안녕하세요. 현재 IT 보안부서에서 보안 업무를 맡고 있는 보린이 입니다.
제목과 같이 IT Infra 보안 취약점 점검 주기와 어느 상황에서 취약점 점검을 받아야 하는지 등 기준을 정립 중에 있는데요.
(현재 시스템 개발 부서에서 보안 부서에 통보 또는 사전 안내도 없이 신규 도입, 개발, 기능 업데이트 등을 진행하면서 보안 취약점이 지속해서 발췌되고 있어 기준을 정립하려고 합니다.)
선배님들의 생각이나 조언을 듣고자 이렇게 질문을 드립니다.
구분 |
서버(OS, DB, WEB, WAS 등) |
웹 사이트(웹 어플리케이션) |
모바일 App. |
정기 점검 |
분기별 1회 |
연 1회 |
연 1회 |
비정기 점검 |
1. 신규 서버를 생성하는 경우 |
1. 신규 웹사이트를 개발한 경우 |
1. 신규 모바일App.을 개발한 경우 |
2. 최초 진단 이후 서버 업그레이드를 하는 경우 |
2. 최초 진단 이후 웹 사이트 내 기능 추가 또는 변경되는 경우 |
2. 최초 진단 이후 모바일App. 기능이 추가 또는 변경되는 경우 |
|
3. 서버 내 사용 중인 제품 관련 보안 취약점 발표되는 경우 |
3. 웹 사이트 개발 시 사용한 S/W 또는 소스코드 관련 보안 취약점이 발표되는 경우 |
3. 모바일App. 개발 시 사용한 S/W 또는 소스코드 관련 보안 취약점이 발표되는 경우 |
|
이 외 구성 및 비즈니스 로직 등의 변화가 있는 경우 |
제가 생각한 기준말고도 추가적으로 넣어야 내용이 있을까요??
감사합니다.
6개의 답변이 있습니다.
정기점검 주기는 위처럼 하시면 적당할듯 싶네요.
정기점검시 체크리스트는 작성하셨는지요?
어찌보면 점검주기보다 점검할 항목들에 대한 체크리스트가 중요할듯합니다.
서버 정기 점검은 회사마다 다르지만 그래도 년 2회정도는 해야 하지 않을까요? DBMS는 보안에 대해서 패치를 해주시고 OS는 업데이트 등등 해주셔야 합니다.
취약점 점검은 어떤 방식으로 하는지 궁금하네요..? ^^;;
사내의 화이트 해커 집단이 있어서 직접 침투 시험을 해 보는 것도 아닐것 같고...
보안 팀이 취약점을 점검해 본다면 정해져 있는 매뉴얼을 기반으로 해서 점검을 하는게 아닐까 싶어 보이는데요.
신규 시스템이나 변경되는 시스템은 변경되는 시점에 점검해 보면 되는 것이겠고...
추가 점검은 취약점 점검 매뉴얼에 변경 사항이 발생할때 추가된 변경 사항들을 점검해 보면 되는 것이겠고...
보안 업무라면 서버가 생성하는 다양한 로그 정보들을 점검해 보아야 하겠고요.
서버에 로긴한 사용자, 접속 주소는 어떻게 되는지, 로긴 실패하거나 반복적으로 로긴 실패하는 사용자나 접속 주소가 어떻게 되는지, 외부에서 접근하는 다양한 접속 정보들을 분석해 보는 작업이 중요하겠고, DB에 대한 접근, 사용한 쿼리는 어떤 것이 있는 지 등등...
대부분 로그 정보 체크 작업은 일일 점검 또는 가능한 자주 점검해 보아야할 보안 체크 업무 중에 하나가 아닐까 싶어 보이네요.
정기점검 - 보안 취약점 주기는 보안 취약점 점검 후 조치하는 시간을 고려하는게 좋습니다.
테스트, 서비스 중단 등을 고려했을때 시간이 걸릴 수 있습니다.
비정기점검 - 보안 취약점 점검은 위 상황 진행 시(신규 서버, 업그레이드, 패치, 설정 변경 등)에
보안팀 결재 승인하게 프로세스를 수정하면 언급하신 것처럼 마음대로 작업하지 않고
관리가 됩니다.
1.신규 서버에 대해서 초기 취약점 조치 해야합니다
2.OS/MW/DB 는 상반기/하반기 또는 년 1회
-초기 취약점 조치 이후 변경이나 업데이트, 패치는 상황에 맞춰 대처
-DB는 취약점 조치는 최소화 하거나 중요 부분만 해야합니다. 조치이후 서비스 문제 발생
3. 웹서버, 방화벽, ips 등 1년 하반기
4.모바일,app 1년 하반기
서버(OS, DB, WEB, WAS 등)의 정기점검을 분기 1회 수행한다고 하시는데,
제대로 점검하고 조치 할려고 하면 분기 1회도 상당히 업무에 부하를 줄 수도 있을 듯 하네요.
일반적으로 공공기관에서의 정기점검은 년 1회정도로 하고 있습니다.
일반 기업이라면 반기 1회 정도가 어떨까 하네요.