온라인 보안 컨설팅 제안

Size: px

Start display at page:

Download "온라인 보안 컨설팅 제안"

경석 정
5 years ago
Views:

1 보안취약점진단 & 모의해킹 다우데이타

2 INDEX 1. 개요 2. 보안취약점진단 3. 모의해킹 4. 보안컨설팅

3 1. 개요 - 관련이슈 분류내용분류내용 금융 금융회사의자체보안점검내실화유도 ( 전자금융업법시행령제11조의 5) 금융회사는신규서비스출시시 1개월내에금감원에자체적인 취약점분석평가 실시결과를제출해야함 ( 전자금융감독규정제37조의 2) 非금융전산시스템의취약점분석 평가 교육 / 홍보용홈페이지, 이메일, 그룹웨어등내부업무처리를위한시스템 약학정보원개인정보유출 47억건 여름휴가철을맞아국내여행사의웹사이트에금융악성코드유포 웹사이트를접속하는사용자대상으로웹브라우저및플러그인등의취약점을이용하여사용자 PC에몰래악성코드설치 감염된악성코드는가짜인터넷뱅킹웹사이트로접속되도록파밍유도, PC내공인인증서를검색 / 압축후외부로전송하는역할수행 이는백신으로검출되지않는경우도있음 ( 의료기관개인정보보호가이드라인 ) 인터넷홈페이지운영시개인정보 노출을방지하기위한보안조치를수행하여아함 여행 / 호텔 일본여행사 H.I.S 는플래시가실행되고있는페이지를보는것만으로도바 이러스에감염되는공격받음. 의료 / 제약 - 최근의사가연구목적등을위해개인적으로개설한홈페이지를통해환자의개인정보가노출되는경우가많음 의료기관내에서업무용으로무선네트워크를사용할경우, 이를통한내부망침투, 개인정보처리시스템접근및네트워크도청등을방지하기위한보안조치필요 이는유선네트워크에비해침해가능성높음 우리나라여행사홈페이지도플래시사용량이많아공격받을위험성이큼 유명호텔예약사이트 E사회원 1만여명정보유출 - 해커가 E사와의협상이결렬되자, 회원정보를중국보이스피싱및베트남인신매매조직에팔아넘기겠다고회원에게직접협박한사건 - 이름, 이메일, 전화번호, 일정, 예약현황등노출

4 1. 개요 - 정의 보안취약점 (Vulnerability) 이란? 보안취약점 (vulnerability) 또는취약점은보안상의문제점을안고있는컴퓨터시스템의약점을말하며 컴퓨터에대한범죄행위 ( 해킹등 ) 나자연재해와같이외부로부터가해지는취약성뿐만아니라 컴퓨터스스로가만들어낸취약성까지도포함한것을의미 - 정보시스템에불법적인사용자의접근을허용할수있는위협들 - 정보시스템의정상적인서비스를방해하는위협들 - 정보시스템에서관리하는중요데이터의유출, 변조, 삭제에대한위협

5 1. 개요 - 보안취약점진단시애로사항 관리인력의부족고가의도입비용보안인지도부족 별도의관리인력및구축형솔루션없이도우수한보안제품으로 보안취약점을진단하고사이버모의침투훈련을할수있는서비스제공

6 2. 보안취약점진단 Network 및 Server System, Web Application 그리고 Database 에이르는 IT 인프라환경전반에대한보안 취약점진단및조치방법제시 전체가시성 위협및위험검증 인공지능스캔엔진 조직내 IT 인프라전체에대한 자산과애플리케이션검출 전체취약점에대한통합평가 모의해킹으로취약점검증 RealRisk & RealContext 로 지능형평가 6 만 5 천개이상의취약점진단 DB 보유 1% 미만의오탐율

7 2. 보안취약점진단 보안취약점검증프로세스 위험진단 1. 공격가능성있는취약점파악 2. Nexpose 로부터스캔결과 자동전송 취약점진단 자산의보안상태진단 모의해킹 발견된위협의실제검증 4. 치료를위해검증된취약점 우선순위분석 위협검증 3. 공격가능성증명을 위해 간이마법사사용

8 2. 보안취약점진단 주요기능 위험의우선순위를결정하여고위험의취약점을검출하고즉각적인조치를취할수있도록결과안내 다섯가지위험판단요소로우선순위를결정 - 준수 (CVSS) or 진짜위험? 멀웨어 이용가능 고위험취약점에즉각적인조치 전통적인 CVSS 전체조직에대한취약점별위험점수 조치순서설정을위한점수

9 2. 보안취약점진단 주요기능 취약점결과정보를여러기준으로분류하여산출하고, 이에대한해결조치방법을순서및단계별제공 호스트필터 : IP, site, static group, dynamic group 취약점필터 : 150 개의카테고리및심각도에따른분류 취약점세부정보 : 리포트대상에따라 4 가지의분류옵션 예 > 위험수준이높은웹서버들로부터발견된심각도가 Critical 인모든웹관련취약점만추출해서리포트를생성

10 2. 보안취약점진단 리포트제공 다양한형태의결과리포트제공으로보안취약점결과분석및관리가능 ( 한글지원가능 ) Top Remediation Report 고위험취약점에대한가시성확대 ( 취약점분류에따라효율적으로전문가배치 ) 종합결과보고서 주요취약점항목및개수

11 2. 보안취약점진단 - 기대효과 빠른점검속도 300대기준기존점검방식대비 20배빠른속도최신취약점방식포함하여손쉽게수행가능시간, 인력, 비용절약및보안성강화 Agent-less 방식 별도의에이전트없이대상정보입력만으로원격을통한점검가능안전성, 편리성제공 기존 스크립트작성 서버배포 덤프파일작성 보고서 대당 20 분소요 서비스 대상정보입력 점검수행 보고서 대당 10 분소요동시점검 10 대

12 2. 보안취약점진단 - 기대효과 가시성확대 시스템파악및네트워크의취약점파악 양호 상태의변경원인파악 (ex. 구성 ) 목표지수를이용하여인지, 행동, 의무수행 위험의우선순위관리 방어에필요한데이터산출단순취약점만이아닌, 이용가능성에따른치료방법의우선순위결정위험해결을위한수치화가가능한대책마련 자동화 평가와치료주기의자동화데이터정확성증가를위한지속적인평가가능업무연관 IT 위험의영향산출 위협대비효율성증가업무로연계

13 3. 모의해킹 보안취약점진단결과를토대로실제공격자관점에서전체자산의보안문제를검증하여취약점에능동적으로 대처하기위한모의침투테스트 침투테스트 취약점검증 웹모의침투공격 기업의네트워크에안전하게공격시뮬레이션고급회피기술과약한인증테스트 실제위험을식별하고설명 취약점제거를위해 Nexpose ( 보안취약점진단툴 ) 와연동 웹취약점 (XSS, SQLi, etc) 공격을수행

14 3. 모의해킹 주요기능 실제환경에서의보안테스트및위험검증 외부공격자와같은방법을사용하여침투테스트진행 안전한공격시뮬레이션 세계에서가장많은품질이검증된취약점공격모듈을선별 Nexpose와함께사용하여보안위험상태를검증 실제위험의정확한판별로순위별개선조치업무제시 Brute forcing, VPN pivoting 과같은정교한공격에대한대응훈련

3. 모의해킹 주요기능 공격범위를최대화하여서버시스템, 네트워크장비, RDBMS, 오피스시스템, 이메일사용자, 웹애플리케이션 등에대해빠르게다중화된공격을수행하고주요정보획득 서버시스템취약점 : 내부서버상의 OS 및설치된시스템의공격취약점확인후공격을수행하여서버상의주요계정및정보를취함 웹애플리케이션 : XSS, SQL

15 3. 모의해킹 주요기능 공격범위를최대화하여서버시스템, 네트워크장비, RDBMS, 오피스시스템, 이메일사용자, 웹애플리케이션 등에대해빠르게다중화된공격을수행하고주요정보획득 서버시스템취약점 : 내부서버상의 OS 및설치된시스템의공격취약점확인후공격을수행하여서버상의주요계정및정보를취함 웹애플리케이션 : XSS, SQL 인젝션등의취약점을이용하여네트워크침투하고, 피벗 (Pivot) 기능을이용하여내부시스템을장악하기위한테스트진행 네트워크시스템 : 인프라의핵심구성으로해커들에게가장많은타겟이되고있으며, 장비운영체제및포트중심으로공격수행 Database : 여러경로를통해침투하여결과적으로 DB 에있는취약점을이용하여주요정보획득을목적 오피스시스템 : 내부사용자의개인사진, 파일, 문서등을획득할수있도록공격수행

16 3. 모의해킹 주요기능 다양한침투테스트에대한결과를리포트로제공 발견된취약점을통한해킹가능여부에대한결과리포트제공 HTML, PDF, Word, RTF, XML 리포트제공 ( 고객선택사항 ) 모의해킹시도리스트 샘플보고서

17 3. 모의해킹 특장점 강력하고신뢰된엔진활용 20만명의커뮤니티멤버가제공하는강력하고신뢰된오픈소스를탑재한 Engine을활용한진단결과제공광범위하고품질이증명된 exploit 모듈제공 보안취약점진단결과와연동 앞서진행한보안취약점진단결과와연동가능최신 DB정보를활용하여도출된취약점에대한침투테스트지원

18 3. 모의해킹 - 기대효과 사전위협대비 시스템파악및네트워크의취약점파악 양호 상태의변경원인파악 (ex. 구성 ) 목표지수를이용하여인지, 행동, 의무수행 위험의우선순위관리 방어에필요한데이터산출단순취약점만이아닌, 이용가능성에따른치료방법의우선순위결정위험해결을위한수치화가가능한대책마련 자동화 평가와치료주기의자동화데이터정확성증가를위한지속적인평가가능업무연관 IT 위험의영향산출 대형사고대비보안인식평가시스템검출및영향분석

19 4. 컨설팅 - 개요 보안취약점진단결과및모의해킹결과를토대로전문컨설턴트가발견된위협에대한대응방안을제시하여 기업및기관의보안대응전략수립 웹취약점진단 웹모의해킹 소스코드진단 : 웹 App. 정보보호시스템 정책관리진단 운영관리진단 접근권한관리진단 : 스마트가전진단 리버스엔지니어링 소스코드진단 : C/S, Smart App. 서비스영역 정보자산영역 서버 OS 취약점진단 WEB 취약점진단 WAS 취약점진단 DBMS 취약점진단 : 모바일취약점진단 정보유출위험진단 소스코드진단 : Mobile App. 네트워크 구성보안진단 장비취약점진단 :

20 4. 컨설팅 - 기대효과 보안취약점진단결과및모의해킹결과를토대로전문컨설턴트가발견된위협에대한대응방안을제시하여 기업및기관의보안대응전략수립 정보보호전략 보안관리 정보보호를위한목표 정보보호조치 정보보호정책 정보보호프로세스 위험도별취약점조치 악성코드피해예방 개인정보유출방지 IT 보안인프라 & 정보보호인식기반

21 감사합니다 Tel

354-437-4..

354-437-4.. 357 358 4.3% 5.1% 8.2% 6.2% 5.6% 6% 5% 5.3% 96.1% 85.2% 39.6% 50.8% 82.7% 86.7% 28.2% 8.0% 60.0% 60.4% 18,287 16,601 (%) 100 90 80 70 60 50 40 86.6% 80.0% 77.8% 57.6% 89.7% 78.4% 82.1% 59.0% 91.7% 91.4%