주 목적
1. 보안통제의 효과성을 검증하고 테스트
2. 취약점, 결점 발견
성공요소
1. 경영진의 승인(가장 중요)
2. 잘 계획된 침투 시나리오
3. 잘 정리된 time table
4. 문서화
5. 관리자(Manager)의 승인(보안관리자 승인은 아님)
사전협의 사항
1. 테스트 영역
2. 테스트 기술(DoS, Cracking)
3. IP로그 삭제 금지
4. 데이터 위변조 금지
5. 공격시 수집되는 자료 관리
구분
1. Blue(Tiger) Team : IT 담당자가 의뢰
2. Red Team : IT담당자 모르게 경영진에서 의뢰
테스트 방법
- Whitebox Test : 공지 후 테스트(응용프로그램 소스코드 필요)
- Blackbox Test : 공지없이 테스트(응용프로그램 바이너리 필요)
- Double Blind Test : 시스템 운영자와 보안직원 모르게 테스트(사고대응능력 평가)
- Openbox Testing : 범용 OS에 대한 내부코드의 취약점 분석
'정보보안기사&CISSP관련 > 정보보안 일반' 카테고리의 다른 글
[Day 212] 라이선스 관리 보안 (0) | 2021.03.09 |
---|---|
[Day 201] 암호 알고리즘 - Work Factor (0) | 2021.02.27 |
[Day 188] Due Care, Due Diligence (0) | 2021.02.14 |
[Day 182] 대칭 암호, 비대칭 암호 (0) | 2021.02.08 |
[Day 181] 재택근무 보안가이드 (0) | 2021.02.07 |