SK shieldus Rookies 16기

모의해킹 - 윈도우 - 리눅스 - 모바일 인프라 진단 후에 정보보호 수준평가 결과보고서를 작성함 위험분석 및 평가 - 자산분석 - 위협분석 - 취약성 분석 - 위험도 분석 - 보호대책 수립 > 중요도와 평가로 분석 점수를 매김 정책지침서 - 전자금융거래법 - 전자거래법 시행령 - 전자금융감독규정 - 전자금융시행세칙 정보보호조직지침 - 목차 > 용어 정의 > 조직 구성 > 심의 및 의결사항 > 운영 방법 > 보안성심의 시행 >구성도 결과보고서 작성 - 자산분석 - 위협분석 - 취약점분석 - 위험평가 - 개선대책권고 보안성심의 - 금융회사가 전자금융거래 공동표준을 공동으로 수립 - 사업계획 > 분석/설계 > 구현 > 테스트/보완 > 운영 금융보안원에서 가이드 참고 개인정보보호법 - 데이터 자기 권리 - 가명..

정보금융기관 취약점 분석 평가 보안성 검토 - 상태단계, 모의해킹, 시큐어코딩 > 새로운 시스템 절차로 이루어짐 주요정보통신기반시설 - 국가정보통신망, 철도, 공항, 증권사, 은행 등 - 연 1회 이상 주요정보통신기반시설 취약점 분석 평가 *데이터는 국외로 이전되어선 안됨 법령 법제처 http://www.law.go.kr 보안취약점 분석평가 절차 1. 사전분석 2. 취약점분석 3. 취약점평가 4. 대책 수립 5. 사후 관리 보안취약점 분석평가 절차 - 요구분석 > 범위 선정 > 자산 분석, 위협분석, 취약성 분석, 기존대책 분석 > 위험 평가 > 개선대책 권고 > 개선이행 점검 대책 수립 단계 - 우선순위 산정 - 보안대책 수립 - 이행 계획 수립 - 위험 수용 평가전담반 구성 시 금융감독원장에게 위탁 ..

물리보안 사이버 보안 - 관제 - 모의해킹: 시나리오 기반 모의해킹 - 취약점점검: 인프라, IT시스템, 서버DB (온프로미스), 클라우드(Native 시스템) 보안컨설팅 - 분석 > 결과보고서 클라우드란 - 웹, WAS, DB를 가상화한 서비스를 공유 네트워크를 통해 제공하는 것 배포 모델 - public, private, hybrid, multi CCE, CVE 진단 - 매년 취약점 진단 컨설팅: 문제해결, 컨설턴트 자기만의 기준으로 제시 https://skshieldus.com/kor/support/download/report.do Report 온전한 지속가능의 시작, 안녕을 지키는 기술에서 시작합니다. SK쉴더스 www.skshieldus.com DevOps/ DevSecOps - 소스코드 취약점..

보안 컨설팅 수행 프로세스 1. 환경분석 및 정보 수집 - 사전질의서 작성 - CSC에게 자료요청: 정보보안 규정, 정책에 대해 지침이 있는지 확인 - 아키텍처에 따라 인증 유형 결정 1) PaaS, IaaS > Container 인증을 받는 경우 PaaS > SaaS 표준 IaaS > IaaS (물리적 보안) 2) CSC(민간, 공공기관)제공할 클라우드 컴퓨팅서비스 > S/W 인증 받는 경우 > SaaS 간편 *보안인증 결정은 고객(CSC)가 결정하는 것 2. GAP 분석 - SaaS 간편, 표준 /IaaS / DaaS - CSA STAR - CVE, CCE, 모의해킹 진단 3. 클라우드 보호대책 수립 - 중거성 검토 - 보안감사 항목: SaaS표준/IaaS/DaaS 해당 - 정책지침 검토 - 클라우드..

DevOps단계 1. 보안 설계 및 아키텍처 2. 보안 코딩 - 보안 코딩 전에 개발자 교육 필요 - 보안 Hook /코딩 후 빌드 - 소스코드 오류 분석 - laC(인프라형 코드 분석) 3. 지속적 빌드, 통합 및 테스트 - 바이너리 코드화 - 보안 활동 중 모의해킹 진단 민간기업, 공공기관 대상: 과학기술정보통신부고시 주요정보통신기반시설 취약점 분석평가 가이드 > 웹(Web) 점검항목 28개 금융회사, 전자금융업자 대상: 금융위원회 전자금융기반시설 취약점 분석평가 기준(매년 갱신: 금융보안원) > 웹(Web) 점검항목 DAST, Fuzz 테스트 컨테이너 테스트: 애플리케이션 동작에 문제가 없는지 4. 지속적 전달 및 배포 - CI/CD *3단계 부터 운영 엔지니어 배치 - 물리적인 망 분리 5. 런타..

하이퍼바이저 - 부대설비 > 하드웨어 > 호스트 서버 > 하이퍼바이저 > - 하이퍼바이저의 영역은 IaaS 보안 운영영역 private 클라우드 내에서만 보안 가능 - 하이퍼바이저 구성 : vcp, vmemory, 저장소, vnetwork,vswitch - 하이퍼바이저 위에 VMI(Virtual Network Instructure) 위에 VS(Virtual Server) 위에 OS 위에 server 관리 위에 Runtime 위에 빌드(binary code) > 위 구성을 통해서 SaaS형 애플리케이션이 만들어짐 - IaaS 구성 체계를 알아야 보안 자문, CSC관점에서 보안 자문 컨설팅 구분을 할 수 있음 하이퍼바이저 2가지 종류 *하이퍼바이저는 운영체제 없이 동작하지 않음 - 베어메탈 기반: 가장많이 ..

SaaS - 클라우드 서비스 완성형 테넌트: 사용자 별로 격리된 환경인 테넌트 제공 - Application & data - 보안 - 가용성 - 확장성 - 과금 클라우드 컴퓨팅 참조 아키텍처 클라우드 컴퓨팅 교차적 측면 - 감사 가능성 : 감사 가능성 지원 필요 - 클라우드 가용성 : 클라우드 컴퓨팅 서비스 이중화, VPC 이중화 - 거버넌스 : 컨설팅 - 상호운용성 : CSP에서 상호운용성 관점에서 제외되면 기능 제거 - 유지보수 및 버저닝 - 클라우드 성능 - 이식성 - 개인식별정보 보호 : csc와 csp 간의 - 회복력 - 가역성 - 규제 준수 - 클라우드 보안 : 국제 기준과 국내 기준 국제 기준: 정책, 조직, 접근통제, 공급망 관리 1, CSA 2, ISO/IEC 27017 3, ISO/IE..

클라우드 컨설팅 역량 - 클라우드 기초, 기술, 국제표준, 클라우드 아키텍처 클라우드컴퓨팅서비스 보안컨설팅 국내외 클라우드 보안인증지원 컨설팅 국제기준 - CSA STAR ( 국제 산업 표준) - ISO27017:2035 ( 클라우드 서비스 정보보안 경영 시스템 ) * CSAP과 비슷 - ISO27018 *클라우드 기반 개인정보 시스템 - PII (Personal Identitiy information) 단, 단독 취득이 안되고 ISO 27001/2022 취득해야 가능 국제 산업 표준 클라우드 - Gold - Silver - Bronze 2,국내 기준 CSAP ( 클라우드 컴퓨팅 서비스 보안인증에 관한 고시 ) 클라우드 보안관리체계 수립 - 클라우드 거버넌스는 정책 지침과 조직 과정을 따름 정책지침은 클..

보안운영 - 취약점 점검 - 컨설팅 - 보안운영 : 엔지니어 성격 > 보안관제에서 룰을 만들면 확인을 해야됨 - 보안관제인력과 보안운영 인력이 함께 룰을 만들어서 조율 - 관제인력 + 운영인력 > 담당자, 엔지니어 *모니터링, 장애조치 > 가용성 확보 형상관리(자산정보 관리) - 보안운영 인력 - 보안관제 인력이 관리하기 힘듦 - 관련 요약매뉴얼 - 연동대상 장비의 연동관리(필수) ex) 장비 교체 시점, 이력관리 자산관리 - 보안 솔루션을 다 알고 있어야됨 - 탐지이벤트 발생 시에 어디서 대처할지 하기위함 - 자산등록, 자산변경, 자산삭제 > 고객 측에서 관리 장애관리 - 장애발생 시에 장애분석 - 2차까지 넘어가면 작업관리로 넘어감 작업관리 - 작업계획을 수립하고 작업수행을 하면 원인 알수있음 - 작..

보안관제 - 파견시에 현재 상태 기업의 네트워크 구성도, 망 분리 등 파악 보고서 - 일일 보안 관제서 보안관제의 개념 - 시스템 운영하기 위해 사이버 공격 정보를 탐지 및 분석해서 대응, 사전예방, 관제시스템 운영 국가 사이버 안전센터 - 국가차원에서 사이버공격에 대해 종합적이고 체계적인 대응 수행 인터넷 침해 대응센터 - 국내 민간 전산망 정보보호 각부문별 사이버 안전센터 - 보안전문인력에 의해 예방, 탐지, 대응활동을 통해 정부 및 기관의 주요정보 자산 보호 보안 관제 기본원칙 - 무중단의원칙 - 전문성의 원칙 - 정보공유의 원칙 클라우드 보안관제 - 고객사와의 보안 관제 호환성 등에 문제를 겪을 수 있음 ESM과 SIEM 차이 - 처리속도 2세대: ESM을 중앙에 놓고 연동되는 네트워크 시스템(W..