보안개론 정리(1)

컴퓨터의 핵심 : 데이터나 정보를 저장하고 처리하는 전자적인 기기

 

• DATA
  • Raw Data = 가공되지 않음
  • Unorganized = 조직화되지 않음
  • Unprocessed = 처리되지 않음
  • Chaotic or Unsorted = 혼란한 상태
  • Input to a Process = 어떤 Process의 입력

 

• Information
  • Useful & Relevant = 유익하고 적절한 형태로 되어있음
  • Organized = 조직화됨
  • Processed = 처리되어있음
  • Ordered or Sorted = 정렬되어있음
  • Output of a Process = 어떤 프로세스의 출력

 

많은 조직에서 정보와 데이터는 중요한 자산이다!!

 

• Information Technology : 데이터나 정보를 처리하거나 배포하기위해서 컴퓨터 시스템이나 네트워크를 개발하거나 사용하는 기술

 

• SW Engineer
  컴퓨터 소프트웨어에 대해서 설계하고 개발하고 테스트, 유지보수하는 일을 함, 이러한 원칙들을 적용함
  전체 과정에 참여 => 주로 팀단위 활동
  HW 시스템의 구성요소를 알 필요가 있음 => ex) hdd인지 ssd인지 ...등
  SW 개발시 필요한 도구를 만듦
  큰 규모에 관련된 이슈를 해결할 필요가 있음 => 전체과정을 관여하기 때문에

 

• SW Developer
  다양한 유형의 컴퓨터에 소프트웨어를 빌드함
  전체 과정중에서 한 부분에서 관여함(주로 구현부분) => 주로 개별활동
  완전한 프로그램을 작성
  만들어진 도구를 사용(편집기 컴파일러 디버거...등)
  제한된 규모에 관여를 함 => 한 부분에 관여하므로

 

• Information System
  Hardware, Software, Networks, Data, People, Processes의 집합
  <-> Information Technoloy : HW, SW, Networks, Data

 

• Data를 가공하면 정보가됨 => 회사의 절차나 정책은 정보를 어떻게 처리, 배포할것인지 관련됨 따라서 데이터와 정보가 중요함

 

• Security??
  위협, 위험, 취약점이 없는 안전한 상태, 공격자가 존재하는 상황에서도 원하는 특성을 만족하는 것.
• 
  
  • Interception : 중간에 가로챔(도청)
  • Interruption : 중간에 막음
  • Modification : 중간에 데이터를 변조함
  • Fabrication : 제 3자가 송신자인척 보냄 (위조) => 인증이 필요 => id/pw, 공인인증서, 생채 인증 등..
  • 기밀성 : 권한을 가진 사람만 정보 접근 => 도청 방지 => 비인가적인 읽기 막아야
  • 무결성 : 인가된 사람만 수정가능, 정보의 출발지 확인(위조 방지) => 비인가적인 쓰기 막아야 =>정보의 정확성, 안정성 보장
  • 가용성 : 인가된 사용자는 그 정보에 항상 접근할 수 있음 => DDoS 방지 => 데이터는 정상적인 사용자가 필요로할때 언제든 이용가능해야한다.

=> 공격자가 존재하는 상황에서 C.I.A를 집행함

 

• cia로만 충분하지 않음 => 인증필요
•  
• 네트워크 보안도 중요 => 네트워크 프로토콜(보안 강화된) 중요, 암호알고리즘
•  
• 인증되었어도 허가된 행동만 수행하도록 해야함 => 인가 (authorization)
• 
  멀티 유저 시스템에서 인가가 필요함(root, suepr user, normal user, guest)
•  
• 부인방지
  You did that => 하지 않았다고 부인하는것을 방지
•  
• 책임 추적성(Accountability)
  who, when, where, why, how, what
  모든 transcation에 대해 기록하고 제공해야함
  행동들이 추적간능해야한다.
•  
• Information Security
  인가되지 않은 접근, 기록, 수정, 변조, 파괴 등으로부터 정보를 보호
  => 허가되지 않은 공격으로부터 정보를 보호
  (Destruction : 일부 삭제 or 교체)
•  
• Computer Security
  적대적인 환경으로부터 컴퓨터 시스템을 보호하는 것
  (계획된 사용은 허용, 불법적인 사용을 막음)
  컴퓨터 시스템 자신과 컴퓨터 시스템이 저장하거나 접근하는 데이터를 보호하는 것.
•  
• 컴퓨터 보안과 정보보안의 차이
  컴퓨터보안 : 디지털 형태로 된 데이터나 정보에 초점을 두고 보호, 디지털로 된 정보, 시스템, 네트워크 디지털을 다루는 시스템이나 네트워크를 보호하는 것
  정보보안 : 아날로그, 디지털 정보를 보호, 디지털로된 정보, 디지털로된 시스템 네트워크뿐만아니라 아날로그로 된 정보까지도 보호대상임

공격, 위협으로부터 보호

• 공통점 : 컴퓨터 시스템이나 네트워크를 보호,

 

• Software Security
  악의적인 공격하에서도 SW기능이 정상적으로 동작하도록 설계,개발, 테스팅하는 개념
  취약점을 차단하는것과 다름 => 취약점 : 보안상의 허점
  뚫리고 난 후 사후대책을 하는 것은 아님(reacting)안전한 SW를 개발하는 모든 것
  보안을 위해서 SW를 설계 구현 테스트하는 과정
  Pro-Active, 능동적인 접근 방식 : 미리 예방함 => SW를 구성할때 보안을 내재화(각 개발 단계마다, 만들때부터 보안 고려)

 

• Security engineering과 관련있음 => 모든 과정에 관련, 시스템 설계시 보안 측면에 초점을 둔 엔지니어링의 특별한 분야
  보안 요소 : 문제의 요소가 되는 것을 처리하는데 필요한 보안요소들 => 자연적인 재해, 악의적 공격 등

 

• SW에 의해서 유발되는 보안 위험을 이해하고 예방하고 보완하는 것임

 

• Microsoft Security Development Lifecycle
  보안에 관련된 설계 결함, 코딩 단계의 결함을 줄이는 것 => 취약점, 해커에 의해서 악용될 수 있는 취약점을 줄이는것
  (* 공격자가 방어자보다 유리함, 공격자는 취약한 점 하나만 찾으면 되지만 방어는 모든 취약점을 찾아서 막아야함)=> 취약점을 제거, 제거하지 못한다면 심각도를 줄임-Secure by Default
  공격에 문제가 없는 시스템을 만듦

 

• -Secure in Deployment and Communication
  배치, 설치, 통신시 안전하게 함

 

• -Secure by Design
  설계시부터 보안 고려

 

• 남아있는 취약점들의 심각도를 줄임

SDL은 SW 개발 주기에 보안에 관련된 점검과 대책을 추가함
전 과정에서 보안을 고려 + 보안 교육

• Software Security != Security Software
  Software Security => 어떤 sw를 개발/구현 할 때 모든 단계에서 보안을 내재화
  Security Software => SW로 개발된 보안 도구, 보안제품/서비스가 sw로 개발됨

 

• Types of Cybersecurity attacks
  -Phising
  범죄자가 희생자를 믿게만들고 범죄를 수행함(주로 링크 클릭)
  -Pharming
  정상사이트를 위조하여 가짜 사이트를 만듦
  -중간자 공격
  송신자가 보낸 내용을 가로채서 변조함, 네트워크 통신을 조작하여 통신 내용을 도청하거나 조작하는 공격기법
  -Drive by download attack
  희생자 모르게 어떤 악의적인 프로그램이 설치되게함(동의없이 다운 or 설치)
  -Malvertising
  인터넷 광고로 위장하여 악성코드를 설치함(광고를 보면 악성코드가 설치됨) malware + advertising
  -Rogue antiviurs
  백신 프로그램을 사칭하여 결제를 유도함

정리)
What is the difference between information security and computer
security?

=> information security : 어떤 형태의 정보든지에 상관없이 관련된것

computer security => 디지털 형태의 정보만 관심을 가짐

 

What is the difference between software security and security software?

software security => 개발 단계에서부터 보안을 신경써서 소프트웨어를 개발하는것

security software=> 악성코드를 탐지하는 소프트웨어

 

What is malvertising?

=>광고처럼 보이는 공격

 

What is rogue software?

=>악성코드가 있는것 처럼 속이고 결제를 요구하는 소프트웨어(가짜백신)

 

• Good Security Standards follow the 90/10 rule
  보안 문제의 10%는 기술적으로 해결가능하지만, 90%sms 사용자에게 달려있다. 보안 문제는 모든사람의 책임이라는 의미이다.
• Interruption,Interception, Modification, Fabrication Security threats 예시
  Interruption(가로막기) => TCP flood, Ping flood, DoS DDoS
  Interception(가로챔) => packet sniffing, key logging
  Modification(변조) => android 리패키징 공격, 임베디드 시스템의 펌웨어 변조
  Fabrication(위조, 가장함) => DNS Spoofing, Replay attack

암호알고리즘, 프로토콜, 접근제어는 소프트웨어로 구현이됨
따라서 소프트웨어가 만약에 문제가 생기면 보안취약점으로 연결이되어 보안사고를 유발함

• 데이터 기밀성을 보장하는 법?
  • 암호기법
    AES(대칭키), RSA(비대칭키)
  • 강한 접근제어사용
    Never access(중요데이터, 관리자가 아닌경우), No read, No view
  • 중요한 데이터가 임의의 장소에서 나타나지 않게 함
• 데이터 무결성을 보장하는 법?
  • documenting system activity
    로그로 남김
  • 강한 access control
    no write , no append or reald only
  • 암호학적 해쉬함수
    mac, sha-256, md5 => one-way 함수 (역으로 계산 불가) => 해쉬값으로 입력을 찾기 어려움
    출력값의 길이는 같음 => 고정된 길이 출력
    입력의 미세한 변경이 출력에 큰 변화를 끼침
• 가용성 보장?
  • anti-DDoS system
    Content Delivery Networks(CDNs)
    -> 컨텐츠를 효율적으로 전달하기 위해서 여러 노드를 가진 네트워크에 데이터를 저장하여 제공함
    인터넷 서비스 제공자에 직접연결되어 데이터를 전송하기 때문에 컨텐츠에 대한 병목을 줄일수 있음(분산저장)
    Scrubbing center (scrub => 불순물 제거)
    -> 네트워크 트래픽을 분석하여 악의적인 트래픽을 제거
  • 백업 절차를 잘 만듦
    데이터 삭제 공격을 막기 위해
• Security Threat
  • 회사나 개인의 자산을 임의로 노출시키거나 변조, 손상, 이용할 수 없게 하는 행동이나 방치해 두는 것
  • 보안 위협의 요소
  • target : 데이터, 정보, sw, hw ... (취약한 자산)
  • agent :의도를 가지고 위협유발 or 비의도적 위협유발을 하는 사람
  • event : 타겟의 취약점을 악용하는 행위 (정보 파괴, 변조, 오남용 등) => 악의적, 우연적
• 취약점
  계산 로직의 약점, 코드의 약점, 하드웨어 내의 로직 약점 => 악용시 기밀, 무결, 가용성에 영향을 미침
  약점이 발현되면 취약점임
• => 취약점이 제거되면 위협이 없어짐
• passive and active attack
• Passive attack => interception
  시스템 자원에 영향을 주지 않으므로 알아차리기 힘듬
  기밀성 깨짐

Active attack => 시스템 자원을 변경시킴 따라서 탐지하기 용이한 편
변조, 조작 => 무결성 가용성 깨짐

• Security Threat Model
  보안 운영을 계획하고 최적화 하는 방법 => 조직에서 위협들을 방어하기 위한 방법
  보안 위협(취약한 자산이 타겟)을 없애기 위해서 목적을 제시하고 방어계획을 설계해야함어떤 위협이 있는지, 취약한 자산은 무엇이 있는지 그 위혐들에 대해서 어떻게 우리가 대응할 것인지 이러한 것들을 전반적으로 생각하여 최적화 시키는 것임
  => 위협을 방어하기 위해서 사용할 수 있는 방식이나 수단
  • 위협
    멀웨어 => 바이러스, 스파이웨어, 애드워어
    제로데이 취약점 => 아직 패치가 나오지 않은 새로 발견된 취약점
    DDoS 공격
    Phising
  • 보안 위협 구성요소
    • 타겟
    • agent
    • event
• 조직이 균형잡힌 방어기법, 끊임없이 진화하느 ㄴ방어기법을 구축할 수 있게 도와줌

 

-해커들의 창은 기업 및 기관의 방패보다 항상 빠르게 진화하므로 피해를 최소화하기 위해서 모의훈련으로 대비를 해야한다. => 모의훈련 (공격자처럼 생각 = 예방을 잘 할 수 있고 취약점을 잘 찾을 수 있다.)

 

-방어보다 공격이 유리하다. => 방어는 보든 부분(서버, pc, 스마트폰, 네트워크..)을 방어해야하지만 

공격은 취약한 부분 하나만 있으면 된다. (취약점 : 공격에 악용될 수 있는 발판, 약점, 결함, 실수..)