by Toff
| 개요 |
| 취약점 진단 절차 |
현황 분석은 작게 4가지 단계가 있으며 그림 1-1 과 같다.
그림 1-1 현황 분석
두번째는 앞서 정한 범위를 토대로 수행 계획서를 작성한다.
세번째는 요청사항 전달로 서버에는 각 스크립트를 전달하며 네트워크에는 config를 요청하며 인터뷰 일정을 협의하는 단계이다. 고객사의 취약점을 진단할때는 컨설턴트가 직접 스크립트를 돌리는 것이 아니라 스크립트를 직접 돌리게끔 전달해준다. 고객사의 네트워크 장비는 모두 다르므로 config 요청하며, 취약점 진단에 필요한 인터뷰를 진행할 날짜를 사전에 협의한다. 취약점 진단에 있어 인터뷰는 굉장히 중요한 부분을 차지하니 알아두도록 하자
네번째는 가이드 작성 및 템플릿 수정으로 해당 고객사에 맞게끔 기존 템플릿을 수정하며 가이드를 작성한다.
다음으로는 취약점 점검 및 분석이며 작게 3가지 단계가 있으며 그림 1-2 와 같다.
그림 1-2 취약점 점검 및 분석
첫번째는 취약점 점검 결과 산출된 스크립트 결과물과 네트워크 config 를 취합하며 분석하는 단계이다.
두번째는 인터뷰 및 수동점검 수행계획서로, 스크립트 결과물과 네트워크 config 에서 발견된 결과값에서 기준값으로 판단할 수 없는 항목들을 인터뷰하고 수동점검 계획을 세운다. "기준값으로 판단할 수 없는 항목들"이 다소 애매할 수도 있지만, 뒤에 예시 스크립트 결과물을 분석하며 자세히 알아보도록 하자.
세번째는 1차적으로 취약점 검검을 완성하고 결과물을 워드 및 엑셀 등을 사용하여 종합하는 단게이다.
두번째는 인터뷰 및 수동점검 수행계획서로, 스크립트 결과물과 네트워크 config 에서 발견된 결과값에서 기준값으로 판단할 수 없는 항목들을 인터뷰하고 수동점검 계획을 세운다. "기준값으로 판단할 수 없는 항목들"이 다소 애매할 수도 있지만, 뒤에 예시 스크립트 결과물을 분석하며 자세히 알아보도록 하자.
세번째는 1차적으로 취약점 검검을 완성하고 결과물을 워드 및 엑셀 등을 사용하여 종합하는 단게이다.
다음으로는 리뷰 및 교육이며 작게 3가지 단계가 있으며 그림 1-3 과 같다.
그림 1-3 리뷰 및 교육
첫번째는 위의 취약점 점검 및 분석 결과물을 고객사에 전달해주며 결과물에 대한 리뷰 일정을 협의하는 단계이다.
두번째는 취약점 점검을 진행한 각 서버, 네트워크, DB 등의 담당자와 리뷰하는 단계이다. 취약한 항목들은 해당 취약점으로는 어떤 위협이 있다는걸 부가적으로 설명하면 좋다. 또한 취약하다고 판단된 부분에 대해 조치 계획과 불가사유를 확인한다.
세번째는 보안담당자 리뷰로 취약점 점검 결과와 각 담당자 리뷰의 결과를 종합해 최종 리뷰한다.
마지막으로 보고서 작성이며 작게 2가지 단계가 있으며 그림 1-4 와 같다.
그림 1-4 보고서 작성
첫번째는 최종보고서 작성으로 각 담당자들과의 리뷰까지 종합해 작성한다.
두번째는 가이드 작성 완료 및 전달로, 조치를 해야 되는 항목들과 고객사에서 원한 요청사항을 가이드로 작성해 전달하는 단계이다.
