타이거팀에서 안정적인 어플리케이션(서비스) 개발 및 운영에
도움이 될 수 있는 다양한 보안 서비스를 제공하고 있으며,
정확한 취약점 분석을 바탕으로 최적의 개선 방안을 제시해 드립니다.
위협모델링 기반
어플리케이션
보안 점검
체크리스트 기반
어플리케이션
보안 점검
시나리오 기반
어플리케이션
보안 점검
블랙박스 기반
모의해킹
시나리오 기반
모의해킹
보안 교육
서비스 설명
∙ 운영중이거나 운영 예정인 시스템을 대상으로한 서비스에 대한 보안 위협 분석 서비스
∙ 업무 이해를 기반으로 한 서비스에 특화된 위협 리스트 개발 및 점검
∙ 업무 기반의 점검 및 리포팅 가능
∙ 서비스 전반에 대해 누락없는 점검 수행 가능
주요대상
∙ 비즈니스에 매우 중요한 서비스
∙ 하나의 서비스 전체를 대상 (ex. 대국민 000 서비스, 000 거래 서비스)
기본절차
∙ 업무 분석 및 이해
∙ 업무의 흐름별 및 아키텍쳐 구간별 위협목록 도출
∙ 위협 목록별 보안 점검 실시
∙ 세부적인 개선 방안 도출
특장점
∙ 해당 서비스에 최적화된 보안 점검이 가능
∙ 해당 서비스에 예산 가능한 모든 위협 목록 도출 및 검증이 가능
∙ 도출된 위협 목록은 향후 관리 포인트활용 가능
∙ 만족도가 매우 높은 서비스
MM 산정기준
∙ 서비스의 규모와 복잡도
사례
∙ ToSS (비바리프블리카)
∙ 기프팅서비스 (원큐브마케팅)등 다수
서비스 설명
∙ 어플리케이션에 최적화된 체크리스트를 기반으로 취약점 존재 여부를 확인하는 서비스
∙ 자동화된 보안 점검 도구와 유사하나 오탐이 없고 비즈니스 로직에 대한 테스트가 가능함
주요대상
∙ 웹, 모바일앱, IoT 서비스 등 신규로 개발된 서비스
∙ 대량의 시스템을 단 시간내에 점검하고자 하는 경우
∙ 중요도가 낮은 서비스에 대해 보안성 검토를 수행하고자 하는 경우
기본절차
∙ 대상분석
∙ 공격 포인터 확인
∙ 취약점 분석
∙ 취약점 내역 및 개선방안 수립
특장점
∙ 신속한 보안점검이 가능
MM 산정기준
∙ 최소 수행기간 0.25MM
∙ 대상별 최소(웹1URL : 2.5D 산정 / 모바일 1APP : 5D) 등이며 필요시 협의
사례
∙ 다수 수행 (회사소개서 참조)
서비스 설명
∙ 업무설명회는 없으나 컨설턴트가 서비스를 자체적으로 분석하고 시나리오 도출 및 검증
∙ 시나리오 점검은 체크리스트 기반의 점검 후 도출된 내역을 기반으로 시나리오 수립
∙ 필요시 시나리오 수정, 추가 등 해당 서비스에 대해 실제 모의해킹과 유사하게 진행함
주요대상
∙ 웹, 모바일앱, IoT 등 거의 모든 서비스
∙ 대상의 수량에 상관없이 시스템에 대해서 안정성을 점검하고자 하는 경우
∙ 회사의 전반적인 보안성 검토를 수행하고자 하는 경우
기본절차
∙ 대상분석
∙ 체크리스트 기반의 점검
∙ 취약점 분석 및 시나리오 구성
∙ 시나리오 기반 점검
∙ 도출된 취약점 확인
∙ 개선방안 제시
특장점
∙ 체크리스트 진단 결과를 기반으로 시나리오를 구성하므로 고객사의 다양한 문제점 확인
∙ 결과를 기반으로 내부망 침투, 주요 정보 유출 등 가능성 확인, 구간별 대응방안 수립이 가능
∙ 점검 대상이 많을 경우에도 용이함
MM 산정기준
∙ 최소 0.5MM 산정
∙ 대상별 최소(웹1URL : 2.5D 산정 / 모바일 1APP : 5D) 등이며 필요시 협의
사례
∙ 다수 수행 (회사소개서 참조)
서비스 설명
∙ 실제 해커처럼 일체의 정보제공 없이 고객사의 서비스를 점검하는 서비스
∙ 본 모의해킹의 핵심은 취약점을 많이 찾기보다는 요구사항 달성에 초점을 맞춘 서비스임
∙ 일반적으로 고객사 내부에서도 수행 상황을 공유하지 않고 진행하기도 함
∙ 내부의 특정 자료 접근 또는 권한획득 등 수행전 목표를 명확히 설정함
∙ 테마점검이라 하여 1~2년에 1회 정도 수행하는 고객사가 다수 있음
주요대상
∙ 고객사 서비스 전체
기본절차
∙ 업무협의 (목표, 수행방법 등)
∙ 해커와 동일한 방법으로 고객사에 대한 정보 수집
∙ 다양한 방법으로 접근 가능 포인트 체크
∙ 모의해킹 수행
∙ 취약점 내역 및 개선방안 제시
특장점
∙ 실제 해커와 동일하게 수행하며, 보안솔루션 및 관제서비스가 정상 동작하는지 등을 확인
∙ 보안 정책 및 운영에 문제점 확인 가능
∙ 보고서를 통해서 단계별 수행 내역을 확인하고 이를 기반으로 체계적인 통제방안 수립 가능
MM 산정기준
∙ 협의 대상이며 일반적인 경우 최소 2MM 이상 산정
사례
∙ 다수 수행
서비스 설명
∙ 고객사에서 검증하고 싶은 시나리오를 정하거나 제안받아서 진행함
∙ 일반적으로 내부망 침투 / APT 공격 / 침해사례 재연 등 수행
∙ 원할한 수행을 위해서 고객사의 업무적 협조 및 일정 수준의 정보 또는 계정등을 제공함
∙ 보안제품 등 솔루션에 대한 보안수준 검증서비스로 제품에 특화된 체크리스트 개발 및 검증
주요대상
∙ 고객사 서비스 전체
∙ 고객사 특정 파트 또는 부서 등
∙ 솔루션
기본절차
∙ 업무협의 (목표, 진행방법 등)
∙ 제공된 정보 분석 및 추가 정보 수집
∙ 수행 방법 및 시나리오 도출
∙ 취약점 도출 및 개선방안 제시
특장점
∙ 회사 전체 또는 특정 영역에 대한 보안수준 점검 가능
∙ 새로 도입하였거나 기존 보안솔루션 등에 대한 보안성 검증이 가능
∙ 보안관제 및 보안솔루션의 대응 능력 검증 가능
∙ 보고서를 통해서 다양한 공격 포인트 확인이 가능하고 체계적인 대응 방안 수립이 가능
MM 산정기준
∙ 협의 대상이며 일반적인 경우 최소 1MM 이상 산정
사례
∙ 다수 수행
서비스 설명
∙ 보안 기본교육/해킹교육,웹,모바일,시스템,네트워크 등 해킹교육 및 시큐어코딩(개발자)등
∙ 그 외 주제 협의가능
주요대상
∙ 내외부 임직원
∙ 서비스 개발자 (사내/관계사/협력사 등)
기본절차
∙ 내부 임직원의 보안 수준을 향상
∙ 개발시 보다 안전한 개발활동 가능
비용
∙ 협의 대상
사례
∙ 예탁결제원, 수출입은행, 원익 등 다수