모의해킹 방법론

• Penetration Testing Framework : 침투 테스트 프레임워크로 매우 포괄적인 실전 침투 테스트 가이드를 제공한다. 또, 각 테스트 범주에서 사용하는 도구들의 사용법을 나열한다. # 도구 사용법
• OSSTMM(Open Source Security Methodology Manual) : 안전한 시스템 운영을 위해 검증된 사실로부터 결과를 도출하기 위한 표준 테스트 방법론을 제공한다. # 표준 테스트 방법론 제공
• PTES(Penetration Testing Execution Standard) : 모의해킹을 정의하고 평가할 수 있는 각 단계별로 7개의 카테고리를 통해 침투 테스트 절차를 정의한다. # 시나리오ㆍ절차ㆍ정의(7개 카테고리)
• ISSAF(Information Systems Security Assessment Framework) : 정보 시스템 보안 평가 프레임워크로 침투 테스트 기술 지침을 제공한다. # 보안평가 프레임워크
• PCI Penetration Testing Guide : 지불 카드 산업 데이터 표준 요구사항 침투 테스트 기법을 정의한다. # 인증
• NIST(National Institute of Standards Technology Guide to Security Testing & Assessment) 800-115 : 기술적 보안 평가를 수행 시 가이드라인을 제공한다. # 보안 평가 수행 시 가이드라인

 

PTES

1. 사전 계약 : 고객과 모의해킹의 방향을 협상
2. 정보 수집 : 대외수집 및 서비스에서 정보를 수집. (OSINT : Open Source Intelligence)
3. 위협 모델링 : 수집한 정보를 추려서 시스템 취약점 식별 및 분류
4. 취약점 분석 : 실제 가능한 공격이 무엇인지 파악
5. 침투
6. 포스트 익스플로잇 : 여러 시스템을 감염시킨 상황에서 다양한 정보 수집 및 활용 가능한 정보 확인
7. 보고서 : 기록을 남긴다. 그 후 반복...

 

OSSTMM

1. Blind Test(=Black Box Test) : 진단 대상에 대한 정보 없이 미리 대상에 대한 통보를 한 후 수행 (URL, 단순 정보)
2. Double Blind Test : 진단자가 진단 대상에 대한 정보 없이 관리자 모르게 모의해킹 테스트를 수행 (관제팀 모르게..)
3. Grey Box Test : 제한적인 정보를 갖고 관리자에게 진단 전 통보 후 테스트를 수행 (정보가 좀 더 있다.)
4. Double Grey Test : 감사 시간을 정해놓고 벡터는 테스트하지 않는 점이 그레이 박스 테스트와 다름.
5. Tandem Test : 관리자에게 통보 후 진단자가 공격 가능한 취약점을 전부 수행해보는 것.
6. Reversal Test : 진단자가 모든 정보를 알고 관리자 모르게 진단을 수행하는 것으로 화이트 박스 테스트 시 얻은 내부 환경 정보를 토대로 블랙박스 환경에서 테스트를 시도하는 것.