忙しい人のためのセキュリティ・インテリジェンス - 2021/03/08
#2021032nd #202103 #忙しい人のためのセキュリティ・インテリジェンス_バックナンバー
今週のおすすめ/一言所管
情報ではなく経験をアウトプットすること を読んで、刺さった。刺さったというより自省だが...
アウトプットをしましょう、というのはよく言われる話だが、正直、情報まとめ(個人的には「やってみた」系も情報まとめにカテゴライズしてる)というのは、簡単にできるが、自信をもって血肉にしにくい。このように情報をまとめることも大事だけど、やはり手を動かして得られること以上に糧になるものはないな、と。情報をまとめることは好きだし、役に立っているが、最近アウトプットが少ないようにも感じる。もともとは、監訳したO'Reilly本やその後にきたいくつもの講演で、自分の遺産を食いつぶしてる感があったのでリソース比重を増やしたので、また適正化するタイミングなようだ。
また、アウトプットにしても、週報をclubhouseでやっていたが、ぼちぼちpodcastをリリースせねば...
Microsoft #microsoft #ms
AzureAD #idp
FIDO2キーの管理画面を追加
ユーザーごとに登録されたFIDO2 security keyの詳細が確認可能に
Azure Active Directory External Identities is Generally Available
AzureADのExtenral IdentitiesがGA
End users can now report “This wasn’t me” for unusual sign-in activity
エンドユーザー自信が通常でないサインイン行動を報告できるようになった
Widnows10/Intune/Endpoint
Defender #xdr #edr
Sentinel #siem
Compliance
他
AWS #aws
AWSが「政府情報システムのためのセキュリティ評価制度(ISMAP)」に登録されました。
Google
トラスト/ガバナンス #trust
“タイムスタンプ” 国の認定制度導入へ 書類の改ざん防止
総務省が4月から新たな認定制度を導入する
ブロックチェーン #blockchain
脅威/脆弱性 #vulnerability #threat #security
Googleドキュメントがフィッシングサイトとして利用される
無料で一般的に信用されている他社ドメインと言う意味では、firebase/cloudfront等も多いそうな
Goで書かれたマルウェアが増加傾向--APTと犯罪グループの両方が利用
すぐRustのそれにぬかされそうな...
クロスプラットフォームの利点をRustが超えられるかどうか?
Go製マルウェアの紹介があって面白い
金融 #financial
東証、信頼回復なるか 横山CIOの独白
3兆円規模の売買機会が失われた
never stopを合言葉にしてきたのに、結局障害がおきてしまった
東証一曲集中していることについても触れている
米NASDAQとかは自社で証券取引所の標準的な機能をシステムやサービスをとして、外部の金融機関に提供していたりする
行政/会社/団体
領収書、電子化進む 税制改正で原本の即時廃棄可能に
税制改訂により、電子帳簿保存の要件が大幅緩和
タイムスタンプの付与期限が3d -> 2m
スキャン後の原本廃棄 <- うれC
事務処理人数1理でおk
書類への自署が不要に
一方、ペナルティも増しましになる
ツール/サービス/OSS #tools
軽量Dockerイメージに安易にAlpineを使うのはやめたほうがいいという話
わかる
コンテナイメージ作る順は、debian:<stable>-slim, distroless:base-debian10, scratch
https://twitter.com/ymotongpoo/status/1368822466794065926
AWS ECRのクロスアカウントレプリケーションを設定してみた
ecrがだぶってたりするのはなんかいまいちだよね...ecrからecrにレプリするのは1つの手
context.Context を掴みっぱなしにしてはいけない
ひさしくGo書いてないけど、これはちゃんと覚えてます
Auth0認証アーキテクト責任者がIDaaSの今を語る
そこで鍵となってくるのが、Auth0が掲げている“開発者に優しい”という理念
おお、そんな理念が。確かにAUth0はめちゃくちゃ使いやすいし、APIも素直!!
Authentication token format updates
Securityのため、githubの認証トークンのフォーマットをかえるとのこと
文字セットが複雑になり、トークン種別を表すprefixができる
既存のものが無効になるか書いてないな...
Krypton
Kryptonというスマホを使ったFIDO(U2F)なアプリがあるのだが、最終更新日が17ヶ月前で、もうだめかも
イベント/勉強会/発表資料
私のOSCP受験記
本職じゃない人が受講したのすごい
が、休日は完全に潰れると思ったほうが良さそう
ドメイン知識は、容易に失われる
コードがドメイン知識を表現するように書かれるべき、という話と、全体を疎結合にして拡張性や保守性を担保しましょう、という話、完全には両立はしないと思っていて、だってビジネス側の人はそんな拡張性とか保守性の話していなくね?
これ
OAuth 2.1の差分を見守る会 : draft 00-01
ドラフト00 -> 01にて大きな変更はなかった模様
情報ではなく経験をアウトプットすること
経験をベースにしたアウトプットは大事だよ、という話
情報をまとめただけのこれは...
最近、ちょっと時間かけ過ぎと思うようになってきた
インシデント #incident
SMBC信託銀行と日興証券で不正アクセス、セールスフォース製品設定不備で
2017年7月24日から2020年7月18日までに口座開設の手続きをした3万7176人が対象
情報は、名前、性別、生年月日、電話番号、メールアドレス、住所、勤務先、暗号化済みのデビット用暗証番号
デビット番号はまずそう
金融庁が注意喚起してから初の事例なので、今後増えそう
委託先のアクセス制限誤り、佐賀市お問い合わせフォーム送信画像が閲覧可能に
行政が委託していた開発ベンダーが、アクセス制限の実装をみすってたため、個人情報を含む画像データが公開状態にあったと
S3で適切に署名月urlとかcookieにしなかったとか?
その他
【調査】ピッチ大会で優勝したスタートアップは成功してるか? 過去10年分を調べてみた
興味深い