コンテンツにスキップ

カスタムアプリケーションセキュリティアセスメント🔗

サービス概要🔗

Secureworksは、お客様の厚型クライアントアプリケーション、その関連する内部またはインターネットシステム、およびそれらの相互作用に対するセキュリティおよびコンプライアンスリスクを評価するために、包括的かつ優先順位付けされたアプローチを使用します。アセスメント中に使用される具体的な手法は、対象となるオペレーティングシステムおよび対象アプリケーションで使用されている開発言語によって異なります。

サービス手法🔗

カスタムアプリケーションは仮想マシンのテスト環境にロードされ、静的および動的解析の両方が実施されます。テストには、アプリケーション自体の解析、オペレーティングシステムとの相互作用、アウトバウンドおよびインバウンドのネットワーク接続の両方の解析が含まれます。

Secureworksは、アプリケーションが達成すべき目的を調査し、ユーザーインターフェースを通じて直接テストも行います。これら2つの観点は、最も迅速かつ高品質な結果につながることが多いです。開発者がアプリケーションの目的を達成するためのアプローチを確認することで、リスク判断を評価できます。このステップでは、実装が望ましい設計と一致しているかどうかの検証も可能です。テストは、使いやすさではなく、アプリケーションのセキュリティおよびセキュリティ関連の問題にのみ焦点を当てます。

対象アプリケーションがコンサルタントのテスト環境にインストールされた後、以下のアクションが実施されます。

静的アプリケーション解析

  • OSへのインストール前後の調査
  • 保存された認証情報/キーのためのファイル調査
  • バイナリのファズテストによる追加の脆弱点/相互作用の調査
  • ソースコードレビューによる悪用ケースの作成
  • 既知の脆弱なコンポーネントとの依存関係の特定

動的アプリケーション解析

  • 暗号化/更新されたキーストア等のために作成されたファイル/メモリオブジェクトの調査
  • メモリ、レジストリ、ファイルシステム内でアプリケーションによって作成されたアーティファクトの検索
  • レジストリ、ファイルシステム、ハンドル等の権限の確認
  • ローカルホストとの相互作用の特定と分析
  • COMおよびWMIの悪用

ネットワーク通信解析

  • プロキシインターセプションやPCAP解析を通じて機密情報の傍受を試行
  • APIインタラクションやローカルサービスのファズテストおよび悪用
  • 証明書および信頼関係の回避を試行

脆弱性の特定とエクスプロイト

  • アプリケーション内で発見された脆弱性を利用するためのエクスプロイトの開発
  • 権限昇格、ラテラルムーブメント、バイナリと連携するシステムの制御取得を試行
  • 脆弱性キルチェーンを開発し、最小限の労力で最大のインパクトを与える攻撃のコモディティ化を試行

是正措置の検証:

Secureworksは、最終レポートに記載された重大度「高」および「重大」の発見事項に対してのみ、1回の是正措置検証(RV)を実施します。最終レポートが納品された後、お客様は90日以内に問題の是正、RVのスケジューリング、およびSecureworksによるRVの実施を行う必要があります。お客様は、最終レポート納品から30日以内にWebサービステストのSecureworks担当者宛にメールでRVリクエストを提出しなければなりません。これを過ぎるとRVの権利は失効します。Secureworksは、RVの結果を要約した簡易レポートを発行し、問題が正常に是正されたかどうかの情報を含みます。

注意: Secureworksは、Webサービステストがオンサイトで実施されたかどうかに関わらず、RVはリモートでのみ実施します。

成果物🔗

Secureworksがまとめた発見事項および成果物は、レポートの形でお客様に提供されます。レポートには以下が含まれる場合があります。

  • エグゼクティブサマリー
  • 手法、詳細な発見事項、説明、および推奨事項(該当する場合)
  • 関連する詳細や補足データのための添付資料

お客様は、レポート納品から1週間以内に、最終レポートに含めるコメントを提出することができます。レビュー期間満了までにお客様からコメントがない場合、レポートは最終版とみなされます。

サービス完了時には、お客様指定の連絡先に対し、Secureworksからセキュア/暗号化されたメールによる確認通知が送付されます。お客様指定の連絡先から書面による異議申し立てがない限り、このメール確認から5営業日以内にサービスは完了したものとみなされます。

スコーピング情報🔗

スコープ 説明
カスタムアプリケーションセキュリティアセスメント - 小規模 プレーンテキストまたはバイトコード開発言語で開発された1つのカスタム厚型クライアントアプリケーション

例: Java, .NET, Electron
カスタムアプリケーションセキュリティアセスメント - 大規模 完全にコンパイルされた開発言語で開発された1つのカスタム厚型クライアントWindowsアプリケーション

例: C/C++, Rust, Go

作業はSecureworksコンサルタントの営業時間内に実施されます。時間外対応は追加費用で利用可能です。