비디오: 인젝터 새 리빌트장비!! 보안상 말을 아끼겠습니다. 2024
과거에는 윤리적 해킹에 대한 많은 보안 평가 기법이 수작업 프로세스를 수반했습니다. 이제는 특정 취약성 검사 프로그램이 테스트에서보고에 이르기까지 다양한 작업을 자동화 할 수 있습니다 (취약점이 수정되었는지 여부를 결정하는 프로세스). 일부 취약성 스캐너는 시정 조치를 취하는 데 도움을 줄 수 있습니다. 이러한 도구를 사용하면 테스트 수행에 집중할 수 있으며 관련된 특정 단계는 줄여줍니다.
논리적으로 생각하십시오 - 프로그래머, 방사선 전문의 또는 가정 검사원처럼 모든 시스템 구성 요소를 분석하고 상호 작용하여 작동 원리를 확인하십시오. 종종 많은 작은 조각들로 정보를 모으고 퍼즐의 조각들을 모은다. 지점 A에서 몇 가지 목표를 염두에두고 시작하고 (여러 단계를 반복하면서) 테스트를 실행하고 B 지점의 보안 취약점을 발견 할 때까지 가까이 이동하십시오.
가정 사용자, 무선 네트워크 및 모바일 장치뿐만 아니라 파트너, 공급 업체 및 고객 네트워크를 포함하여 가능한 모든 진입 점을 테스트합니다. 건물 내부 및 외부 모두에서 컴퓨터 시스템을 보호하는 모든 사람, 컴퓨터 시스템 또는 물리적 구성 요소는 공격에 대한 공정한 게임이며 결과적으로 결국 테스트해야합니다.
이전 테스트에서 작동 한 내용과 그 이유.
-
당신이 한 일을 증명하는 데 도움이됩니다.
-
문제 또는 의문 사항이 발생할 경우 방화벽 및 침입 방지 시스템 (IPS) 및 기타 로그 파일과 테스트를 연관 시키십시오.
-
조사 결과를 문서화하십시오.
-
일반적인 메모 외에도 가능할 때마다 결과 (Snagit, Camtasia 또는 유사한 도구 사용)의 화면 캡처를하는 것이 매우 유용합니다. 이러한 샷은 나중에 발생 된 것을 증명해야 할 필요가있을 때 나중에 유용하게 사용되며 최종 보고서를 생성 할 때 유용합니다.또한 사용하는 도구에 따라 최종 보고서를 작성할 때 취약점이나 악용에 대한 유일한 증거가 될 수 있습니다.
주요 작업은 취약점을 찾아 악의적 인 의도를 가진 사람이 수행 한 정보 수집 및 시스템 손상을 시뮬레이션하는 것입니다. 이 작업은 한 대의 컴퓨터에서 부분적으로 공격하거나 전체 네트워크에 대해 포괄적 인 공격을 구성 할 수 있습니다.
일반적으로 악의적 인 사용자와 외부 공격자가 악용 할 수있는 취약점을 찾습니다. 외부 시스템과 내부 시스템 (컴퓨터, 네트워크, 사람 및 물리적 인프라가 포함 된 프로세스 및 절차 포함)을 평가해야합니다. 취약점을 찾으십시오. 모든 시스템이 상호 연결되는 방식과 신뢰할 수없는 요소로부터 개인 시스템 및 정보가 어떻게 보호되는지 (또는 보호되지 않는지) 확인하십시오.
이 단계에는 사회 공학 및 실제 보안을 평가하는 데 사용하는 방법에 대한 특정 정보가 포함되어 있지 않지만 기본적으로 기술은 동일합니다.
고객에 대한 보안 평가를 수행하는 경우
맹인 평가 경로로 이동할 수 있습니다. 이는 기본적으로 회사 이름만으로 시작하고 다른 정보는 없음을 의미합니다. 이 맹인 평가 방법을 사용하면 처음부터 다시 시작할 수 있으며 악의적 인 공격자가 공개적으로 액세스 할 수있는 정보와 시스템을보다 잘 이해할 수 있습니다. 맹목적으로 (즉, 은밀하게) 평가하든 또는 명백하게 평가하든, 맹목적인 테스트 방법은 시간이 오래 걸릴 수 있으며 보안 취약점을 놓칠 가능성이 더 커질 수 있음을 명심하십시오. 그것은 내가 선호하는 테스트 방법이 아니지만 일부 사람들은 그것을 주장 할 수도 있습니다.
보안 전문가는 자신이하는 모든 것이 합법적이기 때문에 트랙을 덮거나 IPS 또는 관련 보안 제어를 피하는 것에 대해 걱정할 필요가 없을 수도 있습니다. 하지만 시스템을 은밀하게 테스트하고 싶을 수도 있습니다. 이 책에서는 해커가 자신의 행동을 숨기고 은폐 기법에 대한 몇 가지 대책을 설명하는 데 사용하는 기술에 대해 설명합니다.
