Positivim.com.ua

Категорія: Обчислення в Хмарі

  • Thales та Deloitte Alliance для зміцнення хмарних стратегій безпеки та дотримання даних

    Thales та Deloitte Alliance для зміцнення хмарних стратегій безпеки та дотримання даних

    Suparna виконує функції старшого керуючого редактора брендів каналів Cyberrisk Alliance, включаючи MSSP Alert та Chanenle2e. Вона відіграє ключову роль у розвитку контенту, оптимізації редакційних робочих процесів, узгодження розповідей з потребами аудиторії та співпраці між командами, щоб забезпечити своєчасний вміст з високим впливом. Її фонове охоплює технології, засоби масової інформації та освіту, і вона приносить унікальну суміш стратегічного мислення, творчості та досконалості роботи в кожному проекті.

  • Мисливець на помилки отримує SSL CERT для Alibaba Cloud в 5 кроках • Реєстр

    Мисливець на помилки отримує SSL CERT для Alibaba Cloud в 5 кроках • Реєстр

    Система перевірки домену сертифікатів SSL.com мала нещасну помилку, яка була використана зловмисниками, щоб отримати без дозволу, цифрові церти для законних веб -сайтів.

    З цими сертифікатами, зазначають, що шахраї можуть створити більш зухвалих шкідливих копій цих сайтів для таких речей, як фішинг довіри, або розшифрував перехоплення трафіку HTTPS між цими сайтами та їх відвідувачами.

    А після того, як дізнавшись про цю недолік, SSL.com відкликав 11 неправильно виданих сертифікатів – один з них для Alibaba.

    Отвір здається таким же простим, як це: як частина процесу перевірки того, що ви керуєте доменним іменем – і, таким чином _validation-contactemail Запис DNS TXT для домену зі значенням, встановленим на контактну електронну адресу.

    Після того, як цей запис DNS TXT присутній, і ви вимагаєте сертифіката для домену, SSL.com надсилає код та URL -адресу на цю контактну адресу. Ви натискаєте на посилання та вводите код і встановлюєте, що ви є контролером домену і можете отримати сертифікат для свого сайту.

    На жаль, через реалізацію баггі, SSL.com також вважає вас власником домену, який використовується для контактної електронної пошти. Якщо ви поставите в vulture@example.com, за умови, що ви можете взяти пошту на цю адресу та перейти за посиланням, SSL.com із задоволенням видав вам сертифікат для прикладу.com. Не має значення, в якому домені ви насправді намагалися перевірити право власності.

    Swap example.com для постачальника веб -пошти, і раптом це стає трохи страшною ситуацією.

    Як зазначив у п'ятницю звіт про помилку, опублікований у п’ятницю, який використовує ручку “репортер SEC”, коли SSL.com отримав запит на видання сертифіката, під час процесу перевірки домену “неправильно позначає ім'я хоста електронної адреси підтвердження як перевірений домен”.

    SEC Reporter продемонстрував, що можна було надати електронну адресу @aliyun.com для випадкового домену, а також видати Certs для aliyun.com та www.aliyun.com – веб -поштою та публічним хмарним сервісом, яким керує китайський Інтернет -гігант Alibaba.

    Подібність SSL.com з цього приводу страшно, оскільки це означає, що кожен, хто набрав хибний процес перевірки запису DNS, може вимагати та бути виданий, TLS CERT для чужого веб -сайту. Ці церти можуть бути використані для підробки законного сайту та дозволу атаки в середній середній, фішинг тощо.

    Зараз SSL.com скасував 11 сертифікатів, виданих за допомогою цієї несправної логіки перевірки. Один з них був для Aliyun.com, отриманий дослідником, щоб продемонструвати вразливість безпеки. Інші? SSL.com не говорить, хто їх отримав, але перелічив їх наступним чином:

    Важливо відзначити, що церти, створені для цих доменів, можуть бути не отримані зловмисно; Все, що ми знаємо, це те, що вони були видані через зламану систему перевірки, а це означає, що їх потрібно скасувати як запобіжні заходи.

    У попередньому звіті про інцидент, опублікованому в понеділок, офіцер технічного дотримання SSL.com Ребекка Келлі підтвердила, що в одному з методів перевірки контролю домену (DCV) є недолік.

    “Неправильна реалізація методу DCV, зазначеної в SSL.com CP/CPS, Розділ 3.2.2.4.14 (електронна пошта до контакту DNS TXT), що призвело до неправильного видання сертифіката на ім'я хоста електронної адреси затвердження”,-заявив Келлі в базі даних Mozilla Bugzilla.

    Цей конкретний процес DCV – існують альтернативні методи перевірки доменів – відключений, поки SSL.com не зможе виправити недолік. Біз обіцяв повний звіт про інцидент 2 травня або до цього.

    Ось п’ять кроків, плюс початкова фаза налаштування, репортер SEC надав для використання нагляду за перевіркою домену:

    Як зазначалося в їх написанні, дослідник не є адміністратором, хостом, ані веб-майстром для aliyun.com, і _validation-contactemail для домену взагалі не був налаштований. “Отже, це неправильно”, – підсумував мисливець на помилки.

    SSL.com подякував досліднику і пообіцяв, що “обробка цього інциденту з максимальним пріоритетом”.

    Реєстр звернувся до запитань про помилку та чи є якесь слово, яке його експлуатують для нечітких цілей. Ми оновимо цю історію, коли отримаємо більше інформації. ®

  • Як створити CBOM для квантової готовності

    Як створити CBOM для квантової готовності

    Квантові обчислення можуть вирішити певні математичні задачі з набагато більшою швидкістю, ніж класичні комп'ютери – відкриваючи світ можливостей для багатьох галузей. Однак пошкодження пошкодження полягає в тому, що давні асиметричні криптографічні алгоритми, такі як RSA, стануть трісками.

    Це може бути п’ять-10 років, але Ніст та Агентство національної безпеки консультують організаціям розпочати міграцію криптографії після кванту (PQC). Це не тільки допоможе запобігти нападам “урожаю, розшифровувати пізніше”, але й забезпечити, щоб організації готували криптографічно, коли квантові обчислення будуть мейнстрімі.

    Ключовим кроком у вдосконаленні квантової гігієни безпеки та запуску міграції PQC є інвентаризація всіх криптографічних систем, що використовуються, визначаючи, як вони взаємодіють із програмним забезпеченням організації та розумінням, яке може потребувати оновлення для світу PQC. Цей процес створює криптографічний рахунок матеріалів (CBOM).

    Що таке CBOM?

    CBOM – це повний інвентаризація всього відкритого коду, фірмового та комерційного програмного забезпечення, яке компанія використовує для розуміння своїх криптографічних активів. Він записує саме там, де організація використовує криптографію в даний час, де вона використовувала її в минулому, і допомагає оцінити, де вона могла б потребувати в майбутньому.

    CBOM дозволяють організаціям робити наступне:

    • Визначте та контролюйте, де використовуються криптографічні алгоритми.
    • Проаналізуйте, чи підходять поточні стандарти.
    • Вирішіть, які алгоритми потребують оновлення та коли.
    • Стати або покращити криптовалютність.
    • Забезпечити дотримання галузевих норм.

    Крім того, CBOM особливо корисні при плануванні міграції PQC. Організації можуть відображати, які активи можуть бути вразливими, коли квантові обчислення широко поширені, точно визначають їх позицію ризику, а потім приймати рішення щодо управління ризиками.

    CBOM проти SBOM

    CBOM – це розширення програмного законопроекту матеріалів. SBOM – це структурований перелік всього програмного забезпечення, яке використовує організація, розбита за її складовими частинами. SBOM допомагають організаціям зрозуміти кожен компонент програмного забезпечення, бібліотеку та залежність, що використовується, а також потенційні ризики безпеки, які можуть ввести кожен.

    CBOM – це додатковий рівень SBOM, який детально описує криптографічні активи організації, включаючи апаратні, мікропрограмні та програмні компоненти.

    Як створити CBOM

    Під час побудови CBOM спочатку розглянемо сферу. Використовуйте поточні бази даних та SBOMS, або починайте їх розробляти, якщо їх не існує. Обсяг може включати пошук кожного криптографічного активу або, під час підготовки до квантової готовності, він може бути обмежений активами, як відомо, використовують PKI.

    Після інвентаризації активи приходять найбільш трудомісткий крок: виявлення, які алгоритми шифрування використовують кожен компонент кожної системи. Інструменти SBOM можуть допомогти прискорити цей процес. Наприклад, Cyclonedx додав можливості CBOM до свого SBOM для відстеження криптографічних компонентів.

    CBOM повинен містити все, що включає SBOM – компоненти програмного забезпечення, бібліотеки, залежності від коду, історію патчів, постачальники, номери версій, ліцензії тощо – плюс наступне:

    • Криптографічні алгоритми та ключові довжини.
    • Криптографічні залежності.
    • Відповідність криптографічним стандартам.
    • Криптографічні сертифікати та їх термін придатності.
    • Криптографічні ключі та їхні держави.
    • Протоколи безпеки та політики.

    Якщо ви використовуєте CBOM для квантової готовності, після завершення використання інвентаризації активів та картографування, що використовуються, настав час провести оцінку ризику для кожного активу у світі після квант. Це буде довгий процес, саме тому NIST радив організаціям розпочати зараз. Багато активів, особливо застарілих додатків, можуть мати криптографічні алгоритми, які неможливо легко модернізувати або навіть взагалі – наприклад, якщо вони жорстко кодуються на пристрої IoT.

    Частина процесу управління ризиками передбачає запитів у постачальників, якщо і коли вони підтримають PQC. Потім організації повинні визначити, чи потрібно їм перемикати постачальників та продуктів, щоб мати можливість прийняти PQC вчасно. Це також допомагає організаціям зрозуміти наслідки вартості міграції PQC на всій організації.

    Завдяки завершеному CBOM організації можуть точно проаналізувати програмне забезпечення, яке використовується для PQC, та визначити, де спочатку реалізувати квантово-безпечне програмне забезпечення та що може чекати.

    Пам'ятайте, CBOM – це живий документ. Організації повинні постійно оновлювати його, коли нове програмне забезпечення додається або видалено, щоб забезпечити підтримку криптографічних – і незабаром PQC – безпека.

    Роб Шапленд – це етичний хакер, що спеціалізується на хмарній безпеці, соціальній інженерії та навчанні кібербезпеки компаніям у всьому світі.

  • CISA видає керівництво на тлі непідтверджених хмарних порушень Oracle

    CISA видає керівництво на тлі непідтверджених хмарних порушень Oracle

    Американське агентство з питань безпеки кібербезпеки та інфраструктури (CISA) закликає організації та осіб вживати запобіжних заходів на тлі занепокоєння щодо потенційного компромісу, що включає спадщину хмарного середовища Oracle.

    У сповіщеннях, опублікованому в середу, CISA визнала постійні повідомлення про підозрілі активності, орієнтовані на клієнтів Oracle. Незважаючи на те, що повний обсяг загрози залишається незрозумілим, агентство позначило кілька ризиків, особливо навколо розкритих або повторно використаних облікових даних.

    Керівництво CISA підкреслює небезпеку облікових матеріалів – таких як імена користувачів, паролі, жетони аутентифікації та клавіші шифрування – вбудовані в сценарії, інструменти автоматизації або інфраструктурні шаблони. Якщо компрометувати, ці повноваження можуть надати довгостроковий доступ до зловмисників і їх часто важко виявити.

    Агентство радить організаціям зробити кілька ключових кроків:

    • Скиньте паролі для користувачів, які, можливо, зазнали впливу, особливо там, де облікові дані не керуються через централізовані системи ідентичності.
    • Перегляньте та оновлюйте будь -які файли сценаріїв, коду або конфігурації, які можуть містити жорсткі дані, замінюючи їх захищеними методами аутентифікації.
    • Контролюйте журнали аутентифікації на будь -яку незвичну діяльність, з додатковою увагою на облікових записах з адміністративними або підвищеними привілеями.
    • Забезпечте фішинстійну багатофакторну автентифікацію як для облікових записів користувачів, так і для адміністратора, де це можливо.

    Цей консультаційний консультації слідкує за претензіями, поданими протягом останніх тижнів про масштабне порушення, що передбачає до 6 мільйонів записів та 140 000 оракуючих оркад. Дослідники Cloudsek вказали на вразливість в системі Login Oracle Cloud, тоді як SpiderLabs Trust Wive SpiderLabs заявила, що його аналіз набору даних підтримує ці претензії на порушення.

    Oracle публічно заперечував будь -який компроміс своєї хмарної інфраструктури Oracle (OCI) і стверджує, що дані клієнтів не впливали. Незважаючи на ці відмови, компанія не випустила офіційних рекомендацій чи громадських консультацій, що окреслила наступні кроки для клієнтів. Фахівці з безпеки кажуть, що Oracle спілкувався з деякими клієнтами приватно, але в основному мовчав у публічному доступі.

    “Не було порушення Oracle Cloud (OCI)”, – прес -секретар Oracle повторював занурення в кібербезпеку на початку цього місяця, додавши, що розповсюдження облікових даних не пов'язані з OCI.

    Незважаючи на це, уже подані два судові позови – один проти Oracle Health в Міссурі, а інший проти корпорації Oracle в Техасі.

    Деякі галузеві групи закликають до більшої відкритості від Oracle. Еррол Вайс, головний директор з питань безпеки Центру обміну та аналізу охорони здоров'я, сказав, що Oracle ще не відповів на запрошення на взаємодію з членами групи. “Ми розчаровані відсутністю прозорості від Oracle”, – сказав він.

    Джонатан Брейлі, директор з питань розвідки про загрозу в IT-ISAC, заявив, що консультація CISA пропонує певний напрямок, поки зацікавлені сторони продовжують чекати більш детальної інформації. “Консультативність корисна тим, що ми маємо надійний звіт, яким ми можемо поділитися, хоча, схоже, CISA зайняла активну позицію пом'якшення” потенційний несанкціонований доступ “, оскільки ми всі чекаємо деталей від Oracle”, – сказав він.

    Наразі експерти з безпеки продовжують контролювати ситуацію, закликаючи Oracle забезпечити подальшу чіткість своїм клієнтам та широкій спільноті кібербезпеки.

    (Фото від Unsplash)

    Див. Також: Oracle Cloud заперечує порушення, оскільки хакер пропонує 6 мільйонів записів на продаж

    Хочете дізнатися більше про кібербезпеку та хмару від лідерів галузі? Ознайомтеся з Cyber ​​Security & Cloud Expo, що проходить в Амстердамі, Каліфорнії та Лондоні.

    Вивчіть інші майбутні події технологій підприємства та вебінари, що працюють від Techforge тут.

  • Серія SLM – Agiloft: Мова моделі в управлінні життєвим циклом контракту

    Серія SLM – Agiloft: Мова моделі в управлінні життєвим циклом контракту

    Це гостьова публікація для комп'ютерної щотижневої мережі розробників, написаної Томас Леві у ролі старшого директора AI та ML в Агітофт.

    Agiloft є налаштованою, платформою автоматизації бізнес-процесів без коду, відомою своїми рішеннями управління життєвим циклом контракту (CLM). Розроблений для упорядкування та автоматизації складних робочих процесів, Agiloft дозволяє організаціям керувати контрактами, юридичними процесами, столами обслуговування та іншими бізнес -операціями з мінімальним технічним втручанням.

    Як пояснив Енді ПатріціоCLM – це систематичний підхід до управління діловим договором на кожному етапі. CLM поєднує технологічні та бізнес -процеси для впорядкування та автоматизації завдань, включаючи складання, переговори, закупівлі, виконання, моніторинг та поновлення контрактів.

    Леві пише повністю так …

    Критичність компаній, що керують ризиком в умовах геополітичних, регуляторних чи економічних коливань, ніколи не була більш гострою. Вживання безмежного інтелекту договорів може допомогти підприємствам зрозуміти, хто несе відповідальність, хто несе відповідальність, хто збирається робити що і якою вартістю. Я б стверджував, що наявність цієї інформації під рукою – це найбільша сила технології управління життєвим циклом контракту (CLM). Наявність єдиного рішення для управління кожним зобов'язанням на дотику кнопки, що використовує AI, – це справжнє стратегічне значення CLM, крім того, що просто керує операційною ефективністю договорів обробки.

    Для CLM як великі мовні моделі (LLMS), так і мало мовні моделі (SLM) пропонують цінні можливості. Вибір між ними або поєднання їх залежить від складності завдання та бажаної роботи. Незважаючи на те, що LLM часто використовуються через їх великі параметри, деякі завдання в процесі перегляду контракту повторюються та прості та можуть обробляти SLM.

    Візьміть автоматичну ідентифікацію та вилучення стандартних контрактних застережень, таких як “розірвання”, “відшкодування збитків” або “умови оплати”. Повна потужність LLM не завжди потрібна для цих завдань. Спеціалізований SLM, навчений спеціально для таких пунктів, може Виконайте ці завдання швидше і за меншими витратами.

    SLM для CLM

    Наприклад, ви можете використовувати SLM, навчений для виявлення та вилучення всіх пунктів, пов’язаних із «відповідальністю виключно»… і коли вони подали договір, SLM швидко знайде всі відповідні екземпляри, заощаджуючи час та ресурси під час процесу перегляду.

    Аналогічно, SLM може бути навчений для отримання даних за всіма графіками платежів та термінами. При застосуванні до набору контрактів цей SLM послідовно та точно витягував відповідні дати та фінансову інформацію, автоматизуючи завдання, яке часто стомлює та схильні до помилок, якщо виконати вручну.

    Гібридний підхід – використання SLM для звичайних завдань та резервування LLM для більш складних – часто може забезпечити солодке місце для оптимізації продуктивності, забезпечуючи точність та швидкість, контролюючи експлуатаційні витрати. Подумайте про це: SLM міг би вирішити початковий показ договорів, визначення стандартних пропозицій та позначення потенційних проблем. Тим часом, LLM може забезпечити поглиблений аналіз складних юридичних формулювань або складання договірних положень.

    Розумна маршрутизація

    Інтелектуальна маршрутизація може підтримувати реалізацію гібридної стратегії, але вашій системі AI повинна точно розрізнити складність даного завдання та направити її на найкращу модель. Маршрутизація може зводиться до різних факторів, включаючи тип договору

    (наприклад, закупівлі, продажі, юридичні) або тип застереження, що аналізується. Наприклад, договір, пов’язаний з інтелектуальною власністю, може бути направлений на спеціалізований LLM, який навчається в угодах про патентне законодавство та ліцензування, тоді як стандартна угода про нерозголошення може бути повністю оброблена набору SLMS.

    Рішення між LLM та SLM не завжди повинно зводиться до вибору одного над іншим, а як стратегічне розгортання ресурсів на основі конкретних потреб завдання. [As has been discussed at length already, we know that] LLMS перевершує складні міркування та завдання, які потребують широких знань, як тлумачення правових прецедентів або складання нюансових пунктів. З іншого боку, SLM ідеально підходять для повторюваних дій, таких як видобуток даних та визначення стандартних пропозицій. Ретельний експеримент та порівняльний аналіз пройдуть довгий шлях у визначенні, яка модель або комбінація моделей підходить для ваших потреб CLM.

    Однією з важливих переваг SLM є їх розмір. Вони значно швидше тренуються, потребують меншої кількості обчислювальних ресурсів і, як правило, більш економічно. Це робить їх ідеальними для локальних або приватних хмарних середовищ, де безпека та контроль даних є першочерговими. За його словами, немає причин, які SLM повинні бути обмежені цим середовищем.

    Вплив на навколишнє середовище мовних моделей є ще одним важливим фактором. Хоча SLM, як правило, демонструють менший слід вуглецю, загальна стійкість їх розгортання залежить від таких факторів, як споживання енергії, пов'язане з навчанням та розгортанням. Якщо для повтолу функціональності одного LLM потрібно багато SLM, екологічні переваги зменшуються.

    SLM також не без властивих обмежень. Їх ефективність може погіршитися, зіткнувшись із завданнями, які значно відхиляються від своїх навчальних даних і можуть бути сприйнятливими до упереджень. Тому важливо суворо оцінювати та перевірити їх Виконання для забезпечення їх надійності та точності.

    Спеціалізовані набори даних

    seriya slm agiloft mova modeli v upravlinni zhyttyevym czyklom Серія SLM - Agiloft: Мова моделі в управлінні життєвим циклом контракту

    Томас Леві, старший директор AI & ML в Agiloft.

    Поява LLM-специфічного домену вводить ще один шар складності. Ці моделі, які навчаються на спеціалізованих наборах даних, іноді можуть перевершити SLM в певних областях, але часто припадають на більш високі експлуатаційні витрати. Вибір специфічного домену LLM або SLM залежить від вашої програми та потреб CLM. Наприклад, якщо ваш Юридичний департамент повинен проаналізувати складні договори в корпоративному законодавстві, LLM, що стосується домену, може стати кращим вибором. SLM був би більш ефективним для більш звичайних завдань, таких як видобуток пункту.

    SLMS чудово підходить для більш цілеспрямованих завдань з обмеженою областю та складністю. Якщо вам потрібен чат, щоб відповісти на запитання про умови договору, такі як графіки платежів або дати доставки, SLM ідеально підходять для роботи. Однак, LLM буде необхідним, якщо ви хочете, щоб цей чат поводився з більш складними запитами, як -от інтерпретація юридичної мови або оцінка ризику.

    Зрештою, кожна галузь повинна враховувати стратегічне використання SLM. Ключовим є вирівнювання розміру моделі зі складністю завдання. У CLM це означає використання SLM для звичайних завдань, таких як видобуток прямих застережень та збереження LLM для глибших Юридичний аналіз та складання. Підприємства можуть оптимізувати витрати, підвищити ефективність та покращити свої операційні процеси, зосереджуючись на найменшій ефективній моделі.

  • Як AI Darktrace переживає кібербезпеку наступного покоління

    Як AI Darktrace переживає кібербезпеку наступного покоління

    Darktrace навчається на даних, орієнтованих на підприємство, де не два розгортання не є однаковими. Завдяки поєднанню безконтрольного машинного навчання, моделей виявлення аномалії та методів кластеризації, AI в самому навчанні Darktrace створює точне розуміння кожної компанії та її користувачів. Наприклад, якщо вони розгорнуті в лікарні, платформа дізнається від працівників лікарні, пристроїв IoT та медичних пристроїв у режимі реального часу. Працюючи в високорегірувальних умовах, Darktrace сприяє конфіденційності протягом усього проектування, розробки та розгортання його ШІ. Наприклад, він бере свої алгоритми до даних та інфраструктури кожного клієнта, навчання в локальному середовищі замість того, щоб широко малювати на зовнішніх наборах даних.

    Швидко довіривши свій підхід, Darktrace зміг розширити рано. “Наша мета полягала в тому, щоб побудувати найкращий у світі AI у світі, тому нам потрібно було працювати з якомога більшою кількістю компаній у всіх розмірах та вертикалі. Він також повинен був масштабувати вгору і вниз і зрозуміти глобальний геополітичний ландшафт”,-пояснює Егган.

    Сьогодні Darktrace має 10 000 клієнтів у всьому світі. У місії допомогти більшій кількості компаній мінімізувати вплив кібер -зривів, бізнес розширює свою присутність як довіреного партнера з кібербезпеки в США.

    Однак нові регіони означають нову інфраструктуру, відповідність та проблеми, що виходять на ринок. Кайл Грейді, директор Darktrace від маркетингу Cloud Alliances, додає: “Нам потрібно було створити розпізнавання бренду на ринку США. Веб -сервіси Amazon (AWS) є таким чудовим партнером для цього, оскільки ви можете стояти на плечах гігантів”.

  • OpenText Taps Gen AI та виявлення загрози в кібер -стратегії

    OpenText Taps Gen AI та виявлення загрози в кібер -стратегії

    Технології наступного покоління та безпечна розробка, виявлення загроз, відео

    EVP Muhi Majzoub окреслює інтеграцію TDR, генеративного AI через основні платформи

    Майкл Новінсон (Майклоновінсон)
    18 квітня 2025 року



    Мухі Маджуб, виконавчий віце -президент з питань безпеки, OpenText (Зображення: OpenText)

    Opentext буде інвестувати в доморощене виявлення та реагування на загрозу, інтегрувати безпеку в управління інформацією та використовувати генеративний ШІ для розширення його можливостей продукту.

    Див. Також: Вигнати: фірми, які все ще загрожують старими вразливістю

    Пропозиція та реагування на загрозу компанії інтегрується з Microsoft та Crowdstrike та дозволяє швидко виявити аномалію в SAP, Salesforce та їх власних платформах вмісту та ланцюгів поставок, заявив Opentext EVP Muhi Majzoub. Такі інструменти, як управління ідентичністю та токенізація даних, є основоположними для захисту PII та іншої конфіденційної інформації на платформах контенту (див.: OpenText збільшує пропонування MDR для MSP з придбанням Pillr.).

    “Однією з найбільших загроз є люди, які ставлять свої дані в публічну хмару”, – сказав Маджуб. “Їх дані можуть бути використані та використані деякими з цих моделей AI Gen для BAD. Ми намагаємось захистити наших клієнтів та партнерів від таких типів.

    У цьому відеоінтерв'ю з інформаційною медіа -групою Majzoub також обговорив:

    • Додавання безпеки до вмісту, зв'язку, інструментів ланцюга поставок;

    • Занепокоєння щодо зловживання даними, завантаженими на публічні платформи AI;

    • Ставки навколо розпізнавання обличчя, передової поведінкової аналітики;

    Протягом 12 років Majzoub проїхав і доставляв бачення та стратегію продуктів OpenText та їх перехід до хмари. Зараз він зосереджується на прискоренні продуктів та послуг компанії. До OpenText, Majzoub відповідав за визначення бачення та стратегії продукту Northgatearinso. До цього він розробив загальну технологічну платформу CA та компоненти та стратегію інтеграції.

    2025-04-19
  • Федеральний суддя в Балтіморі тимчасово обмежує доступ до DOGE до даних про соціальне забезпечення

    Федеральний суддя в Балтіморі тимчасово обмежує доступ до DOGE до даних про соціальне забезпечення

    BALTIMORE (AP) – Федеральний суддя в четвер наклав нові обмеження щодо департаменту ефективності уряду мільярдера Елона Маска, обмежуючи його доступ до систем соціального захисту, які містять персональні дані про мільйони американців.

    Окружний суддя США Еллен Холландер виніс попереднє заборону у справі, яка була порушена групою профспілок та пенсіонерів, які стверджують, що останні дії Дога порушують закони про конфіденційність та представляють величезні ризики інформаційної безпеки. Раніше Голландер видав тимчасовий обмежувальний наказ.

    Заборона дозволяє співробітникам DOGE отримати доступ до даних, які були відредаговані або позбавлені чогось особистого, якщо вони пройдуть навчання та перевірку.

    Голландер заявив, що догі та будь-які співробітники, пов'язані з дожами, повинні очистити будь-які не анонімізовані дані соціального страхування, які вони отримали з 20 січня. Їм також заборонено вносити будь-які зміни в комп'ютерний код або програмне забезпечення, яке використовується Адміністрацією соціального забезпечення, повинен видалити будь-яке програмне забезпечення або код, який вони вже встановили, і забороняються від розкриття будь-якого коду іншим.

    “Мета вирішення шахрайства, відходів, безгосподарних управління та роздуття є похвальною, і те, що американська громадськість, імовірно, аплодує та підтримує”, – написав Голландер у постанові, виданій пізно в четвер ввечері. “Дійсно, платники податків мають повне право очікувати, що їхній уряд переконається, що їхні важко зароблені гроші не витрачаються”.

    Але це не питання, сказав Голландер – питання полягає в тому, як Дож хоче виконати роботу.

    “Протягом 90 років SSA керував основоположним принципом очікування конфіденційності щодо своїх записів. Ця справа розкриває широку тріщину в Фонді”, – написав суддя.

    Під час слухання федерального суду у вівторок у Балтіморі Холландер неодноразово запитував адвокатів уряду, чому Дожу потребує “, здавалося б, безперешкодним доступом” до родовища чутливої ​​особистої інформації для розкриття шахрайства з соціального захисту.

    Члени профспілки та пенсіонери зібралися поза межами суду, щоб протестувати проти дій Дога, які вони вважають загрозою майбутньому виплат соціального захисту.

    “Що ми робимо, що потребує всієї цієї інформації?” – сказав Голландер, ставлячи під сумнів, чи можна більшість даних анонімізуватися, принаймні на ранніх стадіях аналізу.

    Адвокати адміністрації Трампа заявили, що зміна процесу уповільнить їх зусилля.

    “Хоча анонімізація можлива, це надзвичайно обтяжливе”, – заявив суд суду Бредлі Хамфріс.

    Він стверджував, що доступ до DOGE не відхиляється від звичайної практики всередині агентства, де працівникам та аудиторам регулярно дозволяють шукати його бази даних.

    Але адвокати позивачів назвали це безпрецедентним та “морським зміною” з точки зору того, як агентство обробляє конфіденційну інформацію, включаючи медичні та психічні медичні записи та інші дані, що стосуються дітей та людей з обмеженими можливостями – “проблеми, які не тільки чутливі, але можуть нести стигму”.

    Доступ – це лише порушення конфіденційності, яке завдає шкоди одержувачам соціального захисту, – сказала Альетея Енн Свіфт, адвокат з демократії групи юридичних послуг, яка стоїть за позовом.

    “Це вторгнення викликає об'єктивно розумне занепокоєння”, – сказала вона.

    Адміністрація соціального захисту зазнала потрясінь, оскільки президент Дональд Трамп розпочав свій другий термін. У лютому виконуючий обов'язки комісара агентства Мішель Кінг відступила від своєї ролі після відмови надати співробітникам DOGE доступ, який вони хотіли.

    Білий дім замінив її на Леленда Дудека – який не зміг з'явитися на слуханні у вівторок після того, як Голландер попросив його присутність свідчити про останні зусилля, пов’язані з Дож. Суддя опублікував лист минулого місяця, який докорив загрози Дудека, що йому, можливо, доведеться закрити операції агентства або призупинити виплати через тимчасове обмежувальне розпорядження Голландера.

    Голландер дав зрозуміти, що її замовлення не застосовувалося до працівників SSA, які не пов'язані з до DOGE або надають інформацію, щоб вони все ще могли отримати доступ до будь -яких даних, які вони використовують у процесі звичайної роботи. Але співробітники DOGE, які хочуть отримати доступ до анонімізованих даних, повинні спочатку пройти типові перевірки підготовки та передумови, необхідні для інших співробітників адміністрації соціального захисту, сказала вона.

    Останніми тижнями Дудек зіткнувся з закликами подати у відставку після того, як він видав розпорядження, яке вимагало б батькам Мен зареєструвати своїх новонароджених на номери соціального страхування у федеральному офісі, а не на лікарню. Замовлення було швидко скасовано. Але електронні листи показали, що це політична окупність уряду Мен Джанет Міллс, демократа, який спростував поштовх адміністрації Трампа відмовити федеральному фінансуванню державі над трансгендерними спортсменами.

    Незважаючи на загрозливий політичний контекст, що оточує справу про доступу до догі, Голландер закликав Хамфріса, коли він запропонував під час слухання у вівторок, що її допит починає “відчувати себе незгодою”.

    “Я ображаюся на ваш коментар, тому що я просто намагаюся зрозуміти систему”, – сказав суддя під час слухань у вівторок.

    75-річний Голландер, який був висунутий на федеральну лавку президентом Барак Обамою, є останнім суддею, який розглянув справу, пов’язану з догі.

    Багато її розслідувань у вівторок зосереджувались на тому, чи суттєво відрізняється справа соціального захисту від іншої справи Меріленда, що кидає виклик доступу до даних до трьох інших агентств: Департаменту освіти, Міністерства казначейства та Управління управління персоналом. У цьому випадку апеляційний суд нещодавно заблокував попередню заборону та очистив шлях до Goge знову отримати доступ до приватних даних людей.

    Заява Голландера також може бути оскаржена до 4 -го окружного апеляційного суду США, який стояв на стороні адміністрації Трампа в інших випадках, включаючи дозволення до GOGE до Американського агентства з міжнародного розвитку та надання виконавчих наказів проти різноманітності, справедливості та включення рухається вперед.

    Copyright © 2025 Associated Press. Усі права захищені. Цей веб -сайт не призначений для користувачів, розташованих в європейській економічній зоні.

  • [Webinar] AI вже знаходиться всередині вашого стека SaaS – дізнайтеся, як запобігти наступному мовчазному порушенню

    [Webinar] AI вже знаходиться всередині вашого стека SaaS – дізнайтеся, як запобігти наступному мовчазному порушенню

    18 квітня 2025 рокуНовини хакераSaaS Security / Shadow It

    Дізнайтеся, як запобігти наступному мовчазному порушенню

    Ваші працівники не мали на увазі розкривати конфіденційні дані. Вони просто хотіли рухатися швидше. Тож вони використовували Chatgpt, щоб узагальнити угоду. Завантажив електронну таблицю в інструмент, що посилюється AI. Інтегрував чат у Salesforce. Немає великої справи – поки це не так.

    Якщо це звучить звично, ви не самотні. Більшість команд безпеки вже відстають у виявленні того, як інструменти AI тихо переробляють свої середовища SAAS. І до того часу, як спрацьовує сповіщення – якщо він навіть існує – уболівання може бути вже зроблено.

    Це не гіпотетична проблема. Це відбувається зараз.

    Прийняття AI всередині організацій вже не є стратегічним. Це спонтанно.

    Співробітники експериментують, підключають, автоматизують – і обходять безпеку, роблячи це. Системи AI вбудовуються в стек SaaS без видимості чи нагляду. І це створює новий клас тіньових інтеграцій – тих, хто не відображається в традиційних моделях загроз.

    Якщо ваші нинішні захисні сили покладаються на відстеження вручну, виконання політики або навчання користувачів, ви не стежите за новими.

    Дізнайтеся, як адаптуватися – до наступного сліпого місця стане порушенням

    Приєднуйтесь до Двіра Сассона, директора з досліджень безпеки в Reco, за те, що “ваш AI випереджає вашу безпеку. Ось як не відставати” – нефільтровану сесію про те, що насправді потрібно для підтримки готовності до безпеки AI.

    Ви підете з:

    • Ясність Виникаючі загрози AI-керовані Всередині інструментів SaaS ви вже використовуєте
    • Реальні приклади порушень спричинені неконізивними інтеграціями AI
    • Стратегії виявлення та реагування що зараз використовують перспективні компанії

    AI – це вже не просто інструмент – це рухома частина вашої оперативної тканини. Чим він стає більш децентралізованим і динамічним, тим менше застосовується ваша традиційна книга безпеки. Якщо ви не враховуєте зростаючу присутність AI у ваших додатках SaaS, ви не бачите повної поверхні ризику.

    Перегляньте цей вебінар

    1744977171 656 webinar ai vzhe znahodytsya vseredyni vashogo steka saas diznajtesya [Webinar] AI вже знаходиться всередині вашого стека SaaS - дізнайтеся, як запобігти наступному мовчазному порушенню

    І коли порушення потрапляє на ваш CRM, зал засідань не байдуже, як це сталося. Тільки те, що ви не бачили, як це приходить.

    Збережіть своє місце: Ця сесія призначена для лідерів безпеки, власників та менеджерів з ризику SAAS, які хочуть розвиватися поза реактивною безпекою-і проводити активне контроль у світі, що працює на АІ.

    👉 Зареєструйтесь зараз, щоб зарезервувати своє місце. Пробіли обмежені.

    Знайла цю статтю цікавою? Ця стаття є внесеною до одного з наших цінних партнерів. Слідуйте за нами Твіттер та LinkedIn для читання більш ексклюзивного вмісту, який ми публікуємо.

  • Nokia на колосальних можливостях квантових обчислень

    Nokia на колосальних можливостях квантових обчислень

    • Nokia Bell Labs – серед тих, хто працює над новою формою обчислень
    • Quantum Tech вимагає абсолютної нульової температури для роботи
    • З часом це дозволить легко створити нові медичні препарати та багато іншого

    Квантові обчислення можуть дати можливість розвитку нових білків та нових типів наркотиків, Пітер Веттер, президент досліджень у Nokia Bell Labs, розповів Fierce, коли я відвідав грандіозний старий заклад минулого тижня. Однак така обчислювальна потужність також може забезпечити створення нових та небезпечних хакерських парадигм.

    Я відвідав під час святкування 100 -річчя лабораторії Nokia Bell в Нью -Джерсі минулого тижня. Від транзистора до Місячних посадок дослідницький заклад мав свою руку у багатьох винаходах, які засвітили технологічні революції кінця 20 століття та на початку 21 століття.

    Отже, що далі для компанії? Квантові обчислення.

    Quibits для спогадів

    Квантові обчислення будуть однією з революцій середини 21 століття.

    На відміну від поточних комп'ютерів, Quantum Computing використовує кубіти – які можуть бути виготовлені з атомів, фотонів, захоплених іонів або інших елементів – як їх основна одиниця інформації. Веттер зазначив, що кубіти можуть представляти більше даних, ніж стандартні бінарні системи, що використовуються в обчисленні зараз.

    Для розробки кубітів та квантових обчислень навколо них знадобиться досить багато часу на стабільну комерційну платформу. “Ми все ще на дуже ранній стадії самої Quibit і доводимо, що ви його масштабуєте”, – сказав Веттер.

    “Вам потрібні сотні тисяч Quibits, можливо, мільйони Quibits для масштабу”, – сказав Боб Віллетт, співробітник Bell Labs в Labs Nokia Bell Labs раніше. Nokia використовує вафлі арсеніду галію в тестувальній роботі досі.

    Частина проблеми з масштабуванням полягає в тому, що багато квантових машин або працюють при супер холодних температурах, або надзвичайно крихкі. У області лабораторій Bell, де досліджуються квантові обчислення – які мені не дозволяли фотографувати – є масовими охолодженнями, необхідними для роботи. Одиниці знижуються майже до абсолютного нуля.

    Уявіть собі, що вкладіть такі приставки в центр обробки даних. Безпечно сказати, що пройде деякий час, перш ніж будь -яка з цієї роботи насправді потрапить на комерційну стадію. Щоб почути, як Веттер скаже це, він виглядає як 2030-2035.

    Коли цей час настане, квантове обчислення дозволять вченим імітувати роботу препарату до того, як цей препарат навіть виготовляється. В Іспанії дослідники досліджують, як квантові обчислення можуть використовуватися для перенастроювання мережевих активів у разі стихійного лиха чи нападу. Детальніше про цю роботу тут.

    Зворотний бік монети? Квантові обчислення також можуть поставити в ризик поточні форми шифрування. Залишається зрозуміти, чи може досліджувати Quantum Key розподіл – який досліджується Verizon, BT, SK Teleccm та інші – допоможе пом'якшити цю загрозу. Але будьте впевнені, що ми будемо пильно спостерігати.