모의침투 테스트 도구(Metasploit pro)모의 침투 테스트 및 보안취약점 검증 수행
Metasploit pro는 침투 테스트를 전문적으로 수행하는 도구이며, 멀티 레벨 공격을 통해 효율적으로 네트워크에 깊이 침투 하여 취약점 검증할 수 있는 고급 솔루션을 필요로 하는 보안 전문가를 위한 엔터프라이즈급 소프트웨어 입니다.
보안 현황 및 문제점
모의침투 테스트
- 자산에서 발견된 취약점 별로 실제 위험 정도 파악과 관리가 어려움
- 수많은 시스템을 모의 침투테스트 하는데 과다한 시간, 인력, 비용이 소모됨
- 상시 테스트를 못하고 표준화된 방법론과 툴이 부족
자산의 실제 위험 검증
- 개별 취약점으로 인한 실제 위험의 인식이 부족하여 발견된 취약점의 제거 조치에 혼선
- 제로데이 취약점 발표 시 전체 자산에 대한 실제 공격 위험의 신속한 파악이 어려움
사용자 보안 의식 제고
- 피싱 공격 위협의 확인이 어렵고 실제적 대한 부족
- 조직을 위한 정기적으로 효과적인 사용자 보안의식 교육의 부재
개선사항 적용 ▼
개선 Point
- 자동화된 툴로 전체 IT 인프라의 실제 위험을 눈으로 파악해서 우선 수행할 보안 조치를 선별
- 실시간 전수 검사로 실제 위험을 검증하는데 대규모 시간과 인력 비용을 절감
- 업계 표준이라 할 수 있는 자동화된 툴 도입
- 자산의 중요도에 따라 그룹별로 즉각적 위험 검증 후 신속한 개선조치 수행 가능
- 제로데이 취약점을 신속하게 검증하여 우선순위에 따른 빠른 제거 조치로 침해사고를 사전에 예방
- 내부 보안 시스템들이 정상 작동하는지 검증 효과
- 다양하고 자동화된 모의 피싱 공격을 위한 툴 도입
- 정기적인 피싱 테스트를 통해 사용자들의 보안 경각심을 높여서 전체적인 보안 침해 예방 효과
Metasploit의 필요성
-
- 보안 담당자가 모든 시스템의 실제 위협을 사전에 파악하고 대응하는 것은 현실적으로 매우 어려움
-
- 복잡한 정보시스템 환경에 적합한 복합적인 공격 수단을 제공함
- - 운영시스템(OS)와 서비스 취약점을 이용한 네트워크 해킹
- - 피싱(Phishing)과 전자메일 기반의 임직원 공격
- - e-commerce 조작과 내부 데이터 접근을 위한 웹 애플리케이션 해킹
- 공격자들은 금전적 동기를 가지고 꾸준히 조직적으로 증가함
- 복잡한 정보시스템 환경에 적합한 복합적인 공격 수단을 제공함
-
- 모의해킹 업무는 유일하게 보안 담당자가 자체적으로 수행하기 어려운 영역임
-
- 고객사의 보안 담당자는 정보보호 인증 및 보안 컨설팅 등 대부분 보안 업무에 충분한 대응이 가능함
- 그러나 모의해킹 업무만큼은 정보보호 전문업체의 인력에게 전적으로 의존해야 함
-
- 수작업에 의한 모의해킹 업무는 모든 시스템에 대하여 모의해킹을 수행하기 어려움
-
- 대부분의 모의해킹 업무는 대상을 최소화 하는 샘플링 또는 웹 어플리케이션에 특화된 모의해킹만 수행함
- 최근의 추세는 대부분의 웹 모의해킹 진단으로 인해 웹 취약점은 많이 보완된 반면 상대적으로 내부의 시스템에 대한 취약점이 증대하고 있음
가장 빠르고 현실적인 공격을 시뮬레이션 해야 하며,
비용대비 가장 효과적인 방법을 선택해야 합니다
Metasploit의 주요기능
구분 | 기능 |
---|---|
빠른 시작 마법사 |
|
Smart Exploitation |
|
Brute forcing Credentials |
|
안티 바이러스 우회 |
|
VPN Pivoting |
|
리포팅 |
|
사회 공학테스트 |
|
- 모의 침투 테스트
- IT 인프라 자산에 대한 안전한 모의 침투 테스트 실제 공격자 관점에서 전체 자산의 보안 문제를 검증
- 취약점 검증
- 고객 환경에서의 실제 보안 위험도 확인 및 입증 Nexpose와 Metasploit의 연동 기능 제공, 취약점 결과를 기반으로 모의 침투 수행
- 피싱 캠페인
- 사용자의 보안 인식 수준 및 교육 정도 측정 및 수치화 스피어피싱 및 파밍 등 다양한 사회공학적 공격 기법 제공
- 내/외부자의 관점에서 모의 침투 데스트 수행
- 테스트 자산에 안전한 공격 시뮬레이션
- 세계에서 가장 많은 품질이 검증된 취약점 공격 모듈을 선별
- Nexpose와 함께 사용하여 실제 위험 상태를 검증
- 소셜엔지니어링(피싱 기법)과 비밀번호 검사를 통해 조직의 보안 인식과 방어 상태를 측정 관리
- Bruteforce, VPN pivoting, 사회공학적 공격 기법과 같은 정교한 공격에 대한 대응 훈련