最近は寒さも和らぎ、日中は過ごしやすい日々が続いていますね。
個人的には、2017年度に入り公私ともにいろいろあって、慌ただしい日々を過ごしています。
皆様はいかがお過ごしでしょうか?>特にマスタオさん、元気?
セキュリティの世界では、先日再び発見されたApache Struts2の脆弱性が尾を引いており、被害は未だ続いているようです。
パッチ公開前の脆弱性を防ぐ手立てはほぼないので、対処が難しいところではありますが。(今回の脆弱性は3/9にパッチリリース済み)
あるいはWAFで想定入力以外すべてフィルタするような設計にすればとも思いますが、現実的ではないでしょうし...。
そもそも運用系サーバのパッチ適用は、動作確認も含め1日2日でできない難しさがあります。
防御も大事ですが、被害を想定し傷を浅くする方策(DBに記録する情報は暗号化する、被害に早く気付く監視、インシデントレスポンスの迅速化etc.etc...)が必要なのでしょうね。
コメント