이 부록은 Nexpose에서 사용할 수 있는 모든 기본 스캔 템플릿의 목록을 제공합니다. 템플릿별 설명과 사용 시점 제안을 제공합니다.
이 템플릿은 CIS(Center for Internet Security) 기준 준수 여부를 검증하기 위한 정책 관리자의 스캔 기능을 포함합니다. 이 스캔은 애플리케이션 계층 감사만 실행합니다. 정책 검사를 위해서는 대상에서 관리 자격 증명을 통한 인증이 필요합니다. 취약점 검사는 포함되지 않습니다.
이 스캔 템플릿은 지원되는 DISA 벤치마킹 시스템에서 애플리케이션 계층 감사를 통해 DISA(Defense Information Systems Agency) 정책 준수 검사를 수행합니다. 정책 검사를 위해서는 대상에서 관리 자격 증명을 통한 인증이 필요합니다. 취약점 검사는 포함되지 않습니다. 기본 포트만 스캔합니다.
모든 네트워크 자산의 기본적인 감사에는 안전한 점검 항목 및 안전하지 않은 점검 항목 (서비스 거부) 검사를 이용합니다. 이 스캔에는 세부적인 패치/핫픽스 검사, 정책 규정 준수 검사 또는 애플리케이션 계층 감사는 포함되지 않습니다. 운영 이전의 환경에서 서비스 거부 스캔을 실행해 서비스 거부 상태에 대한 자산의 안전성을 테스트할 수 있습니다.
이 스캔은 네트워크의 활성 자산에 있으며 자산의 호스트 이름 및 운영 체제를 식별합니다. 이 템플릿에는 열거, 정책 또는 취약점 스캔이 포함되지 않습니다.
검색 스캔을 실행해 모든 네트워크 자산의 전체 목록을 컴파일할 수 있습니다. 그다음은 포괄(Exhaustive) 스캔 템플릿 등을 통해 이러한 자산의 하위 세트에 집중적인 취약점 스캔을 수행할 수 있습니다.
이 빠르고 간단한 스캔은 고속 네트워크의 활성 자산에 있으며 자산의 호스트 이름 및 운영 체제를 식별합니다. 이 시스템은 패킷을 초고속으로 전송하므로 IPS/IDS 센서 및 SYN 플러딩 보호를 트리거하거나 스테이트풀 방화벽에서 소진 상태가 발생할 수 있습니다. 이 템플릿은 열거, 정책 또는 취약점 스캔을 수행하지 않습니다.
이 템플릿의 스캔 범위는 검색 스캔과 동일하나 더 많은 스레드를 사용하므로 속도가 더욱 빠릅니다. 따라서 이 템플릿을 사용하면 검색 스캔 템플릿과 비교해 세부적인 스캔이 어려울 수 있습니다.
모든 시스템과 서비스의 네트워크를 세부적으로 스캔하며 패치/핫픽스 검사, 정책 규정 준수 평가 및 애플리케이션 계층 감사와 같은 안전한 점검 항목만 사용합니다. 이 스캔은 대상 자산의 수에 따라 완료하는 데 수시간 또는 수일이 걸릴 수 있습니다.
이 템플릿을 통한 스캔은 매우 세부적이지만 많은 시간이 걸립니다. 적은 수의 자산을 집중적으로 스캔할 때 이 템플릿을 사용하십시오.
이 템플릿에는 모든 FDCC(Federal Desktop Core Configuration) 정책 규정 준수 검증을 위한 정책 관리자 스캔 기능이 포함됩니다. 이러한 스캔은 모든 Windows XP 및 Windows Vista 시스템에서 애플리케이션 계층 감사를 실행합니다. 정책 검사를 위해서는 대상에서 관리 자격 증명을 통한 인증이 필요합니다. 취약점 검사는 포함되지 않습니다. 기본 포트만 스캔합니다.
미국 정부 기관 또는 정부와 거래하는 공급업체에서 일하는 경우, 이 템플릿을 사용해 Windows Vista 및 XP 시스템이 FDCC 정책을 준수하는지 검증할 수 있습니다.
모든 시스템의 전체 네트워크를 감사하며 네트워크 기반 취약점, 패치/핫픽스 검사 및 애플리케이션 계층 감사와 같은 안전한 점검 항목만 검사합니다. 이 시스템은 기본 포트만 스캔하며 정책 검사는 해제하여 포괄(Exhaustive) 스캔보다 스캔 속도가 빠릅니다. 또한 이 템플릿은 잠재적인 취약점은 검사하지 않습니다.
이 템플릿은 취약점 스캔을 세부적으로 실행할 때 사용하십시오.
전체 네트워크를 감사하며 네트워크 기반 취약점, 패치/핫픽스 검사 및 애플리케이션 계층 감사와 같은 안전한 점검 항목만 검사합니다. 이 시스템은 기본 포트만 스캔하며 정책 검사는 해제하여 포괄(Exhaustive) 스캔보다 스캔 속도가 빠릅니다. 또한 웹 스파이더를 포함하지 않으므로 웹 스파이더가 포함된 전체 감사보다 속도가 빠릅니다. 또한 이 템플릿은 잠재적인 취약점은 검사하지 않습니다.
이 템플릿은 기본 스캔 템플릿입니다. 이 템플릿은 신속하고 “즉각적으로” 취약점 스캔을 실행할 때 사용하십시오.
이 템플릿은 HIPAA 섹션 164.312(“기술 보안 조치”) 규정 준수 감사를 위해 안전한 점검 항목 감사를 사용합니다. 이러한 스캔은 부적절한 액세스 제어, 부적절한 감사, 무결성 손상, 부적절한 인증 또는 전송 보안(암호화)의 원인이 될 수 있는 모든 상태를 표시합니다.
이 템플릿은 HIPAA 규정 준수 프로그램의 일환으로 HIPAA 규정이 적용되는 환경의 자산을 스캔하는 데 사용하십시오.
이 침투 테스트는 웹, FTP, 메일(SMTP/POP/IMAP/Lotus Notes), DNS, 데이터베이스, Telnet, SSH 및 VPN과 같은 모든 일반적인 인터넷 서비스를 검사합니다. 이 템플릿에는 세부적인 패치/핫픽스 검사 및 정책 규정 준수 감사는 포함되지 않습니다.
이 템플릿은 DMZ의 자산을 스캔하는 데 시용하십시오.
이 스캔은 Linux 시스템에서 RPM 패치 설치가 올바른지 검사합니다. 최상의 결과를 위해서 관리 자격 증명을 사용하십시오.
이 템플릿은 Linux 운영 체제가 실행되는 자산을 스캔하는 데 사용하십시오.
Microsoft Windows 시스템에서 핫픽스 및 서비스 팩이 올바르게 설치되었는지 검증합니다. 최상의 결과를 위해서 관리 자격 증명을 사용하십시오.
이 템플릿은 핫픽스 패치가 설치된 Windows를 실행하는 자산을 검증하는 데 사용하십시오.
이전에 호출된 PCI (Payment Card Industry) 감사
PCI(Payment Card Industry) 규정 준수 감사는 네트워크 기반 취약점, 패치/핫픽스 검사 및 애플리케이션 계층 테스트와 같은 안전한 점검 항목만 검사합니다. 모든 TCP 포트 및 잘 알려진 UDP 포트를 스캔합니다. 정책 검사는 포함되지 않습니다.
이 템플릿은 ASV(Approved Scanning Vendor)에 의해 PCI 규정 준수 프로그램의 일환으로 자산을 스캔하는 데 사용되어야 합니다. 내부 PCI 검색 스캔에는 PCI 내부 감사 템플릿을 사용합니다.
이 템플릿은 PCI (Payment Card Industry) DSS (Data Security Standard) 요건에 맞춘 취약점 검색용입니다. 모든 네트워크 기반 취약점과 웹 애플리케이션 스캔을 포함합니다. 잠재적인 취약점과 내부 경계에 특정한 취약점은 특별히 제외합니다.
이 템플릿은 PCI 규정 준수 목적의 조직 내부 스캔용입니다.
모든 시스템을 세부적으로 스캔하며 안전한 점검 항목만 검사합니다. 호스트 검색 및 네트워크 침투 기능을 통해 시스템이 다른 방법으로는 감지하기 어려운 자산을 동적으로 감지할 수 있습니다. 이 템플릿에는 세부적인 패치/핫픽스 검사, 정책 규정 준수 검사 또는 애플리케이션 계층 감사는 포함되지 않습니다.
이 템플릿을 사용하면 최초의 스캔 범위에 해당하지 않는 자산을 검색할 수도 있습니다. 또한 이 템플릿은 공식적인 침투 테스트 절차를 수행하기 전에 시범으로 스캔을 실행하기에 유용합니다.
모든 네트워크 자산을 비간섭(Non-intrusive) 방식으로 스캔하며 안전한 점검 항목만 검사합니다. 이 템플릿에는 세부적인 패치/핫픽스 검사, 정책 규정 준수 검사 또는 애플리케이션 계층 감사는 포함되지 않습니다.
이 템플릿은 네트워크를 전반적으로 신속하게 스캔하는 데 유용합니다.
SOX(Sarbanes-Oxley Act: 사베인-옥슬리법)과 관련해 모든 시스템에서 안전한 점검 항목을 검사합니다. 각각 섹션 302 (“기업 재무 보고 관련 책임”), 섹션 404 (“내부 제어 관리 평가”) 및 섹션 409 (“실시간 정보 공개”) 요건에 따라 디지털 데이터 무결성, 데이터 액세스 감사, 책임성 및 가용성에 대한 위협을 감지합니다.
이 템플릿은 SOX 규정 준수 프로그램의 일환으로 자산을 스캔할 때 사용하십시오.
민감한 SCADA(Supervisory Control And Data Acquisition) 시스템에서 안전한 점검 항목만 검사하는 “신중한” 또는 보다 소극적인 네트워크 감사입니다. 패킷 블록 지연 시간 및 전송된 패킷 간의 시간 간격이 증가하고 프로토콜 핸드셰이킹은 해제되며 자산에 대한 동시 네트워크 액세스가 제한됩니다.
이 템플릿은 SCADA 시스템 스캔에 사용하십시오.
이 템플릿에는 모든 USGCB(United States Government Configuration Baseline) 정책 규정 준수 검증을 위한 정책 관리자 스캔 기능이 포함됩니다. 이러한 스캔은 모든 Windows 7 시스템에서 애플리케이션 계층 감사를 수행합니다. 정책 검사를 위해서는 대상에서 관리 자격 증명을 통한 인증이 필요합니다. 취약점 검사는 포함되지 않습니다. 기본 포트만 스캔합니다.
미국 정부 기관 또는 정부와 거래하는 공급업체에서 일하는 경우, 이 템플릿을 사용해 Windows 7 시스템이 USGCB 정책을 준수하는지 검증할 수 있습니다.
모든 웹 서버 및 웹 애플리케이션을 감사하며 애플리케이션 서버, ASP 및 CGI 스크립트를 포함한 공개 자산과 내부 자산에 적합합니다. 이 템플릿에는 패치 검사 또는 정책 규정 준수 감사가 포함되지 않습니다. 또한 DMZ 감사 스캔 템플릿과는 달리 FTP 서버, 메일 서버 또는 데이터베이스 서버는 스캔하지 않습니다.
이 템플릿은 공개적인 웹 자산 스캔에 사용하십시오.