XiaoMi-AI文件搜索系统
World File Search System漏洞
关于管理人工智能/机器学习系统中的漏洞
本文通过一个思想实验探讨了当前的漏洞管理范式如何适应包括机器学习系统:如果机器学习 (ML) 中的缺陷被分配了通用漏洞和暴露 (CVE) 标识符 (CVE-ID),会怎么样?我们同时考虑 ML 算法和模型对象。假设场景围绕探索漏洞管理六个领域的变化而构建:发现、报告接收、分析、协调、披露和响应。虽然算法缺陷在学术研究界众所周知,但这个研究界与部署和管理使用 ML 的系统的运营界之间似乎没有明确的沟通渠道。思想实验确定了 CVE-ID 可以在这两个界之间建立一些有用的沟通渠道的一些方法。特别是,它将开始向研究界介绍操作安全概念,这似乎是现有努力留下的一个空白。
联邦政府网络安全事件和漏洞响应手册
本文档介绍了两个剧本:一个用于事件响应,一个用于漏洞响应。这些剧本为 FCEB 机构提供了一套标准程序,用于识别、协调、补救、恢复和跟踪影响 FCEB 系统、数据和网络的事件和漏洞的成功缓解措施。此外,这些剧本的未来迭代可能对 FCEB 以外的组织有用,以标准化事件响应实践。事实证明,与所有联邦政府组织合作是解决漏洞和事件的有效模式。基于从以前的事件中吸取的教训并结合行业最佳实践,CISA 希望这些剧本能够通过标准化共享实践来发展联邦政府的网络安全响应实践,这些共享实践将最优秀的人才和流程聚集在一起,推动协调行动。
飞机通信系统 - 拓扑、协议和漏洞
私人投资推动了新型航空电子设备 (AS) 的开发,航空系统正面临激烈的竞争。这些新型 AS 要求下一代通信系统具有更快、更大的带宽。传统的军用 (MIL) 标准 1553 通信系统(例如 1Mbps)已无法满足激增的带宽需求。新型通信系统需要以系统架构为背景进行设计,以便与信息技术 (IT) 控制的地面网络、军事和商业有效载荷进行简单的集成。为了促进与通信架构的无缝集成,当前系统高度依赖于基于以太网的 IEEE 802.3 标准。使用标准协议可以降低成本并缩短访问时间。但是,它引入了开发人员正在积极解决的其他几个新问题。这些问题包括冗余度损失、可靠性降低和网络安全漏洞。 IEEE 802.3 以太网引入的网络安全漏洞是军事防御计划和其他航空公司最关心的问题之一。这些新通信协议的影响被量化并呈现为成本、冗余、拓扑和漏洞。这篇评论文章介绍了四种可以取代传统系统的通信协议。这些协议是
关注自主生物技术的监管漏洞
本次研讨会直面的现实是,基因技术(不仅仅是基因测试,还包括改变植物、动物和人类基因组的工具)正在迅速成为消费者技术,实际上已经是消费者技术。人们可以以非中介形式试验和应用这些技术,可能无需国家研究资助机构、专业科学家、医生、遗传咨询师、监管机构和传统医疗产品制造商的参与。20 世纪的医疗产品和实践法规框架赋予了各方在促进合乎道德、安全和有效的生物医学研究和医疗保健方面的作用。1 自助生物技术 (DIYbio),包括直接面向消费者 (DTC) 和自助 (DIY) 基因组技术,有可能破坏这些角色。这引发了人们对如何保护消费者安全、研究参与者的安全以及环境和公共安全的担忧,因为这些技术被部署在不受控制的开放释放应用中。2
AI/ML 系统的漏洞披露和管理
人工智能系统,尤其是那些依赖于机器学习 (ML) 的系统,可能容易受到故意攻击,包括逃避、数据中毒、模型复制以及利用传统软件缺陷来欺骗、操纵、危害和使其失效。然而,太多采用 AI/ML 系统的组织却忽视了它们的漏洞。将漏洞披露和管理的网络安全政策应用于 AI/ML 可以提高人们对现实环境中技术漏洞的认识,并为管理与 AI/ML 系统相关的网络安全风险提供策略。改善网络安全的联邦政策和计划应明确解决基于 AI 的系统的独特漏洞,正在制定的 AI 治理政策和结构应明确包括网络安全组件。
基于攻击等级的QKD实验漏洞分析
受到经典加密硬件的方法的启发,我们考虑在QKD安全评估的背景下使用攻击等级。为了说明这种方法的相关性,我们对两种不同的攻击策略进行了针对饱和攻击的CV-QKD的实验漏洞评估。第一个策略依赖于通过执行大型连贯的位移来诱导检测器饱和度。该策略在实验上具有挑战性,因此转化为高攻击评级。我们还提出并在实验上展示了第二种攻击策略,该策略仅包括用外部激光饱和检测器。我们获得的低评分表明,这种攻击构成了实用CV-QKD系统的质威胁。这些结果强调了将理论安全考虑与基于攻击评级相结合的漏洞分析的好处,以指导实用QKD系统的设计和工程达到最高可能的安全标准。
使用机器学习的Web漏洞扫描仪
信息技术的进步经常迫使用户就安全性和隐私做出困难而重要的决定。在面对隐私和信息安全之间的权衡,决策的障碍以及克服这些障碍的策略时,一项不断扩大的研究研究了人们的决定。在本文中给出了有关隐私和安全决策的文献的跨学科评估。它专注于通过通过家长式干预措施轻轻地指导用户做出更好决策来支持人们的隐私和安全决定的研究。本文概述了主要的道德,设计和研究挑战,以及这些干预措施及其缺点的可能优势。3)启动和警告不能有效防止社会工程攻击。
漏洞管理的生成式人工智能:蓝图
摘要:网络安全威胁的复杂性和规模每年都在不断演变。如今,对更有效的漏洞管理的需求比以往任何时候都更加重要。传统的漏洞管理方法在耗时的研究环节严重依赖人力资源。依赖手动流程和多个人工接触点会影响团队的扩展能力和速度。本文探讨了将生成式人工智能 (AI),尤其是大型语言模型 (LLM) 集成到漏洞管理生命周期的设计蓝图。通过利用生成式人工智能的先进功能,组织可以提高漏洞管理各个阶段的效率,从情报收集、风险分析、优先级排序到修复。具体而言,本文提供了将生成式人工智能应用于漏洞情报、研究和修复的全面蓝图。本文阐述了每个领域的逻辑设计,并讨论了设计、关键组件和功能。本文还探讨了采用基于生成式人工智能的解决方案所面临的挑战,并提供了克服这些挑战的指导。最后,本文概述了未来的研究方向,旨在克服挑战并进一步增强人工智能在漏洞管理中的作用。
跨学科团队中漏洞抽象的力量
允许免费复制本作品的全部或部分以供个人或课堂使用,但不得出于营利或商业目的而复制或分发,且副本首页必须注明此声明和完整引文。必须尊重 ACM 以外的人拥有的本作品组成部分的版权。允许摘要并注明出处。若要复制、重新发布、发布到服务器或重新分发到列表,则需要事先获得特定许可和/或支付费用。请向 permissions@acm.org 申请许可。
2021 年最常被利用的漏洞 - Defense.gov
美国组织:所有组织均应将事件和异常活动报告给 CISA 24/7 运营中心(邮箱:report@cisa.gov 或电话:(888) 282-0870)和/或通过当地 FBI 外地办事处或 FBI 24/7 CyWatch(邮箱:(855) 292-3937 或 CyWatch@fbi.gov)报告给 FBI。请尽可能提供有关事件的以下信息:事件的日期、时间和地点;活动类型;受影响人数;活动所用的设备类型;提交公司或组织的名称;以及指定联系人。对于 NSA 客户要求或一般网络安全咨询,请联系 Cybersecurity_Requests@nsa.gov。澳大利亚组织:访问 cyber.gov.au 或致电 1300 292 371(1300 CYBER 1)报告网络安全事件并获取警报和建议。加拿大组织:通过电子邮件向 CCCS 报告事件,邮箱地址为 contact@cyber.gc.ca。新西兰组织:向 incidents@ncsc.govt.nz 报告网络安全事件,或致电 04 498 7654。英国组织:报告重大网络安全事件:ncsc.gov.uk/report-an-incident(24 小时监控)或如需紧急援助,请拨打 03000 200 973。