'전체 글'에 해당되는 글 1383건

  1. 2022.09.15 개인정보 유출 대응 매뉴얼 요약
  2. 2022.08.18 2021년 상위 10가지 위협 모델링 도구

개인정보 유출 대응 매뉴얼

 

방송통신위원회(위원장 최성준)와 한국인터넷진흥원(원장 백기승)은 31일 개인정보 유출사고 발생 시 피해를 최소화하기 위해 사업자가 준수해야 할 사항을 담은 「개인정보 유출 대응 매뉴얼」(이하 “매뉴얼”)을 발표하였다.  

 

 

 

최근 A사의 개인정보 유출사고와 과거 사례를 보면 개인정보 유출사고가 발생했음에도 이용자 통지 및 관계기관 신고가 지연되어 초기 대응에 한계가 있었다.

 

이번 매뉴얼은 과거의 잘못된 대응 사례를 반영하여 대응방향을 제시함으로써 신속한 초기 대응을 통해 이용자 피해를 최소화하기 위해 마련하였다.

 

사업자는 매뉴얼을 참고하여 자사의 상황에 맞도록 「사업자 개인정보 유출 대응 매뉴얼」을 마련하고 세부적인 대응절차 및 방법을 대책을 수립·시행하여야 한다.

 

< 1. 개인정보 유출 신속대응팀 구성·운영 >

먼저, 개인정보 유출사실을 알게 된 때에는 신속히 최고경영자(CEO)에게 보고하고 「개인정보 유출 신속대응팀」을 구성하여 추가 유출 및 이용자 피해발생 방지를 위한 조치를 취해야 한다.

 

< 2. 유출원인 파악 및 추가유출 방지조치 >

개인정보 유출 원인을 신속히 파악한 후 유출 경로별 추가유출 방지를 위한 개선조치를 실시하여야 한다.

A사와 같이 해킹에 의해 유출된 경우에는 추가유출 방지를 위해 시스템 일시정지, 비밀번호 변경 등 상황에 따른 긴급조치를 시행하여야 한다.

 

< 3. 개인정보 유출 신고 및 통지 >

해커 등 유출자 검거와 유출된 개인정보 회수를 위해 경찰청(사이버안전국)에 범죄수사를 요청하고 미래창조과학부(또는 한국인터넷진흥원)에 침해사고를 신고하여야 한다.

 

방송통신위원회(또는 한국인터넷진흥원)에 즉시(24시간 이내) 확인된 사항을 중심으로 신고하고 이용자에게 통지하여야 하며, 이후 추가사항이 있는 경우에는 추가하여 신고·통지하여야 한다.

 

이용자에게 통지할 때에는 모든 이용자가 유출 여부에 대해 실제 확인이 가능하도록 이용빈도가 높은 방법(예: 전화통화/문자/이메일 등) 우선 활용, 홈페이지 팝업창 게시 및 유출확인 메뉴 마련 등의 조치도 병행하도록 하였다.

 

< 4. 이용자 피해구제 및 재발방지 대책 마련 >

실제 이용자가 분쟁조정 절차, 법정·징벌적 손해배상제도를 활용할 수 있도록 이용자에게 안내하고, 향후 유사사고가 재발되지 않도록 대책을 마련하도록 하였다.

 

최성준 방송통신위원회 위원장은 “개인정보 유출사고가 발생한 경우에는 무엇보다 신속하게 이용자에게 알리고 관계기관에 신고하여 추가 피해를 막는 것이 중요하다”며, “이번 매뉴얼을 참고하여 사업자마다 자체 상황에 맞는 매뉴얼을 마련하도록 하여 향후 유사사고 발생 시 신속히 대응할 수 있도록 개선해 나가겠다”고 밝혔다.

 

 

붙임 : 1. 개인정보 유출 대응 절차(요약)
2. 「개인정보 유출 대응 매뉴얼」주요내용
3. 「개인정보 유출 대응 매뉴얼」전문(별첨). 끝.

개인정보_유출_대응_매뉴얼_자료.hwp
0.19MB

개인정보_유출대응매뉴얼.hwp
3.03MB


 

댓글을 달아 주세요

위협 모델링 도구는 소프트웨어, 데이터 또는 장치에 대한 가능한 보안 위협을 사전에 식별하고 해결할 수 있는 소프트웨어로 정의됩니다. 좋은 위협 모델링 도구는 애플리케이션의 개발 계획에 추가할 수 있는 이러한 취약점에 대한 완화 전략을 제안합니다. 이 기사에서는 위협 모델링이 무엇인지, 위협 모델링 도구에 반드시 있어야 하는 기능과 2021년 최고의 위협 모델링 도구에 대해 설명합니다. 

목차

위협 모델링 도구란 무엇입니까?

 

위협 모델링 도구를 사용하면 소프트웨어, 데이터 또는 장치에 대한 가능한 보안 위협 을 사전에 식별하고 해결할 수 있습니다 . 일반적으로 제품의 설계 단계에서 시작하여 보안을 최신 상태로 유지하기 위해 정기적으로 반복합니다.

 

위협 모델링은 오늘날의 환경에서 매우 중요합니다. 해커들은 세상이 점점 더 온라인화되고 있다는 사실에 힘입어 번성합니다. 실제로 Clark School 의 2019년 연구 에 따르면 해커 공격은 39초마다 발생합니다. 응용 프로그램에 취약점 이 있는 경우 불과 몇 초 후에 악용됩니다. 상당한 규모의 공격은 자본 손실, 브랜드에 대한 신뢰 상실 또는 더 나쁜 결과를 초래합니다. 

 

위협 모델링은 비즈니스 이해 관계자, 시스템 설계자, 코더, 제품 관리자 및 DevOps 구성원이 보안 전문가와 함께 앉아 다음 질문을 할 때 가장 잘 수행됩니다.

  1. 비즈니스 목표와 약속은 무엇입니까?
  2. 소프트웨어의 원하는 결과는 무엇입니까?
  3. 맬웨어/바이러스 위협의 잠재적 영역은 무엇입니까?
  4. 시정 조치는 어떻게 되나요?
  5. 향후 예방을 위한 조치는 무엇입니까?

이 작업의 규모와 관련된 참여자의 수로 인해 위협 모델링 프로세스는 시간과 자본 측면에서 많은 리소스를 차지할 수 있습니다. 또한 위협 인텔리전스 분석가의 기술도 필요합니다. 이것이 위협 모델링 도구를 사용하는 것이 매우 합리적인 이유입니다. 이러한 도구를 사용하면 위협 모델링 프로세스를 보다 간소화하여 처음부터 위협 모델을 생성하고 유지 관리하는 데 사용되는 리소스 수를 크게 줄일 수 있습니다.

 

위협 모델링 도구 산업은 시장에 초기 플레이어가 많이 있는 비교적 새로운 산업입니다. 다음 섹션에서는 위협 모델링 도구를 선택할 때 고려해야 할 요소를 안내합니다.

 

더 읽어보기: 사이버 위협이란 무엇입니까? 정의, 유형, 사냥, 모범 사례 및 예

 

위협 모델링 도구의 8가지 필수 기능

 

 

위협 모델링 도구의 필수 기능

 

1. 시스템 정보 입력의 용이성

 

좋은 위협 모델링 도구에는 애플리케이션의 세부 아키텍처 , 이에 수반되는 인프라, 따라야 하는 규정 준수가 필요합니다. 새 모듈이나 요구 사항이 추가되는 경우 도구는 이 입력도 원활하게 받아들일 수 있어야 합니다. 

 

이것은 많은 중요한 정보이며 이 단계에서 오류가 발생하면 보안 허점을 유발하는 문제가 있는 위협 모델이 발생합니다. 따라서 도구의 이 부분이 명확하고 사용하기 쉬워야 합니다.

 

최고의 위협 모델링 도구는 시스템 다이어그램(데이터 흐름 다이어그램이 가장 일반적임)을 생성하거나 업로드할 수 있는 도구입니다. 시각적 측면은 애플리케이션의 전체적인 그림을 만드는 데 도움이 되며 중요한 자산, 연결 또는 경계를 놓치지 않도록 합니다. 

 

일부 도구는 양식과 설문지를 사용하여 이 입력을 직관적으로 만듭니다. 당신이 무엇에 익숙하고 이미 사용할 수 있는 이 데이터의 형식에 따라 선택할 수 있습니다.

 

2. 위협 인텔리전스

 

위협 인텔리전스 는 MITRE의 CAPEC와 같이 공개적으로 유지 관리되는 다양한 위협 라이브러리에서 수집한 정보이며 도구 제작자가 수집한 일부 독점 정보일 수도 있습니다. 

 

이는 본질적으로 시장의 유사한 애플리케이션에 대한 위협을 기반으로 하여 시스템에 대한 다양한 잠재적 위협의 데이터베이스입니다. 이 정보가 시스템 정보와 나란히 있으면 취약성을 평가하고 위협을 예측하기가 더 쉬워집니다. 

 

또한 읽기: 지능형 지속적 위협이란 무엇입니까? 정의, 수명 주기, 식별 및 관리 모범 사례

 

3. 위협 대시보드

 

위협 대시보드는 위협 인텔리전스를 통해 수집된 데이터를 직관적으로 표시하여 사전 예방 조치를 보다 쉽게 ​​수행할 수 있도록 합니다. 위협 대시보드가 ​​정교할수록 취약성 해결에 대한 결정을 내리기가 더 쉬워집니다 . 

 

좋은 위협 대시보드를 사용하면 각 취약성 및 자산 수준 위험의 심각도를 볼 수 있습니다. 특정 모듈의 위협 심각도 또는 특정 애플리케이션 내의 사용자 흐름을 보기 위해 드릴다운하면 시스템의 현재 상태를 한눈에 볼 수 있습니다.

 

4. 완화 대시보드

 

좋은 위협 모델은 시스템의 취약점 을 나열할 뿐만 아니라 조치를 취할 수도 있습니다. 여기에는 코드 수정, 추가 보안 제어 설정, 백로그에 추가 또는 무시(심각도가 매우 낮거나 보안 제어 비용이 실제 공격 비용보다 많은 경우)가 포함될 수 있습니다. 이것은 위협 모델링 프로세스의 가장 중요한 부분입니다. 

 

완화 대시보드는 위협 대시보드와 함께 작동합니다. 완화 대시보드를 사용하여 수행하는 모든 수정 작업은 위협 대시보드에 반영되어야 합니다. 최소한의 보안 경험이 있는 조직의 경우 좋은 위협 인텔리전스와 좋은 완화 대시보드를 갖춘 위협 모델링 도구가 필요합니다.

 

5. 규칙 엔진

 

규칙 엔진은 조직이 따르는 모든 규정과 정책을 수집하는 시스템입니다. PCI 및 GDPR과 같은 기존 정책에 간단히 연결하거나 사용자 지정 규칙과 함께 작동할 수도 있습니다. 이는 비즈니스가 규정 요구 사항을 준수하는지 확인하는 도구의 일부입니다.

 

또한 읽기: UTM(통합 위협 관리)이란 무엇입니까? 2021년 정의, 모범 사례 및 최고의 UTM 도구

 

6. 확장성 

 

위협 모델링 프로세스의 복잡성은 애플리케이션의 복잡성과 함께 증가합니다. 제품이 매머드라면 위협 모델링 도구는 중복 작업을 줄일 준비가 되어 있어야 합니다. 새 모듈을 생성할 때 구성 요소를 재사용하고 위협 모델 템플릿(사용자 지정 템플릿 또는 도구와 함께 패키지된 템플릿)을 사용하는 기능은 큰 이점입니다.

 

7. 기존 워크플로와 통합

 

위협 모델링 도구는 독립 실행형 단일체로 존재할 수 없습니다. 둘 다 함께 작동하려면 시스템에 통합되어야 합니다. 애플리케이션의 CI/CD 파이프라인과 통합되는 도구의 커넥터는 위협 모델링 프로세스를 시간 효율적으로 만듭니다. 

 

예를 들어 위협 모델링 도구가 Jenkins와 통합되면 DevSecOps가 더 쉽고 원활해집니다. 또 다른 유용한 기능은 완화 대시보드를 JIRA와 같은 문제 추적기에 연결하는 것입니다. 이렇게 하면 해결이 필요한 모든 취약점을 실시간으로 추적할 수 있습니다. 팀이 애자일 방법론을 사용하여 작업하는 경우 이러한 기능을 제공하는 도구를 살펴보는 것이 가장 좋습니다.

 

8. 보고

 

위협 모델링 연습의 최상의 결과는 위협 모델에 대한 강력한 문서화 이며 모든 이해 관계자에게 배포될 수 있습니다. 위협 모델링 도구는 위협 모델링 노력에 대한 보고서를 언제든지 생성할 수 있는 기능이 있어야 합니다. 

 

애플리케이션의 현재 위협 상태, 기술 변경으로 인한 모델 변경, 또는 컴플라이언스 정책, 현재 완화 계획 등 이러한 보고서는 기존 위협 모델을 강화하는 데 필수적입니다. 좋은 위협 모델은 지속적으로 진화하고 있으며 보고서는 이러한 성장에 매우 중요합니다.

 

더 읽어보기: 2021년 상위 10개 취약점 관리 도구

 

2021년 상위 10가지 위협 모델링 도구

 

면책 조항: 이 목록은 공개적으로 사용 가능한 정보 및 공급업체 웹사이트를 기반으로 합니다. 독자는 각 회의 소프트웨어에 대해 확장된 연구를 수행하는 것이 좋습니다. 회사는 알파벳순으로 나열됩니다.

 

1. 카이리스

 

Cairis는 2012년에 출시된 오픈 소스 위협 모델링 도구입니다. 사용 가능한 가장 포괄적인 오픈 소스 도구 중 하나입니다.

  • 플랫폼 : Cairns는 웹 기반 도구입니다.
  • 핵심 기능: 필요한 시스템 정보를 가져오면 도구가 거의 대신합니다. 공격자 페르소나를 만들 수 있습니다. 페르소나는 잠재적 공격자의 목표, 자원 및 가능한 공격 경로에 대한 세부 정보입니다. 시스템에 대한 12가지 다른 보기를 제공합니다. 예를 들어 위험 관점에서 하나의 보기를 제공하고 아키텍처 관점에서 다른 보기를 제공합니다. Cairis API를 사용하면 기존 워크플로와 쉽게 통합할 수 있습니다. 공격 패턴을 파악하고 데이터 흐름 다이어그램을 사용하여 각 완화 전략을 합리화할 수 있습니다.
  • 고유 기능: 각 자산이 작동하는 '환경' 또는 컨텍스트를 정의할 수 있습니다. 물리적, 사회적 또는 일시적일 수 있습니다. 예를 들어, 하루에 더 오래 걸릴 수 있는 특정 공장 작업.
  • 사용성 : 현재 Cairis 사용자 모두가 사용성이 좋다고 보고합니다. 시스템 정보 입력에 시간이 많이 걸린다는 보고가 있지만 나머지 소프트웨어는 흐름이 쉬운 것으로 간주됩니다. 
  • 고객 지원: Cairis는 다양한 데모 및 비디오 자습서와 함께 매우 자세한 온라인 설명서 를 제공합니다.
  • 가격 모델: Cairis는 오픈 소스 도구입니다.
  • 편집자 의견 : Cairis를 최대한 활용할 수 있는 조직은 기존 보안 기술을 보유하고 있으며 오픈 소스 옵션을 찾고 있는 조직입니다.

2. 아이리우스리스크

 

2015년에 설립된 IriusRisk는 커뮤니티 에디션과 스탠다드 에디션이 있습니다. 

  • 플랫폼 : IriusRisk는 웹 기반 도구입니다.
  • 핵심 기능: IriusRisk는 다이어그램 중심으로 시스템 정보 입력을 훨씬 쉽게 만듭니다. 이 정보는 각 자산에 대한 설문 기반 데이터 수집과 함께 완화 제안이 포함된 위협 목록을 생성하는 데 사용됩니다. 규칙 엔진과 JIRA와 같은 문제 추적기 및 Azure DevOps와 같은 CI/CD 도구와의 통합이 있습니다. 이를 통해 보안 팀, 개발자 및 DevSecOps 가 독립적으로 작업할 수 있습니다. 또한 강력한 보고 시스템을 갖추고 있습니다. 
  • 고유 기능: Draw.io는 IriusRisk 도구에 내장되어 직관적인 다이어그램 기능을 이 시스템으로 이전합니다. 
  • 사용성 : 현재 사용자는 이 도구가 컨트롤과 보기가 명확하게 분리되어 사용하기 쉽다고 보고합니다.
  • 고객 지원: 지원은 이메일과 티켓팅 시스템을 통해 제공됩니다. 티켓을 추적할 수 있으며 일반적으로 24-48시간 이내에 해결됩니다. 
  • 가격 모델: IriusRisk는 라이선스 기반 구독을 제공합니다. 또한 무료로 사용할 수 있는 커뮤니티 에디션이 있습니다.
  • 편집자 의견 : 보안 기술이 별로 없고 위협 모델링에 투자한 자본이 넉넉한 조직이라면 IriusRisk가 적합한 도구일 수 있습니다. 또는 커뮤니티 에디션을 다음을 수행할 수 있는 기본 위협 모델링 도구로 사용할 수 있습니다.
    • 위협 모델 생성
    • 액세스 규칙 엔진
    • 대책 나열
    • 위협 모델 내보내기 

IriusRisk는 MTMT 모델을 IriusRisk로 직접 가져올 수 있으므로 MTMT(Microsoft Threat Modeling Tool)에서 업그레이드하려는 사람들에게도 좋은 선택입니다.

 

또한 읽기: 방화벽이란 무엇입니까? 정의, 주요 구성 요소 및 모범 사례

 

3. 케나.VM 

 

Kenna.VM은 경험적 메트릭을 사용 하여 애플리케이션의 위험 상태 를 보고하는 Kenna Security 제품입니다 .

  • 플랫폼 : Kenna.VM은 클라우드 기반 플랫폼입니다.
  • 핵심 기능: Kenna.VM은 기업 및 자산 데이터를 입력으로 받아 실시간 위협 인텔리전스를 사용하여 처리합니다. Kenna.VM은 고유한 메트릭 세트, 자산-비즈니스 중요도, 취약성의 CVSS 점수 및 기계 학습을 사용하여 개별 구성 요소뿐만 아니라 전체 시스템에 대한 위험 점수를 제공합니다. 단일 구성 요소의 취약점이라도 변경되면 전체 시스템의 상태가 반영됩니다. 또한 실행 가능한 대응책, 티켓팅 도구와의 통합 및 보고 기능을 제공합니다.
  • 고유 기능: Kenna.VM에는 취약성의 위험 지표를 계산하는 고유한 알고리즘이 있습니다.
  • 사용성 : 데이터 통합이 번거로운 것으로 보고되었으며 Kenna.VM은 완전한 보안 기술과 이해하기 쉬운 보고서로 이를 보완합니다.
  • 고객 지원: 월요일부터 금요일까지 전화 또는 이메일로 지원 팀을 이용할 수 있습니다. 연중무휴 프리미엄 지원을 구매할 수 있습니다. 기본 문서는 비보안 전문가에게 불분명한 것으로 보고됩니다.
  • 가격 모델: Kenna.VM은 구독 기반이며 비용은 자산 수를 기준으로 계산됩니다.
  • 편집자 의견 : Kenna는 애플리케이션 확장을 막 시작한 조직에 가장 적합합니다. Kenna는 뛰어난 위협 인텔리전스 프레임워크 덕분에 사전 보안 기술이 없는 팀에서도 사용할 수 있습니다.

4. 마이크로소프트 위협 모델링 도구

 

Microsoft 위협 모델링 도구는 시장에서 가장 오래되고 가장 테스트를 거친 위협 모델링 도구 중 하나입니다. 스푸핑, 변조, 부인, 정보 공개, 서비스 거부 및 권한 승격 ( STRIDE) 방법론을 따르는 오픈 소스 도구입니다. 

  • 플랫폼 : MTMT는 Windows OS에서 실행되는 데스크톱 기반 도구입니다.
  • 핵심 기능: 이 도구를 사용하면 앱 내에서 생성할 수 있는 DFD(데이터 흐름 다이어그램)를 기반으로 위협 모델을 생성할 수 있습니다. Azure 및 Windows 서비스에 중점을 둡니다. 위협 목록을 만들고 각 위협과 관련된 완화 전술을 볼 수 있습니다 . 모델에 대한 보고서를 생성하고 내보낼 수도 있습니다.
  • 고유 기능: 로트에서 가장 성숙한 도구입니다. 즉, 포괄적인 설명서와 자습서를 사용할 수 있습니다.
  • 사용성 : 비즈니스에서 위협 모델링에 대한 기본 아이디어를 얻거나 이에 대한 연구를 수행하는 경우 MTMT가 올바른 방법일 수 있습니다. DFD 생성은 사용 가능한 구성 요소와 관련하여 그다지 발전되지 않았습니다. 완화 정보도 직관적으로 표시되지 않습니다.
  • 고객 지원: 문서 및 도움말 포럼이 광범위하게 제공되어 이 도구를 연구 목적으로 사용하기에 적합합니다.
  • 가격 모델: Microsoft Threat Modeling Tool은 오픈 소스이므로 가격이 부과되지 않습니다.
  • 편집자 의견: MTMT는 기본 애플리케이션에 대한 첫 번째 위협 모델을 만들고 이해하려는 조직에 적합합니다. Windows 기반 응용 프로그램임을 명심하십시오. 

더 읽어보기: 2021년을 위한 10가지 최고의 데이터 손실 방지(DLP) 도구

 

5. OWASP 위협 드래곤

 

OWASP Threat Dragon은 2016년에 출시된 오픈 소스 솔루션입니다. MTTM과 매우 유사하며 Microsoft 중심 서비스에 덜 중점을 둡니다.

  • 플랫폼 : Threat Dragon은 웹 기반 도구이지만 이전 버전은 데스크톱 기반입니다.
  • 핵심 기능: Threat Dragon을 사용하면 흐름 다이어그램을 만들 수 있습니다. 이는 잠재적 위협 목록 을 생성하는 규칙 엔진에 제공됩니다 . 포괄적인 보고 엔진이 있습니다. 구성 요소 수준에서 위협을 추가할 수 있습니다. Threat Dragon은 완화 제안도 제공합니다.
  • 고유 기능: OWASP Threat Dragon의 주요 장점은 강력한 규칙 엔진입니다.
  • 사용성 : Threat Dragon 사용자는 평균적인 사용자 경험을 보고했으며, 별도의 위협 대시보드가 ​​없어 사용성 등급이 떨어졌습니다. 이 기능 누락 외에도 이 플랫폼은 훌륭한 옵션입니다.
  • 고객 지원: OWASP Threat Dragon은 동료 수준 문제 해결을 위한 우수한 사용자 기반과 함께 사용 가능한 포괄적인 문서를 제공합니다.
  • 가격 모델: OWASP Threat Dragon은 오픈 소스이므로 회사에 무료로 제공됩니다.
  • 편집자 의견: Threat Dragon은 기존 보안 기술로 최초의 위협 모델링 경험을 원하는 조직에 가장 적합합니다. Threat Dragon은 인프라 제약이 없으므로 Microsoft의 오픈 소스 제품보다 우수합니다.

6. Security Compass에 의한 SDElements

 

SDElements는 2011년부터 시장에 출시되었습니다. 이는 정책을 절차로 원활하게 변환합니다. 

  • 플랫폼 : SDElements는 웹 기반 도구입니다.
  • 핵심 기능: SDElements는 친숙한 설문 조사를 사용하여 시스템 정보를 수집하고 취약성을 기반으로 분류하고 통합 테스트 케이스를 사용하여 검증을 허용합니다. 강력한 보고 기능을 통해 시스템을 감사할 준비가 되어 있고 쉽게 모니터링할 수 있습니다 
  • 고유한 기능: SDElements의 USP는 다양한 테스트 도구와의 풍부한 통합입니다. 이는 세계 최초의 BDA(Business Development Automation) 플랫폼임을 자랑스럽게 생각합니다. 즉, 이 도구는 개발 전, 중, 후에 위협 모델링 프로세스를 지원합니다.
  • 사용성 : 사용자는 설정 및 기존 시스템으로의 통합과 관련된 상당한 학습 곡선을 보고합니다. 그러나 이 장애물을 넘으면 순조로운 항해를 보고합니다.
  • 고객 지원: SDElements는 보안 전문가가 위에서 언급한 학습 곡선을 따라 조금씩 이동하도록 구성 및 구현을 지원합니다. 
  • 가격 모델: SDElements는 사용된 애플리케이션 수를 기반으로 한 사용량 기반 가격 모델링을 따릅니다. Express, Professional 및 Enterprise의 세 가지 버전 중에서 선택할 수 있습니다.
  • 편집자 의견: Security Compass의 SDElements는 확장 가능하고 자동화된 솔루션을 찾는 기업에 적합합니다. 

또한 읽기: 사고 대응이란 무엇입니까? 정의, 프로세스, 수명 주기 및 계획 모범 사례

 

7. Foreseeti의 SecuriCAD

 

SecuriCAD는 앱 아키텍처를 기반으로 공격 시뮬레이션을 생성하는 위협 모델링 도구입니다. Community, Professional 및 Enterprise의 세 가지 버전이 있습니다. 

  • 플랫폼 : SecuriCAD는 몇 안 되는 데스크탑 기반 제품 중 하나입니다. 그러나 Enterprise 에디션은 온프레미스 또는 클라우드에 배포할 수 있습니다.
  • 핵심 기능: SecuriCAD는 애플리케이션 모델을 생성하고 각 자산에 대해 반복 가능한 공격 시뮬레이션을 생성할 수 있는 완전히 자동화된 도구입니다. 또한 현재 아키텍처를 기반으로 가장 가능성이 높은 공격 경로, 취약성, 제안된 대응책 및 위험 노출에 대한 보고서를 제공합니다. 또한 경로를 차단하기 위해 보안 제어를 구현할 수 있는 위치를 보여주는 중요한 공격 경로 시각화가 있습니다.
  • 고유 기능: SecuriCAD는 공격 시뮬레이션을 제공합니다. 예를 들어, SecuriCAD는 숙련된 공격자가 시스템의 취약점을 악용하는 데 걸리는 시간을 계산하고 다음과 같이 말할 수 있습니다. 10일의 노력으로 이 특정 공격의 확률은 4%입니다. 이는 위협 순위 지정 프로세스에 더 많은 가중치를 부여합니다.
  • 사용성 : SecuriCAD는 사용하기 쉽고 직관적인 인터페이스를 자랑합니다.
  • 고객 지원: SecuriCAD의 Community 버전에는 온라인 학습 플랫폼이 있습니다. Enterprise 버전의 경우 Foreseeti는 지원, 교육 및 컨설팅 서비스를 제공합니다.
  • 가격 책정 모델: 가격 책정은 에디션, 모델 크기 및 시뮬레이션 수를 기반으로 합니다. $1380부터 시작합니다. 커뮤니티 에디션은 무료입니다.
  • 편집자 의견: Foreseeti의 SecuriCAD는 IT 인프라 가 적당히 복잡한 조직에 이상적인 위협 모델링 도구입니다 . 현재 고객은 금융 기관, 공항 및 방위군을 포함합니다.

8. 쓰레자일

 

모든 도구 중 최신 버전인 Threagile은 오픈 소스 코드 기반 위협 모델링 도구 키트입니다. 

  • 플랫폼 : Threagile은 통합 개발자 환경 또는 IDE 기반 도구로, 애플리케이션 코딩 수준에서 위협 모델링을 통합하는 데 중점을 둡니다.
  • 핵심 기능: Threagile의 목표는 '코드로서의 위협 모델(Threat-Model-As-Code)'입니다. 애플리케이션 코드베이스에서 바로 작동하는 민첩한 기반의 개발자 친화적인 도구입니다. 입력은 인프라 에서 위험 규칙에 이르기까지 모두 YAML 파일 형식입니다 . 생성된 모델은 상세한 데이터 흐름도로 다운로드할 수 있습니다. 보고서는 PDF, Excel 및 JSON 형식으로 생성됩니다. JSON은 DevSecOps에 특히 유용합니다. 모델은 코드베이스 내에서 유지되고 재생성됩니다.
  • 고유 기능: 가장 포괄적인 코드 기반 위협 방법론 도구입니다.
  • 사용성 : Threagile은 대부분의 IDE에서 지원하는 완전히 YAML 기반입니다. 이는 위협 모델을 조작하는 것이 쉽다는 것을 의미합니다.
  • 고객 지원: Threagile은 온라인 문서를 제공하며 사용자 커뮤니티가 증가하고 있습니다.
  • 가격 모델: 이 도구는 오픈 소스이므로 가격이 부과되지 않습니다.
  • 편집자 의견: Threagile은 코드에 정통한 소규모 팀과 사내 보안 전문가가 있는 신생 기업에 가장 적합합니다. 애자일 환경에서도 잘 작동합니다.

더 읽어보기: 사기 탐지란 무엇입니까? 정의, 유형, 응용 프로그램 및 모범 사례

 

9. ThreatModeler

 

ThreatModeler는 기업의 개발 수명 주기 전반에 걸쳐 보안 및 자동화를 제공하는 이러한 환경에서 매우 중요합니다. Community, Appsec 및 Cloud 의 세 가지 버전이 있습니다 .

  • 플랫폼 : ThreatModeler는 웹 기반 플랫폼입니다.
  • 핵심 기능: ThreatModeler는 Visual Agile Simple Threat 또는 VAST 위협 모델링 방법론을 사용하여 실행됩니다. 지능형 위협 엔진, 보고서 엔진, 템플릿 빌더, 위협 모델 버전 관리 및 기본 제공 워크플로 승인을 제공합니다. 다이어그램 작성을 위해 Visio, Lucid Charts 및 Draw.io와 통합됩니다. 또한 JIRA 및 Jenkins와의 기본 통합이 있습니다. ThreatModeler는 API 액세스도 제공합니다.
  • 고유 기능: ThreatModeler는 상용화된 최초의 자동화된 위협 모델링 도구입니다. VAST 방법론은 공격 표면에 대한 전체적인 관점을 제공합니다.
  • 사용성 : 사용자에 따르면 이 도구는 다채롭고 탐색하기 쉬운 대시보드로 명확하게 구분된 프로세스를 통해 탐색하기가 매우 쉽습니다.
  • 고객 지원: ThreatModeler는 기업 및 전담 고객 팀을 위한 프리미엄 지원 옵션을 제공합니다. 
  • 가격 모델: 이 도구는 사용자 수에 제한이 없는 연간 구독 기반 라이선스를 기반으로 합니다.
  • 편집자 의견: 조금 더 비싸지만 ThreatModeler는 복잡한 시스템을 가진 기업에서 사용할 수 있습니다. ThreatModeler가 독점 지원을 제공하므로 사전 보안 경험이 필요하지 않습니다. 커뮤니티 에디션은 위협 모델링에 대한 아이디어를 가지고 연구 수준에서 더 많은 것을 배우고자 하는 사람에게 이상적으로는 매우 기본적인 것입니다.

10. 투타만틱

 

Tutamantic은 디자인에 따라 변화하는 살아있는 위협 모델을 만드는 것을 목표로 합니다.

  • 플랫폼 : Tutamantic은 SaaS 제품입니다.
  • 핵심 기능: Tutamantic은 diagrams.net, Visio 및 Lucidcharts에서 생성된 다이어그램을 사용하여 위협 모델링 사용자에게 깨끗한 경험을 제공하는 것을 목표로 합니다. Tutamantic은 STRIDE, CWE 및 CAPEC와 같은 일반적인 분류를 사용합니다. Tutamantic은 다양한 이해 관계자를 위한 다양한 보고서를 제공합니다. 보고서 외에 원시 데이터도 소비 가능한 JSON 및 CSV 보고서로 제공됩니다. 이를 통해 사용자는 메타데이터를 가지고 놀 수 있습니다.
  • 고유 기능: 이 도구는 일관된 프레임워크, 반복 가능한 프로세스 및 측정 가능한 데이터 로 달성되는 Rapid Threat Model Prototyping을 사용합니다 .
  • 사용성 : Tutamantic은 MVP 상태로 라이브 중입니다.
  • 고객 지원: Tutamantic Team과의 지속적인 피드백 루프가 가능합니다.
  • 가격 모델: Tutamantic은 베타 버전에서 모두에게 무료입니다.
  • 편집자 의견: 보다 복잡한 도구로 이동하기 전에 위협 모델링 프로세스에 대한 지식을 얻고 놀고자 하는 신생 기업에게 가장 좋습니다.

또한 읽기: 콘텐츠 필터링이란 무엇입니까? 정의, 유형 및 모범 사례

 

테이크아웃

 

위협 모델링에 적합한 도구를 선택하면 전투에서 절반이 승리합니다. 따라서 현재 보유하고 있는 리소스, 위협 모델링 목표, 위협 모델링 프로세스에 투자할 자본과 시간을 고려해야 합니다.

 

이 문서가 귀하의 비즈니스에 적합한 위협 모델링 도구에 대한 연구에 도움이 되었습니까? 아래에 댓글을 달거나 LinkedIn , Twitter 또는 Facebook 에서 알려주십시오 . 여러분의 의견을 듣고 싶습니다!

 

이 기사는 2020년 11월 25일에 업데이트되었습니다.

https://www.spiceworks.com/it-security/vulnerability-management/articles/top-threat-modeling-tools/

 

Top 10 Threat Modeling Tools in 2021 | Spiceworks

This article explains what a threat modeling tool is, the key features you must look for while picking one for your application, and the top tools available in the market.

www.spiceworks.com

 

 

 

 

댓글을 달아 주세요