RSGT2024の発表資料です!
タグ検索の該当結果が少ないため、タイトル検索結果を表示しています。
※本記事は筆者RyotaKが英語で執筆した記事を、弊社セキュリティエンジニアkoyuriが日本語に翻訳したものになります。 はじめに こんにちは、Flatt SecurityでセキュリティエンジニアをしているRyotaK( @ryotkak )です。 先日、特定の条件を満たした場合に攻撃者がWindows上でコマンドインジェクションを実行できる、いくつかのプログラミング言語に対する複数の脆弱性を報告しました。 本日(2024/04/09(訳者注: これは英語版記事の公開日です))、影響を受けるベンダーがこれらの脆弱性に関するアドバイザリーを公表しました。 その影響は限定的なもののCVSSスコアは非常に高く、混乱が予想されるため、脆弱性に関する詳細を本記事にまとめます。 はじめに TL;DR CVSSスコア 技術詳解 根本原因 CreateProcessのラッパー cmd.exeのパース規則
AI & MLLearn about artificial intelligence and machine learning across the GitHub ecosystem and the wider industry. Generative AILearn how to build with generative AI. GitHub CopilotChange how you work with GitHub Copilot. LLMsEverything developers need to know about LLMs. Machine learningMachine learning tips, tricks, and best practices. How AI code generation worksExplore the capabilities and be
本記事は AWSアワード記念!夏のアドベントカレンダー 4日目の記事です。 🎆🏆 3日目 ▶▶ 本記事 ▶▶ 5日目 🏆🎆 はじめに AWS Security Hubとは AWS Security Hubに情報を集約 AWS Security Hubから情報を受け取る AWS Security Hub導入における課題 どのように統制を効かせていくのか AWS Security Hubを有効化していないリージョンの設定 AWS Security Hubを導入した場合の組織構成 リージョンを切り替えて検知内容を確認することで負担が増加している AWS Security Hubの運用における課題 検知後のアクションにどのように繋げていくのか 通知が飛びすぎて重要検知を見逃してしまう ケースに応じた検知の変更をしたい Security Hub オートメーションルール Security Hu
こんにちは、臼田です。 皆さん、日々AWSでのセキュリティについて考えていますか?(挨拶 今回は2019年9月25日に開催されたAWS Security Roadshow Tokyo 2019と併催されたAWS Security Jam Tokyoに参加してきましたのでそのレポートをします。 なお、AWS Security Roadshow Tokyo 2019 午前セッションレポートは下記にあります。 AWS Security Roadshow Tokyo 2019午前セッションレポート Security Jamとはなにか イベントページの概要には下記のようにあります。 AWS Security JAM は、権限管理、自動化、インシデントレスポンスなどに関連するサービスを利用して、参加者が各課題ごとに AWS 環境を適切に修正するゲーミング形式のイベントです。 参加者はチームに所属し、オ
こんにちは。仕事でAWSの構築し、プライベートでAWSの研究と技術書の執筆をし、Amazonで本を売っているAmazon依存症の佐々木(@dkfj)です。 8月の登壇チャレンジの第三弾のSecurity-JAWSのレポートです。AWS認定セキュリティ専門知識の対策本の発売記念として、試験についての話をさせて頂きました。 s-jaws.doorkeeper.jp 発表内容 20分枠で、前半(佐々木)と後半(上野さん)とで、別々に発表させて頂きました。 speakerdeck.com speakerdeck.com AWS認定セキュリティ専門知識の試験対策について 試験の個別の問題についてはNDAで話すことができません。なので、どういった観点で学べば良いのかという話をさせて頂きました。受験した事が多いソリューションアーキテクトとの違いは、次の絵のとおりです。 ソリューションアーキテクトとセキュ
1. 始めに こんにちは、morioka12 です。 本稿では、AWS 環境における攻撃者のオフェンシブな視点で Cloud Security の入門として紹介します。 1. 始めに 免責事項 想定読者 2. クラウドにおける脅威 クラウドの重大セキュリティ脅威 11の悪質な脅威 クラウドサービス利用に関連するリスク Top 10 AWS セキュリティ構成ミス Top 10 3. AWS 環境における攻撃者の観点 3.1 AWS 環境の外部からの観点 3.2 AWS 環境の内部からの観点 4. MITRE ATT&CK Framework for Cloud (IaaS) 4.1 初期アクセス (Initial Access) 4.2 実行 (Execution) 4.3 永続化 (Persistence) 4.4 権限昇格 (Privilege Escalation) 4.5 防御回避
こんにちは、臼田です。 みなさん、AWSのセキュリティチェックやってますか?(挨拶 やったーついにキタ━━━━(゚∀゚)━━━━!! AWS Security Hubのセキュリティ基準が全リージョンまとめて一括でチェック出来るようになりました!こんな感じ! 右上のリージョンはAll Linked Regionsとなっていて、セキュリティスコアのコントロール単位のパーセンテージと項目単位の失敗割合も全リージョンから集まってきた値になりました! AWSのWhat's Newは以下です。 AWS Security Hub launches cross-Region security scores and compliance statuses もう少し背景から詳しく説明していきます。 背景 AWS Security HubはAWS上で最強のセキュリティチェックができるサービスです。「セキュリティ
Our Zero Trust security model enables us to provide a healthy and protected environment internally at Microsoft. At Microsoft, our shift to a Zero Trust security model more than five years ago has helped us navigate many challenges. The increasing prevalence of cloud-based services, mobile computing, internet of things (IoT), and bring your own device (BYOD) in the workforce have changed the techn
Please refer to the latest article for updated information. Update as of Thursday, December 22, 2022 To Our LastPass Community, We recently notified you that an unauthorized party gained access to a third-party cloud-based storage service, which LastPass uses to store archived backups of our production data. In keeping with our commitment to transparency, we want to provide you with an update rega
こんにちは。Flatt Security執行役員の豊田 @toyojuni です。 今回のブログでは「セキュリティ診断」サービスに関するお知らせに合わせて、Flatt Securityがどのようにお客様の声とサービス改善に向き合っているかを具体的に紹介したいと思います。 Flatt Securityの「セキュリティ診断」サービスでMarkdown版報告書の提供を始めました。 まず、サービスに関するお知らせというのが「Markdown版報告書提供開始」です。 「セキュリティ診断(脆弱性診断)」とは まず我々の提供している「セキュリティ診断」というサービスの概要を説明します。 端的に言うと、(巷ではホワイトハッカーなどと呼ばれることもありますが)セキュリティエンジニアがお客様のWebサービスやネットワークにハッキングされるような穴、脆弱性がないかを調査するサービスです。 「脆弱性診断」と呼ばれ
こんにちは。SREチームの吉澤です。2023年3月にアンドパッドに入社し、最近は主にセキュリティ関係の改善に取り組んでいます。 SREの経験としては、アンドパッドへの入社前からSREとして働いており、雑誌に寄稿したり、個人ブログを書いたり、SREの勉強会に運営スタッフとして長年参加したりしてきました。9/29(金)開催のSRE NEXT 2023にも、運営スタッフとして参加しています。SRE NEXT 2023には、アンドパッドもブロンズスポンサーとして参加しています! そこで今回は、SRE NEXT 2023のCFPに応募したネタ(今回、競争率すごく高かったんですよね……)を育てて、1つ記事を書いてみました。CFP落選供養スペシャルです。 背景 AWS Security Hubとは アンドパッドでのSecurity Hubの活用 目的 実現方法 課題 Security Hubのコントロー
分散型バージョン管理システム「Git」に深刻な脆弱性が含まれていることがわかった。アップデートがリリースされている。 同システムの「credential helper」において改行を含む細工したURLを用いることで、Gitクライアントより認証情報を任意のホストに送信させることが可能となる脆弱性「CVE-2020-5260」が明らかとなったもの。 米国立標準技術研究所(NIST)の脆弱性データベース「NVD」による共通脆弱性評価システム「CVSSv3.1」のベーススコアは「9.3」で「クリティカル(Critical)」とレーティングされている。 脆弱性の判明を受けて、開発チームでは脆弱性へ対処した「同2.26.1」「同2.25.3」「同2.24.2」「同2.23.2」「同2.22.3」「同2.21.2」「同2.20.3」「同2.19.4」「同2.18.3」「同2.17.4」をリリース。また脆
SRE NEXT 2023 のスポンサーセッション (20min) で使用したスライドです。 --- 概要: システムやソフトウェアの信頼性(Reliability)とセキュリティは多くの共通項を持つ概念です。本セッションでは、信頼性に主な関心を置いた技術体系であるSREを、セキュリティリスクの健全な管理のための技術体系として活用する方法を考察します。具体的にはSLO/SLI/エラーバジェット的発想に基づくセキュリティリスク管理や、セキュリティに関するソフトウェアエンジニアリング技法について、具体的な事例も交えながら論じます。 セキュリティ領域は技芸(Art)的解決が必要な課題領域も未だ多く、Engineering的体系は進化の途上にあります。SREというプラクティスを土台としてセキュリティ課題の解決を検討することは、SREに慣れ親しんだ(あるいは興味を持った)技術者の集まる本カンファレン
専門分野という事もあり、カード情報漏洩事件をウォッチして数年経ちますが、ずっと気になっていた事があります。公式リリースがそこそこの頻度で「消える」事です。 お気づきの方も多いかと思いますが、当ブログのカード情報漏洩系の分析記事では、なるべく企業等のカード情報漏洩発表リリースの魚拓を取る様にしています。 こうした魚拓を取る手法は、カード情報漏洩事件をほぼ拾われている、ScanNetSecurityさんが長年実施してきている事なのですが、企業がリリースを出しているのに、何故魚拓を取るのだろうと当初不思議に思っていたのですが、自分でインシデントを調べ始めて分かったのですが、意外にリンク切れが発生します。 ※ScanNetSecurity参考記事(※赤枠部分が魚拓になっています) 先日、2021年の国内カード情報漏洩インシデントの調査データを集計していたのですが、(当方が把握している限りですが)7
Docker Security Cheat Sheet¶ Introduction¶ Docker is the most popular containerization technology. When used correctly, it can enhance security compared to running applications directly on the host system. However, certain misconfigurations can reduce security levels or introduce new vulnerabilities. The aim of this cheat sheet is to provide a straightforward list of common security errors and bes
水道等インフラへのサイバー攻撃、まだ海外でしか発生した報道を見ませんが、今後警戒すべき攻撃です。 www.reuters.com (ロイター)-ハッカーはフロリダ州タンパ近郊の約15,000人の水を処理する施設のコンピューターシステムに侵入し、危険なレベルの添加剤を給水に追加しようとしたと、ピネラス郡保安官は月曜日に述べた。 (中略) 金曜日の試みは阻止されました。ボブ・グァルティエリ保安官はインタビューで、ハッカーはオールズマーの町の施設にいる従業員のコンピューター上で、TeamViewerという名前のソフトウェアプログラムにリモートでアクセスして、他のシステムを制御できるようになったと語った。 「男はそこに座ってコンピューターを監視していましたが、突然、コンピューターにアクセスしたことを示すウィンドウがポップアップ表示されました」とGualtieri氏は述べています。「次に誰かが知って
Getting Spring to load BinderControllerAdvice may require manual steps to have it load. We'll update this guide with more details about how to do that soon. import org.springframework.core.Ordered; import org.springframework.core.annotation.Order; import org.springframework.web.bind.WebDataBinder; import org.springframework.web.bind.annotation.ControllerAdvice; import org.springframework.web.bind.
This image includes the work that is distributed in the Apache License Version 2.0 株式会社Flatt Securityでセキュリティエンジニアとして働いている米内です。 本稿では、Envoy に独自メトリクスを追加するようなフィルタのサンプル実装の提示を通して、 WebAssembly によるサービスプロキシの拡張を可能にする仕様である Proxy-Wasm について紹介します。 Proxy-Wasm とは Proxy-Wasm の周辺 Rust による Envoy の拡張 SDK の利用 スタートアップ処理 メトリクスの定義 メトリクスの値の変更 動作例 おわりに Proxy-Wasm とは 近年は WebAssembly System Interface(WASI) を中心として、「WebAssembl
AI & MLLearn about artificial intelligence and machine learning across the GitHub ecosystem and the wider industry. Generative AILearn how to build with generative AI. GitHub CopilotChange how you work with GitHub Copilot. LLMsEverything developers need to know about LLMs. Machine learningMachine learning tips, tricks, and best practices. How AI code generation worksExplore the capabilities and be
米Microsoftは3月28日(現地時間)、米OpenAIの大規模言語モデル(LLM)「GPT-4」採用のセキュリティ分析ツール「Microsoft Security Copilot」を発表した。Azure上で稼働し、組織のセキュリティ担当者が侵害を特定し、防御するのを助けるAIサービスだ。まだプレビュー段階で、一般提供は開始されていない。 GPT-4をMicrosoftのセキュリティ固有のモデルと組み合わせた「単なるLLMではなく学習するシステム」。Microsoftのモデルにはセキュリティ固有のスキルセットが組み込まれており、独自の脅威インテリジェンスとMicrosoftが毎日受け取っている65兆以上の脅威シグナルで情報が提供されているという。 セキュリティ担当者がプロンプトから自然言語で、例えば「最近のランサムウェア攻撃の傾向は?」と尋ねると、関連するデータやレポートを提示する。さ
This image includes the work that is distributed in the Apache License Version 2.0 こんにちは。株式会社Flatt SecurityでインターンをしているMarina (@marin_a___) です。本稿はソフトウェアサプライチェーン領域で注目を集める Sigstore プロジェクトについての記事です。 Sigstoreとは Cosign によるローカルの鍵ペアを用いた署名方法 公開鍵と秘密鍵のペアの作成 作成した鍵を用いたコンテナイメージの署名 公開鍵を用いた署名検証 小まとめ: 全体の流れ 鍵管理に関する課題 OpenID Connect を活用した署名(Keyless Signing) Keyless Signing の仕組み Keyless Signing の具体的な利用方法 方法1: 人力で認証を
この記事について 先日、Zenn では Content Security Policy を導入しました。 この記事では Content Security Policy を Next.js ( Pages Router ) で導入する方法を解説するともに、Zenn の実例を紹介したいと思います。 Content Security Policy とは? そもそも Content Security Policy を知らない人が居るかもしれません。 Content Security Policy ( 以後 CSP と表記 )とは、ブラウザに備わっている機能の一つで、この機能を使うことで設定したサイト内のセキュリティリスクを軽減することができます。 基本的には導入した方がいいのですが、設定項目が多いうえに少し設定を間違えるとサイトが機能しなくなったりするので、導入コストがけっこう高いです。そのため、
AWS Security Hubの特徴と運用方法についてまとめました。幅広いAWSサービスのセキュリティとベストプラクティスを守ることができるのでガンガン活用しましょう。 こんにちは、臼田です。 みなさん、AWSのセキュリティ運用してますか?(挨拶 AWS Security HubはAWS上のセキュリティイベント集約とセキュリティチェックを行うサービスです。今回はこのサービスにフォーカスしたセキュリティ運用を考えてみます。 ちなみにAmazon GuardDutyについても同じようにセキュリティ運用についてまとめたので以下もご確認ください。 AWSセキュリティ全体像 フォーカスしていく前に全体の整理をします。以下にざっくりとAWSにおけるセキュリティの要素について書き出してみます。 AWSレイヤー IAM管理 ネットワークセキュリティ 設定管理 OS/アプリレイヤー 不正プログラム対策 脆
こんにちは。株式会社Flatt Securityセキュリティエンジニアの志賀(@Ga_ryo_) です。 本記事では、最近公開されたCVE-2021-20181の技術的な解説をしていきたいと思います。本脆弱性は、自分が発見し、Zero Day Initiative を経由してベンダーに報告しました。本記事は、脆弱性の危険性を通知する目的ではなく、あくまで技術的観点での学びを共有する事を目的としています。 読む前に 概要 前提条件 影響 Virtioとは VirtFSとは QEMU Coroutine 各種スレッド メッセージハンドラの呼ばれ方 Coroutineの利用 VirtFSにおけるファイル共有 V9fsFidState構造体 reclaim unreclaim clunk 脆弱性解説 PoC概要 修正 まとめ おわりに 参考 読む前に 事前に言っておくと、権限昇格のExploitは
これまで様々な開発組織を牽引してきた株式会社LayerX 執行役員の名村卓さん、Ms.Engineer株式会社 Mother of Engineerの齋藤匠さんのお二人に、株式会社Flatt Security CTOの米内貴志がお話を伺う鼎談企画。 経営・マネジメントの立場から「セキュアな開発組織」のあり方について語り合った前編と打って変わって、後編ではお二人の"新人エンジニア時代"のエピソードを教えていただきました。 今やトップエンジニアとして経営・マネジメントに携わる名村さんと齋藤さんはどんな新人時代を過ごし、どのようにスキルアップしていったのでしょうか? 3人の若手エンジニア時代の秘蔵写真とともに振り返ります! ▼前編記事はこちらから flatt.tech 新人時代は"エンジニアがブラックだった時代" 今の新卒エンジニアの方が苦労している? 「調べて手を動かす」にハマった新人時代 こ
SECURE CODING Dojo #230分で理解できる、セキュアなWeb開発を「いい感じ」に始める方法(Python編) イベント概要プロダクトの抱えるセキュリティリスクを最小限にし、安定したプロダクト提供を実現していくためには、一人ひとりの開発者が高いセキュリティ意識を持っていることが重要です。 しかし、そもそもセキュリティについて常に意識し続けながら開発を進めるためには慣れが必要ですし、どうしてもミスをしてしまうこともあります。そもそも、セキュリティに関する知識を全員が高く持てているチームはそう多くありません。 そこで本ウェビナーでは、そんな不安を軽減しつつセキュアな Web サービス開発を進めていくための “備え” として、以下を紹介します。 シフトレフト・DevSecOpsの考え方自社 Web アプリケーションをセキュアにしていくためのベストプラクティス(※ とりわけ今回は
Follow @Openwall on Twitter for new release announcements and other news [<prev] [next>] [thread-next>] [day] [month] [year] [list] Message-ID: <20240329155126.kjjfduxw2yrlxgzm@awork3.anarazel.de> Date: Fri, 29 Mar 2024 08:51:26 -0700 From: Andres Freund <andres@...razel.de> To: oss-security@...ts.openwall.com Subject: backdoor in upstream xz/liblzma leading to ssh server compromise Hi, After obse
この記事について 最近(5.4〜6.0)のSpring Securityでは、セキュリティ設定の書き方が大幅に変わりました。その背景と、新しい書き方を紹介します。 非推奨になったものは、将来的には削除される可能性もあるため、なるべく早く新しい書き方に移行することをおすすめします。(既に削除されたものもあります) この記事は、Spring Securityのアーキテクチャの理解(Filter Chain、 AuthenticationManager 、 AccessDecisionManager など)を前提としています。あまり詳しくない方は、まずopengl_8080さんのブログを読むことをおすすめします。 サンプルコード -> https://github.com/MasatoshiTada/spring-security-intro 忙しい人のためのまとめ @Configuration
【Team & Project】LINEのSecurity consultation and risk assessmentに関わる業務を担当しているチームを紹介します LINEの開発組織のそれぞれの部門やプロジェクトについて、その役割や体制、技術スタック、今後の課題やロードマップなどを具体的に紹介していく「Team & Project」シリーズ。 今回は、LINE全体のサービスの企画段階におけるセキュリティ観点の検討、セキュリティコンサル、セキュリティリスクアセスメントの業務を担当しているApplication Securityチームを紹介します。 Application SecurityチームのLunde Robin、Oh Sehunに話を聞きました。 Application Securityチームのzoom会議の様子 ―― まず、自己紹介をお願いします。 Robin: LINEでSe
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く