Datadogの調査によると、パブリッククラウドで使用している認証情報を1年以上更新していないユーザーが相当数いると発表。
確かに言われてみると、AWSとかIAM使い出したはいいけど、パスワードいつ変えたっけ?
アクセスキーは90日更新とか設定できますけど。
クラウド使う前にパスワードポリシーとかは最低限決めておいた方が良さそうですね。
セキュリティ資格むけはこちら↓
security-qualification.com
Datadogの調査によると、パブリッククラウドで使用している認証情報を1年以上更新していないユーザーが相当数いると発表。
確かに言われてみると、AWSとかIAM使い出したはいいけど、パスワードいつ変えたっけ?
アクセスキーは90日更新とか設定できますけど。
クラウド使う前にパスワードポリシーとかは最低限決めておいた方が良さそうですね。
セキュリティ資格むけはこちら↓
security-qualification.com
最近のニュースで気になったのがこちら。
どうやら、イヤフォンで聞いている内容を盗聴できるというもの。
むむむっと思ったが、これは有線のみが対象とのこと。
でも、最近は1周して無線よりも有線派の人が増えてきてるので侮れない。
イヤフォンというと、音楽だけじゃなくて通話もできるから会話も盗聴されてしまうのは怖い。
セキュリティ資格むけはこちら↓
security-qualification.com
今年は、山の日前にセキュリティパッチが公開されるようで、
お盆休みとかぶる企業は多いのではないでしょうか。
一番危ないのは、メールかなぁ。
「承認して下さい」とか、「確認してください」等のメールは、
未だに開く方も多い気がする。
皆様もお気をつけて下され☆
しまった、土曜日にやっていたなんて!
情報収集は基本中の基本ですが、すっかり抜けてました(涙)
実は、ハニーポットを構築して運用していたんですが、GW中に。
その後、忙しくなったのを言い訳に放置していたんですが、
どうやら不正アクセスのログで容量がパンパンになったようで、
運用をしばし止めてました。
ハニーポッター技術交流会の記事を見て、ハニーポット熱もだいぶあがってきたので、
本腰入れて、運用再開しようと思います。
以前のやつはAWS上のCent OSにcowireを入れたんですが、
今回は違うやつ入れてみようと思います。
今週中には構築できるかな。
というか、AWS無料枠でがんばってたんですが、流石にお金払わないとダメかも。。
苦節2年、やっと情報処理安全確保支援士に合格したわけですが、
こちらを攻略する上でのポイントを考えてみようと思います。
情報処理安全確保支援士はいってみれば、セキュリティスペシャリスト試験の名前が変わって色々お金がかかるようになったのですが、試験内容はさほど変わらないというのが、当初の予想でした。
なので、「セキュリティスペシャリストの過去問を解く」というのが、
勉強法の主軸となっていたわけで、大半の方が過去問解きまくっていたと思います。
確かに、範囲がそこまで変わるわけではないので、この方法でいけると思っていたのですが、記念すべき第1回目の試験は午後Ⅱで4点足らず、2回目に関しては、午後Ⅰさえ合格点を取れずと、結果がついてきませんでした。
そこで3回目となる前回に関しては、メンタルを最優先するあまり大して勉強をしなかったのですが、1回目、2回目で感じた違和感、少しおかしさを感じていた部分を埋めることに注力しました。
1回目、2回目を受験してみて、感じたことは、過去問解いていたのに、全然解答が思い浮かばないということ。
これは、単に知識不足では?と、思うのですが、過去問を解き、間違った部分、わからなかった用語を勉強し、大まかな知識に関しては網羅できていたと思います。
では、なぜ解答が思い浮かばないのか。それは出題内容の方向性が変わっているからです。
あくまで、個人の見解ですが、旧セキュリティスペシャリストはいわば、脅威や脆弱性といったものから企業や個人の情報を守るということを前提にしている内容だったかと思います。なので、問題も「こういう攻撃があった場合はどういった方法で情報を守るか」という趣旨の問題が多かったのです。
しかし、情報処理安全確保支援士試験の場合、脅威や脆弱性があるとどういった事が起こるのか。つまり、「こういう攻撃を行うと、企業のネットワークにどういった被害が出るか」と守る側ではなく、攻撃側の内容が問われているものになっていることを自分なりに発見したのです。
もちろん旧セキュリティスペシャリストの過去問にも攻撃内容を問う問題もありましたが、さほど多くなかったように感じます。
これでは、過去問を解きまくってもなかなか合格点にたどり着くのは難しいかと思います。
そこで、試験攻略のために行っていたのは、攻撃です(笑)
実際にサイバー攻撃を行うと犯罪ですので、仮想環境にやられサーバを立ち上げ、
Kali linuxでネットワークとwebの攻撃を行いました。
また、フォレンジックスも実際に行い、PCで削除したデータを取り出したり、メモリのダンプから情報を収集してみたりと、攻撃側の方法を学びました。
その成果かどうかはわかりませんが、前回の試験では問題の意図している答えにたどり着けることが出来たと思います。
答えのまとめ方や選択ミスも多々あったので、ギリギリの得点となりましたが、一応成果はあったのかなと。
勉強していてもなかなか合格点に届かない方は防御ではなく攻撃を学んでみるのも一つの攻略とまとめさせていただきます。