전체 글 32

클라우드 시큐리티 261020 - 8주 1일차

멘토의 조언을 이해하고, 왜 그것을 해야하는지 이해하는 것부터 시작. 1. Terraform 활동 전략 이해 관련 **AWS_WAFv2_ip_Set?** -> 문자 그대로, 블랙리스트 명단(IP Set)이라는 빈 저장소를 먼저 만들어두는 것. 해당 저장소에는 ID가 부여되며, 이 ID를 환경변수로서 저장한다. Lambda 함수는 해당 환경변수를 참조한 후, IP set의 업데이트를 진행할 수 있게 된다. (차단할 IP 명단을 직접 적는 하드코딩은 보안상 좋지 않고, 유지보수가 어려움) **AWS_cloudwatch_event_rule & AWS_lambda_permission**: eventbridge와 lambda를 어떻게 연결할 수 있는가? 라는 질문에 대한 해답. Guard..

클라우드 시큐리티 261014 - 7주 2일차

오늘의 과제 진행도 1. AWS 통합 보안 아키텍처 설계 (그림 포함)- 1개의 다이어그램으로는 충분히 고도화된 내용을 가독성 있게 보여줄 수 없다고 판단=> 다이어그램을 3개로 분리. 다이어그램 1: 6주차까지의 AWS/okta/cloudflare 연동을 다이어그램으로 요약, 한계 제시다이어그램 2: 새로 추가한 AWS 네이티브 앱들을 표시, 핵심 기능 설명을 포함다이어그램 3: 악성 침입 발생시 대응절차 예시 2. 네이티브 클라우드 기능들에 대해 가볍게 알아보기- aws WAF = AWS에서 지원하는 웹 어플리케이션 방화벽. 각종 공격들을 차단.- Amazon GuardDuty = 네트워크 트래픽 상시 감시 CCTV.- Amazon Inspector = EC2 취약점 주기적으로 점검- AWS Secu..

클라우드 시큐리티 261013 - 7주 1일차

6주차 과제물 리뷰:- okta 인증은 뚫기 어려운 절차이지만, 절대 뚫을 수 없는 것은 아니다.- 스마트폰 자체를 도난당하거나, 계정이 탈취당하는 등의 문제는 발생할 수 있다.- 현재 Cloudflare Tunnel + okta MFA를 사용한 보안 체계로는 사이트 접속 전까지만 보호해 주며, 그 이후는 보호해주지 못한다.- 다음의 다층 방어 구조를 적용한다. 계층 1: 접근 통제 (6주차 구축) - Okta MFA - Cloudflare Access 계층 2: 애플리케이션 보호 (7주차 추가) - AWS WAF: 악성 페이로드 차단 - AWS Shield: DDoS 방어 계층 3: 위협 탐지 (7주차 추가) - GuardDuty: 비정상 행동 탐지 - Inspector: 취약점 스캔 계층 4: 통합 ..

클라우드 시큐리티 6주차 과제(260104)

1. OKTA developer 계정 및 cloudflare 계정 생성.2. 클라우드플레어 도메인 구매 완료 및 Zero trust Access 활성화3. okta와 클라우드플레어 연결 완료, 테스트 결과 Connection 성공 화면 확인4. 클라우드플레어 터널 구성 준비 완료클라우드플레어 터널(이하 터널/Tunnel)이란:- 기존 서버=성 운영은 Port를 열어놓고 사용자의 접근을 기다림. 따라서, 공격자도 얼마든지 접근 가능.- Tunnel은 대문=Port를 없앰. 그 대신, Cloudflared 에이전트가 성 외부의 관문(Cloudflare).와 연결되는 전용 통로를 만듦- 성문 위치 대신, 관문에서 신분 확인(okta)만 받으면 인증받은 인원만 tunnel을 통해 성으로 안내

리팩토링멘토링 CERT 5주차 - shodan 사용범위 및 실습

1. Shodan의 이용 범위•네트워크 프린터일반적으로, 회사 프린터는 복수의 PC와 연결된다.따라서, 연결의 편리함을 위해 네트워크를 이용한 무선 연결을 사용하는 경우가 많다.일반적으로 인터넷망과 인트라넷을 분리하지만, 이 두 망이 프린터를 공유할 경우 문제가 발생할 수 있다.이 경우, Shodan 검색에 감지될 수 있다.(예시: 프린터가 인터넷망을 사용하므로 해커가 해당 프린터에 접근 => 해당 프린터로 전송되는 인트라넷 내용을 확인)•CCTV흔하게 볼 수 있는 CCTV는, 보안 목적으로 사용되거나 대규모 시설 + 공공장소에서 사용된다.구형 기기: 영상 정보의 단순 유선 전송 => 네트워크를 이용한 온라인 공격이 어렵다.신형 기기: 네트워크 기능이 탑재된 경우, 해당 연결을 통해 공격받을 수 있다.S..

리팩토링멘토링 CERT 4주차 - 사물인터넷과 shodan

1. 사물인터넷이란?정의:물리적인 장치, 차량, 가전제품에 SW + 네트워크 연결 기능을 내장-> 데이터 수집 및 공유를 허용하는 네트워크 => 사물에 센서와 통신 기능을 결합시킨 후, 인터넷에 연결하는 기술. 특징:상호연결성/Connectivity지능성과 자동화/Intelligence & Automation센싱 및 제어/Sensing & Control: 핵심 구성 요소:1. Sensor – IoT의 기본 요소. 주변 환경의 정보를 감지하고 디지털 데이터로 변환한다.2. Connectivity – 연결성. 데이터를 수집했다면, 다른 기기나 중앙 처리 시스템으로 전송한다.3. Data Processing – 수집된 데이터를 가공하여 유의미한 정보로서 가공한다.4. User Interface – 사용자와 시..

리팩토링멘토링 CERT 3주차

0. 발표 준비를 위한 검색어 설정개인정보 - 여권 정보(passport)정보 - env, admin웹사이트 정보 - stat금융 정보 - VISA? Mastercard?기업 - invoice(송장), orderCCTV - view, live+@: 오류 메시지/error‘어떤 조건에서 에러 메시지가 발생하는가?’를 알아낸다(예시: snort 시그니처 룰)1. 검색어 - 검색 예문더보기env: intitle:"index of" env.XXXstat: intitle:"index of" "XXX-stat"invoice: index of: "invoice" "upload"CCTV: intitle: "webcamxp 5" or intext: "live XXXXXX"metadata: intitle: "index ..

리팩토링멘토링 CERT 2주차

1. Google Hacking이란?•Google 검색에서 지원하는 연산자를 이용하는 검색 기법.구글은 봇을 사용하여 웹 페이지들의 정보를 수집하며, 수집된 데이터들을 서버에 저장한다.(=캐싱.)•+@: 단, 구글 캐싱은 HTTP 헤더에서 Cache-Control 지시어를 사용하는 것으로 방지할 수 있다.(Cache-Control 예시: no-store – 구글 봇이 리소스를 전혀 저장할 수 없도록 한다.)•상기한 헤더를 사용하지 않았거나, 사용했더라도 이외의 웹사이트 설정에 오류가 발생했을 경우, 공격자는 웹사이트의 취약점을 쉽게 알아낼 수 있다. •이 취약점을 알아내기 위해 구글 검색에서 지원하는 연산자들을 이용할 수 있다.2. 구글 검색 키워드 및 사용 방법1) Steve jobs VS “Steve..

리팩토링멘토링 CERT 1주차

1. CERT의 정의•정의: CERT = Computer Emergency Response Team.= 컴퓨터 비상 상황 대응팀.•주로 사이버 보안 사고를 예방하는 업무를 진행함.보안사고가 발생하면, 해당 사고에 대한 원인 및 피해 규모를 신속하게 파악한 후 대책을 수립.•최종적으로는 피해를 최소화시키는 업무를 수행.1-1. 보안관제와 CERT의 차이.•보안관제: 실시간 모니터링에 포커스.실시간으로 발생하는 악성 코드, 데이터베이스 침투 등에 대처함. = 최전선 병력.•CERT: 모든 종류의 침해사고에 발생.Ex: 이번 SKT 보안 사고를 예시로 들면, 해킹이나 DB 침투가 발생했을 때, 빠르게 초기 대응을 진행하고, 해당 사건에 대한 분석 및 대응방안 강구를 진행(했어야)하는 것이 CERT.=>그러므로..