솔루션손 끝에서 시작되는 혁신, 정보보안 토탈서비스의 리더 T&D Soft

모의침투 테스트 도구(Metasploit pro)모의 침투 테스트 및 보안취약점 검증 수행

Metasploit pro는 침투 테스트를 전문적으로 수행하는 도구이며, 멀티 레벨 공격을 통해 효율적으로 네트워크에 깊이 침투 하여 취약점 검증할 수 있는 고급 솔루션을 필요로 하는 보안 전문가를 위한 엔터프라이즈급 소프트웨어 입니다.

보안 현황 및 문제점
모의침투 테스트
  • 자산에서 발견된 취약점 별로 실제 위험 정도 파악과 관리가 어려움
  • 수많은 시스템을 모의 침투테스트 하는데 과다한 시간, 인력, 비용이 소모됨
  • 상시 테스트를 못하고 표준화된 방법론과 툴이 부족
자산의 실제 위험 검증
  • 개별 취약점으로 인한 실제 위험의 인식이 부족하여 발견된 취약점의 제거 조치에 혼선
  • 제로데이 취약점 발표 시 전체 자산에 대한 실제 공격 위험의 신속한 파악이 어려움
사용자 보안 의식 제고
  • 피싱 공격 위협의 확인이 어렵고 실제적 대한 부족
  • 조직을 위한 정기적으로 효과적인 사용자 보안의식 교육의 부재

개선사항 적용

개선 Point
  • 자동화된 툴로 전체 IT 인프라의 실제 위험을 눈으로 파악해서 우선 수행할 보안 조치를 선별
  • 실시간 전수 검사로 실제 위험을 검증하는데 대규모 시간과 인력 비용을 절감
  • 업계 표준이라 할 수 있는 자동화된 툴 도입
  • 자산의 중요도에 따라 그룹별로 즉각적 위험 검증 후 신속한 개선조치 수행 가능
  • 제로데이 취약점을 신속하게 검증하여 우선순위에 따른 빠른 제거 조치로 침해사고를 사전에 예방
  • 내부 보안 시스템들이 정상 작동하는지 검증 효과
  • 다양하고 자동화된 모의 피싱 공격을 위한 툴 도입
  • 정기적인 피싱 테스트를 통해 사용자들의 보안 경각심을 높여서 전체적인 보안 침해 예방 효과

Metasploit의 필요성

  • 보안 담당자가 모든 시스템의 실제 위협을 사전에 파악하고 대응하는 것은 현실적으로 매우 어려움
    • 복잡한 정보시스템 환경에 적합한 복합적인 공격 수단을 제공함
      • - 운영시스템(OS)와 서비스 취약점을 이용한 네트워크 해킹
      • - 피싱(Phishing)과 전자메일 기반의 임직원 공격
      • - e-commerce 조작과 내부 데이터 접근을 위한 웹 애플리케이션 해킹
    • 공격자들은 금전적 동기를 가지고 꾸준히 조직적으로 증가함
  • 모의해킹 업무는 유일하게 보안 담당자가 자체적으로 수행하기 어려운 영역임
    • 고객사의 보안 담당자는 정보보호 인증 및 보안 컨설팅 등 대부분 보안 업무에 충분한 대응이 가능함
    • 그러나 모의해킹 업무만큼은 정보보호 전문업체의 인력에게 전적으로 의존해야 함
  • 수작업에 의한 모의해킹 업무는 모든 시스템에 대하여 모의해킹을 수행하기 어려움
    • 대부분의 모의해킹 업무는 대상을 최소화 하는 샘플링 또는 웹 어플리케이션에 특화된 모의해킹만 수행함
    • 최근의 추세는 대부분의 웹 모의해킹 진단으로 인해 웹 취약점은 많이 보완된 반면 상대적으로 내부의 시스템에 대한 취약점이 증대하고 있음
복잡한 비즈니스 환경에 대한 위협은 계속적으로 증가하기 때문에
가장 빠르고 현실적인 공격을 시뮬레이션 해야 하며,
비용대비 가장 효과적인 방법을 선택해야 합니다

Metasploit의 주요기능

구분 기능
빠른 시작 마법사
  • 간단한 설정으로 다양한 시스템의 모의침투, 웹 테스트, 피싱 방지 캠페인을 위한 기본 침투 테스트 안내
  • 누구든 쉽게 테스트를 설정할 수 있는 Wizard 형식, 결과 상세정보 제공
Smart Exploitation
  • 검색된 디바이스와 서비스 항목에 관련된 모든 exploit을 자동선택
  • 안전한 테스트를 위한 신뢰성 순위를 선택
  • 테스트를 실행하기 전, 실행될 exploit을 확인
Brute forcing
Credentials
  • 가장 보편적인 또는 미리 저장된 암호를 사용하여 하나의 명령으로 다양한 서비스 유형에 대한 패스워드 공격 수행
  • 패스워드 해쉬가 취약한 암호 또는 Pass-the-hash 공격이 가능한 암호 기반이면 크랙 가능
안티 바이러스 우회
  • 공격 페이로드가 목표 시스템의 안티 바이러스 솔루션에 탐지되지 않도록 하기 위한 사용자 지정 실행 템플릿과 같은 고급 안티 바이러스 회피 기술 지원
VPN Pivoting
  • 탈취된 시스템을 통하여 Layer 2 네트워크 접근권한을 획득
  • 탈취된 시스템에서 취약점 스캐너와 같은 다양한 네트워크 기반 툴을 사용하여 내부 자원 탐색 및 고급 Exploit 기술 활용
리포팅
  • 감사 보고서 및 침해 시스템 보고서와 같은 기본적 침투 테스트 보고서 생성
  • 웹 어플리케이션 테스트, 사회 공학 캠페인 보고서 템플릿 제공,
  • PCI DSS 또는 FISMA 요구 사항에 결과를 매핑한 컴플라이언스 보고서 제공
사회 공학테스트
  • 침투테스터 : 첨부가 포함된 피싱 이메일, websites hosting exploits, 링크, 변조된 로그인 페이지, 악성 파일 USB 플래시 드라이브 생성
  • 보안 프로그램 : 임직원들의 피싱 이메일 링크 클릭 또는 변조된 로그인 페이지에 로그인 정보입력 행위에 대한 사용자 보안의식 측정을 위한 모의 피싱 이메일 전송
모의 침투 테스트
IT 인프라 자산에 대한 안전한 모의 침투 테스트 실제 공격자 관점에서 전체 자산의 보안 문제를 검증
취약점 검증
고객 환경에서의 실제 보안 위험도 확인 및 입증 Nexpose와 Metasploit의 연동 기능 제공, 취약점 결과를 기반으로 모의 침투 수행
피싱 캠페인
사용자의 보안 인식 수준 및 교육 정도 측정 및 수치화 스피어피싱 및 파밍 등 다양한 사회공학적 공격 기법 제공
내/외부자의 관점에서 모의 침투 데스트 수행
테스트 자산에 안전한 공격 시뮬레이션
세계에서 가장 많은 품질이 검증된 취약점 공격 모듈을 선별
Nexpose와 함께 사용하여 실제 위험 상태를 검증
소셜엔지니어링(피싱 기법)과 비밀번호 검사를 통해 조직의 보안 인식과 방어 상태를 측정 관리
Bruteforce, VPN pivoting, 사회공학적 공격 기법과 같은 정교한 공격에 대한 대응 훈련

문의 031-705-0301 sales@tndsoft.com

TOP