Солдатов в Телеграм Telegram 帖子

Простые числа - основа криптографии. Именно потому что их бесконечно много и потому что их распределение, вроде бы, случайно, мы можем полагаться на схему RSA.

В RSA выбираются два простых числа p и q, но, поскольку эти числа очень большие, на практике выбираются случайные числа, прошедшие проверку на простоту. Тестов на простоту великое множество, когда-то давно в одной из курсовых работ я брал алгоритм, списанный вот из этой замечательной книжки - Ноден, Китте, Алгебраическая алгоритмика, за которой специально ездил в издательство "Мир" где-то в район ст. Москва-3 Ярославского направления. Важно запомнить, что на практике в схеме RSA используются "примерно" (прошедшие тесты) простые числа, что, безусловно, снижает криптостойкость.

Однако, изучение простых чисел не останавливается и до сих пор. И вот достаточно свежая публикация о разных способах вычисления (== понимания распределния, т.е. нарушение условия случайности) простых чисел. Да, ряд упомянутых методов помимо простых чисел выдают "примерно" простые (в статье их называют "грубые простые", rough primes), но это не супер-проблема, поскольку, во-первых, их процент не велик, а, во-вторых, на практике используются как раз те самые "примерно" простые, поэтому для целей практического криптоанализа подойдут.

Надо следить за темой. Кстати, Let's enrypt начали выдавать TLS-сертификаты на несколько дней. Понятно, что компрометация ключа, обычно, происходит не ввиду криптоанализа, но, тем не менее, тренд в сторону короткоживущих ключей - эффективное мероприятие.

#книги #crypto

Вопрос инвестиций и их сохранения непростой, так как на фондовый рынок влияет что угодно и предсказать это невозможно, особенно в РФ, особенно сейчас, когда последние 30 лет мы все свои стремления вкладывали в интеграцию в глобализм (наверно, разделение труда в мире, как и в обычной корпорации - это более эффективно, так как производственные возможности у разных стран разные), а последние несколько лет мы столь же стремительно разворачиваемся на 180 градусов. Представьте себе автобус, на полной скорости влетающий в препятствие и упруго отскакивающий в противоположном направлении, что при этом происходит с пассажирами?

Как уже отмечал, я никогда не рассматривал фондовый рынок, как инструмент заработка (зарабатывать нужно работая!), но как инструмент накопления и сохранения. Однако и в этом случае надо иметь какую-то стратегию. Если взять классические книжки по инвестированию, то все они топят за биржевые ПИФ-ы (а то и за ПИФ-ы, не торгуемые свободно на бирже), что можно понять, поскольку это существенно понижает порог входа: через ПИФ можно купить маленькую долю всей индустрии и не разбираться в показателях компании для принятия решения насколько перспективно вложиться в ее бумаги. Но история с фондами FinEx и то, что российский рынок не настолько многогранен, чтобы в нем было невозможно разобраться непрофессионалу, на мой взгляд, делает предложение о ПИФ-ах не очень подходящим для РФ. Инвестировать в зарубежные активы тоже выглядит крайне рискованно, если не сказать "безумием", даже в активы дружественных стран. Поэтому напишу свои мысли.

0. Надо понимать горизонт инвестирования. Это - самое сложное, так как "побеждают быстрые и решительные" и нам всем надо быть Agile.

1. За всю свою жизнь не видел дефляцию рубля на горизонте больше года, поэтому если мы планируем на срок более двух лет, то надо рассчитывать на обесценивание рубля. В этом случае инструменты у нас такие:
- акции российских "голубых фишек": Лукойл (LKOH), НЛМК (NLMK), Татнфеть (TATN), Сбербанк (SBER) и т.п.
- еврооблигации, номинированные в юанях (примеры: Роснефть CYN, Полюс CYN, Русал, и т.п.) или замещенные еврооблигации РФ или тех же "голубых фишек" (примеры: замещенные облигации Газпром Капитал, замещенные государственные еврооблигации РФ)

2. При планировании более чем на год акции не успеют показать достойную доходность (в сравнении с депозитом), хорошие облигации на срок до двух лет могут не найтись, а инфляция, судя по ставке ЦБ, в 2025 будет беспрецедентная (к тому же - это старый, проверенный инструмент, используемый в РФ для повышения доходов от экспорта, а доходы стране нужны...). Если к тому же точный срок, когда понадобятся деньги, не ясен, то здесь видится вариант с БПИФ Ликвидность. Юань (CNYM), как бы я не не любил ПИФ-ы.

3. При планировании на короткий срок, здесь, как правило, точно не ясно когда нужны деньги, поэтому ни короткие облигации, ни депозиты не подходят. Здесь можно воспользоваться БПИФ Ликвидность (LQDT). В свое время я его сравнивал с депозитом, доходность по нему сравнима с лучшими предложениями на рынке, но в отличие от депозита, средства можно снимать в любое время без потери процентов.

Касательно слухов о заморозке вкладов на депозитах, я такой сценарий не считаю правдоподобным (хотя, в истории это уже было, и, как говорится, у нас все возможно), но, в целом, никогда и не использовал депозиты, так как из-за своей жесткой фиксации сроков они не удобны. Если же хочется воспользоваться именно депозитом, то вот неплохой сервис от Мосбиржы - Финуслуги.

На 2025 много кто давал прогнозы, но с моим лично мнением более-менее совпадает небольшое исследование от Елены Разговоровой. В целом, описанный Еленой прогноз, на мой взгляд, подходит не только к 2025, а вообще к любому году, его можно взять за основную стратегию инвестирования в РФ.

Все что я тут написал - мое личное мнение, в инвестициях нет ничего "100%-ного", "абсолютно точного", каждый хозяин своим деньгам и должен думать сам.


#финансы

В небольшом иследовании я показал, что в большинстве случаев даже уже пара хантов свидетельствует об атаке, поэтому элементарное правило, что если на эндпоинте почти одновременно сработали два и более разных хантов, то на этой системе происходит подозрительная активность, которая с высокой вероятностью окажется инцидентом.

Во время анализа сработавших хантов меня не покидало ощущение, что подобное исследование можно сделать просто по номенклатуре событий. И вот, в работе A Sysmon Incremental Learning System for Ransomware Analysis and Detection (pdf) ребята провели такое исследование: по номенклатуре событий Sysmon-а обнаруживали ransomware.

На мой взгляд, постановка задачи в работе спорная, так как:
- по событиям EDR распознавать малвару с помощью машинного обучения выглядит перебором: есть масса более дешевых и эффективных способов, с более ранним обнаружением (что в случае с шифровальщиками принципиально)
- современные атаки это не всегда какие-то образцы, поэтому правильнее фокусироваться на обнаружение компьютера, а еще лучше - сети\подсети, где наблюдается совокупность каких-то событий
- читая работу сложилось впечатление, что даже если описанный подход будет работать на практике, обнаружение им шифровальщика будет слишком поздно (пока там соберется критическая масса событий, чтобы ML-классификатор мог положительно распознать), когда ущерб уже будет налицо, а надо бы пораньше

Однако, как я отметил в начале этой заметки, обнаруживание на базе номенклатуры событий выглядит перспективно, но с рядом изменений:
- нужна более широкая номенклатура событий, чем у Sysmon, что в нашем случае выполняется
- по результатам экспериментов, думаю, к статистике срабатывающих событий следует добавить и статистику значимых артефактов (значимых полей событий)
- рассматривать следует события не от образца, а с эндпоинта, а затем обобщить на подсети
- надо учитывать последовательность событий - тут как раз неявно адресуется идея с теми самыми цепочками событий, о которых все много говорят, но мало демонстрируют хорошо работающие практические реализации

Описанные три пункта я планирую исследовать последовательно, так как есть ощущение, что даже первый примитивный анализ разных событий с хоста уже будет результативен для ряда сценариев. Задача здесь будет ставиться как подсветить хосты, которые следует включить в анализ нашего VSL-аналитика в рамка процесса Periodic Retro Hunting (упоминал его здесь)

Кроме того, перспективным видится использование online incremental learning (модель обучается на постоянно поступающих новых данных), как альтернативы постоянному переобучению для снижения влияния дрейфов данных и концепции модели на ее качество.

В заключении отмечу, что здесь, как будто, сразу напрашивается обнаружение по аномалиям - были такие-то события, а стали такие-то - аномалия. Здесь я выборочно смотрел визуализации по телеметрии и получил супер-очевидный ожидаемый результат - фолса на легитимную истралляцию ПО, с которой я не придумал что сделать. Есть в планах вернуться к этому исследованию тоже, но после описанного выше.

#MDR #ml

Выходные - это время переосмысления, попыток взглянуть по-другому на понятные вещи, чтобы в новом году выйти на новый уровень. Идеи черпать следует конечно же из активностей по саморазвитию. И одной из таких запланированных задач - посмотреть что там новенького на Black Hat (несложно найти самостоятельно, но на всякий случай вот ссылочка). BH - неплохое отражение тенденций в индустрии, поэтому, если хочется идти в ногу, полезно отсматривать о чем там нынче рассказывают.

Первый доклад, который мне понравился - ну конечно же про метрики! Оценка эффективности и результативности - значимая часть моей работы, частично этим я делился здесь, а долкалд товарища Allyn Stott - отличное дополнение к рассказанному мною.

The Fault in Our Metrics: Rethinking How We Measure Detection & Response

Кто много себя посвятил разного рода оценкам, анализам и метрикам прекрасно знает проблему: если мы для принятия решений полагаемся на метрики, но используем неправильные метрики, то мы принимаем неправильные решения. Причем метрики могут быть неправильными по великому множеству причин - от будучи ошибочно выбранными, до дрейфа наших оценок во времени (аналогично, как в машобуче - дрейф данных и дрейф концепции). В докладе Allyn выделяет ключевые ошибки, приводящие к неправильным метрикам ❗️и предлагает альтернативные метрики❗️. Приведу эти ошибки, они заслуживают внимания:

Mistake #1 losing sight of the goal - теряем цель измерения, поэтому, когда придумываем метрику надо понимать в какую категорию она попадает (автор приводит эти категории для самопроверки - SAVER)
Mistake #2 Using quantities that lack controls - пытаемся измерять то, на что не можем влиять - это вообще классика, для этого придумали S.M.A.R.T.
Mistake #3 Thinking proxy metrics are bad - выбор красивых и зрелищных метрик, вместо полезных
Mistake #4 Not adjusting to the altitude - мы не объясняем бизнес-последствия от тех или иных значений показателей - N - это плохо? сильно плохо? или нормально? или, вообще, хорошо?
Mistake #5 Asking "why?" instead of "how?" - надо спрашивать себя что надо делать (how) - при такой постановке вопроса измеряемую проблему решить проще

Измерения не должны быть хаотичны, хаосом невозможно управлять, поэтому автор предлагает Treat Detection and Response Maturity Model (TDRMM), придуманной под впечатлением Threat hunting MM, ❗️и делится ею❗️. Она не гарантировано может быть взята в работу "как есть", но она точно - отличное начало для построения своей TDRMM.

Прикладываю во вложении слайды и TDRMM в виде Excel.

#mdr #vCISO #управление

Гибкая разработка

- единственный подход, чтобы сделать решение быстро, качественно, максимально попасть в ожидания заказчиков. Но я так думал не всегда, поскольку в институте, в конце 90-х, я проходил Водопад в качестве правильного, системного, подхода к разработке. Сейчас, уже с высоты понимания организации корпоративной разработки, все чаще ловлю себя на мысли, что понимание Waterfall-а абсолютно необходимо именно для осознания преимуществ Agile.

Литературы про agile - великое множество, не берусь судить какие хорошие, а какие не очень (заметил, что во многом в них одно и то же), поэтому в данной небольшой заметке приведу список книжек, которые я прочитал одними из первых, когда погружался в гибкую разработку.

Дженнифер Грин, Эндрю Стеллман. Постигая Agile. Ценности, принципы, методологии

Майк Кон. Agile: оценка и планирование проектов

Дэвид Дж. Андерсон. Канбан. Альтернативный путь в Agile

#dev #книги #управление

Всем эффективных и результативных выходных!

#саморазвитие

Дорогие друзья, коллеги, подписчики и единомышленники!

Поздравляю вас с наступающим Новым годом!

Уверен, этот год для каждого из нас был полон вызовов, новых открытий и достижений. Но важно и то, что он дал нам возможность стать ближе, общаться, обмениваться знаниями и опытом. Если вы читаете этот текст, значит, у нас есть что-то общее: интерес к управлению, информационным технологиям, спорту, искусству, стремление к постоянному развитию и желание сделать этот мир лучше и безопаснее.

Я верю, что наше общение на этом канале – это не просто поток информации, а Сообщество, возможность вести живой диалог, обогащающий нас всех. Нам есть чему друг у друга поучиться, и я искренне надеюсь, что в следующем году мы продолжим развивать и укреплять наше Сообщество единомышленников.

Мне важно ваше мнение – о моих идеях, взглядах, подходах, решениях. Давайте делиться своими историями успеха, обмениваться опытом и поддерживать друг друга. Вместе мы можем преодолеть любые трудности и вдохновить тех, кто только начинает или думает начать.

Пусть в новом году у нас будет еще больше поводов гордиться собой и друг другом. Чтобы, оглядываясь назад, мы видели не только трудности и потери, но и наши победы, нашу взаимную поддержку и достижения, и мудрость, извелеченную из ошибок и утрат.

В свою очередь, я приложу все усилия, чтобы делиться полезным и актуальным контентом. А ваши успехи и обратная связь станут для меня лучшей мотивацией продолжать с еще большим энтузиазмом.

С Новым годом! Пусть он принесет вам радость, уверенность в завтрашнем дне, крепкое здоровье, вдохновение для новых свершений и счастья всем, кто вам дорог!

Применение ИИ в информационной безопасности

Последнее время об этом говорят все, все рассуждают о различных сценариях использования, об эффективности тех или иных моделей и способах ее повышения. Об этом даже можно найти книжки (вот эта меня очень привлекла названием, но не понравилась контентом).

И вот (наконец-то) попалась настоящая хрестоматия использования ИИ в различных направлениях ИБ - Generative AI and Large Language Models for Cyber Security: All Insights You Need (прямая ссылка на PDF).

На 50 страницах статьи авторы:
- дают ссылки на более узкие публикации;
- рассматривают варианты применения ИИ для широкого спектра прикладных направлений: анализ защищенности, обнаружение атак, DFIR, разработка кода, управление уязвимостями и др.;
- анализируют эффективность 35 ведущих моделей, таких как GPT, BERT, LLaMA;
- касаются вопросов уязвимостей LLM, таких как инъекция промптов, враждебные инструкции на естественном языке, небезопасная обработка выходных данных;
- рассматривают проблемы, связанные с развертыванием LLM для целей ИБ, обеспечения ее надежности и возможные последствия от атак на нее;
- касаются новомодных продвинутых методологий типа Reinforcement Learning with Human Feedback (RLHF) и
Retrieval-Augmented Generation (RAG) для улучшения работы.

Если мы с вами озадачены:
- выбором модели для какой-либо задачи в ИБ;
- выбором сценариев применения ИИ в ИБ;
- необходимостью относительно быстро въехать в тему применения ИИ в кибербезопасности, - то эта работа, думаю, первое, с чем следует ознакомиться.

#ml #vCISO

Публичные роудмапы

Выбор решения ИТ или ИБ - это как выбрать бизнес партнера, также непростая задача.

Обычно мы берем самые последние версии в пилот и проводим функциональное сравнение, а на основе результата принимаем решение о том, насколько текущая версия нам подходит. Но как то, насколько подходит мне бизнес партнер покажет только время, так и решение хочется выбирать не только исходя из текущего функционала, но из будущего. Чем выше мой уровень зрелости, тем сложнее выбираемые мной решения, тем большая кастомизация мне требуется, тем больнее для меня будет переход к дургому вендору. Смена хорошего бизнес партнера тоже едва ли безболезненна. Поэтому мне, тем более, важно понимать будущий функционал выбранного мною сегодня решения. При выборе сложного решения я хочу сравнивать не только текущий фичасет, но и будущий, причем в привязке ко времени, ибо вполне возможно, что в отстающем на текущий момент решении, принципиально важные для меня фичи будут реализованы значительно быстрее, и поэтому ценность от использования этого решения для меня на продолжительном временном интервале будет выше, несмотря на то, что в моменте функционально данное решение проигрывает конкурентам (и при простом сравнении версий, я бы его не выбрал). Поэтому сравнивать нужно не только текущий функционал, но и роудмапы, и оценивать свою эффективность и результативность от использования решения на продолжительном временном интервале в будущем.

Кроме того, роудмап - это хоть какие-то обязательства вендора передо мной, что выбранное мною решение не будет в ближайшем будущем заморожено в развитии. Если я выбираю себе бизнес партнера, я хочу понимать его стратегию относительно важной для меня предметной области, что он по-прежнему будет отвечать на мои запросы, а не пропадет неожиданно без объяснения причины на непредсказуемый срок. Очень важны прозрачность и предсказуемость - это хоть как-то позволит мне планировать.

Если мы перенесемся теперь в эпоху импортозамещения, то, не секрет, что отечественные аналоги немножко отстают от лидеров рынка (примерно, как Веста от Camry). В этом случае нам еще более актуально брать в рассмотрение не только текущий реализованный функционал, но и будущий с пониманием сроков его доступности для меня, потребителя.

#управление #vCISO

Я почитываю Эвана. Нередки там очевидные и логичные вещи, или меня не касающееся, но часто бывают и интересные моменты. В общем, я исповедую подход, что лишних знаний не бывает, поэтому стараюсь читать многое.

Особенно я люблю смотреть напутствия студентам. Всегда полезно оглянуться назад и сравнить свою жизнь с тем, что рекомендуют уважаемые люди. Настоятельно рекомендую всем посмотреть Стива Джобса, но вот поспело и выступление Эвана в Финансовом Университете, и здесь пара моментов меня задели.

1. Работать в компании, которая часть вознаграждения выплачивает собственными ценными бумагами. Это действительно частая практика, и это выгодно работодателю - относительно бесплатно привязывать к себе ценных сотрудников (именно таким дают подобные опционы). Однако, с позиции работника, в соответствии с очевидным принципом диверсификации инвестиций, напротив, вкладываться в акции\облигации собственного работодателя выглядит сомнительно: я уже получит доход от компании-работодателя в виде зарплаты, поэтому разумнее "лишние" деньги вложить в другие компании, пусть они мне тоже приносят дивиденды\купоны. Здесь же работает очевидная логика по тяжести потери: положив все яйца в одну корзину, пережить сложности работодателя будет значительно больнее. Да, Эван, безусловно прав, что получив "за просто так" ценные бумаги мы автоматически становимся инвесторами, что лучше, чем не быть инвестором (это просто открывает для нас фондовые рынки как дополнительный инструмент сохранения капитала), но получать просто деньги и дальше самостоятельно решать что с ними делать - всяко лучше, чем бумаги непонятного стартапа (вполне возможно, еще и с кучей ограничений).

2. Инвестиции в криптовалюту. Про крипту у Эвана есть отличный базовый материал. Полностью согласен, и история это многократно подтверждала: когда из каждого утюга кричат о какой-то инвестиционной идее в какой-то актив, это значит, что из этого актива пора выходить. Сейчас все говорят про крипту... Криптография - часть моего университетского образования, и я знаю как технически работают криптовалюты, однако всегда к ним относился опасливо, а после серии заморозок активов в 2022 однозначно для себя решил, что инфраструктурных рисков там слишком много и пока они не будут решены нести туда деньги опасно. Приведу мои аргументы (они все спорные, их можно бесконечно оспаривать, у меня нет задачи дискутировать, я просто делюсь мнением):
- криптовалюта нематериальна - она не имеет физического эквивалента, как драгоценные металлы или деньги, это просто запись в каких-то компьютерах (в чьей они юрисдикции? кто и как ими управляет?).
- иногда мне кажется, что криптовалюта - это бэкап-план хозяев доллара, - новый проект мировых алхимиков, продолжающих следовать принципу, озвученному Родшильдом в начале 19 века: "Дайте мне право выпускать и контролировать деньги страны, и мне будет совершенно всё равно, кто издает законы". Невозможно выиграть у шулера в его игру на его условиях.
- для обеспечения ликвидности нужны криптобиржи - в чьей они юрисдикции? Мы точно всегда сможем поменять наши записи в криптокошельках на бумажные деньги, оставаясь территориально в РФ и гражданином РФ? Прициденты ограничений для россиян широко известны.
- я подожду полной легализации криптовалют в РФ и\или полностью локализованных в РФ криптовалют с локальными биржами, на которых не будет риска ограничений, все инфраструктурные риски будут сняты, в общем, я подожду пока государство хоть как-то мне прогарантирует справедливость правил игры

Ну а то, что надо постоянно учиться и развиваться - с этим я полностью согласен с Эваном, я тоже вижу перспективу в машобуче\ИИ, ИБ и ИТ!

Все что я тут написал - мое личное мнение, не претендую на экспертность в вопросах инвестирования (тем боле в крипту!), не является инвестиционной рекомендацией. В инвестициях нет ничего "100%-ного", "абсолютно точного", и об этом Эван тоже говорит, каждый хозяин своим деньгам и должен думать сам. Всегда есть баланс риска и доходности, и чем выше доходность мы хотим, тем больший риск мы вынуждены принимать.

#финансы #саморазвитие