who tells you that your secure product is actually secure
play

Who tells you that your secure product is actually secure? - PowerPoint PPT Presentation

Sep 01, 2022 •564 likes •866 views

Who tells you that your secure product is actually secure? Think about the 6me it stays on the field It went through a security evalua6on

  1. Who ¡tells ¡you ¡that ¡your ¡secure ¡ product ¡is ¡actually ¡secure? ¡ Think ¡about ¡the ¡6me ¡it ¡stays ¡on ¡the ¡field… ¡

  2. It ¡went ¡through ¡a ¡security ¡evalua6on ¡ ¡

  3. Walking ¡through ¡the ¡a>ack ¡ra6ng ¡ methodology ¡to ¡manage ¡the ¡trust ¡ Hugues ¡Thiebeauld ¡– ¡CEO ¡of ¡eShard ¡ 11 th ¡of ¡September ¡2015 ¡ WISE ¡Workshop ¡

  4. esha shard Your ¡trusted ¡partner ¡for ¡the ¡data ¡ protec0on ¡ ¡ in ¡mobile ¡and ¡connected ¡devices ¡ ¡ Sec Secur ure y e your a our app pp Ana Analyz yze y e your da our data a Ask the e sk the exper xpert t

  5. The ¡job ¡of ¡risk ¡manager ¡is ¡difficult ¡ Needs ¡to ¡es6mate ¡the ¡risk ¡and ¡to ¡an6cipate ¡it ¡ Needs ¡to ¡have ¡a ¡global ¡picture ¡ The ¡6me ¡factor ¡is ¡a ¡challenge ¡ Require ¡a ¡tool ¡for ¡the ¡right ¡criteria ¡

  6. Make sure it meets the state-of-the-art and methodology was respected Cer6fica6on ¡ Body ¡ Risk ¡ Laboratory ¡ manager ¡ Ascertains the product against requirements States the security requirements Vendor ¡ Designs and implements a secure product

  7. A ¡standard ¡metric ¡is ¡necessary ¡to ¡rate ¡the ¡risk ¡ h>p://sogisportal.eu/uk/suppor6ng_doc_en.html ¡

  8. JIL ¡ra6ng ¡ Identification Exploitation Elapsed time Expertise Knowledge Samples Equipment Technology specifics

  9. JIL ¡ra6ng ¡– ¡Secure ¡Element ¡ An AES key is fully extracted with a statistical attack (eg CPA) from a SE Identification Exploitation Elapsed time <1 month <1 day (3) (3) Expertise Expert Proficient (5) (2) Knowledge Critical Public (6) (0) Samples <10 samples <10 samples (0) (0) Equipment Specialised Specialised (3) (4) Total: 26

  10. Maintenance ¡ JHAS

  11. Maintenance ¡ JHAS ¡ PCI ¡ JTEMS ¡ VISA ¡ready ¡ BEAT ¡

  12. ü or û Cer6fica6on ¡ Body ¡ 26 Risk management Risk ¡ Laboratory ¡ manager ¡ Requires 31 Vendor ¡

  13. intermediate highest

  14. Technology and scope ¡ JIL ¡ra6ng ¡is ¡related ¡to ¡a ¡technology ¡ Evalua6on ¡takes ¡care ¡of ¡a ¡scope ¡(list ¡of ¡assets) ¡ A ¡cer6ficate ¡does ¡not ¡necessarily ¡ mean ¡that ¡the ¡whole ¡product ¡is ¡secure ¡

  15. Recap ¡ Purpose ¡of ¡a ¡security ¡evalua6on: ¡bring ¡assurance ¡ Assurance ¡concerns ¡a ¡scope ¡of ¡a ¡product ¡ A>ack ¡ra6ng ¡is ¡technology ¡specific ¡and ¡provides ¡ a ¡link ¡with ¡an ¡assurance ¡level ¡ Cer6ficate ¡is ¡only ¡valid ¡at ¡the ¡issuance ¡ date ¡

  16. Positive feedbacks ¡ Global ¡security ¡level ¡has ¡drama6cally ¡increased ¡ EMV ¡payment ¡cards, ¡passports ¡and ¡terminals ¡are ¡ running ¡through ¡the ¡process. ¡Many ¡cer6ficates ¡ are ¡issued ¡every ¡year. ¡ Experts ¡can ¡speak ¡(almost) ¡the ¡same ¡language. ¡ ¡ harmonize ¡the ¡a>ack ¡techniques ¡across ¡the ¡industry ¡

  17. A stone in the shoe ¡ State-­‑of-­‑the-­‑art ¡a>ack ¡change ¡over ¡the ¡6me ¡ Renewal ¡ process ¡ is ¡ some6mes ¡ part ¡ of ¡ the ¡ process ¡ è ¡a ¡fail ¡is ¡difficult ¡to ¡manage ¡ There ¡is ¡no ¡obvious ¡rule ¡to ¡manage ¡the ¡risk ¡over ¡ the ¡6me ¡

  18. Is it scalable? ¡ Outside ¡secure ¡chips ¡and ¡terminals, ¡there ¡is ¡no ¡ ac6ve ¡commi>ee ¡ Perimeter ¡must ¡be ¡defined ¡to ¡an ¡affordable ¡ scope ¡ Equa6on ¡risk ¡assurance ¡versus ¡cost ¡and ¡6me ¡to ¡ market ¡ Ra6ng ¡an ¡a>ack ¡and ¡managing ¡the ¡risk ¡are ¡ closely ¡6ed ¡together ¡

  19. The ¡trend ¡

  20. Some Android Exploits Stagefright : July 2015 95% of devices vulnerable Remote exploitation (mms) Towelroot: June 2014 50% of devices still vulnerable Local kernel exploit Rage Against the Cage: 2011 3% of devices still vulnerable adb + Local exploitation (fork bomb)

  21. Secure ¡chip ¡environment ¡ Manufacturing and Confined and closed development processes can be controlled Full coverage is Depth is possible affordable Assessment methodology established and mature è è Global level of trust remains strong

  22. Mobile ¡environment ¡is ¡different ¡ Involved number of Open environment stakeholders for the (interfaces, access, etc) design and the manufacturing Full coverage is not possible Depth is hard to achieve exhaustively No assessment methodology è è How to create a good level of trust? è è More pressure for time to market

  23. Connected ¡and ¡mobile ¡devices ¡ Level of information Communities of hackers available is much higher (hardware, SDK, tutorials,) Legal protection is the Multi faces threats same? Device: trust in the host? è è Risk management: need to change the model?

  24. Some gaps to fill … JIL ¡ra6ng ¡is ¡s6ll ¡missing ¡for ¡several ¡technologies ¡ ¡ Where ¡ most ¡ of ¡ exploits ¡ are ¡ published ¡ nowadays ¡

  25. Software security and mobile Mobile app are OS- and not handset specific Assurance can change with a new exploit How managing the multiple release?

  26. Risk ¡management ¡should ¡not ¡rely ¡only ¡on ¡a ¡set ¡ of ¡security ¡requirements ¡ Back-­‑end ¡ is ¡ there ¡ for ¡ most ¡ of ¡ connected ¡ and ¡ mobile ¡ ¡ ¡solu6ons ¡ è ¡can ¡be ¡adap6ve ¡ More ¡forensics ¡to ¡monitor ¡the ¡risk ¡on ¡the ¡field ¡

  27. Conclusion JIL ¡ra6ng ¡is ¡an ¡effec6ve ¡tool ¡to ¡rate ¡an ¡a>ack ¡ ¡ It ¡requires ¡to ¡have ¡technical ¡expert ¡commi>ees ¡ Risk ¡management ¡relies ¡on ¡security ¡evalua6ons ¡ Model ¡shall ¡certainly ¡change ¡for ¡latest ¡technologies ¡ New ¡usage, ¡new ¡technologies ¡are ¡emerging ¡in ¡IoT ¡

  28. Questions? contact@eshard.com

Recommend

How Secure are Secure How Secure are Secure Interdomain Routing Protocols? Interdomain Routing

How Secure are Secure How Secure are Secure Interdomain Routing Protocols? Interdomain Routing

DIMACS Workshop On Secure Routing March 10, 2010 How Secure are Secure How Secure are Secure Interdomain Routing Protocols? Interdomain Routing Protocols? $ $ Sharon Goldberg Microsoft Research &amp; Boston University y Michael Schapira

701 views • 54 slides
ACOS6S Secure Access Module Card (SAM) www.acs.com.hk 1. Product Overview 2. Product Features

ACOS6S Secure Access Module Card (SAM) www.acs.com.hk 1. Product Overview 2. Product Features

ACOS6S Secure Access Module Card (SAM) www.acs.com.hk 1. Product Overview 2. Product Features 3. Comparison Charts 4. Product Applications 5. Sample Application 6. Related Products 7. Q &amp; A 2 ACOS6S-B (32 KB E E PROM) Secure

479 views • 18 slides
Advanced Tools from Modern Cryptography Lecture 12 MPC: UC-secure OT UC-Secure OT UC-secure

Advanced Tools from Modern Cryptography Lecture 12 MPC: UC-secure OT UC-Secure OT UC-secure

Advanced Tools from Modern Cryptography Lecture 12 MPC: UC-secure OT UC-Secure OT UC-secure OT is impossible (even against PPT adversaries) in the plain model (i.e., without the help of another functionality) But possible from simple

527 views • 16 slides
Be Be Good! Good! WHA WHAT IS T IS SECURE? SECURE? SECURe is a school-wide program designed

Be Be Good! Good! WHA WHAT IS T IS SECURE? SECURE? SECURe is a school-wide program designed

SECUR E SOCIAL, EMOTIONAL, AND COGNITIVE UNDERSTANDING AND REGULATION Created by Success for All, University of Michigan, and Harvard University Be Be Good! Good! WHA WHAT IS T IS SECURE? SECURE? SECURe is a school-wide program designed

957 views • 59 slides
and Web Applications 06 Secure Coding Alexandros Labrinidis University of Pittsburgh Secure

and Web Applications 06 Secure Coding Alexandros Labrinidis University of Pittsburgh Secure

CS 1655 / Spring 2010 Secure Data Management and Web Applications 06 Secure Coding Alexandros Labrinidis University of Pittsburgh Secure Coding From: Secure Coding: Principles and Practices by Mark G. Graff &amp; Kenneth R. Van Wyk

753 views • 17 slides
Secure Coprocessor What is Secure coprocessor: Robust. (A system that is not easily or is

Secure Coprocessor What is Secure coprocessor: Robust. (A system that is not easily or is

Secure Coprocessor What is Secure coprocessor: Robust. (A system that is not easily or is not wholly affected by a bug in one aspect of it. ) General-purpose computational environments. Secure temper responsive physical package.

366 views • 14 slides
Semi-Secure Semi-Secure where a hash is a secure one-way function. A cookie is a bit of state

Semi-Secure Semi-Secure where a hash is a secure one-way function. A cookie is a bit of state

One-Slide Summary Users often authenticate themselves by providing passwords. We store and compare hashes of passwords, Semi-Secure Semi-Secure where a hash is a secure one-way function. A cookie is a bit of state associated with a webpage

103 views • 9 slides
Secure Returns SAFE AS A VAULT Secure SECONDS TO UPLOAD Efficient ACCESSIBLE ANYWHERE

Secure Returns SAFE AS A VAULT Secure SECONDS TO UPLOAD Efficient ACCESSIBLE ANYWHERE

Secure Returns SAFE AS A VAULT Secure SECONDS TO UPLOAD Efficient ACCESSIBLE ANYWHERE Convenient What is Secure Returns ? Secure Returns is a secure website where you and your clients can securely upload &amp; download confidential

202 views • 9 slides
Concurrently Secure Protocols Huijia (Rachel) Lin Rafael Pass MIT &amp; BU Cornell Secure MPC

Concurrently Secure Protocols Huijia (Rachel) Lin Rafael Pass MIT &amp; BU Cornell Secure MPC

Black-Box Constructions of Concurrently Secure Protocols Huijia (Rachel) Lin Rafael Pass MIT &amp; BU Cornell Secure MPC Secure MPC Goal: Allow a set of distrustful parties to compute ANY function f on their own Secure MPC Goal: Allow a set

1.11k views • 98 slides
What is Secure? Engineering Secure Software Last Revised: August 19, 2020 SWEN-331: Engineering

What is Secure? Engineering Secure Software Last Revised: August 19, 2020 SWEN-331: Engineering

What is Secure? Engineering Secure Software Last Revised: August 19, 2020 SWEN-331: Engineering Secure Software Benjamin S Meyers 1 Recent Security Incidents Garmin Ransomware -- $10 million Sync servers down for many days

506 views • 21 slides
Secure and Efficient Access to Outsourced Data Secure and Efficient Access to Outsourced Data

Secure and Efficient Access to Outsourced Data Secure and Efficient Access to Outsourced Data

Secure and Efficient Access to Outsourced Data Secure and Efficient Access to Outsourced Data Weichao Wang, Zhiwei Li, Rodney Owens, Bharat Bhargava CCSW 2009: The ACM Cloud Computing Security Workshop 1 The Problem Providing secure and

414 views • 19 slides
Secure Client Applications HTTPS Secure Email Networking Sirindhorn International Institute of

Secure Client Applications HTTPS Secure Email Networking Sirindhorn International Institute of

Networking Secure apps Aims Crypto Basics Secure Client Applications HTTPS Secure Email Networking Sirindhorn International Institute of Technology Thammasat University Prepared by Steven Gordon on 26 June 2014

389 views • 26 slides
SECURE Act Brian Graff SECURE Act Setting Every Community Up for Retirement Security (SECURE)

SECURE Act Brian Graff SECURE Act Setting Every Community Up for Retirement Security (SECURE)

SECURE Act Brian Graff SECURE Act Setting Every Community Up for Retirement Security (SECURE) Act of 2019 (H.R. 1994) Introduced in the House March 29, 2019 Passed House Ways &amp; Means Committee April 2, 2019 Passed House

354 views • 12 slides
Toward a Field Study on the Impact of Hacking Competitions on Secure Development Daniel Votipka ,

Toward a Field Study on the Impact of Hacking Competitions on Secure Development Daniel Votipka ,

Toward a Field Study on the Impact of Hacking Competitions on Secure Development Daniel Votipka , Hongyi Hu, Bryan Eastes, and Michelle L. Mazurek 12 Aug 2018 SECURE DEVELOPMENT 2 SECURE DEVELOPMENT 2 SECURE DEVELOPMENT 2 SECURE

565 views • 39 slides
Secure Drupal Development Steven Van den Hout Steven Van den Hout

Secure Drupal Development Steven Van den Hout Steven Van den Hout

Secure Drupal Development Steven Van den Hout Steven Van den Hout @stevenvdhout http://dgo.to/@svdhout SECURE? 1 IS D DRUPAL AL S IS OPEN SOURCE SECURE? MANY EYES MAKE FOR SECURE CODE - Security by obscurity - Open

641 views • 51 slides
Simple and Communication Complexity Efficient Almost Secure and Perfectly Secure Message

Simple and Communication Complexity Efficient Almost Secure and Perfectly Secure Message

Simple and Communication Complexity Efficient Almost Secure and Perfectly Secure Message Transmission Schemes Yvo Desmedt 1 , 2 Stelios Erotokritou 1 Reihaneh Safavi-Naini 3 1 Department of Computer Science University College London, UK 2

459 views • 33 slides
Secure Communication Secure Communication Lecture 14 Wrap-Up We saw... Symmetric-Key

Secure Communication Secure Communication Lecture 14 Wrap-Up We saw... Symmetric-Key

Secure Communication Secure Communication Lecture 14 Wrap-Up We saw... Symmetric-Key Components SKE, MAC Public-Key Components PKE, Digital Signatures Building blocks: Block-ciphers (AES), Hash-functions (SHA-3), Trapdoor PRG/OWP for PKE

1.07k views • 72 slides
Main principles of secure OS

Main principles of secure OS

Main principles of secure OS Trusted Flexible Secure Versatile modular Internet security

490 views • 26 slides
Security Management and Engineering Is this product/technique/service secure? Simple Yes/No

Security Management and Engineering Is this product/technique/service secure? Simple Yes/No

Security Management and Engineering Is this product/technique/service secure? Simple Yes/No answers are often wanted, but typically inappropriate. Security of an item depends much on the context in which it is used. Complex

770 views • 57 slides
Secure computation With material from Matthew Green, Elaine Shi, CS Unplugged, others Secure

Secure computation With material from Matthew Green, Elaine Shi, CS Unplugged, others Secure

https://2.bp.blogspot.com/-Q_39kDXs93c/UOecpSOTX5I/AAAAAAAAA2k/WaIfMiKzQOw/s1600/eniac1+%281%29.jpg Secure computation With material from Matthew Green, Elaine Shi, CS Unplugged, others Secure computation Zero-knowledge proofs

465 views • 33 slides
Investor Update TSX : SES | secure-energy.com SECURE ENERGY Overview Delivering value adding

Investor Update TSX : SES | secure-energy.com SECURE ENERGY Overview Delivering value adding

January 2020 Investor Update TSX : SES | secure-energy.com SECURE ENERGY Overview Delivering value adding midstream infrastructure solutions across 156.5 $792 Western Canada and the U.S. Common Shares Market Strategically located oil and

442 views • 22 slides
Secure and Efficient Metering Discussion Outline Clarifications Attack on Secure

Secure and Efficient Metering Discussion Outline Clarifications Attack on Secure

Secure and Efficient Metering Discussion Outline Clarifications Attack on Secure Metering Issues and Extensions Real World Other Directions Metering for General Access Structures Understanding the model Audit Agency

480 views • 35 slides
Secure Communica-on Protocols Today SSL/TLS Protec-on for web browsing / transac-ons

Secure Communica-on Protocols Today SSL/TLS Protec-on for web browsing / transac-ons

Secure Communica-on Protocols Today SSL/TLS Protec-on for web browsing / transac-ons SSH Secure shell (remote login) IPSec IP Security suite, originally for use with IPv6 SSL/TLS Secure Sockets Layer / Transport Layer

322 views • 18 slides
Secure 2-Party Computation Lecture 14 Yao s Garbled Circuit RECALL SIM-Secure MPC F F

Secure 2-Party Computation Lecture 14 Yao s Garbled Circuit RECALL SIM-Secure MPC F F

Secure 2-Party Computation Lecture 14 Yao s Garbled Circuit RECALL SIM-Secure MPC F F proto proto iface iface Secure (and correct) if: s.t. output of is distributed Env Env identically in REAL IDEAL REAL and

1.33k views • 102 slides

More recommend