평가 방법론
최근에는 정부와 민간 조직 모두 사이버 보안을 전략적 우선 순위로 삼았습니다. 사이버 범죄자들은 종종 다른 공격 벡터를 사용하여 정부 및 민간 조직을 소프트 타겟으로 삼았습니다. 안타깝게도 효율적인 정책, 표준 및 정보 시스템의 복잡성으로 인해 사이버 범죄자들은 많은 목표를 가지고 있으며 시스템을 악용하고 정보를 도용하는데도 성공하고 있습니다.
침투 테스트는 사이버 공격의 위험을 완화하는 데 사용할 수있는 하나의 전략입니다. 침투 테스트의 성공 여부는 효율적이고 일관된 평가 방법에 달려 있습니다.
우리는 침투 테스트와 관련된 다양한 평가 방법을 가지고 있습니다. 방법론 사용의 이점은 평가자가 환경을 일관되게 평가할 수 있다는 것입니다. 다음은 몇 가지 중요한 방법론입니다.
오픈 소스 보안 테스트 방법론 매뉴얼 (OSSTMM)
오픈 웹 애플리케이션 보안 프로젝트 (OWASP)
NIST (National Institute of Standards and Technology)
침투 테스트 실행 표준 (PTES)
PTES는 무엇입니까?
PTES, 침투 테스트 실행 표준은 이름에서 알 수 있듯이 침투 테스트를위한 평가 방법입니다. 침투 테스트와 관련된 모든 것을 다룹니다. 평가자가 접할 수있는 다양한 환경과 관련된 여러 기술 지침이 PTES 내에 있습니다. 이는 기술 지침에 산업 표준 도구 내에서 환경을 다루고 평가하기위한 제안이 있기 때문에 새로운 평가자가 PTES를 사용할 때의 가장 큰 장점입니다.
다음 섹션에서는 PTES의 여러 단계에 대해 알아 봅니다.
PTES의 7 단계
침투 테스트 실행 표준 (PTES)은 7 단계로 구성됩니다. 이 단계는 침투 테스트와 관련된 모든 것을 다룹니다. 초기 커뮤니케이션 및 침투 테스트 뒤의 추론부터 테스터가 백그라운드에서 작업하는 인텔리전스 수집 및 위협 모델링 단계에 이르기까지. 이를 통해 취약성 조사, 악용 및 사후 악용을 통해 테스트 된 조직을 더 잘 이해할 수 있습니다. 여기에서 테스터의 기술 보안 전문 지식은 참여에 대한 비즈니스 이해와 비판적으로 결합되며, 마지막으로 전체 프로세스를 캡처하는보고에 대해 고객에게 의미 있고 가장 가치를 제공하는 방식으로 결합됩니다.
다음 섹션에서 PTES의 7 단계에 대해 배웁니다.
참여 전 상호 작용 단계
이것은 PTES의 첫 번째이자 매우 중요한 단계입니다. 이 단계의 주요 목표는 침투 테스트의 성공적인 사전 참여 단계에 도움이되는 사용 가능한 도구와 기술을 설명하는 것입니다. 이 단계를 구현하는 동안 실수는 나머지 평가에 상당한 영향을 미칠 수 있습니다. 이 단계는 다음으로 구성됩니다.
평가 요청
이 단계가 시작되는 첫 번째 부분은 조직의 평가 요청 작성입니다. ㅏRequest for Proposal (RFP) 환경, 필요한 평가 종류 및 조직의 기대치에 대한 세부 정보가 포함 된 문서가 평가자에게 제공됩니다.
입찰
이제 RFP 문서, 여러 평가 회사 또는 개별 유한 책임 회사 (LLC)가 입찰하고 요청 된 작업, 가격 및 기타 특정 매개 변수와 일치하는 입찰이 승리합니다.
약혼 편지 (EL) 서명
이제 입찰에 성공한 조직과 당사자가 EL (Engagement Letter) 계약을 체결합니다. 편지에는statement of work (SOW) 그리고 최종 제품.
범위 지정 회의
EL이 서명되면 범위의 미세 조정을 시작할 수 있습니다. 이러한 회의는 조직과 당사자가 특정 범위를 미세 조정하는 데 도움이됩니다. 범위 지정 회의의 주요 목표는 테스트 대상을 논의하는 것입니다.
스코프 크리프 처리
범위 크립은 클라이언트가 약속 한 수준의 작업을 추가하거나 확장하여 지불하기로 약속 한 것보다 더 많은 것을 얻을 수있는 것입니다. 그렇기 때문에 원래 범위의 수정은 시간과 자원으로 인해 신중하게 고려해야합니다. 또한 이메일, 서명 된 문서 또는 승인 된 편지 등과 같은 문서화 된 양식으로 작성해야합니다.
설문지
고객과의 초기 커뮤니케이션 중에 고객이 참여 범위를 적절하게 추정하기 위해 답변해야 할 몇 가지 질문이 있습니다. 이러한 질문은 클라이언트가 침투 테스트를 통해 얻고 자하는 것을 더 잘 이해할 수 있도록 고안되었습니다. 고객이 자신의 환경에 대한 침투 테스트를 수행하려는 이유 침투 테스트 중에 특정 유형의 테스트를 원하는지 여부.
테스트 수행 방법
사전 참여 단계의 마지막 부분은 테스트 수행 절차를 결정하는 것입니다. White Box, Black Box, Gray Box, Double-blind 테스트와 같은 다양한 테스트 전략 중에서 선택할 수 있습니다.
다음은 요청할 수있는 평가의 몇 가지 예입니다.
- 네트워크 침투 테스트
- 웹 애플리케이션 침투 테스트
- 무선 네트워크 침투 테스트
- 물리적 침투 테스트
- 사회 공학
- Phishing
- VoIP (Voice Over Internet Protocol)
- 내부 네트워크
- 외부 네트워크
정보 수집 단계
PTES의 두 번째 단계 인 인텔리전스 수집은 취약성 평가 및 악용 단계에서 대상에 침투 할 때 활용할 수있는 최대한 많은 정보를 수집하기 위해 대상에 대한 예비 조사를 수행하는 것입니다. 조직이 평가 팀의 외부 노출을 결정하는 데 도움이됩니다. 수집하는 정보는 다음과 같은 세 가지 수준으로 나눌 수 있습니다.
레벨 1 정보 수집
자동화 도구는이 수준의 정보를 거의 전적으로 얻을 수 있습니다. 레벨 1 정보 수집 노력은 규정 준수 요구 사항을 충족하는 데 적합해야합니다.
레벨 2 정보 수집
이 수준의 정보는 몇 가지 수동 분석과 함께 수준 1의 자동화 도구를 사용하여 얻을 수 있습니다. 이 수준은 물리적 위치, 비즈니스 관계, 조직도 등과 같은 정보를 포함하여 비즈니스를 잘 이해해야합니다. 수준 2 정보 수집 노력은 장기 보안 전략과 같은 다른 요구와 함께 규정 준수 요구 사항을 충족하는 데 적절해야합니다. 소규모 제조업체 인수 등
레벨 3 정보 수집
이 수준의 정보 수집은 가장 진보 된 침투 테스트에 사용됩니다. 레벨 3 정보 수집에는 많은 수작업 분석과 함께 레벨 1 및 레벨 2의 모든 정보가 필요합니다.
위협 모델링 단계
이것은 PTES의 세 번째 단계입니다. 침투 테스트를 올바르게 실행하려면 위협 모델링 접근 방식이 필요합니다. 위협 모델링은 침투 테스트의 일부로 사용되거나 여러 요인에 따라 직면 할 수 있습니다. 침투 테스트의 일부로 위협 모델링을 사용하는 경우 두 번째 단계에서 수집 된 정보가 첫 번째 단계로 롤백됩니다.
다음 단계는 위협 모델링 단계를 구성합니다.
필요한 관련 정보를 수집합니다.
1 차 및 2 차 자산을 식별하고 분류해야합니다.
위협 및 위협 커뮤니티를 식별하고 분류해야합니다.
1 차 및 2 차 자산에 대한 위협 커뮤니티를 매핑해야합니다.
위협 커뮤니티 및 에이전트
다음 표는 조직 내 위치와 함께 관련 위협 커뮤니티 및 에이전트를 나열합니다.
위치 | 내부의 | 외부 |
---|---|---|
Threat agents/communities | 직원 | 비즈니스 파트너 |
관리인 | 계약자 | |
관리자 (네트워크, 시스템) | 경쟁자 | |
엔지니어 | 공급자 | |
기술자 | 국민 국가 | |
일반 사용자 커뮤니티 | 해커 |
위협 모델링 평가를 수행하는 동안 위협의 위치는 내부에있을 수 있음을 기억해야합니다. 자격 증명을 브로드 캐스팅하여 조직의 보안을 위험에 빠뜨리는 피싱 이메일 하나 또는 성가신 직원 한 명만 있으면됩니다.
취약성 분석 단계
이것은 평가자가 추가 테스트를 위해 실행 가능한 목표를 식별하는 PTES의 네 번째 단계입니다. PTES의 처음 세 단계에서는 조직에 대한 세부 정보 만 추출되었으며 평가자는 테스트를위한 리소스를 건드리지 않았습니다. PTES에서 가장 시간이 많이 걸리는 단계입니다.
다음 단계는 취약점 분석을 구성합니다-
취약성 테스트
호스트 및 서비스의 시스템 및 애플리케이션에서 잘못된 구성 및 안전하지 않은 애플리케이션 설계와 같은 결함을 발견하는 프로세스로 정의 될 수 있습니다. 테스터는 취약성 분석을 수행하기 전에 테스트 및 원하는 결과의 범위를 적절하게 지정해야합니다. 취약점 테스트는 다음과 같은 유형이 될 수 있습니다.
- 적극적인 테스트
- 패시브 테스트
다음 섹션에서 두 가지 유형에 대해 자세히 설명합니다.
적극적인 테스트
여기에는 보안 취약점이 있는지 테스트중인 구성 요소와의 직접적인 상호 작용이 포함됩니다. 구성 요소는 네트워크 장치의 TCP 스택과 같은 낮은 수준 또는 웹 기반 인터페이스와 같은 높은 수준 일 수 있습니다. 활성 테스트는 다음 두 가지 방법으로 수행 할 수 있습니다.
자동화 된 활성 테스트
소프트웨어를 사용하여 대상과 상호 작용하고, 응답을 검사하고, 이러한 응답을 기반으로 구성 요소의 취약점이 존재하는지 여부를 결정합니다. 수동 활성 테스트와 비교하여 자동화 된 활성 테스트의 중요성은 시스템에 수천 개의 TCP 포트가 있고 테스트를 위해 모두 수동으로 연결해야한다면 상당한 시간이 소요된다는 사실에서 알 수 있습니다. 그러나 자동화 된 도구를 사용하면 많은 시간과 노동 요구 사항을 줄일 수 있습니다. 네트워크 취약성 스캔, 포트 스캔, 배너 잡기, 웹 애플리케이션 스캔은 자동화 된 활성 테스트 도구를 사용하여 수행 할 수 있습니다.
수동 능동 테스트
수동 효과적인 테스트는 자동화 된 활성 테스트와 비교할 때 더 효과적입니다. 오류 범위는 항상 자동화 된 프로세스 또는 기술에 존재합니다. 그렇기 때문에 대상 시스템에서 사용 가능한 각 프로토콜 또는 서비스에 대한 수동 직접 연결을 실행하여 자동화 된 테스트 결과를 검증하는 것이 항상 권장됩니다.
패시브 테스트
수동 테스트에는 구성 요소와의 직접적인 상호 작용이 포함되지 않습니다. 다음 두 가지 기술을 사용하여 구현할 수 있습니다.
메타 데이터 분석
이 기술은 파일 자체의 데이터가 아닌 파일을 설명하는 데이터를 보는 것과 관련됩니다. 예를 들어 MS 워드 파일에는 작성자 이름, 회사 이름, 문서를 마지막으로 수정하고 저장 한 날짜 및 시간과 관련된 메타 데이터가 있습니다. 공격자가 메타 데이터에 수동적으로 액세스 할 수 있다면 보안 문제가있을 수 있습니다.
교통 모니터링
내부 네트워크에 연결하고 오프라인 분석을 위해 데이터를 캡처하는 기술로 정의 할 수 있습니다. 주로 캡처하는 데 사용됩니다“leaking of data” 교환 네트워크에.
확인
취약성 테스트 후 발견 사항의 유효성 검사가 매우 필요합니다. 다음 기술을 사용하여 수행 할 수 있습니다.
도구 간의 상관 관계
평가자가 여러 자동화 된 도구를 사용하여 취약성 테스트를 수행하는 경우 결과를 검증하기 위해 이러한 도구간에 상관 관계가 있어야합니다. 도구간에 이러한 종류의 상관 관계가 없으면 결과가 복잡해질 수 있습니다. 특정 항목의 상관 관계와 항목의 범주 적 상관 관계로 나눌 수 있습니다.
프로토콜 별 검증
프로토콜의 도움으로 유효성 검사를 수행 할 수도 있습니다. VPN, Citrix, DNS, 웹, 메일 서버를 사용하여 결과를 확인할 수 있습니다.
연구
시스템의 취약성을 발견하고 검증 한 후에는 문제 식별의 정확성을 결정하고 침투 테스트 범위 내에서 취약성의 잠재적 악용 가능성을 조사하는 것이 중요합니다. 연구는 공개적으로 또는 비공개로 수행 할 수 있습니다. 공개 조사를 수행하는 동안 취약성 데이터베이스 및 공급 업체 권고를 사용하여보고 된 문제의 정확성을 확인할 수 있습니다. 반면, 개인 조사를하는 동안 복제 환경을 설정하고 퍼징 또는 테스트 구성과 같은 기술을 적용하여보고 된 문제의 정확성을 확인할 수 있습니다.
착취 단계
이것은 PTES의 다섯 번째 단계입니다. 이 단계는 보안 제한을 우회하여 시스템 또는 리소스에 대한 액세스 권한을 얻는 데 중점을 둡니다. 이 단계에서는 이전 단계에서 수행 한 모든 작업을 통해 시스템에 액세스 할 수 있습니다. 시스템에 액세스하는 데 사용되는 다음과 같은 몇 가지 일반적인 용어가 있습니다.
- Popped
- Shelled
- Cracked
- Exploited
익스플로잇 단계에서 로그인 시스템은 코드, 원격 익스플로잇, 익스플로잇 생성, 안티 바이러스 우회를 통해 수행 할 수 있으며 약한 자격 증명을 통한 로깅만큼 간단 할 수 있습니다. 액세스 권한을 얻은 후, 즉 주요 진입 점을 식별 한 후 평가자는 고 가치 대상 자산을 식별하는 데 집중해야합니다. 취약성 분석 단계가 제대로 완료 되었다면 고 가치 대상 목록을 준수해야합니다. 궁극적으로 공격 벡터는 성공 확률과 조직에 대한 가장 큰 영향을 고려해야합니다.
악용 후 단계
이것은 PTES의 여섯 번째 단계입니다. 평가자는이 단계에서 다음 활동을 수행합니다.
인프라 분석
침투 테스트 중에 사용 된 전체 인프라에 대한 분석은이 단계에서 수행됩니다. 예를 들어 인터페이스, 라우팅, DNS 서버, 캐시 된 DNS 항목, 프록시 서버 등을 사용하여 네트워크 또는 네트워크 구성을 분석 할 수 있습니다.
약탈
대상 호스트에서 정보를 얻는 것으로 정의 할 수 있습니다. 이 정보는 사전 평가 단계에서 정의 된 목표와 관련이 있습니다. 이 정보는 시스템에 설치된 프로그램, 데이터베이스 서버, 프린터 등과 같은 특정 서버에서 얻을 수 있습니다.
데이터 유출
이 활동에서 평가자는 가능한 모든 유출 경로에 대한 매핑 및 테스트를 수행하여 통제 강도 측정, 즉 조직에서 민감한 정보를 탐지 및 차단할 수 있도록해야합니다.
지속성 만들기
이 활동에는 인증이 필요한 백도어 설치, 필요할 때 백도어 재부팅 및 복잡한 암호로 대체 계정 생성이 포함됩니다.
대청소
이름에서 알 수 있듯이이 프로세스는 침투 테스트가 완료된 후 시스템 정리 요구 사항을 다룹니다. 이 활동에는 원래 값으로의 복귀 시스템 설정, 애플리케이션 구성 매개 변수, 설치된 모든 백도어 제거 및 생성 된 모든 사용자 계정이 포함됩니다.
보고
이것은 PTES의 마지막이자 가장 중요한 단계입니다. 여기에서 클라이언트는 침투 테스트 완료 후 최종 보고서를 기준으로 지불합니다. 보고서는 기본적으로 평가자가 시스템에 대해 수행 한 결과를 반영합니다. 다음은 좋은 보고서의 필수 부분입니다.
요약
이것은 침투 테스트의 특정 목표와 테스트 연습의 높은 수준의 결과에 대해 독자에게 전달하는 보고서입니다. 대상 청중은 최고 스위트 자문위원회의 구성원이 될 수 있습니다.
줄거리
보고서에는 참여 기간 동안 수행 된 작업, 실제 보안 결과 또는 약점 및 조직이 수립 한 긍정적 인 통제를 설명하는 스토리 라인이 포함되어야합니다.
개념 증명 / 기술 보고서
개념 증명 또는 기술 보고서는 테스트의 기술적 세부 사항과 사전 계약 연습 내에서 핵심 성공 지표로 합의 된 모든 측면 / 구성 요소로 구성되어야합니다. 기술 보고서 섹션에서는 테스트의 범위, 정보, 공격 경로, 영향 및 수정 제안에 대해 자세히 설명합니다.