-
Похожий контент
-
Автор KL FC Bot
Одно из важных понятий в информационной безопасности — это принцип минимальных привилегий. В этом посте мы разберемся, что это такое, как работает, чем следование этому принципу помогает бизнесу и как реализовать применение принципа минимальных привилегий на практике.
Как работает принцип минимальных привилегий
На русском языке принцип минимальных привилегий также известен как «принцип наименьших привилегий» или, реже, «принцип наименьших прав». А на английском — чаще всего как Principle of least privilege (PoLP) или же Principle of minimal privilege (PoMP), а иногда как Principle of least authority (PoLA).
Основная идея принципа минимальных привилегий состоит в том, что доступ к ресурсам в системе должен быть организован таким образом, чтобы любая сущность внутри этой системы имела доступ только к тем ресурсам, которые минимально необходимы для успешного выполнения рабочей цели этой сущности, — и ни к каким другим.
На практике речь может идти о разных системах и разных сущностях внутри системы. Но с точки зрения применения принципа минимальных привилегий для обеспечения безопасности бизнеса это можно переформулировать так: любой пользователь информационной инфраструктуры организации должен иметь право доступа к тем и только к тем данным, которые необходимы для выполнения его рабочих задач.
Если какому-то пользователю для решения его задач необходим доступ к той информации, к которой у него нет доступа, то его права можно повысить. Постоянно, если это предполагает его роль, или временно, если это необходимо для разового выполнения отдельного проекта или задачи (в последнем случае это называется «брекетинг привилегий»).
И наоборот, когда по тем или иным причинам пользователю более не требуется доступ к какой-то информации, то, согласно принципу минимальных привилегий, его права следует понизить.
В частности, из принципа минимальных привилегий следует, что рядовым пользователям не стоит выдавать права администратора или суперпользователя. Такие привилегии не нужны для выполнения непосредственных обязанностей обычных сотрудников, но в то же время существенно повышают риски.
Посмотреть статью полностью
-
Автор KL FC Bot
Стремительное развитие ИИ-систем и попытки их повсеместного внедрения вызывают и оптимизм, и опасения. Искусственный интеллект способен помочь человеку в самых разных областях деятельности, и индустрия кибербезопасности знает об этом не понаслышке. Например, мы в «Лаборатории Касперского» применяем машинное обучение уже почти 20 лет и точно знаем, что без ИИ-систем в принципе невозможно защититься от гигантского количества существующих киберугроз. За это время мы идентифицировали и широкий спектр проблем, которые могут порождаться использованием ИИ — от обучения на некорректных данных и злонамеренных атак на ИИ-системы до применения ИИ в неэтичных целях.
Различные площадки и международные организации уже разработали общие принципы этичного ИИ (например, вот рекомендации ЮНЕСКО), однако более конкретные руководства для индустрии кибербезопасности пока не стали общепринятыми.
Чтобы применять искусственный интеллект в кибербезопасности без негативных последствий, мы предлагаем индустрии принять Этические принципы ИИ (AI ethical principles), первую версию которых мы представляем на проходящем в эти дни в Киото саммите ООН Internet Governance Forum. Разумеется, принципы требуют обсуждения в индустриальном сообществе и уточнения, однако мы их придерживаемся уже сейчас. Что же это за принципы? Вот краткая версия.
Прозрачность и объяснимость
Пользователь имеет право знать, что обеспечивающая его безопасность компания использует ИИ-системы. Знать, в каких целях и каким образом эти системы принимают решения. Поэтому мы обязуемся разрабатывать системы ИИ, работа которых интерпретируема и объяснима в максимально возможном объеме, а также внедрять необходимые предосторожности и защитные меры, чтобы ИИ-системы генерировали корректные результаты. При необходимости с кодом, техническими и бизнес-процессами «Лаборатории Касперского» можно ознакомиться посетив один из наших центров прозрачности.
Посмотреть статью полностью
-
-
Автор wadim1904
На компьютерах с kaspersky endpoint security 10 при открытии сайта Госуслуги нет значка ГОСТ (картинка приложена). Как я понял из-за того, что касперский использует свой корневой центр для проверки сертификатов.
Как отключить эту функцию?
-
Автор Вова8002
Узнал о Farbar Recovery Scan Tool и сразу понял, что она поможет, только вот я не знаю, что удалять.
Сообщение от модератора Mark D. Pearlstone Тема перемещена из раздела "Интервью с экспертами «Лаборатории Касперского»"
-
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти