7주차 : 정보시스템 취약점 진단 개요

[웹 응용 어플리케이션]

• 웹 서버 : Apache, IIS, OHS,..
• WAS : Tomcat, Jeus..

<웹서버 vs WAS>

• 웹서버 : 글, 이미지를 화면에 뜨게할 때 더 효과적이다.
• WAS : DB와 통신하여 데이터를 불러올 때 더 효과적이다.

[소스코드 보안 약점 진단] == 소프트웨어 보안 약점 진단

• 시큐어 코딩 → 개발보안
• 개발 보안 > 시큐어 코딩, 개발 보안 = 시큐어 코딩 + 보안 설계 + 보안 약점 진단
• 약점 안에 취약점이 속함.

[웹 취약점]

• 체크리스트 기준으로 해서 웹 애플리케이션을 진단하는 것
• 수동으로도 할 수 있고, 자동으로 도구를 통해서 하는 경우도 있음.

[취약점 분석 절차]

1. 계획 수립

• 수행 주체에 따른 취약점 진단에 소요되는 기간, 범위, 예산, 산출물 등을 정함.
• 수행 주체의 분류
  • 자체 : 정보 시스템 자산을 보유하고 있는 기관이나 기업의 내부 직원들로 구성된 자체 전담반
  • 위탁 : 정보보호 전문 서비스 기업을 선정하여 해당 업체에서 수행하는 것.
• 산출물 : 수행 계획서, WBS

2. 대상선별

• 범위 (물리적 범위, 서비스 범위) 내에 자산을 식별하는 것이 중요
• 고객사의 담당자에게 자산목록 양식을 제공하고 담당자로부터 양식에 식별된 자산목록을 수신
• 수행원은 받은 식별된 자산 목록을 유형별로 그룹핑
  • 같은 용도의 시스템일 경우 동일한 취약점이 나올 가능성이 높으므로 취약점 진단할 때 효율적
  • 마찬가지로 도출된 취약점에 대해 유형별로 대응방안을 제시함으로써 취약점 조치 시에도 효율적
• 식별된 자산목록에 대한 자산의 중요도 평가
  • 정보시스템 종류별로 가장 잘 알고 있는 고객사의 운영자 또는 담당자들과의 인터뷰를 통해서 진행
  • 자산의 중요도 평가 시 기준 : 보안의 3요소 (기밀성(Confidentiality) 무결성(Integrity), 가용성(Availability))
• 산출물 : 사업 및 업무 분석서, 자산 분류 및 평가서

3. 취약점 분석

• 고객사 비지니스 유형에 따른 점검항목표 수립
  • 고객 요구사항이 반영된 점검항목표 수립
    • ISMS 인증을 위한 컨설팅 수행에 대한 요구사항
      • 보통 주통기 + OWAST TOP 10 + 최신 취약점 반영
      <<하나 이상의 점검 항목을 합칠 때 중복되는 점검항목을 하나로 통합하는 것이 중요!!>>
  • 고객사 유형에 따른 점검항목표 수립
    • 고객사의 사업 및 업무 분석서를 통해 대내외 컴풀라이언스를 준수할 수 있는 수준의 체크리스트 준용 → 어디 기업이냐에 따라서 체크리스트 준용
      • 고객사 내부 점검항목 존재 시 해당 체크리스트 준용
    • 대표적인 점검항목 종류
      • 주통기
      • 금융기반시설
      • 행안부
      • 국정원
• 기술적 취약점 진단
  • 진단 방법
    • 스크립트를 통한 반자동 진단
    • 수동진단 및 인터뷰
    • 솔루션을 통한 자동 진단
  • 취약점을 도출 / 위협을 맵핑해서 등급 산정
    • 대응방안을 수립하고, 등급에 따라 조치 우선순위를 결정
  • 조치 및 이행점검
    • 대응방안에 따른 조치는 고객사에서 이행
    • 수행원은 고객사에 조치를 이행했던 정보시스템을 대상으로 이행점검
• 산출물 : 관리/기술/물리적 진단 보고서, 모의해킹 분석 보고서

4. 취약점 평가

• 대응방안에 따른 조치가 어렵거나 장기적인(3년이상) 조치인 경우 위험평가를 실시한 후 위험전략을 수립하고 이행
• 산출물 : 위험평가, 조치 계획서, 정책/지침(개정)

<기본적인 취약점 진단 절차>

스크립트 작성 → 스크립트 파일을 고객사 담당자에게 전달 → 담당자는 각 항목의 담당자에게 전달하여 스크립트 실행 → 실행과 결과 (보안기준에 따라 확인 결과를 ‘양호’ 또는 ‘취약’으로 표기)

[TTPs] ⇒ 기말평가에 관련문제 나옴!

정의(Tactics), 기술(Techniques), 절차(Procedures)의 약어로 정수 값이나 스트링 값으로 표현 할 수 없는 위협원들의 행위 자체

‘ 과거의 침해사고들이 현재에도 여전히 발생하고 있으며 방어 체계를 잘 갖춘 기업도 예외가 아님 ’

방어자가 TTP와 같은 공격자의 전략과 전술, 그리고 그 과정을 이해하고, 방어 체계를 운영하는 것이 가장 효과적임을 표현하고 있음.

보안은 공격자를 Tough!한 단계로 끌고 가는 것이다.

곡격자의 TTP는 언제나 방어환경의 특성과 맞물려 있음.

방어자는 2가지를 설명할 수 있어야한다.

• 공격자의 TTP가 방어자 환경에 유효한 것인지?
• 유효하다면, TTP를 무력화할 수 있는 방어 전략은 무엇인지?

대응전략 도출 과정

최초 침투 → 접근 권한 수집 → 내부 전파 → 악성코드 실행 → 흔적 삭제 → 탈취 정보

[MITRE ATT&CK Framework]

• 구조
  • ATT&CK Matrix : 공격 기술인 Tactic, Technique 개념과 관계를 시각화
  • ATT&CK Tactics : 공격 목표에 따른 공격자의 행동을 나타냄
  • ATT&CK Techniques : 공격자가 목표에 대한 Tactic을 달성하기 위한 방법을 나타냄
  • ATT&CK Mitigations : 방어자가 공격을 예방하고 탐지하기 위해 취할 수 있는 행동
  • ATT&CK Groups : 보안 커뮤니티에서 단체/그룹에 대해 공개적으로 명칭이 부여된 해킹단체에 대한 정보와 공격 기법을 분석하여 정리