본문 바로가기
반응형

Security57

Microsoft Security Copilot 출시 마이크로소프트는 2024년 1분기에 Security Copilot이라는 보안을 지원해주는 AI를 공개할 것이라고 발표했다. 내부적인 정보를 세부적으로 얘기할 수는 없지만, 기존에 다양한 마이크로 소프트의 제품들의 코파일럿을 통해 Security Copilot 이 어떻게 나올지 예상을 해본다면, 현재 Microsoft의 보안 제품들을 Security Copliot이 도와주는 형식이 될 것이다. 그렇다면 그 제품들은 어떤게 있을까? 가장 기대되는 부분은 Microsoft Defender와 Intune이 될 것이다. 이 두가지 제품은 현재 Microsoft 365의 보안 제품으로 가장 유용하면서 많은 사용자들이 사용하고 있는 솔루션이다. 즉 이 두가지 솔루션의 정보를 Security Copilot 학습을 하여.. 2024. 3. 14.
제로트러스트 보안 가이드라인 - 핵심 원칙 및 철학 과학기술정보통신부에서 보다 알맞은 보안 프레임워크로 제로트러스트 가이드라인을 발표 했다. 핫하고 최근 관심을 많이 받는 자료이니 읽어보시면 도움이 될듯 하다. 제로트러스트가이드라인 1.0 요약서 10.55MB 제로트러스트가이드라인 1.0 전체본 4.87MB 2024. 3. 7.
BYOD와 CYOD 개념과 장단점 BYOD(Bring Your Own Device) 개인이 소유한 스마트 기기를 직장에 가져와 업무에 활용하도록 허용하는 정책 장점 BYOD 정책을 채택하면 기업은 해마다 하드웨어 교체 비용, 기업 소프트웨어 라이선스 구입과 유지 비용을 절감할 수 있음 장소나 시간에 관계 없이 개인 기기에서 자유롭게 업무 문서를 열람할 수 있고, 개인 모바일 기기는 보통 기업에서 직원들에게 배포하는 것보다 더 비싸거나 고급 기능을 갖추고 있기 때문에 기업의 생산성과 업무 속도 개선 가능 단점 개인 기기이므로 접근 제어를 기기 자체적으로 하기 어렵기 때문에 데이터가 기기로 넘어가면 대부분의 통제, 관리 권한을 잃는다고 보면 된다. 따라서 다음과 같은 관점에서 접근해야 한다. 민감한 기업 데이터가 훼손되거나 공격받을 위험이 .. 2024. 2. 29.
LOLBAS 란 - Living off the Land Binaries and Scripts LOLBAS 프로젝트는 사이버 공격에 중 Living Off The Land 기술(Dropper 가 필요 없는)에 사용되는 모든 바이너리, 스크립트 및 라이브러리를 문서화하는 것이다. Dropper는 사이버 공격에서 대상을 침해 시키기 위해 악의적인 행위를 하는 멜웨어를 다운로드 하는 프로그램으로 LOL은 Drroper 역활을 윈도우/리눅스 자체에서 제공하는 정상 바이너리, 스크립트 및 라이브러리 사용하는 특징이 있다. https://lolbas-project.github.io (Linux: https://gtfobins.github.io/) 에서 잘 정리되어 있으며, 어떻게 사용되는지 내용을 확인 할 수 있다. 세부적으로, LOLBin, LOLScript, LOLLib으로 분류하여 관리하고 있다. 2024. 2. 27.
HTTP DESYNC ATTACK (REQUEST SMUGGLING) 이란? 오늘 Microsoft에서 Microsoft Security Advisory 메일에 흥미로운 내용이 있어 웹에 찾아보니 Http Desync Attack (request smuggling) 공격에 대한 방어 방법에 대한 내용이였다. 어떤 공격일까 라는 생각에 확인해보니 매우 신선한 방식의 공격 기법으로 원문 링크와 주요 내용들을 정리해보았습니다. Explain 공격 방식은 Smuggling(밀수) 단어엣 알 수 있듯이 웹서버 요청에 몰래 데이터를 넣는 공격 이라고 할 수 있습니다. 이렇게 몰래 넣은 데이터는 다른 사용자의 요청에 포함되어 전달되어집니다. CL(Content-Length), TE( Transfer-Encoding)을 Header를 활용한 공격으로 아래와 같은 취약점으로 공격/테스트 가 가능.. 2024. 2. 24.
DDoS 이란, 원리, 공격 대응 방법 DDoS 공격이란 대규모 네트워크의 많은 호스트에 설치되어 서로 통합된 형태로 패킷을 범람시켜 심각한 네트워크 성능저하 및 시스템 마비를 유발하는걸 애기합니다. DDoS 공격툴 1. Trinoo Trinoo는 많은 소스로부터 통합된 UDP flood 서비스거부 공격을 유발하는데 사용되는 도구입니다. Trinoo 공격의 몇 개의 마스터 서버들과 많은 클라이언트들로 이루어져 공격자가 마스터에 접속하여 공격 명령을 전달하는 방식으로 되어 있습니다. http://staff.washington.edu/dittrich/misc/trinoo.analysis 2. TFN(Tribe Flood Network) TFN은 trinoo와 거의 유사한 분산 도구로 많은 소스에서 하나 혹은 여러개의 목표 시스템에 대해 서비스거부.. 2024. 2. 24.
CISCO - 지정한 호스트만 TELNET 허용하기 이번에는 cisco switch에 기본적으로 적용하는 허용할 host ip를 xxx.xxx.xxx.xxx에 지정하고 나머지는 모두 거부하도록 지정하는 것을 알아보자. telnet이 23이고 특정 포트만 지정하여야 하기 때문에 100이상의 extended access list로 지정한다. (100이하는 포트 지정이 되지 않는다.) log는 거부시에 기록을 남긴다는 옵션입니다. 이 기록은 syslog와 같은 툴을 통해 기록,확인이 가능하여 어느 호스트가 접근 시도하였는지 알수 있어 역추적시 유용하다. (config)# access-list 105 permit tcp host xxx.xxx.xxx.xxx any eq 23 log (config)# access-list 105 deny ip any any log.. 2024. 2. 24.
CISCO - 지정한 호스트에게만 SNMP 제공하기 SNMP는 네트워크 관리 프로토콜로 매우 많은 정보를 내장하고 있다. 관리 프로토콜 답게 제어코드도 가지고 있으며 제어권한까지 줄 경우 많이 위험해 질 수 있다. 여기서는 SNMP를 관리하는 호스트에게만 허용을 하고 나머지 요청은 거부하는 방법을 정리해 봤다. 허용할 host ip를 xxx.xxx.xxx.xxx에 지정하고, 나머지는 모두 거부하도록 설정 포트가 아닌 snmp 설정에 지정할 ACL이므로 Standard access list지정하며 log는 거부시에 기록을 남긴다는 옵션이다. 이 기록은 syslog와 같은 툴을 통해 기록,확인이 가능하여 어느 호스트가 접근 시도하였는지 알수 있어 역추적시 유용할 수 있다. Snmp-server community 뒤에 나오는 Password는 서로 통신시 교환.. 2024. 2. 24.
보안 - IoC 정보 검색 할 수 있는 24개 사이트(Threat Intelligence) 보안 조치를 위해서 보통 IP/URL/Domain/Account/FileHash 정보의 공개된 공격정황 정보를 확인하여 공격에 이용된 이력이 있는지, 혹은 현재 공격에 이용되는 정보인지를 확인하는 작업은 중요하다고 할 수 있다. 여기에서는 유용한 24개의 사이트 정보를 알아본다. 1. shodan.io (Server) 2. google.com (Dorks) 3. wigle.net (WiFi Networks) 4. grep.app (Codes Search) 5. app.binaryedge (Threat Intelligence) 6. onyphe.io (Server) 7. viz.greynoise.io (Threat Intelligence) 8. censys.io (Server) 9. hunter.io (E.. 2024. 2. 23.
반응형