sidetech

(元)インフラエンジニアの寄り道メモ。

どうにも止まらない。

明日は我が身。。。いあ事実に気が付いていないだけかもしれない。

 

ちょっと私が気になったのはスイマセン、情報漏洩内容とかそのキッカケや結果ではなく、発覚から隔離までの時間です。

CSIRTメンバーが居る事もセキュリティ監査チームやCISOが居る事も含め体制はしっかりして居る様に思えるし、検証サーバーという死角になりそうなポイントもそうなんですが、1時間45分という連携時間が気になります。

もしかしたら隔離すると動きがわからなくなってという別の事情から隔離まで時間がかかったのか。それともフローの問題か、権限の問題か。

 

私だったらどうするかな。

発見・報告と同時に暫定的に隔離するかもしれないな。攻撃の内容によっては二次被害が怖い。

でもこれが関連システムを担っているサーバーだったら止められるかな。1つのサービスぐらいで状態次第では腹くくれるけど複数のシステムに影響する様だとやはり連絡に時間を要する事になるか。

 

他人事ではないのはわかっているんだけどね。。。^_^;

 

先日

http://www.nhk.or.jp/professional/2017/0619/

これを見たばっかりなんだよね(ーー;)