안녕하세요. 내일이 대선이네요 ~ 우리 모두 투표를 ㅎㅎ
금융쪽에서 업무를 하고 있는 전산인 입니다.
웹취약점 분석 연 2회
서버취약점 분석 연 1회
하여 보고서를 제출해야 하네요.
다른분들은 어떻게 진행하고 계신지 궁금하여 글을 남기게 되었습니다.
1. 웹취약점 툴이 좀 있던데, 해당 툴을 구입하여 사용하고, 툴에서 나온정보만 가지고 보고서를 작성하시나요?
2. 업체에 의뢰를 하여 진행을 하시나요? 그렇다면 사용중이신 업체 추천좀 부탁드립니당 (skipadm@nate.com)
3. 취약점 분석을 할때 ~ 실사용중인 시스템을 대상으로 진행하고 계신가요~?
아니면, 테스트 서버를 대상으로 진행 중이신가요~ ?ㅎㅎ
어렵네용 힝..ㅠ 낙서도 좋고 그냥 나눔도 좋으니 댓글 부탁드립니다. 많이 배우겠습니다 ㅎㅎ
2017-05-08(월) 06:25:48에 작성 되었습니다. 2017-05-12(금) 06:26:11에 수정 되었습니다
본문 내용이 처음 작성된 내용과 다를 수 있습니다.
본문 내용이 처음 작성된 내용과 다를 수 있습니다.
9개의 답변이 있습니다.
답변주신분들 모두 감사드립니다 ^^ 생각보다 많은분이 답글을 달아주셔서 ㅎㅎ
업체소개도 해주신 분도 계시고 ㅎㅎ
주신 내용 받아 잘 상담해서 진행하도록 하겠습니다
오늘도 화이팅 하시고 ~ 빠른퇴근 즐거운 불금 보내세요^^
모르는게 많은 전산인 ~ 앞으로도 잘부탁드립니다 ㅎㅎ
오예!
웹서비스를 주력으로 하는 회사라면
전문 컨설팅 업체를 통해 취약점 진단을 받고
https라던가 소스코드 시큐어코딩, db암호화 등등을
결과로 받고 적용하는것 같습니다.
저희 회사에서는 별도로 취약점 보고서를 작성하거나 하지 않는데요
금융권에서 일하시면 외주 업체에게 의뢰를 해서 외부에서 해킹 모의 시험을
해보셔야 하지 않을까 싶네요
모의 시험을 통해서 취약점을 분석하고 그러지 않나요
특별히 취약점을 찾는 방법은 없는데
다른 개발자의 소스를 보면서 취약점을 찾아내지요
네트워크 관련 종사자가 아니라서, 소스로만 찾아내고 있습니다.
저희는 금융권은 아니기때문에 의무적으로 시행할 의무는 없는데요.
전에 웹방화벽 및 취약점솔루션 도입 검토때 진행한 이력으로 답변드립니다.
취약점 분석은 간단하게 2주정도 모니터링하였고, 모니터링은 솔루션을 통해서 진행하였습니다.
솔루션 어플라이언스 도입시, 서버 대당 라이센스 필요하였고, 주기적으로 모니터링 가능하여
매번 모니터링시마다 업체를 부를 필요가 없다고 판단하였습니다.
결과적으로는 의무적으로 시행할 필요가 없었음으로 웹방화벽 및 웹쉘 보안 솔루션만 도입하였습니다.
guest | 약 7년 전
답변 감사합니다 ! ^^ 툴도 고려해보고 있습니다 ㅎ
1. 본사에서 취약점 점검을 해서 결과를 보내줍니다. (PCI/DSS)
2. 한국에서 보안 업체를 컨택하여 모의해킹, 취약점 점검 컨설팅을 받고 보고서를 작성 합니다. (ISMS)
3. 모든 점검은 운영 서버를 대상으로 시행합니다.
4. 몇개 업체를 통해 취약점 점검을 해봤는데 아직 그닥 맘에 드는 업체가 없었습니다.
ISMS 준비 하느라 저희는 매년 모의해킹, 취약점 점검을 1회씩 수행 하고 있습니다. (필수 사항)
업체를 통해서 진행 하느라 매년 수천만원의 예산이 사용되고 있어서 어떻게든 비용을 줄여 보려고 하는데 생각보다 쉽지는 않은것 같습니다.
하지만 수년내로 가급적 컨설팅비 안들이고 자체적으로 하려는 계획은 가지고 있습니다.
guest | 약 7년 전
회사 규모가 있으시네요ㅎㅎ 본사에서 지원도 받으시고 부럽....
그러게요 이번에 저희쪽도 어디선가 점검 받을때 꼼꼼하게 해주는 업체를 만났으면 좋겠네요ㅎㅎ
실 사용중인 서버를 접속자가 적은 시간을 이용해서 분석하는 게 맞을 것 같네요~
상황에 따라 무료 진단툴을 사용할 수도 있고, 상용 진단툴을 사용할수도 있고, 경우에 따라서는 전문 업체에 맡겨야 하지 않을까요... ^^;;
안녕하세요.
이번에 보안인증을 받기위해서 처음으로 저희도 취약점 점검을 했습니다.(업체를 통해서 점검)
주요점검사항은 주요정보통신기반시설 취약점 분석/평가기준을 적용하였고.. 평가등급은 "상"등급만 진행하였습니다.
웹취약점은.. 모의해킹위주로 하였고.
네트워크 취약점은 config파일 및 인터뷰로 주로 하였고..
시스템(서버, 컴퓨터) 취약점 점검은 스크립트 돌려서 나온 결과값을 엑셀시트에 입력을 하면 자동적으로 취약점 사항이 나타나도록 되어있습니다.
잘하고 있는줄 알았는데.. 취약점 점검을 하니.. 어마어마한 취약점이..
대부분 조치를 하고.. 안되면 수용하는 케이스로 진행하였습니다..
업체추천은 쉐어드IT로 쪽지드리겠습니다.
werther.chan | 약 7년 전
아. 그리고 실사중인 시스템만 진단받았습니다. 서버 및 네트워크. PC 등..
1. 툴을 구매하지는 않았고 업체가 보유한 툴을 이용해서 진단받고 있습니다
2. 네,,,,근데 저희도 만족스럽지않아 계약끝나면 변경할 예정이라 추천은 못해드리겠습니다 ㅡㅡ;;
3.네,,,, 실사용중인 시스템을 진단받고 있습니다
저희는 보고서 수준이 형편없어 후회 많이 하고 있습니다 , 업체를 변경하던지 아니면 진단툴 구매해서 직접 할까도 검토중이네요