침해사고 접수처리 계획 수립

침해사고 당할 경우 돈을 보내기 때문에 공격자는 더욱 더 공격을 하고 위험에 노출됩니다.

그래서 해커와 협상을 하지 않는 것이 좋다고 생각이 되지요.

 

인터넷 호스팅업체 나야나의 경우 공격자는 찾지 못했지만 워낙 피해가 커서 해커와 협상을 했었습니다.

 

네이트온 PMS가 오염되서 패치가 잘못되서 개인정보가 유출된 사고의 경우 

 

처음에는

"제대로 보안을 하지 않았기 때문에 회사의 잘못이다."라고 판결이 났습니다.

이후에는

"할만큼 했는데도 불가하고 불가항력적으로 막지 못했으므로 회사의 잘못이 아니다."라고 판결이 났습니다.

 

면접 시 자주나오는 질문으로는?

 

보안장비 어느정도 아는지?

전체적으로 알고가는 것이 좋다.

예를 들어

방화벽을 안다면 방화벽 어떤 기능을 통해 어떤 일을 할 수 있습니다.

 

취업 후 KPI 목표치를 80%이상 달성하면 많은 인센티브를 받을 가능성이 높다고 합니다.

 

매일 모의훈련을 많이한 팀의 경우 훈련 당시에는 불만이 많았지만

911테러가 발생 시 죽은사람이 거의 없고 시스템도 DRP수립이 잘 되어 있어서 피해가 거의 없었습니다.

그러나 훈련을 담당했던 담당자는 많은 사람을 구하려다가 본인은 죽게되었습니다.

이 내용은 서프라이즈에서도 나왔답니다.

 

 

---

침해대응 모의훈련 계획 수립

- 전사 임직원 대상으로 의심메일 대응 모의 훈련을 실시하여 보안의식을 강화합니다.

- 외부업체 직원의 경우는 내부메일을 사용하거나 계정에 접근하는 경우는 함께 실시합니다.

 

---

 

FireWall의 Default 정책은 Denied(deny) all 입니다.

 

방화벽은 Top Down 방식이기 때문에

1) allow all

2) deny all

로 설정할 경우 (모두 허용해놓고 차단할 경우)

이미 허용된 것 제외하고 차단하기 때문에

결론적으로 2번째 룰이 의미가 없습니다.

 

 

원격관제센터와 고객사와의 VPN 설정

VPN을 설정하는 이유 

1) hop을 거치지 않습니다.

2) 암호화되서 스니핑되더라도 정보탈취로부터 안전합니다.(터널링)

 

정책관리할 경우 부장님이 내꺼만 열어달라고하면?

안됩니다. 하지 말구 음..

위에 보고하고 가능하면 열어드리겠습니다.

혹은 메일로 보내주시면 확인하고 진행하겠습니다.

라는 방법으로 해야 나중에 문제가 생겼을 때 대처가 가능합니다.

 

---

VPN설정시

IPsec은 UDP 500번을 사용하기 때문에 TCP만 허용해주면 연결이 되지 않으니 참고하시면 됩니다.

 

VPN을 사용하는 이유

안전하게 데이터를 전송하기 위해

 

 

보통 방화벽은 외부에 공개하지 않는다

---

보안장비를 여러 개 두는 이유(Defense In Depth)

= 앞에서 걸러지지 않을 수 있기 때문에

예를 들면 아파트 경비원 + 동 비밀번호 + 현관비밀번호..

또한 각자 역활이 다릅니다. 

---

보통 공격자에게 1시간의 여유가 있다면 거점확보, 데이터유출, 내부확산, 로그삭제 후 식사까지..

식사할 수 있다는 말은 그만큼 널널하다는 의미겠죠?

 

워너크라이에 감염되면 해당 네트워크에서 445가 열렸는지 긁습니다.

 

---

 

랜섬웨어에 걸렸다면?

메일로 돈을 보낼껀데 진짜 풀 수 있는지 확인을 하고싶다고 보내면

공격자가 Teamviewer로 접속해서 확인을 시켜줍니다.

그 전에 키로거를 켜놓습니다.

 

두 번째는 복호화 키가 나올 때까지 데이터를 백업시켜놓습니다.

 

---

공격자 IP가 사설로 나오게 되고 해당 IP는 클라우드 LB의 IP임이 확인되었다.
» 이 구조라면 모든 공격자는 클라우드 LB로 보여지게 된다.
» 이런 이벤트가 발생하고 전달되면 정확하지 않은 정보로 인해서 고객 혹은 담당자는 질의를 하거나 해결방안에 대한
요구가 있을 수 있다

 

내부->내부 방식의 공격된 것 같지만
실제로 공격자가 내부에 거점을 확보한 것이 아니고
로드밸런싱을 하였기 때문에 그 장비의 IP가 찍히게 된 것입니다.

 

이 상황에서는 실제 Client IP(공격자 IP)가 보여지지 않고 LB 즉, Proxy IP만 보여진다는 것이다.
» 이 문제를 해결하기 위한 솔루션은 X-Forwarded-For(XFF)를 활용하는 것이다.

 

HTTP 헤더 중 하나로 HTTP Server에 요청한 Client IP를 식별하기 위한 사실상 표준이다.
» 웹 서버 앞에 L4 혹은 LB나 Proxy 서버 등이 있을 경우 이런 제품들은 웹 서버나 Client로 부터 받은 정보를 가공해서
전송하게 된다. 따라서 웹 서버는 Client IP가 아닌 Proxy 장비의 IP를 얻게 된다.
» 이런 문제를 해결하기 위해 도입 된 것이 XFF이다.
» 다음과 같이 식별되며 가장 처음 나오는 주소가 Client IP이다.

 

---

 

식별안된 자산활동에 대한 예방활동

NAC은 등록되지 않은 mac_address가 있다면 네트워크 차단하는 솔루션

 

---

 

Windows 시스템 보안감사(시스템진단)

administrator 계정이름변경이 위험도는 Low지만

계정잠금정책을 설정한 경우 SID(security ID)는 1000이상인 경우만 적용됩니다.

administrator은 기본으로 SID가 500으로 설정이 됩니다,

 

ID를 알아야 brute force attack을 할 수 있습니다.

 

그래서 해외문서에서는 기본 administrator을 잠궈놓고 새로운 계정을 생성해서

사용하라고 권유를 합니다.

그러면 1000이상의 SID가 부여될 것이고 계정잠금정책으로 인해서 5회 틀릴경우 30분간 잠기게 됩니다.

 

---

 

미미캐츠는 윈도우즈 계정 암호 탈취 도구 입니다.

 

---

 

필터링에서 <script>라는 문자열을 빈 문자열로 치환하는 secure coding은

<scr<script>ipt>alert(1);</script>

이러한 공격에서는 <script>가 사라지고

<script>alert(1);</script>
이런식으로 변경되어 사용될 수 있습니다.