클라우드 환경 모의해킹 서비스
클라우드 환경에서의 보안 취약점을 찾아 내·외부자 관점에서 침투 테스트(Penetration Test)를 수행합니다.
목적
-
클라우드 환경에 최적화된 시나리오 구성과 심도있는 침투 테스트를 통해 클라우드 환경에서의 보안 취약점 진단
-
발견된 취약점에 대한 개선 방안을 통해 침해사고로부터 안전한 클라우드 환경을 구축
특징
클라우드 환경상의 서비스, 사용자 계정, 응용프로그램, 비즈니스 로직 등 클라우드 환경에서의 모의침투 테스트를
수행합니다.
시나리오
클라우드 환경에 대한 침투 테스트는 비인가자/인가자 권한을 이용하여 수행될 수 있으며, 공격 시나리오는 다음과 같습니다.
- 1단계 정보 수집을 통해 취약한 시스템 정보를 획득
- 2단계 IAM Role을 이용한 S3 접근
- 3단계 AccessKey 획득을 위한 공격 시도
- 4단계 AccessKey 획득
- 5단계 권한 상승 시도
수행 방안
[범위 선정] – [공격 및 침투 시도] – [권한 획득 및 추가공격] – [목적 달성] – [보고서 작성] 5단계를 통해 기존의 응용프로그램 영역과 클라우드서비스 환경의 고유한 보안 요소를 모두 포함하여 모의침투를 수행합니다.
- step1. 범위 선정 (점검대상 확인, 정보 수집)
- step2. 공격 및 침투 시도 (취약점 식별, 공경 시도)
- step3. 권한 획득 및 추가 공격 (권한 상승 및 획득, 접근 권한 유지, 주변 시스템 확인 및 공격)
- step4. 목적 달성 (개인 정보 유출 및 기업중요정보 유출)
- step5. 보고서 작성 (결과보고서 작성 및 리뷰)