Обновить
3
Василий Пластунов@vasily2015

Информационная безопасность

Отправить сообщение

Ведение базы уязвимостей NVD NIST было проаудировано Министерством торговли США. NIST обвинили в отсутствии стратегических и своевременных решений по проблеме бэклога NIST NVD, с чем NIST согласился.

По итогам аудита:
1. NIST составит план по борьбе с бэклогом.
2. Будет разработано решение по приоритезации обработки уязвимостей.
3. NIST перестанет рассчитывать CVSS по умолчанию, если он уже есть или нет явного запроса на это или проблем с расчетом. Будет оценена возможность автоматизации этого процесса.
4. Расчет CVSS теперь будет доступен в виде базы.
5. Будет расширен доступ к системе CPE (Common Platform Enumeration, связка уязвимость-конкретная версия продукта) для внешних организаций.
6.Программы NIST и CISA будут скорректированы для исключения взаимного дублирования обогащения уязвимостей одним и тем же исполнителем.
7. Будет разработано новая стратегия коммуникации со стейкхолдерами.

Сам отчёт по аудиту публичный и содержит больше деталей.

Теги:
Всего голосов 2: ↑2 и ↓0+4
Комментарии0

Anthropic дал пол года миру на перестройку процессов кибербезопасности

Anthropic обновила свою статью по проекту Glasswing. Glasswing - это проект предварительного доступа к передовой модели Mythos недоступной в общем доступе. Указано расширение объема пилота на 150 новых организации. Обещано расширение программы на 15 стран. Ранее официальный доступ к Mythos был только у организаций в США, что вызывало негатив у других стран.

Не могу не процитировать ключевой, как мне кажется, абзац: “Mythos Preview continues a long-term trend that we’ve been warning about for some time: within 6 to 12 months, we expect that many other AI companies will have Mythos-class models, and they could release them without safeguards that prevent misuse. In that world, cyberattacks could occur much more often, and in much more unpredictable forms. It’s imperative that cyberdefenders adapt to maintain pace.”

Т.е. по оценке Anthropic в период от 6 до 12 месяцев могут появится модели аналогичные по своим возможностям Mythos, но не обязательно, что с таким же щепетильным подходом к безопасности как у Anthropic.

Нужно учитывать, что параллельно днем ранее появилась новость о подаче Антропик “конфиденциальной” заявки на IPO.

Теги:
Всего голосов 3: ↑2 и ↓1+3
Комментарии0

Сколько кибербезников нужно компании

Наткнулся на неплохую и бесплатную аналитику от Гартнер . В частности данные по штатным единица КБ как функции от ИТ по секторам экономики. И мнению по количеству КБ специалистов как доли от количества работников в компании в целом.

"Midsize enterprises (<1,000 employees): Start with one to three specialists.
Large enterprises (≥1,000 and <10,000 employees): Expand to four to 15 roles.
Extra-large enterprises (≥10,000 and <50,000 employees): Grow to 15 to 50 professionals.
Extra-extra-large enterprises (≥50,000 employees): From 50+ roles, add specialized functions as complexity grows."

Отличная стартовая статья для использования среди прочих материалов при аудите и обоснования штатных единиц Кибербезопасности.

Теги:
Всего голосов 1: ↑1 и ↓0+3
Комментарии0

Вышла новая версия модели Антропик Claude 4.8. Небольшое увеличение точности по всем бенчмаркам кроме кибербезопасности. В этом релизе значительное внимание было уделено мерам безопасности (сейфгарды) и, по заявлению производителя, 4.7 примерно равно 4.8.

Но в новости ещё указано, что прогресс в области мер безопасности, позволяет планировать в ближайшие недели публичный релиз "моделей уровня Mythos".

Больше технических деталей возможно найти в системной карточке новой модели.

Исключен из карточки популяный бенчмарк Cybench как насыщенный. Насыщенные бенчмарки это бенчмарки которые больше не показывают прогресса, передовые модели набирают в них значения близкие к 90-95%.

Добавилось в карточку 2 новых бенча кибербезопасности ExploitBench (способность писать готовые эксплойты с нуля), OSS-Fuzz (фаззинг открытого программного обеспечения).
Остались старые бенчи CyberGym (поиск уязвимостей в реальном коде открытого программного обеспечения), способность писать эксплойты для Firefox 147.

Интересен и раздел описывающий безопасность использования агентов (промты для написания вредоносного ПО, двойного применения типа разведки и т.д.) . Из общего улучшения общей безопасности в версии 4.8 выбивается такая оценка как устойчивость к промт инъекциям при написании кода с помощью инструмента от Shade. На 200 попытках с 52,5% вероятности успеха на 4.7 защищенность снизилась до 65% на версии 4.8 без режима размышления т.е. чуть меньше чем в 2/3 случаях промт инъекции оказались успешными. Сами авторы системной карточки комментируют этот регресс так - это компромис с уменьшением ложно положительных срабатываний.

В своем ТГ канале ещё разместил пару графиков из карточки модели.

Теги:
Рейтинг0
Комментарии0

Тем кто ещё находится в стадии планирования календаря мероприятий по кибербезу на 2026 год для развития или пиара себя и коллег, могу посоветовать вот такие публичные календари:

  1. ICT2GO (https://ict2go.ru/events/) Интерфейс не самый современный, но покрытие по разнообразию событий у него одно из самых хороших. Можно искать мероприятия и по отдельным направлениям ИТ.

  2. Security Vision (https://www.securityvision.ru/events/) У ICT2GO нет в календаре крупных событий типа PHD или ТЕРРИТОРИЯ БЕЗОПАСНОСТИ, нет крупных иностранных событий. У календарика Security Vision таких проблем нет.

Иногда в этих телеграмм каналах публикуются мероприятия которых нет в 2 источниках выше:
https://t.me/InfoBezEvents
https://t.me/event_security
https://t.me/secwebinars

p.s. Раньше ещё был календарь по знаковым событиям от Алексея Викторовича Лукацкого, он велся более 10 лет.. Вот версия календарика образца 2023 года (https://web.archive.org/web/20230928011400/https://lukatsky.ru/calendar)

Теги:
Всего голосов 1: ↑1 и ↓0+1
Комментарии0

Информация

В рейтинге
Не участвует
Откуда
Россия
Зарегистрирован
Активность

Специализация

Руководитель, Архитектор информационной безопасности
Ведущий
Управление проектами
Управление людьми
Ведение переговоров
Построение команды
Организация бизнес-процессов
Стратегическое планирование