온라인 공간은 계속해서 빠르게 성장하고 있으며, 컴퓨터 시스템, 네트워크 또는 웹 애플리케이션 내에서 사이버 공격이 발생할 수 있는 기회가 더 많아지고 있습니다. 이러한 위험을 완화하고 대비하기 위해 침투 테스트는 공격자가 사용할 수 있는 보안 취약점을 찾는 데 필요한 단계입니다.
침투 테스트란 무엇입니까?
A 침투 테스트, 또는 "펜 테스트"는 실제 사이버 공격을 모의하기 위해 실행되는 보안 테스트입니다. ㅏ 사이버 공격 여기에는 피싱 시도나 네트워크 보안 시스템 위반이 포함될 수 있습니다. 필요한 보안 제어에 따라 조직에서 사용할 수 있는 다양한 유형의 침투 테스트가 있습니다. 테스트는 수동으로 실행하거나 특정 작업 과정 또는 침투 테스트 방법론을 통해 자동화된 도구를 사용하여 실행할 수 있습니다.
침투 테스트가 필요한 이유와 참여자는 누구입니까?
용어 "윤리적 인 해킹”와 “침투 테스트”는 때때로 같은 의미로 사용되지만 차이점이 있습니다. 윤리적 해킹은 더 광범위합니다. 사이버 보안 네트워크 보안을 향상시키기 위해 해킹 기술을 사용하는 것을 포함하는 분야입니다. 침투 테스트는 윤리적인 해커가 사용하는 방법 중 하나일 뿐입니다. 윤리적인 해커는 해를 끼치기보다는 보안 약점을 발견하고 수정하기 위해 맬웨어 분석, 위험 평가, 기타 해킹 도구 및 기술을 제공할 수도 있습니다.
IBM 데이터 침해 보고서 비용 2023년 데이터 유출의 전 세계 평균 비용은 2023만 달러로 4.45년 동안 15% 증가한 것으로 나타났습니다. 이러한 위반을 완화하는 한 가지 방법은 정확하고 명확한 침투 테스트를 수행하는 것입니다.
회사는 앱, 네트워크 및 기타 자산에 대한 모의 공격을 실행하기 위해 펜 테스터를 고용합니다. 가짜 공격을 준비함으로써 침투 테스터가 도움을 줍니다. 보안 팀 중요한 보안 취약점을 찾아내고 전반적인 보안 상태를 개선합니다. 이러한 공격은 종종 레드팀이나 공격적인 보안팀에 의해 수행됩니다. 그만큼 레드 팀 보안 위험을 평가하는 방법으로 조직 자체 시스템에 대해 실제 공격자의 전술, 기술 및 절차(TTP)를 시뮬레이션합니다.
펜 테스트 프로세스에 들어갈 때 고려해야 할 몇 가지 침투 테스트 방법이 있습니다. 조직의 선택은 대상 조직의 카테고리, 침투 테스트의 목표, 보안 테스트 범위에 따라 달라집니다. 모든 경우에 적용되는 일률적인 접근 방식은 없습니다. 침투 테스트 프로세스에 앞서 공정한 취약점 분석을 수행하려면 조직에서 보안 문제와 보안 정책을 이해해야 합니다.
5가지 주요 침투 테스트 방법론
펜 테스트 프로세스의 첫 번째 단계 중 하나는 따라야 할 방법론을 결정하는 것입니다.
아래에서는 이해 관계자와 조직이 특정 요구 사항에 가장 적합한 방법을 안내하고 필요한 모든 영역을 포괄하는지 확인하는 데 도움이 되는 가장 인기 있는 5가지 침투 테스트 프레임워크와 침투 테스트 방법론을 자세히 살펴보겠습니다.
1. 오픈소스 보안 테스트 방법론 매뉴얼
OSSTMM(오픈 소스 보안 테스트 방법론 매뉴얼)은 가장 널리 사용되는 침투 테스트 표준 중 하나입니다. 이 방법론은 보안 테스트를 위해 동료 검토를 거쳤으며 ISECOM(Institute for Security and Open Methodologies)에서 만들었습니다.
이 방법은 테스터를 위한 접근 가능하고 적응 가능한 가이드를 통해 펜 테스트에 대한 과학적인 접근 방식을 기반으로 합니다. OSSTMM에는 방법론에 운영 초점, 채널 테스트, 지표 및 신뢰 분석과 같은 주요 기능이 포함되어 있습니다.
OSSTMM은 침투 테스트 전문가를 위한 네트워크 침투 테스트 및 취약성 평가를 위한 프레임워크를 제공합니다. 이는 공급자가 민감한 데이터 및 인증 관련 문제와 같은 취약성을 찾아 해결하기 위한 프레임워크가 되도록 고안되었습니다.
2. 웹 애플리케이션 보안 프로젝트 오픈
OWASP(Open Web Application Security Project)는 웹 애플리케이션 보안을 전담하는 오픈소스 조직입니다.
비영리 조직의 목표는 모든 자료를 무료로 제공하고 웹 애플리케이션 보안을 향상하려는 모든 사람이 쉽게 액세스할 수 있도록 하는 것입니다. OWASP는 자체적으로 최고 10 (링크는 다음 외부에 있습니다. IBM.)는 사이트 간 스크립팅, 손상된 인증, 방화벽 뒤 보호 등 웹 애플리케이션에 대한 가장 큰 보안 문제와 위험을 설명하는 잘 관리된 보고서입니다. OWASP는 OWASP 테스트 가이드의 기초로 상위 10개 목록을 사용합니다.
이 가이드는 웹 애플리케이션 개발을 위한 OWASP 테스트 프레임워크, 웹 애플리케이션 테스트 방법론 및 보고의 세 부분으로 구성됩니다. 웹 애플리케이션 방법론은 웹 애플리케이션 침투 테스트, 모바일 애플리케이션 침투 테스트, API 침투 테스트 및 IoT 침투 테스트를 위한 웹 테스트 프레임워크의 일부로 또는 별도로 사용될 수 있습니다.
3. 침투테스트 실행기준
PTES(Penetration Testing Execution Standard)는 포괄적인 침투 테스트 방법입니다.
PTES는 정보 보안 전문가 팀에 의해 설계되었으며 펜 테스트의 모든 측면을 다루는 7개의 주요 섹션으로 구성됩니다. PTES의 목적은 조직이 침투 테스트에서 무엇을 기대해야 하는지를 개략적으로 설명하고 참여 전 단계부터 시작하여 프로세스 전반에 걸쳐 안내하는 기술 지침을 마련하는 것입니다.
PTES는 침투 테스트의 기준이 되고 보안 전문가와 조직을 위한 표준화된 방법론을 제공하는 것을 목표로 합니다. 이 가이드는 침투 테스트 프로세스의 각 단계에서 처음부터 끝까지 모범 사례와 같은 다양한 리소스를 제공합니다. PTES의 주요 기능 중 일부는 착취와 사후 착취입니다. 익스플로잇(Exploitation)은 다음과 같은 침투 기술을 통해 시스템에 접근하는 프로세스를 의미합니다. 사회 공학 그리고 비밀번호 크래킹. 사후 공격은 손상된 시스템에서 데이터가 추출되고 액세스가 유지되는 경우입니다.
4. 정보시스템 보안 평가 프레임워크
ISSAF(정보 시스템 보안 평가 프레임워크)는 OISSG(정보 시스템 보안 그룹)에서 지원하는 침투 테스트 프레임워크입니다.
이 방법론은 더 이상 유지되지 않으며 최신 정보에 대한 최상의 소스가 아닐 가능성이 높습니다. 그러나 주요 강점 중 하나는 개별 펜 테스트 단계를 특정 펜 테스트 도구와 연결한다는 것입니다. 이러한 유형의 형식은 개별화된 방법론을 만드는 데 좋은 기반이 될 수 있습니다.
5. 국립표준기술원
NIST(National Institute of Standards and Technology)는 연방 정부 및 외부 조직이 따라야 할 일련의 침투 테스트 표준을 제공하는 사이버 보안 프레임워크입니다. NIST는 미국 상무부 산하 기관으로 따라야 할 최소한의 기준으로 여겨져야 한다.
NIST 침투 테스트는 NIST에서 보낸 지침을 따릅니다. 이러한 지침을 준수하려면 조직은 미리 결정된 지침에 따라 침투 테스트를 수행해야 합니다.
펜 테스트 단계
범위 설정
펜 테스트가 시작되기 전에 테스트 팀과 회사에서는 테스트 범위를 설정합니다. 범위에는 테스트할 시스템, 테스트 시기, 침투 테스터가 사용할 수 있는 방법이 간략하게 설명되어 있습니다. 또한 범위는 침투 테스터가 미리 확보할 정보의 양을 결정합니다.
테스트 시작
다음 단계는 범위 지정 계획을 테스트하고 취약점과 기능을 평가하는 것입니다. 이 단계에서는 조직의 인프라를 더 잘 이해하기 위해 네트워크 및 취약성 검색을 수행할 수 있습니다. 조직의 필요에 따라 내부 테스트와 외부 테스트를 수행할 수 있습니다. 펜 테스터가 수행할 수 있는 테스트에는 블랙박스 테스트, 화이트박스 테스트, 그레이박스 테스트 등이 있습니다. 각각은 대상 시스템에 대한 다양한 수준의 정보를 제공합니다.
네트워크 개요가 확립되면 테스터는 주어진 범위 내에서 시스템과 애플리케이션 분석을 시작할 수 있습니다. 이 단계에서 침투 테스터는 잘못된 구성을 이해하기 위해 가능한 한 많은 정보를 수집합니다.
조사 결과 보고
마지막 단계는 보고와 보고입니다. 이 단계에서는 식별된 취약점을 개략적으로 설명하는 침투 테스트의 모든 결과를 포함하는 침투 테스트 보고서를 개발하는 것이 중요합니다. 보고서에는 완화 계획과 교정이 이루어지지 않을 경우의 잠재적 위험이 포함되어야 합니다.
펜 테스트와 IBM
모든 것을 테스트하려고 하면 시간, 예산, 자원을 낭비하게 됩니다. 기록 데이터가 포함된 커뮤니케이션 및 협업 플랫폼을 사용하면 고위험 네트워크, 애플리케이션, 장치 및 기타 자산을 중앙 집중화하고 관리하고 우선 순위를 지정하여 보안 테스트 프로그램을 최적화할 수 있습니다. X-Force® Red Portal을 사용하면 문제 해결에 관련된 모든 사람이 취약점이 발견된 후 즉시 테스트 결과를 확인하고 편리한 시간에 보안 테스트를 예약할 수 있습니다.
X-Force의 네트워크 침투 테스트 서비스를 살펴보세요
이 글이 도움 되었나요?
가능아니
비즈니스 혁신에 대해 자세히 알아보기
IBM 뉴스레터
새로운 트렌드에 대한 최신 사고 리더십과 통찰력을 제공하는 뉴스레터와 주제 업데이트를 받아보세요.
지금 가입
더 많은 뉴스 레터
- SEO 기반 콘텐츠 및 PR 배포. 오늘 증폭하십시오.
- PlatoData.Network 수직 생성 Ai. 자신에게 권한을 부여하십시오. 여기에서 액세스하십시오.
- PlatoAiStream. 웹3 인텔리전스. 지식 증폭. 여기에서 액세스하십시오.
- 플라톤ESG. 탄소, 클린테크, 에너지, 환경, 태양광, 폐기물 관리. 여기에서 액세스하십시오.
- PlatoHealth. 생명 공학 및 임상 시험 인텔리전스. 여기에서 액세스하십시오.
- 출처: https://www.ibm.com/blog/pen-testing-methodology/
- :있다
- :이다
- :아니
- :어디
- $UP
- 1
- 10
- 15%
- 16
- 19
- 2023
- 2024
- 23
- 29
- 30
- 300
- 35%
- 39
- 40
- 400
- 7
- 80
- 9
- 95%
- a
- 소개
- ACCESS
- 얻기 쉬운
- 정확한
- 동작
- 추가
- 발전하다
- 광고
- 후
- 반대
- 정부 기관
- 앞으로
- 목표
- 정렬
- All
- 이미
- 또한
- amp
- an
- 분석
- 분석
- 분석하는
- 및
- 어떤
- 누군가
- API를
- 어플리케이션
- 애플리케이션 개발
- 응용 프로그램 보안
- 어플리케이션
- 접근
- 앱
- 있군요
- 지역
- 기사
- AS
- 측면
- 평가하다
- 평가
- 자산
- At
- 공격
- 시도
- 인증
- 저자
- 자동화
- 가능
- 평균
- 뒤로
- 은행
- 기반으로
- 기준
- 기초
- BE
- 뒤에
- BEST
- 모범 사례
- 더 나은
- 가장 큰
- 블랙 박스
- 블로그
- 블로그
- 파란색
- 바닥
- 브랜드
- 위반
- 위반
- 돋보이게
- 부서진
- 예산
- 빌드
- 사업
- 비즈니스 우먼
- 비자 면제 프로그램에 해당하는 국가의 시민권을 가지고 있지만
- 단추
- by
- CAN
- 생산 능력
- 자본
- 자본 시장
- 탄소
- 카드
- 카드
- 면밀히
- 적재
- CAT
- 범주
- 원인
- 중앙 집중화
- 이전 단계로 돌아가기
- 변경
- 채널
- 검사
- Checkout
- 선택
- 서클
- CIS
- 수업
- 협동
- 동료
- 색
- 오는
- 상업
- 의사 소통
- 기업
- 회사
- 비교
- 경쟁력
- 복잡성
- compliance
- 준수
- 포괄적 인
- 손상된
- 컴퓨터
- 우려 사항
- 고려
- 고려
- 소비자
- 컨테이너
- 계속
- 계속
- 지속적으로
- 계약
- 제어
- 컨트롤
- 편의
- 비용
- 계수기
- 코스
- 피복
- 커버
- 매우
- 만든
- 만들기
- 임계
- CSS
- 관습
- 고객
- 고객 기대
- 고객 경험
- 고객 충성도
- 고객
- CX
- 사이버 공격
- 사이버 공격
- 사이버 보안
- 데이터
- 데이터 위반
- 데이터 보안
- 날짜
- 브리핑
- 결정
- 감소
- 전용
- 태만
- 정의
- 배달하다
- 배달
- 수요
- 데모 곡
- 학과
- 부서
- 따라
- 의존
- 설명
- 설계
- 결정하다
- 개발
- 개발
- 개발
- 디바이스
- 차이
- 다른
- 발견
- 잠수
- 분할 된
- do
- 하지
- 한
- 마다
- 용이하게
- Edge
- 신흥
- 수
- 노력하다
- 확인
- 엔터 버튼
- 특히
- 확립 된
- 에테르 (ETH)
- 윤리적인
- 조차
- 이벤트
- EVER
- 사람
- 모두
- 탁월함 <br>(Excellence)
- 실행
- 출구
- 기대
- 기대
- 경험
- 설명
- 착취
- 탐색
- 외부
- 공장
- 공정한
- 모조품
- 그릇된
- 특징
- 연방
- 연방 정부
- 들
- 입양 부모로서의 귀하의 적합성을 결정하기 위해 미국 이민국에
- 최후의
- 재원
- 금융
- 금융 서비스
- Find
- 발견
- 결과
- 마무리
- 방화벽
- 먼저,
- 첫 번째 단계
- 다섯
- 수정
- 초점
- 따라
- 수행원
- 글꼴
- 럭셔리
- 체재
- 앞으로
- 발견
- Foundation
- 뼈대
- 프레임 워크
- 무료
- 에
- 기능
- 기능
- 미래
- 획득
- 모임
- 발전기
- 얻을
- 점점
- 주어진
- 글로벌
- 골
- 좋은
- 상품
- 통치
- Government
- 그리드
- 그룹
- 성장
- 지도
- 안내
- 가이드 라인
- 안내서
- 해커
- 컴퓨터 조작을 즐기기
- 발생
- 해가
- 있다
- 표제
- 신장
- 도움
- 도움이
- 높은
- 위험
- 고용
- 역사적인
- 전체적인
- 방법
- How To
- 그러나
- HTTPS
- IBM
- ICO
- ICON
- 확인
- 식별
- if
- 영상
- 바로
- 영향
- 중대한
- 개선
- 개량
- in
- 가게 안에
- 포함
- 포함
- 포함
- 증가
- 증분
- 색인
- 개인
- 산업
- 인플레이션
- 정보
- 정보 보안
- 정보 시스템
- 인프라
- 통찰력
- 학회
- 상호 작용
- 관심
- 금리
- 내부의
- 으로
- 참여
- IOT
- 문제
- IT
- 그
- 일월
- JPG
- 다만
- 딱 하나만
- 키
- 경치
- 넓은
- 최근
- 시작
- Leadership
- 렌즈
- 적게
- 아마도
- 라인
- LINK
- 모래밭
- 명부
- 지방의
- 장소
- 이상
- 충성도
- 만든
- 본관
- 유지하다
- 주요한
- 확인
- 악성 코드
- 관리
- 구축
- 조작
- 수동으로
- .
- 시장
- 시장
- 시장
- 자료
- 사항
- 최대 폭
- XNUMX월..
- 의미
- 방법
- 방법론
- 방법론
- 방법
- 통계
- 수도
- 백만
- 분
- 최저한의
- 분
- 완화
- 완화
- 모바일
- 배우기
- 가장
- 가장 인기 많은
- 많은
- 절대로 필요한 것
- 국가의
- 카테고리
- 필요한
- 필요
- 요구
- 네트워크
- 네트워크 보안
- 네트워크
- 신제품
- 새해
- 뉴스 레터
- 다음 것
- nist
- 아니
- 비영리 단체
- 아무것도
- 지금
- 발생
- of
- 오프
- 공격
- Office
- 자주
- on
- ONE
- 온라인
- 열 수
- 오픈 소스
- 열기
- 운영
- 행정부
- 기회
- 최적화
- 최적화
- 최적화
- or
- 조직
- 조직
- 기타
- 우리의
- 결과
- 개요
- 요점
- 개요
- 외부
- 위에
- 전체
- 개요
- 자신의
- 소유자
- 페이스
- 페이지
- 고통
- 고통 포인트
- 부품
- 부품
- 비밀번호
- 동료 심사를 거친
- 침투
- 수행
- 수행
- 실행할 수 있는
- 제약
- 피싱
- 전화
- PHP
- 계획
- 플랫폼
- 플라톤
- 플라톤 데이터 인텔리전스
- 플라토데이터
- 플러그인
- 전철기
- 정책
- 인기 문서
- 포털
- 위치
- 가능한
- 게시하다
- 가능성
- 사례
- Prepare
- 압박
- 일차
- 이전에
- 우선 순위
- 절차
- 방법
- 프로세스
- 획득
- 프로덕트
- 방열판 열 관리용
- 제품 품질
- 제품
- 전문가
- 프로그램
- 프로젝트
- 제공
- 제공
- 제공
- 목적
- 추구
- 품질
- 문의
- 범위
- 빠르게
- 거주비용
- 차라리
- 읽기
- 현실
- 실시간
- 빨간색
- 축소
- 의미
- 남아
- 개선
- 신고
- 통계 보고서
- 필수
- 필요
- 거주
- 해결
- 제품 자료
- 반응
- 유지
- 위험
- 위험 평가
- 위험
- 로봇
- 방
- 달리기
- s
- 판매
- 저금
- 스캐닝
- 예정
- 과학적인
- 범위
- 범위 지정
- 화면
- 스크립트
- 섹션
- 부문
- 보안
- 보안 테스트
- 민감한
- 전송
- 검색 엔진 최적화
- 섬기는 사람
- 서비스
- 서비스
- 세트
- 일곱
- 몇몇의
- 짧은
- 영상을
- 표시
- 쇼
- 측면
- 신호
- 대지
- 기술
- 작은
- 스마트 한
- So
- 해결
- 일부
- 때로는
- 출처
- 스페이스 버튼
- 구체적인
- 지출
- 후원
- 사각형
- 단계
- 각색
- 이해 관계자
- 표준
- 표준화 된
- 기준
- 스타트
- 시작 중
- 숙박
- 단계
- 단계
- 저장
- 전략
- 강점
- 강한
- 교육과정
- 가입
- 성공한
- 이러한
- 지원
- 놀라운
- 주변
- SVG
- 체계
- 시스템은
- 전술
- 목표
- 팀
- 팀
- 테크니컬
- 기법
- 기술
- Technology
- 경향
- 조건
- 제삼기
- test
- 테스트
- 테스터
- 지원
- 테스트
- 보다
- 감사
- 그
- XNUMXD덴탈의
- 정보
- 그들의
- 그들
- 테마
- 그곳에.
- Bowman의
- 그들
- 생각
- 이
- 그
- 생각
- 사고 리더십
- 세
- 을 통하여
- 도처에
- 시간
- Title
- 에
- 오늘의
- 함께
- 너무
- 검색을
- 상단
- 최고 10
- 화제
- 변환
- 트렌드
- 믿어
- 시도
- 난류
- 트위터
- 유형
- 유형
- 우리
- 폭로하다
- 발견
- 아래에
- 이해
- 이해
- 뜻하지 않은
- 최신의
- 업데이트
- URL
- USD
- 사용
- 익숙한
- 사용
- 사용
- 종류
- 변화
- 관측
- 눈에 보이는
- 취약점
- 취약점
- 취약성 평가
- 취약성 스캔
- W
- 원
- 였다
- 낭비
- 방법..
- we
- 약점
- 날씨
- 웹
- 웹 응용 프로그램
- 웹 애플리케이션
- 뭐
- 언제
- 여부
- 어느
- 동안
- 누구
- why
- 의지
- 과
- 이내
- 워드프레스(WordPress)
- 근로자
- 일하는
- 가치있는
- 겠지
- 작가
- 쓴
- XML
- year
- 년
- 당신
- 젊은
- 너의
- 제퍼 넷