도서 소개
에이콘 해킹.보안 시리즈. 이 책은 모의 침투 테스트에 대한 전반적인 절차와 구체적인 방법 등의 내용을 다룬 책이다. 자세한 이론적인 내용뿐만 아니라 초보자도 테스트 랩을 구성해 침투 테스트를 쉽게 실습할 수 있다.
기존 책에서 이미 많이 다룬 웹 기반 공격(SQL 인젝션, 파일 업로드 등)보다는 애플리케이션 취약점을 악용하거나 시스템 권한을 획득하는 등 최근 공격 트렌드에 맞춘 네트워크 및 취약점 기반 모의 해킹에 대한 내용을 설명했다. 또한 침투 테스트에 대한 결과 보고서를 작성하는 내용도 다루기 때문에 침투 테스트의 처음부터 끝까지의 내용을 모두 포함하고 있다고 할 수 있다.
출판사 리뷰
★ 요약 ★
모의 침투 테스트에 대한 전반적인 절차와 구체적인 방법 등의 내용을 다룬 책이다. 자세한 이론적인 내용뿐만 아니라 초보자도 테스트 랩을 구성해 침투 테스트를 쉽게 실습할 수 있다. 기존 책에서 이미 많이 다룬 웹 기반 공격(SQL 인젝션, 파일 업로드 등)보다는 애플리케이션 취약점을 악용하거나 시스템 권한을 획득하는 등 최근 공격 트렌드에 맞춘 네트워크 및 취약점 기반 모의 해킹에 대한 내용을 설명했다. 또한 침투 테스트에 대한 결과 보고서를 작성하는 내용도 다루기 때문에 침투 테스트의 처음부터 끝까지의 내용을 모두 포함하고 있다고 할 수 있다.
★ 이 책에서 다루는 내용 ★
■ 해킹 및 침투 테스트 기술을 전문 경력으로 전환할 수 있게 하는 방법
■ 해킹 실습 및 교육을 위한 랩을 구성하는 데 대한 기본 지식과 향상된 랩 설정 방법
■ 내부 혹은 외부로의 정확한 침투 테스트 수행 방법
■ 전문 침투 테스터에게 중요한 평가 척도와 보고 방법
■ HackingDojo.com 등에서 다운로드할 수 있는 시스템 해킹 대상이나 네트워크 해킹 대상으로 사용할 자원과 비디오 교재에 대한 접근법
★ 이 책의 구성 ★
1장, '소개'에서는 이 책에서 다루는 내용에 대해 개괄하고, 개정판에서 달라진 점, 책의 설명을 따라 하기 위해 독자가 갖춰야 할 시스템 설정에 대해 알려준다.
2장, '윤리와 해킹'에서는 해킹에 관한 주요 논의의 일환으로 옳고 그름에 대한 논의부터 시작한다. 전문 모의 침투가로서 윤리적이 돼야 하는 이유는 악성 행위에 빠지는 변명보다 더 중요하며, 모의 침투 중 행위를 가이드 하는 법과 윤리적 기준에 대해 알아본다. 대부분의 사람들이 무시하는 주제이지만, 윤리는 기업 내의 중요한 주제이며, 모의 침투 프로젝트 중 어떻게 행동하는지 이해함에 따라 클라이언트와 고용주와의 전문적인 관계를 개선할 수 있다.
3장, '랩 구성'에서는 기본적이며 기능적인 가상 랩을 구성하는 방법으로 시작한다. 전문 모의 침투가가 되려는 개개인이 가장 빈번하게 질문하는 내용 중 하나는 "랩 구성에 있어 어떤 장비가 필요한가?"부터 "어떻게 해킹하는 법을 배우는가?"로 이어진다. 독자들이 이 두 가지 질문을 해결하는 데 도움을 주기 위해 가상 네트워크를 이용해 빠르고 쉬운 랩을 구성하는 법을 알려준다. 또한 다른 도전 과제와 학습 기회를 제공하는 여러 가상 시스템을 랩에 포함한다. 기본적인 부분이 끝나면 고급 주제를 학습하기 위해 기업 컴퓨터 환경을 복제하는 고급 랩을 구성하는 방법을 다룬다. 스위치나 라우터 같은 실제 네트워크 장비를 구성하는 방법을 검사한다. 이런 시스템의 설정 내용은 웹사이트에서 다운로드 할 수 있으므로 독자들이 상황을 재구성할 수 있다. 모의 침투 랩의 업그레이드에는 시스템과 네트워크 장비의 접근을 획득하는 효과적인 방법을 소개하고자 하는 목적이 있다.
4장, '방법론과 프레임워크'에서는 모의 침투에 있어서 잘 알려지고 인정받는 기준과 절차에 대해 검사한다. 이 분야는 지난 20년간 급증했으며, 모의 침투의 절차를 성문화하는 작업이 이뤄졌다(앞으로 해야 할 일이 많으나, 완전한 재작성이 아닌 일부 수정에 가까움). 4장에서는 몇 가지 옵션을 설명하고, 다른 방법론 간의 장단점을 검사한다.
5장, '모의 침투 프로젝트 관리'에서는 어떻게 프로젝트를 수행하는지 설명한다. 5장은 전판과는 내용이 달라졌다. 2판에서는 조직 내의 모의 침투 관리법을 다룬다. 그러나 단독 컨설턴트이기 때문에 대규모 조직 기반시설의 지원 없이 프로젝트를 수행하는 방법을 설명한다.
6장, '정보 수집'에서는 정확한 용어는 출판물마다 다르지만, 초기 단계에서 방향을 제시해 줄 수 있는 수동적이고 능동적인 정보 수집 기법을 검사한다. 프로젝트 중 목적에 따라 행위를 은밀하게 숨길 필요가 있다. 두 가지 기법을 통해 어떻게 수행하는지 알아본다.
작가 소개
저자 : 토마스 빌헬름
1990년부터 정보 보안 분야에서 일해왔으며, 미 육군에서 신호 정보 분석가/러시아어 통역/암호 해독가로 8년간 복무했다. 데프콘(DefCon), HOPE, CSI 같은 미국 전역에 걸친 보안 컨퍼런스의 발표자로 활동했고, 포춘 지 100대 기업에서 위험 평가, 외부 및 내부 침투 테스트의 리드 역할 그리고 정보 시스템 보안 프로젝트를 관리하며 일해왔다.컴퓨터 과학과 관리 석사학위를 갖고 있고, 정보 기술의 박사과정 학생이기도 하다. 콜로라도 기술 대학교의 부교수로 활동하면서, 잡지와 책을 비롯한 여러 출판물에도 기고하고 있다. 최근에는 Heorot.net을 통해 민간과 정부 직원을 대상으로 보안 트레이닝 코스를 운영 중이며, SISMP, CISSP, SCSECA, SCNA 같은 보안 자격증을 보유하고 있다.
목차
1장. 소개
소개
개정판에서 달라진 점
설정하기
모의 침투 수행하기
내부 모의 침투
개인 기술
다운로드 링크와 지원 파일
HackingDojo.com
가상 이미지
하드웨어 설정 파일
정리
2장. 윤리와 해킹
해킹 허가
윤리 강령 규정[(ISC)2]
윤리적이어야 하는 이유
블랙햇 해커
화이트햇 해커
그레이햇 해커
윤리 규범
자격증
컴퓨터 범죄 관련 법
여러 종류의 법
컴퓨터 범죄와 공격의 종류
해킹을 위한 사전 승인
비밀 협정
기업의 의무
계약자의 의무
정리
참고 자료
3장. 랩 구성
소개
침투 테스트 랩의 대상
해킹을 배우면서 직면하는 문제
실제 환경 시나리오
턴키 시나리오
라이브 CD는 무엇인가?
가상 네트워크 침투 테스트 랩
간단하게 유지
가상화 소프트웨어
침투 테스트 데이터 보호
암호화 스키마
침투 테스트 시스템 보호
모바일 보안 문제
무선 랩 데이터
고급 침투 테스트 랩
하드웨어 고려 사항
하드웨어 구성
운영체제와 애플리케이션
악성코드 분석: 바이러스와 웜
기타 대상 아이디어
정리
참고 자료
4장. 방법론과 프레임워크
소개
정보 시스템 보안 평가 프레임 워크
기획과 준비: 1단계
평가: 2단계
보고, 정리, 아티펙트 제거: 3단계
오픈소스 보안 테스트 방법론 안내서
업무 규칙
채널
모듈
정리
참고 자료
5장. 침투 테스트 프로젝트 관리
소개
침투 테스트 척도
