概要
すべてをテストするのは、時間、予算、リソースの無駄となります。そこで、履歴データを備えたコミュニケーションおよびコラボレーション用プラットフォームを使用することで、リスクの高いネットワーク、アプリケーション、デバイス、その他の資産を一元化、管理、優先順位付けして、セキュリティー・テスト・プログラムを最適化します。X-Force® Redポータルを使用すると、修復に関わるすべての担当者が脆弱性特定直後に行われたテスト結果を確認し、都合に合わせてセキュリティー・テストをスケジュールできるようになります。
モバイル、Web、IoT(モノのインターネット)、バックエンド・アプリケーションをテストします。X-Force Redなら、手動でのペネトレーション・テスト、セキュア・コード・レビュー、バイナリー分析、各種プラットフォームの脆弱性評価が可能です。
X-Force Redの手動でのネットワーク・ペネトレーション・テストを行うことで日和見攻撃を防ぎます。IBMのチームのハッカーは、日和見攻撃につながる脆弱性を特定し、ロジック上の欠陥、バック・ドア、構成ミスなど、スキャナーでは検知できない脆弱性をテストを介して発見します。
ハッカーの視点に立ってエンジニアリングとセキュリティーをテストします。X-Force Redは、装置のリバース・エンジニアリングにより、開発中に脆弱性を特定し、システム内外のソース・コードとデータを評価することで、製品実装と外部ライブラリーの脆弱性を明確にします。
セキュリティーの一番の障害は従業員にあるかもしれません。人為的リスクの評価は、ソーシャル・エンジニアリングに欠かせません。X-Force Redが行うテストでは、攻撃者が機密情報を引き出そうと従業員をだますために使用する策略をあえて実行することがあります。
多くのIoT装置やバックエンド・システムは、セキュリティーを考慮して設計されていません。IBMは、装置、バックエンド、モバイル・アプリケーション・テスト、統合テストを実行し、医療/産業/運用関連のIoT装置のリバース・エンジニアリングを行うことで、重大な脆弱性を特定してこれを修正し、将来の賠償責任リスクを軽減しながらお客様のソリューションにセキュリティーを組み込みます。
IBMは、権限昇格や機密データへの不正アクセスにつながる重大な構成ミスを特定するために、クラウド構成とインフラストラクチャーのレビューを行います。X-Force Redチームのハッカーは、潜在的な攻撃経路や、機密情報(例:特権資格情報、API/SSHキー)の共有など、安全でないDevOpsの慣例を明らかにします。また、コンテナ内や接続された環境内にある悪用可能な欠陥を見つけて、これを修正します。
X-Force Redは、ブロックチェーン環境全体をテストすることも、チェーン・コード、リモート・ノードおよびブロック・プロデューサー、認証機関、オフチェーン・コードとの連携など、技術要素のみをテストすることもできます。X-Force Redチームのハッカーは、ブロックチェーン・デベロッパーやアーキテクトと連携し、ブロックチェーン・ネットワーク内でよくあるセキュリティー脆弱性に対処するための安全ポリシー、手順、管理方法を作成します。
X-Force Redチームのハッカーは、ハードウェア、製造業者が提供するコンポーネント、統合、コネクテッド・サービス、自律センサー管理、フュージョン・サブシステムを含む車両システム全体を手動でテストします。また、エンジニアと連携し、車両安全性とコネクテッド・ネットワークの信頼性に影響を与える脆弱性を発見します。
X-Force Redは、アプリケーション、コネクテッド・ネットワーク、ケーシング、ロック、改ざんシステムなど、ATMのソフトウェアとハードウェアに含まれるすべてのコンポーネントをテストします。また、機密性の高い財務データを継続的に保護できるよう、お客様とともに修復計画を策定します。さらに、ATMと接続されたインフラストラクチャーがPCI DSSなどの業界基準に準拠しているかどうかを確認することもできます。
産業用制御システム(ICS)では、さまざまなエンティティーが使用する複数のシステムとテクノロジーを統合し、重要なプロセスのモニタリングと管理を行います。X-Force Redは修復プロセス全体を管理し、最も重要な脆弱性を特定します。また、パッチ適用が危険すぎる場合には、リスクを軽減するための対策を推奨します。アクティブおよびパッシブ、手動およびツールベースのテストにより業務の中断を最小限に抑えることもできます。
X-Force Redは、サイバー攻撃者が送信されるパッケージを悪用し、堂々と正面から企業や個人のホーム・ネットワークに侵入する方法を調査しました。
脅威の全貌をグローバルに把握し、サイバー攻撃のリスクを理解します。
X-Force Redポータルを使うことで、どのようにペネトレーション・テスト・プログラムを管理し、レポートや推奨事項に迅速かつ簡単にアクセスできるかをご覧ください。
外部チームによる定期テストか、必要に応じた臨時テストか、お客様に適したテストを見つけるお手伝いをします。
ペネトレーション・テスト、インシデント対応、デジタル・フォレンジック、スクリプティングに関するIBMのトレーニングに登録して、サイバーセキュリティー・スキルを向上させましょう。