| 일 | 월 | 화 | 수 | 목 | 금 | 토 |
|---|---|---|---|---|---|---|
| 1 | 2 | |||||
| 3 | 4 | 5 | 6 | 7 | 8 | 9 |
| 10 | 11 | 12 | 13 | 14 | 15 | 16 |
| 17 | 18 | 19 | 20 | 21 | 22 | 23 |
| 24 | 25 | 26 | 27 | 28 | 29 | 30 |
- OWASP
- protection
- FIFO
- 게임 개발
- SJF
- 배경 그림
- Trap
- MLFQ
- polymorphism
- STCF
- Waterfall
- 유니티
- 메카님
- 게임개발
- 운영체제
- DSP
- unity
- link layer
- 컴퓨터 네트워크
- AINCAA
- information hiding
- 유스케이스
- MAC
- frequency-domain spectrum analysis
- OSI 7계층
- stride
- SDLC
- Unity #Indie Game
- DP
- Security
- Today
- Total
다양한 기록
보안 사고 사례 .. 공격자 관점, 방어자 관점, CIA 본문
Confidentiality .. 기밀성
데이터를 암호화해서 안전하게 지킨다
외부에서 접근할 수 없는 스토리지에 저장하고 강력한 접근 제어를 한다
Integrity .. 무결성
데이터가 훼손이 되었는지 체크하겠다
클라우드 스토리지가 기본적으로 보장해야 함
Availability .. 가용성
수강 신청 시스템이 다운됨 => 가용성 깨진 것
보안 사고 사례
공격자 관점: 보안 자산, 취약점, 약점, 위협, 위험
방어자 관점: 보안 목적, 보안 요구사항, 보안 조치
보안의 3요소: 기밀성, 무결성, 가용성
Keyless Entry System ..
키와 차가 무선 시그널로 상호 인증함
이 시그널을 확보하여 재생하여 차를 탈취
공격자 관점
보안 자산
- 정보(데이터), 소프트웨어(컴퓨터 소프트웨어 등), 물리적 자산(서버 등), 서비스, 인력 등 조직에서 보유하고 있는 가치가 있는 모든 것
키리스 엔트리 시스템에서 보안 자산: 자동차, 통신 데이터
취약점
- 시스템을 위협의 영향에 노출시키는 시스템의 약점
키리스 엔트리 시스템에서의 취약점: 통신 데이터 인증 결여
공격자 관점: 약점 vs 취약점
보안 약점
- 해킹 등 실제 보안사고에 악용될 수 있는 오류, 버그와 같은 근본 원인
- 예) 손에 세균 있다고 병 걸리는 건 아닌데 세균이 원인이 되긴 함
보안 취약점
- 해커가 보안 약점을 악용하여 발생하는 실제적인 위협
위협원
- 어떠한 목적을 가지고 위협을 수행하거나 그 원인이 될 수 있는 활동을 수행, 지원하는 사람이나 조직
- 경쟁 기업, 사내 임직원, 해커, 테러리스트 등
위협 행동
- 피해를 입힐 의도로 목표 대상에 취한 모든 조치. 공격자 자신의 목표를 달성하기 위한 전략
키리스 엔트리 시스템에서의 위협 행동: 공격자의 시그널 복제
위험 (Risk)
- 외부의 위협이 내부의 취약성을 이용하여 보유한 각종 자산에 피해를 입힐 수 있는 잠재적인 가능성
키리스 엔트리 시스템에서의 위험: 통신 데이터 재사용, 차량 탈취
위협 vs 위험
위협
- 위험을 일으킬 소지가 다분한 요소
- 제어가 되지 않음
위험
- 위협 요소가 일으킬 수 있는 피해
- 관리가 가능
- 취약점(약점)은 조치가 가능 .. 무엇인지 찾아내고 없애는게 중요
보안 조치
- 보안 조치(Security Measure)를 통해 취약점을 제거하고 보안 위험을 줄일 수 있음
- 100% 완벽한 보안은 불가능 => Moving Target Defense
- 경제적 관점의 보안 균형을 유지해야 한다 ("위험"과 "비용"의 균형)
- 보호하려는 대상의 위험을 알아야 한다
방어자 관점
보안 목적 (Security Objective)
- 정보 보호 시스템을 통하여 궁극적으로 달성하고자 하는 최종 보안 요구 사항을 뜻함
- 최종 보안 요구 사항으로는 기밀성, 무결성, 가용성 등이 존재
키리스 엔트리 시스템에서의 보안 목적: 통신 데이터 인증
- 보안 목적의 정의는 보호 대상에 적용하려는 보안 개념의 기초를 설정하는 매우 중요한 단계
보안 요구사항 (Security Requirement)
- 보안 목적을 달성하기 위한 매우 자세한 기능적/비기능적 사양
키리스 엔트리 시스템에서의 보안 요구 사항 : 메시지 인증 코드 사용
보안 조치 (Security Measure)
- 보안 조치는 기밀성, 무결성 또는 가용성의 손실을 예방, 탐지 및 복구하는 기술적인 메커니즘 또는 조직적인 대책
키리스 엔트리 시스템에서의 보안 조치: HMAC 사용
From security objectives to security measures ..
1. 보안 목적 식별
2. 보안 요구 사항 도출
3. 보안 조치 정의
4. steps(1) ~ (3) 반복 (필요 시)
예시)
1. 보안 목적 - 통신 데이터 인증
2. 가능한 보안 요구 사항 - 메시지 인증 코드 사용
3. 메시지 보안 조치 - 대칭 키 기반 HMAC
... 하나의 보안 조치는 새로운 보안 목적과 요구 사항을 발생시킬 수 있음
요약
보안 자산, 위협, 위험, 보안 목적, 보안 요구사항, 보안 조치
| Keyless Entry System | |
| 보안 자산 | 자동차, 통신 데이터 |
| 취약점 | 통신 데이터 인증 결여 |
| 위협 행동 | 공격자의 시그널 복제 |
| 위험 | 통신 데이터 재사용, 차량 탈취 |
| 보안 목적 | 통신 데이터 인증 |
| 보안 요구사항 | 메시지 인증 코드 사용 |
| 보안 조치 | HMAC 사용 |
'정보보호이론' 카테고리의 다른 글
| 블록 암호 알고리즘, DES / AES (0) | 2024.10.27 |
|---|---|
| 암호 기초, 역사 (0) | 2024.10.27 |
| 대칭키 암호, 공개키 암호, 해시 함수와 MACs (0) | 2024.10.27 |
| 암호 프로토콜, 암호 기본 원칙 (0) | 2024.10.27 |
| 암호 툴, 암호 알고리즘 (0) | 2024.10.27 |