서버 한대를 위험평가 한다고 했을 때
취약점진단은 기반시설 체크리스트로 점검을 하여 취약점을 찾는데
위협 등급을 도출하기 위해 취약점에 따른 위협 항목들은 어떤 기준이 있는건지
아니면 내부적으로 임의로 정하는건지 궁금합니다.
예를들어 root 원격접속 제한 취약점에 대한 위협은 취약한 설정을 위한 접근위협 등으로
정하면 되는건지 궁금합니다
해당 질문의 문제를 해결, 도움이 되는 선택된 답변이 있습니다.
작성된 다른 답변도 확인해 보시기 바랍니다..
10개의 답변이 있습니다.
보통 위험 관련 취약점 기준이 애매모호하기 때문에 국제적이든 국내든 인증을 만들어서 해당 인증에 맞게 컨설팅하고 있습니다.
ISMS든, ISO든.
통신사인 kt나 관련 업체에게 문의를 해보시길 바랍니다.
아무래도 자체적인 기준을 가지고 적용 한다면 공신력을 얻기 힘들 것 같고,
근거를 제시하기 어려운게 사실일 것 같습니다.
공공기관에서 사용하고 있는 기준을 가지고 적용을 한다면
그래도 어느정도 신뢰가 가지 않을까요?
이런 부분에 있어 기준은 정부부처나 관련 유관기관의 기준 및 정책과 결을 같이 하면 편합니다. 근거없이 담당자가 임의로 기준을 정한경우 문제 발생시 아무런 도움이 되지 않습니다. 그래서 회사내규나 규정 등으로 공식화하되 관련근거를 명확하게 정의하는게 중요합니다. 문서행위가 중요하다는 말과 맥락을 같이합니다. 그 그건는 앞서 말씀드린 국가기관 등으로 하면 좋습니다.
예를들어 국정원, KISA, 개인정보보호위원회 등
인터넷에 찾아 보시면
표준 취약점 체크리스트와
표준 os/mw/db 체크리스트가 있습니다
해당 내용중에 상 ,중, 하가 있고
그에 따른 비고란에 내부환경 및 서비스에
멎춰 작성하면 됩니다
위협평가 항목들은 구글링해보시면 될거 같고 KISA홈페이지에도 자료실에보시면 참고 할 내용들이 있으니
참고 하시기 바랍니다.
윈도우서버 취약점 점검 가이드
https://ssv.skill.or.kr/Cloud-Security/windows-security-vulnerability
리눅스서버 취약점 점검 가이드
https://ssv.skill.or.kr/Cloud-Security/linux-security-vulnerability
여기 블로그에 정리 잘 되있네요.
출처는 한국인터넷진흥원 인거 같네요.
안녕하세요,
위에 분들이 다양하게 말씀 주셨듯이, 위험평가 시, 위협 항목에 대한 평가 기준은 회사에서 정하기 나름입니다. (국내 회사 기준)
이때, 자체적으로 준비하시기도 하고, 컨설팅 업체의 도움을 받기도 하시는데요.
통상적으로 두가지 분류인 것 같습니다.
*금융회사인 경우, 전자금융기반시설 분석 평가 해설 내 나온 위협 등급 준용
*정보통신서비스 제공자인 경우, 주요정보통신기반시설 내 나온 위협 등급 준용, (관련 링크: https://www.kisa.or.kr/2060204/form?postSeq=12&lang_type=KO&page=1#fndoDocumentPreview)
- 가이드 내 나온 항목별 중요도를 위협 등급과 동일 시
감사합니다.
보안이라는 건 100% 완벽을 보장하기 어려운 것이죠.
자체적으로 하나하나 준비해서 기반을 마련하는 것 보다는 전문 기관에서 제시하는 자료가 있는지를 먼저 참고해서 그 자료를 기반으로 해서 보완해야할 내용들을 추가 적용해서 마련하는 것이 좋을 거라 생각되네요.
단순히 한 기관의 자료만을 참고하기 보다는 다양한 기관에서 제시하는 자료와 다른 기업들을 자료들도 가능한 많이 참고해서 보충, 보완해서 마련하는 것이 좋을거라 생각되고요.
KISA. 인터넷 진흥원, 대기업 등등의 다양한 자료들을 검색해서 참고해 보는 것이 도움이 되겠죠~
wansoo | 8달 전
보안적인 위험이라면...
서버에 저장된 기밀 정보가 외부 유출되는 문제가 가장 심각한 문제가 아닐까 하는 생각이 드네요.
물론 서버에 저장된 자료의 중요도에 따라 차이가 있긴 하겠지만...
다음으로 위험한 상황은 저장된 자료가 손상되어 사용할 수 없는 상태, 복구 불가한 상태라 할 수 있을 것 같고요.
그 다음으로 위험한 상황은 서버 또는 서비스가 다운되어 복구될 때 까지 운영이 중단되는 상황이 될 수 있을 것 같고...
그 다음으로 위헌함 상황은 서비스의 일시 장애 등으로 불편을 야기하는 상황이 아닐까 하는 생각이 드네요.
risk assessment는 하려고 하면 엄청 많습니다.
서버를 예로 든다면,
■서버가 down 되었을때
■서버 성능 저하가 발생했을때
■서버의 서비스가 down 되었을때 등
많이 있을 수 있습니다.
이런 risk에 대해 어떻게 risk 관리하면 risk를 제거하거나 낮출 수 있냐는 관리인 것이죠.
예를 들면,
hw 고장에 의한 서버 down의 risk를 줄이기 위해 서버 이중화 또는 DR 구축을 하게 되면
risk를 현저하게 낮을 수 있는것이죠.
그리고 risk를 줄이기 위해 투자 예산을 편성하게 되는것이구요.
topkslee | 8달 전
위 형식으로
보안공격, 사용자 실수 등 똑같이 risk 분류할 수 있겠죠.