모의침투테스트솔루션 (Metasploit Pro) 준정보통신 July., 2016
항상기본에충실하지않다. 2012 년대비, 62% 2013 데이터유출사건 62% 증가 Source: Symantec Internet Security Threat Report
공격자의침입이계속되는이유는? 보안담당자는현재의보안상태에대해 막연한추정만할뿐충분히의문을 제기하고확인하려하지않는다.
모의침투테스트를위해공격자사고방식을사용 Offensive Security = Testing Defenses
모의침투테스트생산성향상
보안담당자들 (Pentester) 이시간을써야만하는영역 공격대상으로예상되는매개체를식별하고익스플로잇을통한공격자시뮬레이션 네트워크여러곳을폭넓게탐색 보안평가 목표물 을탈취 사람, 절차들그리고방어기술의유효성테스트 보안프로그램내의허점 ( 틈새 ) 분석 위험을완화하는방법에대한통찰력제공
보안담당자들 (Pentester) 의실제시간소비작업 표준워크플로우를자동화하기위하여사용솔루션스크립트작업 평가과정데이터추적과다른자료와의비교 수작업또는자체제작솔루션으로증거물에대한리포팅 안티바이러스솔루션을회피하기위한커스텀페이로드또는회피수단개발
보안담당자의어려움 : 오픈소스솔루션의생산성 Open source security tools are great for innovation but not for productivity.
오픈소스혁신 + 상업적생산성 45% Metasploit Pro 사용자들은오픈 소스를사용하는것과비교하여 45% 시간절감 Biggest time savers: Automation, data management, usability.
Metasploit Pro 는오픈소스프레임워크를기반으로함 Metasploit Framework 는 Rapid7 에의해후원되는오픈소스프로젝트 최신공격방법과공격자사고방식 가장큰, 코드안정성이검증된익스플로잇집합 20 만이상회원들의커뮤니티 하루 1.2 개의새로운익스플로잇 ( 평균 )
데이터관리와워크플로우자동화 큰프로젝트를위한데이터관리 Metasploit Pro 는최대 10,000 대의호스트동시지원 주석, 태그, 정렬, 그룹과탐색 당신의결정, Metasploit 자동화 Wizards: 표준워크플로우, 예 ) 빠른모의침투, 웹앱테스트, 피싱시뮬레이션 Task Chains: 커스텀워크플로우, 예 ) 업무상선호하는 첫번째행위 MetaModules: 별개의타스크들, 예 ) 네트워크상의모든서비스들의자격증명테스트
안티바이러스회피, 방화벽우회, 통제권획득 동적페이로드를통한안티바이러스회피 기본적으로 Top 10 AV 솔루션을모두회피 전송계층 (transport layer) 을부호화하고조작하여 IPS 를통과 VPN 피봇팅을사용한방화벽무력화 탈취된호스트를통한로컬네트워크로의완벽한로컬접근권한획득 탈취된머신의통제권획득 세션이생성될때, 수행될 200 개이상의 Post- Exploitation 모듈들로부터선택
주요결과들에대한자동리포트생성 리포트는평가과정의 30% 를차지 자동으로행위와결과물을기록 리포트생성 기술적, 관리그리고컴플라이언스리포트 규정컴플라이언스에도움 Metasploit Pro 는 PCI DSS, HIPAA, FISMA 와 SOX 를준수하도록도움을줌
API 인터페이스를통한취약점분석솔루션과의연동 NEXPOSE Metasploit API 인터페이스연동 자동취약점결과전송 XML 리포트생성 XML 리포트수동전송
Closed-Loop 취약점검증을통한 위험우선순위화및입증
위험전문가들이종종당면하는질문들 IT 운영자들요청 발견된취약점이 false positive 가아닌 실제 취약점인가? 취약점의영향은무엇인가? 주어진제한된자원에서, 어떤취약점이먼저패치되어야하는가? 감사자들요청 성공적으로조치한취약점이무엇인지보여줄수있는가? 취약점을보완하는통제기법이실제로위험을완화한다는것을입증할수있는가?
취약점우선순위화와위험입증 Metasploit Pro 는위험을입증하고조치사항을우선순위화하기위해취약점검증 취약점보완통제기법으로 false positive 및취약점을제거 검증된취약점의 Closed-Loop 리포팅을위해 Nexpose 로재전송 검증된취약점에대한리포트 검증된취약점들의조치를위하여 IT 운영자들과 SLA 동의가필요
Closed-Loop 취약점검증을통한조치우선순위결정 점검완료후, 발견된취약점중 Metasploit Pro를통해실제해킹가능한취약점을확인하고, 위험평가점수결과를토대로취약점조치에대한우선순위제공 취약점조치에대한 우선순위제공 실제해킹 가능성검증 취약점점검 결과전송 [ 실제위험평가점수기반우선순위제공 ]
감사자에게보안과컴플라이언스증명 Metasploit Pro 가효율적이라는것을보이기위해조치전후취약점을검증 확인된공격가능취약점이올바른지검증하기위해모의침투테스트결과를조사하고, 취약점이라는것을확인하기위해테스트를반복수행 (PCI DSS 11.3.3 규약 ) 취약점보완통제기법의효율성입증 위험완화의표준화되지않은방법에대한효율성증명및문서화작업수행
피싱보안의식관리
#9 to #3 피싱공격이가장일반적인공격 벡터순위 9 위에서 3 위로상승 Verizon Data Breach Incident Report 2014
피싱위험에대한종합적인가시성확보 보안예산은위험을보이지않고는획득하기어려움 Rapid7 은종합적인사용자위험에대한가시성제공 Metasploit Pro 를통한피싱캠페인제공 UserInsight 를통한전체사용자위험파악 위험에대한가시성이보안에대한투자를결정 보안예산을획득하도록하는통찰력제공
보안의식측정과보안교육실행 모의피싱캠페인을통한보안의식측정 이메일내의링크를클릭한사용자 % 가짜사이트에자격증명을입력한사용자 % 잘배울수있는순간 동안사용자들을교육 오로지위험한행위를보인사용자들만교육실시
보안성점검시뮬레이션지원 Metasploit Pro 는기업사용자들에대한보안성평가를위한다양한 시뮬레이션을제공, 기업의보안인식제고및보안교육수준을정기적으로측정 기업보안인식향상을위해시뮬레이션 기반모의침투테스트제공 선정된대상에게악성코드첨부파일을발송하여사용자의반응에따라기업의보안수준을단계별로측정 외부메일열람 첨부파일다운로드 첨부파일실행 사용자정보입력등 01 피싱파일생성 02 대상선정 03 선정된대상에게피싱파일발송 04 대상의반응에따른위험도측정
보다효율적인방어테스트 모의침투테스트 보안취약점검증 피싱시뮬레이션 보안상태테스트를위한실제공격시뮬레이션 45% 이상빠른자동화된모의침투테스트 고객환경에서의실제보안위험도확인및입증 Nexpose와 Metasploit의연동기능제공 (Closed Loop) ( 취약점발견 -> 모의침투테스트 ) 사용자의보안인식수준및교육정도측정및수치화 스피어피싱및파밍등다양한사회공학적공격기법제공
Metasploit Pro Benifits
Closed-Loop IT 보안취약점분석및검증플랫폼 Nexpose 와 Metasploit 이마치 하나의제품처럼유기적으로 동작한다 RISK 평가 취약점분석및 Risk 평가 침투테스트및 Risk 확인 RISK 확인 보안취약점분석과모의침투테스트검증을동시에해주는유일한솔루션 Rapid7 솔루션의컨셉이바로 Proactive Security( 선제적대응보안 ) 이다. Nexpose 및 Metasploit 모두해커와동일한시각으로 IT 자산의보안취약점을찾아내고모의침투테스트를수행하는데주안점을두고있다.
Metasploit Framework vs. Metasploit Pro 토픽 Metasploit Framework Metasploit Pro 생산성 공격적보안에집중된오픈소스프로젝트 오픈소스프로젝트를발판으로, 45% 의시간절약 ( 사용자조사결과 ) 회피 (Evasion) 취약점검증 피싱 (Phishing) Anti-virus 와 IPS 회사가오픈소스 Metasploit Framework 으로그들의솔루션을테스트 취약점검증솔루션에결과를반영하지못하고수작업에의한분석결과처리 피싱, SET 와의통합구축없음. 설정에시간소모 리포팅없음 Metasploit Pro 는 AV 와 IPS 를자동적으로회피하는 Dynamic Payload 와 Stage Encoding 제공 Nexpose 와의자동화된임포트, 취약점검증, 그리고단일화된검증과예외리포트를통하여, Closedloop 취약점검증과시간절감제공 독립된피싱캠페인화면제공 모의침투테스트를위한빠르고쉬운피싱캠페인 리포팅을통한보안의식평가 지원 Community 24/7 Technical Support & Community
Metasploit Pro 모의침투테스트솔루션 외부공격자 ( 해커 ) 와같은방법을사용하여보안방어체계에대한모의침투테스트및보안취약점검증수행 안전한공격시뮬레이션 세계에서가장신뢰도가높은취약점공격모듈선별 NEXPOSE와함께사용하여보안위험상태를검증 소셜엔지니어링 ( 피싱기법 ) 과비밀번호검사를통해, 조직의보안인식과방어상태측정및관리 VPN PIVOTING 및 PROXY PIVOTING과같은정교한공격에대한대응훈련 수동침투테스트대비 45% 이상빠른수행 취약점우선순위에 기반한검증 개인유저에대한 피싱위험도검증
Thank you! 준정보통신 (RAPID7 공인 Elite Partner) JUN Information & Communications 담당자 : 이경목상무연락처 : 010-9734-5324, kmlee@junic.co.kr http://www.junic.co.kr