사이트 생성 시나리오

이 섹션에서는 일반적인 요구에 맞추어 사이트를 생성하는 방법을 설명합니다. 적절한 템플릿, 자산, 구성 옵션을 선택하면 특별한 용도에 맞추어 사이트를 사용자 지정할 수 있습니다.

• 기본 설정
• 보유 내용 확인: 검색 스캔
• 사용자의 환경을 외부에서 확인
• 제로 데이 취약점
• 여러 위치의 자산
• 많은 수의 자산
• Amazon 웹 서비스
• VMWare
• 내부 PCI 규정 준수 스캔
• 정책 벤치마크

기본 설정

기본 스캔 템플릿은 웹 스파이더 없이 전체 감사입니다.

이 스캔 템플릿은 대다수의 웹이 아닌 자산에 대해 취약점 체크를 제공합니다. 웹 스파이더를 가진 스캔 템플릿보다 빠르게 실행됩니다.

취약점을 완벽히 체크하려면 자격 증명을 지정해야 합니다. 자세한 내용은 스캔 자격 증명 구성을 참조하십시오.

취약점 스캔을 반복함에 따라 다양한 스캔 템플릿을 가지고 추가 사이트를 생성할 수 있으며 네트워크 구성 요건에 맞추어 스캔 엔진을 기본값에서 변경할 수 있습니다.

보유 내용 확인: 검색 스캔

요약: 취약점 체크의 첫 단계는 조직 내의 모든 자산을 점검하는 것입니다. 검색 스캔을 수행하면 조직 내 자산에 대한 기본적인 정보를 얻을 수 있습니다. 이 애플리케이션에는 검색 스캔을 위한 내장 스캔 템플릿이 포함됩니다.

사용자가 파악하지 못하는 익스플로이트될 수 있는 자산이 있을 경우 해커는 이를 이용해 VPN (Virtual Private Network) 및 기업의 방화벽을 통과하여 로컬 네트워크 내에서 해킹을 시작할 수 있습니다. 사용자 역할에 경험이 없는 경우 본인에게 보안 책임이 있는 자산을 아직 모두 파악하지 못하고 있을 수도 있습니다. 또한 새로운 자산이 빈번하게 추가됩니다. 스캔 프로그램 진행을 위한 준비 단계로서 검색 스캔을 수행하면 책임이 있는 자산에 대해 더 잘 파악할 수 있습니다.

검색 스캔은 조직의 네트워크 구성 환경에 따라 달라질 수 있습니다. 조직이 일반적인 범위를 벗어나 항목을 가지고 있을 경우 가능하면 폭넓은 범위의 IP 주소에서 검색 스캔을 수행하는 것이 좋습니다. 따라서 첫 검색 스캔으로 전체 전용 IPv4 주소 공간(10.0.0.0/8, 172.16.0.0/12, 192.168.0.0)과 조직에서 소유하거나 제어하는 모든 공용 IP 주소를 먼저 점검할 것을 권장합니다. 이렇게 하면 호스트 수를 가장 많이 찾을 수 있습니다. 모든 전용 주소 공간을 실질적으로 사용하는 조직에게 매우 유용하며, 가능하면 모두 찾아주므로 소규모 네트워크를 가진 조직에게도 유용합니다.

注意: 많은 자산을 스캔할 경우 상당한 시간이 걸릴 수 있습니다. 스캔에 소요될 시간을 예측하려면 관리자 가이드의 용량 요건 계획 섹션을 참조하십시오. 또한 검색 스캔은 시스템 관리 또는 안티바이러스 프로그램에서 알림을 울리게 할 수도 있으므로 사용자들에게 스캔 시작 전에 알리는 것이 좋습니다.

Nexpose에서 최초의 검색 스캔 수행:

1. 다음 설정을 포함해 새 정적 사이트 생성( 기본 정적 사이트 구성 참조):
   • 포함된 자산 지정 시 CIDR (Classless Inter-Domain Routing) 표기법 내에서 범위를 지정합니다. http://en.wikipedia.org/wiki/Classless_Inter-Domain_Routing을 참조하십시오. 이 표기법은 많은 머신 그룹을 간결한 구문으로 지정하게 해줍니다. 위에서 언급한 대로 조직에서 제어하는 모든 IP 주소와 각각의 전용 IP 주소 범위를 스캔하는 것이 가장 좋습니다.
   • 검색 스캔 스캔 템플릿을 선택합니다.
   • 자격 증명은 지정하지 않습니다. 자격 증명은 네트워크 상에서 머신의 존재를 판별하는 데 필요하지 않습니다.
2. 이 사이트에서 스캔을 실행합니다.

• 사용자가 네트워크에 대해 알고 있는 지식과 비교하며 스캔 결과를 검토합니다. 이상 징후를 찾아 해결합니다. 예:
  • 포트가 활성으로 잘못 표시됨: 검색 스캔이 모든 포트를 활성으로 표시할 경우, 이 결과는 실제 네트워크 구성을 보여주는 대신 보안 장비와 같은 다른 요소(예: 침투 탐지 소프트웨어, 침투 방지 소프트웨어 또는 로드 밸런싱 장치)의 영향을 받고 있는 것일 수 있습니다. 예상 밖의 결과를 가져오는 원인을 찾아 이를 수정함으로써 정확한 스캔 정보를 얻을 수 있습니다. 예를 들어 방화벽 때문에 부정확한 결과를 얻는 경우 방화벽에서 Nexpose를 화이트리스트에 넣도록 합니다.
  • 포트가 비활성으로 잘못 표시됨: 스캔하지 못한 네트워크 영역을 찾을 수도 있습니다. 예를 들어 사용자가 알고 있는데 검색 스캔에서 발견되지 않은 주소가 있을 수 있습니다. 방화벽 또는 논리적 라우팅 때문에 빠진 것인지 확인합니다. 맞다면 관문 다른 쪽에 스캔 엔진을 추가하도록 구성하여 해당 자산을 스캔합니다.

  사용자의 환경을 외부에서 확인

  요약: 네트워크의 스캔 수행에 추가하여, 네트워크의 외부에서 스캔 엔진을 사용해 검색 내용을 확인하는 것이 좋습니다. 스캔 엔진이 준비되면 사이트 구성에서 추가할 수 있습니다.

  외부 IP 주소를 갖고 있는 경우 누군가가 외부로부터 무엇에 액세스할 수 있는지를 점검합니다. 네트워크 경계 밖에 스캔 엔진을 설치하여 검색 결과를 확인합니다. 방화벽의 "외부" 보기를 원하는 경우 조직 외부에 위치해 다른 외부 머신처럼 다뤄지는 엔진에서 스캔을 수행합니다. Rapid7 호스팅 엔진의 사용을 고려해볼 수 있습니다.

  권장되는 구성:

  • 이러한 외부 스캔에는 자격 증명을 사용하지 마십시오.
  • 소스 IP 주소를 화이트리스트에 넣지 마십시오.
  • 엔진에서 특정 작업/적응형 침투 방지 기술(예: 웹 애플리케이션 방화벽, 알 수 없는 유니캐스트 및 멀티캐스트 플러딩 제어, 침투 방지 시스템, 동적 방화벽 블랙리스트)을 제외시켜야 하는 경우도 있습니다.
  • 웹 스파이더로 전체 감사 또는 유사한 사용자 지정 템플릿을 사용합니다.
  • 활성 상태이거나 액세스가 가능한 것으로 판단되는 시스템뿐만 아니라 조직의 할당된 전체 공용 주소 공간을 스캔합니다.
  • 변경 제어 및 스캔 소요 시간이 주어질 경우 최소 매달 또는 가능하면 자주 스캔을 수행합니다.
  • 위의 설명대로 방화벽 규칙이 특정 취약점, 서비스, 호스트에 대한 액세스를 차단하므로 외부 스캔을 내부 인증 스캔과 통합합니다.

  우선 순위의 문제 해결 작업:

  • 가장 위험한 취약점 유형은 노출된 Telnet 포트와 같이 비인증 외부 사용자를 로그온하도록 허용하는 것입니다. 이러한 취약점은 긴급한 문제 해결이 필요합니다.
  • 그렇지 않으면 해킹 면적을 줄여 문제 해결을 시작합니다.
    • 공용일 필요가 없는 호스트에 대한 액세스를 줄이거나 막습니다.
    • 방화벽 규칙을 이용해 가능하면 많은 서비스와 호스트에 대한 액세스를 제한합니다.
    • CVSSv2 지수 및 발생률을 기반으로 외부 방향 잔여 취약점을 해결합니다.

  제로 데이 취약점

  새로 알려진 고위험 취약점의 경우 영향을 받은 자산을 가능하면 빨리 파악하기 위해 해당 취약점만 스캔할 수도 있습니다.

  특정한 취약점만 체크하는 사용자 지정 스캔 템플릿을 생성해 이를 가지고 사이트를 스캔할 수 있습니다. CVE-ID(Common Vulnerabilities and Exposures Identifier)를 사용해 해당 취약점 체크에만 집중할 수 있습니다.

  注意: 최근에 알려진 주요 취약점 관련 추가 정보는 Rapid7 커뮤니티를 확인하십시오.

  특정 취약점 스캔:

  1. 일반적으로 가장 좋은 방법은 기존 템플릿을 복사해 새 스캔 템플릿을 생성하는 것입니다. 복사하기에 가장 좋은 템플릿은 취약점 특성에 따라 달라지지만 웹 스파이더를 가지고 전체 감사 또는 웹 스파이더 없이 전체 감사가 일반적으로 좋은 출발점입니다. 스캔 템플릿에 대한 자세한 내용은  스캔 템플릿을 참조하십시오.
  2. 취약점 옵션이 선택되어 있고, 해당되는 경우 웹 스파이더 옵션이 선택되어 있어야 합니다. 템플릿을 해당 취약점 체크에만 집중하게 하려면 정책 옵션을 취소합니다.
  3. 스캔 템플릿의 이름과 설명을 편집하면 나중에 템플릿이 해당 용도로 사용자 지정되었음을 알아볼 수 있습니다.
  4. 취약점 검사 페이지로 이동합니다. 먼저 모든 취약점의 검사, 검사 범주 및 검사 유형을 선택 해제하여 해당 문제와 관련된 항목의 스캔에만 집중하도록 합니다.
  5. 범주별 섹션을 확장하여 범주 삭제를 클릭합니다.
  6. 맨 윗 행의 체크박스를 선택하면(취약점 범주) 모든 범주의 체크박스가 자동 선택됩니다. 저장을 클릭합니다. 이제 설정된 범주는 0개입니다.
  7. 개별 검사별 섹션을 확장해 검사 추가를 클릭합니다.
  8. 관련 CVE-ID를 검색 조건 박스에 입력하거나 붙여넣은 후 검색을 클릭합니다. 맨 윗 행의 체크박스를 선택하면(취약점 체크) 모든 유형의 체크박스가 자동 선택됩니다. 저장을 클릭합니다.
  9. 문제와 관련된 CVE-ID가 더 있으면 7단계를 반복합니다.
  10. 스캔 템플릿을 저장합니다.
  11. 다음을 포함해 사이트 생성 또는 편집:
      • 새 사용자 지정 스캔 템플릿
      • 인증된 취약점 검사를 위한 자격 증명
  12. 스캔을 시작합니다.

  여러 위치의 자산

  자산이 여러 위치에 있는 경우 고려할 사항:

  • 태그를 이용해 자산의 위치를 표시할 수 있습니다. 태그를 통해 실제 컨텍스트 적용을 참조하십시오. 이러한 태그를 기반으로 보고서를 생성하면 위치별로 자산의 위험성을 진단할 수 있습니다. 태그를 통해 실제 컨텍스트 적용을 참조하십시오.
  • 네트워크 구성을 최대한 활용하도록 사이트를 생성하여 스캔 엔진과 연결시키는 것이 좋습니다. 예를 들어 자산이 휴스턴과 싱가폴에 있는 경우, 두 위치에 스캔 엔진을 모두 배치시키고 각각의 사이트를 생성하는 편이 한 곳에만 스캔 엔진을 배치하여 모든 자산을 스캔하도록 하는 것보다 낫습니다.

  많은 수의 자산

  많은 자산을 스캔하려면 스캔 엔진 풀을 이용할 수 있습니다. 스캔 엔진 풀은 로드 밸런싱 기능으로 스캔엔진이 실패했을 경우 백업 역할을 합니다. 스캔 엔진 풀 구성에 대한 자세한 내용은 스캔 엔진 풀 이용을 참조하십시오.

  Amazon 웹 서비스

  AWS(Amazon 웹 서비스) 가상 자산을 스캔하려면 AWS 환경에서 몇 가지 준비 작업을 수행하여 이 유형의 자산에 맞춘 검색 연결을 생성해야 합니다. 자세한 내용은 AWS 환경에서 동적 검색 준비를 참조하십시오.

  VMWare

  VMWare 가상 자산을 스캔하려면 대상 VMWare 환경에서 몇 가지 준비 작업을 수행하여 이 유형의 자산에 맞춘 검색 연결을 생성해야 합니다. 자세한 내용은 동적 검색을 위해 대상 VMware 환경 준비를 참조하십시오.

  내부 PCI 규정 준수 스캔

  시스템이 카드 회원의 데이터를 처리, 저장, 전송하는 경우, Nexpose를 사용해 PCI(Payment Card Industry) 보안 표준 위원회의 DSS(Data Security Standards)를 준수할 수 있습니다. PCI 내부 감사 스캔 템플릿은 DSS에서 요구하는 내부 평가를 수행하도록 고안되었습니다.

  PCI DSS 3.0에 대한 자세한 내용은 리소스 페이지를 참조하십시오.

  다음은 Nexpose를 통한 내부 PCI 스캔 작업 절차의 개요입니다. (애플리케이션에서 이 기능의 사용법에 대한 자세한 내용은 도움말 또는 사용자 가이드를 참조하십시오.)

  1. PCI DSS 3.0 섹션 6.1에 설명된 대로 보안 취약점을 식별하도록 절차를 생성해야 합니다. 이를 위해 다음 구성을 사용하여 Nexpose에서 하나 이상의 사이트를 생성:
     1. PCI에 특정한 보고서에 필요한 조직 정보를 사이트 구성의 정보 및 보안 탭에 있는 조직 섹션에 입력합니다.
     2. PCI 규정 준수를 위해 스캔할 자산을 포함시킵니다. (일반적으로 이러한 호스트는 CDE(회원 데이터 환경)로 구성됩니다.)
     3. PCI 내부 감사 스캔 템플릿을 사용합니다.
     4. 스캔의 자격 증명을 지정합니다. (이 자격 증명은 대상 시스템의 레지스트리, 파일, 패키지 관리 요소에 대한 읽기 권한을 가져야 합니다.)
  2. PCI DSS 요건 11.2.1 및 11.2.3에 명시된 대로 취약점을 스캔하여 문제를 해결했음을 확인하는 보고서를 생성하고 확인해야 합니다. 또한 PCI DSS 규정 준수를 입증하기 위해 이들 보고서의 사본을 보관해야 합니다.
     1. 기본 보고서 생성을 참조하십시오. PCI 요약 및 PCI 취약점 세부 정보 보고서의 사용을 원할 가능성이 큽니다. 각각의 템플릿에 대해 다음 절차를 수행합니다. 다음 설정 지정:
        1. 보고서의 범위에는 PCI를 위해 스캔하는 자산을 지정합니다.
        2. 고급 설정의 배포에서 이메일 발신자 주소와 보고서 수신자를 지정합니다.
  3. 취약점을 완화합니다. 취약점 설명에는 문제 해결 단계가 포함됩니다.
  4. 취약점 완화로 문제가 해결되었는지 다시 스캔하여 확인합니다.
     1. 보완 통제가 사용된 경우에는 예외 처리를 사용해 관련 취약점 발견을 방지해야 합니다. (자동화된 도구는 관련 위험의 완화에는 효과적이지만 보완 통제를 감지하는 것이 불가능할 수 있습니다.)
  5. 계속해서 스캔하고 완화시킵니다. PCI DSS 섹션 6.1 및 11.2.1에 명시된 대로 모든 고위험 취약점을 해소할 때까지 분기별로 내부 스캔 작업을 진행해야 합니다. 섹션 11.2.3에 명시된 대로 주요 변경 작업 후에도 스캔을 진행해야 합니다. 문제 해결 조치의 적절한 시간 구성은 섹션 6.2에 제시되어 있습니다.

  정책 벤치마크

  애플리케이션에는 정책 벤치마크에 사용될 수 있는 내장 스캔 템플릿이 포함됩니다. 템플릿은 CIS, DISA, 및 USGCB입니다. 각각의 템플릿은 여러 플랫폼에서 사용되는 정책 집합을 담고 있습니다. 사용되는 정책만 평가됩니다. 세 템플리스 중 CIS가 가장 다양한 플랫폼을 지원합니다. 이러한 템플릿에 대한 자세한 내용은  스캔 템플릿을 참조하십시오.

  모든 정책 스캔 템플릿은 데스크톱 및 서버와 같은 자산에 액세스하기 위해 사용되는 사용자 이름과 암호를 필요로 합니다. 일반적으로 이 계정에는 관리자 또는 루트 사용자 권한이 필요합니다. 자격 증명에 대한 자세한 내용은 스캔 자격 증명 구성을 참조하십시오.

  CIS 스캔 템플릿은 데이터베이스에 특정한 정책 검사를 포함하며 데이터베이스 액세스를 위한 사용자 이름과 암호를 필요로 합니다.