취약점 진단 서비스 개요
소프트와이드시큐리티는 보안 취약점 진단 컨설팅 서비스를 통해 최근 급증하고 있는 공격 침해 사고에 대응하여 고객사 정보 시스템의 보안 상태를 다각적 관점에서 진단 및 보안 취약점을 검출하고 이러한 취약점이 어떻게 공격에 이용되고 있으며, 시스템에 미치는 영향도는 어느 정도인지 등을 분석하여 이에 대한 대응책 및 개선 방안을 제시합니다. 이를 통해 고객사에서 발생할 수 있는 보안사고를 미연에 방지하고 안전한 업무환경을 유지 · 운영할 수 있게 합니다.
보안 취약점
진단
보안 취약점
조기 발견
보안 취약점
대응 조치
보안
강화
정보 시스템의
안정적 운영
취약점 진단 서비스 종류
▣ 소스코드 보안 취약점 진단
소스코드 보안 취약점 진단은 응용 및 웹/앱 애플리케이션의 소스코드에 내재하고 있는 설계/구현상의 보안 취약점을 보안 전문 컨설턴트가 자동화 된 진단 툴과 최신 룰팩을 기반으로 진단하는 서비스입니다.
진단 방법
시큐어코딩 진단 툴을 이용한 자동 진단
진단 기준
- 행정안전부 SW 개발 보안 취약점
- OWASP TOP 10
- CWE/SANS 25 등
▣ 인프라 보안 취약점 진단
인프라 보안 취약점 진단은 조직에서 운용 중인 인프라 자원(서버, WEB/WAS, DBMS, NW·보안 장비 등)에 대해 보안 전문 컨설턴트가 Compliance 및 고객 요구사항에 따라 구성된 체크리스트를 기반으로 인프라 자원의 보안 취약점을 진단하는 서비스입니다.
진단 방법
Script를 이용한 수동진단 및 담당자 인터뷰
진단 기준
- 주요 정보통신 기반시설 기술적 취약점 분석 및 평가
▣ 웹 취약점 자동 진단
웹 취약점 자동 진단은 자동화된 스캐너 툴을 활용하여 웹 사이트 전체에 대한 보안 취약점을 신속하게 진단하는 서비스입니다.
진단 방법
웹 스캐너를 이용한 자동 진단
진단 기준
- OWASP TOP 10
- CWE/SANS 25
- PCI DSS
- HIPAA 등
▣ 웹/앱 모의 해킹
웹/앱 모의 해킹은 조직의 외부 또는 내부에서 전문 보안 컨설턴트가 실제 해커가 사용하는 해킹 도구 및 기법을 활용하여 웹/앱 시스템을 통한 내부 시스템으로의 침투 가능성 및 중요 정보 탈취 가능성을 진단하는 서비스입니다.
진단 방법
해킹 툴을 이용한 수동 진단
진단 기준
- 주요 정보통신 기반시설 기술적 취약점 분석 및 평가
- KISA 홈페이지 취약점 제거 가이드
- 국가정보원 8대 취약점
- OWASP TOP 10 등
▣ 침투 테스트
고객사 내부 시스템에 대한 사전 정보 없이 외부로부터 고객사의 정보를 수집하고 수집된 정보로부터 취약점을 이용해 내부 시스템에 침투 후, 내부 주요 시스템의 권한 획득 또는 중요 정보 탈취 등을 수행합니다. 실제 해커 입장에서 침투 테스트를 수행하여 고객사 내부의 보안 리스크를 사전에 식별하고 조치하기 위한 진단 서비스입니다.
진단 방법
해킹 툴 및 최신 사회공학적 방법을 이용한 수동 진단
진단 기준
- 자체 침투 시나리오 기반
- 고객사로부터 요구 받은 특정 미션
취약점 진단 절차
소프트와이드시큐리티는 4단계의 12개 Task로 국내 최초 전수 검사를 도입하였습니다. 웹, DB, 시스템, 네트워크 등 기업 인프라 내 보안 취약점을 세계 최고의 솔루션을 기반으로 자동화된 전수검사와 이행진단 서비스를 제공합니다.
진단 대상 협의
진단 기준 협의
진단 환경 세팅
취약점 1차 진단
진단 결과 리뷰
진단 결과 보고서
조치 가이드 제공 및 교육
취약점 수정 조치
고객이 수행
취약점 2차(이행) 진단
이행 진단 결과 리뷰
이행 진단 결과 보고서
취약점 진단 레퍼런스
소프트와이드시큐리티는 2007년부터 금융, 공공기관, 교육, 기업 등 다양한 업종의 고객사에 보안 취약점 진단 서비스를 제공하고 있습니다.
