アーカイブ

2020年10月

カテゴリ:
みっつさんが宣伝していたので参加してみた。
パーソルキャリアさん主催のテックストリート、セキュリティイベント回をサマリー要約。

クラウドの伝道師が語るセキュリティ〜AWSで実現するセキュリティと導入事例〜

※資料が公開されたらリンク貼ります

カテゴリ:
AWSをご利用しているところのエンジニアは皆歓喜するだろう、
ElasticSearchをグラフィカル表示するためのOSS、だそうです。

該当GitHub


詳しい説明


きちんとコードを読んでいないので断言はできませんが、
おそらくAWSじゃなくても流用できるのではと思います。

カテゴリ:
MSの8月のセキュリティアップデートで対応されたzerologinがなぜ今騒がれているか。



理由はとても簡単で、
攻撃ツールに組み込まれたことが確認されたから
です。

zerologin は
Active Directoryサーバ(ADサーバ)のNetlogonプロトコルに関する脆弱性と、
なかなかに影響範囲が大きいため、すぐさま対応できるものではありません。
(CVSS3.xで10だったり2.xでも9.3とか「対応が難しい」とされている通り)

すでに日本企業でも被害報告があるのだとか。

カテゴリ:
コンテナ環境をセキュアに運用する方法(宮崎さん)



コンテナだからセキュアなのではなく、
コンテナは
・簡単に破棄できる
・簡単に作れる
ことを運用上コストが低い=セキュアといっているのであって(手間が減る=事故しにくい/事故に対応しやすい)、
手放しでマルウェアに感染してもいいという意味のセキュアではありません。

きちんとコンテナ環境そのものと
上に乗っているものは設定しないといけませんよ、
という話。
 
「コンテナだしセキュアだから対策しなくていい」は
「アジャイルだから設計書書きません」と同じ空気感だと個人的には思っています。

そのような方たちは
一度でも事故って死なないから理解ない、と思われるかも知れませんが、
死んでても気づけない、の方が現実です。

俺のほうが知ってるから/この方向でやっているからできているんだ、などなど、
・事故が起きていても気づけない(感情論を一緒にしていて事象を事象として認知できない)
・忠告したエンジニアが無知(悪い/無能)という話し方をする
がテンプレな物言いかなと。

まず、死んでる事を自覚しない+話聞かない^^;
※文書で書いても参考URLを渡しても俺のほうが正しいまたは一切読みません

そういう人にどうアプローチするかを考えられない方は、
セキュリティの道に進まない方がいいと個人的には思っています。

カテゴリ:
久しぶりに質問箱にログインして回答したら連携させてたツイッターにスパム攻撃を喰らいました。
本当に申し訳ございません。

以下の対応を行いました

・該当スパムツイートの削除
・質問箱のtwitter連携の解除
・twitterパスワードの変更

以降、質問箱に質問いただいても回答できませんので、
あしからずご了承ください。
※参照用にしばらくリンクはそのままにしておきます(折を見て削除します)

質問はコメント欄をご活用ください。

このページのトップヘ

見出し画像
×