Replicated

배경정보수집(DFD) Data Flow Diagram추상적인 수준에서 전체 구성 요소, 제품, 시스템의 데이터 흐름을 표시 레벨을 나눠 그리기도 함. Level 0 -> 1 -> 2이건 레벨 0 더 자세하기 그려지면 이렇게 됨 다이어그램의 완성도와 일관성을 검증하려면 데이터의 출처가 잘 정의되었는지 확인하고,데이터 유실을 피하고 데이터가 항상 프로세스를 통과하는지 체크해야 함  위협 모델 만들기 및 분석 (STRIDE)Spoofing (위장)Tampering (데이터 변조)Repudiation (부인)Information disclosure (정보 유출)Denial of service (서비스 거부)Elevation of privilege (권한 상승) 시스템에서 발생할 수 있는 위협(취약점을 이용한 공..

일부 조직: 보안 테스트를 개발 프로세스가 끝나는 시점에 추가- 예산과 일정을 계획하기 쉬움- 결과가 명확- 개발 프로세스를 변경하거나 업무와 책임을 보고할 때 체계에 따라 분리하지 않아도 됨 근데 이게 더 ROI가 낮음 보안 사고는 비용이 많이 들고 예측 불가, 어떠한 응용 프로그램도 공격 대상이 될 수 있음직접 비용- 손상된 시스템 분석- 악용된 취약점 처리- 손상된 시스템 재구축- 고객과의 소통간접 비용- 브랜드 가치 하락- 고객 신뢰 상실- 고객 이탈 대충 30배 이상의 비용이 듦 SW 개발 보안이란?안전한 SW 개발을 위해 소스코드 등에 존재할 수 있는 잠재적인 보안 약점을 제거, 보안을 고려하여 기능을 설계 및 구현하는 등 SW 개발 과정에서 실행되는 일련의 보안 활동 요구사항 분석- 요구사항..

사이버 공격을 프로세스 상으로 분석, 각 공격 단계에서 조직에 가해지는 위협 요소들을 파악하고 조치총 7단계 정찰(Reconnaissance)무기화(Weaponization)유포(Delivery)악용(Exploitation)설치(Installation)명령 및 제어(Command and Control)목적 달성(Actions on objectives) 정찰 (공격 전 단계)- 목적을 정하고 대상을 식별, 정보 연구 무기화 (공격 전 단계)- 알려진 취약점 중 패치되지 않은 취약점 또는 알려지지 않은 취약점을 악용하는 익스플로잇을 이용하여 공격 대상을 유인할 수 있는 무기를 만듦 유포 (공격 전 단계)- 공격 대상에게 이메일의 파일, USB 등 무기를 전달 악용 (공격 시도 단계)- 공격 대상에 전달된 무..

공격 유형수동적 공격(Passive Attack)- 도청에 의한 내용 파악- 트래픽 분석(Traffic Analysis) 능동적 공격(Active Attack)- 변조 공격 (Modification)- 삽입 공격 (Insertion)- 삭제 공격 (Deletion)- 재생 공격 (Replay)- 서비스 거부 공격 (Denial-of-Service) 암호 시스템 적용 대상- 기밀성 (Confidentiality)- 메시지 무결성 (Integrity)- 메시지 인증 (Message Authentication)- 인증(사용자/사물) (Authentication)- 부인방지 (Non-repudiation) 정보보호 3대요소- 기밀성(Confidentiality) : 메시지 못보게- 무결성(Integrity) ..

공격자 관점: 보안 자산, 취약점, 약점, 위협, 위험방어자 관점: 보안 목적, 보안 요구사항, 보안 조치보안의 3요소: 기밀성, 무결성, 가용성 공격자 관점 보안자산: 정보(데이터), 소프트웨어(컴퓨터 소프트웨어 등), 물리적 자산(서버 등), 서비스, 인력 등 조직에서 보유하고 있는 가치가 있는 모든 것을 말함- 보안 자산은 제품의 이해 관계자에게 가치가 있는 것을 뜻함- 보안 자산은 유형 무형의 상태를 가짐- 유형 자산의 예: 현금, 장비, 하드웨어- 무형 자산의 예: 소프트웨어, 영업권 및 지적 재산권 등 키리스 엔트리 시스템 보안 자산- 자동차, 통신 데이터 취약점(Vulnerability)- 시스템을 위협의 영향에 노출시키는 시스템의 약점- 사용자 및 관리자의 부주의나 사회공학 기법에 의한 약..