칼리리눅스와 백트랙을 이용한 모의해킹 (3)

책을 읽으면서 정리한 내용들.

1.4 점검 체크리스트

- 보통 정해진 보안 설정에 의해 진단을 하는 경우 스크립트 체크리스트라고 함.

- 모의해킹 에선 스크립트 체크리스트에 따르지 않음.

- 이 부분에 대해서 취약점에 대한 근거를 항목별로 상세하게 정리해 고객에게 보여줄 수 있어야함.

- 취약점 점검 후 위험성이 제거가 됬는지 중요.

- PM 입장에서 "우리는 이런서비스에서 이렇게 정의돼 있는 항목 체크리스트를 모두 적용해 봤더니, 

A라는 취약점은 몇 개가 발견됐고, B라는 취약점은 지금 서비스에서 포함되지 않는 것이고, C라는 취약점은 발견되지 않았습니다. 이것은 전체 통계 자료 입니다. 표로 예쁘게 작성해봤습니다."라고 제시하자.

1.5 프로젝트 입찰 단계

- PM, Project Manager의 일

- 모의 해킹은 보안 컨설팅 업무중, 기술적인 파트의 한 부분.

- 칼리 리눅스의 진단 프로세스 단계별 구성은 실제 진단이 이뤄지기 시작하는 단계 부터 적용.

- 절차 

1) 업체 선정 : 고객 제안 요청 (RFP)  > 제안서 작성/ 제출 > 제안서 발표

2) 진행 업무 협의 (범위, M/M 일정 등) > > 태스크별 업무 수행 > 결과 발표 / 제출

① 입찰 공고 단계 : 고객은  업체를 선택하기 위해  기술환경이 포함된 RFP를 공지.  M/M(Man/Month)이 얼마나 투입될 것인지, 태스크 업무가 필요한지 판단, 의문 사항은 고객에게 문의

*RFP - 제안 요청서 : Request for Proposal의 약자. 발주 기업이 구축 업체를 선정하기 위한 전단계, 시스템에 대한 요구 사항을 체계적으로 정리한 문서, 새로운 정보 기술을 접목하고 어떤 기술과 업체를 선택할 것인가에 대해 연속된 절차를 통해 결정, RFP 를 체계적으로 작성하는가에 따라 제안서의 품질, 프로젝트의 성공여부에 큰 영향을 미침

② 제안 단계 > ③ 수주 단계 : 제안서에서 요구하는 결과물이 다르기 떄문에 꼼꼼히 살피는게 중요.  PM이 발표하게 됨. 발표가 끝나면 업체 선정이 업체 심사원(평가원)에 의해 이루어짐.

*제안서 내용 : 업체 소개, 업체 특징(장단점), 수행 경험, 프로젝트 단계별 수행 내역, 투입 인력 프로파일 등

 

④ 수행 계획 : 선정된 업체는 제안서에 기재한 내용대로 프로젝트 진행 > 일정 업무 협의. 이때 프로젝트 매니저, 영업, 고객 간의 감정일 수 도 있는 언쟁이 오갈 수도 있다.

⑤ 프로젝트 진행 : 태스크별로 구분 WBS를 작성, 태스크가 수행되는 동안에는 일일 보고, 주간 보고 작성, 종료 시점에 결과 보고서 작성 모든 태스크 완료 시점에 위혐 평가(영향도 평가)가 포함된 종합 보고서 작성.

*WBS - Work Breakdown Structure : 프로젝트 매니지먼트로 계획을 세울 때 이용되는 수법. 프로젝트 전체를 작은 작업 단위로 분할 구성 = '작업 분할 구성' , ' 작업 분해도'  라고 불림. 

A. 프로젝트 성과물을 한 작은 단위로 분해

B. 전체를 큰 단위로 분할 그 다음 세부 분할 > 계층적 구성 유도

C. B 단계가 끝나면 필요한 작업을 최하층에 배치 = '워크 패키지' 라고함.

1.6 범위와 대상 선정 단계

- (강조!) 고객과의 업무 협의 중요

- 일정 / 태스크별 진단 범위/일정별 투입 인원/고객에게 보고 날짜(일일 보고, 중간 보고, 결과 보고, 교육 등) 포함.

- 태스크별 범위 확인

- 태스크별 범위에 따른 대상 선정

- 투입 인원을 M/M에 맞게 태스크별로 나눠 업무 분담

- 진단 범위는 태스크별로 고객과 모두 협의 해야 투입마다 M/M(일정과 인력)이 정해짐.

- 범위에 맞는 최고 인력을 투입해야 하는 의무가 있다.

- RFP 분석했을 때와 너무 다른 경우가 많기 때문에 업무를 협의하는데 있어서 서비스를 잘 파악 해야함.

- 외부 모의 해킹에서 웹 접근 시 사이트 맵을 보고 어떤 취약점들이 있을까 파악되면 좋다.

1.7 환경 정보 수집 단계

A) 네트워크 정보 수집

B) 시스템 정보 수집

C) 점검 서비스 정보 수집

D) 전반적인 취약점 정보 수집 (자동 진단 포함)

- 정보 수집 문서를 업체에게 참고 자료로 줄 수 있다. 없다면 업무 인원들은 각 대상에 대해 모든 정보를 수집, 정보를 제공 받더라도 수집

- '환경 수집'은 네트워크, 서버, 웹 서비스 정보 등 접근 할 수 있는 모든 경우에 대한 정보.

- Information Gathering, 취약점 평가 Vulnerability Assessment 등이 이 단계에 포함.

- 포트 스캔 : Nmap, 서비스 취약점 진단 스캔 도구 : Nikto, Wikto

*Nmap의 NSE( Nmap Scripting Engine)기능 좋은 기능.

-개발자들이 100% 모니터링 하지 못하는 부분을 스캔을 통해 파악할 수 있다.

*심각한 취약점으로 야기 될 수 있다.

*접근할 수 있는 모든 포트를 확인 하는 것이 좋다.

- 기술적으로 사용될 수 있는 도구는 많기 떄문에 사용자가 편한것 선택.

- 구글 검색 이용 가능.

*GoogleDork2 참고.(구글독) > 자주사용 되는 옵션 참고

- 스캔시 불필요한 데이터가 서버에 입력될 수, 네트워크 장애가 발생할 수 있으므로 주의.

1.8 모의 해킹 심화와 보고서 작성 단계

- '환경 정보 수집' 단계에서 큰 취약점이 발견될 수도, 오탐이 나올 수 도 있다.

1) 모의 침투 심화 공격 : 모의 해킹 시나리오 작성, 모의 해킹 심화 공격 수행

2) 결과 분석과 보고서 : 서비스 취약점별 결과 분석, 결과별 대응 방안 수립.

3) 보고서 발표

- 이제 결과로 오탐 여부를 판독하거나 수많은 정보 사이에서 취약점을 찾아내야함 

*실질적인 진단이 이루어짐.

- 서비스의 페이지마다 접근을 하면서 기능을 파악하고, 어떤 취약점들이 도출될지, 어떤 방법으로 접근해야할 지, 목표를 무엇으로 해야할지 생각.

- 시나리오 기반 취약점 점검을 하면 실패 여부를 알 수 있고 2차적 3차적으로 뚤리면 새로운 시나리오도 추가/수정 가능.

- 평소 최신 취약점들을 시도 할 수도 있다.

- 프로세스별 심화 공격은 개인 역량.

*테크닉, 경험, 창의력 등이 함께 올때 최상의 공격 기법 도출!

- 결과를 취합, 분석. > 이 취약점이 서비스에 어떤 영향을 줄지 '영향도평가'

- 이후 보고서 작성 > 최고 보안 책임자에게 보고.