ベーシックレベルのスキャン(OWASP Top 10,SANS 20, PCI (6.5, 6.6)や、スタンダードレベルスキャンなどご用途に合わせて選択いただけます。
スキャニングテスト、ペネトレーションテスト、プロトコルファジングテスト、静的コード解析などを実施し、テストレポート共に改善点を提案し、それが修正されたかどうかまで確認して結果を報告します。
ペネトレーションテストとは?
スキルを持った攻撃チームによるソフトウェア、インフラストラクチャ、ネットワークに対する攻撃です。セキュリティの弱点を探したり、情報にアクセスするために実際に侵入を試みます。
ペネトレーションテストは脆弱性評価に加えて実施されるテストです。 脆弱性評価は脆弱性を見つけ、ランク付けしそして必要な改善を提案します。 一方ペネトレーションテストは脆弱性を見つけるだけでなく、それらの脆弱性を利用して攻撃者が実行するであろう攻撃を試して結果を見ます。
ペネトレーションテストによってネットワークやIoTデバイス、ウェブ&モバイルアプリケーションの潜在的なセキュリティホールが分かります。 常に攻撃者より先行してこれらの試験を実施することでリスクを見つけ、回避することに役立ちます。
Embedded devices testing for IoT
Web Applications
Mobile applications security
Network security
Wireless network security
Source Code Analysis
Where to TEST
External: ファイアウォールの外側(インターネット側)からテスト&攻撃を実施
Internal: ファイアウォールの内側から、もしくはVPNを使って外側からテスト&攻撃を実施。下記のアプリケーションレイヤとネットワークレイヤテストが含まれます。通常、外部と内部の両方が典型的なペネトレーションテストの1部となります。
Application-layer: 安全でないアプリケーションデザインと設定を調べます。
Network-layer: 自動化されたツールがインフラストラクチャの設定を調査し、攻撃スペース、もしくは攻撃される可能性があるターゲットを明らかにします。
Types of TEST
Black-box: 依頼者は環境に関する事前情報を一切提供しません。何が見つかり、もっと隠すべきだということが明らかになります。
Grey-box: 依頼者はいくつかの事前情報を提供します。これによりインフラのある程度の部分が試験され、外部から何が見えてしまうかが明らかになります。
White-box: 依頼者は環境に関する様々な情報を提供します。このテストはセキュリティ防御システムに対して最大のプレッシャーを与える、もっともシビアな攻撃テストとなります。
Spirent SecurityLabs Methodology
LEADING SECURITY EXPERTS
手動の確認試験とペンテストと合わせて使用される洗練されたスキャニングツール群
Global TOP 100企業や中小企業のコンサルで経験が長い熟練のセキュリティペネトレーションテストオペレータ
お客様の予算やテストニーズに合わせたスキャニングプロファイル
スキャンの深さ、頻度に基づくお客様のニーズに対応できる柔軟な診断ソリューション
コンプライアンススキャン(PCI, GLBA, HIPAA, SOX, MISRA, CERT etc.)
実行可能な改善提案とリスク順位付けを含めたレポート
WAFの設定に利用できるレポート判定結果
脆弱性のライフサイクルマネージメント;見つかった脆弱性が改善されるまで継続したテストで確認
]]>