Your SlideShare is downloading. ×
0
Information Security Consulting 2008
Information Security Consulting 2008
Information Security Consulting 2008
Information Security Consulting 2008
Information Security Consulting 2008
Information Security Consulting 2008
Information Security Consulting 2008
Information Security Consulting 2008
Information Security Consulting 2008
Information Security Consulting 2008
Information Security Consulting 2008
Information Security Consulting 2008
Information Security Consulting 2008
Information Security Consulting 2008
Information Security Consulting 2008
Information Security Consulting 2008
Information Security Consulting 2008
Information Security Consulting 2008
Information Security Consulting 2008
Information Security Consulting 2008
Information Security Consulting 2008
Information Security Consulting 2008
Information Security Consulting 2008
Information Security Consulting 2008
Information Security Consulting 2008
Upcoming SlideShare
Loading in...5
×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

×
Saving this for later? Get the SlideShare app to save on your phone or tablet. Read anywhere, anytime – even offline.
Text the download link to your phone
Standard text messaging rates apply

Information Security Consulting 2008

1,045

Published on

2008년 서울여대 후배들을 위한 …

2008년 서울여대 후배들을 위한
정보보호 컨설팅 소개

Published in: Technology
0 Comments
1 Like
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total Views
1,045
On Slideshare
0
From Embeds
0
Number of Embeds
1
Actions
Shares
0
Downloads
38
Comments
0
Likes
1
Embeds 0
No embeds

Report content
Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
No notes for slide
  • Microsoft & PWC BDM Joint presentation - Confidential Question: What is the working relationship between PricewaterhouseCoopers and IBM? Response: None. In October 2002, PwC sold its management consulting practice, focused primarily on large systems implementation, to IBM Global Services. PwC retained its premier risk management advisory practice, which includes security and privacy. PwC is the financial auditor of IBM and therefore prohibited by law from having a business alliance with IBM. Question: Why is Microsoft teaming with PricewaterhouseCoopers? Response: PwC, one of the largest professional services companies with 125,000 people in 142 countries, has been named a Microsoft GSI. Has 1600 highly trained security and privacy professionals who combine IT knowledge and security expertise with business understanding. Is considered by industry analysts as the leading professional services firm providing security services to Global 2000 organizations. Has a significant knowledge base and leadership position in regulatory compliance as it relates to security and privacy. Pioneered the concept of identity management and has completed more than 75 identity management engagements with top tier companies. Collaborated in development of Microsoft’s new I&AM Planning and Implementation Guide published in April 2003. Question: How long have Microsoft and PwC been working together? Response: Since 1996 when PwC reviewed security for the Microsoft proxy server. Since then, we have undertaken more than a dozen security-related initiatives on behalf of Microsoft, ranging from our 1997 co‑authoring of a security book on NT Security and Auditing Controls to our 2003 review of the solution guide for Securing Windows Server 2003.
  • Microsoft & PWC BDM Joint presentation - Confidential Question: What is the working relationship between PricewaterhouseCoopers and IBM? Response: None. In October 2002, PwC sold its management consulting practice, focused primarily on large systems implementation, to IBM Global Services. PwC retained its premier risk management advisory practice, which includes security and privacy. PwC is the financial auditor of IBM and therefore prohibited by law from having a business alliance with IBM. Question: Why is Microsoft teaming with PricewaterhouseCoopers? Response: PwC, one of the largest professional services companies with 125,000 people in 142 countries, has been named a Microsoft GSI. Has 1600 highly trained security and privacy professionals who combine IT knowledge and security expertise with business understanding. Is considered by industry analysts as the leading professional services firm providing security services to Global 2000 organizations. Has a significant knowledge base and leadership position in regulatory compliance as it relates to security and privacy. Pioneered the concept of identity management and has completed more than 75 identity management engagements with top tier companies. Collaborated in development of Microsoft’s new I&AM Planning and Implementation Guide published in April 2003. Question: How long have Microsoft and PwC been working together? Response: Since 1996 when PwC reviewed security for the Microsoft proxy server. Since then, we have undertaken more than a dozen security-related initiatives on behalf of Microsoft, ranging from our 1997 co‑authoring of a security book on NT Security and Auditing Controls to our 2003 review of the solution guide for Securing Windows Server 2003.
  • Microsoft & PWC BDM Joint presentation - Confidential Question: What is the working relationship between PricewaterhouseCoopers and IBM? Response: None. In October 2002, PwC sold its management consulting practice, focused primarily on large systems implementation, to IBM Global Services. PwC retained its premier risk management advisory practice, which includes security and privacy. PwC is the financial auditor of IBM and therefore prohibited by law from having a business alliance with IBM. Question: Why is Microsoft teaming with PricewaterhouseCoopers? Response: PwC, one of the largest professional services companies with 125,000 people in 142 countries, has been named a Microsoft GSI. Has 1600 highly trained security and privacy professionals who combine IT knowledge and security expertise with business understanding. Is considered by industry analysts as the leading professional services firm providing security services to Global 2000 organizations. Has a significant knowledge base and leadership position in regulatory compliance as it relates to security and privacy. Pioneered the concept of identity management and has completed more than 75 identity management engagements with top tier companies. Collaborated in development of Microsoft’s new I&AM Planning and Implementation Guide published in April 2003. Question: How long have Microsoft and PwC been working together? Response: Since 1996 when PwC reviewed security for the Microsoft proxy server. Since then, we have undertaken more than a dozen security-related initiatives on behalf of Microsoft, ranging from our 1997 co‑authoring of a security book on NT Security and Auditing Controls to our 2003 review of the solution guide for Securing Windows Server 2003.
  • Microsoft & PWC BDM Joint presentation - Confidential Description of Offering PricewaterhouseCoopers provides companies with Identity and Access Management solutions (I&AM) based on the Windows Server 2003 platform, leveraging Microsoft Active Directory (AD) and Microsoft Identity Integration Server (MIIS). I&AM solutions enable organizations with diverse users and applications to develop a tailored, cost-effective approach to managing user access by selecting and deploying appropriate technologies, integrating security components and business systems and centralizing management of user access. This offering maps to Microsoft’s Identity and Access Management GTM and supports the Trustworthy Computing and SD3+C Initiatives.
  • Microsoft & PWC BDM Joint presentation - Confidential 정보 통신 기반 보호법 정보통신부에서 지정 IT 경영 실태 평가 감사 - ( 금감원 ) 주요 4 분야 에서 살핌
  • Microsoft & PWC BDM Joint presentation - Confidential KISA ISMS 조직에 적합한 정보보호를 위해 정책 및 조직 수립 , 위험관리 , 대책 구현 , 사후관리 등의 정보보호 관리과정을 통해 구현된 여러 정보보호 대책들이 유기적으로 통합된 체계에 대하여 한국정보보호 진흥원 (KISA) 이 평가하여 기준에 대한 적합 여부를 보증해주는 인증제도 ISO27001 정보보호관리체계 (Information Security Management System) 에 대한 국제적인 표준으로 조직의 정보자산을 효과적으로 보호하기 위한 정보보호 운영환경의 framework 를 제공함
  • Microsoft & PWC BDM Joint presentation - Confidential
  • Microsoft & PWC BDM Joint presentation - Confidential Description of Offering PricewaterhouseCoopers provides companies with Identity and Access Management solutions (I&AM) based on the Windows Server 2003 platform, leveraging Microsoft Active Directory (AD) and Microsoft Identity Integration Server (MIIS). I&AM solutions enable organizations with diverse users and applications to develop a tailored, cost-effective approach to managing user access by selecting and deploying appropriate technologies, integrating security components and business systems and centralizing management of user access. This offering maps to Microsoft’s Identity and Access Management GTM and supports the Trustworthy Computing and SD3+C Initiatives.
  • Microsoft & PWC BDM Joint presentation - Confidential
  • Microsoft & PWC BDM Joint presentation - Confidential
  • Microsoft & PWC BDM Joint presentation - Confidential
  • Microsoft & PWC BDM Joint presentation - Confidential
  • Microsoft & PWC BDM Joint presentation - Confidential
  • Microsoft & PWC BDM Joint presentation - Confidential
  • Microsoft & PWC BDM Joint presentation - Confidential
  • Microsoft & PWC BDM Joint presentation - Confidential
  • Microsoft & PWC BDM Joint presentation - Confidential
  • Microsoft & PWC BDM Joint presentation - Confidential
  • Microsoft & PWC BDM Joint presentation - Confidential Concept: that IAM is about enabling the identities to gain access to the right applications and enable collaboration with outside influence. Want to link the federated model in here somehow? Also protect this enablement of outside influence and reduce the operation risk. Business Need With increased reliance on the Internet for conducting business, companies need to ensure confidential and appropriate access to a wider array of users — customers, vendors, partners, suppliers and employees — and they need to efficiently manage establishing and denying access privileges as users come and go. The cost to effectively implement and manage these new user communities in a corporate network made up of multiple diverse systems can be overwhelming. However, the failure to do so risks security breaches, regulatory compliance breakdowns and inability to effectively deploy new business initiatives.
  • Microsoft & PWC BDM Joint presentation - Confidential Concept: that IAM is about enabling the identities to gain access to the right applications and enable collaboration with outside influence. Want to link the federated model in here somehow? Also protect this enablement of outside influence and reduce the operation risk. Business Need With increased reliance on the Internet for conducting business, companies need to ensure confidential and appropriate access to a wider array of users — customers, vendors, partners, suppliers and employees — and they need to efficiently manage establishing and denying access privileges as users come and go. The cost to effectively implement and manage these new user communities in a corporate network made up of multiple diverse systems can be overwhelming. However, the failure to do so risks security breaches, regulatory compliance breakdowns and inability to effectively deploy new business initiatives.
  • Microsoft & PWC BDM Joint presentation - Confidential Concept: that IAM is about enabling the identities to gain access to the right applications and enable collaboration with outside influence. Want to link the federated model in here somehow? Also protect this enablement of outside influence and reduce the operation risk. Business Need With increased reliance on the Internet for conducting business, companies need to ensure confidential and appropriate access to a wider array of users — customers, vendors, partners, suppliers and employees — and they need to efficiently manage establishing and denying access privileges as users come and go. The cost to effectively implement and manage these new user communities in a corporate network made up of multiple diverse systems can be overwhelming. However, the failure to do so risks security breaches, regulatory compliance breakdowns and inability to effectively deploy new business initiatives.
  • Microsoft & PWC BDM Joint presentation - Confidential Concept: that IAM is about enabling the identities to gain access to the right applications and enable collaboration with outside influence. Want to link the federated model in here somehow? Also protect this enablement of outside influence and reduce the operation risk. Business Need With increased reliance on the Internet for conducting business, companies need to ensure confidential and appropriate access to a wider array of users — customers, vendors, partners, suppliers and employees — and they need to efficiently manage establishing and denying access privileges as users come and go. The cost to effectively implement and manage these new user communities in a corporate network made up of multiple diverse systems can be overwhelming. However, the failure to do so risks security breaches, regulatory compliance breakdowns and inability to effectively deploy new business initiatives.
  • Microsoft & PWC BDM Joint presentation - Confidential Concept: that IAM is about enabling the identities to gain access to the right applications and enable collaboration with outside influence. Want to link the federated model in here somehow? Also protect this enablement of outside influence and reduce the operation risk. Business Need With increased reliance on the Internet for conducting business, companies need to ensure confidential and appropriate access to a wider array of users — customers, vendors, partners, suppliers and employees — and they need to efficiently manage establishing and denying access privileges as users come and go. The cost to effectively implement and manage these new user communities in a corporate network made up of multiple diverse systems can be overwhelming. However, the failure to do so risks security breaches, regulatory compliance breakdowns and inability to effectively deploy new business initiatives.
  • Microsoft & PWC BDM Joint presentation - Confidential
  • Microsoft & PWC BDM Joint presentation - Confidential
  • Transcript

    • 1. Information Security Consulting SK Infosec Security Research Center Penetration Test Team Hyun Jung Lee
    • 2. Information Security Consulting for Seoul Women ’ s University Students to be the best Girls, be ambitious!
    • 3.
      • 정보보호 컨설팅 이란 ?
      • 정보보호 컨설팅 유형
      • 정보보호 컨설팅 업체 현황
      • 정보보호 컨설턴트가 하는 일 기술적 컨설팅 세부 소개 ( 모의해킹 )
      • 정보보호 컨설턴트가 되기 위한 준비
      • 정보보호 컨설팅 전체 마인드 맵
      • 선배가 알려주는 사회생활 Mini-Tip
      • Q&A
      INDEX
    • 4. 1. 정보보안 컨설팅이란 … ..it can be a little confusing 각 조직의 성격에 맞게 해당 조직에 존재하는 위협을 제거하고 , 관리적 , 기술적 보안상의 안정성을 확립하기 위해 제공되는 서비스
        • 조직의 전산시스템과 네트웍 등 모든 IT 자산과 조직에 존재하는 위험을 분석 , 대책 수립 , 관리자와 조직이
        • 그 대책을 실현할 수 있도록 지원하는 독립적인 전문자문 서비스 ‘
        • ‘ 네트웍 및 전산장비에 대한 취약점 분석 및 대응책 제시 를 하고 , 정보보호 정책을 수립하며 ,
        • 교육을 통한 보안기술 이전으로 고객기업에 보안 자생력을 갖추어 고의 또는 실수로 인한 인가되지 않은 파괴 ,
        • 유출 , 변조로부터 정보자산의 보안을 강화’
        • ‘ 보안점검 , 보안진단 , 위험분석 및 평가 , 보안정책수립 , 보안 모델 설계 , 보안 솔루션제안 , 보안 교육 등
        • 기업의 보안을 강화하기 위한 전문적인 진단과 대책을 수립하는 총체적 행위’
      Q. 정보보안 컨설팅이란 도대체 뭐예요 ? Definition
    • 5. 1. 정보보안 컨설팅이란 조직의 목적 달성 경영과 업무상의 문제 해결 새로운 기회의 발견과 포착 학습증진 변화의 실행 컨설팅을 받는 이유 1. 해킹 발생 건수 급증 한국정보보호센터에 신고된 해킹 발생 건수가 매년 3 배씩 증가 2. 정보통신 기반 보호 법 - 국무총리를 위원장으로 하는 정보통신기반보호위원회 설치 - 주요정보통신기반시설을 지정하고 , 보호계획 수립 · 시행 - 정기적 취약점 분석 · 평가 3. IT 경영 실태 평가 - 금융기관 IT 경영실태평가 방법은 기본적으로 다음 네 분야로 구성되어 있음 . ㅇ 전산감사 : 전산부문에 대한 금융기관 내부의 자체감사 ㅇ 전산경영 : 전산경영전략 , 조직 및 예산 , 인적 · 물적 자원관리 등 ㅇ 시스템 및 프로그래밍 : 전산시스템 구축 및 업무용 프로그램 개발 ㅇ 컴퓨터운영 : 전산시스템 이용 , 통신망 관리 , 오퍼레이션 등 컨설팅을 통한 기대 효과 Q. 기업들은 정보보호 컨설팅 전문 업체로부터 정보보호 컨설팅을 왜 받나요 ? Security Consulting
    • 6. 2. 정보보호 컨설팅 유형 Q. 컨설팅에는 어떤 것들이 있나요 ? 순서 서비스 명 서비스 내용 주요 대상 1 취약성 진단 컨설팅 (Vulnerability Test)
      • 시스템 / 네트워크에 대한 취약성 테스트
      • 취약성 결과 보고 및 대안제시
      • IT 를 사용하는 전 조직
      2 기본 보안 컨설팅 (Security Assessment)
      • 보안체크리스트 이용 - 기본적인 정보보호수준점검
      • 보안절차 및 대책 권고 ( 취약성 진단 컨설팅 포함 )
      • IT 의존도가 약한 조직
      • 짧은 시간에 기본 대책 적용
      3 주요정보통신 기반시설 정보보호 컨설팅
      • 금융감독위원회 / 정보통신부 취약점분석 · 평가 기준을 반영한 보호 대책 수립 ( 주요정보통신기반시설 지정에 따른 법규 준수 )
      • 주요정보통신기반시설 조직
      4 정보보호 안전진단 심사
      • 정보통신서비스 제공자의 정보보호조치 이행 및 안전진단에 대한 Gap 분석 , 대책수립 및 심사를 통한 필증 획득 업무 수행
      • 정보보호 안전진단 대상 조직
      5 종합 보안 컨설팅 (Security Planning)
      • 상세한 분석을 통한 종합적 보안계획을 수립
      • 조직의 사업 특성에 적합한 보안위험분석 실시
      • 보안위험분석 결과에 따른 위험관리 대책 선정
      • 보안체계설계에 의한 체계적인 보안 로드맵 작성
      • IT 의존도가 강한 조직
      • 사업 특성에 맞는 상세한
      • 보안체계를 구축하고자 하는 경우
      6 개인정보 보호 컨설팅 (Privacy)
      • 주요 고객에 대한 고객정보 보호 현황 분석
      • 주요 개인고객 정보 보호 방안 / 대책 제시
      • 고객정보를 관리 관련 조직
      7 시스템개발단계보안컨설팅 ( 보안 ISP 컨설팅 )
      • 신 시스템의 개발단계에서 발생 가능한 보안 취약성에 대한 사전 제거 대책 / 방안 제시
      • 신 시스템 개발 조직
      • Embedded Security 검토 조직
      8 인증체계 유지 시스템
      • ISO27001/ISMS 인증에 대한 유지관리 솔루션
      • 인증 유지관리 조직
      9 보안 감사
      • 보안 체계가 효과적 , 효율적으로 구현 / 운영 여부점검
      • IT 보안 계획이 수립 운영중인 조직
    • 7. 2. 정보보호 컨설팅 유형 ( 프로젝트 진행 ) Q. 프로젝트 수립 절차는 어떻게 이루어 지나요 ?
      • 1. 프로젝트 준비
      • (Planning)
      • 계획 수립
      • 프로젝트 설명
      • 2. 현황 분석
      • (As-Is Analysis)
      • 관리적 보안 분석
      • 기술적 보안 분석
      • 3. 위험 분석
      • (Risk Analysis)
      • 자산 분석
      • 취약성 분석
      • 위험 분석
      • 4. 보안성 강화
      • (Vulnerability Treatment)
      • 긴급 조치
      • 방안 제시 및 지원
      • 5. 정보보호
      • 대책 수립
      • (Security Modeling)
      • 정보보호 대책수립
      • 6. 프로젝트완료
      • (Completion)
      • 종료보고
      • 보안교육
      • 7. 사후 관리
      • (Post Support)
      • 개선 이행
      • 확인 및 지원
      • 1. 정보보호 컨설팅 받기 원하는 기업들 사업 제안 요청서 RFP 공고
      • RFP 공고
      • 2. 정보보호 컨설팅 전문업체들의 제안 경쟁
      • RFP 요구 사항에 맞춘 제안서 작성해서 제출
      • 제안 발표회
      • 3. 사업 주관 기업에서 정보보호 전문업체 선정
      • 사업 수주 결정
      • 4. 프로젝트 수주 후 , 프로젝트 착수
      • 착수 보고회
      Project Start
    • 8. 2. 정보보호 컨설팅 유형 ( 프로젝트 진행 ) Q. 컨설팅 ( 프로젝트 ) 은 어떤 식으로 진행 되나요 ?
      • 1. 프로젝트 준비
      • (Planning)
      • 계획 수립
      • 프로젝트 설명
      • 2. 현황 분석
      • (As-Is Analysis)
      • 관리적 보안 분석
      • 기술적 보안 분석
      • 3. 위험 분석
      • (Risk Analysis)
      • 자산 분석
      • 취약성 분석
      • 위험 분석
      • 4. 보안성 강화
      • (Vulnerability Treatment)
      • 긴급 조치
      • 방안 제시 및 지원
      • 5. 정보보호
      • 대책 수립
      • (Security Modeling)
      • 정보보호 대책수립
      • 6. 프로젝트완료
      • (Completion)
      • 종료보고
      • 보안교육
      • 7. 사후 관리
      • (Post Support)
      • 개선 이행
      • 확인 및 지원
    • 9. 3. 정보보호 업체 현황 운영목적 기반시설 관리기관이 전자적 침해행위에 효과적으로 대응할 수 있도록 전문업체를 적극 활용하여 주요정보통신기반시설의 취약점 분석 · 평가 업무 및 보호대책 수립업무를 지원하기 위함 주요내용 정보보호컨설팅전문업체 지정ㆍ재지정 지원 정보보호컨설팅전문업체 사후관리 현장실사 지원 정보보호컨설팅전문업체 지정 제도 개선 정보보호컨설팅전문업체 지정 현황 (2008 년 4 월 현재 ) 정보보호컨설팅전문업체 지정 현황 (2008 년 4 월 현재 ) Q. 정보통신부 지정 정보보호 전문 업체는 어떤 곳이 있나요 ? 번호 업체명 홈페이지 1 시큐아이닷컴 ( 주 ) http://www.secui.com 2 ( 주 ) 안철수연구소 http://www.ahnlab.com 3 에스티지시큐리티 ( 주 ) http://www.stgsecurity.com 4 ( 주 ) 에이쓰리시큐리티컨설팅 http://www.a3sc.co.kr 5 롯데정보통신 ( 주 ) http://www.ldcc.co.kr 6 ( 주 ) 인젠 http://www.inzen.com 7 ( 주 ) 인포섹 http://www.goinfosec.co.kr
    • 10. 4.1 프로젝트 준비 1. 프로젝트준비 (Planning)
      • 프로젝트 추진계획서
      세부 Task 별 설명
      • 프로젝트 착수 준비 단계
      • 프로젝트에 대한 설명 ( 필요 시 착수 보고회 실시 )
      단계별 세부 Task 1.2 프로젝트 설명 설명회 / 보고회
      • 프로젝트 추진계획서템플릿 활용
      4. 정보보호 컨설턴트가 하는 일 1.1 계획수립 추진조직 구성 인력투입계획수립 범위 선정 추진일정 수립 산출물 정의 각 단계별 Task 역할 및 고려 사항 추진조직 구성
      • 프로젝트의 목표 , 범위 등을 기초로 하여 추진 조직을 구성함
      • 추진 조직은 관리 / 기술적 분야의 필요 인원으로 적절히 구성해야 하며 , 필요시 외부인력도 고려할 수 있음
      인력투입계획 수립
      • 프로젝트 대상 및 범위에 따라 인력의 투입 일정 계획을 수립 함
      • 인력투입계획 수립시 실재 투입 기간이외에 준비 / 사후관리 ( 예 : 보고서 작성 , 협의 ) 일정 ( 시간 ) 도 고려해야 함
      범위 선정
      • 프로젝트의 성격을 파악하여 범위를 선정함
      • - 인터뷰 대상자 ( 관리 / 기술 등의 특성고려 )
      • - 진단 시스템 (OS, 설치 위치 , 어플리케이션 특성 등을 고려하여 샘플링 )
      • - 컨설팅의 목적을 명확히 하여 과도한 범위를 산정하지 말아야 함
      추진일정 수립
      • 범위 , 투입인력 등을 고려하여 전체 일정을 수립 함
      • 일정은 각 Task 별로 수립함
      • - 착수 / 종료 , 인턴뷰 , 취약점 점검 , 보고회 등
      산출물 정의
      • 프로젝트 성격에 따라 산출물은 최소한으로 정의 하여 산출물 작성에 과도한 시간을 낭비하지 않도록 함
      • - 기본 산출물 : 프로젝트 추진계획서 , 현황분석보고서 , 취약점 진단 보고서 , 정보보호 대책 및 마스터플랜
      프로젝트 설명
      • 프로젝트의 목적 , 진행 일정 및 방법 , 투입인력 등에 대해 설명
      기타
      • 프로젝트 추진계획서에는 요청자료 , 담당자 협조 사항 등도 포함
    • 11. 2.1 관리적 보안 분석 체크리스트 작성 관련자료 검토 인터뷰 평가
      • 현황분석 체크리스트
      • “ 현황 및 위험분석 보고서”에 결과 반영
      세부 Task 별 설명
      • 프로젝트 대상에 대한 업무 분석
      • 정보보호 관리기준 ( 정책 / 지침 /ISO27001 등 ) 을 기반으로 한 체크리스트를 기반으로 현황분석을 실시 함
      단계별 세부 Task
      • 현황분석 체크리스트
      • 현황분석보고서 템플릿 활용
      2. 현황분석 (As-Is Analysis) 2.2 기술적 보안 분석 관리적 / 기술적 보안 분석은 대상이 상이 할뿐 진행절차는 동일하게 수행 함 4. 정보보호 컨설턴트가 하는 일 4.2 현황 분석 각 단계별 Task 역할 및 고려 사항 체크리스트 작성
      • 현황분석 체크리스트 템플릿을 기반으로 컨설팅 범위 및 목적에 맞게 체크리스트를 제구성 함
      관련자료 검토
      • 체크리스트를 기반으로 필요한 자료를 검토함 ( 예 : 지침 , SOP, 네트워크 / 시스템 구성도 등 )
      • 실재 시행되고 있는지에 대한 검증을 위해 추가적인 자료 요청 및 확인 필요
      인터뷰
      • 각 부문별 담당자들에게 체크리스트를 기반으로 한 인터뷰를 실시함
      • 인터뷰시 관련자료를 검토한 내용에 대한 확인 및 보충 질문을 함
      • 필요시 추가적인 요구사항도 수집 / 분석 함
      평가
      • 체크리스트를 기반으로 정보보호 수준을 통제항목별로 평가하며 준수여부에 대해서 3 단계로 평가함
      • -H(High) : 통제항목의 준수 수준이 양호함
      • -P(Partial) : 통제항목에 대해서 부분적으로 준수됨
      • -L(Low) : 통제항목의 준수 수준이 낮음
      • 관련 담당자와 평가결과를 사전에 검토하여 평가의 적절성을 판단할 필요가 있으며 , 이 과정에서 추가적인 보안 통제현황도 파악할 수 있음
      기타
      • 현황분석 체크리스트는 엑셀로 되어 있으며 , 각 항목별 가중치 , 평가 점수 계산 , 평가 그래프 등의 작업을 할 수 있음
      • 위험분석을 통해 도출된 취약점 결과로 통제항목별 보안수준을 수정 함
    • 12.
        • 4.3 위험분석 - 자산분석
      2.1 자산 분석 자산목록 작성 자산중요도 평가 담당자 확인 취약점분석 대상 샘플링
      • “ 현황 및 위험분석 보고서”에 자산평가 결과 반영
      세부 Task 별 설명
      • 자산분석은 정보자산 , 서버 , 네트워크 , PC 등을 대상으로 중요도를 분석
      • 자산분석시 중요도 및 자산의 특성에 따라 통제 수준을 정의하며 취약성 분석 샘플 대상을 정의 합니다 .
      단계별 세부 Task
      • 자산분석 템플릿 활용
      3. 위험분석 (Risk Analysis) 3.1 자산분석 4. 정보보호 컨설턴트가 하는 일 각 단계별 Task 역할 및 고려 사항 자산목록 작성
      • 컨설팅 대상에 대한 자산 목록을 작성함
      • 필요시 정보자산 ( 예 : 백업데이터 , 고객정보 등 ) 에 대해서도 목록작성
      자산중요도 평가
      • 자산목록에 대해서 기밀성 , 무결성 , 가용성 측면에서 3 등급 ( 상 , 중 , 하 ) 로 평가 함
      • 평가는 담당자 의견을 참조하여 컨설턴트가 직접 평가 함
      담당자 확인
      • 자산평가 결과에 대한 담당자의 의견을 반영하여 조정 함
      취약점분석 대상 샘플링
      • 컨설팅 대상 자산 중 자산의 중요도 , 취약한 환경 등을 감안한 샘플링을 통해 취약점 진단 , 모의해킹 대상을 선정함
      • - 중요도가 높거나 주요 위협에 노출된 시스템
      • 전체 시스템을 대표할 수 있는 시스템 (OS, Application 고려 )
      • 네트웍 장비 중 인터넷 경계라우터 필수 선정
      • 웹서버 , 메일서버 , DB 서버 필수 포함 .
      • 샘플링 완료 후 담당자와 협의하여 확정하며 , 점검 일정 , 방법 , 시간 등에 대해서 확정함
      기타
      • 자산분석 결과는 “현황 및 위험분석 보고서”에 결과 값을 반영함을 원칙으로 하나 , 컨설팅 대상이 작거나 자산분석이 불필요 할 경우 자산목록만 작성하여 참고자료로 활용 함
    • 13.
        • 4.3 위험분석 - 취약성분석
      2.2 취약성 분석 서버 취약점 진단 네트워크 취약점 진단 분석 및 보고서 작성
      • “ 현황 및 위험분석 보고서”에 자산별 취약점 결과 값을 반영하며 , 요약된 내용만 기술
      • 각각의 진단보고서는 별로도 작성함
      세부 Task 별 설명
      • 취약성 분석은 서버 , 네트워크 , 어플리케이션 등에 대해서 점검을 함
      • 취약성 분석시 진단도구 , 체크리스트 등을 통해서 점검을 하며 필요시 모의해킹도 수행 함
      단계별 세부 Task
      • 각 대상별 취약점 진단 체크리스트를 활용
      • 취약점 진단 도구 활용
      • 수동점검
      • 필요시 모의해킹 ( 외부용역가능 )
      3. 위험분석 (Risk Analysis) 3.2 취약성분석 어플리케이션 취약점 진단 모의해킹 및 우회경로 점검 4. 정보보호 컨설턴트가 하는 일 각 단계별 Task 역할 및 고려 사항 서버 취약점 진단
      • 서버 점검 체크리스트 활용
      네트워크 취약점 진단
      • 네트워크 점검 체크리스트 활용
      어플리케이션 취약점 진단
      • 어플리케이션 점검 체크리스트 활용
      모의해킹 및 우회경로 점검
      • 모의해킹 가이드 활용
      • 필요 시 외부 용역 가능
      분석 및 보고서 작성
      • 각 취약점 점검 대상별로 분석을 하며 , 별도의 보고서를 각 대상별 보고서 템플릿을 참조하여 작성 함
        • - 서버 취약점 진단 보고서
        • - 네트워크 취약점 진단 보고서
        • - 어플리케이션 취약점 진단 보고서
        • - 모의해킹 및 우회경로 점검 보고서
      • 종합평가 결과는 별도로 작성하지 않으며 “현황 및 위험분석 보고서”에 반영하여 작성 함
    • 14.
        • 4.3 위험분석 - 위험분석
      2.3 위험 분석 위험분석 현황 및 위험분석 보고서 작성
      • “ 현황 및 위험분석 보고서”는 문제점에 대한 종합적인 보고서로 관리적 기술적인 내용이 모두 반영된 보고서
      세부 Task 별 설명
      • 위험 분석은 컨설팅 대상 자산에 대해서 위험도를 평가함
      • 위험 분석은 현황분석 , 자산분석 , 취약성분석 결과를 종합적으로 반영하여 평가 함
      단계별 세부 Task
      • 현황분석 결과 값
      • 자산분석 결과 값
      • 취약점 분석 결과 값
      3. 위험분석 (Risk Analysis) 3.3 위험분석
      • 위험분석 엑셀 활용
      현황 및 위험분석 보고서
      • 현황분석 및 위험분석 보고서 템플릿 활용
      4. 정보보호 컨설턴트가 하는 일 각 단계별 Task 역할 및 고려 사항 위험분석
      • 현황분석 체크리스트의 결과 값을 반영
      • 자산분석 결과 값을 반영
      • 취약점 분석 결과 값을 반영
      • 각 자산별 위험도를 평가함 ( 위험평가 엑셀 활용 )
      현황 및 위험분석 보고서 작성
      • 현황분석 체크리스트의 결과 값 및 위험분석 결과 값을 종합적으로 평가한 보고서를 작성 함
      • 주요한 취약점 및 문제점들에 대해서 기술 함
      • 현황 및 위험분석 보고서 템플릿 활용
    • 15. 4.4 보안성 강화 4.1 긴급조치 방안제시 긴급조치항목도출 긴급조치 보고서 작성 세부 Task 별 설명
      • 보안성 강화는 현황분석 , 취약성 분석에서 도출된 문제점 중 긴급한 조치가 필요한 사항에 대해서 방안을 제시 함
      • 긴급조치 방안 제시시 서비스의 영향 등에 대해서 충분한 검토 필요
      단계별 세부 Task
      • 현황분석 결과 값
      • 취약점 분석 결과 값
      긴급조치 보고서 4. 보안성 강화 (Vulnerability Treatment) 담당자 협의 및 교육
      • 컨설팅 기간 내에 조치된 결과는 정보보호 대책서에 명시하며 종료 보고시 보고함
      정보보호 이행계획서로 이력관리 컨설팅 기간 내 담당자 조치 4. 정보보호 컨설턴트가 하는 일 각 단계별 Task 역할 및 고려 사항 긴급조치항목 도출
      • 현황분석 및 위험분석 중 취약점 분석에서 나타난 문제점 중 긴급히 조치해야 할 항목을 도출 함
      • - 서비스에 영향을 주지 않는 항목 ( 예 : 불필요한 네트워크서비스 )
      • - 취약점이 심각하여 즉시 조치해야 할 항목 ( 예 : 취약한 패스워드 사용 )
      • - 비공식적인 활동 및 설정 ( 예 : 관리자 실수 또는 편의에 의한 비공식적인 접근 경로 )
      긴급조치 보고서 작성
      • 긴급조치 항목에 대해서 문제점 , 해결책 , 주의 사항 등에 대해서 기술한 문서
      • 긴급조치 보고서는 담당자 협의 및 담당자가 조치를 하기 위한 문서로써 쉽게 작성하며 , 원인 및 문제점을 구체적으로 기술함
      • 긴급조치 보고서 템플릿 활용
      담당자 협의 및 교육
      • 긴급조치 항목에 대해서 담당자에게 설명하며 이에 대한 의견을 수렴 함
      • 서비스에 지장을 초래하거나 현실적으로 조치하기 힘든 항목의 경우 대체 수단을 강구함
      • ( 예 : 원격관리가 요구될 경우 반드시 허가 받은 후 개방을 하며 , 이에 대한 모니터링을 강화 함 )
    • 16.
        • 4.5 정보보호 대책수립
      5.1 정보보호 대책 수립 대책 항목 도출 우선순위 평가 세부 Task 별 설명
      • 컨설팅 수행시 발견된 문제점들에 대한 대책을 제시
      • 대책은 단기 , 중기 , 장기로 구분하여 마스터플랜을 수립 함
      단계별 세부 Task
      • 현황분석 및 위험 분석 결과
      “ 정보보호 대책서” 이행계획 수립 5. 정보보호 대책수립 (Security Modeling) 4. 정보보호 컨설턴트가 하는 일 각 단계별 Task 역할 및 고려 사항 대책 항목 도출
      • 현황분석 및 위험분석 중 취약점 분석에서 나타난 문제점에 대해서 보안 대책을 수립 함
      • 대책은 관리 , 기술적 영역으로 구분함
      우선순위 평가
      • 도출된 대책 항목에 대해서 우선 순위를 평가하여 컨설팅 대상기관 ( 부서 , 지역 ) 이 체계적으로 대책을 적용할 수 있도록 함
      • 우선 순위는 실현 가능성 ( 적용성 ), 중요성 ( 긴급성 ) 에 따라 판단하며 , 선후 관계도 고려하여야 함
      이행계획 수립
      • 도출된 보안 대책 및 우선 순위에 의해서 이행 계획을 수립 함
      • 이행계획 담당자와 혐의하여 예산 , 아키텍쳐 변경 등을 고려하여 현실적으로 수립함
    • 17. 4.6 프로젝트완료 6.1 종료보고 종료보고 자료 작성 종료보고 세부 Task 별 설명
      • 공식적인 프로젝트 완료 단계로 최종보고 또는 설명회 등을 통해 컨설팅 결과를 최종 정리 함
      • 필요시 컨설팅 결과에 대해 교육을 실시 함
      단계별 세부 Task
      • 현황분석 및 위험 분석 결과
      • 종료보고 템플릿 활용
      “ 정보보호 대책서” 6. 프로젝트완료 (Completion) 6.2 보안교육 산출물 활용 4. 정보보호 컨설턴트가 하는 일 각 단계별 Task 역할 및 고려 사항 종료보고 자료 작성
      • 컨설팅 결과에 대해서 요약하여 작성 함
      종료보고
      • 종료보고 ( 회의 )
      보안교육
      • 필요 시 보안교육을 실시하며 , 컨설팅 결과를 위주로 교육일 실시함
    • 18. 4.7 프로젝트완료 7.1 개선이행지원 개선사항 확인 미 이행과제 지원 / 자문 세부 Task 별 설명
      • 사후관리는 정보보호 이행과제에 대해 추진 경과를 확인하며 이에 대한 원활한 수행을 위해 지원
      • 컨설팅 수행 대상에서 보안 자문 요구에 대한 지원을 수행 함
      단계별 세부 Task
      • 정보보호 이행계획
      “ 정보보호 이행확인서 ” 7. 사후 관리 (Post Support) 4. 정보보호 컨설턴트가 하는 일 각 단계별 Task 역할 및 고려 사항 개선사항 확인
      • 정보보호 이행과제에 대한 적절한 이행 여부 및 이행시 애로점 등에 대한 확인
      • “ 정보보호 이행 확인서” 템플릿 활용
      미 이행과제 지원 / 자문
      • 정보보호 이행과제 중 미 이행 항목에 대한 원인 및 애로점 등에 대해서 담당자에게 지원 / 자문
    • 19. 4. 정보보호 컨설턴트가 하는 일 (Penetration Test) 모의해킹 프로젝트 요청 담당자 미팅 ( 유선 / 오프라인 ) 모의해킹 시나리오 선정 대상 / 기간 선정 사전 업무 협의 단계 Exploit 단계 정보 수집 단계 취약점 분석단계 2 1 3 4 대상 목록화 포트 스캔 웹 취약점 스캔 네트워크 스캔 /Footprinting 웹 구조 탐색 취약점 스캔 웹 해킹 시스템 해킹 네트워크 해킹 중요정보 획득 미션 종료 수집된 정보 목록화 웹 취약점 분석 시스템 취약점 분석 네트워크 취약점 분석 보고서 작성 및 프로젝트 종료 단계 5 보고서 작성 보고서 리뷰 보고서 제출 프로젝트 종료 교육 / 지원
      • 모의해킹의 목적은 핵심 위협과 경로를 도출하는 것으로서 , 웹 / 시스템 / 네트워크 /DB 해킹 등의 다양한 기법을 통해 취약점을 도출하고 개선안을 마련함
    • 20. 4. 정보보호 컨설턴트가 하는 일 (Penetration Test) 웹 어플리케이션 진단 VS 모의해킹 구분 웹 어플리케이션 진단 모의해킹 목적 - 웹 서버에 점검항목을 하나하나 전부 점검하여 취약점을 찾아내고 , 그에 맞는 보안 대책 및 개선 방안을 돌출하는데 목적이 있음
      • - 해킹 목적 ( 기업 중요정보 획득 , 비 인가 네트워크 침투 , 사용자정보 획득 , 특수 컨텐츠 , 고급 기술을 요구되는 것 ) 을 가지고 수행함으로써 발생할 수 있는 해킹 위협을 찾아냄 . 웹 어플리케이션 진단과 같이 모든 취약점을 점검하지는 않음
      • 보안 대책 적용 전 / 후 기업의 보안 위협 분석을 위한 목적
      • ex) 은행권 , 블루투스 , T-Login, 와이브로 , ETC ..
      공격기법 OWASP 를 기반으로 한 체크리스트 공격 시나리오에 따라 가능한 모든 공격 공격범위 웹 서버 담당자 협의에 따라 범위가 틀려짐 대상 많음 적음 기타 모든 항목을 체크하되 웹 서버 용도에 따라 그에 맞는 기법중심으로 진단을 수행함 ex) 쇼핑몰 -> 가격조작 , 등본발행 -> 등본조작 , 사용자 등급이 있는 게시판 -> 상위권한획득 제약조건이 많음 ( 고객사의 상황에 따라 하지 말아야 할 것과 시도할 수 있는 것으로 구분됨 ) 어플리케이션 진단 후 보안 대책을 적용한 이후에 사이트의 보안성을 검증하기 위한 용도로 사용되기도 함 .
    • 21. 5. 정보보호 컨설턴트가 되기 위한 준비
      • IT 컨설팅을 하기 위해 반드시 필요한 학과는 ? 없습니다 . 무 슨 과를 나와도 IT 컨설팅은 할 수 있습니다 . 컴퓨터학과만 나와도 할 수 있고 기계과를 나와도 할 수 있습니다 . 하지만 , 정보보호학과에서 전문적으로 공부 했다면 더 매리트가 있겠죠 ?
      • 신입사원도 입사가능 ? 물론 컨설팅 쪽은 경력사원을 요구하는 경우가 많고 , 좋은 대학졸업 , 석사이상의 학위 등을 요구하는 경우가 많습니다 . 입사원도 채용하니 합격만 한다면 바로 들어갈 수도 있습니다 .
      • IT 컨설팅 쪽으로 일반적으로 유명회사는 ? 외국기업 : 엑센추 어 , IBM, HP 등 국내기업 : 삼성 SDS, LG-CNS, SKC&C 및 SI 업체 등이고 기타 특정분야를 특화 하는 소규모 컨설팅 업체들도 많이 있습니다 . 예를 들면 보안 , CRM, ITSM 등 특화된 컨설팅 업체들도 습니다 . SI 업체들은 내부에 SI 프로젝트조직 , 컨설팅조직 등 여러 분야로 나누어져 있습니다 . 이 중 자신이 원하고 , 합격할 수 있는 곳에 지원하면 되겠지요 .
      • 아무 컨설팅 경험이 없어도 덜컥 취직하면 일할 수 있습니까 ?
      • 염려 마세요 취직만 하면 바보가 아니면 다 하게 됩니다 . 컨설팅회사는 이미 방법론과 노하우가 모두 축적되어 있기 때문에 조금만 노력하면 다 됩니다 .
      • 입사에 유리 하려면 ?
      • 신입사원으로 유명 컨설팅 회사에 입사하거나 유명 SI 회사의 컨 설팅 분야로 입사하려면 ' 전공 ' 보다는 좋은 대학 ( 좋은 대학이 아니면 뛰어난 성적 )+ 학위 ( 석 박사 )+ 뛰어난 영어실력 + 언변 등이 필요합니다 . 그러므로 컨설팅은 하고 싶은데 위의 것이 부족할 경우는 일 단 다른 업무로 입사하고 이후 경험을 쌓아 컨설팅으로 옮기는 것도 방법입니다 . - SK Infosec 신수정 전무님 메시지 -
    • 22. 6. 정보보호 컨설팅 전체 마인드 맵
    • 23. 7. 선배가 알려주는 사회생활 Mini-Tip  1. 영어
      • 영어 공부 ( 항상 강조해도 지나치지 않은 ..)
      • 연구 , 자격증 ( 업무 관련 분야 연구 , 사회는 더욱 치열한 세계 )
      • 꾸준한 자기 발전 노력 ( 현재 위치에서 미래를 위해 어떤 일부터 할 수 있는지 ]
      • 자기 발전 위해 꾸준히 노력하는 사람임을 어필
      • 인적 네트워크 형성 ( 능동적 인간관계 형성 )
    • 24.  
    • 25. Thank you !

    ×