Blog

Демократизація доступу до класів активів не зарезервована лише для стартапів та фінтехів. Президент Трамп також намагається вирівняти ігрові умови, прокладаючи шлях для повсякденних інвесторів інвестувати в альтернативні інвестиції через свої 401 (k) або інші плани визначених внесків.

Очікується, що Трамп підпише виконавчого розпорядження в найближчі дні, що керує Департаментом праці та Комісією з цінних паперів та бірж, щоб видати рекомендації, що дозволяє роботодавцям та планувати спонсорів включати приватні активи в 401 (k) планів.

Gartner прогнозує, що витрати на кінцеві споживачі в усьому світі на державні хмарні послуги перевищують 720 млрд. Дол. Однією з частот, але серйозної загрози в цих середовищах є перехресна служба заплутана заступник нападу, яка може розкрити критичні послуги за допомогою ненавмисних довірчих відносин між хмарними компонентами.

Нижче ми вивчимо, як ця атака може проявлятися в сервісах AWS, таких як AWS Elastic Balanting навантаження (ELB) конфігурації реєстрації, проаналізувати основну вразливість, відобразити її на відповідні тактики MITER ATT & CK, а також окреслити всебічні стратегії пом'якшення та запобігання.

Розуміння перехресної служби розгубленого заступника нападу

У хмарних середовищах служби часто взаємодіють у різних обліках та межах. Неправильні конфігурації або надмірно дозвільна політика довіри можуть піддавати системи несанкціонованим доступом або непередбачуваним потоком даних.

Перехресна служба заплутана заступник нападу виникає, коли надійна служба (“заступник”) обдурюється у виконанні дій від імені ненадійного принципу, часто через неправильно налаштовані або недостатньо витрачені дозволи. Цей клас вразливості особливо підступний, оскільки шкідливі дії виконуються надійною службою AWS, обходячи базовий контроль доступу.

Одним із прикладів розгубленого заступника атаки є CloudTrail, послуга AWS, яка фіксує всю діяльність у середовищі AWS організації. Ці журнали важливі для регуляторних аудитів та оцінок безпеки; Однак цей інструмент також може бути використаний зловмисниками, якщо дозволи не керуються ретельно.

Функція журналу CloudTrail може бути використана для запису журналів у відро S3 жертви, якщо в екземплярі не вистачає клавіш умов, що стосуються облікових записів. Оскільки сама служба уповноважена, AWS припускає, що дія є законною, навіть якщо зловмисний актор ініціював її.

Ключові моменти, які слід врахувати:

• Атака зловживає законними інтеграціями AWS.
• Він часто обходить традиційні межі дозволу.
• Це може бути важко виявити, оскільки журнали та дії пояснюються надійними послугами.

Розуміння цього типу атаки є життєво важливим для побудови захищених хмарних архітектур, які передбачають межі довіри, можуть бути розмиті, якщо не явно виконані.

Поглиблений приклад: AWS ELB та реєстрація до S3

Ще одне поширене (і часто не помічене) місце, яке виникає ця атака, – це еластичне балансування навантаження (ELB). Так само, як CloudTrail, AWS ELB можна налаштувати для зберігання журналів доступу в відрах Amazon S3 для аудиту та моніторингу. Ця функція особливо корисна при агрегуванні журналів з декількох служб або облікових записів у централізований рахунок аудиту. Щоб увімкнути журнал ELB, необхідно додати конкретну політику відра, яка дозволяє послузі ELB писати у відро. Цей процес, як правило, використовує або директор з обслуговування (наприклад, logDelivery.ElasticLoadBalancing.amazonaws.com), або ідентифікатор облікового запису AWS, що стосується регіону.

Приклад політики відра (директор з обслуговування):

Щоб зрозуміти, де лежить ризик, корисно подивитися, як зазвичай налаштовані дозволи ELB. Ось загальна політика відра, яка дозволяє службі ELB записувати журнали у відро S3:

Аналіз атаки та спостереження

Хоча, здавалося б, прямолінійна, конфігурація вище може ввести a Плутанина заступника. Вад полягає в надмірно дозвільній політиці відра, яка не обмежує прохання походити з певного облікового запису AWS. Як результат, будь -який обліковий запис AWS може налаштувати ELB для запису журналів у відро, яким вони не володіють, якщо вони знають ім'я відра та структуру шляху.

Це дає можливість зловмисним акторам зловживати AWS ELB доставляти журнали (і, таким чином, записати дані) у відро жертви S3, підручник Перехресна служба заплутана заступник нападу.

Потенційний шлях атаки

Крок 1: Потерпілий створює відро S3 для реєстрації ELB з загальною політикою відра, що дозволяє logdelivery.elasticloadbalancing.amazonaws.com.

Крок 2: Зловмисник, який використовує інший обліковий запис AWS, налаштовує їх ELB для запису журналів у відро жертви.

Крок 3: Служба AWS ELB виступає заступником і записує журнали у відро жертви під AWSLOGS//….

Крок 4: Дані, написані зловмисником, можуть включати оманливий або шкідливий вміст, забруднення журналів або витрачати на зберігання.

MITER ATT & CK Рамки Рамки

Щоб допомогти командам класифікувати та відповісти на розгублену заступник нападу на перехресну службу, ми відобразили їх у відповідну інформацію в рамках Miter Att & CK. Ці відображення забезпечують додатковий контекст та підтримку для виявлення та оборонних зусиль:

T1530 – Дані з хмарного об'єкта зберігання

Незважаючи на те, що ця атака пише лише від відро для S3 жертви, якщо це не налаштовано, він може врешті-решт дозволити зворотній або маніпулювання журналами, а це означає, що зловмисники можуть приховати свою діяльність, оманливе криміналістичне розслідування або чутливі дані про ефільтрат.

T1190-Використовуйте заявку на публічну

Якщо зловмисник визначає недолік механізму лісозаготівлі ELB, він може поєднуватися з загальнодоступними кінцевими точками, щоб викликати несподівану поведінку.

T1560.001 – Архів зібраних даних: Архів за допомогою корисності

Незважаючи на те, що не є прямим відповідністю, якщо журнали з декількох облікових записів агреговані, зловмисник може використовувати це для екзфільтрата або приховування даних у відра жертви.

T1659 – Введення вмісту

Зловмисники можуть використовувати механізм реєстрації ELB для вставки несанкціонованих або оманливих даних журналу у відро S3 жертви.

Вплив потенційної атаки

Незважаючи на те, що вплив розгубленого заступника нападу перехресного обслуговування може здатися обмеженим, це може мати далекосяжні наслідки. Ця тонка маніпуляція може підірвати функції безпеки бізнесу, збільшити експлуатаційні витрати та перешкоджати можливості відповідати вимогам щодо відповідності.

Потенційні негативні результати включають:

• Оманливий журнал: Зміна цілісності журналу може перешкоджати судово -медичному аналізу.
• Зберігання здуття: Зберігання S3 жертви може понести несподівані витрати через несанкціоновані або надмірні дані журналу.
• Ризики відповідності: Неокументовані записи журналу з неперевірених джерел можуть призвести до порушень регуляторних або внутрішніх стандартів дотримання.
• Заперечення аудиту: Втрата вірності журналу може порушити аудит та реагування на інциденти.

Стратегії захисту від перехресних служб розгублених заступників нападів

На щастя, ефективні захисні сили проти переплутаних заступників нападів можуть бути досягнуті за допомогою багатошарової стратегії безпеки. Впроваджуючи деталі з деталізованих дозволів користувачів, сильний захист даних та найкращі практики безпеки в цілому, розробники можуть забезпечити критичні активи.

1. Забезпечені ресурсні політики та управління ідентичністю та доступом (IAM)

Визначаючи пріоритетні практики ідентичності та управління доступом, ви можете контролювати, хто може отримати доступ та записувати журнали до вашого відра S3.

Використовуйте суворі ресурси ARN

Завжди визначайте точні довідкові номери набувачів (ARN) у вашій політиці відра, щоб звузити дозволений шлях запису. Це гарантує, що написані лише передбачувані журнали та запобігає зловживанню з інших облікових записів AWS.

Приклад: «ARN: AWS: S3 ::: My Bucket/Awslogs/111122223333/*”

Забезпечити AWS: стан SourceAccount

Додайте умову до своєї політики відра, щоб підтвердити, що запит був ініційований вашим обліковим записом, блокуючи несанкціоновані взаємодії з перехресного обліку.

Приклад: “Умова”: {“Stringequals”: {“AWS: SourceAccount”: “111122223333”}}

Застосовуйте найменший принцип привілеїв

Уникайте використання широких дозволів, таких як S3:* або підстановки, в ресурсі. Надайте лише необхідний S3: Putobject дозвіл на службу ELB.

2. Захист даних та цілісність реєстрації

Захист журналів даних та самого контейнера для зберігання додає ще один шар захисту від розгублених заступників нападів перехресного обслуговування.

Увімкнути шифрування

Використовуйте шифрування на стороні сервера Amazon, SSE-KMS, щоб шифрувати файли журналу в спокої. Також переконайтеся, що журнали надійно передаються через HTTPS.

Використовуйте замок об'єкта S3

Активуйте блокування об'єктів у режимі відповідності або управління, щоб зробити об'єкти журналу незмінним, що захищає від фальсифікації або випадкового видалення.

Моніторинг активності відра

Важіть AWS CloudTrail, CloudWatch та Amazon GuardDuty для моніторингу моделей доступу. Встановіть сповіщення про незвичайні спроби запису або невідомі директори служби.

Забезпечити захист S3 за замовчуванням

AWS надає налаштування для блокування надмірно дозвільного доступу за замовчуванням. Наступні перевірки конфігурації допомагають забезпечити захист ваших відра від загальних неправильних конфігурацій:

• CID-59 Забезпечення нової публічної політики для відра для відра встановлюється на істину.
• CID-379 Переконайтесь, що відро S3 не повинно дозволяти записувати дозвіл на журнали доступу до серверів у всіх у відрі.
• CID-60 Переконайтесь, що блокувати публічний та перехресний доступ, якщо у відра є публічна політика для відра, встановлена на істину.
• CID-61 Переконайтесь, що блок нових списків контролю доступу (ACLS) та завантаження публічних об'єктів для відра встановлюється на True.
• CID-63 Переконайтесь, що блок нової публічної політики відра для облікового запису встановлюється на True.

3. Профілактичний контроль та оперативна практика

Ретельно документуючи та тестуючи контроль за безпекою, ви можете внести свій внесок у загальну гігієну безпеки організації.

Перевірте та перевірте політику IAM

Використовуйте інструменти для управління ідентичністю та доступом, як, наприклад, аналізатор доступу AWS та симулятори політики, щоб виявити надмірно дозвільні або неправильно налаштовані політики до їх розгортання.

Документувати та автоматизувати найкращі практики

Вбудуйте безпечні шаблони конфігурації в шаблони інфраструктури як код (IAC). Оновіть внутрішню документацію та на борту матеріалів, щоб нові члени команди дотримувались цих практик з першого дня.

Аудит сторонніх інтеграцій

Перегляньте та підтверджуйте ролі IAM, надані стороннім службам, щоб забезпечити їх дотримання внутрішніх базових ліній безпеки та не вводять шляхи ескалації.

Harden S3 відра для реєстрації безпеки

Щоб забезпечити цілісність вашої інфраструктури журналу, ввімкніть наступні налаштування безпеки у ваших відрах S3:

• CID-57 Переконайтесь, що політика відра S3 встановлена для відмови в запитах HTTP
• CID-67 Переконайтесь, що всі відра S3 використовують шифрування
• CID-47 Переконайтесь, що журнал доступу увімкнено для відра S3

Деталізація та точність: захищено дизайном

Перехресні послуги заплутані заступники нападів підкреслюють важливість детального контролю IAM, точності політики та найкращої практики безпеки. Здатність журналу AWS ELB, хоча і цінна, може стати вектором для зловживання, якщо не належним чином захищено. Забезпечуючи клавіші стану, обмеження шляху та пильний моніторинг, ви можете ефективно пом'якшити ці загрози та забезпечити, щоб ваша ймовірна зростаюча хмарна інфраструктура залишалася безпечною та аудиторською.

Розуміння нюансу інтеграцій сервісу та меж довіри є ключовим у сучасних взаємопов'язаних хмарних середовищах. Як завжди, безпечний дизайн – найкраща стратегія управління пов'язаними ризиками.

Щоб дізнатися більше про запобігання розгубленому заступнику нападів на перехресну службу, поговоріть з експертом з Qualys сьогодні.

Список літератури:

Aws doc, що пояснює напад

Пов'язаний

Саміт Igaming Studio 2025, який відбудеться 6–7 серпня в готелі та спа -центрі Radisson Blu в Ризі, Латвія, стала ключовою подією для ігрової індустрії, привертаючи увагу до інновацій, регуляторної навігації та стратегій сталого зростання. Організований Eventus International, саміт об'єднає понад 30 лідерів галузі, включаючи керівників з ІГР, еволюції та синотних ігор, щоб вивчити передові технології та оперативні рамки, що формують майбутнє Igaming [1].

Дводенний порядок денний структурований для вирішення нагальних викликів та можливостей з акцентом на практичні застосування персоналізації ШІ, середовища VR та монетизації, керованої даними. Сеанси розгромить, як студії можуть використовувати занурювану конструкцію, орієнтуватися на дотримання Закону ЄС та врівноваження зростання за допомогою безпеки даних. Повторна тема – це перехід від спекулятивних тенденцій до діючих розумінь, як показано тематичними дослідженнями студій, які вже впроваджують ці стратегії. Наприклад, Дайніс Нідра, керівник директора з ІКТАЙН, наголосив на важливості аналізу “невдалих дій гравців”, таких як покинуті бонуси або не відтворювані ігри, для вдосконалення тактики утримання – підхід, який він описав як розблокування “абсолютно нового рівня вартості” [1].

Зауваження Нідри підкреслює більш широку тенденцію галузі: інтеграція гейміфікації та відповідальних азартних рамок. Він стверджував, що це не суперечливі пріоритети, а додаткові стратегії. Розробляючи “яскраві, але не хаотичні” екосистеми, студії можуть посилити залучення гравців, зменшуючи ризики, пов'язані з високоцінними сегментами. Його розуміння узгоджується з акцентом на саміту на етичному інновації, особливо, як регуляторний контроль посилює по всій Європі [1].

Подія також підкреслює, що конкурентний край, отриманий завдяки утриманню талантів та локалізованим досвідом. З талантами, що впливає на глобальні студії, дискусії вивчать стратегії побудови та утримання команд, тоді як такі лідери, як Крістіан Раджтер з Split The Pot та Cosmo Currey з Ван Кайзен, поділяться перспективами щодо ринкових адаптацій. Включення XR (розширена реальність) дизайнерів UX та менеджерів продуктів додатково сигналізує про повороту галузі до занурювальних, орієнтованих на гравців рішень [1].

Учасники будуть співпрацювати з прикладами реального світу, а не абстрактними прогнозами, ключова відмінність, наголошена організаторами. Цей підхід відображає позиціонування саміту як “робочого майданчика” для студій, які прагнуть вдосконалити свої конкурентні стратегії. Обмежена потенціал події та глобальна база учасників пропонують високий попит на діючі знання, а реєстрація закривається всього за три тижні [1].

Орієнтація на саміту на збалансуванні інновацій з відповідальністю відображає більш широкі зміни в галузі. Як зазначав Дайніс Нідра, “Професійна, продумана гейміфікація”-це не просто інструмент для залучення, а шлях до зменшення залежності від гравців високої вартості-демографічні демографії, часто пов'язані з більш високими ризиками азартних ігор. Це узгоджується з вимогами Закону ЄС АІ щодо прозорого та етичного використання AI, область відповідності Саміт присвячує конкретні сесії розпакувати [1].

Вирішуючи пріоритетні теми, такі як невикористана аналітика даних, занурювальна конструкція та регуляторна готовність, Igaming Studio Summit 2025 має місце для впливу на те, як студії орієнтуються на наступний етап еволюції галузі. Основними нотами лідерів у розвитку, відповідності та операціях подія обіцяє подолати розрив між новими технологіями та їх практичною реалізацією [1].

Джерело: [1] [title:Two Weeks to Go: iGaming Studio Summit 2025 Set to Ignite Innovation in Riga] [url:https://coinmarketcap.com/community/articles/6881c856dd41ef056c9fb28c/]

Урядовий ощадний банк Великобританії NS&I (Національні заощадження та інвестиції) має модернізувати свою основну банківську систему за допомогою цифрової “хмарної” платформи, що надається SBS, компанією з фінансової технології, що займається фінансовими технологіями, що займається France.

NS & I-тіло довжини HM казначейства HM-найвідоміший своїми преміальними облігаціями, внаслідок чого власники облігацій вводять щомісячну розіграш, щоб отримати можливість здобути готівку без оподаткування. Коли клієнти інвестують у продукцію NS & I, вони по суті надають гроші уряду.

Організація оголосила більше 18 місяців тому, що буде працювати з трьома компаніями – ATOS, IBM та Sopra Steria – як “стратегічні партнери” для “перетворення та оцифрування” своїх роздрібних операцій. Раніше він покладався на ATOS як на одного аутсорсингового постачальника технологій.

SBS сьогодні (24 липня) оголосила про власну участь у тому, що NS & I називає його “програмою трансформації” (раніше його називали “Програма веселки”). Її робота була присуджена за контрактом з Atos, який також є фірмою зі штаб-квартирою Франції, щоб «модернізувати її [NS&I’s] банківський двигун. '

Платформа SBS “закладе основу для нової ефективності бізнесу, доставки продуктів та послуг та досвіду клієнтів” для NS & I, SBS держави у прес -релізі.

Cloud Native: Пояснена Cloud Native – це підхід до розробки програмного забезпечення, орієнтований на створення та запуску додатків, спеціально розроблених для використання можливостей хмарних обчислень – доставки обчислювальних послуг, таких як зберігання, потужність та аналітика – через Інтернет (“хмара”)

“Модель багатопровідника” NS & I

NS & я оголосив у грудні 2023 року, що ATOS є його “бажаним учасником” для “третього пакету” капітального ремонту його основних банківських, платежів та звітних систем; що IBM зі штаб-квартирою США працюватиме над “цифровим досвідом та цифровим забезпеченням” на контракті до серпня 2028 року; І ця Sopra Steria, також французька компанія, співпрацюватиме зі своїм контактним центром клієнтів та операціями до березня 2029 року.

Поки робота не була розподілена, основні послуги NS & I надавали ATOS IT Services UK, яка керувала обробкою продажів та обслуговуванням клієнтів, а також основними ІТ та інфраструктурними послугами. Спочатку він передавав свої бек-офісні операції компанії, відомому як Siemens It Solutions and Services-тепер ATOS-у 1999 році.

NS & я сказав, що, переходячи на «багатоповерхову модель», вона «створить сучасний, доступний та стійкий бізнес, який може забезпечити правильні продукти та послуги для клієнтів, гнучкість та стійкість до прийняття можливостей майбутнього та, в кінцевому рахунку, продовжувати збирати фінансування для підтримки життєвих державних послуг».

Комітет з громадських рахунків Палати громад в останньому парламенті Великобританії вивчав програму модернізації технологій NS & I у звіті “Управління державними запозиченнями”, опублікованій у лютому 2024 року.

Парламентарі підкреслили, що NS&I та Урядова Управління з управління боргами (DMO) зіткнулися з “безпрецедентними проблемами” протягом періоду Covid-19, “часто потрібно для залучення рекордних сум”.

*** Приєднуйтесь до спільноти глобального уряду Fintech ***

Виклики під час ковид

“NS & I вживає заходів для вирішення проблем, з якими він стикався під час пандемії, і вирішувати рівні попиту через свою програму модернізації, відома як програма веселки”, – йдеться у звіті комітету з питань державних рахунків, позначаючи «значні затримки» у процесі закупівель.

'Під час пандемії Covid-19 Казначейство вимагало, щоб NS & i зібрати 35 мільярдів фунтів стерлінгів [about $47.4bn] Від роздрібних заощаджень – більш ніж у три рази вимоги попереднього року. Незважаючи на те, що не в змозі доставити це, NS & мені вдалося зібрати рекордні 23,8 мільярда фунтів стерлінгів “, звіт продовжувався, встановлюючи більш широкий контекст.

«Одним із викликів, з якими стикався NS & я, зіткнувшись під час пандемії, була неможливість масштабувати свої операції, що стикаються з клієнтами, завдяки своєму залежності від одного постачальника послуг, ATOS. NS & I проводить програму модернізації, яку вона закликає свою програму Rainbow, відійти від ATOS до багатопровідної моделі. Цей проект вже значно затягнуться через учасників торгів за одним із контрактів, що подають пропозиції, які не відповідали вимогам NS & I “, – йдеться у звіті.

“NS & я пояснив, що одним із ключових уроків пандемії, яку вирішить програма Rainbow, – це забезпечити” набагато більшу масштабованість та стійкість “. Він додав, що під час пандемії вона отримала великий приплив родовищ від заощаджень, які створили “прищипні точки”, оскільки стара, одиночна модель провайдера залежала від “людей, паперу та фізичних місць”, “узагальнено комітет.

“NS & я пояснив, що нова модель забезпечить більшу” масштабованість “завдяки кращому використанню цифрових процесів, таких як мобільні додатки, з набагато більшою” функціональністю та гнучкістю “, – додається він.

*** Отримайте безкоштовний редакційний бюлетень уряду глобального уряду ***

“Повна гнучкість та масштабованість”

SBS каже, що його “цифрова платформа SBP-ядра наступного покоління” замінить існуючу основну систему NS & I.

“NS & я отримаю користь від повної гнучкості та масштабованості хмарного середовища AWS, що дозволяє йому робити зберігання даних та інші інфраструктурні корективи так часто, як це потрібно”, – говорить компанія. AWS-це дочірня компанія хмарних обчислень, що займається американським технічним гігантом Amazon.

“Порівняно з застарілими основними системами, які не легко оновлюються або модифіковані, Alternative Cloud та Software-AS-A-Service (SAAS) Allernative дозволяє йому надавати регулярні автоматичні оновлення системи, тому не існує порушень для щоденних операцій банків”,-додає SBS.

“Програма трансформації NS & I допоможе забезпечити цифровий досвід, який очікують наші клієнти, при цьому забезпечуючи допомогу та підтримку тим, хто цього потребує”, – сказав головний операційний директор NS & I Метт Сміт у прес -релізі SBS. “Заміна нашої основної системи – це критичний крок у цій еволюції, і ми з нетерпінням чекаємо продовження роботи з SBS та ATOS, щоб привести її до плодів”.

Раніше SBS був відомий як Sopra Banking Software та належить Sopra Steria до придбання минулого року французько-американською фірмою Axway. Згодом програмне забезпечення Banking Sopra ребрендувало до SBS. Він працює з понад 1500 фінансових установ та масштабних кредиторів у всьому світі.

Пов’язана стаття Великобританія NS & I слідкує – Історія новин (2 червня 2023 р.) на NS & I залучаю Fintech Company EcoSpend (Див. Нижче)

Використання відкритого банкінгу NS & I

Минуло трохи більше декількох років, як NS & я стежив за доходами та митними силами HM (HMRC) у залученні компанії Fintech, щоб дозволити людям здійснювати платежі – наприклад, купувати більше преміальних облігацій – через технологію відкритого банкінгу.

Організація призначила ту саму компанію Fintech-EcoSpend, придбання якої у шведському штаб-квартирі довірливо завершено в січні 2023 року-вже використовували HMRC для послуг з відкритим банківським послугами.

NS & I посилається на свій варіант платежу відкритого банкінгу як “оплати банківського рахунку” – той самий вираз, який також використовується HMRC. Ця онлайн -кнопка можлива завдяки відкритому банкінгу – терміном фінтехів, який стосується використання інтерфейсів програмування відкритих додатків (API).

HMRC створив історію глобального уряду Fintech 24 березня 2021 року, коли він запровадив опцію “оплати праці банківського рахунку” (кнопка) для людей, які роблять онлайн-декларації про самооцінку-вважають, що вперше будь-який уряд у світі вбудував відкриту банкінг у власних операціях.

Окрім видачі преміум -облігацій та інших заощаджувальних продуктів – які пропонують повну безпеку капіталу, оскільки NS & I підтримують казначейство HM – NS & I також здійснюють урядові платіжні послуги NS & I (GPS NS & I). Сформований 15 років тому, GPS NS & I надає банківські та платіжні послуги для інших урядових відомств, включаючи роботу з HMRC над “Допомовою для збереження”, “без податкового догляду за дітьми” та “30 годин безкоштовно догляд за дітьми”.

Інституційні інвестори можуть незабаром мати новий спосіб припаркувати свої готівки. Goldman Sachs та Bank of New York Mellon об'єдналися, щоб запропонувати токенізовані кошти на грошовому ринку – дозволяючи клієнтам купувати акції в цих фондах та відстежувати власність за допомогою технології Blockchain.

Клієнти BNY Mellon зможуть інвестувати кошти на грошовий ринок за допомогою власності, зафіксованої на приватному блокчейні Goldman. Основні менеджери активів, такі як Blackrock, Fidelity та Federated Hermes, вже на борту, а також зброю управління активами обох банків.

Цей крок настає незабаром після того, як президент Трамп підписав Закон про геній, закон, який підтримує регульовані США StableCoins. Це викликає більший інтерес до цифрових активів – і великі банки роблять ставку на те, що наступним кроком може стати фонди з токенізованими грошовими ринками. На відміну від StableCoins, токенізовані фонди пропонують повернення, що може зробити їх більш привабливими для хедж-фондів, пенсій та великими фірмами, що керують короткостроковими готівкою.

“Ми створили можливість для наших клієнтів інвестувати в токенізовані заняття з частки грошового ринку в ряді фондових компаній”, – сказав Лейайд Мадьягбе, глобальний керівник ліквідності, фінансування та застави BNY. “Крок токенізації є важливим, оскільки сьогодні це дозволить безперебійні та ефективні транзакції, без тертя, що трапляються на традиційних ринках”.

Фонди грошового ринку, як правило, інвестують у безпечні, короткострокові активи, такі як казначейства США, комерційний папір або угоди про викуп. Вони відомі тим, що є низьким рівнем ризику і легко викупити-як правило, через день-два. Оскільки ФРС почав підвищувати процентні ставки в 2022 році, інвестори вливали близько 2,5 трлн доларів у клас активів.

Тепер, з токенізацією, Goldman та BNY додають нові можливості. Токен виступає цифровим сертифікатом власності на блокчейн. Це може означати більш швидкі поселення, 24/7 торгівлі та менше залежності від ринкових годин. Наразі BNY продовжить вести традиційні записи поряд з новими жетонами, щоб допомогти полегшити зміну.

Більша ідея полягає в тому, щоб побудувати систему, де токенізовані активи можуть вільно і швидко рухатися, не потребуючи коштів щоразу. Це може змінити те, наскільки великі фінансові гравці керують заставою та виконують торги, потенційно заощаджуючи час та капітал.

Метью Макдермотт, глобальний керівник цифрових активів Голдмана, заявив, що відкриває двері до нової ефективності. “Замість інвесторів та корпорацій, які продають кошти на грошовому ринку, щоб доставити готівкові заставу для торгівлі, вони могли просто обміняти маркер”, – пояснив він.

Він додав: “Шкала цього ринку просто пропонує величезну можливість створити набагато більше ефективності у всій фінансовій сантехніці”.

(Фото від Traxer)

Дивіться також: Закон геніального: чи створює нові рамки StableCoin в Америці більше проблем, ніж вирішує?

Теги: блокчейн, криптовалюта, криптовалюта, цифрові активи, токенізація

Якщо ви приходите на фестиваль швидкості Гудвуда, не очікуючи нічого, крім ревів суперкарів та аромат високооктанового палива, ви отримуєте лише половину історії. Затягнутий трохи за допомогою доріжки Hillclimb лежить один з найфутуристичних куточків маєтку, де двигуни згоряння поступаються місцем квантового моделювання, супутників та синтетичного інтелекту. Ласкаво просимо до майбутньої лабораторії, іммерсивного технологічного кампусу Гудвуда, де наукова фантастика виходить з сторінки та в реальність.

Куратор постійно захоплююча і блискуча прониклива Люсі Джонстон, майбутня лабораторія-це те, де Гудвуд запитує не те, як виглядає автомобіль майбутнього, а яке майбутнє ми хочемо побудувати в першу чергу. І виходячи з цьогорічного складу, це майбутнє є розумним, занурюючим і цілком можливо, орбітуючи планету.

Технологія для кращого світу

Майбутня лабораторія демонструвала чотири теми цього року, вирішивши деякі найбільші питання нашого часу: як ми рухаємось по всьому світу (мобільність для людства), як ми будуємо речі (нові промислові революції), як ми відображаємо реальність (досліджуючи просторовий інтелект) та як ми піклуємося про планету (наша велика синя крапка).

Кожна тема була упакована практичними демонстраціями та розбиванням розуму, але зокрема, кілька проектів піднялися над натовпом не лише за те, що вони показали, а за те, що вони обіцяють.

Зустріньте Амеку: Робот з обличчям, яке вас отримує

Почнемо з гуманоїдного робота, який викликав і захоплення, і кілька вражаючих подвійних зловживань: Ameca. Створений британським інженерним мистецтвом та представлений у майбутньому лабораторії національним роботарієм, Ameca виглядає менш схожим на робота і більше схожий на персонажа з наступного фільму Pixar.

Що відрізняє AMECA,-це не лише її гіперреалістична міміка або незвична здатність утримувати контакт з очима. Це її гнучкість. Вона не постачається з запеченим інтелектом, а натомість діє як апаратний інтерфейс для будь-якого мозку AI, який вам подобається, будь то чатгпт, Alexa, чи щось на замовлення. Як сказав Стів Макларен з Національного роботарію, “вона призначена для спілкування на людському рівні з виразом обличчя, фактичним контактом очей та жестами”.

І хоча деякі відвідувачі спочатку виглядали нервовими, Макларен зауважив, що діти негайно пов’язані з амеком, балакаючи, як це було най нормальніше у світі. Через десять років він прогнозує, що такі роботи, як Ameca, можуть допомагати в домашніх справах або надання допомоги в галузі охорони здоров'я. Судячи з прийому тут, це майбутнє може надходити раніше, ніж ми думаємо.

Виробничі матеріали – на орбіті

Хоча гуманоїдні роботи можуть отримати заголовки, один з найбільш спокійно революційних проектів у Future Lab був плавав трохи вище, буквально. Введіть Space Forge, аерокосмічну компанію, що базується на Кардіффі, розробляє супутники багаторазового використання для виготовлення напівпровідників на орбіті.

Чому космос? Оскільки умови вакууму та мікрогравітації, виявлені на орбіті з низькою землею, ідеально підходять для вирощування ультрачистових кристалів, що використовуються в напівпровідниках та квантових матеріалах. На землі Гравітація вводить крихітні недосконалості. Тут матеріали утворюються більш ідеально, тобто кращі чіпси, кращі пристрої та менший використання енергії.

Ендрю Гріффітс з космічної кузні пояснив, як їх платформа Forgestar вже знаходиться на орбіті та збирає дані. Майбутні версії будуть повністю повернені, оснащені високотехнологічними щитами та системами м'яких земель, які дозволяють відновлювати, відремонтувати та повторно використати супутники.

Це не просто саміт. З фінансуванням уряду Великобританії, НАТО та ЄСА, Space Forge позиціонує себе як фабрику майбутнього, що плаває над нами.

Аварія на витривалість, відроджена AI

Від космосу до морського дна майбутній досвід лабораторії також занурився в історію легендарного корабля Ернеста Шеклтона, витривалості.

Фолклендс Морська спадщина (FMHT) продемонстрував надзвичайну місію, щоб знайти аварію витривалості під 3000 метрів антарктичного льоду, використовуючи підводних роботів та сонарних безпілотників. Після того, як знайшов наступний виклик, полягав у тому, щоб втілити його в життя, і саме тут увійшов штучний інтелект.

Олена Левендон з FMHT детально розповідала про те, як команда використовувала фотограмметрію та корекцію кольорів, що працюють на AI, щоб зшивати понад 25 000 глибоких могних зображень. Результат – надзвичайно точний цифровий близнюк краху. З цього була створена 3D-друкована модель, побудована протягом 350 годин, щоб допомогти дітям та відвідувачам досліджувати кожен болт та деревину корабля Шеклтон.

“Діти тепер можуть переживати витривалість таким чином, що жодна книга історії ніколи не могла”, – сказав Левендон. І зі своїм новим статусом захищеного Антарктичного пам’ятника, крах зараз є як збереженим артефактом, так і живим навчальним інструментом.

Картографування Всесвіту з ШІ

Дивлячись вгору, а не вниз, Університет Сассекса та Європейське космічне агентство привели космос у фокус з космічним телескопом Евкліда. Поки це тихо орбітує в 1,5 мільйона кілометрів від Землі, Евклід зайнятий картографуванням Всесвіту безпрецедентно. Місія? Розшифровувати таємничі сили темної речовини та темної енергії.

Професор Стівен Вілкінс пояснив, як місія Евкліда покладається на AI для обробки свого приголомшливого обсягу даних, мільярдів галактик, багатьох слабких та віддалених. “Просто немає можливості, щоб люди могли класифікувати все це вручну”, – сказав він. “Таким чином, ми навчаємо машини, щоб помітити надзвичайні в звичайному”.

Вілкінс сподівається, що цей новий об'єктив у Всесвіті принесе відповіді на деякі най втічні питання фізики. Принаймні, це, швидше за все, надихне нове покоління Stargazers, озброєні кращими даними та розумнішими інструментами, ніж будь -коли раніше.

Ще кілька чудес, які варто згадати

Диво не зупинилося на цьому. Відвідувачі могли пілотувати поверхню Місяця у ВР завдяки досвіду польоту Сомніка та Цезій, або зайти всередину “Космічні Apple Vision Pro” Apple Studios через найкращі зображення телескопа James Webb Space телескопа. BMW запропонував побачити систему управління “серцем радості” для електричного водіння нового покоління. Кліматичні безпілотники мармуру з хірургічною точністю відображали зміни навколишнього середовища. А електричні катати E1 додали сплеск швидкості до повідомлення про стійкість.

Кожен експонент, від океанських дослідників до орбітальних інженерів, поділився загальним повідомленням: майбутнє – це не лише гладкі машини чи розумний код. Мова йде про мету.

Чому майбутня лабораторія має значення як ніколи

Серед гарчання двигуна та підбадьорюючого натовпу Future Lab є вітальним поштовхом від роздумів. Це нагадує нам, що технологія не просто швидше, це для того, щоб йти далі, з думкою та з обережністю.

Як Люсі Джонстон, куратор лабораторії, підсумувала: “Це стосується технології чемпіонату для кращого світу. Експоненти вирішують виклики в реальному світі із сміливим мисленням, творчими інструментами та науковою співпрацею”.

Майбутня лабораторія доводить, що справжня гонка – це зробити завтра краще, ніж сьогодні. І судячи з того, що було на шоу цього року, у нас є дуже хороші люди (і роботи) в нашій команді.

Френк Балоніс

Фармацевтична промисловість стоїть на небезпечному перехресті. У той час як компанії готуються до використання штучного інтелекту для виявлення наркотиків, оптимізації клінічних випробувань та ефективності виробництва, нове галузеве дослідження Kiteworks виявляє шокуючу істину: лише 17% організацій впровадили автоматизований контроль, щоб запобігти протіканням конфіденційних даних через інструменти AI. Це означає, що 83% фармацевтичних компаній – включаючи багато CDMO – працюють без основних технічних гарантій, тоді як їхні працівники вставляють молекулярні структури, результати клінічних випробувань та записи пацієнтів у Chatgpt, Claude, Respexity та інші платформи AI.

У звіті, який опитував 461 кібербезпеку, ІТ, управління ризиками та фахівці з дотримання норм в галузях промисловості, розкриває критичний розрив між тим, що вважають керівники фармацевтичних препаратів про свою безпеку AI та те, що відбувається на місцях. Цей висновок узгоджується зі звітом про індекс AI в Стенфорді 2025 року, який задокументував збільшення інцидентів безпеки, пов'язаних з AI, зафіксовано на 56,4% лише за один рік. У галузі, де одна структура молекули, що витікає, може знищити мільярди в інвестиціях на дослідження, цей розрив являє собою не просто проблему безпеки, а екзистенційну загрозу для конкурентної переваги та дотримання регуляторних норм.

Стан безпеки AI в фармацевтичних препаратах: перевірка реальності

Цифри малюють тверезу картину фармацевтичної безпеки AI. Згідно з дослідженням Kiteworks, переважна більшість організацій покладаються на небезпечно неадекватні заходи щодо захисту своїх даних від впливу ШІ. У верхній частині піраміди безпеки лише 17% мають технологію, яка автоматично блокує несанкціонований доступ до AI та сканує чутливі дані – мінімум для захисту в сучасному середовищі.

Решта 83% залежать від все більш ненадійних підходів, орієнтованих на людину. Сорок відсотків покладаються на навчальні заняття з працівниками та періодичні аудити, по суті сподіваючись, що співробітники запам'ятають та дотримуватимуться правил під час роботи під тиском. Ще 20% надсилають попереджувальні електронні листи про використання AI, але ніколи не перевіряють відповідність. Десять відсотків просто видавали керівні принципи, тоді як вражають 13% не мають жодної політики.

Цей поломку безпеки стає особливо тривожним при розгляді унікального тиску, що стоїть перед фармацевтичними дослідниками. Під постійним тиском для прискорення термінів розвитку наркотиків вчені регулярно звертаються до інструментів AI для швидких аналізів, оглядів літератури та інтерпретації даних. Звіт про стан безпеки даних Varonis 2025 підсилює цю проблему, встановивши, що 99% організацій мають конфіденційні дані, небезпечно піддаються впливу інструментів AI, при цьому 90% мають чутливі файли, доступні лише через Microsoft 365 Copilot. Лікарський хімік може завантажувати власні молекулярні структури, щоб отримати уявлення про потенційні лікарські взаємодії. Аналітик клінічних даних може вставити результати пацієнтів на платформу AI для виявлення моделей. Кожна дія, хоча і цілеспрямована, створює постійне опромінення ризику, яке неможливо скасувати.

Що насправді піддається

Дослідження Kiteworks виявляють, що 27% організацій наук про життя визнають, що понад 30% їхніх оброблених даних містять конфіденційну або приватну інформацію. У фармацевтичних контекстах це являє собою катастрофічний рівень впливу, що охоплює найцінніші активи галузі.

Поміркуйте, що фармацевтичні працівники щодня діляться з інструментами AI. Власні молекулярні структури, які потребували років і мільйони доларів, щоб розробити завантажені для швидкого структурного аналізу. Неопубліковані результати клінічних випробувань, які могли б зробити або порушити шанси на затвердження препарату, вставляються в чатні боти для підсумкового покоління. Виробничі процеси, захищені так, як комерційна таємниця переходить у системи AI, коли якісні команди шукають пропозиції оптимізації процесів. Інформація про здоров'я пацієнтів, нібито захищена в рамках HIPAA, вводить публічні платформи AI, коли дослідники просять допомогу в аналізі несприятливих подій.

Постійність цього впливу не може бути завищена. На відміну від традиційних порушень даних, де компанії можуть змінити паролі або відкликати доступ, інформація, що поглинається в моделі навчання AI, стає постійно вбудованою. Як детально описано в дослідженні ризиків витоку даних AI, фармацевтичні компанії стикаються з унікальними вразливими місцями від запам'ятовування моделей, де системи AI можуть ненавмисно зберегти та пізніше викрити фрагменти чутливих даних, таких як ідентифікатори пацієнтів, діагнози або власні молекулярні структури – навіть з моделей, які виглядають належним чином санізованим.

Виклик відповідності

Для фармацевтичних компаній регуляторні наслідки неконтрольованого використання AI створюють ідеальну шторм. У звіті Kiteworks встановлено, що лише 12% організацій перераховують порушення відповідності серед своїх найкращих проблем ШІ – небезпечне сліпого місця, враховуючи прискорення регуляторного виконання. Звіт про індекс AI Стенфорда підтверджує цей регуляторний сплеск, документуючи, що федеральні агенції США видали 59 правил, пов'язаних з AI у 2024 році, більше ніж удвічі більше, ніж 25, видані в 2023 році.

Поточні практики одночасно порушують декілька регуляторних вимог. HIPAA вимагає комплексних аудиторських стежок для всіх електронних захищених інформаційних медичних наук (EPHI), але компанії не можуть відслідковувати те, що перетікає в тіньові інструменти AI. Частина 11 CFR 11 FDA вимагає валідованих систем та електронних підписів для будь -яких клінічних даних, що обробляють систему, стандарти, які публічні платформи AI не можуть відповідати. GDPR передбачає можливість видалити особисту інформацію за запитом, але дані, вбудовані в моделі AI, не можуть бути отримані або видалені.

Пейзаж правоохоронних органів продовжує посилюватися по всьому світу, і Стенфорд повідомляє, що законодавчі згадки про ШІ збільшилися на 21,3% у 75 країнах. Це не пропозиції – вони несуть значні покарання та потенційну кримінальну відповідальність за керівників. Коли регулятори вимагають документації про використання AI під час аудиту, “ми не знали”, стає визнанням недбалості, а не захисту.

Традиційний підхід до дотримання – політика, навчання та періодичні огляди – повністю не вдається в контексті ШІ. Використання Shadow AI відбувається поза корпоративною видимістю, часто на особистих пристроях, які отримують доступ до послуг AI споживачів. У звіті про Varonis встановлено, що 98% компаній мають працівників, які використовують несанкціоновані додатки, при цьому кожна організація в середньому складає 1200 неофіційних додатків. На той час, коли команди з питань дотримання норм виявляють порушення, чутливі дані вже постійно всмоктуються в системах ШІ.

Чому фармацевтичні компанії особливо вразливі

Сучасна розробка наркотиків передбачає великі партнерські стосунки з CDMO, CROS, академічними установами та постачальниками технологій. Кожен партнер потенційно представляє нові інструменти AI та вразливості безпеки. Останній звіт про розслідування даних про порушення даних Verizon показав, що участь сторонніх сторон у порушеннях даних збільшилася з 15% до 30% лише за один рік.

Фармацевтична інтелектуальна власність має надзвичайну цінність, що робить її привабливою ціллю. Одна молекулярна структура може представляти можливість наркотиків на мільярд доларів. Дані клінічних випробувань визначають успіх або невдачу на ринку. Виробничі процеси забезпечують конкурентні переваги, які варто захистити. Коли працівники випадково діляться цією інформацією з інструментами AI, вони по суті публікують комерційну таємницю на глобальній платформі.

Шлях вперед: Будівництво реального захисту

У звіті Kiteworks зрозуміло, що залежні від людини заходи безпеки не вдалося в кожній галузі, включаючи фармацевтичні препарати. Звіт про індекс AI Стенфорда підкріплює це, показуючи, що, хоча організації визнають ризики-64% посилаються на неточність AI та 60%, що виявляють вразливості кібербезпеки-менше двох третин активно впроваджують гарантії. Компанії повинні негайно перейти до технічного управління, який автоматично запобігає несанкціонованому доступу до ШІ та опроміненням даних.

Основні елементи ефективного фармацевтичного управління AI починаються з автоматизованої класифікації даних та блокування. Системи повинні розпізнавати та запобігти конфіденційній інформації – будь то молекулярні структури, дані пацієнта чи клінічні результати – до досягнення несанкціонованих платформ AI. Для цього потрібна технологія, яка працює в режимі реального часу, скануючи потоки даних, перш ніж вони залишають корпоративний контроль.

Постійний моніторинг взаємодій AI з такими рішеннями, як шлюз даних AI, забезпечує видимість фармацевтичних компаній в даний час. Організації потрібні єдині платформи управління, які відстежують кожну точку дотику AI через хмарні сервіси, локальні системи та тінь.

Висновок

Фармацевтична промисловість стикається з скороченням вікна для вирішення витоку даних AI до того, як прийде катастрофічні наслідки. Оскільки 83% організацій, що працюють без основних технічних гарантій, при цьому крововиливши їх найцінніші дані, а інциденти AI збільшуються на 56,4% за рік, згідно з дослідженнями Стенфорда, розрив між сприйнятою та фактичною безпекою досяг критичних рівнів.

Вибір є Stark: впровадити реальний технічний контроль зараз або стикається з неминучими результатами – конкурентним недоліком, оскільки комерційна таємниця просочується до конкурентів, регуляторні штрафи як порушення, та пошкодження репутації, оскільки вплив даних пацієнтів робить заголовки. Громадська довіра до компаній AI вже впала з 50% до 47% лише за один рік, згідно з висновками Стенфорда. Для галузі, побудованої на інноваціях та довірі, неспроможність забезпечити використання AI загрожує обом. Час дій зараз, до наступної завантаженої молекули або клінічного набору даних стане завтрашньою конкурентною катастрофою.

Про автора:

Френк Балоніс – головний директор з питань інформаційної безпеки та старший віце -президент з операцій та підтримки в Kiteworks, що має понад 20 -річний досвід роботи в ІТ -підтримці та послугах. З моменту приєднання до Kiteworks у 2003 році Балоніс контролює технічну підтримку, успіх клієнтів, корпоративну ІТ та безпеку та дотримання, співпрацюючи з командами з продуктів та інженерії. Він проводить сертифіковану сертифікат з питань безпеки інформаційних систем (CISSP) та служив у ВМС США. До нього можна звернутися за адресою fbalonis@kiteworks.com.