온라인 보안 컨설팅 제안

Similar documents

Lorem ipsum dolor sit amet, consectetur adipiscing elit

untitled

5th-KOR-SANGFOR NGAF(CC)

** 5 개이발생한주요소프트웨어별취약점세 EDB 번호취약점종류공격난이도공격위험도취약점이름소프트웨어이름

*2008년1월호진짜

PowerPoint 프레젠테이션

< FC8A8C6E4C0CCC1F620B0B3B9DF20BAB8BEC8B0A1C0CCB5E5C3D6C1BE28C0FAC0DBB1C7BBE8C1A6292E687770>

< FBFF9B0A320BEC7BCBAC4DAB5E520C0BAB4D0BBE7C0CCC6AE20C5BDC1F620B5BFC7E220BAB8B0EDBCAD283131BFF E302028C8A8C6E4C0CCC1F620BEF7B

< 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 2 - 유포지탐지 국가별현황 2 - 대량경유지가탐지된유포지 TOP 악성코드유형별비율 4 - 악성코드취약점유형별비율 4 - 악성코드수집및분석결과 5 - 경유지탐지 업종별비율 9 3. 악성코

XSS Attack - Real-World XSS Attacks, Chaining XSS and Other Attacks, Payloads for XSS Attacks

Æí¶÷4-¼Ö·ç¼Çc03ÖÁ¾š

Lorem ipsum dolor sit amet, consectetur adipiscing elit

Microsoft Word - SKINFOSEC-CHR-026- Mass SQL Injection 탐지 우회분석 보고서.doc

1. 배경 업무 내용이나 개인정보가 담긴 청구서 등을 메일로 전달 시 중요한 정보가 유출되는 경우가 발생하고 있으며, 이에 따른 메일 암호화 솔루션을 도입하고 있으나 기존 ActiveX를 기반으로 한 플러그인 방식은 여러 가지 제약으로 인해 사용성이 저하되고, 고객 대

라우터

PowerPoint Template

서현수

EDB 분석보고서 (04.06) ~ Exploit-DB( 에공개된별로분류한정보입니다. Directory Traversal users-x.php 4.0 -support-x.php 4.0 time-

Cloud Friendly System Architecture

ìœ€íŁ´IP( _0219).xlsx

인도 웹해킹 TCP/80 apache_struts2_remote_exec-4(cve ) 인도 웹해킹 TCP/80 apache_struts2_remote_exec-4(cve ) 183.8

AhnLab_template

암호내지

PowerPoint 프레젠테이션

Web Application Hosting in the AWS Cloud Contents 개요 가용성과 확장성이 높은 웹 호스팅은 복잡하고 비용이 많이 드는 사업이 될 수 있습니다. 전통적인 웹 확장 아키텍처는 높은 수준의 안정성을 보장하기 위해 복잡한 솔루션으로 구현

개인정보보호의 이해 및 안전한 관리 - 개인PC 및 스마트폰 개인정보보호-

2006_8_14 (8_17 updated) ms ¿ú(wgareg.exe) ºÐ¼® º¸°í¼�.hwp

SQL Developer Connect to TimesTen 유니원아이앤씨 DB 기술지원팀 2010 년 07 월 28 일 문서정보 프로젝트명 SQL Developer Connect to TimesTen 서브시스템명 버전 1.0 문서명 작성일 작성자

PowerPoint 프레젠테이션

[Brochure] KOR_TunA

TGDPX white paper

< FBBE7B0EDB3EBC6AE5FB5F0C6FAC6AEC6D0BDBABFF6B5E5C3EBBEE0C1A128BCF6C1A4292E687770>

목 차 1. 개 요 배경 요약 정보 대상시스템 원리 공격 기법 및 기본 개념 Heap Spray Font 공 격..

취약점분석보고서 Simple Web Server 2.2 rc2 Remote Buffer Overflow Exploit RedAlert Team 안상환

인터넷 비즈니스의 필수 요소, 트랜잭션 시큐리티 서비스 인터넷 비즈니스는 기업 영리 활동에 있어서 부가적인 서비스가 아닌 사업을 영위해 가는데 중요한 역할을 하고 있습니다. 특히, 인터넷 쇼핑몰, 인터 넷 뱅킹, 사이버 트레이딩, 전자정부서비스, 온라인 게임, 인터넷


Ç¥Áö

<BBE7B0EDB3EBC6AE5FC7E3BAEAB0D4C0D32E687770>

Inside Android Applications

슬라이드 1

공개 SW 기술지원센터


Intra_DW_Ch4.PDF

<35B9DAC1F6BCF62CC0CCBFECC8C62CB7F9B5BFBCAE2E687770>

1. 제품 개요 AhnLab Policy Center 4.6 for Windows(이하 TOE)는 관리대상 클라이언트 시스템에 설치된 안랩의 안티바이러스 제품인 V3 제품군에 대해 보안정책 설정 및 모니터링 등의 기능을 제공하여 관리대상 클라이언트 시스템에 설치된 V3

월간악성코드은닉사이트탐지 동향보고서 9 월 침해대응단사이버침해대응본부

第 1 節 組 織 11 第 1 章 檢 察 의 組 織 人 事 制 度 등 第 1 項 大 檢 察 廳 第 1 節 組 대검찰청은 대법원에 대응하여 수도인 서울에 위치 한다(검찰청법 제2조,제3조,대검찰청의 위치와 각급 검찰청의명칭및위치에관한규정 제2조). 대검찰청에 검찰총장,대

문서 템플릿

고객 사례 | Enterprise Threat Protector | Akamai

1. 제품 개요 WeGuardia WIPS V2.0(이하 TOE)은 특정 조직에서 운영되는 무선랜에 대한 지속적인 모니터을 통해 내 외부로부터 발생할 수 있는 각종 침입을 탐지 및 차단하여 내부의 네트워크를 보호하는 무선침입방지시스템이다. TOE의 세부 식별자 및 배포

마켓온_제품소개서_ key

BuzzAd Optimizer Proposal for partner 1

Index

PowerPoint 프레젠테이션

Microsoft PowerPoint - 6.pptx

월간악성코드은닉사이트탐지 동향보고서 4 월 침해사고대응단인터넷침해대응본부

Index

Index

..,. Job Flow,. PC,.., (Drag & Drop),.,. PC,, Windows PC Mac,.,.,. NAS(Network Attached Storage),,,., Amazon Web Services*.,, (redundancy), SSL.,. * A

PowerPoint 프레젠테이션

붙임 과정별세부내용. 전자정부정보보호거버넌스의이해 교육수준기본 심화 교육유형이론 실습 정보보호중요성에대한인식향상및정보보호실천을위한기초지식습득 정보보호관리, 정책수립에필요한법규 정책이해등기본지식배양 교육시간 6H ( ) 정보보호책임자 / 정보보호실무자 / 정보화인력 정보


EDB 분석보고서 (04.03) ~ Exploit-DB( 에공개된별로분류한정보입니다. ** 5개이상발생한주요소프트웨어별상세 EDB 번호 종류 공격난이도 공격위험도 이름 소프트웨어이름 3037 SQL Inj

PowerPoint 프레젠테이션

Microsoft Word - src.doc

제목 레이아웃

슬라이드 1

` 동향보고서 1. 악성코드은닉동향요약 3 2. 홈페이지은닉형악성코드통계 악성코드유포지현황 6 - 유포지탐지현황 6 - 대량경유지가탐지된유포지 TOP 악성코드취약점및취약한 S/W 악용현황 8 - 악성코드유형별비율 9 - 위협 IP 및도메인현황 10

설명 Description 상세정보 네이버에서운영하는서비스중하나인쥬니어네이버 ( 이하쥬니버 ) 에서는쥬니버서비스와 관련하여도움을주기위한 [ 그림 1] 과같은플래시애플리케이션이서비스되고있다.[2] [ 그림 1] 쥬니어네이버에서서비스중인쥬니버도우미플래시애플리케이션 해당플래

이도경, 최덕재 Dokyeong Lee, Deokjai Choi 1. 서론

슬라이드 1

PowerPoint Presentation

<32BDBAB8B6C6AEC6F9B1DDC0B6B0C5B7A13130B0E8B8EDBEC8B3BBBCAD2E687770>

HTML5* Web Development to the next level HTML5 ~= HTML + CSS + JS API

Windows 8에서 BioStar 1 설치하기

PowerPoint Presentation

#WI DNS DDoS 공격악성코드분석

DDoS 공격, 게임계정유출해커, 비트코인등가상화폐노린다 - 13 년 10 월부터 DDoS, 원격제어, 게임계정유출하더니최근암호화폐채굴 - 개요지난 13 년 10 월,Microsoft 社의인터넷익스플로러취약점 (CVE ) 을통해유포되는악성코드가 DDoS

게시판 스팸 실시간 차단 시스템

Slide 1

PowerPoint 프레젠테이션

PowerPoint 프레젠테이션

Research & Technique Apache Tomcat RCE 취약점 (CVE ) 취약점개요 지난 4월 15일전세계적으로가장많이사용되는웹애플리케이션서버인 Apache Tomcat에서 RCE 취약점이공개되었다. CVE 취약점은 W


PowerPoint 프레젠테이션

Windows 10 General Announcement v1.0-KO

Visual Studio online Limited preview 간략하게살펴보기

PowerPoint Presentation

Oracle hacking 작성자 : 임동현 작성일 2008 년 10 월 11 일 ~ 2008 년 10 월 19 일 신규작성 작성내용

PowerPoint 프레젠테이션

F O C U S 3 홈페이지를통한악성코드유포및대응방안 FOCUS 고민석 *, 김홍석 **, 이용준 ***, 박정환 **** 최근홈페이지, 웹하드등을해킹하여악성코드를은닉시킴으로써, 접속하는이용자PC를악성코드에감염시키는피해가증가하고있다. 홈페이지, 웹하드는이용자접속이많아

SBR-100S User Manual

Eclipse 와 Firefox 를이용한 Javascript 개발 발표자 : 문경대 11 년 10 월 26 일수요일

ActFax 4.31 Local Privilege Escalation Exploit

2 PX-8000과 RM-8000/LM-8000등의 관련 제품은 시스템의 간편한 설치와 쉬운 운영에 대한 고급 기술을 제공합니다. 또한 뛰어난 확장성으로 사용자가 요구하는 시스템을 손쉽게 구현할 수 있습니다. 메인컨트롤러인 PX-8000의 BGM입력소스를 8개의 로컬지

SIGIL 완벽입문

아이콘의 정의 본 사용자 설명서에서는 다음 아이콘을 사용합니다. 참고 참고는 발생할 수 있는 상황에 대처하는 방법을 알려 주거나 다른 기능과 함께 작동하는 방법에 대한 요령을 제공합니다. 상표 Brother 로고는 Brother Industries, Ltd.의 등록 상

TTA Journal No.157_서체변경.indd

Transcription:

보안취약점진단 & 모의해킹 다우데이타

INDEX 1. 개요 2. 보안취약점진단 3. 모의해킹 4. 보안컨설팅

1. 개요 - 관련이슈 분류내용분류내용 금융 금융회사의자체보안점검내실화유도 ( 전자금융업법시행령제11조의 5) 금융회사는신규서비스출시시 1개월내에금감원에자체적인 취약점분석평가 실시결과를제출해야함 ( 전자금융감독규정제37조의 2) 非금융전산시스템의취약점분석 평가 교육 / 홍보용홈페이지, 이메일, 그룹웨어등내부업무처리를위한시스템 2015.07. 약학정보원개인정보유출 47억건 여름휴가철을맞아국내여행사의웹사이트에금융악성코드유포 웹사이트를접속하는사용자대상으로웹브라우저및플러그인등의취약점을이용하여사용자 PC에몰래악성코드설치 감염된악성코드는가짜인터넷뱅킹웹사이트로접속되도록파밍유도, PC내공인인증서를검색 / 압축후외부로전송하는역할수행 이는백신으로검출되지않는경우도있음 ( 의료기관개인정보보호가이드라인 ) 인터넷홈페이지운영시개인정보 노출을방지하기위한보안조치를수행하여아함 여행 / 호텔 일본여행사 H.I.S 는플래시가실행되고있는페이지를보는것만으로도바 이러스에감염되는공격받음. 의료 / 제약 - 최근의사가연구목적등을위해개인적으로개설한홈페이지를통해환자의개인정보가노출되는경우가많음 의료기관내에서업무용으로무선네트워크를사용할경우, 이를통한내부망침투, 개인정보처리시스템접근및네트워크도청등을방지하기위한보안조치필요 이는유선네트워크에비해침해가능성높음 우리나라여행사홈페이지도플래시사용량이많아공격받을위험성이큼 2015.02. 유명호텔예약사이트 E사회원 1만여명정보유출 - 해커가 E사와의협상이결렬되자, 회원정보를중국보이스피싱및베트남인신매매조직에팔아넘기겠다고회원에게직접협박한사건 - 이름, 이메일, 전화번호, 일정, 예약현황등노출

1. 개요 - 정의 보안취약점 (Vulnerability) 이란? 보안취약점 (vulnerability) 또는취약점은보안상의문제점을안고있는컴퓨터시스템의약점을말하며 컴퓨터에대한범죄행위 ( 해킹등 ) 나자연재해와같이외부로부터가해지는취약성뿐만아니라 컴퓨터스스로가만들어낸취약성까지도포함한것을의미 - 정보시스템에불법적인사용자의접근을허용할수있는위협들 - 정보시스템의정상적인서비스를방해하는위협들 - 정보시스템에서관리하는중요데이터의유출, 변조, 삭제에대한위협

1. 개요 - 보안취약점진단시애로사항 관리인력의부족고가의도입비용보안인지도부족 별도의관리인력및구축형솔루션없이도우수한보안제품으로 보안취약점을진단하고사이버모의침투훈련을할수있는서비스제공

2. 보안취약점진단 Network 및 Server System, Web Application 그리고 Database 에이르는 IT 인프라환경전반에대한보안 취약점진단및조치방법제시 전체가시성 위협및위험검증 인공지능스캔엔진 조직내 IT 인프라전체에대한 자산과애플리케이션검출 전체취약점에대한통합평가 모의해킹으로취약점검증 RealRisk & RealContext 로 지능형평가 6 만 5 천개이상의취약점진단 DB 보유 1% 미만의오탐율

2. 보안취약점진단 보안취약점검증프로세스 위험진단 1. 공격가능성있는취약점파악 2. Nexpose 로부터스캔결과 자동전송 취약점진단 자산의보안상태진단 모의해킹 발견된위협의실제검증 4. 치료를위해검증된취약점 우선순위분석 위협검증 3. 공격가능성증명을 위해 간이마법사사용

2. 보안취약점진단 주요기능 위험의우선순위를결정하여고위험의취약점을검출하고즉각적인조치를취할수있도록결과안내 다섯가지위험판단요소로우선순위를결정 - 준수 (CVSS) or 진짜위험? 멀웨어 이용가능 고위험취약점에즉각적인조치 전통적인 CVSS 전체조직에대한취약점별위험점수 조치순서설정을위한점수

2. 보안취약점진단 주요기능 취약점결과정보를여러기준으로분류하여산출하고, 이에대한해결조치방법을순서및단계별제공 호스트필터 : IP, site, static group, dynamic group 취약점필터 : 150 개의카테고리및심각도에따른분류 취약점세부정보 : 리포트대상에따라 4 가지의분류옵션 예 > 위험수준이높은웹서버들로부터발견된심각도가 Critical 인모든웹관련취약점만추출해서리포트를생성

2. 보안취약점진단 리포트제공 다양한형태의결과리포트제공으로보안취약점결과분석및관리가능 ( 한글지원가능 ) Top Remediation Report 고위험취약점에대한가시성확대 ( 취약점분류에따라효율적으로전문가배치 ) 종합결과보고서 주요취약점항목및개수

2. 보안취약점진단 - 기대효과 빠른점검속도 300대기준기존점검방식대비 20배빠른속도최신취약점방식포함하여손쉽게수행가능시간, 인력, 비용절약및보안성강화 Agent-less 방식 별도의에이전트없이대상정보입력만으로원격을통한점검가능안전성, 편리성제공 기존 스크립트작성 서버배포 덤프파일작성 보고서 대당 20 분소요 서비스 대상정보입력 점검수행 보고서 대당 10 분소요동시점검 10 대

2. 보안취약점진단 - 기대효과 가시성확대 시스템파악및네트워크의취약점파악 양호 상태의변경원인파악 (ex. 구성 ) 목표지수를이용하여인지, 행동, 의무수행 위험의우선순위관리 방어에필요한데이터산출단순취약점만이아닌, 이용가능성에따른치료방법의우선순위결정위험해결을위한수치화가가능한대책마련 자동화 평가와치료주기의자동화데이터정확성증가를위한지속적인평가가능업무연관 IT 위험의영향산출 위협대비효율성증가업무로연계

3. 모의해킹 보안취약점진단결과를토대로실제공격자관점에서전체자산의보안문제를검증하여취약점에능동적으로 대처하기위한모의침투테스트 침투테스트 취약점검증 웹모의침투공격 기업의네트워크에안전하게공격시뮬레이션고급회피기술과약한인증테스트 실제위험을식별하고설명 취약점제거를위해 Nexpose ( 보안취약점진단툴 ) 와연동 웹취약점 (XSS, SQLi, etc) 공격을수행

3. 모의해킹 주요기능 실제환경에서의보안테스트및위험검증 외부공격자와같은방법을사용하여침투테스트진행 안전한공격시뮬레이션 세계에서가장많은품질이검증된취약점공격모듈을선별 Nexpose와함께사용하여보안위험상태를검증 실제위험의정확한판별로순위별개선조치업무제시 Brute forcing, VPN pivoting 과같은정교한공격에대한대응훈련

3. 모의해킹 주요기능 공격범위를최대화하여서버시스템, 네트워크장비, RDBMS, 오피스시스템, 이메일사용자, 웹애플리케이션 등에대해빠르게다중화된공격을수행하고주요정보획득 서버시스템취약점 : 내부서버상의 OS 및설치된시스템의공격취약점확인후공격을수행하여서버상의주요계정및정보를취함 웹애플리케이션 : XSS, SQL 인젝션등의취약점을이용하여네트워크침투하고, 피벗 (Pivot) 기능을이용하여내부시스템을장악하기위한테스트진행 네트워크시스템 : 인프라의핵심구성으로해커들에게가장많은타겟이되고있으며, 장비운영체제및포트중심으로공격수행 Database : 여러경로를통해침투하여결과적으로 DB 에있는취약점을이용하여주요정보획득을목적 오피스시스템 : 내부사용자의개인사진, 파일, 문서등을획득할수있도록공격수행

3. 모의해킹 주요기능 다양한침투테스트에대한결과를리포트로제공 발견된취약점을통한해킹가능여부에대한결과리포트제공 HTML, PDF, Word, RTF, XML 리포트제공 ( 고객선택사항 ) 모의해킹시도리스트 샘플보고서

3. 모의해킹 특장점 강력하고신뢰된엔진활용 20만명의커뮤니티멤버가제공하는강력하고신뢰된오픈소스를탑재한 Engine을활용한진단결과제공광범위하고품질이증명된 exploit 모듈제공 보안취약점진단결과와연동 앞서진행한보안취약점진단결과와연동가능최신 DB정보를활용하여도출된취약점에대한침투테스트지원

3. 모의해킹 - 기대효과 사전위협대비 시스템파악및네트워크의취약점파악 양호 상태의변경원인파악 (ex. 구성 ) 목표지수를이용하여인지, 행동, 의무수행 위험의우선순위관리 방어에필요한데이터산출단순취약점만이아닌, 이용가능성에따른치료방법의우선순위결정위험해결을위한수치화가가능한대책마련 자동화 평가와치료주기의자동화데이터정확성증가를위한지속적인평가가능업무연관 IT 위험의영향산출 대형사고대비보안인식평가시스템검출및영향분석

4. 컨설팅 - 개요 보안취약점진단결과및모의해킹결과를토대로전문컨설턴트가발견된위협에대한대응방안을제시하여 기업및기관의보안대응전략수립 웹취약점진단 웹모의해킹 소스코드진단 : 웹 App. 정보보호시스템 정책관리진단 운영관리진단 접근권한관리진단 : 스마트가전진단 리버스엔지니어링 소스코드진단 : C/S, Smart App. 서비스영역 정보자산영역 서버 OS 취약점진단 WEB 취약점진단 WAS 취약점진단 DBMS 취약점진단 : 모바일취약점진단 정보유출위험진단 소스코드진단 : Mobile App. 네트워크 구성보안진단 장비취약점진단 :

4. 컨설팅 - 기대효과 보안취약점진단결과및모의해킹결과를토대로전문컨설턴트가발견된위협에대한대응방안을제시하여 기업및기관의보안대응전략수립 정보보호전략 보안관리 정보보호를위한목표 정보보호조치 정보보호정책 정보보호프로세스 위험도별취약점조치 악성코드피해예방 개인정보유출방지 IT 보안인프라 & 정보보호인식기반

감사합니다 Tel. 02-3410-5065 Email. sioh@daoudata.co.kr

2024 © docsplayer.org 개인정보보호 | 약관 | 지원