침투 테스트 분류
-
블랙 박스 테스트: 관련 정보 없이 원격 네트워크 위치에서 대상 네트워크 인프라 평가
-
화이트 박스 테스트: 대상 환경에 대한 모든 내부 및 하위 수준 지식을 학습하기 위해 내부적으로 시작됨
-
그레이 박스 테스트: 둘의 장점을 결합하여 대상 시스템의 제한된 지식과 정보를 기반으로 전체 보안을 평가하는 가장 좋은 방법을 선택합니다.
테스트 방법
-
OSSTMM 보안 테스트 방법론 오픈 소스 매뉴얼
-
NIST SP800-42 네트워크 보안 테스트 지침
-
OWASP 상위 10개 웹 애플리케이션 보안 위협 프로젝트
-
WASC 위협 분류 표준(WASC-TC)
-
PTES 침투 테스트 실행 표준
침투 과정 링크
-
초기 상호 작용 • 침투 테스트의 범위, 목표, 제약 조건 및 서비스 계약 세부 정보를 결정합니다.
Pre-Engagement Interaction 단계에서 침투 테스트 팀은 클라이언트 조직과 대화식 토론을 수행하고 가장 중요한 것은 침투 테스트의 범위, 목표, 제약 및 서비스 계약 세부 사항을 결정합니다.
이 단계에는 일반적으로 고객 요구 사항 수집, 테스트 계획 준비, 테스트 범위 및 경계 정의, 비즈니스 목표 정의, 프로젝트 관리 및 계획과 같은 활동이 포함됩니다.
-
인텔리전스 수집 • 대상 조직의 네트워크 토폴로지, 시스템 구성 및 보안 방어에 대한 자세한 정보를 얻습니다.
대상 범위가 결정되면 정보 수집(Information Gathering) 단계에 들어가며, 침투 테스트 팀은 다양한 정보 소스와 수집 기술을 사용하여 대상 조직의 네트워크 토폴로지, 시스템 구성 및 보안 방어 조치에 대한 자세한 정보를 얻을 수 있습니다. .
침투 테스터가 사용할 수 있는 인텔리전스 수집 방법에는 오픈 소스 정보 쿼리, Google 해킹, 사회 공학, 네트워크 스카우팅, 스캐닝 탐지, 수동 청취, 서비스 열거 등이 포함됩니다. 대상 시스템의 지능 탐지 능력은 침투 테스터의 매우 중요한 능력으로 충분한 지능 수집 여부가 크게 좌우됨