Cybersecurity 썸네일형 리스트형 위험, 위협, 취약점 위협 [Threat] - 조직(기업)의 자산에 악영향을 끼칠 수 있는 조건, 사건, 행위 취약점 [Vulnerability] - 위협이 발생하기 위한 사전 조건, 상황 위험 [Risk] - 위협이 취약점을 이용하여 조직(기업)의 자산에 손실, 피해를 가져올 가능성 예) 금은방에 문을 잠그지 않고 주인이 퇴근을 하였다. 그 결과, 도둑이 보석들을 훔쳐 달아났다. 위협 - 도둑 취약점 - 잠기지 않은 문 위험 - 도둑이 잠기지 않은 문을 이용해 보석을 훔침 자산 - 보석 더보기 CVE v.s. CWE 차이점 * CVE (Common Vulnerabilities and Exposures) v.s. CWE (Common Weakness Enumeration) 검색해봐도 잘 안 나와서 정리.. 일단, CVE의 V 는 취약점(Vulnerabilities) 를 의미하며, CVE는 취약점 리스트이다. CWE의 W 는 보안약점(weakness) 를 의미하며, CWE는 보안약점 리스트이다. 그럼 취약점이랑 보안약점이랑 무엇이 다르냐? mitre 홈페이지에 있는 문장을 직역하면 아래와 같음 * 취약점 (vulnerabilities) v.s. 보안약점 (weakness) - 보안약점 : 소프트웨어 취약점(vulnerabilities)으로 이어질 수 있는 오류 (error) 입니다. - 취약점 : 해커가 시스템이나 .. 더보기 [CVSS] CVSS v3.1 Calculator(계산기)출처: https://info-lab.tistory.com/278 [:: IT School ::] CVSS는 CVSS(Common Vulnerability Scoring System) 약어로서 취약점의 가장 중요한 특성을 이해하고, 그것에 수치로 된 점수를 부여함으로써 심각성을 표기하는 시스템이다. 현재 CVSS는 3번째 버전(CVSS v3.1)을 사용하고 있으며, 사용자들이 Attack Vectior(공격 벡터), Attack Complexity(공격의 복잡성), Privileges Required(필요한 권한), User Interaction(사용자 참여 정도), Scope(공격 범위), Confidentiality(기밀성), Integrity(무결성), Availability(가용성)의 요소를 바탕으로 기본 점수를 매길 수 있다. 흔히 취약점에 대한 점수 및 취약점 위험도를 표현하기 위해 CVS.. 더보기 What do SAST, DAST, IAST and RASP Mean to Developers? SAST, DAST, IAST, and RASP It’s estimated that 90 percent of security incidents result from attackers exploiting known software bugs. Needless to say, squashing those bugs in the development phase of software could reduce the information security risks facing many organizations today. To do that, a number of technologies are available to help developers catch security flaws before they’re baked .. 더보기 RSA 인증서 (Certification) 와 전자서명 (Digital Sign)의 원리 암호화는 전통적으로 소중한 정보를 지키는 방법으로 이용되어 왔습니다. 현대 암호화시스템에서는 RSA알고리즘, 인증서, 인증서 체인 등 복잡다단하게 암호화 통신을 하고 있지만 이렇게 발전하게 된 것은 그리 오래되지 않습니다. 2차세계대전에서 독일군은 현대 암호화의 전신인 독일군의 에니그마 (enigma) 라는 암호시스템을 이용하여 암호화 함으로써 연합군에서 도감청 하더라도 그 내용을 확인 할 수 없도록 하였는데, 튜링이라는 수학자가 이를 해독함으로써 연합군이 승기를 잡을 수 있게 되었죠. 영화 이미테이션 게임 에는 이런 튜링의 일화가 잘 나와 있습니다. 튜링은 에니그마가 가지는 여러 취약점을 이용하여 이 암호화 문제를 풀어내는데 이 영화를 보면 왜 블록암호 모드 같은 내용이 현대 암호시스템에 추가되어 만들.. 더보기 내부 전파(Lateral Movement)와 이벤트 로그 1편 개요 Lateral Movement - 측면전달? 내부 전파? 공격자가 내부 시스템을 건너가며 피해를 확산시키는 현상. 공격자가 공격 목표(내부 정보 유출, 전사 시스템 감염 등)원하는 시스템이 나올때까지 단계별로 시스템을 지나오며 1. 타겟 스캔 (정찰) 2. 정보 유출 3. 지속성을 유지하기 위하여 백도어 및 침입 경로 생성 등의 행위를 한다. 이번 글에서는 공격자의 내부전파 모델과 행위 등을 정리해 보고자 한다. 들어가기 전에 내부 전파 모델에 대하여 생각해 보자. 1. 공격자는 취약한 침해 벡터로 해당 시스템을 장악한다. -물론 다양한 사례가 있으나 일반적으로는 외부에서 접근이 가능한 웹서버가 최초 침해 벡터로 사용된다. (진입 + 권한상승) -혹은 스피어 피싱 목적의 메일의 첨부파일을 열어 악성.. 더보기 SAML과 OAuth의 차이 1. 개요 Web Service 보안과 같은 주제를 다루다 보면 항상 부딪히게 되는 것이 바로 SAML, OAuth 등과 같은 인증 부분이라고 할 수 있다. 보통 이러한 메시지의 교환에는 크게 3가지 보안 영역이 다루어진다고 볼 수 있다. 데이터 무결성 데이터 기밀성 AAA (인증/인가/감사) 이 중 데이터 무결성이나 데이터 기밀성은 전자 서명, 데이터 암호화, SSL 등과 같은 채널 암호화 등의 기술을 통해서 구현된다. 반면 SAML이나 OAuth 등은 인증 및 인가와 관련된 프로토콜이라고 할 수 있다. 2. SAML SAML은 기본적으로 Identity Federation의 개념에서부터 시작한다. (자세한 설명은 SAML 개념 문서 참조) Identity Federation은 서로 다른 기업 혹은 도.. 더보기 Kerberos 인증 프로토콜 Kerberos 인증 프로토콜은 입장권이라는 개념을 사용하여 비 암호화 네트워크에서 신원을 증명할 때 사용되는 프로토콜입니다. 신원은 ID나 패스워드 같은 정보가 될 수 있겠습니다. 이름은 그리스신화에서 하데스가 키우는 머리가 세 개 달린 개의 이름에서 따왔다고 합니다. 이 개는 저승으로 가는 문을 지키는 문지기 역활을 하고 있다고 합니다. Kerberos Protocol은 대칭키 방식으로 작동되고, Trusted-Third-Party가 필요하다고 합니다. TTP는 AS(Authentication Server)가 따로 존재하는 것입니다. 즉 서비스를 제공하는 서버와 인증 서버, 클라이언트까지 세 개로 나누어져 있는 구조를 말합니다. Windows 2012에서는 Kerberos를 사용하기 위해서 AD DS.. 더보기 How to use the NIST SP800 series of standards for ISO 27001 implementation How to use the NIST SP800 series of standards for ISO 27001 implementation Rhand Leal | May 2, 2016 Although ISO 27001, an international standard for information security management, provides control objectives and controls that cover a wide range of security issues, they are not exhaustive. Thus, ISO 27001 clauses 6.1.3 b) and c) note that an organization can go beyond the standard’s controls t.. 더보기 NIST SP(Special Publications) 800 Series based on FISMA, FIPS 중요성 NIST는 연방 기관이 최소 요구사항과 함께 Federal Information Security Management Act of 2002(FISMA)를 구현하여 기관의 모든 운영 및 자산에 충분한 정보 보안을 제공할 수 있는 표준, 가이드라인 및 기타 간행물을 개발하여 발급합니다. 하지만 이러한 표준 및 가이드라인은 국가 보안 시스템에는 적용되지 않습니다. NIST는 FISMA에 따라 Federal Information Processing Standards(FIPS)를 개발합니다. FISMA에서는 연방 기관이 이러한 표준을 준수하도록 규정하므로 NIST가 FISMA를 따라야 합니다. 가이드 문서 및 권장사항은 NIST Special Publication (SP) 800 시리즈에 발표되어 있습니다... 더보기 이전 1 2 다음
