수달정보보호

버그헌팅이란 SW/APP에서 버그를 찾는 활동이다. 예상하지 못한 오류, 오작동 등을 찾는다고 볼 수 있다. 내가 버그 바운티를 할 일은 없겠지만, 보안 담당자가 된다면 버그 헌팅 정도는 할 수 있어야 할 것이다. 취약점을 찾아내 조직 내 보안에 기여해야 하기 때문이다. 시스템이란 것을 처음 구축하면, 구축을 거의 하자마자 공격이 들어오는 것을 확인할 수 있다고 한다. 이는 끊임없이 공격 대상을 찾는 공격자들이 세계적으로 널려 있다는 것을 의미할 것이다. 그렇기에 취약점에 대해 인지하고 있다면, 천천히 해도 되겠지라는 안일한 마인드로 업무에 임해서는 안 될 것이다.  그런데 취약점을 찾는다면, 이것의 리스크를 정량화할 수 있어야 할 것이다. 그래야 우선순위를 고려할 수 있기 때문이다. 취약점 리스크 정량..

[5주차] 위험 관리를 위한 기타 접근법 및 도구학습목표1. 비용 편익 분석의 요소와 위험 관리에 사용되는 방법을 정의한다.2. 위험 관리에 대한 FAIR, OCTAVE 및 ENISA 접근 방식의 기본 특징을 설명한다.3. 문서 기반 위험 관리 애플리케이션의 기본 기능과 용도를 설명한다.4. 컴퓨터화된 위험 관리 애플리케이션의 기본 기능과 용도를 설명한다.[5-1] 비용 편익 분석경제적 타당성 조사나 분석으로 알려진 리스크 관리를 위한 비용-편익 분석 접근법은 전통적인 경영자들이 쉽게 이해할 수 있다는 큰 장점을 가지고 있다. 이전 방법론의 위험 중 하나는 정보 기술과 사이버 보안 영역을 벗어난 경영자들이 보안에 대한 위험 관리 접근법의 적용을 완전히 파악하지 못할 수 있다는 것이다. 수년 동안 보안 위..

[4주차] ISO 위험 관리 접근법학습목표1. 위험 관리에 대한 ISO 접근 방식을 정의한다.2. ISO 31000 표준과 위험 관리에 사용되는 방법을 설명한다.3. ISO 27000 시리즈와 위험 관리에 대한 적용에 대해 설명한다.[4-1] ISO 위험 관리 정의앞서 언급했듯이 ISO에는 위험 관리를 다루는 두 가지 계열의 간행물이 있다. 시간이 지나면서 이 둘은 서로를 향해 나아갔고, 그 결과 매우 유사한 방법론이 탄생했다. 이 중 첫 번째는 ISO 31000이다. 이는 사이버 보안 위험 관리에 특별히 중점을 두지 않고, 일반적인 위험 관리에 중점을 둔다. 이 중 두 번째는 ISO 27005 표준으로, 현재 우리가 사이버 보안이라고 부르는 보안에 관한 ISO 27000 시리즈의 일부인 것이다. ISO..

[3주차] NIST 위험 관리 프레임워크학습목표1. NIST 위험 관리 프레임워크의 구조와 사용에 대해 논의한다.2. 사이버 보안에 대한 국제 표준을 수립하는 데 있어 ISO와 IEC의 역할을 설명한다.3. 위험 관리를 관리하는 기준을 설명한다.4. NIST 위험 관리 프레임워크 프로세스 및 위험 처리 대한 운영에 대해 논의한다.5. NIST 위험 관리 프레임워크를 설명한다.6. 위험 관리에 대한 NIST 접근 방식을 설명한다.7. 위험 평가를 위한 NIST 리스크 관리 프레임워크 프로세스 및 운영에 대해 논의한다.[3-1] NIST 위험 관리 프레임워크 개요NIST 위험 관리 프레임워크(RMF)는 미국 정부의 컴퓨터 시스템이 정보를 안전하게 저장, 사용 및 전송할 수 있도록 보장하기 위한 노력의 진화다..

[1주차] 주요 위험 관리 표준 및 프레임워크이 과정에서, 우리는 위험 관리 경험과 위험 관리 경험이 거의 없는 조직들이 리스크 관리 노력을 설계하고 구현하는 데 있어 어떻게 국내 및 국제 기관에 지침을 제공하고 싶어하는지에 대해 학습한다. 이 분야에 지침을 제공하는 두 개의 주요한 조직이 있다. NIST라고 자주 불리는 미국 국립 표준 기술 연구소와 ISO로 줄여 불리는 국제 표준 기구다. 이 과정에서는 이 두 조직이 제공하는 리스크 관리 프레임워크와 표준을 검토한 다음, 사용 가능한 다른 접근 방식에 대해 논의하는 것으로 마무리한다.[2주차] 주요 위험 관리 표준 프레임워크: NIST & ISO학습목표1. 사이버 보안에 대한 국제 표준을 수립하는 데 있어 ISO와 IEC의 역할을 설명한다. 2. 위험..

[5주차] 위험 관리 프로세스 실행: 위험 처리학습목표1. 위험 처리의 개념을 설명한다. 2. 조직이 위험을 완화하고 이전하는 방법을 설명한다. 3. 조직이 위험을 피하거나 수용하는 방법을 나열한다. 4. 조직의 위험 관리 프로세스를 지속적으로 개선하는 데 사용되는 프로세스를 정의한다.[5-1] 위험 처리 개요위험 관리 프레임워크의 이 시점에서 위험 관리 프로세스 팀은 자사의 정보 자산에 현재 내재되어 있는 위험 수준을 파악, 분석 및 평가해 왔다. 위험 평가의 일환으로 팀은 이제 위험 선호도의 일환으로 위험 임계값과 비교할 때 과도하다고 간주되는 위험를 처리하는 데 관심을 돌려야 한다. 위험 처리가 시작되면 조직은 현재 허용할 수 없는 수준의 위험를 가진 정보 자산 목록을 갖게 된다. 이제 위험을 더욱..

[4주차] 위험 관리 프로세스 수행학습목표1. 위험 평가에 사용되는 프로세스 단계를 식별한다.2. 위험 가능성과 영향의 개념을 정의한다.3. 정보 자산의 식별, 인벤토리, 가치 평가 및 우선 순위 지정에 사용되는 단계를 설명한다.4. 조직의 위협 환경의 맥락에 대해 논의한다.[4-1] 준비 및 위험 식별: 자산 인벤토리 위험 관리 프로세스 팀이 소집될 때, 처음에는 프레임워크 팀의 대표자들에 의해 또는 거버넌스 그룹에 의해 보고된다. 이 그룹들은 위험 관리 프로세스 팀이 수행할 작업에 대한 경영진 지침을 제공하려고 한다. 그리고 팀의 노력이 위험 관리 정책과 위험 관리 계획에 문서화된 바와 같이 경영진의 의도와 일치하는지 확인하기 위해 노력한다. 그룹은 책임에 대해 보고를 받고 작업에 착수한다. 이때 계..

[3주차] 위험 관리 계획학습목표1. 조직이 어떻게 위험 관리 계획을 수립하는지 설명한다.2. 위험 관리 프로세스 팀이 어떻게 구성되어 있는지에 대한 예를 논의한다.3. 조직이 어떻게 위험 관리 프로세스를 만드는지 설명한다.4. 조직이 위험 관리 프레임워크를 구축하는 방법을 정의한다.5. 다양한 위험 관리 방법론 중에서 조직이 어떻게 평가할 수 있는지 설명한다.[3-1] 위험 관리 방법론 평가위험 관리 방법론을 평가하는 공식적인 방법은 없다. 모든 조직의 위험 관리 팀은 사용 가능한 옵션을 검토한 다음 조직의 요구 사항과 역량에 가장 적합한 옵션을 스스로 결정해야 한다. 조직이 이러한 방법론을 비교하는 데 도움이 되는 몇 가지 방법과 기법이 있다. 조직의 규모와 성숙도는 어떤 방법론을 선택하느냐에 영향을..

[1주차] 위험 관리 서론이제 사이버 보안 위험 관리 프레임워크에 대한 전문화를 시작한다. 이 과정은 위험 관리에 대한 일반적인 접근 방식이다. 모든 조직은 비즈니스 운영을 지원하기 위해 정보를 사용한다.[2주차] 위험 관리 노력 구축학습목표1. 위험 선호도를 정의하고 조직이 허용 가능한 위험 수준을 식별하는 방법을 설명한다.2. 일반적인 위험 관리 계획 팀의 구조를 설명한다.3. 조직이 어떻게 위험 관리 계획을 수립하는지 설명한다.4. 위험 관리 정책을 개발하는 데 사용되는 프로세스를 설명한다.[2-1] 위험 관리 기획팀의 구성위험 관리 개발 프로젝트에는 두 팀이 참여한다. ① 프레임워크 팀은 전반적인 위험 관리 노력을 계획하는 역할을 하며 ②프로세스 팀은 리스크 관리 평가를 수행한다. 위험 관리 개발..

[5주차] 사이버 보안 위험과 위험 관리 이해학습목표1. 사이버 보안 위험 관리에서 공통적인 역할과 책임의 예를 제시한다.2. 사이버 보안 영역에 적용되는 위험 관리를 정의한다.3. 사이버 보안 위험의 개념을 설명한다.[5-1] 사이버 보안 위험 이해위험 관리를 진정으로 이해하기 위한 첫 번째 단계는 위험을 이해하는 것이다. 위험은 어디에나 있다. 사이버 보안에서 위험은 정보 자산의 기밀성, 무결성 및 가용성 손실에 초점이 맞춰져 있다. 사이버 보안에서 우리가 하는 모든 일은 손실 확률을 최소화하기 위해 위험을 줄이기 위해 설계되었다. 정보 자산이 손실될 확률로서 위험에 대해 이미 학습했다. 손실은 정보 자산의 도난, 손상 또는 사용 거부를 초래할 수 있다. 서로 다른 위협은 다른 유형의 손실을 초래할 ..