kjh00n의 기록저장소

[체크 리스트]● 시스템의 성능을 평가하거나 동작을 점검할 때 여러가지 기준에 대한 질문을 나열한 검사용 표 {정보보안 체크 리스트}목적: 보안 컨설팅, 모의해킹 등의 정보자산을 보호하기 위한 점검 수행 시 취약점 점검 및 보안 상태를 확인활용: 점검 항목을 나열하고 차후 테스트의 기준으로 활용(보안 컨설팅 체크리스트)대상: 전사적인 보안 상태를 확인할 수 있도록 점검 항목 구성 필요고려 항목:현재 보안 수준 확인 (사전 체크리스트)법률정책인적 관리설비 (물리적)기술적 보안(모의해킹 체크리스트)목표: 기술적 보안확인 항목:사전 정보 수집을 바탕으로 작성이미 알려진 리스트 또는 권고 가이드 바탕으로 작성(고려 항목)점검 대상:시스템서비스네트워크프로그램 등의 자원의 취약점 확인 점검 항목 필요체크리스트 항목..

[정보 수집]● 해킹 및 모의해킹 과정에서 가장 중요한 단계 → 차후 공격 흐름을 결정할 요소가 됨● 불필요한 정보가 많이 노출되면 치명적인 보안 위협이 될 수 있음[정보 수집 분류]● 사회 공학 (Social Engineering)● 수동적 정보 수집 (Footprinting)● 능동적 정보 수집 (Scanning)● 취약점 정보 수집 (Vulnerability Scanning)[사회 공학 (Social Engineering)]● 비 기술적인 방법으로 정보를 획득하는 모든 행위 = 사기● 신뢰할 수 있는 사람으로 가장하여 모든 사람들로 하여금 자신의 목적을 위해 행동하도록 만드는 기술[인간 기반 사회 공학 기법]● 직접적 접근● 간접적 접근[직접적 접근 방법]1. 권력을 이용하기: 조직에서 높은 위치에..

[보안]● 가치있는 유/무형의 자산을 위험으로부터 보호하는 행위● 자산을 보호하기 위한 기술적/관리적 방법● 자산(Assets)조직이 보호해야 하는 유/무형의 대상유형 자산 = 하드웨어, 소프트웨어, 기반 시설 등무형 자산 = 정보, 관련 인력, 기업 이미지 등● 위협(Risk)자산에 손실을 줄 수 있는 사건의 잠재적 원인 또는 행위자● 위험(Threats)외부의 위협이 내부의 취약점을 이용하여 보유한 각종 자산에 피해를 줄 수 있는 잠재적인 가능성● 취약점(Vulnerability)위협 발생의 잠재적 조건으로 자산에 내제된 보안에 취약한 속성[보안의 3대 요소] 보안의 3원칙: CIA Triad (Confidentiality, Integrity, Availability)정보 보안을 지키기 위한 3대 요..