취약점 분석 서비스

취약점 Vulnerability 과 규제 Compliance를 동시에 관리

컨설팅문의

CVE CWE CCE란?

CVE

Common Vulnerabilities and Exposures

CVE 란?

  • CVE는 공개적으로 알려진 소프트웨어의 보안취약점을 가리키는 고유 표기를 뜻합니다.
    이는 취약점을 가진 다른 도구, 저장소 및 서비스 간에 데이터를 공유하는 것이 목표입니다.

  • 컴퓨터의 하드웨어 또는 소프트웨어의 결함이나 체계 설계상의 허점입니다.

  • CVE취약점은 해킹코드인 exploit code가 존재하며 cve.mitre.org를 통해 공개되고 있습니다
    •

    CWE

    Common Weakness Enumeration

    CWE 란?

  • CWE는 SQL 인젝션, 크로스 사이트 스크립팅, 버퍼 오버 플로우 등 다양한 소프트웨어의 결함을 식별하기 위해 결함의 종류(결함의 유형)목록을 체계화하여 제공하고 있습니다.

  • 해당 취약점에 대한 정의, 설명, 해당 취약점의 플랫폼(언어), 반도 및 예제 코드, 완화 방법 기술(미 국토 안보부)은cwe.mitre.org에서 확인할 수 있습니다.

    • CCE

    Common Configuration Enumeration

    CCE 란?

  • 사용자에게 허용된 권한 이상의 동작이나 허용된 범위 이상의 정보 알람, 변조, 유출을 가능하게 하는 설정(Configuration) 취약점 입니다.

  • "패스워드는 특수문자, 알파벳, 숫자를 조합하여 8자리 이상으로 한다"와 같이사용자 설정과 같은 구성을 뜻합니다.

    • 취약점 점검 종류

    Vulnerability Check Type

    취약점 점검 종류는 아래와 같이 구분될 수 있으며 IP를 기반으로 이루어진 모든 IT 장비에서 수행 가능합니다.

    시스템 취약점 점검

    Windows, Linux, Unix등 시스템OS에서 발생할 수 있는 취약점에 대한 점검

    네트워크 장비 취약점 점검

    Cisco, Juniper 와 같은 네트워크 장비에서 발생할 수 있는 취약점에 대한 점검

    DB 취약점 점검

    MySQL, MSSQL, ORACLE 등과 같은 Database에서 발생할 수 있는 취약점에 대한 점검

    iphone 2

    보안 장비 취약점 점검

    Firewall, IPS, IDS, WAF등과 같은 보안장비에서 발생할 수 있는 취약점에 대한 점검

    애플리케이션 취약점 점검

    Web Application, Mobile Application 등과 같이 애플리케이션에서 발생할 수 있는 취약점에 대한 점검

    침해사고 대응훈련

    시나리오를 기반으로 침해사고 대응훈련을 통한 보안 인식 상태점검 more

    취약점 점검 구성

    Vulnerability Check Configuration

    취약점 관리 특성상 2가지의 점검 구성이 필요합니다

    External 점검

    해커의 입장에서 모든 보안기자재에 변경 사항없이 외부에서 취약점 점검을 수행합니다.

    외부에서 사용자들이 접속할 수있는 DMZ 구간의 서버가 대상이되며, 취약점이 발견될 경우 외부에서 해킹이 가능하기 때문에 즉시 제거가 필요합니다.

    Internal 점검

    무인증 및 인증 점검 수행합니다.
    내부 사용자의 입장에서 내부 취약점 점검을 수행합니다.


    인증점검

    최근 가장 큰 이슈는 원격 공격보다 Endpoint 단의 APT 공격입니다. 보안 기자재가 잘 갖춰진 구성을 해킹해야 되는 원격 공격보다 상대적으로 공격하기 쉬운 내부 사용자에 악성코드 감염을 통해서 공격을 시자하는 것이 대부분입니다.

    무인증 점검

    인증점검과 같은 관점이나 계정정보 없이 점검이 가능합니다.
    계정정보 없이 발견 된 취약점의 경우 인증점검 보다 먼저 처리되어야 합니다

    Services

    사용 목적에 따라 진행 가능한 지니온만의 서비스들을 소개합니다.
    취약점 분석 서비스 문의는? more