久々にWAFをチューニングしてみました。
Apacheの攻撃の防御&ログ解析にはもってこいの、いいツールです。(´∀`)
金曜日, 4月 28, 2017
火曜日, 4月 18, 2017
保護モードの解除には細心の注意を!
メールやインターネットからOfficeファイルを入手した場合、保護モードというものが表示されます。
ググってみると、保護モードをおせっかいだと無効化する手順まで記載されていますが、とんでもない!
保護モードにより、マクロなどが動かないほか、フィールドコード等の動きも制限され、そのほか攻撃が成立しない場合も多いのです。
もちろん100%攻撃を防げるわけではないのですが、攻撃が失敗する事例も報告されています。
ランサムウェアなどの感染源となるダウンローダやドロッパーの類は単純なOfficeのマクロを用いたものも少なくなく、そういった攻撃から身を守る上でもマクロの警告だけでなく、保護モードは重要です。
なんとなく、ホイホイと機械的に解除してしまいそうになりますが、知っている相手・有名なサイトだとしても、偽装や改ざんが珍しくない昨今、敢えて編集しなければならないもの以外、保護モードの解除は控えておいたほうが賢明といえます。
そういう意味で、公の機関が、インターネットに公開する提出資料のテンプレの一部に、未だにOffice文書を使っていることについては心配してしまいます。
改ざんを防止できる署名付きPDFなどにしてほしいですね。
ググってみると、保護モードをおせっかいだと無効化する手順まで記載されていますが、とんでもない!
保護モードにより、マクロなどが動かないほか、フィールドコード等の動きも制限され、そのほか攻撃が成立しない場合も多いのです。
もちろん100%攻撃を防げるわけではないのですが、攻撃が失敗する事例も報告されています。
ランサムウェアなどの感染源となるダウンローダやドロッパーの類は単純なOfficeのマクロを用いたものも少なくなく、そういった攻撃から身を守る上でもマクロの警告だけでなく、保護モードは重要です。
なんとなく、ホイホイと機械的に解除してしまいそうになりますが、知っている相手・有名なサイトだとしても、偽装や改ざんが珍しくない昨今、敢えて編集しなければならないもの以外、保護モードの解除は控えておいたほうが賢明といえます。
そういう意味で、公の機関が、インターネットに公開する提出資料のテンプレの一部に、未だにOffice文書を使っていることについては心配してしまいます。
改ざんを防止できる署名付きPDFなどにしてほしいですね。
火曜日, 4月 11, 2017
StartSSLで証明書を取得
Qiitaの記事を見て、StartSSLで本サーバの証明書を取得してみました。
ついに自前のオレオレ証明書から卒業です。(´∀`)
ま~もっとも、FirefoxとかからはNG食らっちゃうようですが(予定?)。
それでも、SSLテストでT判定食らわなくて済むようになりました。
投稿すらままならないので、元に戻しました。(´・ω・`)
ついに自前のオレオレ証明書から卒業です。(´∀`)
ま~もっとも、FirefoxとかからはNG食らっちゃうようですが(予定?)。
それでも、SSLテストでT判定食らわなくて済むようになりました。
2017/4/14追記:
と思ったら、早速StartSSLがrevokeされてしまったようです。(´・ω・`)投稿すらままならないので、元に戻しました。(´・ω・`)
日曜日, 4月 09, 2017
セキュリティ人材不足?
この業界にいると、タイトルのような記事やセミナー案内が飛び交うのをよく目にしてしまいます。
https://japan.zdnet.com/article/35099210/
でもね、経営者の皆さん、本当にセキュリティに金かけようと思ってます?
この株価と一部の大企業様だけ景気が良くて実経済はガタガタのご時世、一部を除いてみんな本業をカツカツでやられていて、正直利益に直結しないセキュリティ人材を抱えようなんて思ってないですよね?
そもそも、インフラ整備などの専門外の仕事は、普通の企業様ではアウトソースするわけですし、セキュリティだって、そうすりゃえ~やんかと。
この記事の元ネタは、セキュリティ教育ビジネスを大層やっておられる企業様なので、ちょっと穿った目で見ちゃう自分がいます。
そもそもセキュリティ人材って何よ?ということもあいまいです。
「社内の情報セキュリティの管理や社内システムのセキュリティ対策」とか言ってるけど、前者は情報の管理者(=社長とそこから権限分掌した人)のお仕事だし、後者はコンサルとベンダいれるでしょ、と。
もっとも、コンサル入れても、「アンタのとこは、結局どうしたいのよ?」と聞かれて黙ってしまうことも多いのではと思います。
世の中のベストプラクティスがあなたの会社に合うとは限らないというか、もっとセキュリティって泥臭い世界であって、自分の会社がどうあるべきかを考えて、それをどう投資と妥協(許容)しながら実現するかだと思うのです。
#妥協というとびっくりされるかもですが、現実「経営>>>>>セキュリティ」なのですから、当然妥協することもあります。
少なくとも、どうあるべきかを考えることのできる経営者こそ必要なのかと思います。
細かい技術や実現方法はコンサルが導いてくれますが、どうあるべきかを考えるのは社長にしかできないことですので。
そういう人を補佐する能力のある人を抱えるのは悪いことじゃないですが、難しいでしょうな~と思います。社長補佐なんて、そうそう雇えないですよね?
じゃあ、ベンダ側は?というと、こっちはこっちで不足気味です。
でも、セキュリティ技術者は、今の技術、例えばファイアウォールだとか不正侵入検知だとか資産管理(ユーザ監視システムって言ったほうが実態に合うかも)とか、そういうものを扱えるだけの人じゃダメなんです。
じゃあ、どんな人が必要か?ということを明確に答えてくれているのが、Yahoo! Japanの楠さん。
http://di-council.sakura.ne.jp/2016/kusunoki.pdf
これ読めばわかりますが、結局冒頭のニュース記事が求めている(?)ような、「細かい即物的なセキュリティ技術を知っている人が必要なんだっけ?」と再考させられます。
もっとも、楠さんが仰るような、こんなスーパーマンはそうそう居るもんじゃないですので、世の中的に不足気味なのもしょうがないよね?と思います。
https://japan.zdnet.com/article/35099210/
でもね、経営者の皆さん、本当にセキュリティに金かけようと思ってます?
この株価と一部の大企業様だけ景気が良くて実経済はガタガタのご時世、一部を除いてみんな本業をカツカツでやられていて、正直利益に直結しないセキュリティ人材を抱えようなんて思ってないですよね?
そもそも、インフラ整備などの専門外の仕事は、普通の企業様ではアウトソースするわけですし、セキュリティだって、そうすりゃえ~やんかと。
この記事の元ネタは、セキュリティ教育ビジネスを大層やっておられる企業様なので、ちょっと穿った目で見ちゃう自分がいます。
そもそもセキュリティ人材って何よ?ということもあいまいです。
「社内の情報セキュリティの管理や社内システムのセキュリティ対策」とか言ってるけど、前者は情報の管理者(=社長とそこから権限分掌した人)のお仕事だし、後者はコンサルとベンダいれるでしょ、と。
もっとも、コンサル入れても、「アンタのとこは、結局どうしたいのよ?」と聞かれて黙ってしまうことも多いのではと思います。
世の中のベストプラクティスがあなたの会社に合うとは限らないというか、もっとセキュリティって泥臭い世界であって、自分の会社がどうあるべきかを考えて、それをどう投資と妥協(許容)しながら実現するかだと思うのです。
#妥協というとびっくりされるかもですが、現実「経営>>>>>セキュリティ」なのですから、当然妥協することもあります。
少なくとも、どうあるべきかを考えることのできる経営者こそ必要なのかと思います。
細かい技術や実現方法はコンサルが導いてくれますが、どうあるべきかを考えるのは社長にしかできないことですので。
そういう人を補佐する能力のある人を抱えるのは悪いことじゃないですが、難しいでしょうな~と思います。社長補佐なんて、そうそう雇えないですよね?
じゃあ、ベンダ側は?というと、こっちはこっちで不足気味です。
でも、セキュリティ技術者は、今の技術、例えばファイアウォールだとか不正侵入検知だとか資産管理(ユーザ監視システムって言ったほうが実態に合うかも)とか、そういうものを扱えるだけの人じゃダメなんです。
じゃあ、どんな人が必要か?ということを明確に答えてくれているのが、Yahoo! Japanの楠さん。
http://di-council.sakura.ne.jp/2016/kusunoki.pdf
これ読めばわかりますが、結局冒頭のニュース記事が求めている(?)ような、「細かい即物的なセキュリティ技術を知っている人が必要なんだっけ?」と再考させられます。
もっとも、楠さんが仰るような、こんなスーパーマンはそうそう居るもんじゃないですので、世の中的に不足気味なのもしょうがないよね?と思います。
木曜日, 4月 06, 2017
近況
最近は寒さも和らぎ、日中は過ごしやすい日々が続いていますね。
個人的には、2017年度に入り公私ともにいろいろあって、慌ただしい日々を過ごしています。
皆様はいかがお過ごしでしょうか?>特にマスタオさん、元気?
セキュリティの世界では、先日再び発見されたApache Struts2の脆弱性が尾を引いており、被害は未だ続いているようです。
パッチ公開前の脆弱性を防ぐ手立てはほぼないので、対処が難しいところではありますが。(今回の脆弱性は3/9にパッチリリース済み)
あるいはWAFで想定入力以外すべてフィルタするような設計にすればとも思いますが、現実的ではないでしょうし...。
そもそも運用系サーバのパッチ適用は、動作確認も含め1日2日でできない難しさがあります。
防御も大事ですが、被害を想定し傷を浅くする方策(DBに記録する情報は暗号化する、被害に早く気付く監視、インシデントレスポンスの迅速化etc.etc...)が必要なのでしょうね。
個人的には、2017年度に入り公私ともにいろいろあって、慌ただしい日々を過ごしています。
皆様はいかがお過ごしでしょうか?>特にマスタオさん、元気?
セキュリティの世界では、先日再び発見されたApache Struts2の脆弱性が尾を引いており、被害は未だ続いているようです。
パッチ公開前の脆弱性を防ぐ手立てはほぼないので、対処が難しいところではありますが。(今回の脆弱性は3/9にパッチリリース済み)
あるいはWAFで想定入力以外すべてフィルタするような設計にすればとも思いますが、現実的ではないでしょうし...。
そもそも運用系サーバのパッチ適用は、動作確認も含め1日2日でできない難しさがあります。
防御も大事ですが、被害を想定し傷を浅くする方策(DBに記録する情報は暗号化する、被害に早く気付く監視、インシデントレスポンスの迅速化etc.etc...)が必要なのでしょうね。
登録:
コメント (Atom)