제품 취약점 분석 컨설팅 기법

제로코딩

·

2022. 7. 7. 10:07

반응형

제품 취약점 분석 컨설팅

 

제품 취약점 컨설팅

 

 

취약한 제품, 애플리케이션 및 플러그인 예시를 확인해봅시다.

 

Apache 소프트웨어 재단에서는 Log4j(https://logging.apache.org/log4j)소프트웨어의 취약점을 해결하는 보안 업데이트를 발표했습니다.
취약점이 발견된 Log4j는 프로그램 작성 중 로그를 남기기 위해 사용되는 자바 기반의 오픈소스 유틸리티 프로그램이며, 공격자가 해당 취약점을 이용해 악성코드 감염 등의 피해를 발생시킬 수 있습니다.

 

해당 피해를 방지하기 위해 Log4j 2.15 이상 최신 버전 업그레이드하여야 합니다.

 

 

 

⚡️ 취약점 분석 공격 사례

 

 

7가지 Layer의 공격받은 사례

 

1.Physical - JTAG, UART, SPI, I2C, MMC 회로 연결

2.External Network - fake기지국, 무선 신호 Relay

3.Perimeter - 변조 FW Update, Bluetooth exploit

4.Internal Network - CAN spoofing(CAN이 spoofing에 굉장히 취약한 Network)

5.Host

6.Application

7.Data

 

 

총 7가지의 layer에서 Identify, Protect, Detect, Respond(대응), Recover(복구)

총 5개의 활동을 최대한 되는 것을 찾아내어 도출해냅니다.

 

 

 

 

📌 QA, SA 와의 차이점

 

 

QA(Quality Assurance): 제품 검수, 제품 테스트하는 자

QA가 하는 테스트와 SA(Security Assurance)과의 차이점

 

QA (Whitelist Test)

  • test 하기전에 어떤 test를 해야하는지 미리 확인
  • 제품의 명세를 쭉 나열하고 그 명세대로 제품이 잘 되는지 동작 확인
  • 생각보다 어렵지 않다. 처음부터 알고 시작함
  • 빙산에 떠있는 것만 체크

SA (Blacklist Test)

  • 1번 행동 동작 시 커맨드 입력이 1이 아닌 경우를 찾아야 함 (2,3,4,5 등 모두 테스트)
  • 해당 동작 케이스 외에도 그 동작을 실행할 수 있는 모든 케이스를 전부 찾아봐야 함
  • 빙산 아래의 모든 것 테스트
  • Threat Analysis를 이용해서 부분을 구획화하여 구분을 하여 테스트를 하여 최대한 whitelist처럼 뽑아낼 수 있게 함

 

※ Exploit: Security Boundary를 넘어선 권한의 행사

 

 

 

 

 

📌 Threat Modeling 한계점

 

 

limitation(한계점)

  • Implementation Bug를 찾으려 할 경우 인적자원의 낭비가 발생
  • 표시되지 않은 Data Flow 존재 시 Design Flaw 누락 가능성 존재
  • 보안 범위 잘못 설정 시 디자인 결함이 도출될 오류
  • 하나의 문제점을 찾기 위해 수많은 정상 케이스 검토 필요

 

기업에서 Risk Assessment를 할때 전부 다 위험에 대한 평가를 하기란 불가능합니다.

이로 인해 몇가지를 추려서 Risk를 측정해야 합니다.

 

 

Vulnerability

예시) DoS(Denial of Service): 서비스 거부

 

 

반응형