보안컨설팅
검증된 방법론을 적용하여 컨설팅을 수행합니다!
개요
- 다양한 실무경험과 축적된 보안기술을 바탕으로 검증된 컨설팅방법론(WISE)을 적용
- 자체 취약점 진단기술 및 최신 위협대응력 분석, 모의해킹을 활용하여 정밀하게 취약점 분석평가 수행
- 대상기관의 사업목표 및 특성을 고려하여 정보보호관리체계 구축 및 중장기계획 수립
정보보호 전문서비스기업
취약점진단 기술과 정보보호관리체계 구축 노하우제공
-
검증된 방법론적용
- 자산분석
- 위험 및 취약성 분석
- 위험평가
- 보호대책 수립
-
축적된 보호전문기술
- 새로운 공격기법 탐지
- 악성메일 감염도 측정
- BOT 등 악성코드 대응
- 보안시스템 방어수준 측정
-
체계적 보호정책 수립
- 고객사업 특성 반영
- 정책, 지침, 절차개선
- 정략적 관리
- 예측 가능한 운영
보안 컨설팅의 목적
- 상시 존재하는 위협과 취약점을 정확히 파악하고 분석/평가하여 고객 맞춤형 최적의 보호대책을 제시
- 내/외부로 부터 침해사고 예방, 빠른탐지, 신속한 복구가 가능하도록 체계 정비
→ 지속적인 위험관리로 정보보호 수준향상 및 체계적인 위험통제를 목표
-
위협상존 다양하고 치명적이며 심각한
- 바이러스 감염
- 정보 노출.유출
- 서비스중단
- 전산망 마비
- 홈페이지 변조
-
취약점 분석 정확한 문제점을 파악하여
- 보호정책의 미준수
- 보호대책의 부재
- 기술적 통제 미적용
- 부적절한 통제
- 변화관리 미수행
-
대책수립 및 이행 침해에 대한 안정성 유지
- 모니터링
- 효과측정
- 위험 예측관리
-
위험평가 위험수준 조절 및 제거
- 취약점 제거
- 취약점 회피 및 우회
- 위험 수용
특장점
- 컨설팅 전문인력에 의한 일정 및 품질 관리를 하며 고객 특성을 고려한 세분화되고 명확한 가이드를 제공
- 다양한 기법과 기술이 반영된 도구를 활용하여 정보시스템과 보안시스템의 하드닝을 진행
-
보안시스템
- 보안시스템
- 방업수준 측정도입
-
현장취약점 정보
- 지속적 취약점 DB개선
-
- 최신 취약점 정보
- 최신 공격패턴, 시그니쳐
-
관리체계
- 선진보안경영 체제 적용
-
- 정보보호, 성숙도관리
- ISO 27001, ISMS 관리체계
- 기반시설 점검기준
- 성균관대 공동개발 방법론
-
메일
- 최근이슈사항
- 공격적용 (해킹메일 공격훈련)
-
정보시스템
- Bot 공격
- 취약도 진단 적용 (해킹메일 공격훈련)
-
특화시장
- 특화된 사업영역
-
- 산업보안 (제어시스템)
- 유통보안 (물류시스템)
WISE (Wins Information Security Engineering methodology)
정보시스템 운영 현장에서 필요한 자동화된 기법, 도구들과 접목한 실질적 방법론
하드닝 수행
정보보호 시스템 및 정보시스템들의 취약점 제거 및 통제 체계의 강화를 위하여, 정보보호 체계 하드닝을 위한 별도의 도구, 시스템, 전문가들이 투입되어 진행
정보보호체계 하드닝
-
분석/평가
- 관리/물리
- 기술
-
모의해킹
침투테스트
-
침해공격 대응도 진단
- 메일
- 해킹메일
- 공격훈련
- 정보시스템
- Bot 공격
- 취약도진단
- 보안시스템 방어수준 진단
사용자 보안 하드닝
최신이슈 및 사회공학적 기법에 대한 사용자 보안 강화를 위하여 해킹메일 발송/분석 시스템을 활용하고, 악성코드에 대한 방어력을 진단
해킹 메일발송, 사용자 메일 열람, 열람 결과 분석
보안 수준 향상
일반 보안의 가장 취약한 부분 사회공학적 방법의 침투 테스트 On-Offline의 결합공격
- 1. 해킹메일 위험성 교육 그리고 훈련
- 2. 해킹메일 수신시 대응 훈련
- 3. 최근 해킹기법에 대한 안전성 진단
정보시스템 하드닝
서버 / PC등 정보시스템에 대하여 Bot공격, APT공격에 대한 방어력을 진단
해킹 메일발송, 사용자 메일 열람, 열람 결과 분석
보안 수준 향상
일반 보안의 가장 취약한 부분 사회공학적 방법의 침투 테스트 On-Offline의 결합공격
- 1. 해킹메일 위험성 교육 그리고 훈련
- 2. 해킹메일 수신시 대응 훈련
- 3. 최근 해킹기법에 대한 안전성 진단
보안시스템 하드닝
기업의 특성에 맞게 기 구축된 보안시스템들을 대상으로 다양한 공격 트래픽을 전송/분석하는 시스템을 활용하여, 단계별 각종 보안시스템에서 탐지/차단 되는 방어수준을 진단
공격트래픽 전송, 공격시나리오 작성, 탐지 및 차단 분석
보안 수준 향상
과신하기 쉬운 보안시스템의 안전성 검증
- 1. 해킹메일 위험성 교육 그리고 훈련
- 2. 해킹메일 수신시 대응 훈련
- 3. 최근 해킹기법에 대한 안전성 진단
서비스 유형
다양한 실무경험과 전문기술을 바탕으로 전문 컨설턴트들에 의해, 검증된 방법론을 적용하여 정보보안 컨설팅을 수행
-
- 통합보안 컨설팅
- 정보보호 마스터 플랜, 정보보호 전략계획 (ISP)
-
- 인증지원 컨설팅
- ISMS, PIMS, ISO27001
-
- 정보통신기반 컨설팅
- 취약점분석, 평가, 보호대책 수립
-
- 취약점진단 모의해킹
- 취약점 진단, 모의해킹, 보호대책 수립
컨설팅 특화 서비스
주요특징 및 수행내용 | 적용분야 | |
---|---|---|
정기컨설팅 |
|
|
하드닝 |
|
|
보안성 검토 |
|
|
솔루션 선정 |
|
|
방법론
정보보호컨설팅 방법론은 고객 정보시스템의 모든 위험요인에 대한 정확한 문제도출을 위해 다양한 기법과 기술이 반영된 방법론
- 첫번쨰로 착수
- 두번쨰로 현황분석
- 세번쨰로 위험평가
- 네번쨰로 설계
- 다섯번쨰로 종료
특히 WISE의 방법론은 개별시스템 및 위험통제 부분에 대하여 적량적 관리가 가능하게 하고, 사전에 침해사고 예방을 위한 대책을 제시하여 실무에 적용할 수 있도록 구성된 방법론
- 정량적 관리(안전지수)
-
- DB보안 90%
- 서버보안 80%
- 개발보안 30%
- 메일보안 55%
- 예측가능한 운영
-
- 운영관리로 순서대로 초기단계에서 학습을 거쳐 반복단계로 이동
- 반복단계에서 표준화를 거쳐 정의단계로 이동
- 정의단계에서 예측관리를 거쳐 관리단계로 이동
- 관리단계에서 최적화를 거쳐 최적화단계로 이동