산업기술
산업 제조
오늘날의 기업 세계에서 보안은 가장 일반적인 문제가 되었습니다. 우리는 매일 공격자가 컴퓨터 시스템을 해킹하고 모든 중요한 정보를 훔쳤다는 이야기를 듣습니다.
2019년에는 미국에서 1,473건의 데이터 침해가 보고되었으며 1억 6,400만 건 이상의 민감한 기록이 노출되었습니다. 2020년 상반기에 데이터 유출 건수는 540건에 달했습니다. — Statista 보고서
보안 취약점과 취약점을 탐지하기 위해 많은 대기업이 자체 시스템에서 승인된 가상 사이버 공격을 수행합니다. 이것이 우리가 침투 테스트(줄여서 펜 테스트)라고 부르는 것입니다. 기본적으로 사이버 해커보다 먼저 보안 취약점과 취약점을 파악하여 최대한 빨리 수정하는 것이 목표입니다.
보다 구체적으로, 침투 테스트에는 정보 도난, 자격 증명 손상 또는 기타 유해한 비즈니스 결과로 이어질 수 있는 보안 격차를 (안전한 방식으로) 찾아내고 악용하기 위해 실제 공격 시나리오를 시뮬레이션하는 것이 포함됩니다.
펜 테스트 도구를 통해 사내에서 수행하거나 침투 테스트 제공업체에 아웃소싱할 수 있습니다. 프로세스는 일반적으로 보안 전문가가 대상 네트워크를 열거하여 취약한 장치나 계정을 감지하는 것으로 시작됩니다. 즉, 네트워크의 모든 장치에서 서비스가 실행되는 열린 포트를 검색합니다.
침입 수준은 보안 테스터가 대상 시스템에서 탐색하려는 작업 종류에 따라 다릅니다. 따라서 테스터는 가장 관련성이 높은 종류의 펜 테스트에 대해 잘 알고 있어야 합니다.
침투 테스트는 수행 방법과 대상 자산 및 구성 요소에 따라 분류할 수 있습니다. 이 개요 기사에서는 강력하고 침습적으로 설계된 다양한 유형의 침투 테스트에 대해 설명했습니다.
블랙박스 침투 테스트에서 테스터는 클라이언트의 애플리케이션, 네트워크 구성 또는 모든 종류의 내부 정보에 액세스할 수 없습니다. 필요한 정보를 추출하기 위해 모든 정찰을 수행합니다.
이러한 유형의 테스트는 네트워크 외부에서 악용될 수 있는 시스템의 약점을 판별합니다. 이러한 약점을 찾는 것은 대상 네트워크 내에서 현재 실행 중인 프로그램과 시스템의 동적 검사에 의존합니다.
테스터는 자동화된 스캐닝 소프트웨어와 다양한 수동 침투 테스트 기술에 익숙해야 합니다. 시스템 구성이나 애플리케이션 소스 코드에 대한 사전 지식이 없기 때문에 블랙박스 침투 테스터는 개인 관찰을 기반으로 대상 네트워크의 자체 지도를 구축할 수 있어야 합니다.
제한된 지식으로 인해 테스터는 시스템의 모든 취약점을 찾을 수 없습니다. 이것은 이러한 유형의 테스트의 주요 단점입니다. 테스터가 모든 경계를 위반할 수 없다면 내부 취약점이 발견되지 않은 상태로 남습니다.
그러나 서버 구성 실수 및 입/출력 유효성 검사 오류와 같은 특정 유형의 결함을 발견할 수 있습니다. (더 많은 취약점을 효율적으로 감지하고 수정하여) 성공하려면 블랙박스 테스트 방법론을 다른 테스트 도구와 결합해야 합니다.
블랙박스 침투 테스트를 수행하기 위해 시장에서 사용할 수 있는 도구가 많이 있습니다. 예를 들어, Wapiti는 임시 데이터를 주입하여 웹 애플리케이션에 잠재적인 책임이 있는지 분석합니다.
<울>
이름에서 알 수 있듯이 화이트 박스 침투 테스트는 블랙 박스 테스트의 반대입니다. 테스터는 아키텍처 문서, 소스 코드 및 기타 시스템 정보에 대한 완전한 액세스 권한이 있습니다.
테스터는 잠재적인 약점을 감지하기 위해 사용할 수 있는 많은 양의 데이터를 살펴봅니다. 이러한 종류의 테스트를 위해 정적 및 동적 코드 분석기와 디버거를 모두 사용할 수 있습니다.
테스터는 시스템에 대한 완전한 지식을 가지고 있기 때문에 어떤 모듈을 먼저 테스트해야 하고 어떤 특정 소프트웨어를 사용하여 테스트를 수행해야 하는지 결정하는 데 더 많은 시간이 걸립니다.
JUnit, PyUnit, Selenium은 가장 인기 있는 오픈 소스 화이트 박스 테스트 도구입니다. 예를 들어 Selenium은 다양한 브라우저와 플랫폼에서 웹 애플리케이션을 검증하는 데 사용됩니다.
<울>
이것은 블랙박스와 화이트박스 침투 테스트의 조합입니다. 회색 상자 펜 테스터는 데이터베이스 및 설계 문서와 같은 시스템 내부에 대한 지식이 있습니다. 이 제한된 지식으로 테스트 계획을 준비하면서 더 나은 테스트 데이터와 테스트 케이스를 만들 수 있습니다.
이러한 유형의 테스트는 블랙박스 평가에 비해 시스템 보안에 대한 보다 효율적이고 집중적인 평가를 제공합니다. 애플리케이션의 부적절한 사용이나 코드 구조의 부적절한 사용으로 인한 결함을 식별할 수 있습니다. 더 구체적으로 말하면 복잡한 시스템의 모든 계층에 집중하여 상황별 오류를 찾아냅니다.
그레이박스 테스팅은 기능 테스팅, 웹 애플리케이션, 웹 서비스, 보안 평가 및 GUI에 더 적합합니다. Burp Suite는 잠정적인 안전하지 않은 지점을 공격하여 애플리케이션 취약점을 악용하는 인기 있는 그레이 박스 테스트 도구 중 하나입니다.
<울>
네트워크 침투 테스트 프로세스에는 네트워크 보안을 검사하기 위해 다양한 악성 방법을 사용하여 애플리케이션 및 시스템의 보안 취약성을 발견하는 작업이 포함됩니다.
일반적으로 테스터는 취약점을 찾기 위해 악용 가능한 네트워크, 호스트, 시스템 및 장치(예:스위치 및 라우터)를 식별합니다. 네트워크에는 외부 및 내부 액세스 포인트가 모두 있으므로 외부 세계에서는 원격으로, 클라이언트 사이트에서는 로컬로 테스트를 수행해야 합니다.
이는 테스터가 조직이 처리하고 있는 위험 수준과 보안 결함을 해결하고 수정하는 방법을 이해하는 데 도움이 됩니다. 위험에 따라 테스트에서 다른 네트워크 영역을 대상으로 할 수 있습니다. 예를 들어 다음을 수행할 수 있습니다.
<울>이 테스트에서 조사된 가장 일반적인 프로토콜은 다음과 같습니다.
<울>시스템 크기와 복잡성에 따라 네트워크 침투 테스트를 완료하는 데 1주에서 4주가 소요될 수 있습니다. 테스터는 프로젝트 범위를 지정한 후에만 자세한 견적을 제공할 수 있습니다.
웹 앱 펜 테스트 수행 단계
<울>많은 웹 애플리케이션이 민감한 정보를 보유하고 있기 때문에 항상 보안을 유지해야 합니다. 이를 수행하는 한 가지 방법은 웹 앱 침투 테스트를 소프트웨어 개발 수명 주기(SDLC)의 일부로 포함하는 것입니다.
펜 테스트를 사용하면 데이터베이스, 백엔드 네트워크 및 소스 코드를 포함하여 전체 웹 응용 프로그램과 구성 요소 전반의 취약성을 쉽게 확인할 수 있습니다. 이를 통해 개발자는 약점과 오류를 정확히 찾아 우선 순위를 지정하고 이를 완화할 방법을 강구할 수 있습니다.
이러한 유형의 테스트에는 대상 웹 앱에 대한 데이터 수집, 호스트 네트워크 매핑, 모든 가능한 주입 또는 변조 공격 지점 검사가 포함됩니다. 웹 앱 펜 테스트를 수행하는 가장 큰 이유는 다음과 같습니다.
<울>(수동 및 자동) 웹 앱 침투 테스트를 수행할 수 있는 많은 도구가 시중에 나와 있습니다. Vega, Veracode 및 Zap은 빠른 테스트를 수행하기 위한 가장 일반적인 것들입니다.
<울>
무선 침투 테스트에는 기업의 WiFi에 연결된 모든 장치 간의 연결을 감지하고 분석하는 작업이 포함됩니다. 여기에는 노트북, 스마트폰, 태블릿, 프린터 및 기타 사물 인터넷(IoT) 장치가 포함됩니다.
다양한 무선 프로토콜과 무선 액세스 포인트를 테스트하여 보안 허점을 찾습니다. 일반적으로 이러한 테스트는 테스터가 장치에 액세스하려면 무선 신호 범위 내에 있어야 하기 때문에 클라이언트 사이트에서 수행됩니다.
대부분의 경우 MAC 필터링 부족 및 네트워크 액세스 제어 부족으로 인해 Wi-Fi 액세스 포인트에서 취약점이 발견됩니다. 이러한 문제가 실제로 발생하기 전에 해결하려면 의도하지 않은 취약점을 노출하는 보안 태세의 효율성을 테스트하는 것이 중요합니다.
WiFi가 공격자가 악용할 수 있는 유일한 무선 기술이 아니라는 점을 명심하는 것도 중요합니다. 여러 Bluetooth 장치, Bluetooth 저에너지 장치 및 Z-wave 및 DECT(무선 전화)와 같이 널리 사용되지 않는 기타 기술이 공개되어 있습니다.
<울>
테스터가 웹 브라우저, Adobe Acrobat, 이메일 클라이언트, Macromedia Flash 등과 같은 클라이언트 측 응용 프로그램의 취약점을 악용하는 내부 펜 테스트입니다.
특정 간격으로 이러한 테스트를 수행하는 규칙은 없지만 기업은 새로운 IT 인프라 또는 클라이언트 측 애플리케이션이 추가되거나 기존 인프라가 변경될 때 펜 테스트를 수행해야 합니다.
대부분의 클라이언트 측 취약점은 랩톱이나 데스크톱에 설치된 패치되지 않은 소프트웨어로 인해 발생합니다. 일부 공격자는 업데이트 프로세스를 가로채서 원본 업데이트와 함께 악성 코드를 전송하기도 합니다.
USB 장치도 악성 파일이나 실행 코드에 감염됩니다. 이 파일은 피해자가 USB를 컴퓨터에 연결하는 즉시 자동으로 실행됩니다. 사이트 간 스크립팅, 양식 하이재킹, 클릭재킹, HTML 삽입 및 공개 리디렉션은 가장 일반적인 클라이언트 측 보안 공격입니다.
이것이 직원의 취약성 및 클라이언트 측 공격을 인식하고 대응하는 네트워크의 능력을 테스트하는 것이 중요한 이유입니다.
외부 침투 테스트는 일반적으로 대상 시스템이나 네트워크에 대한 사전 액세스 없이 공격자의 관점에서 테스트합니다. 이는 공격자가 이미 손상된 시스템에 발판을 두고 있는 내부 펜 테스트와 다릅니다.
외부 펜 테스트에서 테스터는 외부 자산에서 발견된 취약점을 활용하여 내부 네트워크에 대한 액세스를 시도합니다. 범위 내 자산에 대한 정찰을 수행하고 범위 내 모든 자산에 대한 데이터를 수집합니다.
이 데이터에는 열린 포트, 취약성 또는 암호 공격에 대한 직원 정보가 포함될 수 있습니다. 경계가 뚫리면 외부 침투 테스트의 목적을 달성하고 테스터는 내부 펜 테스트를 진행합니다.
읽기:개발자를 위한 30가지 유용한 버그 추적 도구
<울>
사회 공학이라는 용어는 인간 상호 작용을 통해 수행되는 광범위한 악성 활동에 사용됩니다. 애플리케이션이나 네트워크의 약점 대신 사람의 실수에 의존하기 때문에 맬웨어 기반 침입보다 예측 가능성이 낮고 탐지하기 어렵습니다.
이러한 종류의 테스트에는 회사 직원을 속여 민감한 정보를 공개하도록 하여 기밀 데이터를 얻으려는 시도가 포함됩니다. 이는 원격 테스트 또는 물리적 테스트를 통해 달성할 수 있습니다.
읽기:15가지 최고의 테스트 데이터 생성 도구
원격 테스트에는 직원에게 피싱 이메일을 보내거나 잘못된 경보 또는 가상의 위협으로 장치를 공격하는 것이 포함됩니다. 이에 반해 물리적 테스트에는 테일게이팅, 사칭, 쓰레기 수거통 잠수, 물리적 위협 등이 포함됩니다.
산업기술
액세스 플랫폼은 작업자에게 다양한 높이에서 작업할 수 있는 임시 또는 영구적 방법을 제공합니다. 그들은 다양한 구성으로 제공되며 유틸리티 유지 보수에서 곡물 처리에 이르는 작업에 사용됩니다. 안정적이고 잘 만들어진 액세스 플랫폼은 작업자에게 자신감을 주고 작업장 부상 및 장비 손상 가능성을 줄일 수 있습니다. 기업은 한 유형의 액세스 플랫폼을 선택하기 전에 사용 사례를 고려해야 하는 경우가 많습니다. 다양한 액세스 플랫폼 유형 살펴보기 액세스 플랫폼에는 고정 또는 조정 가능한 구성 요소, 계단 또는 사다리, 전동식 또는 수동 승강
지원 타워를 사용하면 산업 및 제조 회사가 수직 및 수평으로 작업할 수 있습니다. 지지탑은 일반적인 곤충 및 습기 위험을 줄이기 위해 벌크 식품을 들어올릴 수 있습니다. 제품을 트럭에서 창고로 옮기거나 직원이 현장에서 접근하기 어려운 위치에 도달하도록 도울 수 있습니다. 지원 타워는 효율성과 품질 보증을 개선하기 위해 대규모 시설에서 다양한 용도로 사용할 수 있습니다. 일반적인 지원 타워 및 용도 많은 산업에서 지원 타워를 사용하여 현장 프로세스를 간소화합니다. 예를 들어 농업 산업에서는 타워를 사용하여 곡물을 운송 및 저장하고