【転載】CIS Benchmarks July 2020 Update - CIS

CIS Benchmarks July 2020 Update - CIS:


CIS Amazon Elastic Kubernetes Service (EKS) Benchmark v1.0.0

Prescriptive guidance for running Amazon Elastic Kubernetes Service (EKS) following recommended security controls. The CIS Bbenchmark only includes controls which can be modified by an end user of Amazon EKS.

Download the CIS Amazon Elastic Kubernetes Service (EKS) Benchmark v1.0.0

Our members can visit CIS WorkBench to download other formats and related resources.

CIS Linux Benchmark Releases

Thank you to all of our Community volunteers who contributed their time and expertise towards these updates in the form of tickets, comments, and joining our editor calls. Your contributions are invaluable to our consensus process. Special thanks to Jon Christopherson, James Trigg and Richard Costa without whose help the following CIS Linux Benchmarks would not have been possible.

CIS CentOS Linux 7 Benchmark v3.0.0*

Prescriptive guidance for establishing a secure configuration posture for CentOS Linux 7 systems running on x86 and x64 platforms. The document was tested against CentOS 7.8.

Download the CIS CentOS Linux 7 Benchmark
Our members can visit CIS WorkBench to download other formats and related resources.

CIS Oracle Linux 7 Benchmark v3.0.0*

Prescriptive guidance for establishing a secure configuration posture for Oracle Linux 7 systems running on x86 and x64 platforms. The document was tested against Oracle Linux 7.8.

Download the CIS Oracle Linux 7 Benchmark
Our members can visit CIS WorkBench to download other formats and related resources.

CIS Red Hat Enterprise Linux 7 Benchmark v3.0.0*

Provides prescriptive guidance for establishing a secure configuration posture for Red Hat Enterprise Linux 7 systems running on x86 and x64 platforms. The document was tested against Red Hat Enterprise Linux 7.8

Download the CIS Red Hat Enterprise Linux 7 Benchmark
Our members can visit CIS WorkBench to download other formats and related resources.

CIS SUSE Linux Enterprise Server 15 Benchmark v1.0.0*

Prescriptive guidance for establishing a secure configuration posture for SUSE Linux Enterprise 15 SP1 systems running on x86 or x64 platforms. The document was tested against SUSE Linux Enterprise Server 15 SP1.

Download the CIS SUSE Linux Enterprise Server 15 Benchmark
Our members can visit CIS WorkBench to download other formats and related resources.

CIS Ubuntu Linux 20.04 Benchmark v1.0.0

Prescriptive guidance for establishing a secure configuration posture for Ubuntu Linux systems running on x86 and x64 platforms.

Commands and scripts are provided which should work on most Debian derived Linux distributions, however some translation to local styles may be required in places.

Many lists are included including filesystem types, services, clients, and network protocols. Not all items in these lists are guaranteed to exist on all distributions and additional similar items may exist which should be considered in addition to those explicitly mentioned.

Our members can visit CIS WorkBench to download other formats and related resources.

* The guidance within broadly assumes that operations are being performed as the root user. Operations performed using sudo instead of the root user may produce unexpected results, or fail to make the intended changes to the system. Non-root users may not be able to access certain areas of the system, especially after remediation has been performed. It is advisable to verify root users path integrity and the integrity of any programs being run prior to execution of commands and scripts included in these CIS Benchmarks.

CIS Check Point Firewall Benchmark v1.1.0

Prescriptive guidance for establishing a secure configuration posture for Check Point Firewall versions R75.x – 80.x installed on Gaia Platform. The guide was tested against Check Point R80.10 installed on Gaia.

Download the CIS Check Point Firewall Benchmark
Our members can visit CIS WorkBench to download other formats and related resources.

CIS Google Kubernetes Engine Benchmark v1.1.0

This CIS Benchmark only includes controls which can be modified by an end user of GKE. For information on GKE's performance against the CIS Kubernetes Benchmarks, and for items which cannot be audited or modified, see the GKE documentation.

Download the CIS Google Kubernetes Engine Benchmark
Our members can visit CIS WorkBench to download other formats and related resources.

CIS Microsoft SQL Server Benchmark Releases

The following CIS Microsoft SQL Server Benchmarks have been released, providing prescriptive guidance for establishing a secure configuration posture for Microsoft SQL Server. Each guide was tested against the associated version as noted in the CIS Benchmark.

  • CIS Microsoft SQL Server 2019
  • CIS Microsoft SQL Server 2016
  • CIS Microsoft SQL Server 2014
  • CIS Microsoft SQL Server 2012
  • CIS Microsoft SQL Server 2008 R2
Download the CIS Microsoft SQL Server Benchmark Releases
Our members can visit CIS WorkBench to download other formats and related resources.

CIS Microsoft Windows Server 2016 RTM (Release 1607) Benchmark v1.2.0

This guide was tested against Microsoft Windows Server 2016 Datacenter. The community made several changes to improve this CIS Benchmark:

  • Added 15+ new security settings
  • Moved and renamed several settings due to updated ADMX templates
  • Updated 20+ recommendations that were outdated
  • Removed 5+ settings that were outdated
The full change log is included at the end of both the PDF and DOC versions.

A huge thank you to the Windows Community and Team for making this happen, and special thanks to Haemish Edgerton.

Download the CIS Microsoft Windows Server 2016 RTM (Release 1607) Benchmark
Our members can visit CIS WorkBench to download other formats and related resources.

CIS Oracle Database 18c Benchmark v1.0.0

Prescriptive guidance for Oracle Database 18c. The guide was tested against Oracle Database 18c installed with and without pluggable database support running on a Windows Server instance as a stand-alone system and running on an Oracle Linux instance also as a stand-alone system. Future Oracle Database 18c critical patch updates (CPUs) may impact the recommendations included in the document.

Download the CIS Oracle Database 18c Benchmark
Our members can visit CIS WorkBench to download other formats and related resources.

CIS VMware ESXi 6.7 Benchmark v1.1.0

Prescriptive guidance for establishing a secure configuration posture for VMware ESXi 6.7. The guide was tested against VMware ESXi 6.7.

Download the CIS VMware ESXi 6.7 Benchmark
Our members can visit CIS WorkBench to download other formats and related resources.
CIS_Benchmarks_Community

Get involved by helping us develop content, review recommendations, and test CIS Benchmarks. Join a community today! We're looking for contributors for the following technologies:

  • Amazon Web Services
  • Zoom Video Communication
  • Cisco - NX-OS
  • Oracle MySQL
Have questions about the CIS Benchmark development process, how you can contribute, or how to get involved? Reach out to us at benchmarkinfo@cisecurity.org. You can also learn more on the CIS Benchmarks Community page.

Labels: , ,

【転載】GmailのインターフェースからGoogle Meetのアイコンを削除する方法

GmailのインターフェースからGoogle Meetのアイコンを削除する方法:

GmailのインターフェースからGoogle Meetのアイコンを削除する方法Screenshot: ライフハッカー[日本版]編集部

これまでGoogle Meetのことを知らなかった人も、今はきっとご存知でしょう。少なくとも、私はGmailを立ち上げるたびに、Google Meetという無料のビデオチャットアプリの存在を目にします。

専用アイコンが、デスクトップの場合は受信トレイの一角に、iPhoneの場合はGmailアプリの下の方に登場するからです。

Google Meetが悪いわけではありません。しかし、そこまで前面に出てこられると、それを使わない人や当面は使う必要がない人には、煩わしいかもしれません。

しかし、この問題はウェブ版でもAndroidiOSでも解消できます。もちろん少しばかり手間はかかりますが。

ウェブ版GmailからGoogle Meetのアイコンを削除する方法

ウェブ版のGmailの場合、Google MeetはGmailのインターフェースの隅っこにあるので、それほど邪魔になりません。

googlemeet2Screenshot: David Murphy

とはいえ、使うつもりがないものをわざわざ置いておく必要はありません。

Google Meetやハングアウト(私はどちらも使いません)を削除するには、Gmailのインターフェースにある歯車型のアイコンをクリックして、「すべての設定を表示」を選択します。

gmail202007231_1Screenshot: ライフハッカー[日本版]編集部

そこの「チャットと会議」から「チャット」と「Meet」のタブを探してクリックすると、2つのシンプルなオプションが出てきます。

チャットと会議の設定Screenshot: ライフハッカー[日本版]編集部

両方を無効にすると、GmailのインターフェースからハングアウトやMeetのアイコンが消えます。

(少なくとも、Googleが他の設定を変更してこの設定を無効にしない限りはその状態が続きます)

Android/iOS/iPadOSのGmailアプリからGoogle Meet表示を削除する

正直に言うと、私がこの記事を書こうと思ったのは、自分のiPhoneでGmailアプリがアップデートされて、Gmailを開くとGoogle Meetが真正面に出てくるようになったからです。

gmail202007231_3Screenshot: ライフハッカー[日本版]編集部

この位置にあるGoogle Meetのアイコンを削除するには、Gmailアプリの左上の隅にある三本線アイコンをタップし、サイドバーの一番下までスクロールして、「設定」をタップします。

Gmailのアカウント名をタップして、デフォルトで有効になっている「Meet」を探しましょう。

gmail202007231_4Screenshot: ライフハッカー[日本版]編集部

この設定を無効にすると、「Meet」という小さなアイコンが消えます。これで画面のわずかな面積が解放されるので、ささやかながら貴重な裏ワザと言えます。

Google Meetの小さなアイコンがGmailのインターフェースにまだ出ていない、あるいは、アプリを最新バージョンに更新してもやはり出てこない、という人も心配無用です。

現在Googleは段階的にさまざまな機能をロールアウトしており、Google Meetもその1つなので、そのうちに出てきます。

ただ、私の場合は、Google Meetのこのアップデートはあまり必要ありません。もちろん、読者の中にはGoogle Meetに既に夢中になっている人もいると思いますが。

あわせて読みたい

Screenshot: ライフハッカー[日本版]編集部,David Murphy

David Murphy – Lifehacker US[原文
Labels: ,

【転載】#Sodinokibi/#REvilは日本舶用品検定協会を被害者と主張。

#Sodinokibi/#REvil claimed HAKUYOHIN as a victim. ����

A translation, "The Japan Ship Supplies Certification Association provides verification and inspection services for ship products and contributes to maritime safety and environmental conservation.": #Sodinokibi/#REvil claimed HAKUYOHIN as a victim. ����



A translation, "The Japan Ship Supplies Certification Association provides verification and inspection services for ship products and contributes to maritime safety and environmental conservation."

Eeg9NFsX0AEow2N.png:large

Labels: ,

【転載】ここが変だよ日本のセキュリティ 第41回 「これでパスワードの不安はパッと消えますよ!」(前編)

ここが変だよ日本のセキュリティ 第41回 「これでパスワードの不安はパッと消えますよ!」(前編):

何だね君はぁ!「ども、重苦しい自粛の雰囲気を吹き飛ばす高校生カップル、二次元殺法コンビですよ!何しろ 2 次元カップルは、デートしても存在がバーチャルだから、どんなに濃厚接触しても感染が広がることはありません!」今回は長年の課題であるパスワードについて徹底的に説明します。もうね、長すぎて三部作になったよ。



● 2019 プレイバック!! 2019 ってそんな昔だっけ?



 久しぶりなので、冒頭にちょいとサービス。IPA とか JNSA などで 10 大脅威とか 10 大ニュースとか 10 大インシデントとか、年初によく見かけたと思う。でも、2019 年を振り返ってみれば、SMS を使用した不正送金は急増したけど、サイバーセキュリティに大きな被害は少なかった。G20 サミットを狙ったサイバー攻撃も、ラグビー W 杯を狙ったサイバー攻撃も、大した攻撃は無かった。台風による災害や交通事故、殺人事件など凄惨な被害や事件が多かった中で、令和元年の祝賀ムードを壊したくなくって、国民は One Team となってラグビー日本代表の活躍だけを見つめた年末だった。



 おっと、1 年前の三菱電機、NEC、神戸製鋼所、パスコの防衛産業を狙った不正アクセスは、防衛に関わるような極端に機密性の高い情報を扱う企業以外は、参考にしなくていいぞ。攻撃側に大きなメリットが無い限り、費用対効果から考えて高度で執拗な攻撃は、中小企業はもちろん多くの大企業でも関係無い。攻撃者だって、ビジネスや国の仕事でやっているんだ、無駄働きはしない



 情報漏洩でいうなら、宅ふぁいる便 480 万件、神奈川県庁のHDD、このどちらも、漏洩した当事者の管理はあまりにずさんで、高度で執拗なサイバー攻撃なんかじゃない。



 ビットポイントの仮想通貨流出については事件の真相が明らかではない。トヨタ紡織の子会社と楽天が被害にあったビジネス詐欺は・・・別にサイバーに区分しなくても構わないんじゃない? 普通の詐欺でしょう



 サイバー攻撃らしくて、対策しないと防げなかった事例は、7Pay と Emotet くらいじゃないか。先進的な対策として注目された脅威インテリジェンスとか、脅威ハンティングとか、Red Team とか、2019年サイバー事件簿には、あんまり役に立たないんじゃなくなくねぇか。唯一、まぁ EDR だけが Emotet に役立ちそうだけど…。



 という訳で、2020 年コラムを書いている最中も、状況がコロコロ変わる。ロンドン オリンピックを狙ったサイバー攻撃は 2 億回! なんてパワーワードも簡単に吹っ飛んだ。こういう余力が無い時ほど、基本に立ち返ろう。やらなければいけないことは何だ。体力的に弱っているところには、少しの上乗せでも大きなダメージになる。よくいうラストストロー、「我慢強いラクダの背中を壊すのは最後の一本の藁」ということわざもある。CSIRT は今こそ考えに考え抜いて、必要な対策が足りているかを見極める時だ。



 筆者は、基本的にパッチ適用とパスワード管理が適切に行われていれば、換金性の高いインターネット・バンキングや仮想通貨関連企業、クレジットカード情報を扱う EC サイト以外は、そうそうはインシデントは起きないと考えている。そもそも情報漏洩を防ぐ目的は、個人情報や取引先といったお客様の情報は、取り返しがつかないから守るんだ。自社の機密情報なんて、研究や特許といった知的財産と、企業買収などインサイダーに絡むレベルの営業機密以外は、漏れても結構どうでもいい。リスク分析で万が一とか考えていくと、リスクはどんどん膨らんでいくし、どこの部署の担当者に聞いても、自分の部署の情報は最重要情報だと言うよ。「この中で情報漏洩したことの無い会社だけが、まず、この会社に石を投げなさい」

《2次元殺法コンビ》


Labels: ,

2020年上半期に公開されたセキュリティ関連文書まとめ(転載)


2020年上半期に公開されたセキュリティ関連文書まとめ:

リアルタイムには情報を追っておらず、お知らせ一覧等から調べているため抜けがあるかもしれません。

ルールは以下。

  • 公共性の高いものを載せています
  • WGや研究会の純粋な活動報告書、個別のインシデント・脆弱性は載せていません
情報源はこの辺。

security.nekotricolor.com



政府機関

セキュリティ関連団体

IPA

文書タイトル 公開日
「制御システム関連のサイバーインシデント事例」シリーズ - Stuxnet:制御システムを標的とする初めてのマルウェア 2020/03/16
「制御システム関連のサイバーインシデント事例」シリーズ - 2019年 ランサムウェアによる操業停止 2020/03/16
「2019年度情報セキュリティの倫理に対する意識調査」報告書 2020/03/17
「2019年度情報セキュリティの脅威に対する意識調査」報告書 2020/03/17
(ドイツBSI) 産業用制御システム(ICS)のセキュリティ -10大脅威と対策 2019- 2020/03/18
「企業のCISO等やセキュリティ対策推進に関する実態調査」報告書(アンケート記入で入手可) 2020/03/25
サイバーセキュリティ経営ガイドライン実践状況の可視化ツールβ版 2020/03/25
情報システム等の脆弱性情報の取扱いに関する研究会 2019年度報告書 2020/03/25
アジャイル開発版「情報システム・モデル取引・契約書」 2020/03/31
「組込み/IoTに関する動向調査」調査報告書 2020/03/31
「組込み/IoTに関する動向調査」調査報告書(データ編) 2020/03/31
情報セキュリティ10大脅威 2020 2020/04
デジタル・トランスフォーメーション(DX)推進に向けた企業とIT人材の実態調査 ~ 詳細編~ 2020/05/14
DX推進指標 自己診断結果 分析レポート 2020/05/28
情報セキュリティ対策支援サイト(刷新版) 2020/05/28
情報セキュリティ診断サイト(刷新版) 2020/05/28
サイバーセキュリティ経営ガイドラインVer 2.0実践のためのプラクティス集 第2版(アンケート記入で入手可) 2020/06/09
AI白書2017(PDF版公開) 2020/06/10
「2019年度 中小企業の情報セキュリティマネジメント指導業務」報告書 2020/06/15
マルチプラットフォームシステムでのセキュリティ対策のPoC(概念実証)報告書 2020/06/23

フィッシング対策協議会

文書タイトル 公開日
フィッシングレポート 2020 2020/06/02
フィッシング対策ガイドライン 2020/06/02
利用者向けフィッシング詐欺対策ガイドライン 2020/06/02
Labels: ,

【転載】ハッキングスキルを向上させるサイトについて列挙してみた - shikata ga nai

ハッキングスキルを向上させるサイトについて列挙してみた - shikata ga nai:

1596250211

Hello there, ('ω')ノ

ハッキングスキルを向上させるサイトは以下のとおりで。

Embedded Security CTF
 https://microcorruption.com/

EnigmaGroup
 https://www.enigmagroup.org/

Google Gruyere

 http://google-gruyere.appspot.com/

Gh0st Lab

 http://www.gh0st.net/

Hack This Site
 http://www.hackthissite.org/

HackThis

 http://www.hackthis.co.uk/

HackQuest

 http://www.hackquest.com/

Hack.me

 https://hack.me/

Hacking-Lab
 https://www.hacking-lab.com/

Hacker Test
 http://www.hackertest.net/

Halls Of Valhalla
 http://halls-of-valhalla.org/beta/challenges/

Hax.Tor

 http://hax.tor.hu/

OverTheWire

 http://www.overthewire.org/wargames/

CSC Play on Demand

 https://pod.cybersecuritychallenge.org.uk/

Root Me

 http://www.root-me.org/

Security Treasure Hunt

 http://www.securitytreasurehunt.com/

ThisIsLegal
 http://thisislegal.com/

Try2Hack

 http://www.try2hack.nl/

Best regards, (^^ゞ
Labels: ,

ベースフードと金のビーフシチューは最高の組み合わせ!



昨日ベースフードが届き、中に「BASE FOOD JOURNAL」なるものが入っていた。

コンビニアレンジ特集があり、面白そうなものがあったのでメモがてら残しておきたい。

個人的に次回チャレンジしてみたいのはジャージャーベース麺。

セブンイレブンのジャージャー麺の素で出来るみたいなので、ぜひ挑戦してみたい。

ちなみにセブンイレブンの金のビーフシチューは旨い。

最近のレトルト食品はパッケージの技術革新が進んでおり、レトルトパックのままレンジアップできる。

レトルトパックのままレンジアップできる時点で感動ものなのだが、金のビーフシチューはマジで旨い。

この金のビーフシチューとベースブレッドの組み合わせは結構神ってる。

あと、個人的にはセブンイレブンでたまに売っている「オマール海老のビスク」とベースブレッドの組み合わせも侮れない。

オマール海老のビスクも個人的には傑作である。

なんかまとまりのないブログになってしまったが、まとめると、

・今度ジャージャー麺の素でベースヌードルを食す

・セブンイレブンの金のビーフシチューはすげー旨い

・セブンイレブンのオマール海老のビスクもかなり旨い

以上。

Labels:
登録: 投稿 (Atom)