ÇØÄ¿Áî´º½º / ÇØÄ¿´ëÇÐ

Donation bitcoin(±âºÎ¿ë ºñÆ®ÄÚÀÎ ÁÖ¼Ò)

¡¡
1Pq3K39XM5xx4CifGKgppXeavtWNNHH7K4
¡¡
±âºÎÇϽŠºñÆ®ÄÚÀÎÀº "º¸¾È Ãë¾à °èÃþ"À» À§ÇØ »ç¿ëµÇ°í ÀÖ½À´Ï´Ù.
¡¡
¡¡

Donation bitcoin(±âºÎ¿ë ºñÆ®ÄÚÀÎ ÁÖ¼Ò)

¡¡
1Pq3K39XM5xx4CifGKgppXeavtWNNHH7K4
¡¡
±âºÎÇϽŠºñÆ®ÄÚÀÎÀº "º¸¾È Ãë¾à °èÃþ"À» À§ÇØ »ç¿ëµÇ°í ÀÖ½À´Ï´Ù.
¡¡

°øÁö

¡¡

1. Å©·Ò ºê¶ó¿ìÀú·Î Á¢¼Ó½Ã ³ª¿À´Â ¾Ç¼ºÄÚµå °æ°íâÀº ±¸±Û Å©·ÒÀÇ ¿¡·¯, Áï ¿ÀŽ(ŽÁö ¿À·ù)À̹ǷΠ¹«½ÃÇÏ½Ã¸é µË´Ï´Ù.

2. ÀÌ »çÀÌÆ®´Â ¾ÈÀüÇÏ¸ç ±ú²ýÇÏ´Ù´Â °ÍÀ» ¾Ë·Á µå¸³´Ï´Ù.

¡¡





  ÇØÄ¿¸ô  
No, 3832
±¸ºÐ: Á¤º¸
Á¾·ù: Threat Modeling
ÆÄÀÏÇüÅÂ: Á¤º¸
¶óÀ̼¾½º: Á¤º¸
Áö¿øOS: Á¤º¸
Å©·¢¿©ºÎ: Á¤º¸
2018/12/16(ÀÏ)
Á¶È¸: 416
Threat Modeling  

Microsoft¿¡¼­ ³ª¿Â Threat Modeling Àº ¼ÒÇÁÆ®¿þ¾î °³¹ß½Ã °³¹ßµÇ´Â Á¦Ç°ÀÇ À§Çù¿øÀ» ºÐ¼®ÇÏ¿© »çÀü¿¡ Ãë¾à¼ºÀ» Á¦°ÅÇϱâ À§ÇÑ ¹æ¹ý·ÐÀÔ´Ï´Ù. ¾Æ·¡¿Í °°Àº ¼ø¼­·Î ÁøÇàµË´Ï´Ù.
 

1. ½Ã½ºÅÛÀÌ »ç¿ëµÇ´Â ¹æ½Ä°ú ³»¿ÜºÎ Á¶°ÇµéÀ» ºÐ¼®
 

2. º¸È£ÇØ¾ß ÇÏ´Â ÀÚ»ê°ú À§Çù¿øÀ» ½Äº°

- °ü¸®Àû, ±â¼úÀû Self-Á¤º¸º¸È£ ±¸Çö ¹æ¹ý·ÐÀΠOCTAVE¿¡¼­´Â °ü¸®ÀÚ±Þ ÀÌ»óÀÇ Âü¿©¸¦ ÅëÇØ ÀÚ»êÀ» ½Äº°Åä·Ï Çϸç, ½Äº°µÈ ¸ðµç ÀÚ»êÀ» º¸È£ÇÒ ¼ö ¾ø±â ¶§¹®¿¡, Àڻ꿡 ´ëÇÑ ¿ì¼±¼øÀ§¸¦ ºÎ¿©Çϵµ·Ï ÇÕ´Ï´Ù.

- À§Çù¿øÀÇ ½Äº°Àº Attack Tree¸¦ »ç¿ëÇÕ´Ï´Ù. À§Çù¿øÀÌ ½Ã½ºÅÛ°ú interactive °¡´ÉÇÑ Á¶°ÇµéÀ» µûÁ®¼­ Tree ¸ð¾çÀÇ ½Ã³ª¸®¿À¸¦ ¸¸µé°í, ÀÌÁß¿¡¼­ ½ÇÁ¦·Î ½ÇÇö °¡´ÉÇÑ °æ·Î¸¦ ã¾Æ³»´Â ¹æ½ÄÀÔ´Ï´Ù.

- À§Çù¿øÀ» ºÐ·ùÇÏ´Â ¹æ½ÄÀ¸·Î STRIDE Ä«Å׷θ®·Î ³ª´©´Âµ¥¿ä, STRIDE´Â ¾Æ·¡¿Í °°½À´Ï´Ù.
 

S : Spoofing Identity

- ÀÚ½ÅÀ» ´Ù¸¥ ÀÌ·Î ¼ÓÀÌ´Â À§ÇùÀÔ´Ï´Ù. ¼Û½ÅÀÚ IPÁÖ¼Ò¸¦ º¯Á¶ÇÏ´Â IP ½ºÇªÇÎ µîÀÌ ÀÖ½À´Ï´Ù.
 

T : Tampering with Data

- µ¥ÀÌÅ͸¦ Àΰ¡¾øÀÌ ´Ù¸¥ °ªÀ¸·Î º¯°æÇÏ´Â À§ÇùÀÔ´Ï´Ù.
 

R : Repudiation

- ÀÚ½ÅÀÌ ÇÑ ÇൿÀ» ºÎÁ¤ÇÏ´Â °ÍÀÔ´Ï´Ù. ¿¹¸¦ µé¾î, °áÀçÇߴµ¥ ¾ÈÇß´Ù°í ¹ß»­ÇÏ´Â °ÍÀÔ´Ï´Ù.
 

I : Information Disclosure

- Àΰ¡µÇÁö ¾ÊÀº »ç¶÷µé¿¡°Ô Á¤º¸¸¦ ³ëÃâÇÏ´Â À§ÇùÀÔ´Ï´Ù.
 

D : Denial of Service

- Á¤»óÀûÀÎ ¼­ºñ½º¸¦ ÇÏÁö ¸øÇϵµ·Ï ¹æÇØÇÏ´Â À§ÇùÀÔ´Ï´Ù.
 

E : Elevation of Privilege

- ºñÀΰ¡µÈ ¹æ¹ýÀ¸·Î Àڽſ¡°Ô Çã¶ôµÈ ±ÇÇѺ¸´Ù »óÀ§ ±ÇÇÑÀ¸·Î ¿Ã¶ó°¡´Â À§ÇùÀÔ´Ï´Ù.
 

3. ½Ã½ºÅÛÀÇ entry point¸¦ ºÐ¼®ÇÏ¿© Ãë¾à¼ºÀ» ÆÄ¾Ç

- À§Çù¿øÀº entry point¸¦ ÅëÇØ ½Ã½ºÅÛ°ú interactiveÇϸç À̸¦ ÀÌ¿ëÇÏ¿© ¹öÆÛ¿À¹öÇ÷οì, SQL ÀÎÁ§¼Ç °ø°ÝÀ» ÇÕ´Ï´Ù.
 

4. À§ÇèÀ» ½Äº°

- º¸Åë Risk = Ãë¾à¼º x ÀÚ»ê x À§Çù¿ø ÀÌ µË´Ï´Ù.

- Á¤·®Àû À§Çè ºÐ¼®À¸·Î Risk = Probability x Impact ·Î °è·®È­Çϱ⵵ ÇÕ´Ï´Ù.

- Threat Modeling¿¡¼­´Â DREAD¸¦ ÅëÇØ À§ÇèÀ» °è·®È­ÇÕ´Ï´Ù. DREAD´Â ¾Æ·¡¿Í °°½À´Ï´Ù.
 

D : Damange Potential => ÇÇÇØ¾×

R : Reproducibility => °ø°ÝÀÇ Àç»ý»ê¼º (¿¹¸¦ µé¸é, Ưº°È÷ Á¶°Ç¾øÀÌ ¾Æ¹« ¶§³ª °ø°ÝÇÒ ¼ö ÀÖ´ÂÁö..)

E : Exploitability => °ø°ÝÀÚ ¼öÁØ

A : Affected users => °ø°ÝÀ¸·Î ÀÎÇØ ÇÇÇØ¸¦ º¸´Â »ç¶÷µé

D : Discoverability => ¹ß°ß°¡´É¼º

 

DREAD °¢°¢Àº 1~3»çÀÌÀÇ °ªÀÌ ºÎ¿©µÇ°í, Àüü ÇÕÀÌ RiskÀÇ °ªÀÌ µË´Ï´Ù.
 

5. °á°ú¹°À» °³¹ßÆÀ µîÀ¸·Î Çǵå¹é 

 

¾ÖÀÚÀÏ(Agile) ¹æ¹ý·Ð¿¡ Threat ModelingÀ» Á¢¸ñÇÏ·Á°í ÇÏ´Â ½Ãµµµµ Àֳ׿ä..

Äڵ带 ÀÛ¼ºÇϸ鼭 À§Çù¿øÀ» ½Äº°Çϰí ÇØ°áÃ¥À» attribute °ªÀ» ÀÌ¿ëÇÏ¿© Äڵ忡 ¹Ù·Î ½Äº°ÇÑ ¼ø°£ »ðÀÔÇÏ´Â ¹æ½ÄÀÎ µí ÇÕ´Ï´Ù.

http://www.ics.ie/downloads/01_Threat_Modelling.pdf 


Âü°íÀÚ·á

http://www.win.tue.nl/~ecss/oldsite/seminar/gopa-ajeesh-threats.pdf

http://msdn2.microsoft.com/en-us/library/aa302419.aspx


                   
¹øÈ£±¸ºÐÁ¦ ¸ñÀ帣
3835 À¯Æ¿    SQL ÀÎÁ§¼Ç °ø°Ý µµ±¸ - SQLi Dumper 8.2 Injection 
3834 À¯Æ¿    ÇÁ·Ï½Ã ¼öÁý±â - Gather proxy ÇÁ·Ï½Ã 
3833 ¼Ò½º    3.7Kb ¿ë·®ÀÇ ÃֽŠÇÁ·Ï½Ã ¸®½ºÆ® ÇÁ·Ï½Ã 
3832 Á¤º¸    Threat Modeling Threat Modeling 
3831 À¯Æ¿    À̸ÞÀÏ ¼öÁý±â - Atomic Email Hunter ÃßÃâ±â 
3830 À¯Æ¿    µ¨ÆÄÀÌ ¹ÙÀδõ - Jestr Binder ¹ÙÀδõ 
3829 À¯Æ¿    Å©·¡Å· Åø µµ±¸ ¸ðÀ½ Å©·¡Ä¿ 
3828 ¼Ò½º    Silent Doc °ø°Ý ÄÚµå ¾Ç¼ºÄÚµå 
3827 Á¤º¸    º§½Ã ´Ù¿ëµµ ½Ã½ºÅÛ °ø°Ý µµ±¸ µîÀå! RAT 
3826 Á¤º¸    ºÏÇÑ»ê ·£¼¶¿þ¾î ryuk ·£¼¶¿þ¾î 
3825 Á¤º¸    ·£¼¶¿þ¾î Çù¹Ú ÇØÄ¿µéÀÌ ÀÚÁÖ ¾²´Â À̸ÞÀÏ ·£¼¶¿þ¾î 

 
óÀ½ ÀÌÀü ´ÙÀ½       ¸ñ·Ï