오순절이란 무엇입니까?

소프트웨어에는 버그가 있음이 보장됩니다. 소프트웨어에는 수천 줄의 코드가 있을 수 있으며 인간의 실수 가능성은 적어도 그 중 일부는 의도한 대로 완전하지 않을 수 있음을 의미합니다. 소프트웨어 개발 수명 주기는 정기적인 테스트를 통해 이러한 문제를 최소화하도록 설계된 프로세스입니다.

문제는 코딩 방법을 배웠지만 보안 코딩 방법을 배우지 않은 개발자가 테스트를 수행하는 경우가 많다는 것입니다. 철저히 테스트된 시스템에서도 외부 관찰자가 보고 새로운 관점을 제시하면 새로운 문제를 식별하는 데 도움이 될 수 있습니다.

이를 수행하는 일반적인 방법은 일반적으로 침투 테스트로 단축되는 침투 테스트를 통하는 것입니다. 여기에는 전문적이고 윤리적인 해커인 침투 테스터가 시스템을 살펴보고 보안 문제를 찾는 것이 포함됩니다.

팁: "펜 테스트"가 아니라 "펜 테스트" 및 "펜 테스터"입니다. 침투 테스터는 펜을 테스트하지 않습니다. "펜 테스트"는 "펜 테스트"보다 약간 더 수용 가능하지만 일반적으로 피해야 합니다.

오순절의 목표

침투 테스트의 목표는 테스트 중인 시스템의 모든 보안 취약점을 식별하고 이를 클라이언트에 보고하는 것입니다. 그러나 일반적으로 계약은 비용에 따라 다소 시간 제한이 있습니다. 회사에 내부 침투 테스터 또는 침투 테스트 팀이 있는 경우 회사에서 영구적으로 일할 수 있습니다. 그럼에도 불구하고 테스트해야 하는 광범위한 시스템 포트폴리오를 갖춘 규모가 있는 많은 회사가 있습니다. 여기에는 판매 중인 제품과 회사의 비즈니스 시스템이 모두 포함됩니다.

따라서 그들은 한 가지를 테스트하는 데 모든 시간을 할애할 수 없습니다. 많은 기업이 참여를 수행하기 위해 외부 침투 테스트 회사를 고용하는 것을 선호합니다. 이것은 비용에 따라 여전히 시간 제한이 있습니다. 비용은 침투 테스트가 매우 수동적인 프로세스이고 해당 스킬셋이 부족하다는 사실에 의해 결정됩니다.

일반적으로 침투 테스트는 특정 기간으로 범위가 지정됩니다. 이것은 문제의 대상과 모든 것을 찾았다고 합리적으로 확신하는 데 걸리는 시간을 기반으로 수행됩니다. 취약점을 찾는 타임라인은 일반적으로 종형 곡선입니다. 침투 테스터가 애플리케이션을 둘러보는 동안 즉시 발견되는 것이 많지 않습니다. 그런 다음 테이퍼링하기 전에 특정 시간 척도 내에서 대부분의 발견을 달성할 수 있습니다. 어느 시점에서 찾는 데 더 많은 시간을 소비하는 비용은 더 이상 찾을 것이 없다는 기회의 가치가 없습니다.

때로는 권장 시간에 대한 견적 가격조차 너무 비쌉니다. 이 경우 테스트는 "타임 박스"일 수 있습니다. 여기에서 클라이언트는 권장한 만큼 테스트하지 않지만 침투 테스터가 단축된 시간 내에 최선을 다하기를 원합니다. 일반적으로 이는 보고서에 주의 사항으로 포함됩니다.

수동 프로세스

일부 도구를 사용하여 보안 테스트를 자동으로 수행할 수 있습니다. 유용할 수 있습니다. 그러나 그들은 종종 높은 위양성 및 위음성률을 보입니다. 이는 포괄적이지 않을 수 있음을 알고 문제를 확인하는 데 시간을 투자해야 함을 의미합니다. 이러한 도구의 대부분은 알려진 취약한 소프트웨어 버전 또는 알려진 취약한 기능과 같은 특정 지표를 찾습니다. 그러나 이러한 문제가 실제 문제가 아니거나 실제로 완화되지 않는 많은 방법이 있습니다.

보안 취약점은 겉보기에 무해해 보이는 여러 조각에서 합쳐질 수 있습니다. 이것을 발견하는 가장 좋은 방법은 인간의 수작업을 통한 것입니다. 침투 테스터는 도구를 사용하지만 결과를 해석하고 수동으로 확인하며 독립적인 수동 작업을 수행하는 방법을 알고 있습니다. 이 수동 작업은 취약성 스캔 또는 취약성 평가에서 침투 테스트를 분리합니다.

침투 테스트의 유형

일반적으로 침투 테스트에는 배포될 전체 제품 테스트가 포함됩니다. 이상적으로는 실제 프로덕션 환경에서 발생합니다. 그러나 이것이 항상 실용적인 것은 아닙니다. 첫째, 침투 테스트가 대상을 오프라인 상태로 만들 수 있다는 두려움이 있습니다. 일반적으로 이러한 두려움은 본질적으로 근거가 없습니다. 침투 테스트는 일반적으로 너무 많은 네트워크 트래픽을 생성하지 않으며, 이는 몇 명의 추가 활성 사용자와 동일할 수 있습니다. 또한 침투 테스터는 특히 프로덕션 환경에서 서비스 거부 유형 문제를 의도적으로 테스트하지 않습니다. 대신 일반적으로 의심되는 서비스 거부 문제를 보고하여 클라이언트가 직접 조사할 수 있도록 합니다.

또한 시스템이 인터넷에 연결되어 있으면 실제 블랙 햇 해커와 봇의 "무료 침투 테스트"에 지속적으로 노출된다는 점에 유의해야 합니다. 프로덕션 환경을 피해야 하는 또 다른 이유는 라이브 사용자 데이터의 개인 정보 보호 문제입니다. 침투 테스터는 NDA 및 계약에 따른 윤리적 해커이지만 테스트 환경이 존재하고 유사하면 사용할 수 있습니다.

팁: "무료 침투 테스트"는 인터넷에서 검은 모자의 공격을 받는 것을 농담으로 표현한 것입니다.

침투 테스트는 기본적으로 모든 기술 시스템에 대해 수행할 수 있습니다. 웹 사이트 및 네트워크 인프라는 가장 일반적인 유형의 테스트입니다. 또한 API 테스트, "간단한 클라이언트" 테스트, 모바일 테스트, 하드웨어 테스트 등을 받을 수 있습니다.

테마의 변주곡

현실적으로 피싱, OSINT 및 레드 팀 연습은 관련이 있지만 약간 다릅니다. 피싱의 위협에 대해 알고 계실 것입니다. 일부 테스트에는 직원이 피싱 이메일에 어떻게 대응하는지 확인하기 위한 테스트가 포함됩니다. 사용자가 피싱과 상호 작용하는 방식(또는 하지 않는 방식)을 추적하여 향후 피싱 교육을 맞춤화하는 방법을 배울 수 있습니다.

OSINT는 Open Source INTelligence의 약자입니다. OSINT 테스트는 공개적으로 사용 가능한 정보를 스크랩하여 가치 있는 데이터를 수집하고 사용할 수 있는 방법을 확인합니다. 여기에는 종종 LinkedIn 및 회사 웹 사이트와 같은 곳에서 직원 목록을 생성하는 것이 포함됩니다. 이를 통해 공격자는 개별 수신자에게 특별히 맞춤화된 피싱인 스피어 피싱 공격의 좋은 표적이 될 수 있는 고위 인물을 식별할 수 있습니다.

레드 팀 참여는 일반적으로 훨씬 더 심층적이며 일부 또는 모든 다른 구성 요소를 포함할 수 있습니다. 물리적 보안 및 보안 정책 준수 테스트도 포함될 수 있습니다. 정책 측면에서 이것은 사회 공학을 포함합니다. 그것은 건물 안으로 들어가는 길을 설득하려는 것입니다. 이는 흡연 구역에서 시간을 보내고 담배를 피운 후 흡연자와 함께 다시 들어오는 것처럼 간단할 수 있습니다.

공무원 행세를 하거나 커피 컵 쟁반을 들고 누군가에게 문을 열어달라고 부탁하는 것일 수 있습니다. 물리적 보안 측면에서는 물리적 침입 시도, 카메라 범위 테스트, 잠금 품질 등을 포함할 수도 있습니다. 레드팀 참여는 일반적으로 사람들로 구성된 팀을 포함하며 일반적인 침투 테스트보다 훨씬 더 긴 시간 단위로 실행될 수 있습니다.

레드팀

레드 팀 연습은 표준 침투 테스트보다 덜 윤리적으로 보일 수 있습니다. 테스터는 순진한 직원을 적극적으로 잡아먹고 있습니다. 핵심은 회사 경영진, 일반적으로 이사회 수준의 허가를 받았다는 것입니다. 이것이 레드 팀 팀원이 실제로 침입을 시도하는 것이 괜찮은 유일한 이유입니다. 그러나 폭력적인 것은 허용되지 않습니다. 레드 팀 연습은 경비원을 해치거나 제압하거나 우회하거나 속이려고 시도하지 않습니다.

레드 팀 선수가 체포되는 것을 방지하기 위해 그들은 일반적으로 승인 위원회 구성원의 서명이 있는 서명된 계약서를 휴대합니다. 잡히면 허가를 받았음을 증명하는 데 사용할 수 있습니다. 물론 더블블러프로 사용되는 경우도 있다. 레드 티머는 두 개의 허가 전표, 하나는 진짜이고 다른 하나는 가짜입니다.

잡히면 처음에는 위조 허가서를 건네주어 그것이 합법적이지 않은 경우에도 보안을 확신시킬 수 있는지 확인합니다. 이를 위해 종종 회사 이사회의 실제 이름을 사용하지만 커버 스토리를 확인하기 위해 브리핑을 받은 다른 레드 팀에게 가는 확인 전화 번호를 포함합니다. 물론 경비원이 이를 간파하면 진짜 허가증이 넘겨진다. 그러나 이것은 큰 의심으로 취급될 수 있습니다.

레드팀원이 어떻게 잡혔는지에 따라 그들을 잡은 개별 경비원을 우회했다고 가정하고 테스트를 계속할 수도 있습니다. 그러나 테스터의 신원이 "날려" 추가 대면 테스트에서 본질적으로 제거될 수 있습니다. 이 시점에서 다른 팀원은 보안에 알리거나 알리지 않고 교체할 수 있습니다.

결론

침투 테스트는 사이버 보안 전문가에게 컴퓨터 시스템의 보안을 테스트하도록 요청하는 참여입니다. 이 테스트에는 취약성의 존재를 수동으로 검색하고 확인하는 작업이 포함됩니다. 자동화 도구는 이것의 일부로 사용될 수 있습니다. 테스트가 끝나면 발견된 문제를 자세히 설명하고 수정 조언을 제공하는 보고서가 제공됩니다.

이 보고서는 도구의 자동화된 출력일 뿐만 아니라 모두 수동으로 테스트되고 검증되었다는 것이 중요합니다. 모든 컴퓨터 시스템, 하드웨어, 네트워크, 애플리케이션 또는 장치를 침투 테스트할 수 있습니다. 각각에 필요한 기술은 다양하지만 종종 상호 보완적입니다.