アカウント名:
パスワード:
何度でも書く。改ざん検知を導入せよ。この手のシステム改竄にやられるとカード番号保管しなくても抜き取られてしまう。
改ざん検知はお安く効果が高い対策だと思うんだけどなぁ。ディレクトリ監視してイレギュラーな更新掛かったらアラート挙げて戻すというのは既存ツールでできる範囲。
サーバーに侵入してプログラムを改ざんして情報抜き出せるレベルなら改ざん検知ツールも改ざんしませんかね?
侵入の方法や改ざん検知ツールの種類にもよるとは思いますが、プログラムの改ざん、つまりWebサーバの公開ディレクトリ内にあるファイルを上書きできるレベルでは、外部に置かれた改ざん検知ツールまでは改ざんできないでしょう。
ローカルアカウント作られたりroot取られてwatch dogプロセスkillされてログも改ざんされてってレベルならともかく、Webサーバ上のコンテンツ改ざんだけなら検知ツールで止められるでしょ
Tripwireなんかが有名だけど、auditdでも改竄検知みたいなことはできるしねあとはちゃんとSELinuxを有効にして設定しましょう
技術的対策としてはそうだろうけど、それらをやっていない時点で、別の問題があるわけで・・・。
ガバナンス上の問題の真因は、以下の通りであると考えている。(1)システムに係るリスクと専門性の軽視(2)IT現場の実態軽視(3)顧客影響に対する感度の欠如、営業現場の実態軽視(4)言うべきことを言わない、言われたことだけしかしない姿勢
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
アレゲは一日にしてならず -- アレゲ見習い
改ざん検知を導入せよ (スコア:1)
何度でも書く。改ざん検知を導入せよ。
この手のシステム改竄にやられるとカード番号保管しなくても抜き取られてしまう。
Re: (スコア:0)
改ざん検知はお安く効果が高い対策だと思うんだけどなぁ。ディレクトリ監視してイレギュラーな更新掛かったらアラート挙げて戻すというのは既存ツールでできる範囲。
Re: (スコア:0)
サーバーに侵入してプログラムを改ざんして情報抜き出せるレベルなら改ざん検知ツールも改ざんしませんかね?
Re: (スコア:0)
侵入の方法や改ざん検知ツールの種類にもよるとは思いますが、プログラムの改ざん、つまりWebサーバの公開ディレクトリ内にあるファイルを上書きできるレベルでは、外部に置かれた改ざん検知ツールまでは改ざんできないでしょう。
Re: (スコア:0)
ローカルアカウント作られたりroot取られてwatch dogプロセスkillされてログも改ざんされてってレベルならともかく、Webサーバ上のコンテンツ改ざんだけなら検知ツールで止められるでしょ
Re: (スコア:0)
Tripwireなんかが有名だけど、auditdでも改竄検知みたいなことはできるしね
あとはちゃんとSELinuxを有効にして設定しましょう
Re:改ざん検知を導入せよ (スコア:1)
技術的対策としてはそうだろうけど、それらをやっていない時点で、別の問題があるわけで・・・。
ガバナンス上の問題の真因は、以下の通りであると考えている。
(1)システムに係るリスクと専門性の軽視
(2)IT現場の実態軽視
(3)顧客影響に対する感度の欠如、営業現場の実態軽視
(4)言うべきことを言わない、言われたことだけしかしない姿勢