PTES
PTES란 Penetration Testing Excution Stanrd의 약자로 해석하자면 모의 해킹 수행 표준안 이라는 뜻을 가진다.
예전 PTES에 비하여 모의 해킹 업무를 수행하는 초보자와 경험자를 모두 만족시키는 방향으로 개정되었고,
대부분의 보안 단체가 이 표준안을 채택하고 있다.
PTES에 대한 자세한 정보는 여기에서 확인 할 수 있다.
PTES 단계
PTES 단계는 모의 해킹을 정의하고 평가할 때 모의 해킹에 쏟는 노력의 표준화된 기준을 고객에게 납득시키기 위해 설계되었다.
표준은 공격 대상 도직에 필요한 노력의 수준에 따라 총 7가지 범주로 나뉜다.
1. 사전 계약
사전 계약 단계는 모의 해킹의 약관과 범위를 고객과 논의하는 과정이다. 사전 계약 기간에는 계약 목표를 고객에게 잘 전달하는 것이
가장 중요하다. 본 단계는 고객에게 계약 기간 동안 무엇을 할 수 있고, 무엇이 테스트 되어야 하는지에 대해 제한하지 않고, 전체 모의 해킹
범위를 알려줄 수 있다.
2. 정보 수집
정보 수집 단계에서는 SNS, 구글 해킹, 풋 프린팅(Foot Printing), 배너 그래이빙 (Banner Graving) 등의 공격을 이용하여 기업의 정보를
수집하는 과정이다. 이 단계에서는 대상을 식별할 수 있는 모의 해킹 전문가가 필요하다. (모의 해킹 전문가를 PT Tester 라고도 칭함)
정보 수집 단계의 가장 큰 목적은 공격 대상의 역활과 동작 방식을 파악한 후 이를 고려하여 강력한 공격 방법을 선정하는 것이다.
대상에 대해 수집한 정보는 시스템의 보안 수준을 알 수 있는 귀중한 자료가 된다.
정보 수집 기간에는 시스템 파악을 방해하는 보호 메커니즘(알고리즘)이 무엇인지 식별해야 한다. 진단 대상 기관의 외부 시스템이 허가된 포트로
전송되는 트래픽만 허용할 경우에는 시스템의 전체 포트를 대상으로 스캔을 수행하면 보안 시스템 (IDS,IPS,ESM,WAF 등)은 스캔을 시도한
시스템을 차단할 것이다. 공격자는 정보 수집 과정에서 차단된 여러 IP 주소를 통해 보안 시스템의 행동(대응)을 테스트 할 수 있다. 이 방법은
웹 어플리케이션이 제어할 수 있는 데이터의 한계 수치를 확인하고, 웹 어플리케이션 방화벽(WAF)이 차단할 수 있는 요청이 무엇인지를
파악할 때도 적용할 수 있다.
모의 해킹 진단 시 초기 스캔이 탐지되지 않게 모의 해킹 전문가를 역추적할 수 없는 IP 주소 대역을 사용한다. 대상 기관은 평소에도
네트워크로부터 수많은 공격을 받고 있기 떄문에 모의 해킹 전문가의 초기 스캔은 수많은 트래픽 중 극히 일부로 구분돼 공격으로
탐지 하지 못한다.
3. 위협 모델링
위협 모델링 단계는 정보 수집 단계에서 파악된 정보를 이용해 대상 시스템에 존재할 수 있는 취약점을 식별하는 단계이다. 진단 대상 기관을 공격하기 위해 수집한 정보를 종류에 따라 분류 후 가장 효과적인 공격 방법을 결정한다. 여기에는 공격할 취약점 지점을 선정하는 과정도 포함된다.
4. 취약점 분석
취약점 분석 단계는 이전 과정에서 식별한 가장 성공률이 높은 공격 방법으로 어떻게 대상에 접근할 것인지를 고려하는 과정이다. 이 단계에서는
이전 단계에서 획득한 정보를 통합하고 이를 이용해 실행 가능한 공격 방법이 무엇인지를 이해할 수 있다.
정보 수집 과정에서 획득한 정보, 배너 정보, 취약점 스캔, 사용자 계정 같은 정보또한 이용 된다.
5. 침투 수행
침투 수행 단계는 모의 해킹에서 가장 매력적인 부분으로 침투의 정확도를 높이기 보다는 무작위 대입처럼 문제점을 찾는 데 중점을 둔다.
특정 지점의 공격 성공 가능성이 높다고 판단되면 침투 수행을 시도할 것이다. 모의 해킹 전문가가 찾아낸 취약점을 공격에 활용하는 것을
방지하기 위해예상치 못한 방어 대책을 적용했을 수도 있다. 하지만 근본적인 취약점이 내재돼 있는 이상, 침투 가능성은 얼마든지 존재한다.
무차별적으로 많은 공격을 수행해 쉘(shell, Winodws 시스템의 CMD개념)이 획득되기를 기보하는 것은 네트워크에 많은 트래픽이 발생할 뿐
모의 해킹 전문가의 노력에 비해 고객에게 적은 결과를 제공함으로써 진단에 전혀 도움 되지 않는다. 성공적인 진단을 하려면 모의 해킹 전문가가
구축한 자체 시스템에서 먼저 침투를 해보고, 성공한 것에 한해 연구가 잘 되어 있는 익스플로잇(공격 코드)을 만들어야 한다.
6. 포스트 익스플로잇
포스트 익스플로잇 단계는 여러 시스템에 감염시킨 다음에 진행하는 단계로, 아직 모의 해킹이 완료된 상태는 아니다. 이 단계는 모의 해킹에서
가장 중요한 부분으로서 실질적 가치를 지닌 정보와 모의 해킹에서 얻은 정보를 바탕으로 모의 해킹 전문가의 능력이 발휘되는 과정이다.
포스트 익스플로잇 대상은 중요 인프라(자원)의 특정 시스템에 존재하는 높은 보안성을 지닌 중요 데이터나 정보이며 공격 방식은 가장 높은
효과를 발생시킬 수 있는 것을 선택한다.
포스트 익스플로잇을 수행할 때 모의 해킹 전문가는 다양한 시스템의 역활과 고객이 속한 기관의 사용자 정책에 대해 알고 있어야 한다.
포스트 익스플로잇은 수집한 다양한 정보 중에 활용 가능한 정보를 확인하고, 이득을 가져올 정보를 선정해 공격하는 까다로운 시나리오 중 하나다.
공격자는 보통 대상 시스템에서 많은 시간을 소비한다. 자동화된 도구 대신 자신의 창조성, 유연성, 센스를 믿고 악의적은 공격자처럼
행동해야 한다.
7. 보고서 작성
모의 해킹 뿐만 아니라 대부분의 행위에서 가장 중요한 단계가 바로 보고서 작성이다.
보고서의 구성은 최소한 개요, 소개, 기술적인 결과물로 나뉘어야 하며, 기술적인 결과물은 모의 해킹 과정 중 문제가 발생한 부분을 기술해
고객사가 보안 문제점을 해결할 수 있게 지원한다.