NIST выбрал второй квантово устойчивый алгоритм обмена ключами (KEM) - HQC.
https://csrc.nist.gov/pubs/ir/8545/final
https://csrc.nist.gov/pubs/ir/8545/final
CSRC | NIST
NIST Internal or Interagency Report (NISTIR) 8545, Status Report on the Fourth Round of the NIST Post-Quantum Cryptography Standardization…
NIST is selecting public-key cryptographic algorithms through a public, competition-like process to specify additional digital signature, public-key encryption, and key-establishment algorithms to supplement FIPS 186-5, SP 800-56Ar3, and SP 800-56Br2. These…
👍1
Обновлены стандарты sha3
https://csrc.nist.gov/news/2025/decision-to-update-fips-202-and-revise-sp-800-185
https://csrc.nist.gov/news/2025/decision-to-update-fips-202-and-revise-sp-800-185
CSRC | NIST
Decision to Update FIPS 202 and Revise SP 800-185 | CSRC
After two public comment periods, NIST has decided to update the SHA-3 Standard (FIPS 202) and revise the SHA-3 Derived Functions specification (Special Publication 800-185).
Краткие рекомендации по использованию ИИ в оценке PCI DSS.
Подходят в основном и при любом другом использовании ИИ в аудите.
https://blog.pcisecuritystandards.org/new-guidance-integrating-artificial-intelligence-into-pci-assessments
Подходят в основном и при любом другом использовании ИИ в аудите.
https://blog.pcisecuritystandards.org/new-guidance-integrating-artificial-intelligence-into-pci-assessments
blog.pcisecuritystandards.org
New Guidance: Integrating Artificial Intelligence into PCI Assessments
PCI SSC has released new guidance on integrating artificial intelligence (AI) into PCI assessments. The guidance provides a balance between leveraging AI’s benefits and maintaining the high standards of security that protect payment card data worldwide.
Вышла вторая версия SCA сканера от гугл.
https://security.googleblog.com/2025/03/announcing-osv-scanner-v2-vulnerability.html
https://security.googleblog.com/2025/03/announcing-osv-scanner-v2-vulnerability.html
Google Online Security Blog
Announcing OSV-Scanner V2: Vulnerability scanner and remediation tool for open source
Posted by Rex Pan and Xueqin Cui, Google Open Source Security Team In December 2022, we released the open source OSV-Scanner tool, and ear...
Forwarded from PWN AI (Artyom Semenov)
Pillar недавно выпустили крутой отчёт со статистикой по атакам на Генеративный ИИ.
Основной фокус — на практических рисках, с которыми сталкиваются организации при использовании LLM. А сами авторы подчёркивают, что отчёт заполняет пробел в отсутствии такой статистики.
Как можно понять из него - они собирали информацию для отчёта 3 месяца, более чем из 2000 приложений с LLM, а также 500 000 диалогов пользователей из разных отраслей. За основу для отчёта был взят анализ 6 типовых атак (prompt injection, DAN, ascii атаки и т.д).
Результаты, конечно, поражающие:
90% успешных атак привели к утечке конфиденциальных данных
20% попыток jailbreak обошли защитные механизмы решения по безопасности
Среднее время выполнения атаки - 42 секунды, а вот среднее количество запросов, отправленных злоумышленником чтобы атака удалась - 5.
Авторы конечно же сделали прогнозы на то, что угроз будет больше, так как сегодня всё больше организаций начинает использовать RAG и агентов.
PDF - ниже.
Основной фокус — на практических рисках, с которыми сталкиваются организации при использовании LLM. А сами авторы подчёркивают, что отчёт заполняет пробел в отсутствии такой статистики.
Как можно понять из него - они собирали информацию для отчёта 3 месяца, более чем из 2000 приложений с LLM, а также 500 000 диалогов пользователей из разных отраслей. За основу для отчёта был взят анализ 6 типовых атак (prompt injection, DAN, ascii атаки и т.д).
Результаты, конечно, поражающие:
90% успешных атак привели к утечке конфиденциальных данных
20% попыток jailbreak обошли защитные механизмы решения по безопасности
Среднее время выполнения атаки - 42 секунды, а вот среднее количество запросов, отправленных злоумышленником чтобы атака удалась - 5.
Авторы конечно же сделали прогнозы на то, что угроз будет больше, так как сегодня всё больше организаций начинает использовать RAG и агентов.
PDF - ниже.
Forwarded from PWN AI (Artyom Semenov)
The State of Attacks on GenAI - Pillar Security.pdf
15.3 MB
https://www.ncsc.gov.uk/news/pqc-migration-roadmap-unveiled
Великобритания планирует перейти на квантово устойчивого алгоритмы к 2035 году.
Великобритания планирует перейти на квантово устойчивого алгоритмы к 2035 году.
www.ncsc.gov.uk
Cyber chiefs unveil new roadmap for post-quantum cryptography migration
New guidance from the NCSC outlines a three-phase timeline for organisations to transition to quantum-resistant encryption methods by 2035.
Forwarded from BESSEC
Типовой_процесс_безопасной_разработки_для_финтеха.pdf
168.5 KB
Безопасная разработка & Ассоциация Финтех
Ассоциация публично выложила два полезных документа:
⚙ Карта инструментов #DevSecOps разбитая по классам с примерами решений от вендоров и open source
⚙ Схема типового процесса безопасной разработки
p.s. схему докрутить в BPNM и готовый диплом (:
Ассоциация публично выложила два полезных документа:
p.s. схему докрутить в BPNM и готовый диплом (:
Please open Telegram to view this post
VIEW IN TELEGRAM