PTES(Penetration Testing Execution Standard)
PTES 란? 모의 해킹 수행 표준안의 약자로써 모의 해킹 업무를 수행하는 초보자와 경험자를 모두 만족시키는 방향으로 개정되었고 일부 단체가 이를 채택하고 있다.
PTES 단계는 다음과 같은 순으로 이루어진다.
1. 사전 계약
2. 정보수집
3. 위협 모델링
4. 취약점 분석
5. 침투 수행
6. 포스트 익스플로잇
7. 보고서 작성
1. 사전 계약
고객과 약관, 범위 등 모의해킹에 필요한 요소에 대해 논의하는 과정.
고객에게 계약 기간 동안 무엇을 할 수 있고 무엇을 테스트 해봐야하는지 적절한 요구사항 분석을 해야한다.
2. 정보 수집
소셜 미디어, 구글 해킹, 풋프린팅 같은 공격을 이용해 기업의 정보를 수집하는 과정.
대상을 식별할 수 있는 모의 해킹 전문가를 필요로하며, 역할과 동작 방식을 파악한 후 이를 고려해 공격 방법을 선정하는 것.
수집한 정보는 보안 수준을 알 수 있는 귀중한 자료가 되며, 수집 기간에는 시스템 파악을 방해하는 보호 매커니즘이 무엇인지 식별해야 함.
3. 위협 모델링
정보 수집 단계에서 파악된 정보를 이용해 대상 시스템에 존재할 수 있는 취약점을 식별하는 단계.
공격할 취약한 지점을 선정하는 과정도 포함.
4. 취약점 분석
가장 성공률이 높은 공격 방법으로 어떻게 대상에 접근할 것인지를 고려하는 과정.
이전 단계에서 획득한 정보를 통합하고 이를 이용해 실행 가능한 공격 방법이 무엇인지 이해할 수 있으며, 획득한 정보, 배너 정보, 취약점 스캔, 사용자 계정 같은 정보도 함께 이용.
5. 침투 수행
문제점을 찾는 데 중점을 둠.
공격 지점이 취약하다 생각되면 침투를 수행한다.
전문적인 모의해커는 자체 시스템에서 먼저 침투를 시도하고, 성공한 것에 한해 잘 연구된 Exploit을 만들어야한다.
6. 포스트 익스플로잇
여러 시스템을 감염시킨 다음에 진행하는 단계.
대상은 중요 인프라의 특정 시스템에 존재하는 높은 보안성을 지닌 중요 데이터나 정보로 함.
수집한 다양한 정보 중에 활용 가능한 정보를 확인하고, 이득을 가져올 정보를 선정해 공격하는 공격 시나리오 중 하나.
자동화된 도구 대신 자신의 창조성, 유연성, 기지를 믿고 악의적인 공격자처럼 행동해야함.
7. 보고서 작성
모의 해킹에서 가장 중요한 단계.
보고서의 구성은 최소한 개요, 소개, 기술적인 결과물로 나누어져야 함.
모의해킹 과정 중 문제가 발생한 부분을 기술해 고객사가 보안 문제점을 개선할 수 있게 지원해야 함.