Habr19h ago

Страшно, когда не видно: аудит сетевых устройств

Представьте, что вы не знаете, какие устройства подключены к вашей сети, как они настроены и что там происходит. Страшно? Ещё бы! Многие компании как раз так и живут — не уделяют внимания аудиту сетевого оборудования. А зря. Без такой инвентаризации невозможно ни нормально управлять ИТ-инфраструктурой, ни защититься от угроз. Мы наблюдаем в инфраструктуре клиентов это так часто, что поняли – нужно выдать базу. Мы – это руководитель практики развития MaxPatrol Carbon Константин Маньяков и эксперт центра безопасности (PT ESC) Данил Зарипов, и в этой статье мы будем разбираться в ключевых аспектах аудита сетевых устройств, его роли в построении эффективного управления активами и повышении уровня защищенности ИТ-инфраструктуры.

https://habr.com/ru/companies/pt/articles/1016806/

#maxpatrol_carbon #ptesc #pci_dss #cdp #lldp #mitm #arpspoofing #edr #bgp #nat

Страшно, когда не видно: аудит сетевых устройств

Представьте, что вы не знаете, какие устройства подключены к вашей сети, как они настроены и что там происходит. Страшно? Ещё бы! Многие компании как раз так и живут — не уделяют внимания аудиту...

Хабр
HabrFeb 17, 2025

Как уронить и поднять сервис безопасности платежей за одну ночь

Привет, Хабр! На связи Антон Семенов. Я руковожу группой электронных платежей и систем клиентского сервиса АШАН ТЕХ. АШАН ТЕХ — ИТ-компания торговой сети «АШАН Ритейл Россия». Наша главная задача — поддерживать цифровую трансформацию и реализацию ключевых бизнес-задач ритейлера. Сегодня расскажу вам, как за одну ночь мы успели уронить и починить нашу платёжную страницу на сайте и в мобильном приложении, проведя миграцию в ускоренном режиме.

https://habr.com/ru/specials/882650/

#3D_Secure #3ds #ecommerce #ритейл #платёжные_системы #платежные_карты #безопасность #аутентификация #pci_dss #ашан_тех

Как уронить и поднять сервис безопасности платежей за одну ночь

Привет, Хабр! На связи Антон Семенов. Я руковожу группой электронных платежей и систем клиентского сервиса АШАН ТЕХ. АШАН ТЕХ — ИТ-компания торговой сети «АШАН Ритейл Россия». Наша главная задача — поддерживать цифровую трансформацию и реализацию ключевых бизнес-задач ритейлера.Сегодня расскажу вам, как за одну ночь мы успели уронить и починить нашу платёжную страницу на сайте и в мобильном приложении, проведя миграцию в ускоренном режиме.

Хабр
 DevelopersIOJun 25, 2024

AWS環境におけるPCI DSS v4.0 に対応したセキュリティ対策を考える
https://dev.classmethod.jp/articles/security-measures-for-pcidss-v4-0-in-aws/

#dev_classmethod #AWS #PCI_DSS #PCI_DSS_4_0

AWS環境におけるPCI DSS v4.0 に対応したセキュリティ対策を考える | DevelopersIO

はじめに こんにちは。AWS事業本部コンサルティング部に所属している和田響です。 この記事では、AWS環境にてクレジットカード業界のセキュリティ基準であるPCI DSS v4.0に準拠するための対応を、AWSの提供するコンプライアンスガイドをもとに考えていきます。 PCI DSS対応の勘所や、AWSサービス理解の一助になれば幸いです。 ソース 本記事は2023年10月9日にAWSから公開されている、Payment Card Industry Data Security Standard (PCI DSS) v4.0 on AWSをもとに、PCI DSSの各要件に必要なAWSでの対応を簡単にまとめていきます。 前提 PCI DSSの各要件について考える前に、 AWS環境でのPCI DSS準拠を考えるために重要な前提を整理します。 共有責任モデル AWSはセキュリティの責任範囲をAWSとお客様で明確に定義しています。 PCI DSSの対応をするうえで、「我々はどこからどこまで対応する必要があるのか」を考える必要があります。 例えばお客様がPCI DSS等の認証の取得を考えた場合、全ての要件を自社で管理を行うことは非常に負荷が高く、コストもかかる作業となります。AWSはPCI DSSを含めた様々なコンプライアンスプログラムや第三者認証に取り組んでおり、お客様は自らの認証の範囲からデーターセンターの物理的な統制を除外することができます。 引用:https://aws.amazon.com/jp/blogs/news/rethinksharedresponsibility/ 具体的には以下の図のように責任範囲が定義されています。 参考:https://aws.amazon.com/jp/compliance/shared-responsibility-model AWS側は、クラウドで提供されるすべてのサービスを実行するインフラストラクチャの保護について責任を負います。 お客様側は、EC2などのIaaSの場合はOS管理 (更新やセキュリティパッチなど)、インスタンスにインストールしたアプリケーションソフトウェアまたはユーティリティの管理、セキュリティグループの構成に責任を負います。Amazon S3やAmazon DynamoDBなどの抽象化されたサービスの場合はデータの管理 (暗号化オプションを含む)、アセットの分類、IAM ツールでの適切な権限の適用について責任を負います。 適用範囲の特定 PCI DSS要件は以下の3種類のシステムに対して適用されます アカウントデータを保存、処理、送信するコンポーネント 1のリソースに接続されているコンポーネント カード会員データ環境(CDE)のセキュリティに影響を与えうるコンポーネント アカウントデータのすべての場所とフロー、およびCDEに接続されているか、CDEのセキュリティに影響を与えるすべてのシステムを特定し、少なくとも年に一度(年次評価前に)その範囲の正確性を確認する必要があります。 またこれらを示すために、データフロー図やネットワーク図を作成・維持することが求められています。 セグメンテーション PCI DSSにおけるセグメンテーションとは、物理的または論理的な方法でネットワーク内の特定のセグメントへのアクセスを制限することで、PCI DSS評価の範囲を限定し、リスクを減少させることを目的としています。 カード会員データ環境(CDE)を必要最小限の範囲にすることで、セキュリティリスクを軽減させるだけではなく、PCI DSSの適用範囲を絞ることができます。このような背景から、セグメンテーション自体はPCI DSSの要件ではないものの俗にPCI DSS要件0と呼ばれています。 要件1:ネットワークセキュリティコントロールの導入と維持 要件1は、ネットワークセキュリティとCDEへのネットワークアクセスの制限を求めています。 AWSでは、VPC、セキュリティグループ、ネットワークACL、およびIAMを用いてこれらを実装できます。 1.2 この要件では、ネットワークセキュリティコントロール(NSC)の設定および管理について求めています。AWSでは、セキュリティグループとネットワークACLの設定によりこれらを実装できます。 セキュリティ管理サービスの一つであるAWS Firewall Managerを用いることで、VPC全体で許可および禁止されるセキュリティグループを定義するポリシーを作成することができ、アカウントやアプリケーション全体でNSCルールを集中管理および設定するのに役立ちます。 1.3 この要件では、CDEネットワークへのアクセス制限が求められています。セキュリティグループを使って、IPアドレス、ポート、およびプロトコルによってトラフィックを制限することができます。デフォルトではセキュリティグループはすべてのアウトバウンド接続を許可しますが、PCI DSS準拠のためにはアウトバウンドルールも適切に設定する責任があります。 1.4 この要件では、信頼されたネットワークと信頼されていないネットワーク間のアクセス制限が求められています。CloudFrontやAPI Gatewayによって、信頼されていないネットワーク(通常はインターネット)とから、信頼されたネットワーク(内部ネットワーク)への通信を制限し、エンドポイントによってインターネットを経由しないプライベートなアクセスを実装でき、IAMを使って適切な権限管理を行う必要があります。 要件2:すべてのシステムコンポーネントにセキュアな設定を適用する 要件2は、デフォルトパスワードの変更、不要なソフトウェア、機能、アカウントの削除、不要なサービスの無効化または削除といったシステムの構成要素に安全な設定を施すことで、攻撃者がシステムを侵害するために利用できる手段を減らすことを求めています。 2.2 この要件では、具体的なシステムの安全な設定について以下の対応を求めています。 構成基準の定義 AWSリソースのセキュリティ設定基準を定義・維持する責任があり、これらの標準は業界で認められたシステム強化標準に準拠している必要があります。AWSでは以下のセキュリティガイドを公開しており、構成基準策定に役立てることができます。 AWS Well-Architected Framework: Security Pillar Center for Internet Security (CIS) Benchmark for AWS Best Practices for Security, Identity, & Compliance AWS Trusted Advisor Top 10 security items to improve in your AWS …

クラスメソッド発「やってみた」系技術メディア | DevelopersIO
 DevelopersIOJun 20, 2024

『Welcome Fintech Community #1 〜各社の決済システムの裏側大解剖SP!〜』に参加してきた
https://dev.classmethod.jp/articles/welcome-fintech-community-1/

#dev_classmethod #FinTech #PCI_DSS #PCI_DSS_4_0

『Welcome Fintech Community #1 〜各社の決済システムの裏側大解剖SP!〜』に参加してきた | DevelopersIO

はじめに こんにちは。AWS事業本部コンサルティング部に所属している和田響です。 本日はFintechに関するオフラインイベントであるWelcome Fintech Community #1 〜各社の決済システムの裏側大解剖SP!〜に参加してきました。 イベントで学べたことをセッションレポートして記載します。 参加の背景 現在私はPCI DSSについて学習中で、connpassに「PCI DSS」と検索してヒットしたのが本イベントでした。 Fintech(フィンテック)という言葉もあまり聞き慣れなかったのですが、前日に「Fintech とは」で検索した知識だけで参加しました。 参考:FinTech(フィンテック)とは何ですか? 本イベントの概要 本イベントは、BASE株式会社、株式会社スマートバンク、PAY株式会社の3社によって発足されたイベントで、「金融業界xテクノロジー」に関わる方の学習や交流を目的としているようです。 以下、イベントページの引用です。 今回のテーマは「各社の決済システムの裏側大解剖SP!」 Fintechのことをもっと気軽に、楽しく学び会える場を目指して発足したWelcome Fintech Community。 記念すべき第一回目は、「各社の決済システムの裏側大解剖SP!」と題して、各会社の決済システムの概要と共に、エンジニアリング的にたのしいところ、難しいところをざっくばらんにご紹介いただきます! 決済領域には、お店、決済代行業者、アクワイアラ、ブランド、イシュアーなど様々なプレイヤーが登場します。それぞれの立場によって作る決済サービスは大きく異なるので、各社どのような立場から、どのような決済サービスを作り、どのようにサービスが連動して動いているのかに注目です! また、質問や意見交換をする時間も設けますので、「どこまで内製?」「Fintechの面白さって?」「内製の強みは?」「Fintechならではの難しさは?」「用語とか専門知識ってどうやってキャッチアップしてる?」などなど、気になることをドシドシ聞いてみてください! Fintechは全く未開の地!という方の参加も大歓迎です!みんなで知識や見聞を広げていきましょう! セッションレポート 計3つのセッションのうち、以下の2つを公聴することができました。(最初のセッション「BASEカードから見る決済サービス」は時間の関係で参加できませんでした。。。) カード発行会社(イシュア)を支えるシステム解説 このセッションでは株式会社スマートバンクの堀井雄太様による、カード発行会社(イシュア)のシステムアーキテクチャをもとに、PCI DSSに準拠したシステム開発のTIPSを紹介していただきました。 ちなみに、イシュアとは以下の経済産業省の提示するクレジットカード・セキュリティガイドラインにおいて定義された1号事業者に該当します。 1号事業者:カード発行会社(イシュアー) 2号事業者:加盟店※ 3号事業者:カード会社(アクワイアラー) 4号事業者:決済代行業者等 5号事業者:QR コード決済事業者等 6号事業者:5号事業者の委託会社 7号事業者:加盟店向け決済システム提供事業者 AWS環境におけるPCI DSS v4.0への準拠といった、私の勉強中の領域にドンピシャだったため聞き入っていました。 https://t.co/OFyaEyyYUh#welcome_fintech pic.twitter.com/Fz86mZAfZT — 三谷 昌平 | SmartBank (@shohei1913) June 20, 2024 PCI DSS準拠にあたって、カード会員データ環境(CDE)のセグメント分けが非常に重要だということを学ぶことができました。 カード会員データ環境(CDE)を最小限にすることによって、セキュリティリスクを軽減するだけでなく、運用コストを軽減するといった現場の生の声を聞くことができました。 不審アクセスポイントを狩る ― PCI DSS ケーススタディ このセッションではPAY株式会社のスミス クリストファー様による、PCI DSS認定後の運用の話を聞くことができました。 あらゆるシステムはリリースして終わりではなく、適切な運用を行う必要があります。PCI DSSにおいても運用について求められている基準があります。 このセッションではその中でも要件11.12に準拠したケーススタディを紹介していただきました。 Cisco Merakiという製品を用いて疑いのあるアクセスポイントを「検出→対象の発見→駆除→被害調査→原因調査→再発防止策検討」するといったユースケースについて学ぶことができました。 パネルディスカッション LT終了後には発表者のパネルディスカッションを行なっていただきました。 「Fintechの楽しさは何か?」「業界未経験から活躍できるか?」といったテーマで議論したのち、X(旧Twitter)の投稿からの質問回答を行なっていただきました。 参加者からの質問では「絶対こっち側のエンジニアでしょ!!」とスピーカーを唸らせる鋭い質問が多く、非常に盛り上がっていました。 Xでの様子はこちらから。 https://x.com/hashtag/welcome_fintech?src=hashtag_click. 懇親会 パネルディスカッションあとは任意参加の懇親会が1時間ほど行われ、登壇された方と話すこともできました。 みなさん口を揃えて「Fintechにテーマを絞ってみたけど、こんなに参加してくれて嬉しい!!」と言っていました! また、参加者も強者揃いで、PCI DSSについて色々なTIPSをご教授いただきました。 その道のプロフェッショナルの皆さんと交流ができて非常に素晴らしい1時間でした。 最後に 本イベントは今回が第1回ということで、第2回以降の開催も検討しているみたいです! 気になる方はconnpassのブックマークをポチッとしておきましょう!

クラスメソッド発「やってみた」系技術メディア | DevelopersIO
 DevelopersIOJun 18, 2024

PCI DSSにおけるNSCとは何かをまとめてみた
https://dev.classmethod.jp/articles/what-is-nsc-in-pcidss/

#dev_classmethod #PCI_DSS #PCI_DSS_4_0

PCI DSSにおけるNSCとは何かをまとめてみた | DevelopersIO

「NSCって何ですか?」と聞かれてざっくりと回答できるように、PCI DSSにおけるNSCとは何かをまとめました。

クラスメソッド発「やってみた」系技術メディア | DevelopersIO
 DevelopersIOJun 7, 2024

x日以上ログインしていないIAMユーザーを特定し通知する仕組みを考えてみた
https://dev.classmethod.jp/articles/notify-inactive-iamusers/

#dev_classmethod #AWS #AWS_Lambda #AWS_IAM #PCI_DSS #PCI_DSS_4_0

x日以上ログインしていないIAMユーザーを特定し通知する仕組みを考えてみた | DevelopersIO

はじめに こんにちは。AWS事業本部コンサルティング部に所属している和田響です。 この記事ではAWSにおけるIAMユーザの管理の一環として、非アクティブなIAMユーザーを特定し通知する仕組みの一例を紹介します。 IAMユ …

クラスメソッド発「やってみた」系技術メディア | DevelopersIO
 DevelopersIOJun 5, 2024

PCI DSSとは何かを簡単にまとめてみた
https://dev.classmethod.jp/articles/what-is-pcidss/

#dev_classmethod #PCI_DSS #PCI_DSS_4_0

PCI DSSとは何かを簡単にまとめてみた | DevelopersIO

はじめに こんにちは。AWS事業本部コンサルティング部に所属している和田響です。 私は新卒で入社した会社で初めてアサインされたプロジェクトが、PCI DSSに準拠したAWSシステム開発プロジェクトでした。 上司から「PC …

クラスメソッド発「やってみた」系技術メディア | DevelopersIO