티스토리 뷰
보안시험 목적, 목표 및 전략
보안시험이란?
전문 보안 테스트 기술을 적용하기 전에 특정 조직 내에서 보안 테스트의 광범위한 맥락과 그 역할을 이해하는 것이 중요합니다. 이 이해는 다음과 같은 질문에 대답합니다.
- 보안 테스트가 왜 필요한가?
- 보안 테스트의 목적은 무엇인가요?
- 보안 테스트는 조직에 어떻게 적합한가?
보안 테스트는 시스템의 보안 정책을 손상시키려고 시도함으로써 위협에 대한 시스템의 취약성을 평가한다. 다음은 보안 테스트 중에 탐색해야 하는 잠재적 위협 목록입니다
응용프로그램 또는 데이터의 무단 복사
무단 액세스 제어(예: 사용자가 권리를 갖지 않는 작업을 수행할 수 있는 능력). 사용자 권한, 액세스 및 권한이 이 테스트의 초점입니다. 이 정보는 시스템 사양에서 사용할 수 있어야 합니다.
의도한 기능을 수행할 때 의도하지 않은 부작용을 나타내는 소프트웨어. 예컨대 오디오를 올바르게 재생하지만 암호화되지 않은 임시 저장소에서 파일을 작성하여 그렇게 하는 미디어 플레이어는 소프트웨어파이어에 의해 악용될 수 있는 부작용을 보여준다. 후속 사용자(크로스 사이트 스크립팅거 XSS)가 행사할 수 있는 웹 페이지에 삽입된 코드. 이 코드는 악의적일 수 있습니다.
코드가 올바르게 처리할 수 있는 것보다 긴 사용자 인터페이스 입력 필드에 데이터 문자열을 입력하여 발생할 수 있는 버퍼 오버플로(버퍼 오버런). 버퍼 오버플로 취약성은 악성 코드 명령어를 실행할 수 있는 기회를 나타냅니다.
- 사용자가 애플리케이션과 상호작용하는 것을 방지하는 서비스 거부(예: 불편 요청으로 웹 서버를 과부하)
- 사용자가 제3자의 존재(중간자의 남자 공격)를 알지 못하도록 제3자에 의한 통신(예: 신용카드 거래)의 차단, 모방 및/또는 변경 및 후속 중계
- 민감한 데이터를 보호하는 데 사용되는 암호화 코드 깨기
- 로그 폭탄(이스터 달걀이라고도 함)은 악의적으로 코드에 삽입될 수 있으며 특정 조건(예: 특정 날짜)에서만 활성화
- 논리 폭탄이 활성화되면 파일 삭제 또는 디스크 형식 지정과 같은 악의적인 작업을 수행할 수 있다.
보안 테스트는 다른 모든 개발 및 테스트 활동과 통합되어야 한다. 조직의 고유한 요구, 기존 보안 정책, 현재 보안 테스트 기술 및 기존 테스트 전략을 고려할 필요가 있습니다.
보안시험의 목적
일반적으로 소프트웨어 테스트와 마찬가지로 보안 테스트는 시스템이나 조직이 공격으로부터 안전할 것이라고 보장할 수 없습니다. 그러나 보안 테스트는 위험을 식별하고 기존 보안 방어의 효과를 평가하는 데 도움이 될 수 있다. 보안 테스트를 보완하기 위한 다른 활동들이 있는데, 예를 들어 보안 관행에 대한 감사와 검토가 있다.
보안 테스트는 또한 디지털 자산 보호에 실사가 수행되었음을 보여준다. 보안 위반이 있을 경우 법적 조치가 발생할 수 있다. 기업이 취약점 테스트와 같은 디지털 자산을 보호하기 위해 합리적인 조치를 취했다는 것을 보여줄 수 있다면, 법정에서 변호가 있을 수 있다.보안 테스트는 고객과 고객에게 민감한 정보를 보호하기 위해 적절한 조치를 취한다는 확신이 될 수도 있다.
조직적 맥락
보안은 종종 다른 유형의 테스트와 함께 수행되는 기능 테스트의 한 유형입니다. 테스트에 사용할 수 있는 시간이 주어진 상태에서 테스트 관리자는 보안 테스트를 포함하여 테스트를 수행할 수 있는 시간을 결정해야 합니다. 보안 테스트가 전문적인 역할로 간주되는 것은 드문 일이 아니므로 보안 테스트를 전문으로하는 조직에 아웃소싱됩니다. 보안 테스트의 범위는 궁극적으로 보안 기반 비즈니스 또는 조직 리스크에 의해 주도됩니다. 조직에서 보안 리스크가 많을 때보다 광범위한 보안 테스트가 필요합니다.
소프트웨어 테스트처럼 정보 보안은 라이프사이클 활동이다. 보안 요구는 요구 사항에 정의되어야하며 설계로 표현되고 코드로 구현되어야 합니다. 그러면 보안 테스트는 보안 구현의 정확성과 효율성을 검증하고 검증할 수 있습니다. 보안은 코드에 효과적으로 전송되거나 코드로 테스트될 수 없다. 보안 코딩 및 설계 기술을 사용하여 소프트웨어에 보안을 구축해야 소프트웨어가 안전할 수 있습니다.
제한된 시간, 자원 및 범위의 현실과 위험 수준, 보안 테스트 기술 세트 및 라이프사이클 접근법은 조직 내 보안 테스트 팀의 성공에 큰 영향을 미친다.
- Total
- Today
- Yesterday
- 장대음봉
- 방아뚜기 배경
- 최저가구매
- 방아뚜기의 탄생 원인과 배경
- 공인인증서폐지수혜주
- 방아뚜기 탄생
- 고혼진크림
- rhghswls
- 상승자리
- 한국전자인증
- rhghswlszmfla
- 바닥탈출신호
- 한국정보인증
- 고혼진
- 2022고혼진최저가
| 일 | 월 | 화 | 수 | 목 | 금 | 토 |
|---|---|---|---|---|---|---|
| 1 | 2 | 3 | 4 | 5 | ||
| 6 | 7 | 8 | 9 | 10 | 11 | 12 |
| 13 | 14 | 15 | 16 | 17 | 18 | 19 |
| 20 | 21 | 22 | 23 | 24 | 25 | 26 |
| 27 | 28 | 29 | 30 | 31 |