アカウント名:
パスワード:
計画では大学などで情報セキュリティーなどを研究する専門家でチームを編成。
>各社の参加を募り、数週間程度の演習期間内に抜き打ちで、各社のシステムへ侵入したり、アクセスを集中させたりする。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
人生unstable -- あるハッカー
このタレコミ (スコア:3, 参考になる)
これじゃ、総務省が適当に選んだ企業に無断で検証するみたいじゃないですか。
実際に(#752340)(#752348) のようなコメントもついてるし。
Re:このタレコミ (スコア:2, すばらしい洞察)
サーバ管理者は
その数週間は
24時間監視端末とにらめっこですね?
通常業務と同じスタイルでやらなければ
(体制とか力の入れ方とか勤務時間とか)
あまり有効じゃないような気が…
Re:このタレコミ (スコア:1)
あとから「演習でした」と知らされてブチ切れるサーバ管理者が・・・。
Re:このタレコミ (スコア:1)
で、業務に戻った所でバッチの結果を見て、「新しい」スキャニングツールで監視を再開すればいいのではないかと…
リアルタイムでの対応というのはかなり限定されたシチュエーションになると思う
…昔のようにシェルを乗っ取ったクラッカーを封じ込めて追い込むとかそういう真似するなら別ですけど、最近のクラッカーはゾンビ化した第三者のコンピュータからロボットでサーバの脆弱性を突いて乗っ取ろうとしますからね。
Re:このタレコミ (スコア:1, 参考になる)
今はパッチ更新が当たり前になっていてやりにくいOSやその上で
立ち上がってるdaemonそのものを乗っ取るより、そのdaemon上で
動いているアプリがターゲットになってる事が多いです。
XSSとかSQLインジェクションなんかはこのタイプです。
これはアプリ毎に攻略方法が違うのでツールでどうにかなるという
話ではないですね。
OSやdaemon開発者には世界中からセキュリティ報告が上がりますが
その上で動いているアプリの脆弱性なんかは誰も知りませんし
納期優先でセキュアなコーディングを目指して社員を教育してる
会社なんて殆ど無いでしょう。
CGIなんかで汚染除去もせずに外部からパラメータを拾ってきて
シェルコマンドを直接たたいてるサービスも世の中にはまだまだ
沢山ありそうで怖い。
Re:このタレコミ (スコア:0)
>会社なんて殆ど無いでしょう。
さすがにこれだけは反論したいな
数社経験してきているけど、どの会社でもその時点で知り得る限りの
対応は取ろうとしている
納期に間
Re:このタレコミ (スコア:0)
対効果としてはイマイチのような。
Re:このタレコミ (スコア:1, おもしろおかしい)
Re:このタレコミ (スコア:0)
その時点でダメダメなのでは...
# でも実態をよく知らないのでAC
Re:このタレコミ (スコア:1)
アラートを関係者の携帯にメールするとかじゃないかなぁ
#同じくよく知らなくて憶測だけどID
LAN内LAN稼働中
別にネットに限らないし (スコア:0)
俺が働いていたとこに限っていうと。
Re:別にネットに限らないし (スコア:0)
対地震の場合は、そもそも誰でも訓練だということがわかってしまうから事前に通知しようがしまいが変わらないし。
今回の場合は企業の裁量次第でしょう。
サービ
Re:別にネットに限らないし (スコア:0)
普段廊下や非常口に山積みの荷物を、その日だけなんとか片付けちゃうの。
抜き打ちで検査されるその日だけ。
Re:別にネットに限らないし (スコア:0)
セキュリティ担当者が副社長派の時とか。