KR20180060616A - Rba기반 통합 취약점 진단 방법 - Google Patents

Rba기반 통합 취약점 진단 방법 Download PDF

Info

Publication number
KR20180060616A
KR20180060616A KR1020160160320A KR20160160320A KR20180060616A KR 20180060616 A KR20180060616 A KR 20180060616A KR 1020160160320 A KR1020160160320 A KR 1020160160320A KR 20160160320 A KR20160160320 A KR 20160160320A KR 20180060616 A KR20180060616 A KR 20180060616A
Authority
KR
South Korea
Prior art keywords
security
vulnerability
asset
diagnosis
risk
Prior art date
Application number
KR1020160160320A
Other languages
English (en)
Inventor
김석윤
임형민
장의진
김필중
이보람
Original Assignee
주식회사 엘앤제이테크
숭실대학교산학협력단
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 엘앤제이테크, 숭실대학교산학협력단 filed Critical 주식회사 엘앤제이테크
Priority to KR1020160160320A priority Critical patent/KR20180060616A/ko
Publication of KR20180060616A publication Critical patent/KR20180060616A/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

본 발명은 RBA기반 통합 취약점 진단 방법에 관한 것으로서, 응용 취약점 진단, 인프라 취약점 진단의 두 가지로 구분되어 영역별 보안 취약점만을 진단하는 진단도구를 개선하여 통합적인 관점, 실시간 진단 및 진단결과를 위험평가에 실시간을 반영할 수 있도록 한 것이다.
본 발명의 RBA기반 통합 취약점 진단 방법은 자산정보부로부터 전송된 자산정보를 자산평가정보 수신부가 수신하는 제1단계; 상기 자산평가 정보 수신부가 수신한 상기 인프라 자산에 대한 인프라 자산정보에 대한 평가를 수행하여 보안 취약점을 분석하는 제21단계 및 상기 서비스 자산 정보에 대한 보안 진단을 수행하여 보안 취약점을 분석하는 제22단계로 구성되는 취약점 도출/진단하는 제2단계; 상기 인프라 자산 정보에 대한 평가 및 상기 서비스 자산에 대한 상기 보안 진단의 결과에서 도출된 보안 취약점에 대하여 상관 관계 분석하여 보안 취약점에 대한 상관관계를 분석하는 제3단계; 제3단계에서 도출된 상기 보안 취약점에 대한 상관관계 분석 결과에 의하여 보안 위험도를 평가하여 위험평가결과부로 전송하여 위험평가결과를 갱신하는 제4단계; 및 제4단계에서 평가된 위험도 평가결과에 의하여 보안기준/지표를 갱신하여 보안기준/지표부에 반영하는 제5단계를 포함함에 기술적 특징이 있다.

Description

RBA기반 통합 취약점 진단 방법{RBA based integrated weak point diagnosis method}
본 발명은 RBA(Risk Based Assessment)기반 통합 취약점 진단 방법에 관한 것으로서, 응용 취약점 진단, 인프라 취약점 진단의 두 가지로 구분되어 영역별 보안 취약점만을 진단하는 진단도구를 개선하여 통합적인 관점, 실시간 진단 및 진단결과를 위험평가에 실시간으로 반영할 수 있도록 한 RBA기반 통합 취약점 진단 방법에 관한 것이다.
일반적으로 보안 취약점 진단은 응용 취약점 진단과, 인프라 취약점 진단의 두 가지로 나누어지며, 응용 취약점 진단은 응용 소프트웨어의 소스코드를 분석하여 보안에 취약한 소스코드를 추출 하거나(소프트웨어 보안 취약점 진단), 동적으로 동작하는 응용 소프트웨어를 대상으로 정해진 공격 패턴으로 해킹을 시도하여 취약점을 추출(모의 해킹)하며, 인프라 취약점 진단은 취약점 분석 대상의 설정 값을 확인하여 보안 기준에 적합한지 여부를 추출하여 진단하는 것이다.
일반적인 취약점 진단은 소프트웨어 보안 취약점 진단, 모의 해킹 및 인프라 취약점 진단을 위한 도구의 결과를 분석하여 취약점 진단결과를 도출하며, 각각의 취약점 진단 도구는 다음과 같은 형태로 취약점을 진단한다.
소프트웨어 보안 취약점 진단은 SW보안약점진단 전문 도구를 활용하며, 일반적으로 서버 접속 없이 PC에 단독으로 설치되는 Stand Alone 형태의 구조를 띄고 있고, 제공받은 소스코드를 불러들여 사전에 정의된 룰셋을 바탕으로 취약점을 진단하며, 모의 해킹은 자동화된 모의해킹 도구의 신뢰성이 낮아 취약점 진단 대상이 너무 많은 경우와 같은 특별한 상황을 제외하고는 전문 모의해커에 의한 수동 진단으로 진행되는 경우가 많고, 인프라 취약점 진단은 스크립트(script) 형태의 툴을 취약점 진단 대상에 USB, FTP등을 활용하여 툴을 삽입한 후 해당 툴을 실행시켜 취약점을 진단한다.
그러나, 이러한 종래의 취약점의 진단은 다음과 같은 네가지의 문제점이 있다.
첫째, 취약점 진단 영역별 진단을 하는 형태로써, 통합적인 방법에 의한 진단을 하지 않아 구조적인 취약점 발견이 거의 불가능하고, 네트워크 구조 등을 통해 상호보완 되어 취약하지 않은 취약점을 조치하는 등의 예산 낭비가 발생할 우려가 높다.
둘째, 대부분의 취약점 진단이 전문가 의존성이 높으므로 전문가의 역량 및 관심도에 따라 발견되는 취약점이 다를 수밖에 없으므로 모든 영역을 같은 수준으로 진단하기가 어려운 문제가 존재한다.
셋째, 년 1~2회 등 정기적 및 상시 취약점 진단을 수행하는 노력을 하더라도, 운영 및 유지보수 도중 수시로 변경되는 사항으로부터 발생되는 취약점에 대하여 즉각적인 대비가 어려워 취약점 조치 직후를 제외한 나머지 기간은 안전하지 않은 상태에서 운영해야 하는 문제점이 있다.
넷째, 정보보안 관리체계 수립 등 보안 위험평가 수행 시 발견된 취약점이 중요한 기반이 되므로(평가될 위험을 도출 시 발견된 취약점을 바탕으로 함) 상기 문제들이 비단 취약점 진단뿐만 아닌 회사 및 기관의 보안 체계에 전체에 지대한 영향을 미치게 된다.
이와 관련하여 대한민국 공개특허 10-2004-0104853호에서는 정보 자산에 대한 위험 분석 작업을 체계적으로 지원할 수 있는 위험 분석 시스템의 제공 및 비교적 단기간 동안의 작업을 통해 정보 자산에 대해 체계적인 보안 분석이 가능한 툴을 제공하고자 하였다.
이를 위하여 종래의 기술에서는 위험 분석 시스템이 자산에 영향을 미치는 위협을 선택하고 평가하는 위협분석부(100)와, 파악된 위협에 노출된 자산들을 목록화하고 개별자산에 대해 평가하는 자산분석부(200)와, 진단대상에 대해 물리적, 관리적, 기술적 취약성 진단을 실행하는 취약성 분석부(300)와, 위협도와 자산의 가치 및 취약도로부터 위험도를 산출하고, 각각의 위험별로 발생가능성을 평가하는 위험분석부(400)를 포함하고 있다.
그러나, 이러한 종래의 기술은 위협분석부(100)은 선택된 위협에 대한 평가를 실시하여 그 결과를 위협분석결과 데이터베이스(158)에 저장, 자산분석부(200)은 자산의 종류에 따라 정해지는 평가기준에 따라 평가하여 그 결과를 자산분석결과 데이터베이스에 저장, 취약성 분석부(300)은 위험분석 모델별로 취약성 평가를 처리, 위험분석부(400)은 위협도와 자산의 가치 및 위약도로부터 위험도를 산출하고 각각의 위험별로 발생가능성을 평가하도록 하여, 분석결과의 상관관계 분석 또는 실시간 업데이트를 하고 있지 못한 실정이다.
상기와 같은 종래 기술의 문제점을 해결하기 위하여 안출된 본 발명은 종래의 기존 취약점 진단의 문제에 대한 본질적인 원인을 분석하여 통합적이고 실시간 진단이 가능하며 변화가 발생했을시 위험평가 결과에 즉각 반영할 수 있는 진단 도구를 제공하고자 하는 목적이 있다.
본 발명의 상기 목적은 RBA기반 통합 취약점 진단 방법에 있어서, 자산정보부로부터 전송된 인프라 자산 정보 및 서비스 자산 정보를 자산평가정보 수신부가 수신하는 제1단계; 상기 자산평가 정보 수신부가 수신한 상기 인프라 자산에 대한 평가를 수행하여 보안 취약점을 분석하는 제21단계 및 상기 서비스 자산 정보에 대한 보안 진단을 수행하고 보안 취약점을 분석하는 제22단계로 구성되는 취약점 도출/진단하는 제2단계; 상기 인프라 자산 정보에 대한 평가 및 상기 서비스 자산에 대한 상기 보안 진단의 결과에서 도출된 보안 취약점에 대하여 상관 관계 분석하여 보안 취약점에 대한 상관관계를 분석하는 제3단계; 제3단계에서 도출된 상기 보안 취약점에 대한 상관관계 분석 결과에 의하여 보안 위험도를 평가하여 위험평가결과부로 전송하여 위험평가결과를 갱신하는 제4단계; 및 제4단계에서 평가된 위험도 평가결과에 의하여 보안기준/지표를 갱신하여 보안기준/지표부에 반영하는 제5단계로 구성되는 것을 특징으로 하는 RBA기반 통합 취약점 진단 방법에 의해 달성된다.
따라서, 본 발명의 RBA기반 통합 취약점 진단 방법은 기존 취약점 진단의 개별적인 진단을 인프라 자산정보 및 서비스 자산정보에 대하여 통합적으로 분석하여 통합적으로 진단 가능하도록 하는 효과가 있다.
또한, 입력시스템의 위험 평가부와 보안기준/지표부에 위험평가결과 및 갱신된 보안기준/지표를 즉시 반영함으로써 실시간 진단뿐만 아니라, 변화가 발생했을시 위험평가 결과 및 보안기준/지표에 즉각 반영할 수 있는 진단 도구를 제공할 수 있는 효과가 있다.
도 1은 종래의 기술에 의한 정보 자산에 대한 위험 분석 작업을 체계적으로 지원할 수 있는 위험 분석 시스템 구성도,
도 2는 본 발명에 따른 RBA기반 통합 취약점 진단 시스템의 구성도,
도 3은 본 발명에 따른 RBA기반 통합 취약점 진단을 위한 순서도이다.
본 명세서 및 청구범위에 사용된 용어나 단어는 통상적이거나 사전적인 의미로 한정해서 해석되어서는 아니되며, 발명자는 그 자신의 발명을 가장 최선의 방법으로 설명하기 위해 용어의 개념을 적절하게 정의할 수 있다는 원칙에 입각하여 본 발명의 기술적 사상에 부합하는 의미와 개념으로 해석되어야만 한다.
따라서, 본 명세서에 기재된 실시예와 도면에 도시된 구성은 본 발명의 가장 바람직한 일 실시예에 불과할 뿐이고 본 발명의 기술적 사상을 모두 대변하는 것은 아니므로, 본 출원시점에 있어서 이들을 대체할 수 있는 다양한 균등물과 변형예들이 있을 수 있음을 이해하여야 한다.
이하 첨부된 도면을 참조하여 본 발명의 바람직한 실시예를 상세히 설명하기로 한다.
도 2는 본 발명에 따른 RBA기반 통합 취약점 진단 시스템의 구성도이다.
도 2에 도시된 바와 같이, 본 발명의 RBA기반 통합 취약점 진단 시스템은 크게 자산정보부(10), 위험평가결과부(20) 및 보안기준/지표부(30)으로 구성되는 자산정보시스템과, 자산평가정보부(40), 취약점 도출/진단부(50), 위험평가부(60) 및 보안기준/지표 갱신부(70)으로 구성되는 처리시스템으로 구성된다.
이중에서 자산정보부는 하드웨어 자원 등에 대하여 진단 대상의 설정값을 확인하여 보안 기준에 적합한지 여부를 스크립트(script) 형태의 툴을 진단대상에 삽입하여 추출하게 되는 인프라자산정보부(11) 및 응용 소프트웨어의 소스코드를 분석하여 보안에 취약한 소스코드를 추출하는 SW보안 취약점 분석대상 및 동적으로 동작하는 응용 SW를 대상으로 정해진 공격 패턴으로 해킹을 시도하여 취약점을 추출하는 모의해킹 분석 대상을 포함하는 서비스자산정보부(12)로 구성된다.
또한, 취약점 도출/진단부(50)은 자산정보부(10)으로부터 처리시스템의 자산평가 정보 수신부(40)로 수신된 인프라 자산정보(11) 및 서비스 자산정보(12)에 대하여 인프라 자산에 대한 취약점을 도출 및 진단하는 인프라 취약점 도출/진단부(51) 및 서비스자산 정보에 대하여 취약점 도출/진단을 하는 SW보안 보안 취약점 도출/진단부(52) 및 모의해킹에 의한 취약점 도출/진단부(53)으로 구성된다.
이와 같은 취약점 도출/진단부(50)에서 진단된 취약점은 인프라 자산정보(11)에 대한 취약점 및 서비스 자산정보(12)에 대한 대하여 상관관계 분석을 통하여 보안 위험평가부(60)에서 보안위험을 평가하게 된다.
보안 위험평가부(60)에서의 보안위험은 자산정보시스템의 위험평가결과부(20)으로 피드백함으로서 갱신되도록 하며, 이후 위험평가부(60)에서 평가된 보안위험은 보안기준/지표 갱신부(70)으로 전송되어 보안기준/지표를 갱신하기 위한 기본 자료로서 활용되며, 보안기준/지표 갱신부(70)의 갱신결과는 자산정보시스템의 보안기준/지표부(30)의 기준/지표를 갱신하는 것에 반영되도록 한다.
이하, 상기의 RBA기반 통합 취약점 진단을 위한 절차를 도3을 참조하여 설명하면 다음과 같다.
본 발명의 RBA기반 통합 취약점 진단 방법은 자산정보부(10)로부터 전송된 인프라 자산 정보(11) 및 서비스 자산 정보(12)를 자산평가정보 수신부(40)가 수신한다(S10).
자산평가정보 수신부(40)이 수신한 인프라 자산에 대한 인프라 자산정보(11)에 대한 평가를 수행하여 보안 취약점을 분석 및 서비스 자산 정보(12)에 대한 보안 진단을 수행하여 보안 취약점을 분석하여 보안 취약점 도출/진단을 수행한다(S20).
여기서, 인프라 자산정보(11)에 대한 취약점 도출/진단을 수행하는 단계(S21)은 하드웨어 자원 등에 대하여 진단 대상의 설정값을 확인하여 보안 기준에 적합한지 여부를 스크립트(script) 형태의 툴을 진단대상에 삽입하여 추출하며, 서비스 자산 정보(12)에 대한 보안 진단(S22)은 응용 소프트웨어의 소스코드를 분석하여 보안에 취약한 소스코드를 추출하는 SW보안 취약점 도출/진단 또는 동적으로 동작하는 응용 SW를 대상으로 정해진 공격 패턴으로 해킹을 시도하여 취약점 도출/진단을 위한 모의해킹에 의한 진단 중 어느 하나이상에 의하여 수행된다.
인프라 자산 정보(11)에 대한 평가 및 상기 서비스 자산(12)에 대한 보안 진단의 결과에서 도출된 보안 취약점에 대하여 상관 관계 분석하여 보안 취약점에 대한 상관관계를 분석한다(S30).
이러한 상관관계 분석은 인프라 자산평가 결과 또는 보안 진단 결과에 의하여 도출된 상관 관계가 있는 취약점중 어느 하나에 대하여 취약점을 해결하기 위한 보완조치가 있는 경우 취약점 수준을 낮게 평가하도록 하여 전체 시스템 관점에서 보완의 취약점을 분석한다.
이러한 상관관계 분석을 예시하면 인프라 자산 정보(11)에서 암호화를 설정하고 있는 경우 서비스 자산 정보(12)에서 암호화를 수행하고 있지 않더라도 보안에 취약하지 않은 것으로 판단하는 것이다.
이와 같이 상관관계 분석단계(S30)에서 도출된 보안 취약점에 대한 보안 위험도를 평가하여 위험평가결과부(20)로 전송하여 위험평가결과를 갱신하며, 이러한 갱신은 향후 보안 취약점을 진단하는 경우 위험평가부(60)에서 갱신된 위험평가결과를 참조하여 새로운 위험평가가 가능하도록 기초자료로 사용되며, 지속적으로 갱신되어 실시간으로 기존의 위험평가결과에 현재의 위험평가결과를 반영한 위험평가결과를 얻을 수 있도록 한다(S40).
여기에서, 보안위험도는 자산정보부(10)에서 입력받은 자산가치와 취약점의 중요도를 기반으로 평가되는 것이 더욱 바람직하다.
이후 위험평가부(60)에 의하여 갱신된 위험평가결과에 의하여 보안기준/지표를 갱신부(70)에서 갱신하여 하여 보안기준/지표부(30)에 반영하여 한다.
이러한 갱신은 향후 보안 취약점을 진단하는 경우 보안기준/지표를 시로운 보안기준/지표를 설정할 수 있는 기초자료로 사용되며, 보안기준/지표가 지속적으로 갱신될 수 있도록 한다(S50).
이후 취약점 도출/진단단계(S20)에서 보안 취약점을 해결하기 위한 보완조치가 있는 경우 보완 취약점 도출/진단단계(S20) 내지 보안기준/지표갱신 단계S50)를 반복함으로써, 보완조치에 따른 위험도 평가 및 보안기준/지표가 갱신될 수 있도록 한다.
본 발명은 이상에서 살펴본 바와 같이 바람직한 실시예를 들어 도시하고 설명하였으나, 상기한 실시예에 한정되지 아니하며 본 발명의 정신을 벗어나지 않는 범위 내에서 당해 발명이 속하는 기술분야에서 통상의 지식을 가진 자에 의해 다양한 변경과 수정이 가능할 것이다.

Claims (5)

  1. RBA기반 통합 취약점 진단 방법에 있어서,
    자산정보부로부터 전송된 인프라 자산 정보 및 서비스 자산 정보를 자산평가정보 수신부가 수신하는 제1단계;
    상기 자산평가 정보 수신부가 수신한 상기 인프라 자산에 대한 인프라 자산정보에 대한 평가를 수행하여 보안 취약점을 분석하는 제21단계 및 상기 서비스 자산 정보에 대한 보안 진단을 수행하고 보안 취약점을 분석하는 제22단계로 구성되는 취약점 도출/진단하는 제2단계;
    상기 인프라 자산 정보에 대한 평가 및 상기 서비스 자산에 대한 상기 보안 진단의 결과에서 도출된 보안 취약점에 대하여 상관 관계 분석하여 보안 취약점에 대한 상관관계를 분석하는 제3단계;
    제3단계에서 도출된 상기 보안 취약점에 대한 상관관계 분석 결과에 의하여 보안 위험도를 평가하여 위험평가결과부로 전송하여 위험평가결과를 갱신하는 제4단계; 및
    제4단계에서 평가된 위험도 평가결과에 의하여 보안기준/지표를 갱신하여 보안기준/지표부에 반영하는 제5단계로 구성되는 것을 특징으로 하는 RBA기반 통합 취약점 진단 방법.
  2. 제1항에 있어서,
    제2단계에서의 상기 서비스 자산 정보에 대한 상기 보안 진단은 SW보안 취약점 진단 또는 모의해킹에 의한 진단 중 어느 하나 이상에 의하여 수행되는 것을 특징을 하는 RBA기반 통합 취약점 진단 방법.
  3. 제1항에 있어서,
    상기 상관 관계 분석은 상기 인프라 자산평가 결과 또는 보안 진단 결과에 의하여 도출된 상관 관계가 있는 취약점중 어느 하나에 대하여 취약점을 해결하기 위한 보완조치가 있는 경우 취약점 수준을 낮게 평가하는 것을 특징으로 하는 RBA기반 통합 취약점 진단 방법.
  4. 제1항에 있어서,
    상기 제4단계의 위험도는 상기 자산정보부에서 입력받은 자산가치와 취약점의 중요도를 기반으로 평가되는 것을 특징으로 하는 RBA기반 통합 취약점 진단 방법.
  5. 제3항에 있어서,
    제2단계에서 도출된 상기 보안 취약점을 해결하기 위한 보완조치가 있는 경우 제2내지 제5단계를 반복하는 제6단계를 추가로 구비하는 것을 특징으로 하는 RBA기반 통합 취약점 진단 방법.
KR1020160160320A 2016-11-29 2016-11-29 Rba기반 통합 취약점 진단 방법 KR20180060616A (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020160160320A KR20180060616A (ko) 2016-11-29 2016-11-29 Rba기반 통합 취약점 진단 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020160160320A KR20180060616A (ko) 2016-11-29 2016-11-29 Rba기반 통합 취약점 진단 방법

Publications (1)

Publication Number Publication Date
KR20180060616A true KR20180060616A (ko) 2018-06-07

Family

ID=62621963

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020160160320A KR20180060616A (ko) 2016-11-29 2016-11-29 Rba기반 통합 취약점 진단 방법

Country Status (1)

Country Link
KR (1) KR20180060616A (ko)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102202108B1 (ko) 2020-04-08 2021-01-12 주식회사 한국정보보호경영연구소 클라우드 인프라 자산의 취약점을 자동진단하기 위한 시스템 및 방법
CN112348371A (zh) * 2020-11-11 2021-02-09 奇安信科技集团股份有限公司 云资产的安全风险评估方法、装置、设备、及存储介质
KR102304237B1 (ko) * 2021-03-31 2021-09-23 주식회사 인트브리지 인프라 자산 취약점 자동 진단을 통한 컴플라이언스 관리 시스템 및 그 방법
KR20220091250A (ko) * 2020-12-23 2022-06-30 사단법인 금융보안원 네트워크 취약점 분석 장치 및 그 방법

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20040051744A (ko) * 2002-12-11 2004-06-19 주식회사 케이티 네트워크 자산의 위험 등급 산출 시스템 및 그 방법
KR100817799B1 (ko) * 2006-10-13 2008-03-31 한국정보보호진흥원 다중 취약점 점검 도구를 활용한 네트워크 취약점 통합분석 시스템 및 방법
KR101081875B1 (ko) * 2010-08-09 2011-11-09 국방과학연구소 정보시스템 위험에 대한 예비경보 시스템 및 그 방법

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20040051744A (ko) * 2002-12-11 2004-06-19 주식회사 케이티 네트워크 자산의 위험 등급 산출 시스템 및 그 방법
KR100817799B1 (ko) * 2006-10-13 2008-03-31 한국정보보호진흥원 다중 취약점 점검 도구를 활용한 네트워크 취약점 통합분석 시스템 및 방법
KR101081875B1 (ko) * 2010-08-09 2011-11-09 국방과학연구소 정보시스템 위험에 대한 예비경보 시스템 및 그 방법

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102202108B1 (ko) 2020-04-08 2021-01-12 주식회사 한국정보보호경영연구소 클라우드 인프라 자산의 취약점을 자동진단하기 위한 시스템 및 방법
CN112348371A (zh) * 2020-11-11 2021-02-09 奇安信科技集团股份有限公司 云资产的安全风险评估方法、装置、设备、及存储介质
KR20220091250A (ko) * 2020-12-23 2022-06-30 사단법인 금융보안원 네트워크 취약점 분석 장치 및 그 방법
KR102304237B1 (ko) * 2021-03-31 2021-09-23 주식회사 인트브리지 인프라 자산 취약점 자동 진단을 통한 컴플라이언스 관리 시스템 및 그 방법
KR20220136040A (ko) * 2021-03-31 2022-10-07 주식회사 인트브릿지 인프라 자산 취약점 자동 진단을 통한 컴플라이언스 관리 시스템 및 그 방법

Similar Documents

Publication Publication Date Title
CN110381033B (zh) Web应用漏洞检测方法、装置、系统、存储介质和服务器
KR20180060616A (ko) Rba기반 통합 취약점 진단 방법
CN111984975B (zh) 基于拟态防御机制的漏洞攻击检测系统、方法及介质
US10320828B1 (en) Evaluation of security in a cyber simulator
CN111259399B (zh) 用于web应用的动态检测漏洞攻击的方法及系统
US20130318609A1 (en) Method and apparatus for quantifying threat situations to recognize network threat in advance
US9692779B2 (en) Device for quantifying vulnerability of system and method therefor
CN112182588A (zh) 基于威胁情报的操作系统漏洞分析检测方法及系统
CN113392409B (zh) 一种风险自动化评估预测方法及终端
CN113032792A (zh) 系统业务漏洞检测方法、系统、设备及存储介质
CN110598418A (zh) 基于iast测试工具动态检测垂直越权的方法及系统
KR101640479B1 (ko) 소스코드기반 소프트웨어 취약점 공격행위 분석시스템
CN113434866A (zh) 仪表功能安全和信息安全策略的统一风险量化评估方法
US11665185B2 (en) Method and apparatus to detect scripted network traffic
US11449408B2 (en) Method, device, and computer program product for obtaining diagnostic information
Tung et al. W-VST: A testbed for evaluating web vulnerability scanner
CN116032602A (zh) 一种自动识别威胁数据的方法、装置、设备及存储介质
CN108509796B (zh) 一种风险性的检测方法及服务器
Tung et al. A cost-effective approach to evaluating security vulnerability scanner
CN113824736B (zh) 一种资产风险处置方法、装置、设备及存储介质
CN107203720B (zh) 风险值计算方法及装置
CN111752819A (zh) 一种异常监控方法、装置、系统、设备和存储介质
CN115391230A (zh) 一种测试脚本生成、渗透测试方法、装置、设备及介质
CN113836539A (zh) 基于精准测试的电力工控系统漏洞全流程处置系统及方法
KR20220136040A (ko) 인프라 자산 취약점 자동 진단을 통한 컴플라이언스 관리 시스템 및 그 방법

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E601 Decision to refuse application