16장 보안테스트 및 평가 2009.6 신수정
1) Assessment: 평가대상이 특정 보안목표에 얼마나 효과적으로 만족하는지를 결정하는 프로세스 1. Security Test & Examination 1) Assessment: 평가대상이 특정 보안목표에 얼마나 효과적으로 만족하는지를 결정하는 프로세스 Testing: 특정조건하에 실제와 기대되는 행위를 비교 Examination: check, inspect, review, observe, study, analyze이해, 명확화, 증거수집 Interviewing: 개인 또는 그룹과 상의 2) Assessment 절차 -Planning : 정보수집 -execution:취약성 정의, 적절성 평가 -post-execution: 취약성 분석 및 대안마련
3) Technical Assessment Technique 1. Security Test & Examination 3) Technical Assessment Technique Review technique: 시스템, 응용, 네트워그, 정책, 절차를 검토하여 취약성 발견하는 조사 기법. 문서, 로그, 룰셋, 시스템 구성 점검, 네트워크 도청, 무결성 체크 등 포함. 일반적으로 매뉴얼 Target identification & analysis technique: 시스템, 포트, 서비스, 취약성등을 정의하는 테스팅 기법, 일반적으로 매뉴얼이지만 자동화도구 사용, 네트워크 스캐닝. 취약성 스캐닝, 응용 보안 조사 등 포함 Target vulnerability validation techniques: 취약성 존재를 확증하기 위한 테스팅 기법. 매뉴얼또는 자동화. 패스워드 크래킹, 침투 테스트, 사회공학, 응용보안테스트 등
Examination : 정책, 절차, 계획, 요구, 시스템 구성도, 로그 등과 같은 문서를 검토 제대로 문서화되었는가? 1. Security Test & Examination 4) Examination 과 test Examination : 정책, 절차, 계획, 요구, 시스템 구성도, 로그 등과 같은 문서를 검토 제대로 문서화되었는가? Testing: 실제 보안취약성을 정의하기 위해 시스템과 네트워크에 작업. 조금 더 정확한 그림을 주지만 완성된 평가를 제공하기는 어려움 5) Testing의 관점 External과 internal: 기업보안 외부, 기업내부(내부자관점) Overt와 covert: 조직의 동의(white hat), 비지식(black hat)
문서 리뷰: 정책과 절차가 최신의 것이며 충분한지 2. Review Technique 문서 리뷰: 정책과 절차가 최신의 것이며 충분한지 로그리뷰: 보안대책이 적절한 정보를 로깅하는지, 조직이 로그관리정책을 준수하는지 룰셋리뷰: 라우터, 방화벽, IDS/IPS 시스템 구성 리뷰: 계정, 패스워드 세팅, 로깅, 백업 세팅 등 네트워크 스니핑: perimeter, 방화벽 뒤(룰셋점검), IDS/IPS뒤(시그니쳐와 트리거링의 적정성), 핵심시스템 앞, 특정 네트워크 세그멘트(암호프로토콜 검증) 파일 무결성 체크
2. Review Technique
2. Review Technique
네트워크 포트 및 서비스 정의:active호스트에 운영되는 네트워크 포트 및 서비스 파악(포트스캐닝 등) 3. Target Identification & analysis Techniques 네트워크 탐색: 네트워크상 active 및 응답 호스트 검색, 취약성 정의, 네트워크가 어떻게 운영되는지 파악(스니핑, ICMP스캔 등) 네트워크 포트 및 서비스 정의:active호스트에 운영되는 네트워크 포트 및 서비스 파악(포트스캐닝 등) 취약성 스캐닝: 호스트 및 OS스캔, 취약성 정의, 무선 스캐닝: 무선장비 취약성 점검
3. Target Identification & analysis Techniques
3. Target Identification & analysis Techniques
패스워드 크래킹: dictionary, hybrid, brute force 침투 테스트: 실 침투 4. Target Vulnerability validation techniques 패스워드 크래킹: dictionary, hybrid, brute force 침투 테스트: 실 침투 시스템, 응용, 네트워크 의 설계 및 구현상의 이용가능한 defect를 찾고 목표로 함 3) 사회공학: 이간요소, 사용자 인식 취약성 체크, 사용자 행동의 취약성 제시, phishing 등
4. Target Vulnerability validation techniques
4. Target Vulnerability validation techniques
평가 정책 정의 평가 우선 순위 및 스캐쥴링 기법 선택 및 커스터마이징 평가 조달 평가자 선택 장소 선택 도구 및 자원 선택 5. Security Assessment Planning 평가 정책 정의 평가 우선 순위 및 스캐쥴링 기법 선택 및 커스터마이징 평가 조달 평가자 선택 장소 선택 도구 및 자원 선택 5) 평가 계획 개발 6) 법적 고려
5. Security Assessment Planning
5. Security Assessment Planning
조정 평가 분석: 취약성 원인 분석 데이터 취급 데이터 수집: 평가자 활동 포함 데이터 저장 데이터 전송 데이터 파기 6. Security Assessment Execution 조정 평가 분석: 취약성 원인 분석 데이터 취급 데이터 수집: 평가자 활동 포함 데이터 저장 데이터 전송 데이터 파기
7. Post-Testing Activities Mitigation 권고 레포팅 수정/보완