- 취약점 진단 범위
1. 서버 취약점 점검
자체 개발한 점검 툴 활용(시스템에 영향 거의 없음)
취약점 및 설정상의 오류 점검
각 OS 별 특화된 점검
보안전문가에 의한 분석
2. 네트워크 취약점 점검
자체 개발한 체크리스트 사용(네트워크 장비에 영향 없음)
각 네트워크 장비별 특화된 점검
False-Positive 최소화
보안전문가에 의한 분석
3. 정보보호시스템 취약점 점검
자체 개발한 체크리스트 활용
취약점 및 설정상의 오류 점검
각 기능별/장비별 특화된 점검
보안 정책 점검
보안전문가의 의한 분석
4. WAS/DB 취약점 점검
자체 개발한 체크리스트 사용(시스템에 영향 거의 없음)
각 벤더별 특화된 점검
False-Positive 최소화
보안전문가에 의한 분석
- 취약점 진단 절차 ( 참고 : http://www.ahnlab.com/kr/site/product/consultType5.do )
1단계 : 정보시스템 현황 파악
시스템 구성 현황 및 운영 파악
네트워크 구성 현황 파악
응용시스템 현황 파악
2단계 : 점검 대상 선정
중요도가 높거나 위협 가능성이 큰 정보시스템에 우선순위 부여
유사한 플랫폼은 그룹화하여 대표 시스템 선정
3단계 : 정보시스템 취약성 진단
진단도구를 이용한 취약성 진단
네트워크 취약성 진단 도구
서버 취약성 진단 도구
보안 장비 운영 진단
점검 스크립트를 이용한 수동 취약성 점검
4단계 : 진단 결과 분석
진단도구에서 제시된 보고서 분석
수동 점검에 의한 결과 분석
5단계 : 보고서 및 보안대책 제시
개선 대책 제시
진단도구에 발견된 취약성 제거 방안 제시
수동 점검에 의해 발견된 취약성 제거 방안 제시
- 웹 모의해킹 진단 범위
OWASP 10대 취약점에 대한 점검
KISA에서 제공하는 취약점에 대한 점검(Black Box)
안행부에서 제공하는 취약점에 대한 점검(White Box)
- 웹 모의해킹 절차 ( 참고 : http://www.ahnlab.com/kr/site/product/consultType8.do )
1단계: 수행전
대상 범위 선정
2단계: 모의침투
정보 수집
목록화
취약점 분석
공격 시도
결과 분석
3단계: 수행후
대응방안 마련
보고서 작성
흔적 제거
'Security > 정보 수집' 카테고리의 다른 글
| 말테고 ( maltego ) (0) | 2017.11.03 |
|---|---|
| DNS 서버를 사용하여 정보 수집 (0) | 2017.11.03 |
| 배시쉘 버그 ( bash shell bug / shellshock ) (0) | 2017.11.03 |
| 인터넷을 통한 정보 수집 ( 정보 보안 사이트 ) (0) | 2017.11.03 |
| 정보 수집 ( Data Gathering ) (0) | 2017.11.03 |
