Positive Technologies — Information Security, Compliance Management, Consulting. MaxPatrol Compliance and Vulnerability Management System.

웹 애플리케이션 보안 테스트

Positive Technologies의 전문가들이 실시한 연구에 따르면, 웹 애플리케이션의 최대 90%가 위험 수준이 보통에서 높음의 보안 결점을 포함하고 있습니다. 실제로, 해당 연구 결과, 테스트 대상이 된 모든 애플리케이션에서 취약점이 발견되었습니다. 기업 네트워크에서 일반적으로 사용되는 운영체제, 데이터베이스, 애플리케이션 소프트웨어 등과는 달리, 웹 애플리케이션은 상용 소프트웨어 개발 경험이 부족한 기업에서 자체 개발되고, 특히 개발자들이 보안에 중점을 두지 않은 경우가 많다는 점을 고려해 보았을 때 놀라운 결과가 아닙니다. 개발자가 보안에 우선 순위를 두지 않거나 전혀 고려하지 않는 경우는 너무나 많습니다.

더 심각한 사실은 웹 애플리케이션의 취약점은 위치 파악과 익스플로잇이 훨씬 쉽다는 것입니다. 그렇기 때문에 웹사이트가 해커와 사이버 범죄자의 진입점이 되고 있는 것도 당연합니다. 애플리케이션의 개발과 구축 과정에서 발생하는 실수나 누락은 공격자의 기업 데이터베이스 정보의 복사나 변형, 사기(피싱, 파밍), 기업 내부 네트워크 침투 등으로 이어질 수 있습니다.

Positive Technologies의 전문가들은 지속적인 연구와 OWASP TOP 10Web Application Security Consortium Thread Classification, Common Vulnerability Scoring System (CVSS)등 보안 프로젝트에 대한 기여를 통해 세계적으로 가장 중요한 웹 애플리케이션 보안 결점들을 식별하고 있습니다.

Positive Technologies의 웹 애플리케이션 보안 테스트에는 애플리케이션의 설계, 네트워크, 운영체제 설정, 외부 데이터 소스, 데이터 웨어하우스, 권한부여 메커니즘, 인증 구성요소 등에 대한 상세 분석이 포함됩니다. 외부 침입자(블랙박스)의 관점에서 분석을 실시하고, 소스코드 자체 분석(화이트박스)도 실시합니다. 이미 웹 공격의 피해를 입었거나 애플리케이션에서 비정상적인 활동이 탐지된 경우, Positive Technologies는 문제 검증을 위한 인시던트 대응 서비스를 제공합니다. 또한, 모든 경우에 있어서 Positive Technologies 전문가는 발견된 문제점을 해결하기 위한 상세 권장 사항을 제공할 것입니다.

일반적인 평가 단계는 다음과 같습니다.

  • 분석 방법 결정(블랙박스, 화이트박스, 또는 두 가지의 결합)
  • 각 종류별 취약점의 자동 및 수동 감사와 검사 실시
  • 식별된 취약점의 특징 분석(예: 사용의 복잡성, 가용성, 운용 방식, 공격 발생 시 피해 가능성 등)
  • 실제 공격자가 사용 가능한 시나리오 생성, 시뮬레이션 공격의 구성 및 실행
  • 일련의 협조 공격을 통해 가장 주요한 취약점들의 익스플로잇 시도
  • 웹 애플리케이션 로그 검토로 의심되는 인시던트의 발생 여부 확인. 발생한 경우, 익스플로잇된 특정 취약점 식별
  • 식별된 취약점 처리를 위한 결과 평가와 권장사항 제시

결과

테스트의 주요 결과물은 보고서입니다. 보고서 내용은 다음과 같습니다.

  • 테스트 방식
  • 식별된 모든 취약점에 관한 설명
  • 식별된 가장 심각한 취약점의 익스플로잇 성공 확률과 영향력
  • 인시던트로 이미 확인 완료되었을 가능성이 있는 취약점을 비롯하여 식별된 취약점을 완화하기 위한 권장사항

또한, Positive Technologies는 샘플 애플리케이션 코드를 제공하여 탐지된 취약점 제거 방법과 웹 애플리케이션 방화벽 보안 정책 및 기능에 관한 지침을 제시합니다.