| 일 | 월 | 화 | 수 | 목 | 금 | 토 |
|---|---|---|---|---|---|---|
| 1 | 2 | 3 | 4 | 5 | 6 | 7 |
| 8 | 9 | 10 | 11 | 12 | 13 | 14 |
| 15 | 16 | 17 | 18 | 19 | 20 | 21 |
| 22 | 23 | 24 | 25 | 26 | 27 | 28 |
| 29 | 30 |
- Cryptography
- Recon
- 파일 업로드 취약점
- overthewire
- active reconnaissance
- War Game
- Authentication
- tryhackme
- php To Do List
- php
- php 로그인 페이지 만들기
- Leviathan
- file upload
- privilege escalation
- ssrf
- active recon
- php 파일 업로드하기
- access control
- SQLi
- sql injection
- over the wire
- php file upload
- FTZ
- BANDiT
- php login page
- Cookie
- OS Command Injection
- THM
- Reconnaissance
- Server Side Request Forgery
- Today
- Total
R's Hacking Daily Log
Introduction to Defensive Security 본문
▶ Task 1 : Introduction to Defensive Security
offensive security는 시스템 침입에 중점을 둔다.
시스템 침입은 버그 악용, 남용된 insecure setup, 접근 제어 정책 활용 등으로 일어날 수 있다.
이에 반대되는 개념으로 Defensive security는,
▷ 침임이 발생하는 것은 예방
▷ 침임이 발생했을 때 감지&적절한 대처
위의 두 가지의 업무를 중점으로 본다.
Red Team이 offensive security의 한 부분이라면, Blue Team은 Defensive security 환경의 한 부분이다.
아래에서는 defensive security와 관련된 대표적인 내용 몇 가지를 다루고 있다.
- 사용자의 사이버 보안 인식 :
사이버 보안에 대해 사용자 교육은 그들의 시스템을 대상으로 하는 다양한 공격으로부터 보호하는 데 도움이 된다. - 자산 문서화&관리 :
적절히 관리하고 보호해야 하는 시스템 or 장치의 유형을 잘 알아야 한다. - 시스템 업데이트&패치 :
컴퓨터, 서버&네트워크 장치가 알려진 취약점으로부터 올바르게 업데이트&패치되도록 해야 한다. - 예방적 보안 장치 설정 :
방화벽&침입 방지 시스템(IPS)은 예방적 보안의 중요한 구성요소이다.
방화벽 : 시스템 or 네트워크에서 퍼져 나가거나 내부로 들어올 수 있는 네트워크 트래픽을 제어
IPS : present rules and attack signatures와 매치되는 네트워크 트래픽을 차단 - logginh&monitoring 장치 설정 :
적절한 logging or monitoring 장치 없이는 악의적인 활동 or 침입을 감지할 수 없다.
승인되지 않은 새 장치가 네트워크에 나타난다면 이를 알아차릴 수 있어야 한다.
▶ Task 2 : Areas of Defensive Security
이번 task에서는 아래의 두 가지 내용을 중점으로 본다.
▷ Threat Intelligence를 다루는 Security Operations Center(SOC)
▷ Malware analysis를 다루는 Digital Forensics and Incident Response(DFIR)
[SOC : Security Operations Center]
SOC란, 네트워크/시스템에 "악의적인" cyber security event를 탐지하기 위해 모니터링하는 cyber 보안 전문가로
구성된 팀을 의미한다.
▷ 취약점 :
시스템 취약점(약점)이 발견될 때마다, 적절한 update or patch를 통해 해결하는 것은 필수적이다.
수정 사항을 적용하지 못할 경우 공격자의 이를 악용하지 못하게 필요한 조치를 취해야 한다.
▷ 정책 위반 :
시스템 취약점(약점)이 발견될 때마다, 적절한 update or patch를 통해 해결하는 것은 필수적이다.
수정 사항을 적용하지 못할 경우 공격자의 이를 악용하지 못하게 필요한 조치를 취해야 한다.
▷ 비권한 활동 :
user의 id and passwd가 도둑맞았다고 생각해보자. 공격자는 이 정보를 사용해 네트워크에 로그인할 것이다.
이런 경우, SOC는 피해가 발생하기 전 가능한 빨리 event를 탐지하고 차단해야 한다.
▷ 네트워크 침입 :
침입은 악의적인 링크를 클릭하는 경우 or 공용 서버를 악용하는 경우에 일어날 수 있다.
어떤 경우든지 추가적인 피해를 막기 위해 최대한 빨리 이를 감지해야 한다.
위의 내용을 포함항 SOC는 다양한 업무를 담당하는 데, 그 중에 하나로 Threat intelligence가 있다.
[Threat Intelligence]
Intelligence : 실재&잠재적인 적에 대해 모든 정보
Threat : 시스템에 영향을 미치는 or 방해하는 어떠한 행위로,
Threat Intelligence는,
잠재적인 적들에 대항하여 더 나은 준비를 할 수 있도록 하는 정보를 모으는 것을 목표로 삼는다.
Threat Intelligence의 목적은 Threat-informed defense을 달성하는 것으로
Threat-informed defense란, Threat Intelligence를 사용하여 얻은 정보를 보안 프로그램에 적용하는 걸 말한다.
▷ Intelligence는 정보이기 때문에 기본적으로 데이터를 필요로 하며, 아래와 같은 단계를 거친다.
1. 수집(collecte) :
네트워크 log와 같은 local source & 포럼과 같은 public source에서 수집
2. 처리(process) :
데이터 분석에 적합한 형식으로 배열
3. 분석(analysis) :
공격자와 그들의 동기에 대한 자세한 정보를 찾아보고, 실행가능한 단계와 권장 사항 목록을 만듦
결과적으로 적에 대한 정보를 알면 그들의 전술, 기술, 절차를 알 수 있기 때문에
Treat-intelligence를 통해 적을 식별하고 행동을 예측하여 대응 전략을 준비할 수 있다.
[ DFIR : Digital Forensics and Incident Response ]
Forensics이란, 범죄 조사와 사실 확립을 위해 과학을 적용하는 것으로,
defensive security에서 Digital Forensics은
- 증거 분석
- 지적 재산 절도
- 사이버 스파이 활동
- 무허가 콘텐츠 소지
와 같은 영역에 초점을 맞출 뿐 아니라 아래에 서술되는 영역도 포함하게 될 것이다.
▷ File System :
시스템 저장소의 digital forensics image를 분석하면 설치된 프로그램, 삭제된 파일, 부분적으로 덮어쓴 파일, 생성된 파일 등 무수한 정보가 드러남
▷ System Memory :
만약 공격자가 디스크에 저장하지 않고 악의적인 프로그램을 메모리에서 실행시킨다면,
시스템 메모리의 forensics image를 가져오는 것이 내용을 분석&공격에 대한 정보를 알아내는 가장 좋은 방법
▷ System logs :
각 서버 컴퓨터와 클라이언트는 무슨 일이 일어나고 있는 지에 대한 내용을 서로 다른 log file에서 유지하고 있다.
log 파일은 시스템에서 발생한 일에 대한 많은 정보를 제공하며 일부 흔적은 공격자가 지우려고 해도 지워지지 않는다.
▷ Network logs :
네트워크에서 오고간 패킷의 로그는 공격이 일어났는지의 여부&수반되는 사항에 대한 질문에 답하는 데 도움이 된다.
[Incident Response]
Incident : 데이터 유출 or 사이버 공격
여기서 말하는 cyber attack의 예로는 공격자가 네트워크 or 시스템을 접근불가하게 만들거나,
회사의 데이터를 훔치거나 웹사이트를 훼손하는 경우가 있다.
Incident Response는 이런 사례를 처리하기 위해 따라야 하는 방법론을 지정하며,
최대한 짧은 시간안에 복구하는 것 & 손상을 줄이는 것을 목표로 한다.
위의 사진은 Incident response를 크게 4단계로 나타낸 흐름도이다.
▷ Preparation : 이 단계에서 incidents를 다룰 준비와 훈련이 된 팀(team)이 필요하다.
▷ Detection and Analysis :
Preparation에서 말한 team은 incident를 감지하는 데 필요한 자원을 갖추고 있으며,
감지된 incident를 분석하고 심각도를 파악하는 것이 중요하다.
▷ Containment, Eradication and Recovery :
incident가 감지되면, 다른 시스템에 영향이 가지 않도록 중지, 원인을 제거&타격받은 시스템을 복구해야 한다.
▷ Post-Incident Activity :
성공적으로 복구를 끝내고 나면, 레포트를 작성해 공유함으로써 이후에 유사한 공격이 이뤄지는 것을 방지한다.
[ Malware ]
Malware는 malicious software의 줄임말로,
네트워크를 통해 전송 or 디스크에 저장할 수 있는 파일, 문서, 프로그램을 Software라고 한다.
▷ 바이러스 : 한 컴퓨터에서 다른 컴퓨터로 확산되도록 설계되며
바이러스가 감염된 컴퓨터는 속도가 느려지는 것부터 사용할 수 없게 되는 현상까지 다양하게 결과가 나타난다.
▷ Trojan Horse : 트로이 목마는 바람직한 기능을 보여주지만 그 기저에 악의적인 기능이 숨겨져 있는 프로그램
▷ Ransomeware : user의 파일을 암호화하는 악의적인 프로그램으로, 암호화된 파일은 읽을 수 없기 때문에 암호화 password가 필요하다.
Malware analysis는 악의적인 프로그램을 학습하는 것을 목표로 하며,
1. Static analysis
정적 분석은 악성 프로그램을 실행하지 않고 검사하는 방식으로, 어셈블리어에 대한 지식이 필요하다.
2. Dynamic analysis
동적 분석은 통제된 환경에서 malware를 실행시키고 프로그램의 활동을 모니터링하는 방식으로,
malware가 실행될 때 어떤 행동을 하는지 관찰할 수 있다.
'TryHackMe > Walkthroughs' 카테고리의 다른 글
| What is Networking? (0) | 2023.02.04 |
|---|---|
| Pentesting Fundamentals (0) | 2023.01.30 |
| Web Application Security (0) | 2023.01.23 |
| Hydra (0) | 2023.01.20 |
| Intro to Offensive Security (0) | 2023.01.20 |
