[도서 정리] 37. 공격자 - 보안의 기본 37. 공격자 - 보안의 기본 -공격자란 다양한 의도와 목적을 가지고 시스템이나 소프트웨어 등을 공격하는 사람들이다. * 공격자의 목적은 ‘돈’과 ‘기밀 정보’ -공격자의 목적은 대부분이 돈 또는 기밀정보이다. -돈을 목적으로 하는 공격자의 대부분은 개인이나 범죄 그룹이라고 하며, 보통은 불특정 다수의 대상자에 대해 무차별 공격을 가해온다.무차별 공격의 경우 불특정 다수가 엑세스 하는 웹 서버에 악의적인 콘텐츠를 심어 넣는 등으로 공격해온다. -기밀정보를 목적으로 하는 공격자는 일부 국가나 기업이라고 알려져 있는데, 보통은 원하는 정보를 갖고 있을 것 같은 대상자에 대해 표적형 공격을 한다.표적형 공격에서는 노린 조직에 대해 악의적인 메일을 보낸다. * 공격에 이용되는 주요 툴 -공격자는 많은 사람이 이.. 2019. 11. 16. [도서 정리] 36. 허니팟과 허니넷 36. 허니팟과 허니넷 * 허니팟이란? -허니팟(Honeypot) 은 꿀단지를 이야기한다.보안 세계에서는 공격자에게 매력적으로 보이는 공격 대상으로 보이게 한 미끼 컴퓨터라는 뜻으로 사용된다.대부분의 경우 취약한 진짜 환경으로 보이게 한 가짜 환경을 허니팟이라고 한다.가짜 환경을 꿰뚫고 있는 공격자도 있기 때문에 그러한 공격자에 대응하기 위해 취약한 진짜 환경을 사용하는 경우도 있다. * 허니넷이란? -허니넷(Honeynet)이란 네트워크에 침입한 공격자의 움직임을 관측하기 위한 장치로 허니팟과 어감은 비슷하지만 전혀 다른 것이다.허니넷의 구성 요소 기본은 네트워크에 들어온 공격자의 움직임을 낱낱이 취득하기 위한 하드웨어나 소프트웨어를 조합이다. * 허니팟과 허니넷은 구축 및 운용에 노하우가 필요 -허니.. 2019. 11. 15. [도서 정리] 35. SIEM - 보안의 기본 35. SIEM - 보안의 기본 -SIEM( Security Information and Event Management )은 각종 로그를 총동원하여 해석하고, 보안상 위협이 되는 사건을 감지하는 장치이다.원래는 SIM(Security Information Management)과 SEM(Security Event Management)라는 별개의 장치였지만, 이 둘을 합쳐 SIEM 이라는 장치가 되었다. * SIEM 이 하는 일은 로그의 수집 및 관리와 위협 분석 지원 -SIEM 은 정보의 수집 및 관리를 하고(SIM), 수집한 정보를 분석하고 위협이 되는 사건의 감지를 지원한다.(SEM).SIEM 에서는 보통 각종 로그에 남아있는 정보를 이용하는 경우가 많지만, 수집 및 관리 대상이 되는 로그를 남기는 것.. 2019. 11. 14. [도서 정리] 34. 패킷 캡처 - 보안의 기본 34. 패킷 캡처 - 보안의 기본 -패킷 캡처는 패킷을 캡처(취득)하는 작업을 말한다.패킷이란 네트워크를 흐르는 데이터를 가리키는 경우가 많지만, 경우에 따라서는 USB 버스를 통과하는 데이터를 캡처하는 경우도 있다. * 패킷 캡처용 툴 -Linux 환경에서는 tcpdump 가 있다.Windows 환경에서는 MS 가 네트워크 모니터를 제공하고 있고, 이외 WInPcap, Win10Pcap 등도 이용 가능하다.Wireshark 같은 툴도 있다. (이 녀석이 WinPcap, Win10Pcap 등의 lib 으로 사용하여 패킷 캡처한다.) * 패킷 캡처를 하는 데 필요한 것 -캡처할 수 있는 패킷은 툴이 작동하고 있는 컴퓨터가 수신할 수 있는 통신 데이터만으로 제한된다.만약 특정 네트워크를 흐르는 모든 데이터를.. 2019. 11. 13. [도서 정리] 33. 포렌식 - 보안의 기본 33. 포렌식 - 보안의 기본 -포렌식(Computer Forensic)이란 컴퓨터에 잔존하는 정보를 수집하여 해당 컴퓨터에서 무슨 일이 일어났는지를 나타내는 정보를 특정하고, 그 대응을 조사하는 작업을 말한다.그래서 포렌식을 하려면 OS 나 앱의 기본적인 사양이나 정보의 존재 위치를 알아 둘 필요가 있다. * 포렌식을 할 때 가장 먼저 생각해야 할 것 -가장 먼저 생각해야 할 것은 컴퓨터의 보전이다.보전이란 피해를 입은 컴퓨터의 전원을 끄고 피해를 발생했을 때의 상태 그대로 놓아두고 만지지 않는 것이다.컴퓨터의 전원을 켜 둔 채로 두면 기억 장치에 불필요한 변경이 일어날 가능성이 있기 때문에 반드시 먼저 전원을 끄고 피해 대상 컴퓨터에 의도하지 않은 변경이 발생하지 않도록 한다. * 포렌식에는 시간이 .. 2019. 11. 12. [도서 정리] 32. 정적 해석 - 보안의 기본 32. 정적 해석 - 보안의 기본 -멀웨어를 실행시키지 않고 실제로 피해를 입은 컴퓨터에 남겨진 파일이나 메모리에 잔존하는 멀웨어 관련 정보 등의 내용을 보고 해석하는 방법이 정적 해석이다. * 정적 해석의 장단점 -작동시킬 멀웨어가 없어도 멀웨어의 해석을 진행할 수 있고, 특정 소프트웨어나 설정 파일 등을 준비할 필요도 없다. -정정 해석에는 다음의 단점들이 있다. 시간이 걸린다. 방대한 지식이 필요하다. 해석 대상 프로그램에 기술되어 있는 것 이상의 것은 알 수 없다. * 동적 해석과 정적 해석의 용도 -동적 해석과 정적 해석에는 각각 장단점이 있기 때문에, 두 해석 방법을 조합하여 사용하는 것이 권장된다. * 기타 -역 어셈블러 : 대부분의 프로그램을 프로그래머가 기술한 프로그램을 컴퓨터가 실행할 .. 2019. 11. 11. [도서 정리] 31. 동적 해석 - 보안의 기본 31. 동적 해석 - 보안의 기본 -멀웨어의 해석 현장에서는 동적 해석이라는 말을 자주 사용한다.동적 해석이란 멀웨어를 실제로 작동시켜 그 움직임을 따라감으로써 멀웨어가 어떤 나쁜 행위를 하는지를 해석하는 방법이다.멀웨어를 작동시키는 해석 환경으로는 가상 환경 등을 사용하고, 프로그램의 움직임을 파악하기 위한 툴을 사용하여 멀웨어의 동작을 파악한다. * 동적 해석의 장단점 -동적 해석에서는 실제로 멀웨어를 작동시켜 그 동작을 해석하기 때문에 멀웨어의 실제 행동을 파악하기 쉽다.또한 정적 해석보다 해석 결과를 빨리 얻을 가능성이 높다. -동적 해석을 하려면 작동할 멀웨어(멀웨어 파일)가 필요하므로 이것이 남아있지 않으면 해석을 할 수 없다.또한 멀웨어 파일이 남아있는 경우라도 작동을 시키려면 멀웨어가 작동.. 2019. 11. 10. [도서 정리] 30. 샌드박스 - 보안의 기본 30. 샌드박스 - 보안의 기본 -샌드박스는 수상한 소프트웨어를 자신의 환경에서 실행할 때 영향 범위를 한정하기 위한 장치이다.아이가 앉아 노는 모래밭을 샌드박스라고 하는데, 이와 마찬가지로 모래밭 안에서는 어떤 처리든지 허용되지만 모래밭 밖에는 일체 영향을 미치지 않도록 만들어진다. * ‘가상 머신 환경’은 샌드박스를 구현하는 장치 중 하나 -샌드박스를 구현하기 위한 전용 장치와 같은 것은 특별히 없다.그러나 일반적으로 외부에 영향을 미치지 않는 기술이나 기능을 사용하여 처리 내용을 확인할 수 있도록 만들어진 실행 환경을 샌드박스라고 한다.가상 머신 환경이 샌드박스의 일례이다. * 미지의 멀웨어에 대응하는 수단 -샌드박스를 구현하는 기술이나 기능을 모아서 샌드박스 제품으로 판매 및 배포하는 것도 있다... 2019. 11. 9. [도서 정리] 29. CSIRT - 보안의 기본 29. CSIRT - 보안의 기본 -CSIRT(Computer Security Incident Response Team)는 발생한 보안 사고에 대해 전문적인 지식과 적절한 다른 사람과의 인터페이스를 가지고 대응하는 팀이다.한국어로 하면 컴퓨터 보안 사고 대응팀이다. -CSIRT를 구성하는 멤버에는 다양한 역할이 있다.가장 중요한 역할은 PoC(Point of Contact)와 커맨더이다. * 비상시 외에는 비상시를 줄이기 위해 힘쓴다. -CSIRT 는 보안 사고가 발생했을 때만 움직인다고 생각하는 사람도 많은데, 실제로는 사고 발생 시에만 움직이는 것이 아니다.대응한 보안 사고로부터 ‘이렇게 해 두면 일어나지 않는다’와 같이 구체적인 예방책이나 개선책을 검토하고, 실행에 옮겨가는 것도 CSIRT 의 역할.. 2019. 11. 8. 반응형 이전 1 2 3 4 5 6 7 8 9 다음