アカウント名:
パスワード:
良かった。これから攻撃すると予告しても碌に防御できないような省庁は無かったんだ。
検査の日程を教えてもらえる。(防げるとは言ってない。)
運用者にとって既知の脆弱性を調べる検査ならね。でもノーリスクで対処可能な既知の脆弱性ならノーガード戦法の企業以外は普通対処してる。何かとトレードオフの対策しか出来ない脆弱性(DDoSやブルートフォース等)の場合そもそも対策できる類のものではない物量攻撃に近いので、脆弱性検査として実施すべきかと言うと微妙なものも多い。
運用者にとって未知の脆弱性であれば、隠れて検査なぞされるよりホワイトボックステストや調査結果の通知義務コミコミで明確にやったほうが良い。
一方的な抜き打ち検査とか調査結果の良からぬ利用法は山程思い付きますがそうで無ければならない理由はほとんど思いつきません 。脆弱性検査を義務付けるとかまずそっちから手を付けるべき話。
> でもノーリスクで対処可能な既知の脆弱性ならノーガード戦法の企業以外は普通対処してる。
いや、スプラウトを擁護するつもりはさらさらないですが、さすがにこれは過大評価では。実際に無断ペネトレーションテストを行って「上場企業の5割に脆弱性がある」とスプラウトは主張しているわけですから。大抵、そういうのはノーガード戦法をうそぶいているわけではなく、単に無能なだけでしょう。
ただ、ペネトレーションテストの予告をしたことで実際にセキュリティ意識が向上するのなら、別にそれで構わんように思います。カンニング不可な学校のテストじゃないんだから。
> 単に無能なだけそうならば検査を予告したところで、当日は全サービス停止とかしない限り脆弱性を隠すことなんて出来ませんよ。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
UNIXはシンプルである。必要なのはそのシンプルさを理解する素質だけである -- Dennis Ritchie
しかしこれから攻撃するといったらテストにならんだろ (スコア:1)
Re:しかしこれから攻撃するといったらテストにならんだろ (スコア:1)
良かった。これから攻撃すると予告しても碌に防御できないような省庁は無かったんだ。
Re: (スコア:0)
検査の日程を教えてもらえる。
(防げるとは言ってない。)
Re: (スコア:0)
運用者にとって既知の脆弱性を調べる検査ならね。
でもノーリスクで対処可能な既知の脆弱性ならノーガード戦法の企業以外は普通対処してる。
何かとトレードオフの対策しか出来ない脆弱性(DDoSやブルートフォース等)の場合そもそも対策できる類のものではない物量攻撃に近いので、脆弱性検査として実施すべきかと言うと微妙なものも多い。
運用者にとって未知の脆弱性であれば、隠れて検査なぞされるよりホワイトボックステストや調査結果の通知義務コミコミで明確にやったほうが良い。
一方的な抜き打ち検査とか調査結果の良からぬ利用法は山程思い付きますがそうで無ければならない理由はほとんど思いつきません 。
脆弱性検査を義務付けるとかまずそっちから手を付けるべき話。
Re: (スコア:0)
> でもノーリスクで対処可能な既知の脆弱性ならノーガード戦法の企業以外は普通対処してる。
いや、スプラウトを擁護するつもりはさらさらないですが、さすがにこれは過大評価では。
実際に無断ペネトレーションテストを行って「上場企業の5割に脆弱性がある」とスプラウトは主張しているわけですから。
大抵、そういうのはノーガード戦法をうそぶいているわけではなく、単に無能なだけでしょう。
ただ、ペネトレーションテストの予告をしたことで実際にセキュリティ意識が向上するのなら、別にそれで構わんように思います。
カンニング不可な学校のテストじゃないんだから。
Re: (スコア:0)
> 単に無能なだけ
そうならば検査を予告したところで、当日は全サービス停止とかしない限り脆弱性を隠すことなんて出来ませんよ。