일 | 월 | 화 | 수 | 목 | 금 | 토 |
---|---|---|---|---|---|---|
1 | 2 | 3 | 4 | 5 | 6 | 7 |
8 | 9 | 10 | 11 | 12 | 13 | 14 |
15 | 16 | 17 | 18 | 19 | 20 | 21 |
22 | 23 | 24 | 25 | 26 | 27 | 28 |
29 | 30 | 31 |
- aws
- opt/anaconda3/bin/jupyter_mac.command
- 리눅스기초명령어
- 주피터노트북 설치
- 리눅스
- AWS 공격테스트
- 리눅스명령어
- AWS배포자동화
- 최소권한
- aws기본
- terraform기초
- AWS CI/CD
- GDPR
- aws기초
- AWS CodeDeploy
- linux명령어
- AWS구축
- 직무분리
- blue/green배포
- terraform with aws
- cissp
- terraform기본
- terraform따라하기
- Cissp sdlc
- 쉘스크립트
- AWS실습
- Linux
- aws terraform
- 리눅스기초
- aws따라하기
ysuekkom의 IT study note
[CISSP] 사회공학(Social Engineering), 침투테스트(Pen Test) 본문
[CISSP] 사회공학(Social Engineering), 침투테스트(Pen Test)
ysuekkom 2022. 10. 25. 21:42cissp 자격증 취득 및 보안 전반 study note로, 무단 복제 및 배포를 금함
Domain1 Security & Risk Management 1-5
IX. 사회공학(Social Engineering)
5. APT(지능형 지속 위협): NW/공격 파트에서 자세히
5.1 A.P.T(SandBoxing 대응)
-Advanced: 공격자의 정교함을 의미
-Persistent:공격자들은 물러섬 없이 끊임없이 시도함을 의미
-Threat: 공격자들은 뚜렷한 목적을 가지고 있기 때문에 위협이 됨을 의미
5.2 방어법 - 출제*
**keyword: 아웃바운드 트래픽에 집중, End point관리, Defense in depth
X. 침투테스트
1. 침투테스트 개요 -출제**
1.1 침투테스트 성공 요소
-경영진의 승인과 지원
-제한된(Limited time) 테스트 수행 시간
-잘 정의된 목표/목적(Goal)
-잘 계획된 침투 시나리오
-문서화
Q) 침투테스트의 1st는? a.경영진의 승인
Q) 침투테스트에서 고려해야할 3가지는? a.경영진의 승인 b.제한된 테스트 시간 c.잘 정의된 목적
>>침투테스트 분야: Physical(물리적), Operational(운영상의), Electronic(기술적) : 3개의 쌍이 답**
1.2 침투테스트 목적
보안 통제 취약점을 확인하기 위한 과정으로, 보안통제의 효과성을 검증하고 테스트하기 위함
“a. 보안통제의 효과성을 검증하고 테스트하기 위해”가 정답이 되는 문제 5개 있음 그 중 하나 침투테스트 목적**
Q) 다음 중 침투테스트의 목적에 해당하지 않는 것은?
a.위협을 발견하기 위해 b.알려지지 않은 취약점을 발견하기 위해 c.도스 공격에 대한 withstand(저항력/내성)을 확인하기 위해
d.도스 공격에 대한 stress(부하test: 성능확인)를 확인하기 위해
1.3 침투테스트 방법 -출제**
1.3.1 White Box Test = Full Knowledge Attcak + 번역 시, Overt test = customer 응용 취약점(자체 개발)
감사자가 타겟 환경에서 사용중인 내부 기술을 모두 알고 있는 상태로 테스트하는 방법
-소스코드/설계서 필요함
1.3.2 Black Box Test = Zero Knowledge Attack = Blind Test + Covert test
시스템 외부, 공격자인 해커 입장과 동일한 상태에서 침투테스트하는 방법
-실행 binary file 필요
1.3.3 Grey Box Test
White box와 Black Box의 혼합, ex.장비는 안알려주고, 셋팅값을 알려준 상태로 테스트 진행
1.3.4 Open Box Testing
General Purpose Operating System(범용 OS)에 대한 내부 코드 취약점 분석
1.4 침투테스트 및 감사인에 의해 수집된 정보의 처리 방법
NDA 또는 표준 계약 규정: 침투 테스트 회사는 다음을 책임지지 않는다는 사인을 테스트대상 경영진에게 받아야함
-시스템 데미지/비의도적인 공격상황/데이터 corruption/시스템 비가용성/비즈니스 수입의 손실 등
-NDA(Non Disclosure Agreement): 조직의 기밀 정보를 외부에 공개하지 않겠다는 강력한 법적 도구로 사용됨
2. 침투테스트 방법론 (이해)
2.1 타켓 Scoping
타겟 평가 시 요구사항을 수집하고 각 요소를 분석해 테스트 계획, 제한사항, 비즈니스 목적, 스케줄 등을 정하는 과정으로 보안평가의
목적을 명확히 정의하는 매우 중요한 단계
-클라이언트 요구사항 수집: 블랙/화이트/그레이 박스 선택 및 사회공학 포함/비포함, 도스공격 등
-테스트 계획 수립: 테스트 과정, 법적동의, 비용분석, 리소스 할당, NDA 등
-테스트 한도 설정: 기술 제약 사항, 지식 제약 사항, 기타 인프라 제약 사항 등
2.2 정보수집
-능동 정보수집: ICMP 핑, TCP 포트 스캐닝 같은 네트워크 트래픽을 타겟 N/W와 주고 받으면서 정보를 수집
-수동 정보 수집: 구글 검색 엔진 등 제 3자 서비스를 이용해 타겟 N/W 정보 수집
2.3 타겟 발견
타겟 네트워크에서 테스터가 접근할 수 있는 머신이 무엇인지 알아내는 것
PING: 특정 호스트가 존재하는지 확인할 때 사용 - 타겟 머신에서 사용 중인 운영체제를 알아내는 방법 -출제*
2.4 타겟 탐색
타겟 환경의 포트와 서비스 관련 정보를 수집하는 과정으로, 가능한 한 많이 수집하여 취약점을 탐색할 때 활용함
-포트스캐닝: 타겟 머신에 열려있는 TCP와 UDP 포트를 알아내는 방법으로 열린 포트란 해당 포트에서 대기하는 서비스가 존재한다는 의미
-NMAP 기능(포트스캐너-SW공학에서 한 번 더): 라이브 호스트 발견, 운영체제 탐지, 네트워크 경로 추적, 서비스/버전탐지
2.5 취약점 매핑
타겟 환경의 심각한 보안 결점을 식별하고 분석하여 취약점을 평가하는 과정
2.6 권한 상승
타겟 네트워크나 시스템에서의 최고 권한 획득을 목적으로 함
-익스플로잇: 윈도우의 관리자나 유닉스 계열의 루트와 같은 최고 권한 계정을 획득하는 것
-권한상승 방법: 루트 계정 암호 공격, 네트워크 스니핑으로 사용자명/암호 획득, 패킷 스푸핑으로 특정 시스템 명령을 루트권한으로 실행
2.7 장악 유지(목적)
타겟 머신에 언제든지 다시 접속할 수 있게 하려는 것으로, 필터 우회, 은닉연결 수립 등을 말함
-관련 툴: 프로토콜 터널링 툴(캡슐화, 타겟시스템 보호 기법을 우회할 목적), 프록시 툴(두 머신 사이 중재자 역할), End to End 연결 툴
2.8 침투 테스트 후 절차
공격을 예방하기 위한 보안인식교육을 실시하며, 찾아낸 취약점에 첨단 보호 기법을 사용하는 등 보안시스템을 정기적으로 업데이트하여
각 시스템의 기밀성, 무결성,가용성을 보장한다.
3. Documentation
문서화, 보고서 준비, 발표는 체계적이며 구조적 일관적으로 접근해야 하는 작업이며, 보고서 유형에는 경영진 보고서, 관리 보고서, 기술 보고서 등이 있음
-경영진 보고서(CEO, CTO, CIL 등 C-LEVEL대상): 짧고 간결하게 핵심 요약(Executive Summary)으로 작성되어야 함
**keyword: 문서화 답: 핵심 요약(Executive Summary)
**문서화: 서로 간의 ‘보호’
침투테스트 승인서 서약———>
고객/경영진 ——————————————————— Pen Tester
<———NDA 서약
Q) 조직 내에서 정보보안을 구현하는데 있어 가장 중요한 성공 요소는?
a.Senior Management의 적극적인 지원 b.전체 직원들의 참여 c.충분한 인적 자원 d.비용 대비 효율
Q) 데이터의 Classification에 영향을 미치는 것은?
a.SLA b.Passage of time c.Security Label d.Due Care
Q) 회사 내 보안 정책과 프로그램은 _____________해야 한다
a. Reliability b. Flexible c.Achievable d.Relevant
Q) 최근 부정을 저지르기 위해 직무를 맡은 사람들끼리 공모를 하여 회사에 심각한 피해를 주게 되었다. 다음중 어느 방법이 이러한 현상을
예방 및 탐지 할 수 있는가? a. 직무 분리 b. 의무 휴가 c.직무 순환 d.최소 권한의 원칙
-직무 분리의 단점: 공모 —> 이런 예방/탐지 할 수 있는 것은 ‘직무 순환’
**keyword: 직무분리-One Person, 직무순환-탐지, 의무/강제휴가 - 횡령
Q) 다음 중 비인가자가 권위있는 인가자인 척 위장하여 패스워드 재설정을 요구함으로써 컴퓨팅 자원에 접근하려는 행위를 줄이기 위한
최선의 방법은?(-사회공학기법)
a.패스워드 재설정 검토 수행 b.보안 인식프로그램 수행 c.패스워드 변경 빈도 증가 d.자동 패스워드 구문 체크 수행
'CISSP > domian1 Security & Risk Management' 카테고리의 다른 글
[CISSP] 인적 자원 보안 관리, 위험 관리와 위협 모델링, ALE, ROI, 인수 합병 보안 이슈 (0) | 2022.10.18 |
---|---|
[CISSP] 컴퓨터 범죄, 개인 식별 정보 보호, OECD프라이버시, GDPR (0) | 2022.10.17 |
[CISSP] 보안 & 위험 관리 - 보안의 구성요소 및 보안프로그램 (0) | 2022.10.15 |
[CISSP] 시험 정보와 공부 방법 (1) | 2022.10.15 |