문서11.3. 평가의 공식화
Kali 환경이 준비되고 평가 유형이 정의되었으면 작업을 시작할 준비가 거의 완료되었습니다. 마지막 단계는 수행할 작업을 공식화하는 것입니다. 이는 작업에 대한 기대치가 무엇인지 정의하고 불법적인 활동을 수행할 수 있는 권한을 부여하므로 매우 중요합니다. 이 내용은 높은 수준에서 다루겠지만 이는 매우 복잡하고 중요한 단계이므로 조직의 법적 대리인에게 도움을 문의하는 것이 좋습니다.
공식화 프로세스의 일부로 작업에 대한 참여 규칙을 정의해야 합니다. 여기에는 다음과 같은 항목이 포함됩니다.
• 어떤 시스템과 상호 작용할 수 있습니까? 비즈니스 운영에 중요한 모든 것을 실수로 방해하지 않도록 하는 것이 중요합니다.
• 평가는 하루 중 언제, 어떤 공격 기간에 허용됩니까? 일부 조직에서는 평가 작업을 수행할 수 있는 시간을 제한하기를 좋아합니다.
• 잠재적인 취약점을 발견하면 이를 악용할 수 있습니까? 그렇지 않은 경우 승인 절차는 어떻게 됩니까? 각 악용 시도에 대해 매우 통제된 접근 방식을 취하는 조직이 있는 반면, 보다 현실적인 접근 방식을 원하는 조직도 있습니다. 작업을 시작하기 전에 이러한 기대치를 명확하게 정의하는 것이 가장 좋습니다.
• 중요한 문제가 발견되면 어떻게 처리해야 합니까? 때때로 조직은 즉시 정보를 받기를 원하지만, 그렇지 않은 경우 일반적으로 평가가 끝날 때 해결됩니다.
• 긴급 상황이 발생하면 누구에게 연락해야 합니까? 어떤 종류의 문제가 발생하면 누구에게 연락해야 하는지 아는 것이 항상 중요합니다.
• 누가 활동에 대해 알 수 있습니까? 그 내용이 그들에게 어떻게 전달될까요? 어떤 경우에는 조직이 평가의 일부로 사고 대응 및 탐지 성능을 테스트하기를 원할 것입니다. 이를 미리 아는 것이 항상 좋은 생각이므로 평가에 접근할 때 어느 정도 비밀을 취해야 하는지 알 수 있습니다.
26http://tools.kali.org/category/web-applications 27http://tools.kali.org/category/reverse-engineering 28http://tools.kali.org
• 평가가 끝나면 무엇을 기대하게 됩니까? 결과는 어떻게 전달되나요? 평가가 끝날 때 모든 당사자가 무엇을 기대하는지 파악하십시오. 결과물을 정의하는 것은 작업이 완료된 후 모든 사람을 행복하게 만드는 가장 좋은 방법입니다.
완전하지는 않지만 이 목록은 다루어야 할 세부 사항에 대한 아이디어를 제공합니다. 그러나 좋은 법적 대리를 대신할 수 있는 것은 없다는 점을 인식해야 합니다. 이러한 항목이 정의되면 평가를 수행하기 위한 적절한 권한을 획득해야 합니다. 평가 과정에서 수행할 활동의 대부분은 해당 권한을 부여할 권한이 있는 사람의 적절한 권한 없이는 합법적이지 않을 수 있기 때문입니다.
모든 것이 준비되었더라도 작업을 시작하기 전에 수행해야 할 마지막 단계가 하나 남아 있습니다. 바로 검증입니다. 제공된 범위를 절대 신뢰하지 마십시오. 항상 유효성을 검사하십시오. 여러 정보 소스를 사용하여 범위 내의 시스템이 실제로 고객이 소유하고 있으며 해당 시스템도 고객이 운영하는지 확인하십시오. 클라우드 서비스가 널리 보급됨에 따라 조직은 서비스를 제공하는 시스템을 실제로 소유하고 있지 않다는 사실을 망각할 수 있습니다. 작업을 시작하기 전에 클라우드 서비스 제공업체로부터 특별 허가를 받아야 할 수도 있습니다. 또한 항상 IP 주소 블록의 유효성을 검사하십시오. 실행 가능한 대상으로 승인하더라도 전체 IP 블록을 소유하고 있다는 조직의 가정에 의존하지 마십시오. 예를 들어, 실제로는 해당 주소의 하위 집합만 소유하고 있는데도 전체 클래스 C 네트워크 범위에 대한 평가를 요청하는 조직의 예를 보았습니다. 전체 클래스 C 주소 공간을 공격함으로써 우리는 조직의 네트워크 이웃을 공격하게 될 것입니다. 그만큼 OSINT 분석 하위 카테고리 정보 수집 메뉴에는 이 검증 프로세스에 도움이 될 수 있는 다양한 도구가 포함되어 있습니다.