企業のWebブラウザの半数以上は設定ミス状態。LayerXレポート 37
ストーリー by nagazou
IE使っているのも設定ミスカウントかな 部門より
IE使っているのも設定ミスカウントかな 部門より
セキュリティベンダーであるLayerXが公開した2023年のWebブラウザに関するセキュリティレポートによると、企業のWebブラウザの半数以上は設定ミスをしているという。レポートではプロファイルの不適切な使用やパッチ適用ルーチンの不備などが主な設定ミスとして挙げられており、設定を誤ったWebブラウザからデータが盗まれる可能性があるとしている(2023 Browser Security Annual Report、TECH+)。
またサードパーティ製のSaaSアプリの利用やそのアプリでのIDの利用はデータ損失の第一の原因になると警告している。このほか、従来のセキュリティツールは攻撃者が侵入できる経路の半分以上を見逃しており、標的型攻撃が企業侵入の主要因になっていると分析。結果として、脆弱なパスワード、設定ミス、SaaSの脆弱性によってデジタルIDの盗難リスクが高まっており、Webブラウザのリスクのほとんどが、企業のアキレス腱となっているとしている。
またサードパーティ製のSaaSアプリの利用やそのアプリでのIDの利用はデータ損失の第一の原因になると警告している。このほか、従来のセキュリティツールは攻撃者が侵入できる経路の半分以上を見逃しており、標的型攻撃が企業侵入の主要因になっていると分析。結果として、脆弱なパスワード、設定ミス、SaaSの脆弱性によってデジタルIDの盗難リスクが高まっており、Webブラウザのリスクのほとんどが、企業のアキレス腱となっているとしている。
Webブラウザ使用禁止! (スコア:0)
どうしてもWeb鯖にアクセスしたい人はport 80 or 443をtelnetで(マテ
Re: (スコア:0)
どうしてもWeb鯖にアクセスしたい人はport 80 or 443をtelnetで(マテ
せめてsshを
Re: (スコア:0)
あんた意味わかってないだろ
Re: (スコア:0)
貴君もわかってないかも。
「既にスラドは字面通り真に受けて反応する『背景も行間も読めない民』で溢れている」事を。
# こんなスラド( ≒ 世の中)になったのは トゥイッター と ライン のせいだと思う。
Re: (スコア:0)
もとから世の中はこんな奴らばっかだよ。インターネットができる前からね。
Re: (スコア:0)
telnetで443だと!?(ゴクリ
って言いたかったのかも。curl使おう。
Re: (スコア:0)
curlまでいかなくてもopenssl s_client使えばHTTPSサーバーにHTTPで喋りかけることが可能ですよ。
https://www.openssl.org/docs/man1.1.1/man1/openssl-s_client.html [openssl.org]
Re: (スコア:0)
そんな君にはsslhをおすすめしよう。
https://github.com/yrutschle/sslh [github.com] A ssl/ssh multiplexer
Re:やかましいわ! (スコア:0, すばらしい洞察)
>企業のWebブラウザの半数以上は設定ミスをしているという。
やかましいわ!
だったらお手本となる設定一覧を提示しろや、ぼうけが!
こう言う煽りセキュリティコンサルが居るのがむなぐそ
Re: (スコア:0)
わざわざ変な設定にするのは少数派だろうしデフォルト設定がミスっているとしか思えない。
Re: (スコア:0)
Salesforceの事例 [security.srad.jp]が頭をよぎった
正しい設定かどうかは別途サポート契約して確認してくださいなビジネスかもよ
Re: (スコア:0)
変な設定どころかさわってすらなさそうなのに半数て…。
Re: (スコア:0)
そもそもビジネス向けのWebブラウザ利用しているところが少ないんじゃない?
Re: (スコア:0)
インターネットエクスプローラーとかエッジはビジネス用ウェブブラウザだろ。
Re:Re:やかましいわ! (スコア:0)
まずいんたーねっとせつそくをホワイトリスト式にします
Re: (スコア:0)
>だったらお手本となる設定一覧を提示しろや、ぼうけが!
「ぼうけが」ってなに?
Re: (スコア:0)
ぼけとほうけのキメラじゃね?
しらんけど。
Re: (スコア:0)
普段コメントしても相手にされてなくてもっと僕に構って欲しいってサイン。
Re: (スコア:0)
てめぇなんか、米を食いつぶすしか能がない、箆棒みてぇなやつだ!
Re: (スコア:0)
「やかましいわ!」は誰へのReなの?
Re: (スコア:0)
LayerXじゃね?
直接的にはそのレポートという事になるか。
多分ね。
信じるか信じないかは(ドーン)アナタシダイですっ!!
よう、久しぶり (スコア:0)
SaaS、お前まだ生きてたんか。
# で、SaaSってなんだっけ?もうaaS多すぎて覚えられない。
Re: (スコア:0)
CSS拡張するやつ
Re: (スコア:0)
クラウドの本流(一丁目一番地でも可)はSaaSである。
バッググラウンドシステム運用をサービス提供者側に渡せるのはSaaSだけ。
IaaSやPaaSではユーザー側のシステム管理の負担は減らない。調達と構成の初期コストが減るぐらい?
アプデすんなよ(真顔 (スコア:0)
いまだにjavaスクリプトで帳票表示のシステムが動いていますが、それが特定のバージョンでないと動かない。
改修する気も無い。組織内のマニュアルにjava自動アプデはオフにしろと書く。
なんならそれ以外のシステムも、特定のブラウザ依存で、「これはEDGEね、こっちはChromeで、あ、そっちはね、EDGEのIEモードね」
その割には、突然スパムメール訓練とか言い出して、コンサルに大金払って偽スパムメールを全社配信して
「結果はこうでした。君たちの意識改革を求めます。」
みたいな上から目線。
もちろん赤字です。よくもってるなぁ。
Re: (スコア:0)
2025年にDXの崖から転落しそうな企業ですね
そこにまだお勤めなのは理由あるの?崖から突き落とす汚れ仕事の予定?
Re: (スコア:0)
2025年まで安泰なのか・・・
Re: (スコア:0)
> いまだにjavaスクリプトで
> 組織内のマニュアルにjava自動アプデはオフにしろと
これがおかしいとも思っていなさそうな猿の管理には実に適正としか思えないが
Re: (スコア:0)
Javaスクリプトと言ったらJavaFXのことだよね。
Re: (スコア:0)
1周回ってJavascriptとJavaの違いがわからない若年層が発生してきた説
Re: (スコア:0)
数年前まで公共の電子入札システムがそういう感じでしたね。
特定バージョンのjavaを要求したり、かなりギリギリまでWin7/32bit/IE限定してきてたり。
# 最近は入札システムの統合が進んでマシになってる
# 都道府県毎に違うの使ってたりカオスな時代は個別にPC用意せざるを得なかった
Re: (スコア:0)
XPのSP未適用必須だったときもあるし、公共系は酷すぎだな
Re: (スコア:0)
> 偽スパムメールを全社配信
これほんと最近流行してるんですかね…
「メールに書いてある怪しいリンク開くな」はまだしも「怪しいメールは(メール本文そのものを)見るな」
とか言い出されて困ってます…
Re: (スコア:0)
怪しいメールは開くなというポリシーの弊社。
あるとき、開いたことを管理者に通知する訓練メールサービスを購入。
某超有名ベンダーのメールゲートウェイで全数サンドボックスに投げ込む設定がされており、
しかも外部宛て通信はスルーな設定だったため、開封率はお察しに。
Re: (スコア:0)
まあ、「怪しいメールはメール本文そのものを見るな」は言い換えると「Fromをちゃんと見ろ」って話で、
それに加えて、グローバル企業でもない限りは母国語以外は身に覚えがないなせ見ず捨てろ、
母国語でも少しでも怪しいと思ったらせめてリンク・添付ファイル開く前に相手に確認しろ。ってことかと。
もうフィッシングメールはある程度ブロックできずに届くこと前提で定期的にこれを唱えるぐらいしか方法が無くなってる。
大抵文体が違った足り、普段正しい相手方がやらない送り方をしてくるのでまだ助かっているが、文体まで似せてきたらもうお手上げ。
Re: (スコア:0)
ビジネスでの話ならCcも重要ですね。適切なアドレス(差出人側の部署代表とか)が追加されていなかったりすると危ないかもしれません。
Re: (スコア:0)
でも未だにOSのセキュリテイパッチ当てない奴いるしな。
そんな奴らでも自動更新を無効化する術だけは知っているという。
一度痛い目みないと学習出来ないんだろうね。