보안 테스트

이 글은 검증을 위해 추가 인용문이 필요합니다. 신뢰할 수 있는 출처에 인용문을 추가하여 이 기사를 개선하는 데 도움을 주십시오. 조달되지 않은 자재는 제거될 수 있습니다.출처 : '보안 테스트'– 뉴스 · 신문 · 서적 · 학자 · JSTOR (2019년 8월) (이 템플릿 메시지 삭제 방법 및 삭제 시기 확인)

시리즈의 일부
정보 보안
관련 보안 카테고리
컴퓨터 보안 자동차 보안 사이버 범죄 사이버 성 매매 컴퓨터 사기 사이버겟돈 사이버 테러 사이버 전쟁 전자전 정보전 인터넷 보안 모바일 보안 네트워크 보안 복사 방지 디지털 권리 관리
위협
애드웨어 고도의 영속적 위협 임의 코드 실행 백도어 하드웨어 백도어 코드 주입 크라임웨어 사이트 간 스크립팅 크립토재킹 멀웨어 봇넷 데이터 침해 드라이브 바이 다운로드 브라우저 도우미 개체 컴퓨터 범죄 바이러스 데이터 스크랩 서비스 거부 도청 이메일 사기 이메일 스푸핑 악용 키로거 논리 폭탄 시한폭탄 포크 폭탄 집 폭탄 부정 다이얼러 말웨어 페이로드 피싱 다형 엔진 권한 상승 랜섬웨어 루트킷 부트킷 비겁한 소프트웨어 셸코드 스팸 처리 사회공학(보안) 스크린 스크랩 스파이웨어 소프트웨어의 버그 트로이 목마 하드웨어 트로이 목마 리모트 액세스 트로이 목마 취약성 웹 셸 와이퍼 웜 SQL 주입 악성 보안 소프트웨어 좀비
방어.
응용 프로그램 보안 안전한 코딩 디폴트 보안 설계상 안전 오용 사례 컴퓨터 액세스 제어 인증 멀티팩터 인증 허가 컴퓨터 보안 소프트웨어 안티바이러스 소프트웨어 보안에 중점을 둔 운영 체제 데이터 중심의 보안 코드 난독화 데이터 마스킹 암호화 방화벽 침입 탐지 시스템 호스트 기반 침입 탐지 시스템(HIDS) 이상 검출 보안정보 및 이벤트 관리(SIEM) 모바일 보안 게이트웨이 런타임 응용 프로그램 자체 보호
v t

보안 테스트는 의도한 ^[1]대로 데이터를 보호하고 기능을 유지하는 정보 시스템의 보안 메커니즘의 결함을 발견하기 위한 프로세스입니다.보안 테스트의 논리적인 제한 때문에 보안 테스트프로세스에 합격했다고 해서 결함이 없거나 시스템이 보안 요건을 충분히 충족하고 있는 것은 아닙니다.

일반적인 보안 요건에는 기밀성, 무결성, 인증, 가용성, 허가 및 거부 ^[2]금지 등의 특정 요소가 포함될 수 있습니다.실제 테스트된 보안 요건은 시스템에 의해 구현된 보안 요건에 따라 달라집니다.용어로서의 보안 테스트는 다양한 의미를 가지며 다양한 방법으로 수행할 수 있습니다.이와 같이 보안 분류법은 작업의 기본 수준을 제공함으로써 이러한 다양한 접근 방식과 의미를 이해하는 데 도움이 됩니다.

기밀성

• 의도된 수신자 이외의 당사자에게 정보가 공개되지 않도록 보호하는 보안 조치가 보안을 보장하는 유일한 방법은 결코 아닙니다.

무결성

정보의 무결성은 권한이 없는 당사자에 의해 정보가 수정되지 않도록 보호하는 것을 말합니다.

• 수신자가 시스템에서 제공하는 정보가 올바른지 판단할 수 있도록 하기 위한 조치입니다.
• 무결성 스킴은 많은 경우 기밀성 스킴과 동일한 기반 테크놀로지 중 일부를 사용하지만 일반적으로 모든 통신을 인코딩하는 것이 아니라 알고리즘 체크의 기초를 형성하기 위해 통신에 정보를 추가하는 것을 포함합니다.
• 하나의 애플리케이션에서 다른 애플리케이션으로 올바른 정보가 전송되었는지 확인합니다.

인증

여기에는 개인의 신원 확인, 아티팩트 출처 추적, 제품의 포장 및 라벨 표시 내용 확인, 컴퓨터 프로그램 신뢰 여부 확인 등이 포함됩니다.

허가

• 요청자가 서비스를 받거나 작업을 수행할 수 있는지 확인하는 프로세스입니다.
• 액세스 컨트롤은 인가의 한 예입니다.

유용성

• 정보 통신 서비스의 보증은, 예정대로 사용할 수 있습니다.
• 허가된 사람이 필요할 때 정보를 이용할 수 있도록 유지해야 합니다.

거부 불능

• 디지털 보안에 관해, 비거부란 메시지를 송수신했다고 주장하는 당사자가 전송된 메시지를 송수신했음을 보증하는 것을 의미합니다.거부 불능은 메시지 발송인이 나중에 메시지 발송을 거부할 수 없으며 수신인이 메시지 수신을 거부할 수 없음을 보증하는 방법입니다.
• sender-id는 보통 메시지소스를 인식하는 메시지와 함께 전송되는 헤더입니다.

분류법

보안 테스트 제공에 사용되는 일반적인 용어:

• 검출 - 이 단계의 목적은 범위 내의 시스템과 사용 중인 서비스를 식별하는 것입니다.취약성의 검출을 목적으로 한 것은 아니지만, 버전 검출은 권장되지 않는 소프트웨어/펌웨어 버전을 강조 표시하여 잠재적인 취약성을 나타낼 수 있습니다.
• 취약성 검사 - 검색 단계 후 자동화된 도구를 사용하여 알려진 취약성과 조건을 일치시켜 알려진 보안 문제를 찾습니다.보고된 위험 수준은 테스트 벤더의 수동 검증이나 해석 없이 도구에 의해 자동으로 설정됩니다.이를 보완하기 위해 제공된 자격 증명을 사용하여 서비스(로컬 Windows 계정 등)를 인증함으로써 일반적인 false positive를 제거하는 자격 증명 기반 검색을 사용할 수 있습니다.
• 취약성 평가 - 검색 및 취약성 검사를 사용하여 보안 취약성을 식별하고 테스트 대상 환경의 컨텍스트에 결과를 배치합니다.예를 들어, 보고서에서 일반적인 잘못된 긍정을 삭제하고 비즈니스 이해와 맥락을 개선하기 위해 각 보고서 결과에 적용해야 할 위험 수준을 결정하는 것이 있습니다.
• 보안 평가 - 노출을 확인하기 위한 수동 검증을 추가하여 취약성 평가를 기반으로 구축됩니다. 단, 추가 액세스를 위한 취약성 악용은 포함되지 않습니다.검증은 시스템 설정을 확인하고 로그, 시스템 응답, 오류 메시지, 코드 등을 검사하기 위해 시스템에 대한 권한 있는 액세스 형식일 수 있습니다.보안 평가는 테스트 대상 시스템에 대한 광범위한 적용 범위를 확보하려고 하지만 특정 취약성으로 인해 발생할 수 있는 노출 정도는 파악하지 못합니다.
• 침투 테스트 - 침투 테스트는 악의적인 당사자의 공격을 시뮬레이션합니다.이전 단계를 기반으로 구축되며 발견된 취약성을 악용하여 추가 액세스 권한을 얻습니다.이 방법을 사용하면 공격자가 기밀 정보에 액세스하여 데이터 무결성 또는 서비스 가용성에 영향을 미치는 능력 및 각각의 영향을 파악할 수 있습니다.각 테스트는 테스트자가 문제 해결 능력, 다양한 도구의 출력 및 네트워킹 및 시스템에 대한 자체 지식을 사용하여 자동화된 도구로는 식별되지 않는 취약성을 찾을 수 있는 방식으로 일관되고 완전한 방법론을 사용하여 접근합니다.이 접근방식은 광범위한 범위를 조사하는 보안 평가 접근방식과 비교하여 공격의 깊이를 조사합니다.
• 보안 감사 - 감사/리스크 기능에 의해 특정 제어 또는 컴플라이언스 문제를 조사합니다.범위가 좁은 것이 특징이며, 이러한 유형의 참여는 논의된 이전의 접근법(취약성 평가, 보안 평가, 침투 테스트) 중 하나를 사용할 수 있다.
• 보안 확인 - 업계 또는 사내 보안 표준이 시스템 컴포넌트 또는 제품에 적용되었는지 확인합니다.이 작업은 일반적으로 갭 분석을 통해 완료되며 빌드/코드 리뷰 또는 설계 문서 및 아키텍처 다이어그램을 검토함으로써 수행됩니다.이 액티비티에서는, 이전의 어프로치(취약성 평가, 시큐러티 평가, 침투 테스트, 시큐러티 감사)는 일절 사용하지 않습니다.

도구들

• CSA - 컨테이너 및 인프라스트럭처 보안 분석
• DAST - 다이내믹응용 프로그램보안 테스트
• DLP - 데이터 손실 방지
• IAT - 인터랙티브 애플리케이션 보안 테스트
• IDS/IPS - 침입 탐지 및/또는 침입 방지
• OSS - 오픈소스 소프트웨어 스캔
• RASP - 런타임 애플리케이션 셀프 프로텍션
• SAT - 스태틱응용 프로그램 보안 테스트
• SCA - 소프트웨어 구성 분석
• WAF - 웹 응용 프로그램 방화벽

「 」를 참조해 주세요.

• 국가 정보 보증 용어집

레퍼런스