문서11.2.2. 규정 준수 침투 테스트
복잡성 순으로 다음 유형의 평가는 규정 준수 기반 침투 테스트입니다. 이는 전체 조직이 운영하는 규정 준수 프레임워크를 기반으로 하는 정부 및 업계에서 요구하는 요구 사항이므로 가장 일반적인 침투 테스트입니다.
다양한 산업별 규정 준수 프레임워크가 있지만 가장 일반적인 것은 결제 카드 산업 데이터 보안 표준입니다.16 (PCI DSS)는 카드 기반 결제를 처리하는 소매업체가 준수해야 하는 결제 카드 회사가 규정한 프레임워크입니다. 그러나 국방 정보 시스템 기관 보안 기술 구현 가이드와 같은 다른 표준도 많이 존재합니다.17 (DISA STIG), 연방 위험 및 승인 관리 프로그램18 (FedRAMP), 연방 정보 보안 관리법19 (FISMA) 및 기타. 어떤 경우에는 기업 고객이 평가를 요청하거나, 다양한 이유로 최근 평가 결과를 보여달라고 요청할 수도 있습니다. 임시적이든 의무적이든 이러한 종류의 평가는 집합적으로 이루어집니다.
13http://tools.kali.org/tools-listing 14http://docs.kali.org
15https://www.offensive-security.com/metasploit-unleashed/ 16https://www.pcisecuritystandards.org/documents/Penetration_Testing_Guidance_March_2015.pdf 17http://iase.disa.mil/stigs/Pages/index.aspx
18https://www.fedramp.gov/about-us/about/ 19http://csrc.nist.gov/groups/SMA/fisma/
규정 준수 기반 침투 테스트 또는 간단히 "규정 준수 평가" 또는 "규정 준수 확인"이라고 합니다.
규정 준수 테스트는 취약성 평가로 시작되는 경우가 많습니다. PCI 규정 준수 감사의 경우20, 취약성 평가가 제대로 수행되면 다음을 포함한 여러 기본 요구 사항을 충족할 수 있습니다. “2. 시스템 비밀번호 및 기타 보안 매개변수에 대해 공급업체가 제공한 기본값을 사용하지 마십시오(예: 비밀번호 공격 메뉴 카테고리), “11. 보안 시스템과 프로세스를 정기적으로 테스트합니다."( 데이터베이스 평가 카테고리) 및 기타. “9. 카드 소지자 데이터에 대한 물리적 접근을 제한한다”, “12. 모든 직원을 위한 정보 보안을 다루는 정책 유지”는 전통적인 도구 기반 취약성 평가에 적합하지 않은 것으로 보이며 추가적인 창의성과 테스트가 필요합니다.
규정 준수 테스트의 일부 요소에 Kali Linux를 사용하는 것이 간단해 보이지 않을 수도 있지만 사실 Kali는 광범위한 보안 관련 도구뿐만 아니라 이러한 환경에 완벽하게 적합합니다. 오픈 소스 데비안 환경이 구축되어 있어 다양한 도구를 설치할 수 있기 때문입니다. 사용 중인 규정 준수 프레임워크에서 신중하게 선택한 키워드로 패키지 관리자를 검색하면 여러 결과가 나올 것이 거의 확실합니다. 현재 많은 조직에서는 이러한 정확한 종류의 평가를 위한 표준 플랫폼으로 Kali Linux를 사용합니다.