침투테스트 개념 정리

침투테스트

1. 침투테스트 개요

 

1) 정의

A penetration test simulates methods used by intruders to gain unauthorized access to an organization’s networked systems and then compromise them.

 

 

2) 수행 주체 : 타이거팀, 레드팀, 스니커즈, 사무라이 등

3) 성공요소

: 경영진의 승인(중요)

: 잘 계획된 침투 시나리오

: 잘 정리된 time table

: 문서화

 

• 침투테스트의 분야 : physical, operation, electronic

• 주제에 따라 기술(technology, electronic 침투)

• 주제에 따라 관리자(manage, admin)

 

4) 목적 : 취약점/결점 발견, 조직의 시스템이 안전하지 않음을 증명해 보임

• 보안통제의 효과성을 검증하고 테스트하기위해

• 규제적 컴플라이언스를 위해 정보를 수집하여 감사팀에게 유용한 정보를 제공하기 위해

• 포괄적이고 세부적인 기업능력의 증거를 제공하여 보안감사의 비용을 최소화하기 위해

• 알려지거나 보고된 취약점을 위한 적절한 패치의 적용에 도움이 되므로

• 조직의 네트워크와 시스템에 존재하는 위험을 발견하기 위해

• 방화벽, 라우터 같은 네트워크 보안장비의 효율성을 측정하기 위해

• 기존의 소프트웨어, 하드웨어, 네트워크 인프라의 업그레이드 혹은 변경사항을 확인하기 위해

 

5) 실행주기 : 관리직 직원의 동의와 인지 하에 1년에 1번씩 -> 미 승인 시 실시할 경우 생산성 손실 유발

 

6) 테스트방법

 

- White Box Test (=Full Knowledge Attack, 소스코드 투명)

: 감사자는 타겟 환경에서 사용 중인 내부 기술을 미리 알아야 한다.

- Black Box Test (=Zero Knowledge Attack, Blind Test)

: 목표시스템의 외부, 일반적으로 인터넷에서 목표의 네트워크 경계를 공격하여 통제를 우회하려고 시도하는 것, Black hat과 동일한 입장

- Double Blind Test

: Target 대상의 사고 처리 및 대응 능력을 효과적으로 평가하기 위해서

- Open box testing

: General Purpose Operation System(범용 OS)에 대한 내부 코드 취약점 분석

 

7) 좋은 침투테스트가 되기 위해선?

* 침투테스트를 위한 파라미터 수립 (목적, 제한사항, 정당성 등)

* 매우 숙련된 경험이 뛰어난 전문가를 고용

* NDA의 규칙을 따를 법적인 침투테스터를 지정

* 적절한 계획과 문서화를 가진 방법론을 따름

* 최종 보고서에 권고사항과 발견사항을 명확히 진술

 

8) 침투테스트 및 감사인에 의해 수집된 정보의 처리방법 :

NDA 또는 표준 계약 규정 참조

침투테스트 회사는 다음을 책임지지 않는다고 target회사의 경영진으로부터 WAIVER사인을 받아야한다. (동의서 검토 시 target회사와 침투테스트회사 모두 법률 자문을 받아야함,)

* 시스템 데미지

* 비의도적인 도스공격상황

* 데이터 corruption

* 시스템 비가용성

* 비즈니스 수입의 손실

 

 

2. NDA (Non Disclosure Agreement)

* 고객, 공급자, 직원, 언론을 다루는 동안 조직의 기밀스러운 정보를 보호하고자 함.

* 서명된 NDA는 서명자가 영업비밀, 특허 등 회사의 외부에서 누구에게도 공개하지 않았다는 강력한 법적 도구

 

ex) 경영진의 승인서

 

 

* 침투테스트 보고서 양식 목차

1. 법적공지

2. 침투테스트 동의서

3. 소개/서론

4. 프로젝트 목적

5. 가정과 제한사항

6. 취약점 리스트 등급

7. 핵심 정리

8. 리스크 행렬

9. 테스트 방법론

10. 보안 위협

11. 권장 사항

12. 취약점 지도

13. 익스플로잇 지도

14. 컴플라이언스 평가

15. 변경 사항 관리

16. Best Practices

17. 부록