A new tool that blends your everyday work apps into one. It's the all-in-one workspace for you and your team
セキュリティ監視入門
A new tool that blends your everyday work apps into one. It's the all-in-one workspace for you and your team
リモート勤務やハイブリッド勤務が普及して2年以上が過ぎたが、その運用を巡る見解の違いは今もなお鮮明だ。上司の約85%は、部下が十分に仕事をしているかどうか分からないと不安に思う一方で、部下の87%は生産性に問題はないと考えている。マイクロソフトの調査で明らかになった。 職場で広く使用されるソフトウエアのメーカーとして巨大な存在であるマイクロソフトは、プロフェッショナル向けソーシャルネットワークのリンクトインも傘下に置いている。サティヤ・ナデラ最高経営責任者(CEO)は、部下のサボりを気にする上司の不安を「生産性のパラノイア」と表現。従業員の監視といった望まれない結果を招きかねないという。 「上司は部下の生産性が低いと考えているが、部下は生産的だと考え、むしろバーンアウト(燃え尽き症候群)を感じているケースも多い」とナデラ氏はブルームバーグテレビジョンのインタビューで語った。「新しい働き方の
GitHub に漏れ出た内部コードを探す ~ 上場企業 3900社編 ~ - ぶるーたるごぶりん
全1回、このシリーズは今回で最後です! TL;DR 上場企業 3900 社程に対して、すごく大雑把な「内部コード等の漏洩調査」を GitHub 上で行った 結果としては、重要度の高いものから低いものまで 10社ほどで漏洩が確認された 重要度の高いものとして、社外秘っぽそうなスプレッドシート、社員のハッシュ化パスワード(BCrypt)、 AWS Credential 等 「大雑把な」調査を行ったが、より精度の高い方法等について記事内にて触れていく 脅威インテルとか DLP みたいなエリアとかも、外部企業とかに頼るだけじゃなく「自分たちでも」頑張ってみるのがいいんだと思います GitHub Code Search ... すげえぜ! Google Dorks ならぬ、 GitHub Dorks + GitHub Code Search でまだまだいろいろできるはず。 はじめに チャオ! 今回は
ソフトウェア開発者でなくとも、セキュリティ・バイ・デザインという言葉は聞いたことがあると思います。しかし、セキュリティ・バイ・デザインが十分に実施できていると言える組織は多くないのではないでしょうか。 いざセキュリティ・バイ・デザインを実施しようとしても「何をすればよいのだろう?」「どうやれば良いのだろう?」となかなか手が動かない。そんな状況の一助となるよう、我々がセキュリティ・バイ・デザインを学び、実践した内容を文書化し公開する運びとしました。 セキュリティ初心者でも読みやすいように、以下の特徴を念頭において本書を執筆しました。 軽快な文章 図表を多用したグラフィカルな見た目 キャラクターのセリフに共感しながら理解ができる 1章 セキュリティ・バイ・デザイン -セキュリティ・バイ・デザインの概要や必要性の説明 2章 脅威分析 -組織やシステムに対する脅威分析の実施方法 3章 セキュリティ
サーバーセキュリティ構成の話 - Chienomi
序 最近、安易に建てられた危険なサーバーが増えているため、サーバーセキュリティを鑑みた基本的な設定や構成はどういうものかという話をする。 本記事では具体的な設定や構築を説明するが、環境や前提、用途などもあるため、これを真似すれば安全ということではない。 セキュリティは銀の弾丸があるわけではなく、全ての要素を合わせて考えたア上での最適を導かねばならない。それがセキュリティの難しいところでもある。 本記事はセキュリティが未熟だと自認する人にとっては参考になる内容だと思うが、どちらかというと、本記事の内容が当たり前に「すでに理解できている内容」になっていない人は、サーバーを建てるべきではない(危険な未熟の段階である)ということが重要であり、各々が自身の技量を測る指標として使ってもらえればと思う。 宣誓の儀 「サーバーを破られるということは、すなわち犯罪に加担するということである」 この言葉をしっ
パブリッククラウド特有の脅威の向き合い方
近年急速に活用が進むパブリッククラウドですが、同時にパブリッククラウド特有のセキュリティ事故も多発しています。 本スライドでは、パブリッククラウド特有のセキュリティ脅威や事例について紹介し、それらに対する防御の考え方を示すことで より安全にパブリッククラウドを活用いただくことを目的としています。
長年にわたり、ペンテストやRed Teamの案件において、Active Directory環境でよく見られる脆弱性とその対策をまとめた資料です。
1. 始めに こんにちは、morioka12 です。 本稿では、バグバウンティの入門として、主に Web アプリケーションを対象にした脆弱性の発見・報告・報酬金の取得について紹介します。 1. 始めに 免責事項 想定読者 筆者のバックグラウンド Start Bug Bounty Bug Bounty JP Podcast [Blog] Intigriti Q1 2024 の成績 インタビュー記事 2. バグバウンティとは バグバウンティプラットフォーム Program Type Private Programs VDP (Vulnerability Disclosure Program) Asset Type 3. プログラムの選び方 Scope OoS (Out of Scope) 4. 脆弱性の探し方 (初期調査編) Subdomain Google Dorks Wayback Mac
内閣官房内閣サイバーセキュリティセンター(NISC)は、サイバーセキュリティ対策において参照すべき関係法令をQ&A形式で解説する「サイバーセキュリティ関係法令Q&Aハンドブック」(以下「本ハンドブック」といいます。)を作成しています。 企業における平時のサイバーセキュリティ対策及びインシデント発生時の対応に関する法令上の事項に加え、情報の取扱いに関する法令や情勢の変化等に伴い生じる法的課題等を可能な限り平易な表記で記述しています。 企業実務の参考として、効率的・効果的なサイバーセキュリティ対策・法令遵守の促進への一助となれば幸いです。 ※Ver2.0は、令和5年9月に、サイバーセキュリティを取り巻く環境変化、関係法令・ガイドライン等の成立・改正を踏まえ、項目立て・内容の充実・更新を行い改訂されたものです。 Q&Aで取り上げている主なトピックスについて サイバーセキュリティ基本法関連 会社法
1. 始めに こんにちは、morioka12 です。 本稿では、バグハントの入門として、主に Web アプリケーションの OSS に焦点をおき、脆弱性の発見・報告・CVE ID の取得について紹介します。 1. 始めに 免責事項 想定読者 筆者のバックグラウンド 2. CVE とは 3. 探す対象の選び方 OSS Topic (Type) 特定の条件で絞る バグバウンティの OSS 4. 脆弱性の検証方法 アプローチ方法 5. 脆弱性の報告先 6. 報告書の書き方 CVSS CWE 7. 脆弱性発見から CVE ID の取得までの流れ 注意点 8. バグハント前のスキル準備 過去の CVE ID やレポート Web Security の場合 9. その他 その後のチャレンジ バグバウンティ入門 セキュリティエンジニアを目指す就活生の方へ OSS の開発者の方へ 10. 終わりに 免責事項
本文の内容は、2022年4月20日にMiguel Hernándezが投稿したブログAre vulnerability scores misleading you? Understanding CVSS severity and using them effectively(https://sysdig.com/blog/vulnerability-score-cvss-meaning/)を元に日本語に翻訳・再構成した内容となっております。 脆弱性はどこにでもあります。セキュリティ専門家にとって、これらの脆弱性を大規模に調査し、緩和し、是正することは大変な作業です。どの組織も、すべての脆弱性を見つけて修正する能力を持っているわけではないことを心に留めておいてください。重要なのは、脆弱性とは何かを理解し、CVSSスコアの意味を解釈し、制約された時間制限や納期内でリソースの優先順位付けと有効利
SSVCを参考にした脆弱性管理について本気出して考えてみている(進行中) - ペネトレーションしのべくん
はじめに ここ最近脆弱性管理についてずっと考えていたのですが、SSVCを知ってからというもの、かなりシンプルに考えられるようになりました。試み自体はまだ途上なのですが、以下のようなことを目的として、SSVCの概要や、現時点での経過や私の考えを文字に起こしてみます。 アイデアを整理したい 脆弱性管理・運用に悩んでいる人と傷を舐め合いたい あわよくば有識者の目に止まってご意見を賜りたい(辛辣なのはイヤ) SSVCとは? Stakeholder-Specific Vulnerability Categolizationの略。CERT/CCが考案した脆弱性管理手法です。CVSSが「脆弱性の評価手法」であることに対して、SSVCは「脆弱性対応方針の判断手法」であると言えます。 たぶん今一番分かりやすい解説ページ。PWCだいしゅき! www.pwc.com 実際の資料は、CERT/CCのGitHubリ
はじめに 「近々ペネトレーションテストを実施したい!」と思っている会社、たくさんあるんじゃないでしょうか。 そこで質問、 あなたの会社は本当にペネトレーションテストを実施する準備ができていますか? セキュリティをよく考えないまま、監視製品を導入しているだけじゃないですか? はっきりいいます。 基本的なセキュリティ対策を行わないままペネトレーションテストを行なっても、有意義な調査結果は得られません。 せっかく高額な費用を払ってテストをするのであれば、有意義な調査結果を得るためにも、基本的なセキュリティ対策だけでもしっかり事前に実施し、準備を行なった上でテストを依頼すべきです。 対象の読者 企業の情報システム、特にエンタープライズネットワークなど、Windows Active Directoryに関連するネットワークのペネトレーションテストやレッドチーム演習、TLPTの実施を検討している会社の
伊藤忠サイバー&インテリジェンス
サイバーセキュリティー対策において組織がリスクアセスメントを実施することの重要性が語られており、サイバーセキュリティーのマネジメントは、リスクコントロールそのものであると言っても過言ではありません。 しかしながら、関連する資料を参考にしても、曖昧な内容に終始して判断に迷ったり、実施者の知識と経験が求められる部分が多かったり、その効果的な実施に各担当者が苦労している現実があります。 実効性のあるリスクアセスメントを実施するにはどうしたらよいか、伊藤忠商事・ITCCERT・伊藤忠サイバー&インテリジェンスでは長年その課題に取り組んできました。 それらの取り組みの中で、特に我々が三大脅威として定義している「標的型攻撃」「サイバーランサム」「ビジネスメール詐欺/BEC(ビーイーシー : Business E-mail Compromise)」に特化して、組織間での共通のリスク可視化を目的としたツー
We value your privacy. We use cookies to enhance your browsing experience, serve personalized content, and analyze our traffic. By clicking "Accept", you consent to our use of cookies. Read More
ATT&CK-like Threat Matrix for CI/CD Pipeline on GitHub: https://github.com/rung/threat-matrix-cicd -------- Place: CODE BLUE 2021 Op…
東京都千代田区の帝国劇場付近で18歳の女性の姿を勝手に動画に撮り、ユーチューブ上にアップしたとして、警視庁は13日、「私人逮捕系」と呼ばれる職業不詳の杉田一明容疑者(40)=東京都武蔵野市=を名誉毀…
サイバー攻撃被害に係る情報の意図しない開示がもたらす情報共有活動への影響について - JPCERT/CC Eyes
はじめに 先日、JPCERT/CCが事務局として参加した、専門組織同士の情報共有活動の活性化に向けた「サイバー攻撃による被害に関する情報共有の促進に向けた検討会」の報告書が公開され、関連成果物のパブリックコメントが始まりました。 経済産業省 サイバー攻撃による被害に関する情報共有の促進に向けた検討会 https://www.meti.go.jp/shingikai/mono_info_service/sangyo_cyber/cyber_attack/index.html JPCERT/CCはこれまでに下記の取り組みを通じて、情報共有活動の促進に向けたルール整備に取り組んできました。 令和2年度総務省「サイバー攻撃の被害に関する情報の望ましい外部への提供のあり方に係る調査・検討の請負」の調査報告(2021年7月公開)[1] 「サイバー攻撃被害に係る情報の共有・公表ガイダンス」(2023年3
最新のGoogleオープンソースセキュリティスキャナー「Tsunami」を使って脆弱性診断してみた - GMO Research & AI Tech Blog
こんにちは。GMOリサーチでインフラを担当しているオカモトです。 コロナの影響で引きこもり生活が続く中、皆様いかがお過ごしでしょうか。 今回、Googleが先日公開した「Tsunami」というオープンソースのセキュリティスキャナーを試してみたのでその内容をご紹介します。 1.Tsunamiって何? Tsunamiは、2020年6月18日木曜日(現地時間)にGoogleがオープンソースのプロジェクトとして公開したセキュリティスキャナーです。 GoogleではGKE(Google Kubernetes Engine)を使ってインターネットからアクセスを受けているシステムの脆弱性診断にTsunamiを使っているそうです。 ・Tsunamiのリリースに関する記事は以下のURLから確認できます。 Google Open Source Blog https://opensource.googleblo
33 open-source cybersecurity solutions you didn’t know you needed - Help Net Security
Please turn on your JavaScript for this page to function normally. Open-source cybersecurity tools provide transparency and flexibility, allowing users to examine and customize the source code to fit specific security needs. These tools make cybersecurity accessible to a broader range of organizations and individuals. In this article, you will find a list of 33 open-source cybersecurity tools for
脅威モデリングをソリューション化させるまでの歩み | CyberAgent Developers Blog
本記事では、 脅威モデリングの概要と弊社で脅威モデリングをゼロからソリューションとして提供するまでの歩み、それに伴って発生した課題とその対応策の一部についてご紹介いたします。本記事を通じて、脅威モデリングの理解の助け、または実践する際の参考になれば幸いです。 ToC 背景 脅威モデリングについて 知見を整理するまでの歩み まとめ 背景 弊社のシステムセキュリティ推進グループ(以降、部署)は、「セキュリティ維持・向上・事後対応を通じて、サイバーエージェントグループの成長阻害要因となるITセキュリティリスクを排除する」をミッションに据えております。弊社には関連会社にてゲームやブログ、動画配信など多数サービスを有しており、弊部署は横断組織という位置付けから、それら関連会社に対してセキュリティ対応や管理策の設計・運用など日々多数の取り組みを実践しています。 その中で、プロダクトのシステムにおけるリ
本記事は『今日からできるサイバー脅威インテリジェンスの話-導入編-』の続きであり、具体的なサイバー脅威情報の収集方法やプラットフォームについて紹介する記事です。 『サイバー脅威インテリジェンスって何?』という方がいらっしゃれば前の記事を参考にしてください。 Let's CTI 私が個人レベルでやっている CTI の活動を分類してみると、以下の3つの方法になると思います。 無料で利用できるインテリジェンスサービス・データベースを活用する オンラインサンドボックスを活用する SNS や外部のコミュニティを利用する それぞれ長所やカバーできる領域が異なるので、自分の興味や組織の CTI の目的に合わせてどの方法を取るべきか検討してみると良いでしょう。 では、詳細に説明していきます。 1. 無料で利用できるインテリジェンスサービス・データベースを活用する 世の中には優秀なインテリジェンス分析者がた
GitHub - Yamato-Security/hayabusa: Hayabusa (隼) is a sigma-based threat hunting and fast forensics timeline generator for Windows event logs.
You signed in with another tab or window. Reload to refresh your session. You signed out in another tab or window. Reload to refresh your session. You switched accounts on another tab or window. Reload to refresh your session. Dismiss alert
本資料は、Cloud Security Alliance (CSA)が公開している「Cloud Thread Modeling」の日本語訳です。 クラウド脅威モデリングは、クラウドのサービスやアプリケーション固有の品質や考慮事項を説明するため、標準的な脅威モデリング手法を拡張します。クラウド脅威モデリングは、アタックサーフェスの特定及び削減を補い、さまざまなクラウドサービスプロバイダのセキュリティ要件の抽象化を支援し、リスク管理に役立てられます。 こちらからダウンロードしてください。
GitHub - veeral-patel/how-to-secure-anything: How to systematically secure anything: a repository about security engineering
You signed in with another tab or window. Reload to refresh your session. You signed out in another tab or window. Reload to refresh your session. You switched accounts on another tab or window. Reload to refresh your session. Dismiss alert
Deleted articles cannot be recovered. Draft of this article would be also deleted. Are you sure you want to delete this article?
デジタルペンテスト部のみやけです。Webアプリケーションの脆弱性診断員となって一余年、セキュリティのプロフェッショナルを名乗るために知見を広げたいと思う今日この頃。知見を広げるとなればやはり情報収集かと考えていたところ、昨年の就活イベントで就活生から「情報収集はどんなことをされていますか?」という質問をいただいたこと思い出しました。私自身も他の人の情報収集については気になりますし、それを今後どう活かしていけばいいのかを聞いてみたい。そこで、セキュリティについて知見を広げたい、これからセキュリティを学びたいと考えているみなさんの参考にもなればと、Webアプリケーションとプラットフォームの脆弱性診断員に情報収集についてのアンケートを実施してみました。 私のように修行中の診断員から長年診断に携わる猛者まで約30名に回答いただいたので、その結果をご紹介します! まずは、情報収集の「方法」を聞いてみ
Deleted articles cannot be recovered. Draft of this article would be also deleted. Are you sure you want to delete this article?
As you might be aware, Twitter recently restricted its free API access, which has affected multiple communities that rely on Twitter’s data, including cvetrends.com I built cvetrends.com so the security community can monitor real-time, trending CVE mentions on Twitter for free. Unfortunately, due to Twitter’s recent API change, the site is currently unable to run. I’m exploring what options, if an
bearer Scan your source code against top security and privacy risks.
はじめに この記事はシスコの同志による Cisco Systems Japan Advent Calendar 2018 の 18 日目として投稿しました。今年はカレンダーが2つあります!! 2020年版(1枚目): https://qiita.com/advent-calendar/2020/cisco 2020年版(2枚目): https://qiita.com/advent-calendar/2020/cisco2 2017年版: https://qiita.com/advent-calendar/2017/cisco 2018年版: https://qiita.com/advent-calendar/2018/cisco 2019年版: https://qiita.com/advent-calendar/2019/cisco 2020年版: https://qiita.com/ad
GitHub - nomi-sec/PoC-in-GitHub: 📡 PoC auto collect from GitHub. ⚠️ Be careful Malware.
You signed in with another tab or window. Reload to refresh your session. You signed out in another tab or window. Reload to refresh your session. You switched accounts on another tab or window. Reload to refresh your session. Dismiss alert
GitHub - teler-sh/teler: Real-time HTTP Intrusion Detection
You signed in with another tab or window. Reload to refresh your session. You signed out in another tab or window. Reload to refresh your session. You switched accounts on another tab or window. Reload to refresh your session. Dismiss alert
前回のあらすじ 3年ほど前にAWS上にハニーポット環境を作成しました。 大雑把に説明すると、(主に)AWSのEC2インスタンスあてにどのようなexploitが飛んでくるのか?というのを知るために、 EC2インスタンスに管理用、および観測用のElastic IP addressを設定し、そこでハニーポットを動かす ハニーポットで取得した生データ(pcap)をS3に保存し、Lambdaで分析する 分析結果は CloudWatch Logs Insights で閲覧できるようにする という構成にしていました。これはこれでマネージドサービスを使った面白い構成だったと当時は思っていたのですが、実際に動かしてみるといくつかの課題があり、最終的には運用を止めてしまいました。 前回の課題 1) Elastic IP addressの制限でスケールしにくい EC2は自前で2つ以上のネットワークインターフェー
Understanding and Mitigating Russian State-Sponsored Cyber Threats to U.S. Critical Infrastructure | CISA
Official websites use .gov A .gov website belongs to an official government organization in the United States. Secure .gov websites use HTTPS A lock (A locked padlock) or https:// means you’ve safely connected to the .gov website. Share sensitive information only on official, secure websites.
Easily Identify Malicious Servers on the Internet with JARM - Salesforce Engineering Blog
TL;DR JARM is an active Transport Layer Security (TLS) server fingerprinting tool. Scanning with JARM provides the ability to identify and group malicious servers on the Internet. JARM is available here: https://github.com/salesforce/jarm JARM fingerprints can be used to: Quickly verify that all servers in a group have the same TLS configuration.Group disparate servers on the internet by configura
Weak Security Controls and Practices Routinely Exploited for Initial Access | CISA
Malicious actors commonly use the following techniques to gain initial access to victim networks.[TA0001] Exploit Public-Facing Application [T1190] External Remote Services [T1133] Phishing [T1566] Trusted Relationship [T1199] Valid Accounts [T1078] Malicious cyber actors often exploit the following common weak security controls, poor configurations, and poor security practices to employ the initi
GitHub - cipher387/osint_stuff_tool_collection: A collection of several hundred online tools for OSINT
You signed in with another tab or window. Reload to refresh your session. You signed out in another tab or window. Reload to refresh your session. You switched accounts on another tab or window. Reload to refresh your session. Dismiss alert
A startpage with online resources about Cyber Threat Intelligence, created by infosecn1nja.
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
上司が部下を監視、「絶対やってはいけない」とマイクロソフトが警告
セキュリティ・バイ・デザイン導入指南書 :IPA 独立行政法人 情報処理推進機構
Active Directory攻防
バグバウンティ入門(始め方) - blog of morioka12
関係法令Q&Aハンドブック - NISC
バグハント入門 (OSS編) - blog of morioka12
脆弱性スコアに惑わされてる?CVSSの深刻度を理解し、効果的に活用する
ペネトレーションテスト実施検討中の企業担当者が実施前に読む記事
サイバーセキュリティレポート | NTT Security Holdings
Attacking and Securing CI/CD Pipeline
「私人逮捕」系ユーチューバー「煉獄コロアキ」、名誉毀損容疑で逮捕:朝日新聞デジタル
今日からできるサイバー脅威インテリジェンスの話-実践編- - NFLabs. エンジニアブログ
翻訳WGが「クラウド脅威モデリング」を公開しました! – csajapan
あやしいサイトの3分調査方法(初心者向け) - Qiita
脆弱性診断員に情報収集方法や活用方法を聞いてみた - ラック・セキュリティごった煮ブログ
あやしいアクセス元の3分調査方法(初心者向け) - Qiita
CVE Trends - crowdsourced CVE intel
offsec.tools - A vast collection of security tools
AWS Lambda で作る無償の脅威インテリジェンスリレーモジュール - Qiita
Microsoft Defender Threat Intelligence
クラウドネイティブハニーポット on AWS 2022春の陣
Cyber Threat Intelligence - start.me
momotaro2.shiga-saku.net
www.itmedia.co.jp
plea5station.com
aivoice.jp
dangohonpo.jp
learn.microsoft.com