CISO의 궁극적인 보안 검증(Security Validation) 체크리스트
휴가를 보내기 위해 사무실을 비우게 된다면, 당신이 가지고 있는 보안 제어(security controls) 장치를 통해 당신이 없는 동안 안심할 수 있을 것이라고 확신하십니까? 더 중요한 것은 원활한 복귀를 위한 올바른 실행 계획이 수립되어 있습니까? 퇴근 중이든 복귀 중이든 당사의 보안 검증 체크리스트를 통해 보안 상태가 양호한지 확인할 수 있습니다.
휴가를 보내기 위해 사무실을 비우게 된다면, 당신이 가지고 있는 보안 제어(security controls) 장치를 통해 당신이 없는 동안 안심할 수 있을 것이라고 확신하십니까? 더 중요한 것은 원활한 복귀를 위한 올바른 실행 계획이 수립되어 있습니까? 퇴근 중이든 복귀 중이든 당사의 보안 검증 체크리스트를 통해 보안 상태가 양호한지 확인할 수 있습니다.
명령줄 유틸리티(command-line utility)를 수상작으로 지정할 수 있다면 PsExec은 가장 유용한 부문에서 결정적으로 우승할 것입니다. 이 도구를 사용하면 관리자가 로컬 컴퓨터에 있는 것처럼 원격 명령을 실행할 수 있습니다. 그러나 불행히도 네트워크 관리자뿐만 아니라 해커도 이 도구를 좋아합니다.
클라우드 기반 서비스는 기업이 규모를 최적화하고 구축 노력을 줄일 수 있는 증가하는 자산입니다. 본 연구에서는 Microsoft Azure Functions에서 액세스 제어의 부적절한 구현으로 인한 웹 XSS 취약성을 발견했습니다.
EASM(External Attack Surface Management) 도구는 새로운 것이 아니지만 올해에만 Gartner가 이 카테고리를 2022년에 주목해야 할 최고의 트렌드로 선정했습니다. 그렇다면 최고의 연구 및 컨설팅 회사는 왜 그 때가 왔다고 생각할까요?
2022년 새로운 권한 상승(privilege escalation) 기술을 발견했습니다. Pentera의 블로그를 통해 eBPF 메커니즘과 상당히 작은 버그가 전체 시스템을 손상시키는 방법을 이해할 수 있습니다.
Pentera Labs의 선임 보안 연구원 Yuval Lazar는 기본 vCenter Server 배포를 실행하는 50만 개 이상의 어플라이언스에 영향을 미치는 정보 노출 취약성을 발견했습니다.
보안 전문가들이 조직이 직면한 진정한 위험을 파악하기 위해 현재 취할 수 있는 단계, 즉 악용 가능한 취약성을 특정하는 방법에 대해 설명 드리겠습니다.
네트워크 세분화(Network segmentation)는 IT 실무자들 사이에서 측면 이동, 랜섬웨어의 확산 및 조직 내 기타 감염에 대한 보호 기능을 제공하는 최고의 모범 사례로 계속 강조되고 있습니다. 물론, 세분화(segmentation)와 마이크로 세분화(micro-segmentation)가 권장됩니다. 하지만 윤리적인 해커로서, 그것의 한계를 탐구하는 것은 우리의 의무입니다. 놀랍지 않게도, 세분화는 유용하기는 하지만 분명 한계가 있고 사소한 것도 아닙니다.
모든 것을 중지하고 최근 PwnKit 취약성을 즉시 패치하기 시작하는 것이 올바른 조치인 것처럼 보일 수 있지만, 이는 사실과 다를 수 없습니다. 인터넷에 노출되든 내부 인프라 내에 노출되든 기업 자산 전반에서 PwnKit 취약성을 식별하는 것은 매우 중요합니다. 그러나 이는 Log4Shell 및 PrintNightmare에 이어 최근 MS-Exchange 제로 데이즈는 물론 지난 6개월 동안 확인된 세 번째 치명적인 취약성이며, […]
ASV(Automated Security Validation)의 선두주자인 Pentera는 1월 11일 Evolution Equity Partners 및 Insight Partners의 참여로 K1 Investment Management가 주도하는 시리즈 C 펀딩에서 1억 5천만 달러를 모금했다고 발표했습니다. 추가 투자자로는 캐나다-이스라엘 VC 그룹인 Awz Ventures와 Blackstone(NYSE: BX)이 있습니다. 이번 라운드를 통해 Pentera는 자동 침투 테스트 기술이 출시된 지 불과 3년 만에 기업 가치를 10억 달러로 끌어올렸습니다.