공격 표면
Attack surface소프트웨어 환경의 공격 표면은 권한이 없는 사용자('공격자')가 [1][2]환경에 데이터를 입력 또는 추출하려고 시도할 수 있는 서로 다른 지점('공격 벡터'의 경우)의 합계입니다.공격면을 가능한 작게 유지하는 것이 기본적인 보안 대책입니다.[3]
공격면의 요소
 |
세계적인 디지털 변화로 인해 조직의 공격 대상 영역의 규모, 범위 및 구성이 가속화되고 있습니다.공격 표면의 크기는 시간이 지남에 따라 변동할 수 있으며 자산 및 디지털 시스템(웹 사이트, 호스트, 클라우드 및 모바일 애플리케이션 등)을 추가 및 제외할 수 있습니다.공격 표면의 크기도 빠르게 변할 수 있습니다.디지털 자산은 기존 네트워크 장치, 서버, 데이터 센터 및 사내 네트워크의 물리적 요구사항을 방지합니다.이로 인해 조직의 요구와 이를 달성하기 위한 디지털 서비스의 가용성에 따라 공격 표면이 빠르게 변화합니다.
공격 영역의 범위도 조직마다 다릅니다.디지털 서플라이 체인(supply-chain), 상호의존성 및 글로벌화의 증가에 따라 조직의 공격 영역은 더욱 넓어지고 있습니다(사이버 공격에 대한 벡터).마지막으로 조직의 공격 영역은 디지털 관계와 인터넷 및 조직 인프라스트럭처(서드파티, 디지털 서플라이 체인(supply-chain)의 범위, 심지어 적대적 위협 인프라스트럭처 등)에 연결된 소규모 조직으로 구성됩니다.
공격 표면 구성은 다양한 조직 간에 광범위하게 분포할 수 있지만, 다음과 같은 많은 동일한 요소를 식별할 수 있습니다.
- Autonomous System Number(ASN; 자율 시스템 번호)
- IP 주소 및 IP 블록
- 도메인 및 서브도메인(직접 및 서드파티)
- SSL 증명서와 어트리뷰트
- WHOIS 레코드, 연락처 및 이력
- 호스트 및 호스트 쌍 서비스 및 관계
- 인터넷 포트 및 서비스
- 넷플로우
- 웹 프레임워크(PHP, Apache, Java 등)
- 웹 서버 서비스(이메일, 데이터베이스, 애플리케이션)
- 퍼블릭 및 프라이빗 클라우드
공격 지표면의 이해
각 기업이 가지고 있는 잠재적인 취약점이 무수히 증가함에 따라 해커와 공격자는 공격에 [4]성공하기 위해 단 하나의 취약점만 찾으면 되기 때문에 점점 더 많은 이점을 얻고 있습니다.
공격 표면을 이해하고 시각화하기 위한 3가지 단계가 있습니다.
1단계: 시각화.모든 장치, 경로 및 네트워크를 [4]매핑함으로써 기업의 시스템을 시각화하는 것이 첫 번째 단계입니다.
2단계: 노출 표시기 찾기.두 번째 단계는 이전 단계에서 시각화된 지도에 잠재적으로 노출될 수 있는 취약성의 각 지표에 대응하는 것이다.IOE에는 "시스템 및 소프트웨어에 보안 제어 누락"[4]이 포함됩니다.
3단계: 타협점을 찾습니다.이는 공격이 이미 [4]성공했음을 나타냅니다.
표면 축소
정보보안을 향상시키기 위한 한 가지 방법은 시스템 또는 소프트웨어의 공격면을 줄이는 것입니다.공격 표면 감소의 기본 전략에는 실행 중인 코드 양을 줄이고 신뢰할 수 없는 사용자가 사용할 수 있는 진입 지점을 줄이며 상대적으로 적은 수의 사용자가 요청하는 서비스를 제거합니다.허가받지 않은 행위자가 사용할 수 있는 코드가 적기 때문에 장애가 적은 경향이 있습니다.불필요한 기능을 끄면 보안 위험이 줄어듭니다.공격 표면 감소는 보안 실패를 방지하는 데 도움이 되지만 취약성이 [5]발견되면 공격자가 입힐 수 있는 피해를 완화하지는 않습니다.
「 」를 참조해 주세요.
레퍼런스
- ^ "Attack Surface Analysis Cheat Sheet". Open Web Application Security Project. Archived from the original on 23 December 2016. Retrieved 30 October 2013.
- ^ Manadhata, Pratyusa (2008). An Attack Surface Metric (PDF). Archived (PDF) from the original on 2016-02-22. Retrieved 2013-10-30.
- ^ Manadhata, Pratyusa; Wing, Jeannette M. "Measuring a System's Attack Surface" (PDF). Archived (PDF) from the original on 2017-03-06. Retrieved 2019-08-29.
{{cite journal}}:Cite 저널 요구 사항journal=(도움말) - ^ a b c d Friedman, Jon (March 2016). "Attack your Attack Surface" (PDF). skyboxsecurity.com. Archived from the original (PDF) on March 6, 2017. Retrieved March 6, 2017.
- ^ Michael, Howard. "Mitigate Security Risks by Minimizing the Code You Expose to Untrusted Users". Microsoft. Archived from the original on 2 April 2015. Retrieved 30 October 2013.
