XiaoMi-AI文件搜索系统
World File Search SystemOwasp
安全标准 - 安全边界(SS-006)
本标准定义了一组必须实施的最低安全措施,以确保当局的安全边界,包括消费云服务。出于本标准的目的,可以将安全边界描述为具有不同安全要求或需求的任何两个环境(域)之间的分界线,例如内部网络,DMZ或DMZ和Internet。作为标准仅提供最低限度的措施,应根据需要解决的威胁和风险,相关数据的敏感性以及与最新的安全性增强功能保持一致。有关推荐的外部参考,请参见附录C。安全措施源自行业最佳实践,即由NIST,CIS和OWASP发布的指南(请参阅附录C以获取完整列表外部参考),并支持当局或我们的第三方提供商选择的适当安全控制,例如CIS关键安全控制设置。[请参阅外部参考]
MIS 5214 - 安全体系结构春季2025
1 • Boyle and Panko: Chapter 1 The Threat Environment • Ross, J.W., Weill P., and Robertson D.C. (2008), “Implement the Operating Model Via Enterprise Architecture” (in the Harvard Business Publishing course pack) 2 • NIST SP 800-100 “Information Security Handbook: A Guide for Managers”, Chapter 10 Risk Management, pp.84-95 • NIST SP 800-18r1 “Guide for Developing Security Plans for Federal Information系统”,pp。1-30•“ FedRamp-High-Mighter-LOW-LI_SAAS-BASELINE-SYSTEM-SERCEMSED SECUREPAND(SSP)模板” 3•Boyle and Panko,第2章规划和政策•NIST SP 800-100“信息安全手册:管理人员指南”,第8章,第8章 - 安全计划,PP.67-77-77-77-77-77-77-77-77-7-7-7-7-77-7-7-7-60-60-60V 1” pp.1-34 • FIPS 200 “Minimum Security Requirements for Federal Information and Information Systems”, pp.1-9 • Case Study 1 “A High-Performance Computing Cluster Under Attack: The Titan Incident” (in the Harvard Business Publishing course pack ) 4 • Boyle and Panko, Chapter 3 Cryptography 5 • Boyle and Panko, Module A “Networking Concepts” and Chapter 4 “Secure Networks” • NIST SP 800-145 “The NIST Definition云计算”•DDOS的简介 - 分布式拒绝服务攻击•公共密钥基础架构和X.509公共钥匙证书6•Boyle和Panko:第6章防火墙•Basile,C.,Matteo,M.C.,Mutti,S。和Paraboschi,S。和Paraboschi,S,“在安全策略中的冲突”,第5章,第5章,第5章,第5章。 pp。781-799。8 • Boyle and Panko, Chapter 5 Access Control • NIST SP 800 63-3 “Digital Identity Guidelines” • NIST SP 800 63A “Digital Identity Guidelines: Enrollment and Identity Proofing” • NIST SP 800 63B “Digital Identity Guidelines: Authentication and Lifecycle Management” • Case Study 2 “ Data Breach at Equifax ” (in the Harvard Business Publishing course pack ) 9 • Boyle and Panko,第7章主机硬化•NIST SP 800-123一般性重复安全指南•NIST SP 800-40R4企业补丁管理管理计划10•Boyle and Panko,第8章应用程序安全•OWASP应用程序安全验证标准标准•OWASP攻击表•NIST SP 800-190应用程序容器安全
云WAAP网络验证报告 - Ubika
Secureiqlab通过对经过测试的这些产品保护的应用程序和API进行3500多种不同攻击,测量了云WAAP解决方案的安全效率。这些攻击是根据行业框架(例如OWASP TOP 10 2,MITER ATT&CK和LOCKHEED MARTIN KILL CHAIN 3)选择的。在评估WAAPS的操作效率时已验证了大约80个功能和功能。关键运营效率验证领域包括易于部署,管理,风险管理,可伸缩性,IAM控制,可见性和分析以及记录和审计功能。对功能和功能的全面验证进一步提高了网络安全行业的标准,并且在当代验证和分析中存在于市场中。测试是根据反恶意软件测试标准组织4(AMTSO)的标准进行的。Secureiqlab Cloud Web应用程序防火墙和应用程序编程界面CyberRisk验证方法的测试3.0版3.0版(AMTSO测试ID:AMTSO-LS1-TP097)。
应用程序安全性AI的危险和承诺
强化SCA检测了27种编程语言中的815个独特的漏洞类别,并将其集成到所有主要集成开发环境(IDE)中,以进行实时分析,以及用于自动化的CI/CD工具在SDLC中。它可以在场所或混合动力车上灵活部署为SaaS。强化SCA现在还可以帮助组织扫描Genai应用程序,以解决ML模型(例如缓冲区溢出,注射缺陷和不安全的编码实践)特有的漏洞。该工具还可以检测来自AI/ML模型API的响应的隐式信任而产生的弱点。强化SCA支持消费OpenAi API,Amazon Web Services SageMaker或Langchain的Python项目。用户可以在LLM应用程序中识别并减轻非规范代码实践,以确保遵守行业标准和法规(例如GDPR,HIPAA和PCI DSS)。产品路线图包括计划在LLM的更多OWASP前十名中扩展覆盖范围。
第20届信息系统国际会议...
系统安全隐私OS,VM,容器,云宠物,匿名技术网络:SDN,NFV,SD-WAN去识别攻击IoT,RFID,SCADA系统监视和审查沟通协议的推理推理,相关性,相关性IDS IDS,IPS,IPS,IPS,SIEM,SIEM,SIEM,SIEM,XDR,XDR,BOCKCHAIN HOYERENICIT,ETTECTERTINS等级,botoctnentiment,botoctnentimention等,等级,botoctnentiment,botoctnentimention等, scalability Authentication, MFA Smart contracts, concurrency Authorization model/policy DIDs, NFTs, CBDCs, AML PKI & Trust management Security in AI/ML Information flow control Adversarial learning/inputs Application Security Prompt injection, RLHF strategies Vulnerabilities, DevSecOps Model stealing, poisoning API security, WAF, OWASP Emerging Tech/Standards Static/Binary analysis, Zero trust ChatGPT, LaMDA, Dall-E 2, etc Malware, Ransomware, APTs Security-by-design, SBOM Hardware Security Privacy-by-design, STIX/TAXII Remote attestation, PUFs S&P Use Cases Trojans, Backdoors, FPGA e-voting, e-gov, smart cities TEE, TRNG, 2FA, payment wallets COVID-19 contact tracing
软件供应链安全状态2024
开发人员秘密泄漏持续16打开您的AIS!18个私钥,Web服务凭据顶部泄漏的秘密列表18开发人员:请注意这些快捷方式!20 State of SSCS Report: Timeline 21 What Comes Next: The Post-Trust Supply Chain 22 Change Is Constant 22 Regulators Rush In 22 Mind the Guidance 23 Recap: Federal Guidance 24 The NIS2 Directive 24 National Cybersecurity Strategy 24 Secure by Design, Secure by Default 24 Cybersecurity Information Sheet on Defending CI/CD Environments 25 SEC Rules for Cybersecurity Risk Management, Strategy, Governance, and Incident Disclosure 25 Cybersecurity in Medical Devices 25 The Digital Operational Resilience Act (DORA) 25 Software Identification Ecosystem Option Analysis 25 Recommended Practices for SBOM Consumption 25 Recap: Industry Initiatives 26 Open Software Supply Chain Attack Reference (OSC&R) 26 Exploit Prediction Scoring System (EPSS), v.3.0 26 Supply Chain Levels for Software Artifacts, v.1.0 26 SPDX, 3.0 Release Candidate 26 CycloneDX, v.1.5 26 OWASP大型语言模型应用的前10名SSCS状态2024方法论27关于反向列表28
安全标准 – 保护监控 (SS-012)
为确保对新的和现有的管理局 ICT 系统进行适当的监控,以防出现可疑或潜在的入侵,必须在整个管理局 ICT 资产中实施本标准中定义的最低技术安全措施。为避免疑问,管理局 ICT 资产包括在云中配置的环境。但是,第 10 节中列出了一些例外情况。虽然安全监控对于识别和检测管理局 ICT 系统的威胁至关重要,但它依赖于适当、可靠的日志记录和设备管理实践才能完全有效。因此,本标准旨在涵盖安全日志管理的端到端流程。由于本标准仅提供最低措施,因此应根据需要解决的威胁和风险、数据的敏感性以及最新的安全增强功能酌情超越这些措施。[有关外部参考,请参阅附录 C]。安全措施源自行业最佳实践,即 NIST、CIS 和 OWASP 发布的指南(有关外部参考的完整列表,请参阅附录 C),并支持实施管理局或我们的第三方提供商选择的适当安全控制,例如 CIS 关键安全控制集。 [参见附录 C 外部参考资料] 我们已尽最大努力确保安全措施尽可能与供应商和技术无关;这是为了确保无论使用何种技术,标准都能有更大的适用性。安全措施可能以不同的方式实施,具体取决于技术选择和业务需求。
6G安全性中的大型语言模型
在教育和医疗保健等部门中,生成AI(Genai)和大语言模型(LLM)的快速整合已标志着技术的重大进步。但是,这种增长也导致了一个很大程度上没有探索的方面:它们的安全漏洞。作为包括离线模型和在线模型,各种工具,浏览器插件和第三方应用程序的生态系统,它不断扩大,它显然扩大了攻击面,从而升级了安全漏洞的潜力。在6G和景观之外的这些扩展为对手而言,为恶意目的操纵LLMS提供了新的途径。我们从对手的角度专注于LLM的安全性方面。我们旨在剖析其目标和方法论,对已知安全弱点进行深入分析。这将包括开发全面的威胁分类法,分类各种对手行为。此外,我们的研究还将集中于如何将LLMS纳入国防团队(也称为蓝色团队)的网络安全工作中。我们将探讨LLMS和区块链技术之间的潜在协同作用,以及这种组合如何导致下一代,完全自主的安全解决方案的发展。这种方法旨在在整个计算连续体中建立统一的网络安全策略,从而增强整体数字安全基础架构。我们的全面分析,从学术研究,概念研究和OWASP等著名的网络安全资源中借鉴,旨在为LLM利益相关者配备详细的,可行的路线图。本指南的重点是增强因对LLM应用程序威胁而告知的国防策略。此外,威胁分类法的发展,特别是针对生成AI和LLM的发展,将显着增强AI互连等新型框架的鲁棒性。通过对潜在的对抗行为进行分类,该分类法赋予了框架
使用图形神经网络在Web应用程序中检测漏洞检测的方法
由于开源软件包漏洞而引起的软件系统的复杂性日益增长,使软件漏洞检测成为关键的优先级。传统的脆弱性检测方法,包括静态,动态和混合方法,通常在高阳性速率和有限的效率方面挣扎。最近,基于图的神经网络(GNN)和变形金刚模型通过表示代码作为捕获语法和语义的图表来提高漏洞检测准确性。本文介绍了一个混合框架,结合了门控图神经网络(GGNN)和变压器编码器以利用多个图表表示:抽象语法树(AST),数据流程图(DFG),控制流程图(CFG)(CFG)和代码属性图(CPG)。GGNN提取图级特征,而变压器在图形编码数据中增强了顺序上下文理解。该模型使用这些功能来检测功能级代码段中的漏洞。评估我们在OWASP WebGoat数据集上的框架的评估证明了在五种主要漏洞类型中不同图形表示的有效性:命令注入,弱加密,路径遍历,SQL注入和跨站点脚本。实验结果表明,GGNN+CpG配置始终产生高度弱点的较高回忆,而GGNN+CFG在检测基于控制的基于控制的漏洞(例如命令注射)方面表现出色。这些发现突出了混合GNN-Transformer框架在增强网络安全应用程序的代码漏洞检测方面的潜力。GGNN和变压器模型的集成导致在所有漏洞类型中的准确性,精度,回忆和F1得分方面显着增强,每个图表表示对代码结构和脆弱性模式都有独特的见解。
![arxiv:2401.16951v1 [cond-mat.mtrl-sci] 2024年1月30日](/simg/a\ac976b75fbfc6fb0537e43bd89309e7daeef3e75.webp)
arxiv:2401.16951v1 [cond-mat.mtrl-sci] 2024年1月30日
摘要 - LARGE语言模型(LLM)被认为具有自动化安全任务的有希望的潜力,例如在安全操作中心(SOCS)中发现的任务。作为评估这种感知潜力的第一步,我们调查了LLM在软件pentesting中的使用,其中主要任务是自动识别源代码中的软件安全漏洞。我们假设基于LLM的AI代理可以随着时间的推移而改进,因为人类操作员与之互动,可以为特定的安全任务进行特定的安全任务。可以通过第一个步骤来通过工程提示根据产生的响应提示为LLM提供的第一个步骤,以包括相关的上下文和结构,以便模型提供更准确的结果。如果经过精心设计的提示在当前任务上产生更好的结果,也会为未来的未知任务产生更好的结果,则此类工程工作将变得可持续。为了审查这一假设,我们利用OWASP基准项目1.2,其中包含2,740个手工制作的源代码测试案例,其中包含各种类型的漏洞。我们将测试用例分为培训和测试数据,在该数据中,我们根据培训数据(仅)来设计提示,并在测试数据上评估最终系统。我们将AI代理在测试数据上的性能与没有及时工程的代理商的性能进行了比较。我们还将AI代理的结果与Sonarqube的结果进行了比较,Sonarqube是一种用于安全测试的静态代码分析器。结果表明,使用LLMS是一种可行的方法,用于构建用于填充软件的AI代理,可以通过重复使用和及时的工程来改进。我们使用不同的现成的LLMS(Google的Gemini-Pro)以及OpenAI的GPT-3.5-Turbo和GPT-4-Turbo(带有聊天完成和Assistant Apis)构建并测试了AI代理的多个版本。