보안 위험관리 및 검토

보안 Security

가치 있는 유/무형의 자산을 위험(도난, 손실, 유출 등)으로부터 보호하는 행위

 

용어

1) 자산 Assets

-조직이 보호해야하는 유/무형의 대상

-유형 자산: 하드웨어, 소프트웨어, 기반시설 등

-무형 자산: 정보, 관련 인력, 기업 이미지 등

2) 위협 Risk

-자산에 손실을 줄 수 있는 사건의 잠재적 원인 또는 행위자

3) 위험 Threats

- 외부의 위협이 내부의 취약점을 이용하여 보유한 각종 자산에 피해를 줄 수 있는 잠재적인 가능성

4) 취약점 Vulnerability

- 위협 발생의 잠재적 조건으로 자산에 내제된 보안에 취약한 속성

 

보안의 3대 요소 = 보안의 목표

CIA Triad(Confidentiality, Integrity, Availability)

 

1) 기밀성 Confidentiality

- 인가받은 사용자만 정보자산에 접근할 수 있음을 보장 함

- sniffing

2) 무결성 Integrity

- 권한을 가진 사용자에 의해 인가된 방법으로만 정보를 변경할 수 있음을 보장 함

- spoofing

3) 가용성 Availability

- 정보자산에 대해 적절한 시간에 접근 가능함을 보장 함

- Dos,DDos,DRDos(중단시키기)

 

모의해킹 Penetration Testing

: 자산의 보안 취약점을 미리 발견하기 위해 인가된 보안 전문가가 가상으로 수행하는 해킹

위협의 가능성이 발견된 경우 취약점을 개선할 방안을 마련하여 보안 사고를 방지

 

1) 공개 모의해킹 White Box Testing

- 대상에 대한 내부 시스템 정보를 제공 받아서 시스템의 잠재적인 보안 위협을 식별하는 방식

- 짧은 기간 내에 최대한 많은 취약점을 발견하여 조치하려는 목적에서 수행

- 장점 : 모의해킹 진행시 IP가 차단되지 않음

- 단점 : 효과적인 평가가 어려움

2) 비공개 모의해킹 Black Box Testing

- 대상에 대한 내부 시스템 정보를 제공 받지 않고 시스템의 잠재적인 보안 위협을 식별하는 방식

- 실제 해커의 공격과 근접한 시나리오를 구성 할 수 있다.

- 예상하지 못한 보안 위협을 찾을 수 있다.

- Blind Test : 대상이 모의해킹에 대해 인지하고 있는 상태에서 수행

- Double Blind Test : 대상이 모의해킹에 대해 인지하지 못한 상태에서 비공개적으로 승인된 방식

   내부 보안 팀의 탐지와 대응 기술을 평가, 실제환경에 가장 근접한 테스트

 

모의해킹단계 PTES

1) 사전계약

- 모의해킹의 약관과 범위를 고객과 협의하는 과정

2) 정보 수집

3) 위협 모델링

- 취약점 식별

4) 취약점 분석

- 실행 가능한 공격 방법을 결정

5) 침투 수행

6) 보고서 작성

 

정보 수집

- 해킹 및 모의해킹 과정에서 가장 중요한 단계

- 침투 대상에 대한 사전 정보를 조사하는 단계

- 분류 : 사회 공학, 수동적 정보 수집( 도메인 정보 수집, 네트워크 경로 정보 수집, 오픈 소스 정보, 공격대상 웹사이트 분석 등), 능동적 정보 수집(Port scan, Active scan..), 취약점 정보 수집(Banner Grabbing..)