачные ресурсы. Это обеспечивает полную видимость инфраструктуры, что упрощает приоритизацию рисков.
- Анализ рисков и автоматизированные решения: Платформа использует метаданные для постоянной оценки рисков. Это позволяет оперативно реагировать на новые угрозы, включая упреждающие меры, такие как изоляция устройств с высоким уровнем риска.
- Централизованное управление рисками: В основе SPP лежит Security Knowledge Graph — граф знаний, который объединяет информацию о взаимосвязях между активами. Это помогает быстрее идентифицировать риски и принимать обоснованные решения. Визуальные панели предоставляют полную информацию о состоянии безопасности пользователей и активов.
Для повышения эффективности в условиях большого числа активов, команда LinkedIn добавила в SPP поддержку AI, позволяя безопасникам обрабатывать данные с помощью промптов.
Немного про AI в платформе:
- Генерация контекста: Исходные данные, такие как метаданные из различных источников, преобразуются в формат, понятный AI-моделям, что повышает эффективность ответов на запросы пользователей.
- Создание запросов: AI анализирует пользовательские запросы и трансформирует их в команды для поиска данных в графе знаний, используя нетривиальные механизмы для оптимизации запросов и повышения точности.
- Маршрутизация запросов: Запросы распределяются по различным источникам данных с минимальной задержкой, что обеспечивает высокую скорость ответов.
- Обобщение данных: AI также выполняет обобщение информации, предоставляя краткие и информативные ответы.
В процессе разработки системы команда LinkedIn столкнулась с рядом технических проблем. Одной из них было ограничение ранних AI-моделей (старая модель Davinci, относящаяся к GPT3) , которые не справлялись с объемами данных в графе знаний. Также возникали сложности с управлением «галлюцинациями» AI, когда система предоставляла неверные ответы. Для решения этих проблем были внедрены сложные системы тестирования и итеративная настройка моделей, что значительно повысило точность ответов.
Результаты работы SPP впечатляют: время реагирования на уязвимости сократилось на 150%, а охват цифровой инфраструктуры увеличился на 155%.
Красивая success-story без единого скриншота и ссылок на open-source😄
#ai #experience
🔤🔤🔤🔤🔤🔤 🔤🔤🔤🔤🔤
Aвтомaтизиpoвaнный сeрвис OОO МФK "Зaймep"
OHЛАЙН 3AЙМЫ 6ыcтpо, кpyглоcyточнo, бeз пpaзднuкoв и выхoдныx.