클라우드 보안인증
탐스공접사전협의중요
블랙/화이트/그레이
[개념] 합법적이고 승인된 시도를 통해 시스템 안전성 보장을 위한 취약점을 찾고 이를 공격하는 테스팅 기법
[절차] 탐색(직접/간접)->스캐닝(취약점분석)->공격(권한탈취, 익스플로잇)->접근권한유지(익스플로잇, 백도어)
[탐색기법] site, filetype
1) test site:kpc.or.kr
2) test filetype:c
3) 스캐닝 - nmap, netcat, fast-track(익스플로잇툴)
취약점 검증 및 모의해킹 솔루션 PC, Server, Network, Database, 웹, SCADA 시스템 등 각종 어플리케이션 취약점 검증
·자동화된 모의해킹 테스트
- 인력기반의 모의해킹 테스트
- Metasploit 에 의한 모의해킹 테스트
·피싱 노출 및 보안 의식 테스트
- 도출된 취약점에 대해 최신 취약점DB 정보 기반 침투 테스트
·취약점 위험 및 방어상태 검증을 위한 공격 시뮬레이션
·침투 테스트를 통한 보안 수준 검증
- 내부 보안 시스템들의 보안 설정, 유효성 검증
http://www.nnsp.co.kr/sub02/sub02_03?var=1
앤앤에스피
산업제어시스템 보안 및 네트워크 보안, IT인프라솔루션, 물리보안, 통합아웃소싱 공급업체
www.nnsp.co.kr
'펜 테스트(pen testing)'나 '윤리적 해킹(ethical hacking)'으로도 불리는 침투 테스트(Penetration test)
기본적으로 보수를 받고 합법적으로 컴퓨터나 기기에 침투하는 일
해커들이 합법적인 '윤리적 해커'가 되기 위해 반드시 거쳐야 하는 단계들이 있다. 최소한 침투에 앞서, 권한을 갖고 있는 사람으로부터 서면 승인을 받아야 한다. 전문 침투 테스터에게 가장 중요한 부분은 법을 지키는 것이다. 모든 윤리적 해커가 하는 일에 방향을 제시하는 윤리 강령(Code of ethic)을 따라야 한다. CEH(Certificated Ethical Hacker) 테스트를 만든 EC-카운실(EC-Council)의 윤리강령이 대표적이다.
윤리적 해킹의 단계 1. 범위와 목표 설정
전문 침투 테스터는 서면으로 범위와 목적을 합의해야 한다. 다음은 범위를 설정하기 위해 물어야 할 질문들이다.
윤리적 해킹의 단계 2. 적절한 침투 테스트 도구 선택
침투 테스터는 통상 자신이 항상 사용하는 해킹 도구에 대한 기준을 가지고 있다. 그러나 윤리적 해킹 업무의 경우, 그 유형에 따라 다른 도구를 찾거나 선택해야 할 수도 있다. 예를 들어, SQL 서버 공격을 요청받았는 데 관련 경험이 없다면, 여러 다양한 SQL 공격 도구를 조사하고 테스트해야 한다.
윤리적 해킹의 단계 3. 발견: 침투 테스트 대상을 학습
모든 침투 테스터가 침투 테스트 대상에 대한 학습으로 해킹을 시작한다(소셜 엔지니어링 기법은 제외). 발견(Discover) 단계에서는 IP 주소, 운영체제 플랫폼, 애플리케이션, 버전 번호, 패치 상태, 광고된 네트워크 포트, 사용자, 기타 취약점을 알려주는 요소들을 파악해야 한다. 침투 테스터가 단 몇 분 동안 자산을 조사, 잠재적인 취약점을 찾아내는 경우가 적지 않다. 취약점을 발견하지 못한 경우에도, 이 과정에 학습한 정보로 계속 분석을 하고, 공격을 시도할 수 있다.
윤리적 해킹의 단계 4. 취약점 공격 대상에 침투
'침투'를 하라고 윤리적 해커들에게 보수를 지급하는 것이다. 발견 단계에서 획득한 정보로 취약점을 공격하고, 이를 통해 미인가 액세스 권한을 획득한다(또는 서비스 거부 공격). 특정 자산에 침투할 수 없다면, 범위 내 다른 자산에 대한 침투를 시도해야 한다.
윤리적 해킹의 단계 5. 침투 테스트 과정을 문서화
마지막으로 전문 침투 테스터는 사전에 합의된 보고서를 작성해 제출해야 한다. 여기에는 발견 결과와 결론이 포함된다.
원문보기:
http://www.itworld.co.kr/news/107300#csidxf77d5de72f9d9cfb4912b7804d69032
"해커에서 침투 테스터로의 변신" 침투 테스트의 기초와 요구 사항 - ITWorld Korea
컴퓨터 보안 분야에서 30년 넘게 종사한 필자에게 가장 도전적이면서 재미있는 업무는 '펜 테스트(pen testing)'나 '윤리적 해킹(ethical hacking)'으로도 불리는 침투 테스트(Penetration test)다. 이는 기본��
www.itworld.co.kr
'02.SW' 카테고리의 다른 글
| [Wonny | 데이터로 일하는 개발자] (0) | 2020.06.24 |
|---|---|
| 2020년 상반기. 양질의 기술 아티클 모음 (0) | 2020.06.24 |
| SW 테스트 - 퍼즈 테스트(Fuzz Test) (0) | 2020.06.23 |
| SW 테스트 - 지각 테스트(Perceptual Testing) (0) | 2020.06.23 |
| SW 테스트 - 회귀 테스트 (Regression Test) (0) | 2020.06.23 |
