라스컴

모의해킹·취약점진단 가이드

more

정보보호관리체계 가이드(ISMS, ISMS-P)

more

보안 취약점 진단이 필요한 이유?

해커들은 보안 취약점을 통해 잠재적인 경로를 이용하여 사업이나 조직에 피해를 입히고 있습니다.
이에 기업의 기술적, 사업적인 보안 사고를 예방하기 위해 해커들의 공격 방법과 보안 취약점의 가능성을
사전에 진단 및 평가하는 방안으로 보안 취약점 진단 및 모의해킹 진단이 필요합니다.

따라서, 고객의 사전 동의 후 보안 취약점 진단을 통해 실제 위협이 될 수 있는 요소를 사전에 파악하여 악의적 해킹에 대한 피해를 차단할 수 있습니다.

또한, 정보보호 관련 법규와 표준 준수 법령이 강화됨에 따라 강도 높은 보안 취약점 대응 방안이 필요합니다.

표준 준수 법령 강화
보안 취약점 강화 필요
보안 취약점 진단 서비스 범위
보안 취약점 진단 서비스 범위
보안 취약점 진단 수행 절차

Why 라스컴?

경험이 풍부한 인적 자원
최상의 보안 서비스 품질 제공
원활한 업무 커뮤니케이션

취약점 진단 유형

보안 취약점 진단은 기업의 IT 자산에 맞는 총 4가지의 취약점 진단 유형으로 취약점 및 위협 요소를 탐지하고 조치 방안을 제시합니다.

웹 취약점 진단

웹 취약점 진단

고객의 웹서비스에 대해 내부/외부 관점에서 침해 사고가 발생할 수 있는 위협요소를 진단합니다.

개요

진단 항목

OWASP TOP 10 기반으로 한 취약점 진단 항목과 고객사 사업의 특성을 고려한 진단 수행

입력값 검증 부재

  • Cross - Site Scripting
  • SQL/Command Injection
  • 파라미터 위/변조 취약성

취약한 파일 관리

  • 악성파일 업로드 취약성
  • 중요 정보 파일 다운로드 취약점

취약한 인증 및 세션 관리

  • 쿠키 조작 취약성
  • 접근제어 우회 취약성
  • 패스워드 정책 반영 여부

중요 정보 저장/전송 관리 미흡

  • 중요 정보 평문 전송
  • 패스워드 정책 반영 여부

기타 취약점

  • 진단 항목 외 취약점

시큐어코딩 소스코드 취약점 진단

소프트웨어 결함, 오류 등의 잠재적 취약점을 시큐어코딩 소스코드 분석을 통해 원인을 파악하고 위협 요소를 제거합니다.

개요

진단 항목

OWASP TOP 10 및 행정안전부/KISA(소프트웨어 보안 약점 진단 가이드)를 기반으로 한 체크 리스트와 고객사 사업 프로젝트의 특성을 고려한 진단 수행

입력값 검증 및 표현

  • Cross - Site Scripting
  • SQL/Command Injection
  • 파라미터 위/변조 취약성

보안 기능

  • 적절한 인증 없는 중요 기능 허용
  • 부적절한 인가
  • 사용자 중요 정보 평문 저장
    (또는 허용)

에러 처리

  • 오류 메시지를 통한 정보 노출
  • 적절하지 않은 예외 처리
  • 잘못된 세션에 의한 정보 노출

캡슐화

  • 제거되지 않고 남은 디버그 코드
  • 시스템 데이터 정보 노출

기타 취약점

  • 진단 항목 외 취약점

모바일 앱 취약점 진단

모바일 환경에서의 기밀성, 무결성, 가용성 및 안정성에 영향을 미칠 수 있는 다양한 보안 위협들을 클라이언트/API 진단을 통해 제거합니다.

개요

진단 항목

인증 및 권한, 입력값 검증 등 6개의 진단 요소/19개의 세부 진단 항목으로 구성

Authentication(인증)
Authorization(권한)

Input Validation
(입력 값 검증)

Cryptography
(암호화)

Exception Management
(예외 처리)

Sensitive Data Storage
(데이터 저장)

App Security
(앱 보호)

서버 / 네트워크 취약점 진단

고객의 주요 정보시스템(서버, 네트워크, 보안 시스템)에 대해 기밀성, 무결성, 가용성에 영향을 미칠 수 있는 다양한 위협 요인에 대한 취약점 분석 및 대응 방안을 제공합니다.

개요

진단 항목

Linux/Unix 계열

  • 계정관리
  • 파일시스템
  • 네트워크 서비스
  • 로그관리
  • 주요 응용 설정
  • Apache 보안 설정
  • 보안패치

WINDOWS 계열

  • 계정관리
  • 파일시스템
  • 네트워크 서비스
  • 로그관리
  • 주요 응용 설정
  • 바이러스/웜 진단
  • 로컬 보안 정책
  • 보안패치

Network 진단

  • 장비 SW/HW 관련 진단, 계정관리
  • 네트워크 원격관리
  • 로그관리 관련 진단
  • 보안 기능 설정 관련 진단

고객 & 파트너