제품 취약점 분석 컨설팅 기법
제로코딩
·2022. 7. 7. 10:07
✋ 제품 취약점 분석 컨설팅
취약한 제품, 애플리케이션 및 플러그인 예시를 확인해봅시다.
Apache 소프트웨어 재단에서는 Log4j(https://logging.apache.org/log4j)소프트웨어의 취약점을 해결하는 보안 업데이트를 발표했습니다.
취약점이 발견된 Log4j는 프로그램 작성 중 로그를 남기기 위해 사용되는 자바 기반의 오픈소스 유틸리티 프로그램이며, 공격자가 해당 취약점을 이용해 악성코드 감염 등의 피해를 발생시킬 수 있습니다.
해당 피해를 방지하기 위해 Log4j 2.15 이상 최신 버전 업그레이드하여야 합니다.
⚡️ 취약점 분석 공격 사례
7가지 Layer의 공격받은 사례
1.Physical - JTAG, UART, SPI, I2C, MMC 회로 연결
2.External Network - fake기지국, 무선 신호 Relay
3.Perimeter - 변조 FW Update, Bluetooth exploit
4.Internal Network - CAN spoofing(CAN이 spoofing에 굉장히 취약한 Network)
5.Host
6.Application
7.Data
총 7가지의 layer에서 Identify, Protect, Detect, Respond(대응), Recover(복구)
총 5개의 활동을 최대한 되는 것을 찾아내어 도출해냅니다.
📌 QA, SA 와의 차이점
QA(Quality Assurance): 제품 검수, 제품 테스트하는 자
QA가 하는 테스트와 SA(Security Assurance)과의 차이점
QA (Whitelist Test)
- test 하기전에 어떤 test를 해야하는지 미리 확인
- 제품의 명세를 쭉 나열하고 그 명세대로 제품이 잘 되는지 동작 확인
- 생각보다 어렵지 않다. 처음부터 알고 시작함
- 빙산에 떠있는 것만 체크
SA (Blacklist Test)
- 1번 행동 동작 시 커맨드 입력이 1이 아닌 경우를 찾아야 함 (2,3,4,5 등 모두 테스트)
- 해당 동작 케이스 외에도 그 동작을 실행할 수 있는 모든 케이스를 전부 찾아봐야 함
- 빙산 아래의 모든 것 테스트
- Threat Analysis를 이용해서 부분을 구획화하여 구분을 하여 테스트를 하여 최대한 whitelist처럼 뽑아낼 수 있게 함
※ Exploit: Security Boundary를 넘어선 권한의 행사
📌 Threat Modeling 한계점
limitation(한계점)
- Implementation Bug를 찾으려 할 경우 인적자원의 낭비가 발생
- 표시되지 않은 Data Flow 존재 시 Design Flaw 누락 가능성 존재
- 보안 범위 잘못 설정 시 디자인 결함이 도출될 오류
- 하나의 문제점을 찾기 위해 수많은 정상 케이스 검토 필요
기업에서 Risk Assessment를 할때 전부 다 위험에 대한 평가를 하기란 불가능합니다.
이로 인해 몇가지를 추려서 Risk를 측정해야 합니다.
Vulnerability
예시) DoS(Denial of Service): 서비스 거부
'정보 보안 > 보안 컨설팅' 카테고리의 다른 글
보안 컨설팅 ( 컨설턴트, 마스터 플랜 등) (0) | 2022.07.07 |
---|