고객의 사전 동의 후에 실제 해커의 관점에서 수행하는 진단으로 악의적 해킹에 대한 정보 자산의 실질적인 안정성을 평가할 수 있으며 SSR의 모의해킹 서비스는 전문 컨설턴트에 의한 수작업 진단으로 수행됩니다.

모의해킹 서비스란?

웹 취약점 진단

고객사의 웹 서비스 체크리스트 기반 점검 항목으로 취약점 진단

ㆍ주요점검항목

일반 상품 및 금융고객
OWASP Top 10 취약점 일반항목
SSR 47개 취약점 점검 항목 국정원 8대 취약점 항목
교과부지침
금감원지침

웹 모의해킹

도출된 취약점과 관련 시스템에 미치는 영향에 대한 진단

ㆍ주요점검항목

- 취약점이 시스템 자원 및 DB 등의 정보 자산 유출 / 훼손 등에 끼치는 영향 파악

- 전문 컨설턴트에 의한 수작업으로 진행

웹 App 소스코드 취약점 진단

웹 App 소스에 존재하는 취약점 파악 & 대응 방안 제시

ㆍ주요점검항목

- 올바른 입력 값 검증 여부, Secure Code 적용 여부, 중요정보 노출 등

역공학진단

프로그램 본연의 기능을 Reverse Engineering 기법으로 우회하여 발생할 수 있는 보안 위협도출 및 해당 취약점에 대한 대응방안 제시

ㆍ주요점검항목

- 전문도구를 사용한 컨설턴트의 심도진단 수행

- 타진단에 비해 소요 시간과 비용이 높은 편

예: DRM(Digital Rights Management) 솔루션 진단

- 타 사용자 문서에 대한 불법 접근/열람/수정/삭제 진단

- 프로그램 강제 중지/삭제 등 취약점 존재 유무 파악

소스코드 취약점 진단(C/S Application)

소스에 존재하는 취약점 파악 & 대응방안 제시

ㆍ주요점검항목

- 올바른 입력 값 검증 여부, Secure Code 적용 여부, 중요정보 노출 등

스마트 모바일 앱 취약점 진단

공공/기업의 Smart Office 환경을 운영서버의 Application, Client Mobile App, 데이터전송 과정 단계로 나누어 진단을 수행하여 발견된 취약점에 대한 대응방안제시

ㆍ주요 장점

- Mobile 서비스에 맞는 3 단계 분류의 특화된 진단

(소스, 미들웨어/서버, App)

- 다양한 통신환경에 따른 특화된 진단

(3G, 4G, WiFi)

- Mobile을 통한 개인/기업 정보 유출 가능성 점검

(안드로이드, iPhone)

OS 취약점 진단

서버 OS보안설정을 강화할 목적의 진단

ㆍ진단 기반 분류항목 / 체크리스트

- 계정관리, 보안 패치, 서비스관리, 시스템 환경 설정, 파일 관리

ㆍ지원 가능 OS

- Aix, HP-UX, Linux(32bit, 64bit), Solaris8(sparc, 32bit, 64bit, x86), Windows (32bit, 64bit) 등

WEB/WAS 취약점 진단

WEB/WAS 서비스 서버의 보안설정을 강화할 목적의 진단

ㆍ진단 기반 분류항목 / 체크리스트

- 권한관리, 시스템 보안설정, 보안 패치

ㆍ지원 가능 OS

- IIS, Apache, webToB, Jeus, Tomcat, Weblogic 등

DBMS 서버 취약점 진단

DBMS 서비스 서버의 보안설정을 강화할 목적의 진단

ㆍ진단 기반 분류항목 / 체크리스트

- 권한관리, 시스템 보안설정, 환경파일점검, 감사 이벤트, 보안 패치 등

ㆍ지원 가능 OS

- Oracle, MS-SQL, MySQL 등

네트워크 구성 보안 진단

기업의 네트워크 상태와 위협요인에 대한 취약성 분석 및 대응방안 수립 & 제시

ㆍ네트워크 분석대상

- 물리적*논리적 구성, 정보보호시스템 위치, 정보보호시스템 설정, 정보보호시스템 적용, Rule의 적절성 등

ㆍ주요 서비스

- 서비스망 내 정보시스템의 물리적/논리적 구성의 적절성

- 정보보호시스템의 환경설정, 보안정책 적용의 적절성

네트워크 장비 취약점 진단

네트워크 통신장비의 설정을 강화할 목적의 진단

ㆍ진단 기반 분류항목 / 체크리스트

- 계정관리, 서비스관리, 환경 설정, 로그 관리, 보안 패치

ㆍ하드닝 대상

- L3, L4 Switch

정보보호 시스템 진단

정보자산을 보호하는 정보보호시스템을 강화할 목적의 진단

ㆍ진단 기반 분류항목 / 체크리스트

- 정책관리, 운영관리, 접근권한관리, 성능관리, 로그 관리, 백업 관리, 업데이트관리 등

로그 분석 서비스

개인/기업 정보가 로그에 기록되어 유출되는 가능성을 진단하는 서비스

ㆍ로그의 종류

- Event log, System log, WEB log, WAS log

ㆍ주요 서비스

- SSR 전문가를 통한 로그 분석

- 개인/기업 정보 유출 가능성 진단

침해사고 분석 서비스

공격 패턴/경로/범위 파악 & 대응방안 제시 서비스

ㆍ주요 서비스

- 침해사고 발생 시 전문 컨설턴트에 의해 지능화/고도화된 공격 패턴을 상세 분석

- 피해 경로 및 범위를 파악하며 이에 대한 대응방안을 제시