Вже доступно! Дослідження Telegram за 2025 — головні інсайти року 
VP Cybersecurity Brief
Відкрити в Telegram
Анализ лучших практик управления кибербезопасностью в России и в мире. Написать автору - @popepiusXIII. Реклама в канале не размещается. Возможно информационное размещение по мероприятиям в тематике канала. Посты пишутся без ИИ.
Показати більше416
Підписники
-224 години
+167 днів
+6230 день
Триває завантаження даних...
Схожі канали
Немає даних
Виникли проблеми? Будь ласка, оновіть сторінку або зверніться до нашого support-менеджера.
Хмара тегів
Вхідні та вихідні згадування
---
---
---
---
---
---
Залучення підписників
червень '26
червень '26
+30
в 5 каналах
травень '26
+238
в 5 каналах
Get PRO
квітень '260
в 3 каналах
Get PRO
березень '26
+115
в 4 каналах
Get PRO
лютий '260
в 3 каналах
Get PRO
січень '26
+42
в 1 каналах
| Дата | Залучення підписників | Згадування | Канали | |
| 11 червня | +1 | |||
| 10 червня | 0 | |||
| 09 червня | +3 | |||
| 08 червня | +2 | |||
| 07 червня | +10 | |||
| 06 червня | 0 | |||
| 05 червня | +1 | |||
| 04 червня | +4 | |||
| 03 червня | +2 | |||
| 02 червня | +3 | |||
| 01 червня | +4 |
Дописи каналу
А ведь компании уровня IBM тратят огромные деньги на нащупывание подходов в дизайне кибербезопасности. А можно было значительно проще и полезнее.
| 2 | PCI_DSS_v4.pdf | 143 |
| 3 |  +2Немає тексту... | 123 |
| 4 | Вышел небольшой, но полезный гайд по компенсируюшим мерам и индивидуальному подходу при оценке соответствия PCI DSS 4. | 160 |
| 5 |  Apple выпускает новый функционал в iOS по смене паролей с помощью ИИ.
Интересно как быстро произойдет промт инъекция в пароле. | 138 |
| 6 | Если вы рассматриваете возможность перехода на квантовоустойчивые алгоритмы криптографми для своего сайта вам покажется любопытной статья от Let's encrypt.
Простое использование самого малого по размеру алгоритма подписи стандартизированного NIST ML-DSA-44 приведет к тому, что часть TLS подключений разорвутся, а остальные станут заметно медленне. Коллеги в итоге реализовали решение на базе дерева Меркла. На сколько такой подход снизил устойчивость - пока не понятно. | 110 |
| 7 |  Есть другой важный ньюанс для анализа рисков использования облачноц модели - возможность отказа от использования ваших данных для обучения. В Mythos 5/Fable 5. Такой возможности - нет. | 99 |
| 8 |  Немає тексту... | 81 |
| 9 | В январе писал про эту проблему вот тут.
https://t.me/IsacaRuSec/8186
Дублирую краткий обзор методов изоляции. | 98 |
| 10 |  Спор о том, действительно ли контейнеры обеспечивают изоляцию, идёт давно, и автор поста Rory McCune считает, что баланс сейчас смещается: изоляция Docker-контейнеров всегда была слабее, чем у виртуальных машин из-за большой поверхности атаки ядра Linux, но раньше создание эксплойтов для побега из контейнера требовало редких навыков и много времени. Теперь же LLM-инструменты резко упрощают эту задачу. В качестве примера McCune взял свежую уязвимость локального повышения привилегий CIFSwitch (CVE-2026-46243) и просто передал модели блог-пост и готовый PoC.
За два часа и 13 долларов Claude Code самостоятельно собрал рабочий эксплойт для побега из контейнера. Ключевых условия два: достаточно «сговорчивая» модель (автор хвалит Opus 4.6, отмечая, что более поздние версии строже в наступательной безопасности) и цикл валидации, где модель реально тестирует код в одноразовых VM, чтобы не выдавать галлюцинации.
По мнению автора, на фоне волны свежих LPE-уязвимостей и такой лёгкости создания эксплойтов стоит пересмотреть надёжность стандартной изоляции контейнеров. Если вы запускаете недоверенные образы или есть риск исполнения кода внутри контейнера, нужно исходить из того, что атакующий сможет вырваться на хост. Это не значит отказаться от контейнеров — лишь сверить их использование со своей моделью угроз. | 71 |
| 11 |  Немає тексту... | 101 |
| 12 |  Немає тексту... | 104 |
| 13 |  +9Немає тексту... | 104 |
| 14 | Вчера Anthropic выпустил 2 новых модели:
1. Mythos 5 - доработанная версия от превью. По-прежнему доступна только ограниченному количеству организаций в рамках проекта Glasswing.
2. Fable 5 - модель сравнимач с Mythos 5, но с большим количеством разных настроек безопасности, ведущих к до 5 процентов ложных срабатываний. Доступна широкому кругу пользователей. По своим возможностям резко отрывается от ближайшего конкурента GPT 5.5, даже по независимым бенчмаркам. Цена правда получается почти в 2 раза больше, чем у GPT 5.5.
Улучшена защита от дистиляций. Если модель посчитает ваш запрос вредоносным вам ответит opus 4.8.
Традиционно вот ссылка на системную карточку модели.
Нам её придется внимательно изучать. Часть графиков из официального анонса и независимого сравнения с другими моделями - ниже. | 109 |
| 15 | Сегодня в Санкт Петербурге активно отмечается день рождения Петра I.
По ряду свидетельств при Петре I произошла институционализация шифрования в России. С 1700 года шифровальная деятельность стала функцией цифирного отделения Посольского приказа, а с 1709 года - Посольской канцелярии.
Петр I имел блокнот с 6 шифрами которыми он постоянно пользовался. | 133 |
| 16 | Итак, вчера мы остановились на том, что этот самый ИИ может стоить значительно дороже среднего программиста при, скажем так, не особо стабильных результатах. Не особо стабильных - не означает плохих, иногда бывают очень даже хорошие. Но означает непредсказуемых.
Как мерить затраты на ИИ в сравнении с дополнительной производительностью - никто толком не знает. Но есть мнение, что и так сомнительная история с резкой заменой людей на ИИ уткнулась в стоимость этого самого ИИ при текущем способе его использования.
Но при этом консультанты из Bain&Co уверенно выдают прогноз, что через три-четыре года средние затраты на ИИ-сотрудников в технологических компаниях будут равняться трети от ФОТ.
Что это значит для эйчаров? Много забавного.
Во-первых, насмотревшись на опыты с массовой заменой людей на LLMки и потом наймом их назад, многие компании притормозят планы по увольнению всех и вся. Хотя бы на время, пока не научатся гарантированно повышать эффективность с помощью агентов и понимать, какие затраты для этого нужны.
Во-вторых - и это самое веселое - HR и ИТ-департаменты теперь будут фактически иметь общий бюджет. Часть из этого бюджета будет уходить на людей, а часть на LLMки. Какая часть? Почему? И главное, кто будет принимать решения? Все это отличные вопросы, и если и когда этот зоопарк реализуется на практике, мы желаем всем участникам удачи.
В-третьих, товарищи рекрутеры и C&Bшники - возможно, вам пора готовиться к тому, что инженеры на собеседованиях начнут спрашивать “а какой на этой позиции бюджет на токены?”
Ходят слухи, что в некоторых компаниях уже планируют включить бюджет на токены в список плюшек, и начать переманивать разработчиков из компаний, где им его не дают или дают всем одинаково.
Ну и если это все недостаточно весело, то вот вам налоговый вопросик. В большинстве стран мира подоходный налог - один из самых важных источников поступления дохода в казну. Подоходный налог берут с зарплат, и если вместо зарплат компании начнут тратить деньги на токены, то рано или поздно правительства этот трюк заметят, и начнут пытаться облагать налогом траты на компьют. В силу разных там бухгалтерских трюков это будет очень веселое упражнение, так что мы ждем с нетерпением.
В общем, дивный новый мир будет и правда дивным для эйчаров, так что закупайтесь попкорном и пристегивайтесь. Завтра опять про AI-сотрудников, и опять не так, как в легендах и мифах. | 109 |
| 17 | Любопытный прогноз про количество доступных токенов в описании вакансии и объединения бюджетов HR и ИТ. | 130 |
| 18 |  Немає тексту... | 156 |
| 19 | Лет 5 назад интернет вещей был набирающим силу трендом. По данным Cloudflare сегодня больше половины трафика в сети Интернет теперь это боты. В термин боты Cloudflare включает скрипты, агенты и самих ботов.
В силу развития средств агентского ИИ можно будет ввести два новых термина и позиционировать все новые продукты и решения под эти два термина:
1. ИИ/Агентский интернет. ИИ не нужен веб интерфейс, более того он не оптимален с точки зрения оптимизации количества потребляемых токенов. Нас ждут новые протоколы и продукты использующие машиночитаемые форматы данных. Например прайс-листы в формате markdown вместо excel/docx. Toon вместо json. И это ещё форматы пока понятные человеку, нас ждут форматы понятные только ИИ. И это затронет не только веб но компоненты инфраструктуры и кибербезопасности.
2. Интернет Людей. Для тех кто не может себе позволить средства ИИ или там где в них нет экономического смысла. И наоборот старые добрые красивые интерфейсы для состоятельных потребителей которые привыкли выбирать глазами. | 146 |
| 20 | В силу серии атак на цепочку поставок начала активнее распространятся практика периода охлаждения вновь выпущенного релиза. Идея в том, чтобы дать от нескольких часов до недель время на проверки безопасности до момента автоматического обновления пакета.
В большинстве случаев данный функционал необходимо включать отдельно.
Вот ресурс с отслеживанием внедрения этой практики охлаждения.
Ruby
Npm
Pip | 152 |
