IBM Securityは、4つのセキュアテスト機能を持つネットワークをグローバルに展開

IBM Securityは、4つの“セキュアテスト”機能を持つネットワークをグローバルに展開 – 記事

アトランタ、オースティン、イングランド、オーストラリアにあるX-Force Red Labチームが新しいATMテストの実践で拡大します

ブラックハットカンファレンス :Security(本社:米国ニューヨーク州アーモンク、以下IBM)は、コンシューマーおよびインダストリアルのIoT技術、車載機器、ATM(現金自動預け払い機)などのデバイスおよびシステムのセキュリティをテストするための4つのセキュアな施設であるX-Force Red Labsを発表しました。IBM X-Force Redはまた、金融取引システムのセキュリティ確保に対する需要の高まりに対応して、専用のATMテスト実施を開始しました。

新しいLabsは、IBM Securityのベテランハッカーの自律型チームであるX-Force Redによって運営されます。X-Force Red Labは、X-Force Redの経験豊富なハッカーが、デバイス(ハードウェアおよびソフトウェア)の脆弱性を顧客に展開する前後に検出する安全な場所を提供します。4つのラボはテキサス州オースティンにあります。
たった2年で、IBM X-Force Redは業界初のセキュリティテストチームとして登場し、驚異的な成長を遂げました。同チームは、昨年、170%以上の普及率を達成しました。この指数関数的な成長により、IBM SecurityはX-Force Redの実務家の数を増やしました。これは、過去1年間に複数のドメインにわたって倍増しています。最近のX-Force Redチームへの追加には、Ivan Reedman(別名ToyMaker)、Global Hardware Security Lead、Thomas MacKenzie、欧州自動車実践リーダー、X-Force RedのグローバルリサーチディレクターDaniel Crowleyが挙げられます。
IBM X-Force Redのグローバル・マネージメント・パートナー、Charles Hendersonは、

「IBM X-Force Redは1つの使命を持っています。X-Force Red Labを介して、私たちは安全で制御された環境で、これを行うことができます。最新のスマートフォンであれ、インターネット接続された冷蔵庫であれ、新しいATMであれ、悪意のある人が悪用する前に、クライアントが脆弱性をテストし、特定し、援助する能力を備えています。」

X-Force Red Labs:すべてを安全にするために何かをハッキングします

Ponemon Instituteによると、生産後のソフトウェアの脆弱性や欠陥を修正することで、組織のコストを設計フェーズで確認して修正するコストを29倍以上にすることができます1. IBM X-Force Redは、新しい4つのグローバルテストラボを通じて、技術者と開発者がIoT対応デバイスやATMを含むハードウェアとソフトウェアの開発ライフサイクル全体にわたってセキュリティを構築するのを支援します。

このサービスには以下が含まれます:

  • 製品要件の文書化:製品の目標、関連するステークホルダーとシステム、利用可能なスキルセット、およびその他の製品要件を製品エンジニアとマッピングします。
  • テクニカルディープダイブ:製品設計ドキュメント、セキュリティ要件、リスク管理情報、およびその他のデータを分析して侵入テストの範囲を設定します。
  • 脅威のモデル化:製品をターゲットとする可能性の高い脅威アクター、妥協する方法と理由、および潜在的なリスクを含む、製品と企業に対する潜在的な脅威とリスクの開示。
  • セキュリティ要件の生成:エンジニアが製品を構築する際のセキュリティ要件のリストを作成して実装します。
  • 侵入テスト:実際の攻撃者が使用するのと同じ方法で製品をハッキングします。チームは、X-Force Redクラウドベースのポータルを通じて、脆弱性の発見に関するリアルタイムのアップデートを提供します。Red HatのX-Forceのハッカーはテストの結果を報告しているため、修復を開始するために完全なテストが完了するまで待つ必要はありません。

ATMテストの需要

世界中で3億台以上のATMが稼動しているため、金融機関はこれらの対象マシンを攻撃者から守る必要があります。2018年初頭に法執行機関は、金融機関に、米国内のATMをターゲットにした脅威の増加を警告しました。これにより、犯罪者がマシンを「大当たり」させ、必要に応じて内容を盗むことができます。これらの攻撃はマルウェアとATMデバイスへの物理的アクセスの両方を使用して、マシンからすべての現金を空にすることが知られています。2017年以来、X-Force Redは、これらの新たな脅威のためにATMテストの要求が300%増加しました。
多くの金融機関では、これらのデバイスで日付の付いたオペレーティングシステムを実行しているため、マシンを強化するために十分にパッチを当てることができません。これらのマシンの脆弱性を事前に特定することで、犯罪者がアクセスする前に、金融機関は将来の妥協を防ぐことができます。

X-Force Red ATM Testingサービスには、経験豊富な浸入テスターのグローバルチームが含まれています。これらのチームは、銀行のATM内の物理的、ハードウェアおよびソフトウェアの脆弱性を識別し、救済することができます。このサービスには以下が含まれます:

  • 包括的なATM評価:犯罪ハッカーが悪用する脆弱性を検索し、物理的、ネットワーク的、アプリケーション、およびコンピュータシステムのセキュリティを評価します。
  • 攻撃者が気になるテスト:悪用可能な脆弱性を特定するために、犯罪者が使用するのと同じツールと方法を使用してATMにハッキングします。
  • 脆弱性修正の推奨事項:包括的な勧告レポートによるATMシステムおよび防御の強化。
  • コンプライアンス:金融機関がPCI DSS(支払いカード業界のデータセキュリティ基準)などの業界標準を遵守するのを支援するATMログのレビュー。

Black HatとDEF CON 2018でのIBM X-Force Red

IBM X-Force RedのメンバーはブラックハットとDEF CONで講演します。これらのセッションの詳細は、http://ibm.biz/blackhatdefcontalksを参照してください。
IBM X-Force Redの詳細については、http://www.ibm.com/xforceredを参照してください。また、「X-Force Redアクション」を実行して、IBM X-Force Redのすべての最新かつ最高のものを確認することもできます。
X-Force Redと他のIBM Securityの専門家が、8月8日と9日にマンダレーベイのオーシャンサイドにあるブラックハットネットワーキングラウンジ(#2104)で最新の製品を紹介します。

IBM Security情報

IBM Securityは、エンタープライズ・セキュリティー製品とサービスの最も高度で統合されたポートフォリオの1つを提供します。このポートフォリオは、世界的に有名なIBM X-Force®の研究によってサポートされ、リスクを効果的に管理し、新たな脅威から守ります。IBMは、世界で最も幅広いセキュリティ研究、開発および配信組織の1つを運営し、130カ国以上で毎日600億件のセキュリティイベントを監視し、世界中で8,000件以上のセキュリティ特許を取得しています。詳細については、http://www.ibm.com/securityをチェックしてください。

注釈

  • 「セキュリティ テスト」:セキュリティ テストに対するチーム スキルを育てるためのヒント
    基本事項
    1. アプリケーションの理解
    リスクがどこに存在するかを評価できるようにテスト対象のアプリケーションをよく理解することは重要です。アプリケーションが使用する技術、さまざまなユーザーのプロファイル、異なるアクセス レベルで持つべき権限/持つべきでない権限、およびアプリケーションに保存される可能性のあるデータなどの知識を持っていることが前提とされます。インターネット上で匿名のサイト利用者に猫の写真を単に見せる Web サイトと、猫の写真を売るためにログイン ユーザーにクレジット カード情報の入力を求める Web サイトでは、行うテストはまったく異なります。

    2. セキュリティ規定と定義の理解
    OWASP を参照していただくのが最適です。一見、規定やコンセプトの量に圧倒されるかもしれませんので、一部の規定、できれば自分のアプリケーションに最も関連すると思われる規定のみ重点的に確認します。例として XSS、XSRF、SQL インジェクション、およびパス トラバーサルなどが挙げられます。CWE/SANS トップ25 には脆弱性を引き起こす最も広範かつ重大なエラーが表示されています。既知の攻撃方法すべてを網羅したリストについては、CAPEC を参照してください。
    知識の養成

    3. オンライン トレーニング ツールの使用
    学習を始める最適な方法は、既知の脆弱性があり、それを見つける方法を記した指示書が提供されているアプリケーションをテストしてみることです。お勧めは各コンセプトを網羅するレッスンが個別に用意されている Google の Gruyere です。脆弱性を見つけたり、必要に応じて正解を見つけるのに役立つヒントを確認できます。

    4. 他人から学ぶ
    自分の勤め先の開発者の中でセキュリティの問題に詳しい人が何人かいるはずです。自分とペアを組んでアプリケーションの動作を調査するよう頼んでみましょう。たとえば、開発者は SQL インジェクション文字列がデータベース サーバーで実行されていないこと、およびなぜそうであるかを実証できる必要があります。実行されている場合、双方にとって教育上ためになります。また、アプリケーションの設計や攻撃から守るための仕組みについて開発者から説明してもらうこともできます。セキュリティについて学びたい人が多い場合はプレゼンを実施してもらうこともできます。

    5. 自動脆弱性スキャナーの使い方を学ぶ
    有料のものとしては Burp Scanner がお勧めです。OWASP の ZAP や Google の RatProxy など、無料のものもあります。これらはプロキシを通してアプリケーション間で HTTP トラフィックをルーティングし、元の値を置き換えるさまざまな攻撃試行でもってリクエストを再送信することで動作します。これは短い時間で特定のクラスの脆弱性を見つける効率的な方法ですが、特効薬ではない点を理解すること (さらに関係者に理解してもらうこと) が大切です。ツールはアプリケーションのビジネス ロジックに関する知識を持たず、単にリクエストを中継して反応を確認するだけです。この方法で見つからない、または見つけることができない脆弱性の種類は数多くあり、スキャン ツールの使用は手動によるセキュリティ テストを置き換えるものでは決してありません。
    自動ツールはいかに高額なものであっても比較的シンプルな脆弱性しか検出せず、ノイズ (つまり誤検出) が大量に見つかることがよくあります。自動ツールが検出した内容それぞれについて評価できるように、セキュリティの脆弱性についての十分な知識を持っている必要があります。スキャナー レポートを作成して未検証のまま開発者に渡すことは最もやってはならないことです。
    知識の共有

    6. 学んだことを他の人へ
    知識を蓄えていく中で、他の人たちもその恩恵を受けられるようにしましょう。基本的なセキュリティ コンセプトに関するプレゼンを実施したり、自動スキャナーの使い方に関する講義を行いましょう。開発者もテスターもあなたから学ぶことができ、自身もそのトピックに対する理解を強固にできます。

    7. セキュリティの重要性を説く
    セキュリティの問題をよく知らない、または気に掛けない人たちと作業を共にすることがあると思います。新卒者であったり、ソフトウェアがファイアウォールで保護されている環境で以前働いていた人たちなどがそうです。彼らの啓蒙に努める価値はあります。ユーザーの情報を消失してしまった大企業に対する風当たりについて再認識させましょう。テストでアプリケーションの脆弱性が検出された場合、結果として発生する潜在的な悪用方法と共に実際にデモを行います。デモを行う際の有用なツールは BeEF です。このツールは、シンプルな XSS 脆弱性がいかに他のユーザーやその人たちのブラウザーを強力に支配するかを示してくれます。

    8. コンテキスト内でセキュリティの問題を伝える
    発見したセキュリティ脆弱性はすべてアプリケーションのコンテキストの中で評価することが重要です。不透明な条件下でのみ悪用可能なクロス サイト スクリプト脆弱性の重要性は、他人が自分の Web サーバー上でコードを実行できてしまう脆弱性の重要性よりもずっと低くなります。検出された脆弱性に対する評価システムの構築をお勧めします。一般的な評価手法の 1 つとして CVSS が挙げられます。評価に加えて、攻撃が成功した場合の業務上の影響を考慮します。一般的な話として、猫の写真の消失は企業の事業記録の改ざんよりも影響度が低いといえます。何を修正すべきかを優先付けする必要がある場合は、影響度に基づいて行う方が通常はうまくいきます。

    9. 優良な既定のテスト データを使用
    機能をテストする場合、おそらくテスト データを作成していると思います。’test1′、’test2′ や漫画のキャラクター名を使用するのではなく、攻撃文字列を使用する癖を付けましょう。こうすることで、機能を使用するだけで偶然に脆弱性が見つかることがあります。自動化ツールまたはテスト データを提供するインポート ファイルがある場合は、同じことを行います。他のテスターや開発者とこのデータを共有することで、セキュリティ テストを行っているという認識なしに問題に遭遇する可能性があります。

    10. 練習、練習、また練習
    どんなスキルにも言えることですが、練習を積むことでうまくなっていきます。アプリケーションの脆弱性を見つけ始めると、今後どこで発生する可能性があるかを感覚的につかみ、前もって問題提起できます。コードに対して定期的にスキャンを実行することで、効果的にスキャナーを使用できるようになっていきます。コード レビューに参加し、アプリケーションを実際に使用する前からどこに脆弱性が潜んでいるかを指摘できます。

    11. 自動プロセスを適宜使用
    セキュリティ テストで自動プロセスが有効かを検討しましょう。こうした目的では既存の機能テストが再利用できることがよくあります。

    12. 書籍を読む
    Web アプリケーションのセキュリティに関する良著がいくつかあります。最近のものでは Burp スキャナーの作者 Dafydd Stuttard 氏による『Web Application Hacker Handbook 第 2 版』や、Google 社の Michal Zalewski 氏による『The Tangled Web: A Guide to Securing Modern Web Applications』などがあります。

    13. 社外トレーニング
    学ぶべきことはもっと多く、有用なオンライン資料も豊富に存在します。SANS などのトレーニング提供企業による多彩なコースなど、もっと的を絞ったトレーニングが必要だと判断するかもしれません。QA スタッフ向けのセキュリティ トレーニング コースは非常に少ないため、Web 開発者向けのセキュリティ コースを探してみましょう。いわゆる 侵入テスト コースはネットワークのハッキングに的を絞っている傾向がありますが、Web アプリケーションへの侵入に特化したセクションがあることが多いのでコースの内容を前もって確認してみるといいでしょう。

原文はこちら: IBM Security Opens Network of Four Secure Testing Facilities Globally

成長し続けるモバイルデータ。5Gテクノロジーの概要、世界の動向、5Gが可能にした機能と機会を検証 世界のIoTに関するレポート公開中