Отмодерировал сегодня секцию "Анализ защищённости и расследование инцидентов" на Код ИБ Итоги 2024. И выступил там же. 🙂 Осознал, что модерировать секцию гораздо сложнее, чем выступать в ней. Особенно, когда там не только общение по заготовленному списку вопросов, но и доклады. Когда просто участвуешь в секции с докладом, то выступил и сидишь-кайфуешь, изредка задавая вопросы и отвечая на них. А модератор до конца секции в напряжении. 😬 Нужно и дискуссию направлять, и аудитории давать высказаться, и следить за временем, чтобы его на все выступления хватило. ⌚️🤹 Большое спасибо организаторам, что заранее порезали время на слоты, а участникам за пунктуальность! 👍 По времени вписались идеально. 😇
🔹 В своём докладе я сделал экспресс-обзор текущего списка трендовых уязвимостей 2024 года. Скоро будет расширенная версия. 😉 🔹 Основной факт секции: 47% инцидентов ИБ связаны с необновлёнными активами. 🔹 Большой отклик получили темы про атаки через подрядчиков и инсайдеров. 🙂
В следующий четверг, 5 декабря, буду модерировать секцию "Анализ защищённости и расследование инцидентов" на КОД ИБ ИТОГИ 2024. По формату: 5 докладов по 15 минут + дискуссия. Поговорим об изменения ландшафта уязвимостей и методов, используемых злоумышленниками для проведения кибератак, а также о развитии технологий расследования, противодействия и профилактики инцидентов ИБ.
Вопросы на обсуждение:
🔹 Каким был год с точки зрения описания, детектирования, приоритизации и устранения уязвимостей? 🔹 Какие уязвимости стали трендовыми в 2024 году? 🔹 Какие типы атак были самыми популярными в 2024 году? 🔹 Как изменились цели и методы хакеров по сравнению с предыдущими годами? 🔹 Какие уязвимости оказались наиболее востребованными у злоумышленников? 🔹 Примеры реальных инцидентов 🔹 Как изменились методы расследования инцидентов? 🔹 Прогнозы на 2025 год
Регистрация на мероприятие с 9:30. Начало нашей секции в 12:00, приходите. 🙂
Новый выпуск "В тренде VM": 4 горячие уязвимости октября, скандал в The Linux Foundation, социальная "атака на жалобщика", "метод Форда" для мотивации IT-специалистов. Конкурс на лучший вопрос по теме VM-а продолжается. 😉🎁
Сентябрьский выпуск "В тренде VM": 7 трендовых уязвимостей, фальшивая рекапча, ливанские пейджеры, годовые премии IT-шников. Начиная с этого месяца, мы решили несколько расширить тематику и увеличить длительность роликов. Я рассказываю не только про трендовые уязвимости сентября, но и про примеры использования социальной инженерии, эксплуатацию уязвимостей реального мира и практики процесса Управления Уязвимостями. В конце объявляем конкурс вопросов по Управлению Уязвимостями с подарками. 🎁
RCE уязвимость Veeam B&R CVE-2024-40711 эксплуатируется в атаках. 24 сентября признаков эксплуатации вживую этой уязвимости ещё не было. А 10 октября Sophos X-Ops сообщили, что в течение месяца они наблюдали серию атак с эксплуатацией этой уязвимости, целью которых была установка программ-вымогателей Akira и Fog. 🤷♂️
Тезис моего исходного поста подтвердился. Отсутствие сообщений об эксплуатации уязвимостей в реальных атаках не повод их игнорировать.
"Это не значит, что злоумышленники эти уязвимости не эксплуатируют. Возможно, что таргетированные атаки с использованием этих уязвимостей просто не были пока надёжно зафиксированы."
🟥 Positive Technologies относит уязвимость к трендовым с 10 сентября.
Августовский выпуск "В тренде VM": 5 уязвимостей в Microsoft Windows и одна в WordPress. Мы отпочковались от новостного выпуска Seclab-а и стали выходить отдельным роликом. Ура-ура! 🥳😎 Если будет достаточно просмотров, то продолжим выходить так и дальше. Тут от вас зависит, перейдите, пожалуйста, по ссылке на видеоплатформу и поставьте лайк и/или оставьте комментарий. 🥺
📹 Ролик "В тренде VM" на YouTube и VK Видео 🗞 Пост на Хабре, фактически это несколько расширенный сценарий рубрики "В тренде VM" 🗒 Компактный дайджест с техническими деталями на официальном сайте PT
Рубрика "В Тренде VM" на английском. Вернулся к теме автоматизированного переозвучания роликов на другой язык. На примере июльского ролика "В Тренде VM".
Сейчас появилось довольно много сервисов, которые позволяют это делать. Топовые решения делают не просто аналог "синхронного перевода", а клонируют голос c сохранением оригинальных интонаций и даже изменяют мимику говорящего под нужный язык.
Какие недостатки у этих сервисов?
🔹 Как правило, они стоят денег. 🪙🙂 С учётом проблем с западными платёжными системами, заплатить этим сервисам, при всём желании, не так просто.
🔹 Они не предоставляют достаточный уровень контроля и пытаются всё делать автоматически. Это приводит к ошибкам и на уровне распознавания речи, и на уровне перевода. Думаю те, кто пользовались автоматическим переводом роликов в Яндекс Браузере с этим сталкивались. Задача слишком амбициозная. Если тематика ролика достаточно сложная и там используется какая-то специфическая лексика и термины, то полностью автоматизированные решения (пока?) не справляются. 🤷♂️
Поэтому, изучив альтернативы, я вернулся к своему старому проекту subtivo, которым последний раз занимался 3 года назад. Утилита позволяет генерировать аудиодорожку по файлу субтитров. Далее эту аудиодорожку можно добавить в видео, используя программу для монтажа или даже просто ffmpeg-ом.
Основная сложность состоит в том, что нужно каким-то образом получить качественный файл субтитров. Но, оказалось, что это не такая уж проблема, если видео записывалось по уже готовому тексту для суфлёра и нет задачи делать субтитр для каждой произнесенной фразы отдельно. Берём автоматически распознанные субтитры в YouTube Studio, находим временные метки, где начинается абзац и вставляем туда готовый текст абзаца из файла для суфлёра. И так далее для всех абзацев. Конечно, на экране такие субтитры выглядят монструозно и некрасиво, но делать их гораздо проще и быстрее. Для переозвучания роликов и таких субтитров достаточно.
Автоматический перевод субтитров в YouTube Studio также достаточно хорош и их удобно там редактировать. Готовые переведённые субтитры можно оттуда свободно скачивать. 👍
Следующий этап - это подключить Text-To-Speech движок к subtivo. По сути нужна утилита (скрипт), которая создаст wav-файл по тексту с заданной скоростью произношения. Если такая утилита есть, то интегрировать её в subtivo тривиально.
TTS движок, который я использовал, работает не идеально. Иногда прорываются какие-то посторонние шумы. Это можно решать отслушиванием и перегенерацией звуковых файлов для отдельных фрагментов, но в данном случае я этим не заморачивался.
В общем, оказалось не так уж и напряжно делать такое переозвучание роликов. Буду практиковать. 😉
Это мой личный блог. Всё, что я пишу здесь - моё личное мнение, которое никак не связано с моим работодателем. Все названия продуктов, логотипы и бренды являются собственностью их владельцев. Все названия компаний, продуктов и услуг, упоминаемые здесь, упоминаются только для идентификации. Упоминание этих названий, логотипов и брендов не подразумевает их одобрения (endorsement). Вы можете свободно использовать материалы этого сайта, но было бы неплохо, если бы вы разместили ссылку на https://avleonov.ru и отправили мне сообщение об этом на me@avleonov.com или связались со мной любым другим способом.
