OpenAI обновила условия работы с ChatGPT. Теперь чат-бота нельзя просить бесконечно повторять одно и то же слово. Именно этот баг вызывал раскрытие обучающих данных модели.
В Европе недовольны новой политикой Google по работе с данными пользователей
2 мин
Сегодня стало известно о том, что в Европе не очень довольны новой политикой корпорации Google по работе с пользовательскими данными. Европейские регуляторы даже обратились к компании за разъяснениями. Было направлено официальное письмо в Google, адресованное нынешнему генеральному директору Ларри Пейджу, в котором регуляторы высказывают сожаление по поводу быстрой смены политики корпорации.
Европейский союз требует у Google сменить политику безопасности относительно личных данных пользователей
2 мин
Европейский союз уже достаточно давно выказывает недовольство политикой безопасности корпорации Google. Но официальные требования смены политики безопасности «Корпорации добра», со всеми вытекающими, начали выдвигаться не так давно. Дело в том, что с марта этого года корпорация приняла решение объединить 60 отдельных политик безопасности в единое целое. Это решение позволило компании передавать пользовательские данные из одного своего сервиса в другой. К примеру, с YouTube в Google+, с Google+ в Gmail и т.п. Но ясного понимания того, как компания использует пользовательские данные, у ЕС нет.
Собираем конструктор или архитектура сетевой безопасности. Случай 1 – Небольшой офис
7 мин
Сетевая безопасность? Да у нас на периметре роутер стоит и все нормально!
Благодаря многолетней работе в интеграторе я периодически сталкиваюсь с таким мнением, поэтому надеюсь, что популяризация данной темы поможет избежать проблем в виде каких-нибудь шифровальщиков хотя бы в паре компаний.
Собираем конструктор или архитектура сетевой безопасности. Случай 2 – Офис среднего размера
6 мин
Итак, наш бизнес идет отлично, шляпы продаются, количество сотрудников увеличивается, формируются отдельные подразделения: маркетинг, продажи, логистика. Потребность в своих собственных корпоративных сервисах становится все сильнее. Для них мы арендуем дополнительное помещение, покупаем пару серверов с виртуализацией, чтобы было все как у людей, и получаем небольшого размера центр обработки данных (ЦОД). Соответственно, создаем ядро нашей корпоративной сети на базе стека хороших коммутаторов. Количество сотрудников значительно выросло и для обеспечения стабильной связи мы организуем инфраструктуру Wi-Fi с точками доступа и контроллером для управления.
Собираем конструктор или архитектура сетевой безопасности. Случай 3 – Крупный офис
6 мин
Шляпы для собак становятся трендом и выгуливать собак без шляп становится «дурным тоном». А наш бизнес продолжает расти. Растет и количество сервисов, и, соответственно, размеры ЦОДа. Как ни странно, внимание к нашей компании со стороны регуляторов тоже увеличивается, но обо всем по порядку.
Мы, разумеется, находимся на пике технологий, и наш ультрасовременный ЦОД изобилует разного рода SDN (software-defined networking) и прочими оверлейными прелестями, но для логики обеспечения безопасности не столь важно, на каком уровне виртуализации находится сеть, поэтому мы не будем подробно на этом останавливаться. Просто будем иметь ввиду, что сказанное ниже так же относится и к сетям на базе SDN.
Прежде всего мы обзавелись специально обученными быстрыми коммутаторами, таким образом у нас появилось отдельное ядро сети ЦОДа, и теперь наша сеть делится на, собственно, сеть ЦОДа и на ЛВС для всего остального.
Для полного разделения сегментов ЦОДа даже на уровне маршрутизации мы создаем несколько VRF (Virtual Routing and Forwarding).
Twitter обновила политику безопасности — можно жаловаться на публикации медиа с участием частных лиц без их согласия
2 мин
В рамках работы над улучшением конфиденциальности на платформе, Twitter обновила политику безопасности. В последнем выпуске компания сосредоточилась на сохранении приватных данных пользователей, а именно фото- и видеоматериалов.
Pornhub внедрил «биометрическую технологию» для проверки моделей
2 мин
Pornhub объявил об улучшениях в политике безопасности платформы. Площадка пообещала бороться со злоупотреблениями. В Pornhub намерены расширить команду модераторов, выпускать отчеты о прозрачности и внедрить биометрические технологии для проверки пользователей, загружающих видео.
Журналисты обнаружили сервис, который забанит любой аккаунт в Instagram за $ 60
3 мин
Журналисты Vice выяснили, как подпольная индустрия злоупотребляет механизмами Instagram для удаления противоправного контента с целью цензуры и преследования пользователей. Специальные сервисы позволяют блокировать любые учетные записи Instagram, и некоторые зарабатывают на этом.
Соответствие стандартам и политикам в сканерах уязвимостей и SIEM
8 мин
Английский термин compliance означает соответствие одному из высокоуровневых стандартов (таким как SOX, PCI DSS, Basel II, GLBA). Проводить проверку на соответствие этим документам необходимо для того, чтобы определить, насколько хорошо в вашей организации соблюдаются требования, описанные данными стандартами (разрешенная длина паролей, наличие внутренних регламентов и политик, время устранения уязвимостей и т. п.).Помимо международных стандартов существуют их отечественные аналоги, корпоративные политики и требования NIST.Проводить оценку соответствия этим документам также необходимо. Стандарты содержат наборы требований: выполнение всех требований стандарта фактически означает соответствие ему. Пример отдельного требования: «Должен иметься дисциплинарный процесс для служащих, которые произвели нарушение защиты» (ИСО/МЭК 2005 A.8.2.3).
SIEM для ИТ и ИБ
10 мин
С появлением первых средств защиты информации возникли первые насущные вопросы: как узнать, что возведенные баррикады работают и защищают? как быстрее реагировать на оповещения? как понять, какие угрозы удалось предотвратить? Работает ли наш файерволл, можно узнать, выполнив ICMP ping: если правила в ACL (access control list) работают, то ответов, содержащих echo reply, быть не должно. Можно через консоль устройства просмотреть журнал событий, разбирая сотни или тысячи строк вручную и пытаясь увидеть отраженную или выявленную угрозу.
Политика информационной безопасности — опыт разработки и рекомендации
7 мин
В данном топике я попытаюсь составить манул по разработке нормативной документации в области информационной безопасности для коммерческой структуры, опираясь на личный опыт и материалы из сети.Здесь вы сможете найти ответы на вопросы:
- для чего нужна политика информационной безопасности;
- как ее составить;
- как ее использовать.
Facebook анонсировал «интерактивную» политику безопасности
2 мин
В одном из последних анонсов администрация Facebook анонсировала достаточно интересные изменения в политике безопасности. Вернее, это изменения не столько в самих правилах, сколько в способе предоставления информации пользователю о его настройках безопасности. По мнению администрации, последние изменения позволяют лучше понимать, что собой представляет политика безопасности Facebook, и более эффективно управлять настройками этой самой безопасности.
Как я писал политику безопасности
7 мин
Так получилось, что за последние несколько лет мне довелось несколько раз написать «с нуля» и внедрить в разных компаниях политику информационной безопасности, а также понаблюдать, как это делают коллеги по цеху. В предлагаемой заметке делается попытка обобщить полученный опыт и упомянуть про грабли, оставившие наиболее заметный след на лбу автора. Сразу оговоримся, что далее речь пойдет не о рекомендациях по защите от вирусов или выбору стойкого пароля, а в основном о логике, структуре и назначении подобных документов.
Идеальный пароль по науке: трудно взломать, невозможно забыть
6 мин
В сети регулярно появляются новости об очередной масштабной утечке паролей. Словари паролей все толще, инструментов для перебора больше, а пользователям все сложнее придумывать надежные пароли и запоминать их без посторонней помощи.
Новые исследования предлагают нам научные методы для создания сильных и удобных паролей. Ученые из Университета Карнеги-Меллона (CMU) выяснили, как создать парольную политику с человеческим лицом и не пожертвовать безопасностью. Мы перевели ключевые рекомендации CMU и дополнили их подборкой полезных инструментов для самостоятельной проверки паролей.
Настройка парольной политики безопасности в Zimbra
5 мин
Наряду с шифрованием писем и использованием электронно-цифровой подписи, одним из самых эффективных и малозатратных способов защиты электронной почты от взлома является грамотная парольная политика безопасности. Записанные на бумажках, хранящиеся в общедоступных файлах или просто недостаточно сложные пароли всегда являются большой брешью в информационной безопасности предприятия и могут привести к возникновению серьезных инцидентов с ощутимыми для бизнеса последствиями. Именно поэтому на любом предприятии должна существовать строгая парольная политика безопасности.
Постоянная смена паролей не такая уж и хорошая затея
3 мин
Многие из нас, работая в технологических компаниях различного масштаба не раз сталкивались с не самой комфортной политикой со стороны службы безопасности. И если ключ-карты, учет рабочего времени и мониторинг сетевой активности являются нормой, при условии, что компании есть что скрывать от конкурентов, то постоянная смена паролей — мероприятие весьма утомительное. Данное явление дошло до всех в различный период. Автор столкнулся c этой модой среди безопасников в уже далековатом 2013 году. Как гром среди ясного неба всю организацию оглушила новость: «в течении двух недель вы должны поменять пароли, а в дальнейшем его смена будет проводиться в принудительном порядке каждые три месяца». И я скажу вам, что это еще не слишком короткий период. В другой компании админ-самодур, иначе не назвать, который также выполнял и роль «службы безопасности» установил срок смены пароля в один месяц. Приятнее всего было, кстати, уйти в отпуск или на больничный и вернуться из него к заблокированной учетке (VPN отказывались давать даже под угрозой пыток), но это уже лирика.
Для тех, кто пользовался pass-менеджерами типа KeePass, это было не так уж и страшно, но та часть сотрудников, что помнила свои пароли наизусть, была немного (на самом деле много) опечалена.