Shuai HE, Saini YANG, Jiayuan YE
State Key Laboratory of Earth Surface Processes and Resource Ecology, Beijing Normal University, Beijing 100875, China
Shuai HE, Saini YANG, Jiayuan YE
State Key Laboratory of Earth Surface Processes and Resource Ecology, Beijing Normal University, Beijing 100875, China
2. Contents
Wrap up
Vulnerability Assessment?
Vulnerability Assessment vs. Penetration Test
Why VA? Why Cyclone?
3. Wrap Up: Cyclone?
를 취약점(Vulnerability: Security Hole)을 찾아 내고
DBMS를 샅샅이 뒤져 취약점 을
그 내용과 대응 방안을 알려 주는 “VA Solution” 입니다
입니다.
4. 분석?
Vulnerability Assessments 취약점 분석
Outside-In
(Pen-Test)
Identifies
Report
-Vulnerabilities Scanning
-Misconfigurations
-User Right &
Hackers Eye
Role Permissions
View
Inside-Out
(Security Audit)
Note: 해커의 눈으로 대상 DBMS의 내외부에 존재하는 Security
Hole을 찾아 위험도를 측정 분류하고 대응 방안과 대안을 권고하는
것.
5. Vulnerability Assessment vs. Penetration Test
종종 헛갈리게 사용됩니다.
VA가 Pen-Test로 잘못 표현되거나 VA는 Pen-Test가
주기능이라 판단하기 때문입니다.
식별하는 Test입니다.
VA는 잠재적인 취약점을 식별
Pen-Test는 취약점을 악용함으로써 식별된 취약점을
검증하는 VA의 보완재입니다.
검증
기능은
Note: Vulnerability Assessment의 중심 기능은 잠재적인 취약점 식별,
취약점 검증, 오탐 방지 및 제거 입니다.
6. Why VA? Why Cyclone?
5 Key Steps to DB Security Process Control.
Isolate Sensitive Eliminate
Databases Vulnerabilities
Enforce Monitor
Least Privileges for Deviations
Respond to
Suspicious Behavior
7. Why VA? Why Cyclone?
4 Steps to Cost Effective SQL Injection Protection.
Isolate Sensitive Eliminate
Databases Vulnerabilities
Respond to Monitor
Suspicious Behavior for Deviations
8. Why VA? Why Cyclone?
Top 10 Database Vulnerability and Mis-configurations.
① Default, Blank & Weak Username/Password
② SQL Injection in the DBMS
③ Excessive User & Group Privilege
④ Unnecessary Enabled Database Features
⑤ Broken Configuration Management
⑥ Buffer Overflows
⑦ Privilege Escalation
⑧ Denial of Service Attack DoS
⑨ Un-patched Databases
⑩ Unencrypted sensitive data