Security & IT terms113 [Day 197] Acceptable Use Policy(AUP) Acceptable Use Policy(AUP) 허용 가능한 사용 정책, 이용목적 제한 방침 등으로 해석됨 AUP는 네트워크와 컴퓨터 장치들이 사용되는 방법을 제한하는 규칙의 집합 업무와 관련되지 않은 일에 회사의 자산이 사용되지 않도록, 정책문서를 만들어 배포하고 사용자가 직접 읽고 서명하도록 해야 함 AUP 작성 시 주의사항 금지하는 것은 명확하게 기술해야 한다. "부적절한 사용 금지"같은 문장은 애매모호하다. 부적절한 사용이 무엇인지 정의해야 한다. 물론 "부적절함"과 관련된 모든 개별적인 행위를 전부 기술할 수는 없지만 빈번히 발생하는 것은 정확하게 기술 해야 한다. 예를 들어, 성을 노골적으로 표현하거나 외설적인 글과 사진을 포함하는 이메일을 금지할 수 있고 웹브라우저로 온라인 도박 사이트 등에.. 2021. 2. 23. [Day 196] BYOD, CYOD BYOD(Bring Your Own Device) 개인이 소유한 스마트 기기를 직장에 가져와 업무에 활용하도록 허용하는 정책 BYOD 정책을 채택하면 기업은 해마다 하드웨어 교체 비용, 기업 소프트웨어 라이선스 구입과 유지 비용을 절감할 수 있음 장소나 시간에 관계 없이 개인 기기에서 자유롭게 업무 문서를 열람할 수 있고, 개인 모바일 기기는 보통 기업에서 직원들에게 배포하는 것보다 더 비싸거나 고급 기능을 갖추고 있기 때문에 기업의 생산성과 업무 속도 개선 가능 BYOD의 치명적인 단점은 개인 스마트 기기의 활용법을 명확하게 규정한 정책이 시행되지 않으면 민감한 기업 데이터가 훼손되거나 공격받을 위험이 크다는 것임 기업은 직원의 데이터 액세스 권한을 세밀하게 지정해야 하고, 개인 기기를 분실/도난 당한.. 2021. 2. 22. [Day 191] RAT(Remote Access Tools) RAT(Remote Access Tools) 해커가 피해자의 시스템을 원격으로 장악하는데 주로 사용되는 소프트웨어로, 민감한 정보를 빼돌리거나 장시간 피해자를 감시하는 등 여러 가지 해킹 이후의 범죄 행위를 할 수 있게 해줌 데스크톱 공유나 원격 제어가 보통 합법적으로 사용되는 반면, RAT 소프트웨어는 일반적으로 범죄 또는 악의적인 행위와 관련이 있음 RAT는 보통 스피어 피싱 공격이나 소셜 엔지니어링 공격으로 감염되며, 이 공격들은 패킷 형태로 어딘가에 숨어 있다가 멀웨어 페이로드 실행의 단계에서 활동을 시작함 RAT를 사전에 탐지/차단하는 것이 어려운 이유 감염된 시스템에서 합법적인 네트워크 포트를 연다. 굉장히 흔한 일이라 아무도 이에 대해 의심을 갖지 않는다. 합법적인 기존 RAT를 흉내 낸다... 2021. 2. 17. [Day 190] 멜트다운(Meltdown, 붕괴), 스펙터(Spectre, 유령) 멜트다운(Meltdown, 붕괴) 멜트다운은 인텔 CPU에 적용된 '비순차적 명령어 처리(OoOE)' 기술의 버그를 악용한 보안 취약점 멜트다운을 이용하면 보안을 위해 응용 프로그램이 CPU의 캐시 메모리에 접근하지 못했던 기존 하드웨어 보안 구조가 붕괴되어, 해커가 만든 해킹 프로그램이 사용자의 시스템 메모리에 바로 접근할 수 있게 됨 암호화되어 있지 않은 일반 데이터뿐만 아니라 웹 브라우저에 저장된 암호, 이메일이나 메신저로 주고받은 내용, 개인의 비밀이 담긴 사진, 중요한 업무용 문서까지 PC와 스마트폰에 담겨있는 모든 중요한 데이터를 탈취할 수 있음 멜트다운은 1995년 이후 시중에 판매된 모든 인텔 CPU에서 발생할 수 있음 멜트다운은 일반 사용자용 PC뿐만 아니라 클라우드 컴퓨팅용 인프라스트럭.. 2021. 2. 16. 이전 1 ··· 11 12 13 14 15 16 17 ··· 29 다음