Who tells you that your secure product is actually secure? - - PowerPoint PPT Presentation

who tells you that your secure product is actually secure
SMART_READER_LITE
LIVE PREVIEW

Who tells you that your secure product is actually secure? - - PowerPoint PPT Presentation

Sep 01, 2022 564 likes •867 views

Who tells you that your secure product is actually secure? Think about the 6me it stays on the field It went through a security evalua6on

slide-1
SLIDE 1

Who ¡tells ¡you ¡that ¡your ¡secure ¡ product ¡is ¡actually ¡secure? ¡ Think ¡about ¡the ¡6me ¡it ¡stays ¡on ¡the ¡field… ¡

slide-2
SLIDE 2

It ¡went ¡through ¡a ¡security ¡evalua6on ¡ ¡

slide-3
SLIDE 3

Walking ¡through ¡the ¡a>ack ¡ra6ng ¡ methodology ¡to ¡manage ¡the ¡trust ¡

Hugues ¡Thiebeauld ¡– ¡CEO ¡of ¡eShard ¡ 11th ¡of ¡September ¡2015 ¡ WISE ¡Workshop ¡

slide-4
SLIDE 4

esha shard

Your ¡trusted ¡partner ¡for ¡the ¡data ¡ protec0on ¡ ¡ in ¡mobile ¡and ¡connected ¡devices ¡ ¡

Sec Secur ure y e your a

  • ur app

pp Ana Analyz yze y e your da

  • ur data

a Ask the e sk the exper xpert t

slide-5
SLIDE 5

The ¡job ¡of ¡risk ¡manager ¡is ¡difficult ¡ Needs ¡to ¡have ¡a ¡global ¡picture ¡ The ¡6me ¡factor ¡is ¡a ¡challenge ¡ Require ¡a ¡tool ¡for ¡the ¡right ¡criteria ¡ Needs ¡to ¡es6mate ¡the ¡risk ¡and ¡to ¡an6cipate ¡it ¡

slide-6
SLIDE 6

Designs and implements a secure product

Make sure it meets the state-of-the-art and methodology was respected

Cer6fica6on ¡ Body ¡ Risk ¡ manager ¡ Vendor ¡ Laboratory ¡

States the security requirements

Ascertains the product against requirements

slide-7
SLIDE 7

A ¡standard ¡metric ¡is ¡necessary ¡to ¡rate ¡the ¡risk ¡

h>p://sogisportal.eu/uk/suppor6ng_doc_en.html ¡

slide-8
SLIDE 8

Exploitation Identification Elapsed time Expertise Knowledge Samples Equipment Technology specifics

JIL ¡ra6ng ¡

slide-9
SLIDE 9

Exploitation Identification Elapsed time Expertise Knowledge Samples Equipment

An AES key is fully extracted with a statistical attack (eg CPA) from a SE

<1 month (3) <1 day (3) Expert (5) Proficient (2) Critical (6) Public (0) <10 samples (0) <10 samples (0) Specialised (3) Specialised (4)

Total: 26

JIL ¡ra6ng ¡– ¡Secure ¡Element ¡

slide-10
SLIDE 10

Maintenance ¡

JHAS

slide-11
SLIDE 11

Maintenance ¡

JHAS ¡ JTEMS ¡ PCI ¡ BEAT ¡ VISA ¡ready ¡

slide-12
SLIDE 12

Cer6fica6on ¡ Body ¡ Risk ¡ manager ¡ Vendor ¡ Laboratory ¡

26 Requires 31

ü or û

Risk management

slide-13
SLIDE 13

highest intermediate

slide-14
SLIDE 14

Technology and scope ¡

JIL ¡ra6ng ¡is ¡related ¡to ¡a ¡technology ¡ Evalua6on ¡takes ¡care ¡of ¡a ¡scope ¡(list ¡of ¡assets) ¡ A ¡cer6ficate ¡does ¡not ¡necessarily ¡ mean ¡that ¡the ¡whole ¡product ¡is ¡secure ¡

slide-15
SLIDE 15

Recap ¡

Cer6ficate ¡is ¡only ¡valid ¡at ¡the ¡issuance ¡ date ¡ Purpose ¡of ¡a ¡security ¡evalua6on: ¡bring ¡assurance ¡ Assurance ¡concerns ¡a ¡scope ¡of ¡a ¡product ¡ A>ack ¡ra6ng ¡is ¡technology ¡specific ¡and ¡provides ¡ a ¡link ¡with ¡an ¡assurance ¡level ¡

slide-16
SLIDE 16

Positive feedbacks ¡

Global ¡security ¡level ¡has ¡drama6cally ¡increased ¡ EMV ¡payment ¡cards, ¡passports ¡and ¡terminals ¡are ¡ running ¡through ¡the ¡process. ¡Many ¡cer6ficates ¡ are ¡issued ¡every ¡year. ¡ Experts ¡can ¡speak ¡(almost) ¡the ¡same ¡language. ¡ ¡

harmonize ¡the ¡a>ack ¡techniques ¡across ¡the ¡industry ¡

slide-17
SLIDE 17

A stone in the shoe ¡

State-­‑of-­‑the-­‑art ¡a>ack ¡change ¡over ¡the ¡6me ¡ Renewal ¡ process ¡ is ¡ some6mes ¡ part ¡ of ¡ the ¡ process ¡è ¡a ¡fail ¡is ¡difficult ¡to ¡manage ¡ There ¡is ¡no ¡obvious ¡rule ¡to ¡manage ¡the ¡risk ¡over ¡ the ¡6me ¡

slide-18
SLIDE 18

Is it scalable? ¡

Outside ¡secure ¡chips ¡and ¡terminals, ¡there ¡is ¡no ¡ ac6ve ¡commi>ee ¡ Perimeter ¡must ¡be ¡defined ¡to ¡an ¡affordable ¡ scope ¡ Equa6on ¡risk ¡assurance ¡versus ¡cost ¡and ¡6me ¡to ¡ market ¡ Ra6ng ¡an ¡a>ack ¡and ¡managing ¡the ¡risk ¡are ¡ closely ¡6ed ¡together ¡

slide-19
SLIDE 19

The ¡trend ¡

slide-20
SLIDE 20

Some Android Exploits

Towelroot: June 2014 50% of devices still vulnerable Local kernel exploit Stagefright : July 2015 95% of devices vulnerable Remote exploitation (mms) Rage Against the Cage: 2011 3% of devices still vulnerable adb + Local exploitation (fork bomb)

slide-21
SLIDE 21

Secure ¡chip ¡environment ¡

Confined and closed Manufacturing and development processes can be controlled Full coverage is affordable Depth is possible

è è Global level of trust remains strong

Assessment methodology established and mature

slide-22
SLIDE 22

Mobile ¡environment ¡is ¡different ¡

Open environment (interfaces, access, etc) Involved number of stakeholders for the design and the manufacturing No assessment methodology Full coverage is not possible

è è How to create a good level of trust? è è More pressure for time to market

Depth is hard to achieve exhaustively

slide-23
SLIDE 23

Connected ¡and ¡mobile ¡devices ¡

Communities of hackers Multi faces threats Legal protection is the same? Device: trust in the host?

è èRisk management: need to change the model?

Level of information available is much higher (hardware, SDK, tutorials,)

slide-24
SLIDE 24

Some gaps to fill… JIL ¡ra6ng ¡is ¡s6ll ¡missing ¡for ¡several ¡technologies ¡ ¡ Where ¡ most ¡ of ¡ exploits ¡ are ¡ published ¡ nowadays ¡

slide-25
SLIDE 25

Software security and mobile

Mobile app are OS- and not handset specific Assurance can change with a new exploit How managing the multiple release?

slide-26
SLIDE 26

Risk ¡management ¡should ¡not ¡rely ¡only ¡on ¡a ¡set ¡

  • f ¡security ¡requirements ¡

More ¡forensics ¡to ¡monitor ¡the ¡risk ¡on ¡the ¡field ¡ Back-­‑end ¡ is ¡ there ¡ for ¡ most ¡ of ¡ connected ¡ and ¡ mobile ¡ ¡ ¡solu6ons ¡è ¡can ¡be ¡adap6ve ¡

slide-27
SLIDE 27

Conclusion

JIL ¡ra6ng ¡is ¡an ¡effec6ve ¡tool ¡to ¡rate ¡an ¡a>ack ¡ ¡ It ¡requires ¡to ¡have ¡technical ¡expert ¡commi>ees ¡ Risk ¡management ¡relies ¡on ¡security ¡evalua6ons ¡ Model ¡shall ¡certainly ¡change ¡for ¡latest ¡technologies ¡ New ¡usage, ¡new ¡technologies ¡are ¡emerging ¡in ¡IoT ¡

slide-28
SLIDE 28

Questions? contact@eshard.com