Mais conteúdo relacionado Semelhante a 2019 1009 f-secure_ali_eater_tokyo13_slideshare (20) Mais de Shinichiro Kawano (14) 2019 1009 f-secure_ali_eater_tokyo13_slideshare1. Cloud と IoT 機器の
サイバーセキュリティが気になるあなたへ
Shinichiro Kawano
Corporate Sales
F-Secure K.K.
Shinichiro.Kawano@f-secure.com
2019/10/09 Alibaba Cloud Developers Meetup #13 - AliEaters
3. 3
自己紹介
河野 真一郎
エフセキュア株式会社 法人営業部
Unix -> OSS/Linux (この辺りからCloud関連) -> Security
F-Secure フィンランドが本社 セキュリティソフト/サービス
趣味 ”サウナと水風呂” あと テクノポップ!!
Here we go! every body come on rock ‘n’ roll!
* 最近 AliEater のおかげでダイエットに目覚めた。感謝。
ちゃんとした食事と、週2-3回のプール。サウナは痩せない。
4. • 1988年に設立
• 世界25か国、社員数 約1600人
• 2018年 売上高 約235億円
• ヘルシンキのNASDAQ OMXに上場
• 100ヵ国でビジネスを展開し、オペレーター数200以上、リセラー数1000以上
• 世界中でコーポレートカスタマー数100,000以上
• ヨーロッパでサイバークライムインシデントが起こった際 史上最多の依頼数
• 過去8年間で6回のAVテスト最優秀保護賞を受賞した唯一の企業
4
F-Secure INSHORT
19. © F-Secure Partner Confidential19
F-SecureのWebアプリケーションセキュリティアセスメントは、
コードに存在する脆弱性とWebアプリケーションの実装を提供
します。基礎となる技術は F-Secure 独自のテクノロジーです。
Webアプリケーションアセスメントへの当社のアプローチは、
従来提供してきた豊富な実績により、様々なお客様の要件
に対応し、対象はフロントエンド、ミドルウェア、バックエンドシス
テムをカバーします。
Webセキュリティアセスメントでは、以下の診断を提供します
当社のAssessmentは、お客様のビジネスの観点から重要性
が高く、コスト効果の高いアプリケーションにフォーカスしています。
F-Secure の Assessmentは、コンサルタントによるアセスメント
手法とF-Secure 独自ツールの組み合わせにより、特定の脆
弱性を調査し、深刻なリスクを引き起こす可能性のある根本
的な問題を特定します。
・Server architecture and security specifications
・Business logic
・Authentication, access control, and authorization
・Use of cryptography
・Session management
・Error condition handling and exception management
・Data validation, confidentiality, and integrity
・Management interfaces
・Privacy concerns
インフラ,ミドルウェア
ソースコードレベル
Webアセスメント
20. © F-Secure Partner Confidential20
F-Secure の数多くの実績を持つセキュリティコンサルタントが、
次のようなさまざまな標的型攻撃をテスト致します。
・ Reconnaissance and intelligence gathering e.g. Google intel,
dumpster-diving etc.
・ Social engineering e.g. e-mails, phone calls, human interaction,
tailgating etc.
・Physical security e.g. lock-picking, breaking and entering etc.
・Targeted attacks e.g. phishing, spearhead, waterhole etc.
・Network attacks and penetration testing e.g. Wi-Fi, wired, bug
planting etc.
・Firewall/IDS/IPS/WAF evasion
・Targeted exploitation and offense
すべてのステップとアクションは、監査の証跡、攻撃を再現する可能性、
および潜在的可能性、概念実証モデルの構築とテストを行います。
F-Secureは、Target Driven な マルチレベルペネトレーションテストを
ヨーロッパ各地を始めとするさまざまなお客様に対して提供しています。
ターゲットルールとモデルを使用したペネトレーションテストサービス
には、ネットワーク、アプリケーションに対するテストに加えて、
ソーシャルエンジニアリング攻撃、物理的なセキュリティに対するテスト
も実施可能です。
F-Secureが実行するすべての侵入テストは独自のものです。スコープ、
セットアップ、および方法論は、お客様の要件、ルールセット、
およびターゲットに応じて設定致します。(基本的な侵入テストでは、ター
ゲットとルールセットは
クライアントと共同して定義されます)。
侵入テストの対象は、特定のサーバーまたはサーバーファームからCEOのメール
ボックスへのテスト、
クライアントデータ、またはサーバールームやクラウド環境など、お客様要件に
応じて選択が可能です。
侵入テスト
ソーシャル攻撃、
物理セキュリティ含む
21. © F-Secure Partner Confidential21
F-Secure の数多くの実績を持つセキュリティコンサルタントが、
次のようなさまざまな標的型攻撃をテスト致します。
・ Reconnaissance and intelligence gathering e.g. Google intel,
dumpster-diving etc.
・ Social engineering e.g. e-mails, phone calls, human interaction,
tailgating etc.
・Physical security e.g. lock-picking, breaking and entering etc.
・Targeted attacks e.g. phishing, spearhead, waterhole etc.
・Network attacks and penetration testing e.g. Wi-Fi, wired, bug
planting etc.
・Firewall/IDS/IPS/WAF evasion
・Targeted exploitation and offense
すべてのステップとアクションは、監査の証跡、攻撃を再現する可能性、
および潜在的可能性、概念実証モデルの構築とテストを行います。
F-Secureは、Target Driven な マルチレベルペネトレーションテストを
ヨーロッパ各地を始めとするさまざまなお客様に対して提供しています。
ターゲットルールとモデルを使用したペネトレーションテストサービス
には、ネットワーク、アプリケーションに対するテストに加えて、
ソーシャルエンジニアリング攻撃、物理的なセキュリティに対するテスト
も実施可能です。
F-Secureが実行するすべての侵入テストは独自のものです。スコープ、
セットアップ、および方法論は、お客様の要件、ルールセット、
およびターゲットに応じて設定致します。(基本的な侵入テストでは、ター
ゲットとルールセットは
クライアントと共同して定義されます)。
侵入テストの対象は、特定のサーバーまたはサーバーファームからCEOのメール
ボックスへのテスト、
クライアントデータ、またはサーバールームやクラウド環境など、お客様要件に
応じて選択が可能です。
侵入テスト
クラウド環境特化
診断テスト実績多数
48. F-Secure SoC 脆弱性診断事例 および 情報公開事例
48
Timeline
--------
2019-06-21: findings identified during a security audit by Inverse Path team at
F-Secure in collaboration with Robert Bosch GmbH.
2019-06-25: findings shared with Bosch PSIRT.
2019-06-28: findings shared with Xilinx PSIRT.
2019-07-05: Xilinx PSIRT confirms the findings.
2019-07-15: Xilinx PSIRT agrees to public disclosure process, consisting of a
Security Design Advisory and updates to the Technical Reference Manual.
2019-08-12: Xilinx Design Advisory [2] and F-Secure advisory [3] release.
References
----------
[1] https://www.xilinx.com/support/documentation/user_guides/ug1085-zynq-ultrascale-trm.pdf
[2] https://www.xilinx.com/support/answers/72588.html
https://github.com/inversepath/advisories/blob/master/Security_Advisory-Ref_FSC-HWSEC-VR2019-0001-Xilinx_ZU+-Encrypt_Only_Secure_Boot_bypass.txt
51. © F-Secure51
メール・Webゲートウェイ
(アンチウイルスLinuxゲートウェイ)
Windows PC
Linux PC
Apple Mac PC
集中管理
(ポリシーマネージャ)
LinuxサーバWindowsサーバ
・仮想環境上のパフォーマンス改善ソフト
(仮想スキャンサーバ)
Exchange & XenApp
サーバ
(EMCストレージ対応)
ビジネススイート プレミアム デバイス課金
(※但し、サーバ台数は全数の20%以内)
1年間 2年間 3年間 4年間 5年間
100-499 5,750 8,340 10,930 13,230 15,530
500-999 4,370 6,340 8,310 10,060 11,810
1000-2499 4,410 6,010 7,880 9,540 11,200
2500-9999 2,760 4,010 5,260 6,370 7,480
10000- 2,300 3,340 4,380 5,300 6,220
社内 PC, Server, E-Mail / Web Gateway (スパム対策, URLフィルタ,ウイルスチェック)
デバイス数課金, Server/PC 同一価格
PC, サーバ向け1年契約標準価格
100台 2,875円
500台 2,185円
大型案件向け F-Secure Business Suite
包括ライセンス
52. クラウド環境, オンプレ環境向け 国内ユーザ様 F-Secure お客様例
F-Secure Policy
Manager
管理/アップデート
Windows/Linux Servers
管理/アップデート
自社 データセンタ
DMZ
Windows/Linux Servers
管理/アップデート
Windows/Linux Servers
管理/アップデート
DMZ
Windows/Linux Servers
LAN
ウイルス定義ファイル
バージョンアップ
ファイル配信
52
VPC
Cloud
1,000台超 の Windows/Linux Server,
12,000台以上の PC を 1台の管理サーバで統合管理
LAN