웹과 어플리케이션 보안 취약점 진단은
자동화된 스캐너 툴을 활용해서 웹 사이트 전체에 대한 보안 취약적을
신속하게 진단하는 것을 말하는데요.
잠재적인 보안 위협을 식별하고 평가하는 중요한 프로세스입니다.
진단 기준으로는
OWASP TOP10, CWE / SANS 25, PCI-DSS, HIPAA 등이 입습니다.
OWASP TOP10
OWASP(Open Web Application Security Project)에서 발표한 TOP10 보안 취약점
-접근 권한 취약점, 암호화 오류, 인젝션, 안전하지 않은 설계,
보안설정오류, 취약하고 오래된 요소, 식별 및 인증 오류,
소프트웨어 및 데이터 무결성 오류, 보안 로깅 및 모니터링 실패,
서버 측 요청 위조
OWASP TOP10 일반적인 진단 수행 절차
계획 수립, 정보 수집, 취약점 진단 수행, 결과 분석,
대응 방안 수립, 보고서 작성 및 리뷰, 이행 점검
CWE(Common Weakness Enumeration) /
SANS 25(SANS Institute)
소프트웨어 개발 과정에서 발생할수 있는
가장 위험하고 일반적인 보안 취약점 25가지를 정리한 목록으로,
실제 취약점 데이터를 기반으로 작성되어 현실적인 위험을 반영하구요.
개발자와 보안 전문가들에게 우선순위를 두고 대응해야 할 취약점을 제시하며,
조직의 보안 태세를 강화하는데 많은 도움이 됩니다.
일반적인 작성 방법
공개된 취약점 데이터(CVE)를 분석,
각 CWE에 대해 빈도와 심각도를 계산,
빈도와 심각도를 곱해서 위험 점수를 산출,
위험 점수가 높은 순서대로 25개 취약점을 선정
PCI-DSS(Payment Card Industry Data Security Standard)
신용카드 정보를 안전하게 보호하기 위해 만들어진 국제 보안 표준으로,
신용카드 정보를 저장, 처리, 전송하는 모든 기업과 조직이 준수해야 하며,
가맹점, 결제 대행사, 금융기관 등 카드 결제와 관련된 모든 주체가 대상입니다.
안전한 네트워크 구축 및 유지, 카드 소지자 데이터 보호,
취약점 관리 프로그램 유지, 강력한 접근 통제 조치 구현,
네트워크 정기 모니터링 및 테스트,
정보보안 정책 유지
HIPPA(Health Insurance Portability and Accountability Act)
개인의 건강 정보를 보호하고 의료 서비스의 효율성을 높이기 위한
목적으로 만들어졌습니다.
의료 보험의 연속성 보장, 행정 간소화 및 의료 정보 보안,
세금 관련 의료 조항, 그룹 건강보험 요구사항 적용 및 시행,
수익 상쇄 총 5가지 구성 요소로 이루어져 있습니다.
아래 연락처로 연락주시면
다양한 업종의 취약점 진단 컨설팅 서비스 경험이 있는
비즈니스 파트너를 연결시켜 드리겠습니다.
