전체 글348 [Day 296] SSL 가시성 확보 SSL 가시성 확보(트래픽 복호화) 필요성 기존 보안 솔루션은 암호화된 트래픽을 분석하여 방어할 수 없기 때문에, SSL을 이용한 공격이 증가하고 있음 APT 공격에서 가장 흔히 사용되는 방식이 Drive by download 방식이며, Watering Hole 유형의 기법을 통해 감염된 사이트에 방문과 동시에 악성코드를 다운로드 하도록 하는 방식을 많이 사용 보안 솔루션은 해당 사이트 자체를 미리 인지하여 차단하는 방식을 사용하거나, 실시간으로 해당 사이트의 응답데이터를 분석하여 악성여부를 판단함. 또는 다운로드된 악성 파일을 검사하는 정적 분석 또는 동적 분석을 통하여 파일 자체를 차단하기도 함 최근 공격자들은 악성파일을 감염시키는 과정에서 보안솔루션의 방어를 회피하기 위하여, SSL 로 암호화된 사.. 2021. 6. 1. [Day 295] 개인정보 간접 수집 시 통지 의무 요건 정보주체(이용자) 이외로부터 수집한 개인정보를 처리하는 경우, 개인정보의 종류, 규모 등 법적 요건에 해당하는 경우 필요한 사항을 정보주체에게 통지해야 함 단, 통지 의무는 개인정보보호법에 따라 정보주체의 동의를 받아 개인정보를 제공한 개인정보처리자로부터 수집한 개인정보에만 해당됨 정보통신망법, 신용정보법에 따라 동의를 받아 개인정보를 제공한 자로부터 수집한 개인정보 or 법령에 따라 제공한 개인정보에 대해서는 적용되지 않음 구분 내용 통지의무가 부과되는 개인정보처리자 요건 5만명 이상 정보주체에 관한 민감정보 또는 고유식별정보를 처리하는 자 100만명 이상의 정보주체에 관한 개인정보를 처리하는 자 통지해야 할 사항 개인정보의 수집 출처 개인정보의 처리 목적 개인정보 처리의 정치를 요구할 권리가 있다는 .. 2021. 5. 31. [Day 294] Cyber Kill Chain Kill Chain 핵이나 미사일 공격 징후가 보이면 해당 시설에 대한 탐지와 타격을 공격 이전에 완료하는 일련의 공격형 방어시스템을 의미 Cyber Kill Chain 공격자는 사이버상에서 Target에 대한 공격을 위해 일련의 공격 단계를 거치는데, 이런 단계 중 어느 한 단계의 공격을 탐지/차단/대응해 목표 달성 이전에 선제적으로 무력화시키는 방어시스템을 말함 공격자의 공격단계 중 하나를 사전에 제거하면 실제 공격까지 이어지지 않는다는 점에 착안한 방어 전략 * 출처 : 알기사 정보보안기사 실기 https://www.csoonline.com/article/2134037/strategic-planning-erm-the-practicality-of-the-cyber-kill-chain-approach-.. 2021. 5. 30. [Day 293] 웹 애플리케이션 개발 시 보안 요구사항 개발 보안 요구사항 추가 설명 사용자에게 전달된 값(Hidden Form Field, Parameter)을 재사용할 경우 신뢰해서는 안된다. 클라이언트에 저장된 정보는 쉽게 조작 가능하므로, 세션 기반으로 서버에서 처리하도록 변경 필요 최종 통제 메커니즘은 반드시 서버에서 수행되어야 한다. 클라이언트에서 입력값을 검증하는 것은 쉽게 우회 가능 1차 검증은 클라이언트 측에서 하고 2차 검증은 서버 측에서 하도록 개발 필요 클라이언트에게 중요 정보를 전달하지 않는다. 중요 정보 하드코딩 금지 쿠키에 중요 정보 전달 시 암호화 필수 중요 정보 전송 시 POST 메소드 및 SSL(HTTPS)를 적용한다. 사용자로부터 중요 정보 받을 때 GET 메소드 사용 시 URL상에 정보가 노출되므로 POST 메소드 사용 필.. 2021. 5. 29. 이전 1 ··· 10 11 12 13 14 15 16 ··· 87 다음
