보안 테스트란 무엇입니까? 예

보안 테스트 란 무엇입니까?

보안 테스트 타입은 소프트웨어 테스팅 보안 테스트는 애플리케이션의 취약점, 위협 및 위험을 발견하고 침입자의 악의적인 공격을 방지하는 데 사용됩니다. 보안 테스트의 목적은 내부자 또는 외부자에 의해 정보 손실, 수익 감소 또는 평판 손상으로 이어질 수 있는 시스템의 모든 허점과 약점을 식별하는 것입니다.

보안 테스트가 중요한 이유는 무엇일까요?

보안 테스트의 주요 목표는 시스템의 위협 요소를 식별하고 잠재적 영향을 측정하여 위협을 완화하고 시스템이 안전하게 작동하도록 하는 것입니다. 보안 테스트는 모든 가능한 위험을 탐지하고 개발자에게 배포 전에 코드의 문제를 수정할 수 있는 실질적인 정보를 제공합니다.

소프트웨어 테스팅의 보안 테스트 유형

오픈 소스 보안 테스트 방법론 매뉴얼(OSSTMM)에 따르면 보안 테스트에는 크게 7가지 유형이 있습니다.

• 취약점 검사 : 자동화된 소프트웨어가 알려진 취약점 시그니처를 기준으로 시스템을 검사합니다.
• 보안 검색 : 네트워크 및 시스템의 취약점을 파악하고 해결책을 제시합니다. 수동, 자동 또는 두 가지 모두를 사용할 수 있습니다.
• 침투 테스트: 외부 공격자가 악용할 수 있는 취약점을 찾아내기 위해 악의적인 공격을 시뮬레이션합니다.
• 위험 평가 : 조직에서 관찰된 보안 위험을 분석하고 이를 낮음, 중간, 높음으로 분류하며, 통제 방안을 권고합니다.
• 보안 감사 : 지원서에 대한 내부 검사 및 운영체제 보안 취약점을 검사합니다. 코드 한 줄 한 줄을 검토하는 작업이 포함될 수 있습니다.
• 윤리적 해킹: 조직의 소프트웨어에 대한 허가된 해킹은 보안 결함을 드러내는 것을 목적으로 하며, 악의적인 해커의 의도와는 정반대입니다.
• 자세 평가 : 보안 검사를 결합합니다. 윤리적 인 해킹또한 조직의 전반적인 보안 상태를 보여주는 위험 평가도 포함됩니다.

보안 테스트 수행 방법

보안 결함을 수정하는 비용은 발견 시점이 늦어질수록 급격히 증가한다는 것은 널리 알려진 사실입니다. 수정 연기는... 보안 테스트 배포 후까지 고려하지 않는 것은 처음부터 SDLC에 포함시키는 것보다 훨씬 비용이 많이 듭니다.

아래 표는 보안 활동을 모든 SDLC 단계에 매핑합니다.

보안 테스트 계획에는 다음 사항이 포함되어야 합니다.

• 보안 관련 테스트 사례 및 시나리오.
• 보안 테스트를 위해 설계된 테스트 데이터입니다.
• 각 보안 활동에 필요한 테스트 도구.
• 다양한 보안 도구의 출력 분석.

보안 테스트를 위한 테스트 시나리오 예

아래 목록은 일반적인 보안 테스트 사례를 보여줍니다.

• 비밀번호는 암호화된 형태로 저장되며, 평문으로는 절대 저장되지 않습니다.
• 해당 애플리케이션 또는 시스템은 유효하지 않은 사용자를 차단합니다.
• 쿠키 및 세션 시간 초과는 모든 워크플로에 대해 유효성 검사를 거칩니다.
• 금융 사이트의 경우, 로그아웃 후 브라우저의 뒤로 가기 버튼을 눌러도 보호된 페이지가 노출되지 않아야 합니다.

보안 테스트를 위한 방법론 및 기술

보안 테스트는 여러 가지 확립된 방법론을 따릅니다.

• 호랑이 Box: 여러 운영 체제와 해킹 도구가 설치된 노트북에서 테스트를 수행했습니다. 침투 테스터가 취약점을 평가하고 공격을 실행하는 데 사용합니다.
• 검정 Box: 테스터는 네트워크 토폴로지나 기술 스택에 대한 내부 지식이 전혀 없으며 외부인의 시각으로 시스템을 조사합니다.
• 회색 Box: 테스터는 시스템에 대한 부분적인 정보만 받습니다. 이러한 화이트박스 및 블랙박스 기법의 혼합은 일부 정보가 유출된 현실적인 위협 모델을 반영합니다.

보안 테스트 역할

• 해커 : 컴퓨터 시스템이나 네트워크에 무단으로 접근하는 사람을 가리키는 일반적인 용어로, 오늘날에는 주로 허가 없이 접근하는 블랙햇 해커를 지칭하는 데 사용됩니다.
• 크래커: 시스템에 침입하여 데이터를 훔치거나 파괴합니다.
• 윤리적 해커: 해커와 동일한 활동을 수행하지만 소유자의 명시적인 허가를 받습니다.ping 시스템을 강화하기 위해.
• 스크립트 키디즈 / 패킷 몽키즈: 프로그래밍 지식이 부족하고 경험이 부족한 공격자들은 미리 만들어진 스크립트와 도구에 의존합니다.

보안 테스트 도구

1) Teramind

Teramind 이 솔루션은 내부자 위협 방지 및 직원 모니터링을 위한 포괄적인 제품군을 제공합니다. 행동 분석 및 데이터 손실 방지를 통해 보안을 강화하고, 규정 준수를 보장하며, 비즈니스 프로세스를 최적화합니다. 다양한 조직의 요구에 맞춰 맞춤 설정이 가능한 이 플랫폼은 생산성 향상과 데이터 무결성 보호에 중점을 둔 실행 가능한 인사이트를 제공합니다.

특징:

• 내부자 위협 예방: 데이터에 대한 내부 위협을 나타낼 수 있는 사용자 작업을 탐지하고 방지합니다.
• 비즈니스 프로세스 최적화: 데이터 기반 행동 분석을 활용하여 운영 프로세스를 개선합니다.
• 인력 생산성: 생산성, 보안 및 규정 준수 관련 행동을 모니터링합니다.
• 규정 준수 관리: 소규모 기업, 대기업 및 정부 기관에 적합한 확장 가능한 단일 솔루션으로 규정 준수를 관리합니다.
• 사고 포렌식: 사건 대응, 조사 및 위협 정보 수집에 필요한 증거를 제공합니다.
• 데이터 손실 방지 : 중요 데이터 손실을 감시하고 방지합니다.
• 직원 모니터링: Tracks 직원 성과 및 활동.
• 행동 분석: 세부적인 사용자 앱 행동 데이터를 분석하여 인사이트를 도출합니다.
• 사용자 지정 가능한 모니터링 설정: 특정 사용 사례에 맞게 모니터링 규칙을 설정할 수 있습니다.
• 대시보드 인사이트: 종합적인 대시보드를 통해 가시성과 실행 가능한 인사이트를 제공합니다.

방문 Teramind >>

2) 웹 사이트

The 개방형 웹 애플리케이션 보안 프로젝트(OWASP) 는 소프트웨어 보안 향상에 전념하는 세계적인 비영리 단체입니다. 이 프로젝트는 다양한 소프트웨어 환경 및 프로토콜에 대한 침투 테스트를 위한 여러 도구를 제공합니다. 대표적인 도구는 다음과 같습니다.

1. ZAP (Zed Attack Proxy) — 통합 침투 테스트 도구.
2. OWASP 종속성 검사 — 알려진 취약점에 대해 프로젝트 종속성을 검사합니다.
3. OWASP 웹 테스트 환경 프로젝트 — 엄선된 보안 도구 및 문서 모음입니다.

3) Wireshark

Wireshark 는 이전에 Ethereal로 알려졌던 네트워크 분석 도구입니다. 실시간으로 패킷을 캡처하여 사람이 읽기 쉬운 형식으로 표시합니다. Wireshark 오픈 소스이며 리눅스에서 실행됩니다. Windows, macOS, SolarisNetBSD, FreeBSD 및 기타 여러 시스템에서 사용할 수 있습니다. 데이터는 GUI 또는 TShark 명령줄 유틸리티를 통해 볼 수 있습니다.

4) w3af

w3af 는 웹 애플리케이션 공격 및 감사 프레임워크입니다. 탐색, 감사, 공격의 세 가지 플러그인 범주로 구성되어 있으며, 이 플러그인들은 서로 통신합니다. 탐색 플러그인은 다음을 찾습니다. URL테스트할 항목을 입력하면 감사 플러그인으로 전달되어 취약점을 검색하고, 공격 플러그인은 해당 취약점을 악용하려고 시도합니다.

보안 테스트에 대한 오해와 사실

보안 프로그램을 지연시키는 몇 가지 잘못된 통념이 있습니다. 아래 목록은 각 통념과 그에 따른 사실을 함께 보여줍니다.

신화 #1 : 소규모 사업체는 보안 정책이 필요하지 않습니다.
것: 모든 개인과 모든 회사는 보안 정책이 필요합니다.

신화 #2 : 보안 테스트는 투자 대비 수익이 없습니다.
것: 보안 테스트는 효율성을 높이고 가동 중지 시간을 줄이며 최대 처리량을 가능하게 하는 개선 영역을 파악하는 데 도움이 됩니다.

신화 #3 : 유일한 안전책은 시스템의 전원을 차단하는 것입니다.
것: 실질적인 보안은 네트워크를 차단하는 것이 아니라 비즈니스, 법률 및 산업 요구 사항에 부합하는 보안 태세 평가에서 비롯됩니다.

신화 #4 : 소프트웨어나 하드웨어를 추가로 구매하는 것은 사업을 보호하는 데 도움이 될 것입니다.
것: 도구가 전략을 대체할 수는 없습니다. 먼저 위협 환경을 파악한 다음, 그에 맞는 통제 방안을 선택하십시오.

자주 묻는 질문