침투 테스트가 시작되기 전에 테스트 팀과 회사는 테스트 범위를 설정합니다. 이 범위에는 테스트할 시스템, 테스트 시기, 침투 테스터가 사용할 수 있는 방법이 설명되어 있습니다. 또한 범위는 침투 테스터가 미리 확보할 수 있는 정보의 양을 결정합니다.
블랙박스 테스트에서 침투 테스터는 대상 시스템에 대한 정보를 가지고 있지 않습니다. 그들은 실제 해커처럼 공격 계획을 개발하기 위해 자체 조사에 의존해야 합니다.
화이트박스 테스트에서 침투 테스터는 대상 시스템에 대한 완전한 투명성을 갖습니다. 회사는 네트워크 다이어그램, 소스 코드, 자격 증명 등과 같은 세부 정보를 공유합니다.
그레이박스 테스트에서 침투 테스터는 약간의 정보를 얻지만 많은 정보를 얻지는 못합니다. 예를 들어, 회사에서 네트워크 디바이스의 IP 범위를 공유할 수 있지만 침투 테스터는 해당 IP 범위의 취약점을 직접 조사해야 합니다.
1. 정찰
테스트 팀은 대상 시스템에 대한 정보를 수집합니다.
침투 테스터는 대상에 따라 다른 정찰 방법을 사용합니다.
대상이 전체 네트워크인 경우 침투 테스터는 패킷 분석기를 사용하여 네트워크 트래픽 흐름을 검사할 수 있습니다.
2. 대상 발견 및 개발
침투 테스터는 정찰 단계에서 얻은 지식을 사용하여 시스템에서 악용 가능한 취약점을 식별합니다.
소셜 엔지니어링 침투 테스트의 경우 테스트 팀은 직원 자격 증명을 훔치기 위해 피싱 이메일에 사용하는 가짜 스토리 또는 "프리텍스팅"을 개발할 수 있습니다.
3. 악용
테스트 팀이 실제 공격을 시작합니다. 침투 테스터는 대상 시스템, 발견한 취약점 및 테스트 범위에 따라 다양한 공격을 시도할 수 있습니다. 가장 일반적으로 테스트되는 공격은 다음과 같습니다.
서비스 거부 공격: 침투 테스터가 서버, 앱 및 기타 네트워크 리소스에 트래픽을 폭증시켜 해당 리소스를 오프라인 상태로 만듭니다.
소셜 엔지니어링: 침투 테스터가 피싱, 베이팅, 프리텍스팅 또는 기타 전술로 직원을 속여 네트워크 보안을 손상시킵니다.
4. 에스컬레이션
침투 테스터는 취약점을 악용하여 시스템에 발판을 마련한 후 더 많은 취약점에 접근하기 위해 이동합니다. 이 단계를 "취약성 체인"이라고도 하는데, 침투 테스터가 취약점에서 취약점으로 이동하여 네트워크에 더 깊이 들어가기 때문입니다.
5. 정리 및 보고
모의 공격이 끝나면 침투 테스터는 자신이 심은 백도어 트로이목마나 변경한 구성 등 남겨진 흔적을 모두 정리합니다.
그런 다음 침투 테스터는 공격에 대한 보고서를 준비합니다.
이 보고서에는 일반적으로 발견한 취약점, 사용한 악용 방식,
보안 기능을 회피한 방법에 대한 세부 정보, 시스템 내부에서 수행한 작업에 대한 설명이 간략하게 설명되어 있습니다. 보고서에는 취약점 해결에 대한 구체적인 권장 사항도 포함될 수 있습니다. 사내 보안 팀은 이 정보를 사용하여 실제 공격에 대한 방어를 강화할 수 있습니다.
