Forwarded from Дневник Комбеза
Полезные материалы по безопасности мобильных приложений
Попросили сформировать минимальный набор ресурсов, которые я бы порекомендовал к ознакомлению, если вам интересна безопасность мобильных приложений.
Понятно что этот список охватывает только самые базовые моменты, но ресурсов должно быть достаточно для понимания того куда двигаться дальше.
БАЗА:
(В этом разделе основные ресурсы с которыми вы будете сталкиваться на работе + вектора атак для понимания от кого мы защищаемся)
- OWASP Mobile Top 10
- MASVS/MASWE/MASTG
- Сценарии атак на МП
Курсы и циклы статей:
(Статьи и курсы которые я бы мог рекомендовать для совсем начинающих или тех кто дне понимает с чего начать)
- Инструменты анализа безопасности Android
- Не плохие бесплатные курсы по безопасности МП
- Cборник с заметками, apk тасками и книгами
Книги:
(Для тех кому нравится читать)
- Android глазами хакера
- Хакинг на Android
- Android Security Internals
Каналы и блоги:
(Люди за которыми стоит следить для повышения погружения)
- Блог Сергея Тошина о безопасности мобилок
- Канал сообщества Android Guards
- Блог Юрия Шабалина
- (Не)Уникальный опыт
- iOS Helper
Возможно со временем что-то дополню :)
Попросили сформировать минимальный набор ресурсов, которые я бы порекомендовал к ознакомлению, если вам интересна безопасность мобильных приложений.
Понятно что этот список охватывает только самые базовые моменты, но ресурсов должно быть достаточно для понимания того куда двигаться дальше.
БАЗА:
(В этом разделе основные ресурсы с которыми вы будете сталкиваться на работе + вектора атак для понимания от кого мы защищаемся)
- OWASP Mobile Top 10
- MASVS/MASWE/MASTG
- Сценарии атак на МП
Курсы и циклы статей:
(Статьи и курсы которые я бы мог рекомендовать для совсем начинающих или тех кто дне понимает с чего начать)
- Инструменты анализа безопасности Android
- Не плохие бесплатные курсы по безопасности МП
- Cборник с заметками, apk тасками и книгами
Книги:
(Для тех кому нравится читать)
- Android глазами хакера
- Хакинг на Android
- Android Security Internals
Каналы и блоги:
(Люди за которыми стоит следить для повышения погружения)
- Блог Сергея Тошина о безопасности мобилок
- Канал сообщества Android Guards
- Блог Юрия Шабалина
- (Не)Уникальный опыт
- iOS Helper
Возможно со временем что-то дополню :)
Хабр
Безопасность мобильных устройств и приложений: пять популярных сценариев атак и способы защиты
Изображение: Unsplash Современные мобильные устройства очень сложны, и это дает злоумышленникам возможности для проведения атак. Для взлома вашего смартфона может быть использовано буквально все — от...
👍2
https://csrc.nist.gov/pubs/cswp/40/nist-privacy-framework-11/ipd
Опубликован черновик новой версии фреймворка по приватности.
Опубликован черновик новой версии фреймворка по приватности.
CSRC | NIST
NIST Privacy Framework 1.1 (Draft)
The NIST Privacy Framework 1.1 is a voluntary tool developed in collaboration with stakeholders intended to help organizations identify and manage privacy risk to build innovative products and services while protecting individuals’ privacy. It provides high…
Forwarded from Борис_ь с ml
Первая российская модель угроз AI
#иб_для_ml
У Сбера вышла модель угроз кибербезопасности AI на всех этапах жизненного цикла - от сбора данных до эксплуатации. По сути, первый фреймворк, аналогичный DASF, NIST AI RMF, и прочим, но российский. Это круто. И в конце приведено, что модель учитывает все актуальные материалах OWASP, MITRE, NIST и др.
Главное, чем мне нравится документ - своей структурой и полнотой.
Что в ней есть?
Перечень из 70 различных угроз, разбитых на 5 групп:
— Угрозы, связанные с данными
— Угрозы, связанные с инфраструктурой
— Угрозы, связанные с моделью
— Угрозы, связанные с приложениями
— Угрозы, связанные с AI-агентами
У каждой угрозы прописаны пояснение, последствие реализации, объект, на который нарушитель воздействует для реализации угрозы, виды моделей, подверженных угрозе (PredAI, то есть узкие ml-модели, и GenAI), а также лица, ответственные за митигацию угрозы. Последний пункт, думаю, является наиболее интересным с прикладной точки зрения. И еще нарушаемое свойство информации, но оно больше для базового понимания угрозы. Правда, примечательно, что для угроз галлюцинаций (M03) и вредоносных генераций (App12) используется четвертое свойство безопасности - достоверность.
Нет конкретных мер безопасности моделей, но, возможно, это не так страшно.
Как пользоваться моделью?
Первое, на что падает в документе взгляд - схема объектов защиты. Рассмотрен цикл разработки модели машинного обучения. При построении частной модели угроз для своей системы на этой схеме можно очертить поверхность атаки, оставив на ней только актуальные информационные объекты.
Далее - выписываем угрозы, разбитые по идентификаторам. Какие-то можно отсеять, если тот или иной объект защиты (то есть информация) не является слишком ценной.
После чего - можно перейти к поручению разработать меры защиты для ответственных за противодействие выписанным угрозам. Да, напрямую мер и требований нет, но можно предположить, что для каждой отдельной организации они будут свои. И мне очень нравится решение в качестве общего для всех знаменателя выделить именно ответственных за эти меры.
При этом не всегда эта мера, что будет следовать из названия владельца митигации, находится на том же этапе ЖЦ, что и угроза. Например, подавляющее большинство угроз для модели или AI-агентам относятся к эксплуатации. Но за противодействие ответственен разработчик модели, и я думаю, тут имеется в виду проведение состязательного дообучения и т. п.
AI-агенты
Что меня отдельно приятно порадовало - затронута безопасность AI-агентов. При чем на глубоком уровне - проработаны угрозы из-за исполнения действий, из-за мультиагентности, и угрозы для системы, которая эксплуатирует AI-агентов. Например, довольно необычный вектор атаки описывает угроза Ag05, при котором агент может использовать свои инструменты получения информации из интернета, чтобы загрузить вредоносное ПО. Есть даже упоминание каскадных атак в мультиагентных системах, для усиления какой-то исходной атаки-пэйлоада.
Итоговое впечатление
Документ большой. Но, благодаря большому охвату угроз и глубине их проработки, он является хорошим фундаментом для построения частной модели и угроз и, в итоге, системы безопасности для ИИ-моделей. Даже не смотря на то, что рекомендаций по конкретным мерам и инструментам в документе нет.
Возможно, какие-то отдельные моменты не учтены, например, атаки на память агентов, а возможно, их отнесли в другие угрозы, но главное - покрыли.
#иб_для_ml
У Сбера вышла модель угроз кибербезопасности AI на всех этапах жизненного цикла - от сбора данных до эксплуатации. По сути, первый фреймворк, аналогичный DASF, NIST AI RMF, и прочим, но российский. Это круто. И в конце приведено, что модель учитывает все актуальные материалах OWASP, MITRE, NIST и др.
Главное, чем мне нравится документ - своей структурой и полнотой.
Что в ней есть?
Перечень из 70 различных угроз, разбитых на 5 групп:
— Угрозы, связанные с данными
— Угрозы, связанные с инфраструктурой
— Угрозы, связанные с моделью
— Угрозы, связанные с приложениями
— Угрозы, связанные с AI-агентами
У каждой угрозы прописаны пояснение, последствие реализации, объект, на который нарушитель воздействует для реализации угрозы, виды моделей, подверженных угрозе (PredAI, то есть узкие ml-модели, и GenAI), а также лица, ответственные за митигацию угрозы. Последний пункт, думаю, является наиболее интересным с прикладной точки зрения. И еще нарушаемое свойство информации, но оно больше для базового понимания угрозы. Правда, примечательно, что для угроз галлюцинаций (M03) и вредоносных генераций (App12) используется четвертое свойство безопасности - достоверность.
Нет конкретных мер безопасности моделей, но, возможно, это не так страшно.
Как пользоваться моделью?
Первое, на что падает в документе взгляд - схема объектов защиты. Рассмотрен цикл разработки модели машинного обучения. При построении частной модели угроз для своей системы на этой схеме можно очертить поверхность атаки, оставив на ней только актуальные информационные объекты.
Далее - выписываем угрозы, разбитые по идентификаторам. Какие-то можно отсеять, если тот или иной объект защиты (то есть информация) не является слишком ценной.
После чего - можно перейти к поручению разработать меры защиты для ответственных за противодействие выписанным угрозам. Да, напрямую мер и требований нет, но можно предположить, что для каждой отдельной организации они будут свои. И мне очень нравится решение в качестве общего для всех знаменателя выделить именно ответственных за эти меры.
При этом не всегда эта мера, что будет следовать из названия владельца митигации, находится на том же этапе ЖЦ, что и угроза. Например, подавляющее большинство угроз для модели или AI-агентам относятся к эксплуатации. Но за противодействие ответственен разработчик модели, и я думаю, тут имеется в виду проведение состязательного дообучения и т. п.
AI-агенты
Что меня отдельно приятно порадовало - затронута безопасность AI-агентов. При чем на глубоком уровне - проработаны угрозы из-за исполнения действий, из-за мультиагентности, и угрозы для системы, которая эксплуатирует AI-агентов. Например, довольно необычный вектор атаки описывает угроза Ag05, при котором агент может использовать свои инструменты получения информации из интернета, чтобы загрузить вредоносное ПО. Есть даже упоминание каскадных атак в мультиагентных системах, для усиления какой-то исходной атаки-пэйлоада.
Итоговое впечатление
Документ большой. Но, благодаря большому охвату угроз и глубине их проработки, он является хорошим фундаментом для построения частной модели и угроз и, в итоге, системы безопасности для ИИ-моделей. Даже не смотря на то, что рекомендаций по конкретным мерам и инструментам в документе нет.
Возможно, какие-то отдельные моменты не учтены, например, атаки на память агентов, а возможно, их отнесли в другие угрозы, но главное - покрыли.
👍5
https://www.ey.com/en_us/ciso/cybersecurity-study-c-suite-disconnect
Неплохой опрос для использования в работе CISO.
Неплохой опрос для использования в работе CISO.
Ey
2025 EY Cybersecurity Study: Bridging the C-suite disconnect
A 2025 EY study shows a consensus on the importance of cybersecurity among executives and a correlation between share price declines and cyber breaches.
Forwarded from AlexRedSec
Очередной релиз содержит множество изменений и дополнений, среди которых и описание новых групп злоумышленников, их кампаний, используемого ПО и, конечно же, новые техники и меры защиты.
Советую ознакомиться с удобочитаемым описанием изменений, где можно вплоть до запятой рассмотреть новшества
Для себя отметил следующие интересные изменения:
#mitre #attack #technique #ttp #apt
Please open Telegram to view this post
VIEW IN TELEGRAM
👍4
Хороший отчет с полезной статистикой при принятии управленческих решений на старте или развития ИБ. Жаль нет абсолютных цифр в затратах на ИБ по секторам.
Forwarded from ИБ на полшестого
Аналитической командой Инфосистемы Джет подготовили большое консалтинговое исследование «Курс на киберустойчивость: как изменились стратегии CISO». В прошлом году исследование вышло впервые, теперь мы сделали его ежегодным. Основой для отчета стали результаты опроса руководителей ИБ (очные интервью и анкетирование), а также накопленные исторические данные по результатам проектов по ИБ. Накопительным итогом за два года – это более 160 опрошенных, основные респонденты исследования (75%) — крупные компании со штатом от 500 и до 2000 человек
Исследование охватывает ключевые области интереса руководителей ИБ:
Несколько интересных цифр и выводов из отчета:
Исследование будет полезно руководителям служб ИБ и ИТ, а также консультантам и экспертам в области ИБ
#analytics
Please open Telegram to view this post
VIEW IN TELEGRAM
👍4