Positive Technologies — Information Security, Compliance Management, Consulting. MaxPatrol Compliance and Vulnerability Management System.

침투 테스트

침투 테스트가 진행되는 동안 감사자는 기존 보안 대책 우회와 기업 네트워크 침투를 시도하는 등 외부 해커처럼 행동합니다. 감사자는 숨겨진 시스템 결함을 탐지하고 결함이 익스플로잇될 때 운영에 미칠 수 있는 영향력을 평가합니다. 또한, 고객의 보안 툴에 대한 철저한 기술 분석 실시는 물론이고, 직원들의 IT 보안 인식 수준을 평가합니다.

Positive Technologies의 전문가들은 은행, 통신사, 유틸리티, 정부 기관 등 다양한 고객들의 광범위한 시스템에서 수 백 회의 침투 테스트를 실시해 왔습니다. 침투 테스트에서 실시되는 항목은 일반적으로 다음과 같습니다.

  • e-뱅킹 시스템의 생산 이전에 e-뱅킹 시스템의 웹 인터페이스 해킹 시도
  • 보안 교육 프로그램을 통해 직원들의 보안 인식을 테스트하기 위한 소셜 엔지니어링 적용
  • 기본 시스템 설정, 설정 오류, 취약한 암호 등의 취약점들을 타깃으로 하여 내부 기업 네트워크에 대한 무단 접근권한 확보 시도

외부 침투 테스트 vs. 내부 침투 테스트

침투 테스트는 시스템 관리자나 네트워크 관리자와 같은 주요 정보 보안 인력에게 알리지 않고도 실행이 가능합니다. 해당 인력들에게 미리 경고하지 않고 시뮬레이션 공격을 실시하면 경영진은 기존 보안 대책의 효과성에 대한 진짜 그림을 그릴 수 있게 됩니다. 그러나, 서버와 네트워크 장비의 설정이 잘못되었거나 보안팀이 시뮬레이션 공격에 제대로 대응하지 않은 경우, 이러한 종류의 '비밀' 테스트는 정상적인 네트워크 운영에 지장을 줄 수 있습니다.

이러한 이유에서 침투 테스트는 종종 외부 단계와 내부 단계로 세분화됩니다. 먼저, Positive Technologies의 전문가들은 워크스테이션에 멀웨어를 설치하는 방식으로 경계 해킹을 시도합니다. 이 외부 단계가 성공하면, 전문가들은 시스템 관리자들과 조율하여 내부 공격 대응 대책을 진단합니다.

기술 침투 테스트

기술 침투 테스트는 기업의 IT 인프라에 존재하는 기존 취약점들을 식별하고 취약점이 익스플로잇될 수 있다는 실질적인 증거를 제공합니다. Positive Technologies의 전문가들이 기술적 침투 테스트에서 일반적으로 수행하는 사항:

  • 공격자가 사용하는 동일한 정보 출처(인터넷, 뉴스, 회의)를 사용하여 기업 네트워크에 관한 정보 수집
  • 네트워크 구조 정보를 보여주고, 장비, 운영체제, 애플리케이션의 외부 자극에 대한 반응별로 그 종류를 판단
  • 네트워크 서비스와 애플리케이션의 취약점 식별
  • SQL 인젝션, 크로스 사이트 스크립팅, 콘텐츠 스푸핑, OS 커맨딩, 부정확한 설정 인증, 권한부여 메커니즘 등 자동 툴과 수동 방식을 사용하여 취약점 탐지를 위한 웹 클라이언트 애플리케이션 분석
  • 관련 방식과 툴을 사용하여 발견된 취약점의 익스플로잇 시도
  • 부여 받은 권한으로 무선 네트워크에 대한 보안 제어권 획득 시도
  • 부여 받은 권한으로 서비스 거부와 같은 공격에 대한 외부 경계와 오픈 소스의 안전 점검
  • 가장 심각한 침입 공격 시나리오 실행 과정에서 네트워크 요소의 보안 수준과 발생 가능한 피해 평가
  • 연결 계층 공격에 대한 네트워크의 강도 점검, STP, VTP, CDP, ARP 등 연결 계층 프로토콜에 대한 시뮬레이션 공격 실행
  • 민감한 정보(암호, 기밀 정보 등) 획득을 위한 네트워크 트래픽 분석
  • 라우팅의 안정성 점검. 라우팅 프로토콜에 대한 서비스 거부 공격의 모델 및 조작된 루트
  • 기밀 정보에 대한 무단 접근 권한 획득 가능성 점검
  • 여러 테스트 단계에서 획득된 권한을 사용한 다양한 정보 리소스에 대한 권한 접근 가능성 점검

사회 기술 침투 테스트

여러 네트워크에서 일반 사용자들은 가장 취약한 계층입니다. 직원을 조종할 수 있는 해커라면 기밀 문서, 데이터, 고객 계정 등에 접근하고, 웹사이트에 악의적인 콘텐츠를 작성하며, 고객 연락처를 사용하여 스팸이나 피싱 행위를 실행하고, 네트워크 리소스를 사용하여 다른 회사의 시스템을 공격하고, 매일의 업무를 제한할 수 있도록 워크스테이션을 장악할 수 있습니다.

Positive Technologies는 사회 엔지니어링 기술을 사용하여 직원의 보안 인식 수준을 판단하고 피싱, 파밍 같은 해킹 기법에 대한 직원들의 반응을 측정할 수 있습니다. 즉각적인 관심이 필요한 기업의 정보 보안 영역을 확인하는 것은 물론, 최근의 보안 인식 교육 프로그램의 효과성을 테스트하는 데에도 특히 유용합니다. 일반적으로 Positive Technologies의 테스트는 선택된 사용자 그룹을 타깃으로 하며, 다양한 그룹에 적용되는 서로 다른 테스트 시나리오를 사용합니다. 테스트 시나리오:

  • 익명의 사용자와 직원을 대신하여 웹 리소스 링크 또는 암호 변경, 암호나 개인 정보 전송 요청 등과 같은 실행 가능한 코드를 포함하는 이메일/인스턴트 메시지(IM) 전송
  • '클린 데스크(clean desk)' 정책에 대한 임의적인 조사(예: 사용자가 잠금을 해제한 상태로 자리를 비운 워크스테이션, 암호, 기밀 문서가 적힌 포스트잇 등)

포괄적 접근방식

테스트 진행자들은 진짜 외부 공격자처럼 행동하기 위해 기술 침투 테스트와 사회 기술 침투 테스트를 통해 수집된 정보를 결합함으로써 해커가 취약점들을 결합하여 기존의 보안 메커니즘을 회피하고, 네트워크 권한을 상승시키며, 기밀 문서에 접근하고, DBMS를 변경하거나 사용자가 기존 보안 정책과의 컴플라이언스를 회피하도록 유도하는 방식을 보여줍니다.

결과

테스트의 주요 결과물인 보고서에는 다음과 같은 사항이 기술됩니다.

  • 테스트 방식
  • 정보 보안 시스템에서 식별된 취약점
  • 식별된 전체 취약점에 대한 설명
  • 사용자의 보안 인식 수준과 전반적인 네트워크 보안 수준에 관한 결론
  • 각 타깃 그룹 사용자들의 행동에 관한 정보를 비롯한 주요 관심 분야에 대한 기술
  • 식별된 취약점들의 완화를 위한 권장사항