Избранное про ИБ

OWASP Top 10: 2025 Всем привет! 6 ноября 2025 года был представлен OWASP Top Ten 2025 Release Candidate. Изменений получилось достаточно и даже появилось кое-что новое. Сейчас список выглядит следующим образом: 🍭 A01:2025 - Broken Access Control // сюда «переехал» SSRF из OWASP Top 10 2021 🍭 A02:2025 - Security Misconfiguration // ⬆️ 🍭 A03:2025 - Software Supply Chain Failures // Новое 🍭 A04:2025 - Cryptographic Failures // ⬇️ 🍭 A05:2025 - Injection // ⬇️ 🍭 A06:2025 - Insecure Design // ⬇️...

Building Secure AI Applications Всем привет! В приложении можно скачать небольшой методический материал (~ 40 страниц), посвященный тому, на что обращать внимание при обеспечении ИБ при разработке приложений, использующих AI. Материал основан на OWASP Top 10 для LLM: 🍭 LLM01 Prompt Injection 🍭 LLM02 Sensitive Information Disclosure 🍭 LLM03 Supply Chain 🍭 LLM04 Data and Model Poisoning 🍭 LLM05 Improper Output Handling и не только Для каждого раздела описаны общие рекомендации по повышению ур...

Предновогодний релиз DAF! С наступающим новым годом, друзья! Все подводят итоги года, а мы запрыгиваем в последний вагон трудовых будней 2025 года с очередным релизом DAF! Первая часть релиза (что добавилось и изменилось): 1. Актуализировали маппинг на ГОСТ 56939-2024 2. Добавили автомаппинг на BSIMM. Теперь проводя аудит по DAF можно сразу же получать результат относительно 5 фреймворков - ГОСТ 56939, DSOMM, SAMM, BSIMM, PT Table Top 3. Отдельный лист "Карта DAF" решили вовсе убрать, т.к. есть ...

Одним из самых частых вопросов на протяжении последних 3-х лет, который мне задавали на моем тренинге, да и вообще на конференциях, после докладов, в кулуарах - это: "А есть отечественные аналоги Talos?" Этот вопрос и сейчас активно спрашивают, НО теперь на него можно положительно ответить! Проект ALT Orchestra (исходники) от ребят из Базальта, на базе Talos и в реестре Российского ПО. О проделанной работе, вкладе в upstream Talos, отличиях, изменениях и планах было рассказано в этом году на KUB...

На сцене Николай Панченко, Т-Банк: "Чеклист безопасности ML-кластеров"

👁 В "Альманахе" Privacy Advocates опубликован материал о квалификации 25 сценариев обработки биометрических ПД с точки зрения их относимости к области регулирования ст.11 152-ФЗ о ПД и/или 572-ФЗ о ЕБС. 🔸Основной анализа сценариев стали критерий (не)установления личности и критерий (не)применения биометрического распознавания.

Wiz представила SITF (SDLC Infrastructure Threat Framework) — первую в мире открытую модель угроз, специально ориентированную на защиту инфраструктуры жизненного цикла разработки программного обеспечения. Эта инфраструктура (IDE, VCS, CI/CD, Registry) становится привлекательной целью для атак не только на код, но и на сами процессы сборки и доставки ПО. SITF предлагает визуализатор потоков атак, библиотеку из более чем 70 техник атак с привязкой к рискам и средствам защиты, а также причинно-след...

ФСТЭК 🗂 активизировалась в части подготовки методических документов по различным аспектам кибербезопасности. За последнее время регулятор выпустил следующие документы (в отдельном разделе на сайте): ➡️ Рекомендации по базовой настройке регистрации событий безопасности (для Windows и Linux) ➡️ Рекомендации по настройке механизмов безопасности почтового сервера Microsoft Exchange Server от атак, связанных с подменой отправителя (спуфинг-атак) ➡️ Рекомендации по настройке механизмов безопасности п...

OWASP Top 10 For Agentic Applications 2026 Всем привет! В декабре 2025 года вышел еще один материал, посвященный безопасности при работе с AI, а именно при работе с агентами. Документ можно скачать в приложении к посту, ~ 58 страниц для изучения. Представлены следующие уязвимости: 🍭 ASI01: Agent Goal Hijack 🍭 ASI02: Tool Misuse & Exploitation 🍭 ASI03: Identity & Privilege Abuse 🍭 ASI04: Agentic Supply Chain Vulnerabilities 🍭 ASI05: Unexpected Code Execution (RCE) 🍭 ASI06: Memory & Context ...

OWASP Vendor Evaluation Criteria for AI Red Teaming Providers & Tooling v1.0 https://genai.owasp.org/resource/owasp-vendor-evaluation-criteria-for-ai-red-teaming-providers-tooling-v1-0/