More Related Content
Similar to 2018 0310 jaws_days_lt_f-secure_ss (18)
More from Shinichiro Kawano (13)
2018 0310 jaws_days_lt_f-secure_ss
- 8. © F-Secure Partner Confidential8
F-SecureのWebアプリケーションセキュリティアセスメントは、
コードに存在する脆弱性とWebアプリケーションの実装を提供
します。基礎となる技術は F-Secure 独自のテクノロジーです。
Webアプリケーションアセスメントへの当社のアプローチは、
従来提供してきた豊富な実績により、様々なお客様の要件
に対応し、対象はフロントエンド、ミドルウェア、バックエンドシス
テムをカバーします。
Webセキュリティアセスメントでは、以下の診断を提供します
当社のAssessmentは、お客様のビジネスの観点から重要性
が高く、コスト効果の高いアプリケーションにフォーカスしています。
F-Secure の Assessmentは、コンサルタントによるアセスメント
手法とF-Secure 独自ツールの組み合わせにより、特定の脆
弱性を調査し、深刻なリスクを引き起こす可能性のある根本
的な問題を特定します。
・Server architecture and security specifications
・Business logic
・Authentication, access control, and authorization
・Use of cryptography
・Session management
・Error condition handling and exception management
・Data validation, confidentiality, and integrity
・Management interfaces
・Privacy concerns
インフラ,ミドルウェア
ソースコードレベル
Webアセスメント
- 9. © F-Secure Partner Confidential9
F-Secureは、モバイルアプリケーションとデバイスのセキュリティを
向上させるさまざまなサービスを提供しています
モバイルアプリケーションの Security Assessmentでは、以下
のサービスが提供されます。
・the design and implementation of the mobile application are
secure;
・the application does not intentionally or unintentionally store or
handle sensitive information or services improperly;
・the application does not contain any technical vulnerabilities
allowing third-parties to attack the device or intercept
application data and
・the protocol used to communicate with the backend services
is securely designed and implemented on both the client and
server side.
F-Secure の経験豊富なセキュリティコンサルタントは、
モバイルアプリケーション, iOS,AndroidおよびWindows向けア
プリケーションに対する
アセスメントを提供しています。
以下のテストカテゴリが、提供実績の多いテストです。
・Application specific threats; resilience of the core features
of the application e.g.
・Data handling functionality
・Application and smartphone module reliance such as GPS, SD
card access etc.
・Physical threats
・Access to application resources or dependencies, keeping
into account the security controls enforced by the organization
and potential mobile device security policies
・Network threats
・Resilience of the device in a mobile network (e.g. 4G) or Wi-Fi
network with regards to man-in-the-middle attacks and network
communication attacks
・Source code review
・Insight into the risks associated with insecure code. A
consultant reviews and analyses the code and its context and
evaluates coding practices. A risk estimate takes both the
likelihood of an attack and the business impact of a breach or
incident into consideration.
モバイルアプリ向け
侵入テスト、
セキュリティコンサル
- 10. © F-Secure Partner Confidential10
F-Secure の数多くの実績を持つセキュリティコンサルタントが、
次のようなさまざまな標的型攻撃をテスト致します。
・ Reconnaissance and intelligence gathering e.g. Google intel,
dumpster-diving etc.
・ Social engineering e.g. e-mails, phone calls, human interaction,
tailgating etc.
・Physical security e.g. lock-picking, breaking and entering etc.
・Targeted attacks e.g. phishing, spearhead, waterhole etc.
・Network attacks and penetration testing e.g. Wi-Fi, wired, bug
planting etc.
・Firewall/IDS/IPS/WAF evasion
・Targeted exploitation and offense
すべてのステップとアクションは、監査の証跡、攻撃を再現する可能性、
および潜在的可能性、概念実証モデルの構築とテストを行います。
F-Secureは、Target Driven な マルチレベルペネトレーションテストを
ヨーロッパ各地を始めとするさまざまなお客様に対して提供しています。
ターゲットルールとモデルを使用したペネトレーションテストサービス
には、ネットワーク、アプリケーションに対するテストに加えて、
ソーシャルエンジニアリング攻撃、物理的なセキュリティに対するテスト
も実施可能です。
F-Secureが実行するすべての侵入テストは独自のものです。スコープ、
セットアップ、および方法論は、お客様の要件、ルールセット、
およびターゲットに応じて設定致します。(基本的な侵入テストでは、ター
ゲットとルールセットは
クライアントと共同して定義されます)。
侵入テストの対象は、特定のサーバーまたはサーバーファームからCEOのメール
ボックスへのテスト、
クライアントデータ、またはサーバールームやクラウド環境など、お客様要件に
応じて選択が可能です。
侵入テスト(Pentest)
ソーシャル攻撃、
物理セキュリティ含む
- 11. © F-Secure Partner Confidential11
F-Secure の数多くの実績を持つセキュリティコンサルタントが、
次のようなさまざまな標的型攻撃をテスト致します。
・ Reconnaissance and intelligence gathering e.g. Google intel,
dumpster-diving etc.
・ Social engineering e.g. e-mails, phone calls, human interaction,
tailgating etc.
・Physical security e.g. lock-picking, breaking and entering etc.
・Targeted attacks e.g. phishing, spearhead, waterhole etc.
・Network attacks and penetration testing e.g. Wi-Fi, wired, bug
planting etc.
・Firewall/IDS/IPS/WAF evasion
・Targeted exploitation and offense
すべてのステップとアクションは、監査の証跡、攻撃を再現する可能性、
および潜在的可能性、概念実証モデルの構築とテストを行います。
F-Secureは、Target Driven な マルチレベルペネトレーションテストを
ヨーロッパ各地を始めとするさまざまなお客様に対して提供しています。
ターゲットルールとモデルを使用したペネトレーションテストサービス
には、ネットワーク、アプリケーションに対するテストに加えて、
ソーシャルエンジニアリング攻撃、物理的なセキュリティに対するテスト
も実施可能です。
F-Secureが実行するすべての侵入テストは独自のものです。スコープ、
セットアップ、および方法論は、お客様の要件、ルールセット、
およびターゲットに応じて設定致します。(基本的な侵入テストでは、ター
ゲットとルールセットは
クライアントと共同して定義されます)。
侵入テストの対象は、特定のサーバーまたはサーバーファームからCEOのメール
ボックスへのテスト、
クライアントデータ、またはサーバールームやクラウド環境など、お客様要件に
応じて選択が可能です。
侵入テスト(Pentest)
もちろん AWS環境 も
- 12. © F-Secure 201812
・大規模ユーザ セキュリティコンサル事例
- 金融機関、保険会社様、ヨーロッパ政府系
ユーザ様
- オンラインショッピング、通販、課金サービス向
けセキュリティ診断
F-Secure ペネトレーションテスト 実績
- 13. © F-Secure 201813
・モバイルアプリ セキュリティコンサル
- 銀行/金融機関アプリ、航空会社様アプリ
大手ゲーム系アプリ、オンラインカジノアプリ
- 対象Android, iOS, HTML5 etc….
F-Secure ペネトレーションテスト 実績
- 17. プロジェクトポートフォリオ
© F-Secure 201817
デザインレビュー
コードレビュー
Penetration testing
Hardware design
Security engineering:
安全さを含めたインプリ方法とデザイン
Security convergence:
安全さに影響がある脆弱性やバグの診断
IoT HW、統合システムに対する全体的な:
- 18. プロジェクト例
インフォテーメントシストム
© F-Secure 201818
車内ナビゲーションと音楽など
のエンタテーンメントシステム
のデザインレビューと診断
診断項目の事例:
システムのFirmwareの抜き出し、
入れ替わりが可能か
無線LAN・Bluetooth・USB接続
等によってシステムを攻撃できる
か
侵入してから、CAN-BUSに通信
し、運転システムに影響でるか