정보수집 > 취약점 점검 > 모의진단/해킹 > 보고서
시스템 취약점 진단 범위
1. 서버 취약점 점검
> 자체 개발한 점검 툴 활용(시스템에 영향 거의 없음)
> 취약점 및 설정 상의 오류 점검
> 각 OS 별 특화된 점검
> 보안 전문가에 의한 분석
2. 네트워크 취약점 점검
> 자체 개발한 체크리스트 사용(네트워크 장비에 영향 없음)
> 각 네트워크 장비결 특화된 점검
> False-Positive 최소화
> 보안전분가에 의한 분석
3. 정보보호 시스템 취약점 점검
> 자체 개발한 체크리스트 활용
> 취약점 및 설정 상의 오류 점검
> 각 기능별/장비별 특화된 점검
> 보안 정책 점검
> 보안 전문가의 의한 분석
4. WAS/DB 취약점 점검
> 자체 개발한 체크리스트 사용(시스템에 영향 거의 없음)
> 각 벤더별 특화된 점검
> False-Positive 최소화
> 보안전문가에 의한 분석
시스템 취약 점검 절차
(참고: http://www.ahnlab.com/kr/site/product/consultType5.do)
1단계 : 정보시스템 현황 파악
> 시스템 구성 현황 및 운영 파악
> 네트워크 구성 현황 파악
> 응용시스템 현황 파악
2단계 : 점검 대상 선정
> 중요도가 높거나 위협 가능성이 큰 정보시스템에 우선순위 부여
> 유사한 플랫폼은 그룹화 하여 대표 시스템 선정
3단계 : 정보시스템 취약성 진단
> 진단도구를 이용한 취약성 진단
> 네트워크 취약성 진단 도구
> 서버 취약성 진단 도구
> 보안 장비 운영 진단
> 점검 스크립트를 이용한 수동 취약성 점검
4단계 : 진단 결과 분석
> 진단도구에서 제시된 보고서 분석
> 수동 점검에 의한 결과 분석
5단계 : 보고서 및 보안대책 제시
> 개선 대책 제시
> 진단도구에 발견된 취약성 제거 방안 제시
> 수동 점검에 의해 발견된 취약성 제거 방안 제시
(웹)모의해킹 진단 범위
> OWASP 10대 취약점에 대한 점검
> KISA에서 제공하는 취약점에 대한 점검(Black Box)
> 안행부에서 제공하는 취약점에 대한 점검(White Box)
(EX) 사용자 인증, 사용자 세션 관리, 암호화 및 전송 보안, 접근제어 및 권한, 데이터 유효성, 웹 취약점, 사용자 개인정보보호, 정보노출
권한 획득 등.
(웹)모의해킹 절차
(참고 : http://www.ahnlab.com/kr/site/product/consultType8.do)
