セキュリティ・ミニキャンプ in 東北 2014 まとめ
#seccamp #spcamp 評価法としてのサイバー攻撃。外部の腕利きに攻撃してもらう。バウンティプログラム。
2014-09-13 13:41:47#seccamp #spcamp 園田先生の講演なうです。 情報セキュリティ予算が適切に執行されているか否かの評価軸はとてもむずかしい。そういう中で、一部の情報サービス提供企業では、バグハンターを活用する動きも広がってきているようです。
2014-09-13 13:49:01#seccamp #spcamp セキュリティコンテストの話。昔は少なかったけれど、現在は様々な対象に展開されている。腕利きに探してもらって、その功績を評価する仕組みや文化が広まってきているのではないか。
2014-09-13 13:49:25#seccamp #spcamp 腕利きをもっと発掘する仕組みとして初めたのがセキュリティキャンプ。
2014-09-13 13:50:19#seccamp #spcamp 園田先生の講演なうです。国外のバグハンターたちの活躍や国内のバグハンターたちの活躍、バグハント合宿などの様子なども紹介されています。また、そこから突出した人材を発掘しさらなる高みを目指してもらうセキュリティ・キャンプなどの活動も紹介されています。
2014-09-13 13:51:40#seccamp #spcamp セキュリティキャンプのクラスはソフトウェアセキュリティ・Webセキュリティ・ネットワークセキュリティの三つある。これに加えて講師の先生と一緒にものを作る つくろうクラス がある。
2014-09-13 13:53:01そのだむせんせの講義なう。今年の2014全国大会の様子で、鉄板的にネタになってる、「Webクラスはクラス長の方針でSQLインジェクションはやらない」「Webクラスの今年のにしむねあせんせへの依存度が急激に上がった」などの話ありw #seccamp #spcamp
2014-09-13 13:55:37#seccamp #spcamp セキュリティキャンプ卒業生の話。セキュリティキャンプ出身者が講師・チューターとして活躍するほか、数々のコンテストで輝かしい功績を残したり、腕を発揮している事例が盛りだくさん。
2014-09-13 13:57:39基調講演2:宮本講師 『情報セキュリティ人材は本当に不足しているのか?~取組の実態と発掘・育成のアプローチ&ご家庭でできること』
#seccamp #spcamp 続いて、講師WGの主査である宮本講師より講演。 「情報セキュリティ人材は本当に不足しているのか?~取り組みの実態と発掘・育成のアプローチ&ご家庭でできること」というタイトルの講演が行われます。
2014-09-13 14:00:49#seccamp #spcamp 宮本講師、こと殿のことを知りたければ、ググれと。実名と実名じゃない名前と両方ググってみろと、そういう自己紹介。想定の範囲内w
2014-09-13 14:02:10#seccamp #spcamp 続いて宮本講師による講演「情報セキュリティ人材は本当に不足しているのか?」が始まります。人材発掘の取り組みの実体と、家庭でできることについて紹介。
2014-09-13 14:01:28#seccamp #spcamp 古いウイルスはどれくらい古いのか? 2012年の時点で2002年、2004年、2008年と続く。亜種も含めると10年選手もいる。
2014-09-13 14:03:54@wakatono が 営業さんが「最近どうですか?」ってメールを送るようなやり取り型標的型メール攻撃があるって言ってたけど、それ、なんて弊社!?www #spcamp #seccamp
2014-09-13 14:06:58#seccamp #spcamp 標的型攻撃で狙われる脆弱性とは。ゼロデイは少なく、OSの脆弱性やJavaの脆弱性。標的型メールも端から見て不自然さが少ないものへと変化。
2014-09-13 14:06:40#seccamp #spcamp 宮本先生による講演なうです。まずは人材が多い少ないという話よりも前に、数年前における情報セキュリティの現状(ぜい弱性周りの話)、現在の(特に最近の)現状についての話があります。現場でインシデント対応に悪戦苦闘されている経験なども盛り込まれてます。
2014-09-13 14:08:23#seccamp #spcamp 使われる脆弱性の大半が使い古された手法。業務ソフトウェアで使われるモジュールが古かったりすると、カモになりうる。
2014-09-13 14:09:31#seccamp #spcamp 古い脆弱性が今でも使われる理由。手段として確立されているのでコストが安い、ツール化されているなどの理由によるもの。新しいものはコストがかかる、おおっぴらにすると対策されるなどの理由でここ一番の切り札として使うことがよく言われている。
2014-09-13 14:12:21#seccamp #spcamp 脆弱性情報の入手法や攻撃ツールの紹介。Metasploit FrameworkやLOIC/ HOIC などのDDoSツール。ご利用は計画的に。
2014-09-13 14:14:46#seccamp #spcamp 感覚的には 攻撃ツールを使う人>>ツールをつくる人・脆弱性を見つける人 。
2014-09-13 14:17:23#seccamp #spcamp IPAへのWeb改竄届け出件数の増加を見て、攻撃者の数が増えたといえるのかどうか。
2014-09-13 14:21:06#seccamp #spcamp 攻撃手法の歴史は繰り返す。ただし、時間を追って手口が巧妙化。
2014-09-13 14:22:10#seccamp #spcamp サポート終了などで対策したくてもできない脆弱性が狙われる。
2014-09-13 14:24:09