보안 취약점 진단 및 관리, 모의해킹 솔루션 (Rapid7 Nexpose / Metasploit / AppSpider)
광범위한 자산 전체의 보안 취약점을 통합 진단한 후 위험을 식별하고 위험 순위에 따라 선제적 방어조치 방안을 제공하는 솔루션으로 Network 및 Server System,
Web Application 그리고 Database 에 이르는 IT 환경 전반에 대한 취약점 분석하고, 자동화된 방식으로 분석/검증/대응하여 기업 내 자산을 보호하는 제품입니다.
배경 및 필요성
최근 급증하는 보안사고 형태는 많은 부분 내부 시스템 및 소프트웨어의 취약점을 통해 이루어지고 있으며 지금 이순간에도 새로운
취약점들이 발견 되고 있습니다. 기업의 보안담당자는 내부 자산이 이런 보안취약점에 노출되어 있는지 관리하고 지속적인 보안
업데이트를 통해 보안 사고를 방지해야 하지만, 수많은 시스템과 어플리케이션을 수동적인 방법으로 관리하기에는 불가능 합니다.
Rapid7의 솔루션은 기업 자산의 보안 취약점을 자동으로 탐지하고 위험 순위에 따른 조치 사항을 제시하며, 실제 침투 테스트를 통한
검증을 통해 최소한의 비용과 시간으로 내부 자산을 보호/관리 할 수 있는 방안을 제시합니다.
제품소개 및 기능
Rapid7 이 제공하는 제품에는 전체 IT 자산에 대해 62,000개 이상의 취약점을 150,000개 이상의 체크리스트로 자동진단하는
Nexpose, 웹 취약점을 전문적으로 분석하는 Appspider, 세계에서 가장 많이 사용되는 모의침투테스트 툴인 Metasploit가 있습니다.
보안취약점 관리/분석
보안 취약점 진단 및 관리 솔루션 PC, Server, Network, Database, SCADA, Compliance, 각종 어플리케이션 등 종합 지원
· 통합 전수 검사
- OS, Application(DBMS, WEB, 기타)
네트워크 장비, 보안 장비, 모바일,
물리/가상화/클라우드 인프라 등에 대한 보안
취약점 전수 검사
- 7만 5천여개의 취약점을 180,000 여개의 체크방법으로 점검
· 스캔 엔진의 정확성
- NASA를 위해 개발한 JESS(Java Expert
System Shell) 기반의 인공지능 스캔 엔진
- 1% 미만의 오탐 비율로 정확성이 뛰어남
· 빠른 탐지속도
- 동시에 기본 10대 씩 진단, 1대 서버 스캔 시간
평균 5분 내외 실제 위험을 반영한 취약점 위험
평가 풍부한 리포트한글 지원
웹 전용 취약점 관리/분석
웹 어플리케이션, 데이터베이스 전용 보안 취약점 진단 솔루션 OWASP, PCI, FISMA, SOX, HIPAA, GLBA 등 지원
· OWASP TOP 10 취약점, 국내 안행부 / 금융위
/ 국정원 취약점 항목 진단 가능
· 크로스 사이트 스크립팅, SQL 인젝션, 취약한
문자열 강도 진단
· 불충분한 인증, 취약점 패스워드 복구 기능,
크로스 사이트 요청 위조 공격 가능 여부 진단
· 링크 인젝션, 헤더 인젝션, iframe 삽입 공격
가능 여부 진단
· 세션 예측 및 세션 고정 공격, 불충분한 인가 및
세션 만료 진단
· 파일 업로드, 파일 다운로드 공격 수행
· 관리자 페이지 노출, 테스트 페이지 및 스크립트
탐지
· 경로 추적, 데이터 평문 전송, 쿠키 변조 공격 수행
모의침투 테스트
취약점 검증 및 모의해킹 솔루션 PC, Server, Network, Database, 웹, SCADA 시스템 등 각종 어플리케이션 취약점 검증
·자동화된 모의해킹 테스트
- 인력기반의 모의해킹 테스트
- Metasploit 에 의한 모의해킹 테스트
·피싱 노출 및 보안 의식 테스트
다양한 모의 침투 테스트 지원
- Nexpose와 연동, 도출된 취약점에 대해 최신
취약점DB 정보 기반 침투 테스트
·취약점 위험 및 방어상태 검증을 위한 공격
시뮬레이션
·침투 테스트를 통한 보안 수준 검증
- 내부 보안 시스템들의 보안 설정, 유효성 검증