제공서비스

서비스 제공서비스

Provision Service

타이거팀에서 안정적인 어플리케이션(서비스) 개발 및 운영에 도움이 될 수 있는 다양한 보안 서비스를 제공하고 있으며, 정확한 취약점 분석을 바탕으로 최적의 개선 방안을 제시해 드립니다.
1. 서비스 설명
  • 운영중이거나 운영 예정인 시스템을 대상으로한 서비스에 대한 보안 위협 분석 서비스
  • 업무 이해를 기반으로 한 서비스에 특화된 위협 리스트 개발 및 점검
  • 업무 기반의 점검 및 리포팅 가능
  • 서비스 전반에 대해 누락없는 점검 수행 가능
2. 주요대상
  • 비즈니스에 매우 중요한 서비스
  • 하나의 서비스 전체를 대상 (예 : 대국민 OOO 서비스, OOO 거래 서비스)
3. 기본절차
  • 업무분석 및 이해
  • 업무의 흐름별 및 아키텍처 구간별 위협목록 도출
  • 위협 목록별 보안 점검 실시
  • 세부적인 개선 방안 도출
4. 특장점
  • 해당 서비스에 최적화된 보안 점검이 가능
  • 해당 서비스에 예상 가능한 모든 위협 목록 도출 및 검증이 가능
  • 도출된 위협 목록은 향후 관리 포인트로 활용 가능
  • 만족도가 매우 높은 서비스
6. MM 산정기준
  • 서비스의 규모와 복잡도
7. 사례
  • ToSS (비바리프블리카)
  • 기프팅서비스 (윈큐브마케팅)등 다수
1. 서비스 설명
  • 어플리케이션(웹/모바일/IoT등)에 최적화된 체크리스트를 기반으로 취약점 존재 여부를 확인하는 서비스
  • 자동화된 보안 점검 도구와 유사하나 도구에 비해 오탐이 없고 비즈니스 로직에 대한 테스트 등이 가능함
2. 주요대상
  • 웹, 모바일앱, IoT 서비스 등 신규로 개발된 서비스
  • 대량의 시스템을 단 시간내에 점검하고자 하는 경우
  • 중요도가 낮은 서비스에 대해 보안성 검토를 수행하고자 하는 경우
3. 기본절차
  • 대상분석
  • 공격 포인터 확인
  • 취약점 분석
  • 취약점 내역 및 개선방안 수립
4. 특장점
  • 신속한 보안점검이 가능
5. MM 산정기준
  • 최소 수행기간 0.25MM
  • 대상별 최소(웹1URL : 2.5D 산정 / 모바일 1APP : 5D) 등이며 필요시 협의
6. 사례
1. 서비스 설명
  • 별도의 업무 설명회는 없으나 컨설턴트가 서비스를 자체적으로 분석하고 이해를 기반으로 한 시나리오 도출 및 검증
  • 시나리오 점검은 체크리스트 기반의 점검을 수행한 후 도출된 내역을 기반으로 시나리오 수립
  • 필요시 시나리오 수정, 추가 등 해당 서비스에 대해 실제 모의해킹과 유사하게 진행함
2. 주요대상
  • 웹, 모바일앱, IoT 등 거의 모든 서비스
  • 대상의 수량에 상관없이 시스템에 대해서 안정성을 점검하고자 하는 경우
  • 회사의 전반적인 보안성 검토를 수행하고자 하는 경우
3. 기본절차
  • 대상분석
  • 체크리스트 기반의 점검
  • 취약점 분석 및 시나리오 구성
  • 시나리오 기반 점검
  • 도출된 취약점 확인
  • 개선방안 제시
4. 특장점
  • 체크리스트 진단 결과를 기반으로 시나리오를 구성하므로 고객사의 다양한 문제점 확인이 가능
  • 결과를 기반으로 내부망 침투, 주요 정보 유출 등 가능성 확인이 가능하고 구간별 대응방안 수립이 가능
  • 점검 대상이 많을 경우에도 용이함
5. MM 산정기준
  • 최소 0.5MM 산정
  • 대상별 최소(웹1URL : 2.5D 산정 / 모바일 1APP : 5D) 등이며 필요시 협의
6. 사례
1. 서비스 설명
  • 실제 해커처럼 일체의 정보제공 없이 고객사의 서비스를 점검하는 서비스
  • 본 모의해킹의 핵심은 취약점을 많이 찾기보다는 요구사항 달성에 초점을 맞춘 서비스임
  • 일반적으로 고객사 내부에서도 수행 상황을 공유하지 않고 진행하기도 함
  • 내부의 특정 자료 접근 또는 권한획득 등 수행전 목표를 명확히 설정함
  • 테마점검이라 하여 1~2년에 1회 정도 수행하는 고객사가 다수 있음
2. 주요대상
  • 고객사 서비스 전체
3. 기본절차
  • 업무협의 (목표, 수행방법 등)
  • 해커와 동일한 방법으로 고객사에 대한 정보 수집
  • 다양한 방법으로 접근 가능 포인트 체크
  • 모의해킹 수행
  • 취약점 내역 및 개선방안 제시
4. 특장점
  • 실제 해커와 동일하게 수행하며, 보안솔루션 및 관제 서비스가 정상 동작하는지 등을 확인할 수 있음
  • 보안 정책 및 운영에 문제점 확인 가능
  • 보고서를 통해서 단계별 수행 내역을 확인하고 이를 기반으로 체계적인 통제방안 수립 가능
5. MM 산정기준
  • 협의 대상이며 일반적인 경우 최소 2MM 이상 산정
6. 사례
  • 다수 수행
1. 서비스 설명
  • 고객사에서 검증하고 싶은 시나리오를 정하거나 제안받아서 진행함
  • 일반적으로 내부망 침투 / APT 공격 / 침해사례 재연 등 수행
  • 원할한 수행을 위해서 고객사의 업무적 협조 및 일정 수준의 정보 또는 계정등을 제공함
  • 보안 제품 등 솔루션에 대한 보안 수준 검증 서비스로 제품에 특화된 체크리스트 개발 및 검증
2. 주요대상
  • 고객사 전체 서비스
  • 고객사 특정 파트 또는 부서 등
  • 솔루션
3. 기본절차
  • 업무협의 (목표, 진행방법 등)
  • 제공된 정보 분석 및 추가 정보 수집
  • 수행 방법 및 시나리오 도출
  • 취약점 도출 및 개선방안 제시
4. 특장점
  • 회사 전체 또는 특정 영역에 대한 보안수준 점검 가능
  • 새로 도입하였거나 기존 보안솔루션 등에 대한 보안성 검증이 가능
  • 보안관제 및 보안솔루션의 대응 능력 검증 가능
  • 보고서를 통해서 다양한 공격 포인트 확인이 가능하고 체계적인 대응 방안 수립이 가능
5. MM 산정기준
  • 협의 대상이며 일반적인 경우 최소 1MM 이상 산정
6. 사례
  • 다수 수행
1. 서비스 설명
  • 보안 기본 교육 / 해킹교육. 웹. 모바일. 시스템. 네트워크등 해킹 교육 및 시큐어코딩(개발자) 등
  • 그 외 주제 협의가능
2. 주요대상
  • 내외부 임직원
  • 서비스 개발자 (사내/관계사/협력사 등)
4. 특장점
  • 내부 임직원의 보안 수준을 향상
  • 개발시 보다 안전한 개발활동 가능
5. 비용
  • 협의 대상
6. 사례
  • 예탁결제원, 수출입은행, 원익 등 다수
COPYRIGHT 2018 TIGERTEAM CO.,LTD. ALL RIGHTS RESERVED.