[go: up one dir, main page]
More Web Proxy on the site http://driver.im/

KR102330404B1 - Method And Apparatus for Diagnosing Integrated Security - Google Patents

Method And Apparatus for Diagnosing Integrated Security Download PDF

Info

Publication number
KR102330404B1
KR102330404B1 KR1020200114538A KR20200114538A KR102330404B1 KR 102330404 B1 KR102330404 B1 KR 102330404B1 KR 1020200114538 A KR1020200114538 A KR 1020200114538A KR 20200114538 A KR20200114538 A KR 20200114538A KR 102330404 B1 KR102330404 B1 KR 102330404B1
Authority
KR
South Korea
Prior art keywords
diagnosis
information
vulnerability
diagnostic
unit
Prior art date
Application number
KR1020200114538A
Other languages
Korean (ko)
Inventor
김사웅
서동민
Original Assignee
주식회사 인더포레스트
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 인더포레스트 filed Critical 주식회사 인더포레스트
Priority to KR1020200114538A priority Critical patent/KR102330404B1/en
Application granted granted Critical
Publication of KR102330404B1 publication Critical patent/KR102330404B1/en

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/577Assessing vulnerabilities and evaluating computer system security
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer And Data Communications (AREA)

Abstract

An integrated security diagnosis method and device are disclosed. In the present embodiment, a plurality of diagnostic tools are used to periodically diagnose diagnostic items set by default in the company internal/external network, and at the same time to diagnose additional diagnostic items aperiodically, and diagnostic information is collected to extract and automatically report vulnerabilities based on the analysis results, in the integrated security diagnosis method and device.

Description

통합 보안 진단 방법 및 장치{Method And Apparatus for Diagnosing Integrated Security}Method And Apparatus for Diagnosing Integrated Security

본 발명의 일 실시예는 통합 보안 진단 방법 및 장치에 관한 것이다. One embodiment of the present invention relates to an integrated security diagnosis method and apparatus.

이하에 기술되는 내용은 단순히 본 실시예와 관련되는 배경 정보만을 제공할 뿐 종래기술을 구성하는 것이 아니다.The content described below merely provides background information related to the present embodiment and does not constitute the prior art.

정보화 산업 및 기술의 발달에 따라, 서로 다른 사용자 환경에 적합한 다양한 형태의 네트워크 시스템이 개발되고 있다. 현대사회는 홈네트워크 디바이스, 네트워크 로봇 등 인간 생활과 밀접한 부분까지 다양한 디바이스 및 시스템들이 네트워크로 연결되어 각종 서비스를 제공하도록 발전되고 있다.With the development of information industry and technology, various types of network systems suitable for different user environments are being developed. In modern society, various devices and systems, such as home network devices and network robots, that are closely related to human life, are connected through networks to provide various services.

일반적으로 기업의 내부 네트워크는 사이버 공격에 대응하기 위해 보안 장비나 보안관제체계를 갖추고 있다. 하지만, 최근 웹 해킹, 웹쉘(web shell), DDoS, 악성코드, APT, 내부자 공격 등에 의한 위협이 지속적으로 증가하고 있으며, 네트워크의 보안을 유지하기 위하여 보안관제체계에 대한 검증이 요구되고 있다.In general, a company's internal network is equipped with security equipment or a security control system to counter cyber attacks. However, threats from web hacking, web shell, DDoS, malicious code, APT, and insider attacks are continuously increasing in recent years, and verification of the security control system is required to maintain network security.

IT 시스템의 보안성을 진단하기 위해서는 다양한 항목에 대한 분석이 필요하다. DB 취약점 진단의 경우를 예컨대, 무제한 로그인 시도 차단, 패스워드 복잡도 설정, 패스워드 최대 사용 기간, DBA 권한 제한 등의 항목에 대한 분석이 필요하다. 종래에는 IT 시스템의 보안성을 진단함에 있어서 진단 대상 시스템에 설치된 에이전트에서 보안성 진단에 필요한 정보를 수집하고 분석한 후, 분석 결과를 보안성 진단 서버로 전송하는 과정을 통해 보안성 진단이 이뤄졌다.In order to diagnose the security of an IT system, it is necessary to analyze various items. In the case of DB vulnerability diagnosis, for example, it is necessary to analyze items such as blocking unlimited login attempts, setting password complexity, maximum password usage period, and limiting DBA authority. In the prior art, in diagnosing the security of an IT system, security diagnosis was performed by collecting and analyzing information necessary for security diagnosis from an agent installed in a system to be diagnosed, and then transmitting the analysis result to a security diagnosis server.

종래의 경우 네트워크에 대한 전반적인 보안관제 수준을 진단하는 것이 어려우며, 보안에 대한 전문적인 지식없이 보안관제체계에 대한 자가진단이 불가하다는 문제점이 있다.In the conventional case, it is difficult to diagnose the overall security control level of the network, and there is a problem in that it is impossible to self-diagnose the security control system without professional knowledge about security.

본 실시예는 복수의 진단툴을 이용하여 회사 내외부망에 디폴트로 설정된 진단 항목을 주기적으로 진단하는 동시에 추가 진단 항목을 비주기적으로 진단하고, 진단 정보들을 취합하여 분석한 결과를 기반으로 취약점 추출하여 자동 리포팅하도록 하는 통합 보안 진단 방법 및 장치를 제공하는 데 목적이 있다.In this embodiment, a plurality of diagnostic tools are used to periodically diagnose the diagnostic items set by default in the internal and external networks of the company, and at the same time to diagnose additional diagnostic items aperiodically, collect diagnostic information and extract vulnerabilities based on the analysis results. An object of the present invention is to provide an integrated security diagnosis method and apparatus for automatic reporting.

본 실시예의 일 측면에 의하면, 기 설정된 진단주기로 복수의 진단대상에 대해 디폴트로 설정된 진단 항목을 진단한 제1 진단 정보를 생성하는 제1 진단부; 상기 제1 진단부와 서로 다른 진단주기로 상기 복수의 진단대상에 대해 추가 진단 항목을 진단한 제2 진단 정보를 생성하는 제2 진단부; 상기 복수의 진단대상의 플러그인(Plug-In)을 스캐닝한 스캐닝 진단 정보를 생성하는 위협정보 진단부; 및 상기 제1 진단 정보, 상기 제2 진단 정보, 상기 스캐닝 진단 정보를 분석하여 취약점 분석 결과 정보를 생성하고, 상기 취약점 분석 결과 정보를 기반으로 상기 복수의 진단대상의 보안 수준을 서로 비교한 자동 리포트를 기 설정된 주기로 보고하는 취약점 관리부를 포함하는 것을 특징으로 하는 통합 보안 진단 장치를 제공한다.According to an aspect of the present embodiment, there is provided a first diagnostic unit comprising: a first diagnostic unit configured to generate first diagnostic information for diagnosing a diagnostic item set as a default for a plurality of diagnostic targets at a preset diagnostic cycle; a second diagnosis unit generating second diagnosis information obtained by diagnosing additional diagnosis items with respect to the plurality of diagnosis targets at a different diagnosis cycle than that of the first diagnosis unit; a threat information diagnosis unit generating scanning diagnosis information by scanning the plurality of diagnosis target plug-ins; and an automatic report for generating vulnerability analysis result information by analyzing the first diagnosis information, the second diagnosis information, and the scanning diagnosis information, and comparing the security levels of the plurality of diagnosis targets with each other based on the vulnerability analysis result information It provides an integrated security diagnosis apparatus comprising a vulnerability management unit that reports the .

이상에서 설명한 바와 같이 본 실시예에 의하면, 복수의 진단툴을 이용하여 회사 내외부망에 디폴트로 설정된 진단 항목을 주기적으로 진단하는 동시에 추가 진단 항목을 비주기적으로 진단하고, 진단 정보들을 취합하여 분석한 결과를 기반으로 취약점 추출하여 자동 리포팅하도록 하는 효과가 있다.As described above, according to this embodiment, a plurality of diagnostic tools are used to periodically diagnose the diagnostic items set as defaults in the internal/external network of the company, aperiodically diagnose additional diagnostic items, and collect and analyze diagnostic information. It has the effect of automatically reporting vulnerabilities by extracting vulnerabilities based on the results.

도 1은 본 실시예에 따른 통합 보안 진단 장치를 개략적으로 나타낸 블럭 구성도이다.
도 2는 본 실시예에 따른 위협정보 수집 툴을 개략적으로 나타낸 블럭 구성도이다.
도 3a 내지 3f는 본 실시예에 따른 기업 IT 인프라 정보의 수집 방법을 나타낸 도면이다.
도 4는 본 실시예에 따른 기업 임직원 정보의 수집 방법을 나타낸 도면이다.
도 5a,5b는 본 실시예에 따른 데이터 연관 분석 방법을 나타낸 도면이다.
도 6은 본 실시예에 따른 관리 대상 및 주체에 대한 상세 관리를 나타낸 도면이다.
도 7a,7b는 본 실시예에 따른 취약점 점검 및 조치 현황 관리를 나타낸 도면이다.
도 8은 본 실시예에 따른 취약점 점검 스케줄 관리를 나타낸 도면이다.
도 9는 본 실시예에 따른 진단 시작 및 종료 보고 자동화를 나타낸 도면이다.
도 10은 본 실시예에 따른 신규 취약점 자동 진단을 나타낸 도면이다.
도 11은 본 실시예에 따른 진단 결과 자동 증적 생성을 나타낸 도면이다.1 is a block diagram schematically showing an integrated security diagnosis apparatus according to the present embodiment.
2 is a block diagram schematically showing the threat information collection tool according to the present embodiment.
3A to 3F are diagrams illustrating a method of collecting corporate IT infrastructure information according to the present embodiment.
4 is a diagram illustrating a method of collecting corporate employee information according to the present embodiment.
5A and 5B are diagrams illustrating a data association analysis method according to the present embodiment.
6 is a diagram illustrating detailed management of a management target and a subject according to the present embodiment.
7A and 7B are diagrams illustrating vulnerability check and action status management according to the present embodiment.
8 is a view showing vulnerability check schedule management according to the present embodiment.
9 is a diagram illustrating automation of diagnosis start and end reporting according to the present embodiment.
10 is a diagram illustrating automatic diagnosis of new vulnerabilities according to the present embodiment.
11 is a diagram illustrating automatic trace generation of a diagnosis result according to the present embodiment.

이하, 본 실시예를 첨부된 도면을 참조하여 상세하게 설명한다.Hereinafter, this embodiment will be described in detail with reference to the accompanying drawings.

도 1은 본 실시예에 따른 통합 보안 진단 장치를 개략적으로 나타낸 블럭 구성도이다.1 is a block diagram schematically showing an integrated security diagnosis apparatus according to the present embodiment.

통합 보안 진단 장치(100)는 기업별로 해킹 리스트를 분석하는 시스템을 제공한다. 예컨대, 통합 보안 진단 장치(100)는 진단툴을 이용하여 특정 회사 서버(예컨대, A 회사)로부터 정보를 수집하여 분석하고, 특정 회사 서버(A 회사)에 특화된 보안 위험을 분석할 수 있다. 통합 보안 진단 장치(100)는 진단툴을 이용하여 기본적으로 회사의 인트라 망의 웹상(홈페이지, 사내 이메일 등)에서 스크롤링을 수행하여 정보(이메일에 첨부된 파일, 문서 등)를 수집한다. 통합 보안 진단 장치(100)는 진단툴을 이용하여 툴은 수집된 정보를 분석하여 각 회사에 맞는 보안 위험도를 생성하여 출력한다.The integrated security diagnosis apparatus 100 provides a system for analyzing a hacking list for each company. For example, the integrated security diagnosis apparatus 100 may collect and analyze information from a specific company server (eg, company A) using a diagnosis tool, and may analyze a security risk specific to a specific company server (company A). The integrated security diagnosis apparatus 100 collects information (files, documents, etc. attached to an e-mail) by basically scrolling on the web (homepage, in-house e-mail, etc.) of a company's intra network using a diagnosis tool. The integrated security diagnosis apparatus 100 generates and outputs a level of security risk suitable for each company by analyzing the collected information using a diagnosis tool.

본 실시예에 따른 통합 보안 진단 장치(100)는 복수의 보안 관리 대상 취약점(Vulnerability) 및 위협(Risk)을 실시간으로 자동 진단 및 관리하기 위한 최적의 솔루션(Solution)을 제공한다. 예컨대, 통합 보안 진단 장치(100)는 진단 대상인 A 회사의 복수의 사업장 및 협력사에 적용되어, A 회사의 복수의 사업장 및 협력사의 보안을 실시간으로 비교 관리할 수 있는 체계를 제공한다.The integrated security diagnosis apparatus 100 according to the present embodiment provides an optimal solution for automatically diagnosing and managing a plurality of vulnerabilities and threats to be managed in real time. For example, the integrated security diagnosis apparatus 100 provides a system for comparing and managing the security of a plurality of business sites and partner companies of company A in real time by being applied to a plurality of business sites and partner companies of company A, which is a diagnosis target.

통합 보안 진단 장치(100)는 진단 대상인 특정 회사의 복수의 국내 및 해외 사업장 시스템의 보안 수준을 비교하여 관리한다. 통합 보안 진단 장치(100)는 진단 대상의 취약점 조치 현황의 실시간 파악하여 출력한다. 통합 보안 진단 장치(100)는 진단 대상의 일부 취약점을 자동으로 진단한다.The integrated security diagnosis apparatus 100 compares and manages security levels of a plurality of domestic and overseas business sites of a specific company to be diagnosed. The integrated security diagnosis apparatus 100 detects and outputs the status of the vulnerability action of the diagnosis target in real time. The integrated security diagnosis apparatus 100 automatically diagnoses some vulnerabilities of a diagnosis target.

통합 보안 진단 장치(100)는 진단 대상의 취약점에 대해 자동 리포트를 생성하여 일별, 주별로 보고한다. 통합 보안 진단 장치(100)는 진단 대상에 대해 자동 메일링(Mailing)을 이용하여 반복 업무를 효율화되도록 한다. 통합 보안 진단 장치(100)는 진단 증적 자동 저장, 컴플라이언스 대응이 가능하도록 한다.The integrated security diagnosis apparatus 100 generates an automatic report on the vulnerability of the diagnosis target and reports it daily and weekly. The integrated security diagnosis apparatus 100 uses automatic mailing for a diagnosis target to efficiently perform repetitive tasks. The integrated security diagnosis apparatus 100 enables automatic storage of diagnosis traces and compliance response.

통합 보안 진단 장치(100)는 진단대상에 대해 웹 스크롤링을 해서 수집한 데이터를 분석하여 위험도를 분석한다. 통합 보안 진단 장치(100)는 수집한 정보가 위험한 정보인지 위험하지 않은 정보인지를 분석하여 위험도에 대한 스코어링을 수행한다.The integrated security diagnosis apparatus 100 analyzes the risk level by analyzing the data collected by scrolling the web for the diagnosis target. The integrated security diagnosis apparatus 100 performs risk scoring by analyzing whether the collected information is dangerous information or non-risk information.

통합 보안 진단 장치(100)는 제2 진단툴을 이용하여 웹에서 스크롤링한 정보, 도메인 정보 등을 포함하는 다양한 정보에 따라 스코어링을 수행한다. 통합 보안 진단 장치(100)는 제2 진단툴을 이용하여 스코어링에 따라 위험도가 높은 정보인지 위험도가 낮은 정보인지를 출력한다. 통합 보안 진단 장치(100)는 제2 진단툴을 이용하여 위험도가 낮은 정보를 추가 분석하여 위험도가 낮은 정보 중 관리가 필요한 정보를 판단한다.The integrated security diagnosis apparatus 100 performs scoring according to various information including information scrolled on the web, domain information, and the like using the second diagnosis tool. The integrated security diagnosis apparatus 100 outputs whether information with high risk or low risk according to scoring using the second diagnostic tool. The integrated security diagnosis apparatus 100 further analyzes low-risk information using the second diagnostic tool to determine information requiring management among low-risk information.

본 실시예에 따른 통합 보안 진단 장치(100)는 제1 진단부(110), 제2 진단부(120), 위협정보 진단부(130), 취약점 관리부(140)를 포함한다. 통합 보안 진단 장치(100)에 포함된 구성요소는 반드시 이에 한정되는 것은 아니다.The integrated security diagnosis apparatus 100 according to the present embodiment includes a first diagnosis unit 110 , a second diagnosis unit 120 , a threat information diagnosis unit 130 , and a vulnerability management unit 140 . Components included in the integrated security diagnosis apparatus 100 are not necessarily limited thereto.

통합 보안 진단 장치(100)에 포함된 각 구성요소는 장치 내부의 소프트웨어적인 모듈 또는 하드웨어적인 모듈을 연결하는 통신 경로에 연결되어 상호 간에 유기적으로 동작할 수 있다. 이러한 구성요소는 하나 이상의 통신 버스 또는 신호선을 이용하여 통신한다.Each component included in the integrated security diagnosis apparatus 100 may be connected to a communication path that connects a software module or a hardware module inside the device, and may operate organically with each other. These components communicate using one or more communication buses or signal lines.

도 1에 도시된 통합 보안 진단 장치(100)의 각 구성요소는 적어도 하나의 기능이나 동작을 처리하는 단위를 의미하며, 소프트웨어적인 모듈, 하드웨어적인 모듈 또는 소프트웨어와 하드웨어의 결합으로 구현될 수 있다.Each component of the integrated security diagnosis apparatus 100 shown in FIG. 1 means a unit for processing at least one function or operation, and may be implemented as a software module, a hardware module, or a combination of software and hardware.

제1 진단부(110)는 제1 진단툴을 이용하여 주기적으로 특정 회사 서버를 진단한다. 제1 진단부(110)는 특정 회사의 호스트, 네트워크, 시스템, 애플리케이션을 모두 진단 대상으로 선정한다. 제1 진단부(110)는 기 설정된 진단주기로 복수의 진단대상에 대해 디폴트로 설정된 진단 항목을 진단한 제1 진단 정보를 생성한다.The first diagnosis unit 110 periodically diagnoses a specific company server using the first diagnosis tool. The first diagnostic unit 110 selects a host, a network, a system, and an application of a specific company as diagnostic targets. The first diagnostic unit 110 generates first diagnostic information for diagnosing a diagnostic item set as a default for a plurality of diagnostic targets at a preset diagnostic cycle.

제1 진단부(110)는 제1 진단툴을 이용하여 특정 회사의 호스트, 네트워크, 시스템, 애플리케이션 각각에 대해 주기적으로 진단을 수행한다. 제1 진단부(110)는 진단대상에 대해 구비된 침해사고 진단툴, 취약점 진단툴을 이용하여 침해사고 진단, 취약점 진단을 수행한다.The first diagnostic unit 110 periodically performs diagnostics for each host, network, system, and application of a specific company by using the first diagnostic tool. The first diagnosis unit 110 performs intrusion accident diagnosis and vulnerability diagnosis by using the intrusion accident diagnosis tool and vulnerability diagnosis tool provided for the diagnosis target.

제1 진단툴은 기본적인 진단툴로서, 디폴트로 설정된 진단 항목을 진단하는 툴을 의미한다. 제1 진단툴은 주기적으로 기 설정된 진단 항목에 대해 진단을 수행한다.The first diagnostic tool is a basic diagnostic tool and refers to a tool for diagnosing a diagnostic item set as a default. The first diagnosis tool periodically performs diagnosis on a preset diagnosis item.

제1 진단부(110)는 호스트, 네트워크, 시스템, 애플리케이션을 복수의 진단 대상으로 선정한다. 제1 진단부(110)는 호스트, 네트워크, 시스템, 상기 애플리케이션 각각에 대해 구비된 이상징후 진단툴, 침해사고 진단툴, 취약점 진단툴을 이용하여 주기적으로 이상징후 진단, 침해사고 진단, 취약점 진단을 수행한 제1 진단 정보를 생성한다.The first diagnosis unit 110 selects a host, a network, a system, and an application as a plurality of diagnosis targets. The first diagnostic unit 110 periodically performs anomaly diagnosis, intrusion accident diagnosis, and vulnerability diagnosis using the host, network, system, and anomaly symptom diagnosis tool, intrusion accident diagnosis tool, and vulnerability diagnosis tool provided for each of the applications. The performed first diagnostic information is generated.

제2 진단부(120)는 제1 진단툴과 다른 추가적인 제2 진단툴을 이용하여 진단 대상에 대해 진단을 수행한다. 제2 진단부(120)는 제1 진단부(110)와 동일한 진단대상인 특정 회사의 호스트, 네트워크, 시스템, 애플리케이션뿐만 아니라 다크웹(DarkWeb)을 추가로 진단 대상으로 선정한다. 제2 진단부(120)는 제1 진단부(110)와 서로 다른 진단주기로 복수의 진단대상에 대해 추가 진단 항목을 진단한 제2 진단 정보를 생성한다. The second diagnosis unit 120 diagnoses the diagnosis target by using an additional second diagnosis tool different from the first diagnosis tool. The second diagnosis unit 120 additionally selects the Dark Web as the diagnosis target as well as the host, network, system, and application of a specific company that is the same diagnosis target as the first diagnosis unit 110 . The second diagnosis unit 120 generates second diagnosis information obtained by diagnosing additional diagnosis items for a plurality of diagnosis targets at a different diagnosis cycle than that of the first diagnosis unit 110 .

제2 진단부(120)는 제1 진단부(110)와 서로 다른 추가적인 진단툴을 이용하여 복수의 진단 대상에 대해 진단을 수행하여 제2 진단 정보를 생성한다.The second diagnosis unit 120 generates second diagnosis information by performing diagnosis on a plurality of diagnosis objects using additional diagnosis tools different from those of the first diagnosis unit 110 .

제2 진단부(120)는 제2 진단툴을 이용하여 제1 진단툴과 동일한 진단대상인 호스트, 네트워크, 시스템, 애플리케이션뿐만 아니라, 다크웹 상에 업로드되거나 공개된 정보(예컨대, 회사 사업설명자료)를 수집한다. 제2 진단부(120)는 제2 진단툴을 이용하여 특정 회사의 호스트, 네트워크, 시스템, 애플리케이션 각각에 대해 비주기적으로 추가적인 진단을 수행한다. 제2 진단부(120)는 리눅스 OS 이상행위 탐지 툴, WIN OS 이상행위 탐지 툴, 네트워크 이상행위 탐지 툴을 포함한다.The second diagnostic unit 120 uses the second diagnostic tool to not only host, network, system, and application, which are the same diagnostic targets as the first diagnostic tool, but also information uploaded or published on the dark web (eg, company business description data). to collect The second diagnosis unit 120 aperiodically performs additional diagnosis for each host, network, system, and application of a specific company by using the second diagnosis tool. The second diagnostic unit 120 includes a Linux OS anomaly detection tool, a WIN OS anomaly detection tool, and a network anomaly detection tool.

제2 진단툴은 비주기적으로 진단을 수행하는 툴을 의미한다. 제2 진단툴은 추가 진단을 수행한 결과, 지속적으로 감지되는 취약점이 발견되는 경우, 해당 취약점을 제1 진단툴에서 주기적으로 진단하도록 요청할 수 있다. 다시 말해, 제2 진단툴은 추가 진단을 수행할 때마다 동일한 취약점이 기 설정된 횟수 이상으로 감지되는 경우, 해당 취약점에 대한 보안 위험의 감지 빈도를 높게 설정하기 위해, 해당 취약점을 제1 진단툴에서 주기적으로 진단하도록 요청할 수 있다.The second diagnosis tool refers to a tool that performs diagnosis aperiodically. When a continuously detected vulnerability is found as a result of performing the additional diagnosis, the second diagnostic tool may request that the first diagnostic tool periodically diagnose the corresponding vulnerability. In other words, when the second diagnostic tool detects the same vulnerability more than a preset number of times whenever additional diagnostics are performed, the second diagnostic tool sets the detection frequency of the security risk for the vulnerability to be high in the first diagnostic tool. You may be asked to check periodically.

제2 진단툴은 추가 진단을 수행한 결과, 보안에 치명적인 취약점이 감지된 경우, 해당 취약점을 제1 진단툴에서 진단하도록 요청할 수 있다. 다시 말해, 제2 진단툴은 추가 진단을 수행한 결과 보안에 치명적인 취약점이 감지되는 경우, 해당 취약점에 대한 보안 위험의 감지 빈도를 높게 설정하기 위해, 해당 취약점을 제1 진단툴에서 주기적으로 진단하도록 요청할 수 있다.When a security critical vulnerability is detected as a result of performing the additional diagnosis, the second diagnostic tool may request that the first diagnostic tool diagnose the vulnerability. In other words, when a vulnerability critical to security is detected as a result of performing additional diagnostics, the second diagnostic tool periodically diagnoses the vulnerability in the first diagnostic tool in order to set a high frequency of detection of security risks for the vulnerability. you can request

제1 진단툴과 제2 진단툴의 수행주기는 서로 다르게 설정 가능하다. 다시 말해, 제1 진단툴의 진단 주기는 기 설정된 임계주기보다 짧게 설정하여 진단 빈도를 높게 설정 가능하다. 제2 진단툴의 진단 주기는 기 설정된 임계주기보다 길게 설정하여 진단 빈도를 낮게 설정 가능하다. 제1 진단툴에서 진단한 진단 결과와 제2 진단툴에서 진단한 진단 결과를 비교하여 각 회사에 맞는 보안 위험도를 생성하여 출력한다.The execution cycle of the first diagnostic tool and the second diagnostic tool can be set differently. In other words, the diagnosis frequency of the first diagnosis tool can be set to be high by setting the diagnosis period to be shorter than the preset threshold period. The diagnosis period of the second diagnosis tool may be set longer than a preset threshold period to set a lower diagnosis frequency. A security risk level suitable for each company is generated and output by comparing the diagnosis result diagnosed by the first diagnosis tool with the diagnosis result diagnosed by the second diagnosis tool.

제1 진단부(110)의 진단 주기는 기 설정된 임계주기보다 짧게 설정되어 높은 진단 빈도를 가지며, 제2 진단부(120)의 진단 주기는 기 설정된 임계주기보다 길게 설정되어 낮은 진단 빈도를 갖는다.The diagnosis cycle of the first diagnosis unit 110 is set shorter than the preset threshold cycle to have a high diagnosis frequency, and the diagnosis cycle of the second diagnosis unit 120 is set longer than the preset threshold cycle to have a low diagnosis frequency.

위협정보 진단부(130)는 위협정보 수집 툴을 포함하며, 복수의 진단대상의 플러그인(Plug-In)을 스캐닝한 스캐닝 진단 정보를 생성한다. 위협정보 진단부(130)는 복수의 진단대상의 플러그인에 대해 위험도를 추적하여 스캐닝 정보를 생성한다.The threat information diagnosis unit 130 includes a threat information collection tool, and generates scanning diagnosis information by scanning a plurality of diagnosis target plug-ins. The threat information diagnosis unit 130 generates scanning information by tracking the degree of risk for a plurality of diagnosis target plug-ins.

취약점 관리부(140)는 제1 진단부(110)로부터 수신한 제1 진단 정보, 제2 진단부(120)로부터 수신한 제2 진단 정보, 위협정보 진단부(130)로부터 수신한 스캐닝 진단 정보를 분석하여 취약점 분석 결과 정보를 생성한다. 취약점 관리부(140)는 취약점 분석 결과 정보를 기반으로 복수의 진단대상의 보안 수준을 서로 비교한 자동 리포트를 기 설정된 주기(일별, 주별)로 보고한다. The vulnerability management unit 140 stores the first diagnosis information received from the first diagnosis unit 110 , the second diagnosis information received from the second diagnosis unit 120 , and the scanning diagnosis information received from the threat information diagnosis unit 130 . Analyze and generate vulnerability analysis result information. The vulnerability management unit 140 reports an automatic report comparing the security levels of a plurality of diagnostic targets based on the vulnerability analysis result information at a preset cycle (daily, weekly).

취약점 관리부(140)는 복수의 진단대상에 대한 제1 진단 정보, 제2 진단 정보, 스캐닝 진단 정보를 서로 비교하여 각 진단 항목별 보안 위험도 출력한다.The vulnerability management unit 140 compares the first diagnostic information, the second diagnostic information, and the scanning diagnostic information for a plurality of diagnostic targets, and also outputs a security risk for each diagnostic item.

취약점 관리부(140)는 제2 진단 정보를 기반으로 지속적으로 동일한 취약점이 기 설정된 횟수 이상으로 감지되거나 보안에 치명적인 취약점이 감지된 경우, 해당 취약점에 대한 보안 위험의 감지 빈도를 높게 설정하기 위해, 해당 취약점을 제1 진단부(110)의 디폴트로 설정된 진단 항목에 추가하여 제1 진단부(110)에서 기 설정된 진단주기로 해당 취약점을 진단하도록 한다.When the same vulnerability is continuously detected more than a preset number of times or a critical vulnerability is detected based on the second diagnostic information, the vulnerability management unit 140 sets the detection frequency of the security risk for the vulnerability to be high. The vulnerability is added to the default diagnosis items of the first diagnosis unit 110 so that the first diagnosis unit 110 diagnoses the vulnerability at a preset diagnosis cycle.

취약점 관리부(140)는 제1 진단 정보, 제2 진단 정보, 스캐닝 진단 정보로부터 IT 인프라 정보를 수집한다. 취약점 관리부(140)는 IT 인프라 정보에 포함된 서브 도메인(Sub Domain) 및 IP 레인지(Range) 정보를 추출한다. 취약점 관리부(140)는 IP 레인지를 GPS 좌표로 변환하여 지도상에 해당 좌표에 서브 도메인을 표시한다. 취약점 관리부(140)는 서브 도메인별로 취약점 분석 결과 정보가 출력되도록 한다.The vulnerability management unit 140 collects IT infrastructure information from the first diagnosis information, the second diagnosis information, and the scanning diagnosis information. The vulnerability management unit 140 extracts sub domain and IP range information included in the IT infrastructure information. The vulnerability management unit 140 converts the IP range into GPS coordinates and displays the sub-domain at the corresponding coordinates on the map. The vulnerability management unit 140 outputs vulnerability analysis result information for each sub-domain.

취약점 관리부(140)는 IT 인프라 정보에 포함된 서브 도메인을 기준으로 포트(Port), 서버 정보, 사용 언어, 보안 솔루션 사용 여부를 매핑하여 취약점 분석 결과 정보와 함께 출력한다. 취약점 관리부(140)는 스캐닝 진단 정보로부터 추출된 플러그인 정보를 취약점 분석 결과 정보와 함께 매핑하여 출력한다.The vulnerability management unit 140 maps a port, server information, language used, and whether or not a security solution is used based on the sub-domain included in the IT infrastructure information, and outputs the map along with the vulnerability analysis result information. The vulnerability management unit 140 maps and outputs the plug-in information extracted from the scanning diagnosis information together with the vulnerability analysis result information.

취약점 관리부(140)는 제1 진단 정보, 제2 진단 정보, 스캐닝 진단 정보로부터 공개된 파일을 수집한다. 취약점 관리부(140)는 공개된 파일의 노출 정보를 확인하여, 퍼블릭(Public) 공유 파일(File) 이외에 다른 형태로 노출된 파일의 위험도를 높게 설정하여 취약점 분석 결과 정보를 생성한다.The vulnerability management unit 140 collects open files from the first diagnosis information, the second diagnosis information, and the scanning diagnosis information. The vulnerability management unit 140 checks the exposure information of the open file, sets the risk of the file exposed in a form other than the public shared file (File) to be high, and generates vulnerability analysis result information.

취약점 관리부(140)는 제2 진단 정보로부터 다크웹(Darkweb) 내에서 노출된 정보를 수집한다. 취약점 관리부(140)는 다크웹 내에서 노출된 정보에 위험도를 높게 설정하여 취약점 분석 결과 정보를 생성한다.The vulnerability management unit 140 collects information exposed in the dark web from the second diagnosis information. The vulnerability management unit 140 sets a high degree of risk to information exposed in the dark web, and generates vulnerability analysis result information.

취약점 관리부(140)는 제2 진단 정보로부터 기 설정된 검색 엔진을 이용하여 검색된 정보를 수집한다. 취약점 관리부(140)는 기 설정된 검색 엔진을 이용하여 검색된 정보 중 URL, 도메인(domain) 계정을 기반으로 SQL 인젝션 공격(Structured Query Language Injection Attack)을 이용한 취약점을 발견한 후 취약점 분석 결과 정보를 생성한다.The vulnerability management unit 140 collects information found from the second diagnosis information by using a preset search engine. The vulnerability management unit 140 creates vulnerability analysis result information after discovering a vulnerability using a Structured Query Language Injection Attack based on a URL and a domain account among information retrieved using a preset search engine. .

취약점 관리부(140)는 제2 진단 정보로부터 크롤링(crawling)된 데이터를 수집하고, 크롤링된 데이터에 해킹 여부를 검토하고, 해킹이 확인된 데이터에 대해 위험도를 높게 설정하여 취약점 분석 결과 정보를 생성한다.The vulnerability management unit 140 collects crawled data from the second diagnostic information, examines whether the crawled data is hacked, sets a high risk for the data for which hacking is confirmed, and generates vulnerability analysis result information. .

취약점 관리부(140)는 제2 진단 정보로부터 임직원 노출 정보를 수집한다. 취약점 관리부(140)는 임직원 노출 정보에 포함된 회사 메일, 이름, 전화번호를 추출한다. 취약점 관리부(140)는 회사 메일, 이름, 전화번호와 매핑되는 외부 소셜 네트워크 서비스 계정을 추출한다. 취약점 관리부(140)는 외부 소셜 네트워크 서비스 계정에 대한 해킹 여부를 검토하고, 해킹이 확인된 데이터에 대해 위험도를 높게 설정하여 취약점 분석 결과 정보를 생성한다.The vulnerability management unit 140 collects employee exposure information from the second diagnosis information. The vulnerability management unit 140 extracts the company email, name, and phone number included in the employee exposure information. The vulnerability management unit 140 extracts an external social network service account that is mapped to a company email, name, and phone number. The vulnerability management unit 140 examines whether an external social network service account is hacked, sets a high degree of risk for data for which hacking is confirmed, and generates vulnerability analysis result information.

취약점 관리부(140)는 취약점 분석 결과 정보를 기반으로 복수의 진단대상의 보안 수준을 서로 비교할 때, 점검 대상 시스템, 점검 대상 URL, 점검 현황, 관리 주체, 서비스 점검 계획, 완료예정일을 매핑하고, 사업장 별, 진단 대상 별, 서비스 관리 주체별로 보안 수준을 출력한다.The vulnerability management unit 140 maps the inspection target system, inspection target URL, inspection status, management subject, service inspection plan, and expected completion date when comparing the security levels of a plurality of diagnosis targets with each other based on the vulnerability analysis result information, and The security level is output by star, by diagnosis target, and by service management subject.

취약점 관리부(140)는 취약점 분석 결과 정보를 기반으로 복수의 진단대상의 보안 수준을 서로 비교할 때, 전체 관리 대상, 취약점 진단 차수, 진단일, 조치 유무, 추가 이행 점검 완료 유무, URL별 취약점, 진단자, 조치 여부, 조치 계획에 따른 이행률, 이행점검 여부를 매핑하여 출력한다. The vulnerability management unit 140 compares the security levels of a plurality of diagnostic targets based on the vulnerability analysis result information, the overall management target, the vulnerability diagnosis order, the diagnosis date, the presence or absence of measures, the presence or absence of additional implementation check completion, the vulnerability by URL, and the diagnosis Now, whether to take action, the implementation rate according to the action plan, and whether to check the implementation are mapped and output.

취약점 관리부(140)는 취약점 분석 결과 정보를 기반으로 복수의 진단대상의 보안 수준을 서로 비교할 때, 진단 항목, 취약점 발견 여부, 위험도, 잔여건, 서비스 운영 담당자, 이행 조치 이력을 매핑하여 출력한다.When comparing the security levels of a plurality of diagnostic targets based on the vulnerability analysis result information, the vulnerability management unit 140 maps and outputs diagnostic items, whether vulnerabilities are found, risk, residual cases, service operation personnel, and implementation action history.

취약점 관리부(140)는 취약점 분석 결과 정보에 대한 진단 대상, 진단자 일정, 진단 대상 기준 일정 현황, 진단자 기준 일정 현황을 포함하는 전체 일정 계획을 생성하여 출력한다.The vulnerability management unit 140 generates and outputs an entire schedule plan including a diagnosis target for vulnerability analysis result information, a schedule for a diagnosis, a schedule status based on a diagnosis target, and a schedule status based on a diagnosis target.

취약점 관리부(140)는 취약점 분석 결과 정보를 기반으로 점검을 시작할 때, 제1 진단 정보, 제2 진단 정보, 스캐닝 진단 정보로부터 수집된 담당자 이메일로 점검 시작 메일을 자동 메일링한다. 취약점 관리부(140)는 점검이 종료되면, 취약점 분석 결과 정보에 대한 취약점 요약 리포트와 점검 완료 메일을 자동 메일링한다.When starting the inspection based on the vulnerability analysis result information, the vulnerability management unit 140 automatically mails the inspection start mail to the person in charge email collected from the first diagnosis information, the second diagnosis information, and the scanning diagnosis information. When the inspection is completed, the vulnerability management unit 140 automatically mails a vulnerability summary report and inspection completion mail for the vulnerability analysis result information.

취약점 관리부(140)는 신규로 릴리즈(Release)된 신규 취약점에 대한 자동 진단을 수행한다. 취약점 관리부(140)는 취약점 분석 결과 정보에 대한 점검을 수행한 점검 결과와 취약점 요약 리포트의 스크린샷(Screenshot)을 자동으로 첨부한다.The vulnerability management unit 140 performs automatic diagnosis of newly released vulnerabilities. The vulnerability management unit 140 automatically attaches a screen shot of the inspection result and the vulnerability summary report performed on the vulnerability analysis result information.

도 2는 본 실시예에 따른 위협정보 수집 툴을 개략적으로 나타낸 블럭 구성도이다.2 is a block diagram schematically showing the threat information collection tool according to the present embodiment.

위협정보 진단부(130)에 포함된 위협정보 수집 툴은 진단 대상에 포함되는 복수의 사업장 및 협력사 서버로부터 자동으로 공개된 정보를 수집한다. 위협정보 수집 툴은 수집된 정보 간의 연관성을 분석한다. 위협정보 수집 툴은 분석된 연관성을 기반으로 위협 시나리오를 도출하고, 매핑한다.The threat information collection tool included in the threat information diagnosis unit 130 automatically collects information disclosed from a plurality of business sites and partner servers included in the diagnosis target. The threat information collection tool analyzes the correlation between the collected information. The threat information collection tool derives and maps threat scenarios based on the analyzed correlation.

본 실시예에 따른 위협정보 수집 툴은 위협 정보 수집부(210), 위협 정보 연관 분석부(220), 위협 시나리오 도출부(230)를 포함한다. 위협정보 수집 툴에 포함된 구성요소는 반드시 이에 한정되는 것은 아니다.The threat information collection tool according to the present embodiment includes a threat information collection unit 210 , a threat information association analysis unit 220 , and a threat scenario derivation unit 230 . Components included in the threat information collection tool are not necessarily limited thereto.

위협정보 수집 툴에 포함된 각 구성요소는 장치 내부의 소프트웨어적인 모듈 또는 하드웨어적인 모듈을 연결하는 통신 경로에 연결되어 상호 간에 유기적으로 동작할 수 있다. 이러한 구성요소는 하나 이상의 통신 버스 또는 신호선을 이용하여 통신한다.Each component included in the threat information collection tool is connected to a communication path that connects a software module or a hardware module inside the device, and can operate organically with each other. These components communicate using one or more communication buses or signal lines.

도 2에 도시된 위협정보 수집 툴의 각 구성요소는 적어도 하나의 기능이나 동작을 처리하는 단위를 의미하며, 소프트웨어적인 모듈, 하드웨어적인 모듈 또는 소프트웨어와 하드웨어의 결합으로 구현될 수 있다.Each component of the threat information collection tool shown in FIG. 2 means a unit that processes at least one function or operation, and may be implemented as a software module, a hardware module, or a combination of software and hardware.

위협 정보 수집부(210)는 OSINT(Open Source INTelligence) 기반으로 위협 정보를 수집한다. 위협 정보 수집부(210)는 위협 정보로서, 글로벌 사이버 위협정보, 기업 내부 통합 정보, 일반 웹(Web) 정보, 딥 웹(Deep Web) 정보, 보안 벤더사 위협 DB정보, 가짜 사이트(Fake Site) 정보를 수집한다.The threat information collection unit 210 collects threat information based on Open Source Intelligence (OSINT). The threat information collection unit 210 is threat information, including global cyber threat information, corporate internal integrated information, general web information, deep web information, security vendor threat DB information, and fake site information. to collect

위협 정보 수집부(210)는 복수의 진단대상으로부터 OSINT 기반으로 공개된 정보를 수집하여 수집 정보를 생성한다. 위협 정보 수집부(210)는 제1 진단부(110)와 동일한 진단대상인 호스트, 네트워크, 시스템, 애플리케이션 이외에 다크웹(DarkWeb)을 추가로 진단 대상으로 선정하며, 다크웹 상에 공개되거나 업로드된 정보를 수집하여 수집 정보를 생성한다. 위협 정보 수집부(210)는 진단대상의 웹에서 스크롤링한 웹 스크롤링 정보, 도메인 정보, 업로드 정보를 수집하여 수집 정보를 생성한다.The threat information collection unit 210 collects information disclosed based on OSINT from a plurality of diagnosis targets and generates collection information. The threat information collection unit 210 additionally selects the Dark Web as a diagnosis target in addition to the host, network, system, and application, which are the same diagnosis target as the first diagnosis unit 110 , and information published or uploaded on the dark web. to create collection information. The threat information collection unit 210 generates collection information by collecting web scrolling information, domain information, and upload information scrolled in the web of a diagnosis target.

위협 정보 연관 분석부(220)는 수집 정보 기반으로 연관 분석을 수행한다. 위협 정보 연관 분석부(220)는 수집 정보 각각에 대해 연관된 취약점 정보를 매핑하여 연관성 분석 정보를 생성한다. The threat information association analysis unit 220 performs association analysis based on the collected information. The threat information association analysis unit 220 generates association analysis information by mapping the associated vulnerability information for each of the collected information.

위협 정보 연관 분석부(220)는 수집 정보 각각에 대해 연관된 취약점 정보를 기반으로 위험도를 산출하고, 위험도에 따라 스코어링을 수행하여 스코어를 부여한다. 위협 정보 연관 분석부(220)는 위험도에 따라 스코어링을 수행할 때, 위험도가 높은 정보인 경우 높은 스코어를 산출하고, 위험도가 낮은 정보인 경우 낮은 스코어를 산출한다. 위협 정보 연관 분석부(220)는 위험도가 낮은 정보에 대해서 추가 분석을 수행하여 관리가 필요한 정보를 추출한다.The threat information association analysis unit 220 calculates a level of risk based on the vulnerability information associated with each of the collected information, performs scoring according to the level of risk, and gives a score. The threat information association analysis unit 220 calculates a high score for high-risk information and a low score for low-risk information when performing scoring according to the risk. The threat information association analysis unit 220 extracts information that needs to be managed by performing additional analysis on information having a low risk.

위협 정보 연관 분석부(220)는 수집 정보 각각에 대해 CVE(Common Vulnerabilities and Exposures) DB와 매핑한 후 링크(Link)를 이용하여 추가 정보를 제공한다. 위협 정보 연관 분석부(220)는 수집 정보 각각에 대해 연관된 취약점 정보 중 공격정보 시나리오 매핑 결과를 출력한다.The threat information association analysis unit 220 provides additional information using a link after mapping each of the collected information with a Common Vulnerabilities and Exposures (CVE) DB. The threat information association analysis unit 220 outputs an attack information scenario mapping result among the vulnerability information associated with each of the collected information.

위협 시나리오 도출부(230)는 분석정보 및 위협 시나리오 매핑을 수행한다. 위협 시나리오 도출부(230)는 연관성 분석 정보를 기반으로 위협 시나리오를 도출한 후 매핑한다. 위협 시나리오 도출부(230)는 복수의 시나리오 중 스코어 및 연관성 분석 정보에 따라 위협 시나리오를 도출한다.The threat scenario derivation unit 230 performs analysis information and threat scenario mapping. The threat scenario derivation unit 230 derives a threat scenario based on the correlation analysis information and maps it. The threat scenario derivation unit 230 derives a threat scenario according to a score and correlation analysis information among a plurality of scenarios.

도 3a 내지 3f는 본 실시예에 따른 기업 IT 인프라 정보의 수집 방법을 나타낸 도면이다.3A to 3F are diagrams illustrating a method of collecting corporate IT infrastructure information according to the present embodiment.

위협정보 진단부(130)는 도 3a에 도시된 바와 같이, 기업(S 회사) IT 인프라 정보를 수집한다.The threat information diagnosis unit 130 collects enterprise (company S) IT infrastructure information, as shown in FIG. 3A .

위협정보 진단부(130)는 서브 도메인(Sub Domain) 및 IP 레인지(Range) 정보를 수집한다. 위협정보 진단부(130)는 해당 서브 도메인의 IP 대역의 확인이 가능하다. 위협정보 진단부(130)는 해당 IP 레인지를 기준으로 GPS 좌표로 변환하여 지도상에 해당 위치에 표시하여 출력한다. 위협정보 진단부(130)는 해당 DNS(Domain Name System)의 국내 또는 국외에 존재하는 지의 여부를 확인 가능하다. 위협정보 진단부(130)는 서브 도메인을 지도상에 서비스 인프라 위치를 표시하여 출력한다.The threat information diagnosis unit 130 collects sub domain and IP range information. The threat information diagnosis unit 130 can check the IP band of the corresponding subdomain. The threat information diagnosis unit 130 converts the corresponding IP range into GPS coordinates based on the corresponding IP range, and displays and outputs the displayed location on the map. The threat information diagnosis unit 130 can check whether the DNS (Domain Name System) exists in Korea or abroad. The threat information diagnosis unit 130 displays the service infrastructure location on the map and outputs the sub-domain.

위협정보 진단부(130)는 도 3b에 도시된 바와 같이, 기업(L 회사) IT 인프라 정보를 수집하여 분석한 결과를 출력한다.As shown in FIG. 3B , the threat information diagnosis unit 130 collects and analyzes the company (company L) IT infrastructure information and outputs the analysis result.

위협정보 진단부(130)는 서브 도메인을 기준으로 열린 포트(Port), 서버 정보, 사용 언어, 보안 솔루션 사용 여부 등의 매핑 정보를 확인한다. 위협정보 진단부(130)는 CMS Editplus 및 워드프레스(Wordpress) 플러그인 정보를 노출된 취약점 정보와 매핑하여 관리할 수 있다. 위협정보 진단부(130)는 서브 도메인 및 포트, 기타 중요 서버 버전 정보 등 다양한 정보를 매핑하여 출력한다.The threat information diagnosis unit 130 checks mapping information such as an open port, server information, language used, and whether a security solution is used based on the sub-domain. The threat information diagnosis unit 130 may manage CMS Editplus and WordPress plug-in information by mapping it with exposed vulnerability information. The threat information diagnosis unit 130 maps and outputs various information such as sub-domains and ports, and other important server version information.

위협정보 진단부(130)는 도 3c에 도시된 바와 같이, 기업 (A 회사)의 공개된 중요파일의 노출 결과를 출력한다.As shown in FIG. 3C , the threat information diagnosis unit 130 outputs an exposure result of an important public file of a company (company A).

위협정보 진단부(130)는 중요 파일의 노출 정보를 확인하여, 퍼블릭(Public)에 공유된 파일(File)이 아닌 우연히 실수로 노출될 수 있는 기업 정보(자산)의 유무를 파악할 수 있다. 위협정보 진단부(130)는 기업의 OSINT 분석 결과, 일부 퍼블릭 공개(Public Open) 정보 외에 공개(Open)되지 않은 파일까지 노출되고 있음을 확인한다.The threat information diagnosis unit 130 may check exposure information of important files to determine whether there is company information (asset) that may be accidentally exposed by accident, not a file shared with the public. As a result of OSINT analysis of the company, the threat information diagnosis unit 130 confirms that files that have not been opened are exposed in addition to some public open information.

위협정보 진단부(130)는 도 3d에 도시된 바와 같이, 기업(B 회사)의 다크웹(Darkweb)의 노출 정보를 추출한 결과를 출력한다.As shown in FIG. 3D , the threat information diagnosis unit 130 outputs the result of extracting exposure information of the dark web of the company (company B).

위협정보 진단부(130)는 기업에 위협을 가할 수 있는 다크웹 내 조회 결과 정보 및 URL 정보를 제공한다. 위협정보 진단부(130)는 다크웹 내, 노출된 정보를 이용하여 직간접적으로 위협이 되는 정보의 조기 발견이 가능하다. 위협정보 진단부(130)는 OSINT(Open Source INTelligence)를 이용하여 블록체인 관련 회사 정보가 현재 다크웹을 통해 노출되어 있음을 확인한다.The threat information diagnosis unit 130 provides search result information and URL information in the dark web that can threaten the enterprise. The threat information diagnosis unit 130 enables early detection of information that directly or indirectly threatens threats by using exposed information in the dark web. The threat information diagnosis unit 130 uses OSINT (Open Source INTelligence) to confirm that blockchain-related company information is currently exposed through the dark web.

위협정보 진단부(130)는 도 3e에 도시된 바와 같이, 기업(국내 대기업, 중견기업, 중소기업)의 중요 정보의 노출을 분석한 결과를 출력한다.As shown in FIG. 3E , the threat information diagnosis unit 130 outputs a result of analyzing the exposure of important information of companies (domestic large enterprises, medium-sized enterprises, and small and medium-sized enterprises).

위협정보 진단부(130)는 검색 엔진 또는 검색 사이트로부터 검색된 정보(예컨대, 구글링 정보)를 이용하여 ‘A 회사’에 대한 SQL 인젝션 공격을 이용한 취약점 노출을 확인한다. 다시 말해, 위협정보 진단부(130)는 대외망을 이용한 진단 시, 진단 대상 및 포인트를 잡는데 도움이 되는 기 발생된 위협 정보를 확인한다.The threat information diagnosis unit 130 uses information retrieved from a search engine or a search site (eg, Google information) to check vulnerability exposure using a SQL injection attack on 'Company A'. In other words, the threat information diagnosis unit 130 checks pre-generated threat information that is helpful in catching a diagnosis target and a point when diagnosing using an external network.

위협정보 진단부(130)는 해당 노출 내용 중 국내 ‘co.kr’도메인(domain) 계정의 SQL 인젝션 공격을 통한 취약점 노출을 추가 확인한다. 위협정보 진단부(130)는 OSINT 분석 정보를 이용하여, 현재 서비스를 제공하고 있는 고객사가 과거에 SQLi 공격에 노출되었음을 확인한다.The threat information diagnosis unit 130 additionally confirms the vulnerability exposure through the SQL injection attack of the domestic 'co.kr' domain account among the exposed contents. The threat information diagnosis unit 130 uses the OSINT analysis information to confirm that a customer currently providing a service has been exposed to a SQLi attack in the past.

위협정보 진단부(130)는 도 3f에 도시된 바와 같이, 기업(T 회사) 해킹(관리자 페이지, 중요 문서/소스파일 노출, 에러 페이지 노출 등) 결과를 출력한다.The threat information diagnosis unit 130 outputs the results of the company (company T) hacking (administrator page, important document/source file exposure, error page exposure, etc.) as shown in FIG. 3f .

기업은 주기적으로 검색 엔진 또는 검색사이트(예컨대, 구글)에서 크롤링된 결과를 검토하여 위협 정보의 노출을 확인할 수 있다. 단, 크롤링된 결과 페이지 중 노출 정보의 조치가 완료되었거나 유사한 결과 검색으로 인한 일부 오탐지 가능성이 존재할 수 있다. 위협정보 진단부(130)는 해킹 정보를 이용하여 직접적으로 노출이 되어 있는 복수의 위협 정보(에러 페이지, 관리자 페이지, DB 에러페이지, 페이스트빈(Pastebin) 등)를 제공한다.A company may periodically review the crawled results of a search engine or search site (eg, Google) to confirm the exposure of threat information. However, there may be some false positives due to the action of exposure information being completed among the crawled result pages or by searching for similar results. The threat information diagnosis unit 130 provides a plurality of directly exposed threat information (error page, administrator page, DB error page, Pastebin, etc.) using hacking information.

도 4는 본 실시예에 따른 기업 임직원 정보의 수집 방법을 나타낸 도면이다.4 is a diagram illustrating a method of collecting corporate employee information according to the present embodiment.

위협정보 진단부(130)는 도 4에 도시된 바와 같이, 기업(C 회사)에 대한 임직원 노출 정보를 추출한 결과를 출력한다. 위협정보 진단부(130)는 외부 소셜 네트워크 등에 노출된 개인 정보인 회사 메일/이름/전화번호를 찾아서 매핑한다.As shown in FIG. 4 , the threat information diagnosis unit 130 outputs the result of extracting employee exposure information for the company (company C). The threat information diagnosis unit 130 finds and maps company mail/name/phone number, which is personal information exposed to an external social network, or the like.

위협정보 진단부(130)는 검색 엔진 또는 검색 사이트(예컨대, 구글) 해킹 결과를 이용하여 추가로 페이스트빈(Pastebin) 등에 노출된 개인 회사 이메일 정보를 추출한다. 위협정보 진단부(130)는 공개된 소셜 정보 외에 검색 엔진 또는 검색 사이트(예컨대, 구글) 해킹을 통한 커뮤니티(페이스트빈(Pastebin) 등) 내 공개된 회사 이메일 정보를 수집한다.The threat information diagnosis unit 130 additionally extracts personal company email information exposed to Pastebin, etc. by using a hacking result of a search engine or a search site (eg, Google). The threat information diagnosis unit 130 collects company email information published in a community (Pastebin, etc.) through a search engine or a search site (eg, Google) hacking in addition to the public social information.

도 5a,5b는 본 실시예에 따른 데이터 연관 분석 방법을 나타낸 도면이다.5A and 5B are diagrams illustrating a data association analysis method according to the present embodiment.

위협정보 진단부(130)는 도 5a에 도시된 바와 같이, 데이터 연관 분석으로서 D 회사의 데이터를 연관 분석하여 취약점 정보를 매핑한다.As shown in FIG. 5A , the threat information diagnosis unit 130 associates and analyzes data of company D as a data correlation analysis to map vulnerability information.

위협정보 진단부(130)는 수집된 기업 인프라 정보 및 취약점 정보를 기준으로 연관 분석 취약점 매핑 정보를 제공한다. 위협정보 진단부(130)는 해당 연관 분석 정보를 글로벌 CVE(Common Vulnerabilities and Exposures) DB와 매핑 및 링크(Link)를 이용하여 추가 정보를 제공한다.The threat information diagnosis unit 130 provides correlation analysis vulnerability mapping information based on the collected corporate infrastructure information and vulnerability information. The threat information diagnosis unit 130 maps the related analysis information to a global Common Vulnerabilities and Exposures (CVE) DB and provides additional information using a link.

위협정보 진단부(130)는 도 5b에 도시된 바와 같이, 데이터 연관 분석으로서 가상화폐 ICO R 회사의 잠재적 취약점 노출 여부를 분석한다. 위협정보 진단부(130)는 데이터 연관 분석을 통해 워드프레스(Wordpress) 버전 및 플러그인 관련 취약점 정보를 제공한다. 위협정보 진단부(130)는 연관분석을 이용한 공격정보 시나리오 매핑 결과를 출력한다.As shown in FIG. 5B , the threat information diagnosis unit 130 analyzes whether the virtual currency ICO R company is exposed to potential vulnerabilities as a data correlation analysis. The threat information diagnosis unit 130 provides Wordpress version and plug-in-related vulnerability information through data correlation analysis. The threat information diagnosis unit 130 outputs the attack information scenario mapping result using the association analysis.

도 6은 본 실시예에 따른 관리 대상 및 주체에 대한 상세 관리를 나타낸 도면이다.6 is a diagram illustrating detailed management of a management target and a subject according to the present embodiment.

취약점 관리부(140)는 도 6에 도시된 바와 같이, 점검 대상 자산(시스템, 운영/개발 URL 등) 현황 및 관리 주체를 관리한다. 취약점 관리부(140)는 서비스 점검 계획, 완료예정일 등에 따라 정보를 관리한다.As shown in FIG. 6 , the vulnerability management unit 140 manages the inspection target asset (system, operation/development URL, etc.) status and management subject. The vulnerability management unit 140 manages information according to a service check plan, scheduled completion date, and the like.

일반적으로 보안 진단을 도입하기 전에 취약점 관리 대상(사업장, 자산 등) 파악 어려움 및 관리 주체 누락되거나 관리 누수로 인한 주요 취약점이 노출되고, 서비스 영향을 파악하기 어렵다. 취약점 관리부(140)는 사업장 별, 진단 대상 자산 파악 및 서비스 관리 주체 명확화하고, 취약점 노출 위험을 최소화하고, 불용 여부 파악 및 중요도 파악을 수행한다.In general, prior to the introduction of security diagnosis, it is difficult to identify the target of vulnerability management (business site, assets, etc.) The vulnerability management unit 140 Identify assets to be diagnosed and clarify the subject of service management by business site, minimize the risk of vulnerability exposure, determine whether or not they are not used, and determine their importance.

취약점 관리부(140)는 진단 대상의 정보를 관리하고, 점검 계획을 관리한다.The vulnerability management unit 140 manages diagnosis target information and manages an inspection plan.

도 7a,7b는 본 실시예에 따른 취약점 점검 및 조치 현황 관리를 나타낸 도면이다.7A and 7B are diagrams illustrating vulnerability check and action status management according to the present embodiment.

취약점 관리부(140)는 도 7a에 도시된 바와 같이, 전체 관리 대상, 취약점 진단 차수, 진단일 등 현황을 관리한다. 취약점 관리부(140)는 조치 유무 및 추가 이행 점검 완료 유무를 관리한다.As shown in FIG. 7A , the vulnerability management unit 140 manages the status of the entire management target, the vulnerability diagnosis order, the diagnosis date, and the like. The vulnerability management unit 140 manages the presence or absence of measures and whether additional implementation checks have been completed.

일반적으로 보안 진단을 도입하기 전에 진단 대상 서비스의 상세 URL 기준의 취약점 진단 대상의 관리가 미흡하고, 조치 이행자의 조치 계획 관리가 누락되고, 진단 수행자의 이행 점검이 미흡하다. 취약점 관리부(140)는 1개 서비스의 다수 진단 대상 URL별 취약점, 진단자, 조치 여부 파악이 가능하다. 취약점 관리부(140)는 조치 계획에 따른 이행률 파악이 가능하다. 취약점 관리부(140)는 대상별, 이행점검 여부 관리가 가능하다.In general, before the introduction of security diagnosis, the management of the target for vulnerability diagnosis based on the detailed URL of the service to be diagnosed is insufficient, the management of the action plan of the action implementer is omitted, and the execution check of the diagnostic performer is insufficient. The vulnerability management unit 140 is capable of identifying vulnerabilities, diagnoses, and actions for multiple diagnostic target URLs of one service. The vulnerability management unit 140 can determine the implementation rate according to the action plan. The vulnerability management unit 140 is capable of managing whether or not to check for each target.

취약점 관리부(140)는 사전에 정의된 수작업 진단 결과 파일 업로드(File Upload) 및 취약점을 자동으로 집계한다.The vulnerability management unit 140 automatically aggregates predefined manual diagnosis result file upload and vulnerabilities.

취약점 관리부(140)는 도 7b에 도시된 바와 같이, 진단 항목 기준별, 취약점 발견 여부, 위험도 및 잔여건을 관리한다. 취약점 관리부(140)는 서비스 운영 담당자별, 이행 조치 이력을 관리한다.As shown in FIG. 7B , the vulnerability management unit 140 manages each diagnostic item criterion, whether a vulnerability is found, a degree of risk, and a residual case. The vulnerability management unit 140 manages a history of implementation measures for each service operation person in charge.

일반적으로 보안 진단을 도입하기 전에 확인된 취약점과 서비스 운영자 부족으로 이행 조치가 지연되고, 진단 대상의 취약점별 조치 상세 관리 미흡으로 조치 누락/미흡이 발생했다. 취약점 관리부(140)는 확인된 취약점과 서비스 운영자 매핑 관리로 손쉬운 이행 관리가 가능하다. 취약점 관리부(140)는 상세 취약점 별, 이행 관리 여부 파악으로 이행 조치 누락 및 미흡을 방지한다.In general, implementation actions were delayed due to vulnerabilities identified before the introduction of security diagnosis and lack of service operators, and omissions/insufficiency of measures occurred due to insufficient management of detailed measures for each vulnerability in the diagnosis target. The vulnerability management unit 140 enables easy implementation management by managing the mapping between the identified vulnerabilities and the service operator. The vulnerability management unit 140 prevents omissions and inadequacies in implementation measures by identifying whether implementation is managed for each detailed vulnerability.

취약점 관리부(140)는 취약점 진단 항목기준 이행점검 상태(Status)를 확인한다.The vulnerability management unit 140 checks the status of the vulnerability diagnosis item standard implementation check.

도 8은 본 실시예에 따른 취약점 점검 스케줄 관리를 나타낸 도면이다.8 is a view showing vulnerability check schedule management according to the present embodiment.

취약점 관리부(140)는 도 8에 도시된 바와 같이, 진단 대상별, 진단자의 일정을 실시간으로 관리한다. 취약점 관리부(140)는 진단자별, 정확한 진단 공수 및 일정을 관리한다.As shown in FIG. 8 , the vulnerability management unit 140 manages the schedule of each diagnosis target and the diagnoser in real time. The vulnerability management unit 140 manages an accurate diagnosis man-hour and schedule for each diagnosis.

일반적으로 보안 진단을 도입하기 전에 전체 진단 대상 별, 일정 계획의 파악이 어렵고, 일정 변경 시, 전체 조정 어렵고, 진단자 일정/적정 공수 파악이 어렵다. 취약점 관리부(140)는 전체 일정 계획을 실시간으로 파악 가능하다. 취약점 관리부(140)는 신규 및 변경 서비스의 보안 진단 시 즉시 조정이 가능하다. 취약점 관리부(140)는 진단 일정/공수 파악이 용이하다.In general, prior to the introduction of security diagnosis, it is difficult to grasp the schedule for each diagnosis target, and when the schedule is changed, it is difficult to adjust the entire schedule, and it is difficult to grasp the schedule/appropriate manpower for the diagnosis. The vulnerability management unit 140 can grasp the entire schedule plan in real time. The vulnerability management unit 140 can immediately adjust the security diagnosis of new and changed services. The vulnerability management unit 140 makes it easy to identify the diagnosis schedule/management.

취약점 관리부(140)는 진단 대상 기준 일정 현황, 진단자 기준 일정 현황을 출력 가능하다.The vulnerability management unit 140 may output a diagnostic target standard schedule status and a diagnostician standard schedule status.

도 9는 본 실시예에 따른 진단 시작 및 종료 보고 자동화를 나타낸 도면이다.9 is a diagram illustrating automation of diagnosis start and end reporting according to the present embodiment.

취약점 관리부(140)는 도 9에 도시된 바와 같이, 점검 시작 시, 해당 서비스 담당자에게 자동 메일링(Mailing)을 수행한다. 취약점 관리부(140)는 점검 종료 시, 취약점 요약 리포트 자동 생성 및 자동 결과 보고를 제공한다.As shown in FIG. 9 , the vulnerability management unit 140 performs automatic mailing to a corresponding service person at the start of the inspection. The vulnerability management unit 140 automatically generates a vulnerability summary report and provides an automatic result report upon completion of the inspection.

일반적으로 보안 진단을 도입하기 전에 복수의 사용자에게 반복적인 작업 수작업 업무로 인해 많은 공수가 소요된다. 예컨대, 팀별/담당자별 수작업 메일링, 팀별/담당자별 결과 메일링에 많은 공수가 소요된다. 취약점 관리부(140)는 반복적인 작업 자동화를 이용하여 관리 공수를 최소화한다. 취약점 관리부(140)는 메일링 자동화, 결과 보고서 자동 생성을 지원한다.In general, it takes a lot of man-hours due to repetitive manual tasks for multiple users before the introduction of security diagnosis. For example, manual mailing for each team/person in charge and mailing of results for each team/person in charge requires a lot of man-hours. The vulnerability management unit 140 minimizes management man-hours by using repetitive task automation. The vulnerability management unit 140 supports automatic mailing and automatic generation of result reports.

취약점 관리부(140)는 자동 생성 진단 결과 요약 보고서를 생성한다.The vulnerability management unit 140 generates an automatically generated diagnosis result summary report.

도 10은 본 실시예에 따른 신규 취약점 자동 진단을 나타낸 도면이다.10 is a diagram illustrating automatic diagnosis of new vulnerabilities according to the present embodiment.

취약점 관리부(140)는 도 10에 도시된 바와 같이, 신규 취약점(CVE) 자동 점검 및 이력 관리를 제공한다. 취약점 관리부(140)는 전체 사업장 자산과 신규 취약점 매핑 기준 보안 영향도 관리를 수행한다.As shown in FIG. 10 , the vulnerability management unit 140 provides automatic inspection of new vulnerabilities (CVEs) and history management. The vulnerability management unit 140 manages the overall business site assets and the new vulnerability mapping standard security impact.

일반적으로 보안 진단을 도입하기 전에 진단 대상 서비스 및 자산 정보 관리 미흡으로 자동 진단 파악이 불가하며, 전체 수작업 1회 진단 시 수일 소요되고, 신규 취약점 시 영향도 파악이 불가하다. 취약점 관리부(140)는 지속적인 추가/변경 자산 목록 관리 및 자동 진단 대상 파악이 가능하다. 취약점 관리부(140)는 수분 내 전체 자동/반복 진단이 가능하다. 취약점 관리부(140)는 신규 취약점 시, 즉시 영향도 파악이 가능하다.In general, prior to the introduction of security diagnosis, automatic diagnosis cannot be identified due to insufficient management of diagnosis target services and asset information. The vulnerability management unit 140 is capable of continuously managing a list of added/changed assets and identifying an automatic diagnosis target. The vulnerability management unit 140 can perform automatic/repeated diagnosis within minutes. The vulnerability management unit 140 can immediately determine the impact of a new vulnerability.

취약점 관리부(140)는 최근에 릴리즈(Release)된 신규 취약점에 대한 자동 진단 기능 추가 및 자동 진단을 수행한다.The vulnerability management unit 140 adds an automatic diagnosis function and performs automatic diagnosis for a newly released vulnerability.

도 11은 본 실시예에 따른 진단 결과 자동 증적 생성을 나타낸 도면이다.11 is a diagram illustrating automatic trace generation of a diagnosis result according to the present embodiment.

취약점 관리부(140)는 도 11에 도시된 바와 같이, 점검 결과, 취약 여부 요약을 제공한다. 취약점 관리부(140)는 취약점 진단 결과의 스크린샷(Screenshot)을 자동으로 첨부한다.As shown in FIG. 11 , the vulnerability management unit 140 provides a summary of the check result and vulnerability. The vulnerability management unit 140 automatically attaches a screenshot of the vulnerability diagnosis result.

일반적으로 보안 진단을 도입하기 전에 수작업 점검 결과 업데이트(Update) 및 관리시 많은 시간 소요되고, 점검 결과 증빙 관리가 어려움이 있다. 취약점 관리부(140)는 자동화된 점검 결과 업데이트로 인해 시간 절감 및 휴먼 에러(Human Error)가 감소하고, 자동화된 취약점 증빙 내역 관리가 가능하다.In general, it takes a lot of time to update and manage manual inspection results before introducing security diagnosis, and it is difficult to manage inspection result evidence. The vulnerability management unit 140 reduces time and human errors due to the automated inspection result update, and enables automated vulnerability document management.

취약점 관리부(140)는 취약 화면 자동 스크린샷 및 첨부저장이 가능하다.The vulnerability management unit 140 is capable of automatically taking screenshots of the vulnerable screen and storing attachments.

이상의 설명은 본 실시예의 기술 사상을 예시적으로 설명한 것에 불과한 것으로서, 본 실시예가 속하는 기술 분야에서 통상의 지식을 가진 자라면 본 실시예의 본질적인 특성에서 벗어나지 않는 범위에서 다양한 수정 및 변형이 가능할 것이다. 따라서, 본 실시예들은 본 실시예의 기술 사상을 한정하기 위한 것이 아니라 설명하기 위한 것이고, 이러한 실시예에 의하여 본 실시예의 기술 사상의 범위가 한정되는 것은 아니다. 본 실시예의 보호 범위는 아래의 청구범위에 의하여 해석되어야 하며, 그와 동등한 범위 내에 있는 모든 기술 사상은 본 실시예의 권리범위에 포함되는 것으로 해석되어야 할 것이다.The above description is merely illustrative of the technical idea of this embodiment, and various modifications and variations will be possible by those skilled in the art to which this embodiment belongs without departing from the essential characteristics of the present embodiment. Accordingly, the present embodiments are intended to explain rather than limit the technical spirit of the present embodiment, and the scope of the technical spirit of the present embodiment is not limited by these embodiments. The protection scope of this embodiment should be interpreted by the following claims, and all technical ideas within the equivalent range should be interpreted as being included in the scope of the present embodiment.

100: 통합 보안 진단 장치
110: 제1 진단부 120: 제2 진단부
130: 위협정보 진단부
140: 취약점 관리부
210: 위협 정보 수집부
220: 위협 정보 연관 분석부
230: 위협 시나리오 도출부100: integrated security diagnostic device
110: first diagnosis unit 120: second diagnosis unit
130: threat information diagnosis unit
140: vulnerability management unit
210: threat information collection unit
220: threat information correlation analysis unit
230: threat scenario derivation unit

Claims (6)

기 설정된 진단주기로 복수의 진단대상에 대해 디폴트로 설정된 진단 항목을 진단한 제1 진단 정보를 생성하는 제1 진단부;
상기 제1 진단부와 서로 다른 진단주기로 상기 복수의 진단대상에 대해 추가 진단 항목을 진단한 제2 진단 정보를 생성하는 제2 진단부;
상기 복수의 진단대상의 플러그인(Plug-In)을 스캐닝한 스캐닝 진단 정보를 생성하는 위협정보 진단부; 및
상기 제1 진단 정보, 상기 제2 진단 정보, 상기 스캐닝 진단 정보를 분석하여 취약점 분석 결과 정보를 생성하고, 상기 취약점 분석 결과 정보를 기반으로 상기 복수의 진단대상의 보안 수준을 서로 비교한 자동 리포트를 기 설정된 주기로 보고하는 취약점 관리부
를 포함하되, 상기 취약점 관리부는 상기 제2 진단 정보를 기반으로 지속적으로 동일한 취약점이 기 설정된 횟수 이상으로 감지되거나 보안에 치명적인 취약점이 감지된 경우, 상기 동일한 취약점 또는 상기 치명적인 취약점에 대한 보안 위험의 감지 빈도를 높게 설정하기 위해, 상기 동일한 취약점 또는 상기 치명적인 취약점을 상기 제1 진단부의 디폴트로 설정된 진단 항목에 추가하여 상기 제1 진단부에서 기 설정된 진단주기로 상기 동일한 취약점 또는 상기 치명적인 취약점을 진단하도록 하며,
상기 제1 진단 정보, 상기 제2 진단 정보, 상기 스캐닝 진단 정보로부터 IT 인프라 정보를 수집하고, 상기 IT 인프라 정보에 포함된 서브 도메인(Sub Domain) 및 IP 레인지(Range) 정보를 추출하고, 상기 IP 레인지를 GPS 좌표로 변환하여 지도상에 해당 좌표에 상기 서브 도메인을 표시하고, 상기 서브 도메인별로 상기 취약점 분석 결과 정보가 출력되도록 하며,
상기 IT 인프라 정보에 포함된 상기 서브 도메인을 기준으로 포트(Port), 서버 정보, 사용 언어, 보안 솔루션 사용 여부를 매핑하여 상기 취약점 분석 결과 정보와 함께 출력하고, 상기 스캐닝 진단 정보로부터 추출된 플러그인 정보를 상기 취약점 분석 결과 정보와 함께 매핑하여 출력하며,
상기 제1 진단 정보, 상기 제2 진단 정보, 상기 스캐닝 진단 정보로부터 공개된 파일을 수집하고, 상기 공개된 파일의 노출 정보를 확인하여, 퍼블릭(Public) 공유 파일(File) 이외에 다른 형태로 노출된 파일의 위험도를 높게 설정하여 상기 취약점 분석 결과 정보를 생성하며,
상기 제2 진단 정보로부터 다크웹(Darkweb) 내에서 노출된 정보를 수집하고, 상기 다크웹 내에서 노출된 정보에 위험도를 높게 설정하여 상기 취약점 분석 결과 정보를 생성하며,
상기 제2 진단 정보로부터 기 설정된 검색 엔진을 이용하여 검색된 정보를 수집하고, 기 설정된 검색 엔진을 이용하여 검색된 정보 중 URL, 도메인(domain) 계정을 기반으로 SQL 인젝션 공격(Structured Query Language Injection Attack)을 이용한 취약점을 발견한 후 상기 취약점 분석 결과 정보를 생성하며,
상기 제2 진단 정보로부터 크롤링(crawling)된 데이터를 수집하고, 상기 크롤링된 데이터에 해킹 여부를 검토하고, 해킹이 확인된 데이터에 대해 위험도를 높게 설정하여 상기 취약점 분석 결과 정보를 생성하는 것을 특징으로 하는 통합 보안 진단 장치.a first diagnostic unit generating first diagnostic information for diagnosing a diagnostic item set as a default for a plurality of diagnostic targets at a preset diagnostic cycle;
a second diagnosis unit generating second diagnosis information obtained by diagnosing additional diagnosis items with respect to the plurality of diagnosis targets at a different diagnosis cycle than that of the first diagnosis unit;
a threat information diagnosis unit generating scanning diagnosis information by scanning the plurality of diagnosis target plug-ins; and
A vulnerability analysis result information is generated by analyzing the first diagnosis information, the second diagnosis information, and the scanning diagnosis information, and an automatic report comparing the security levels of the plurality of diagnosis targets with each other based on the vulnerability analysis result information Vulnerability management unit that reports at preset intervals
Including, wherein the vulnerability management unit is based on the second diagnostic information, when the same vulnerability is continuously detected more than a preset number of times or when a critical vulnerability is detected, the detection of a security risk for the same vulnerability or the critical vulnerability In order to set the frequency to be high, the same vulnerability or the fatal vulnerability is added to the diagnostic items set by the default of the first diagnosis unit to diagnose the same vulnerability or the fatal vulnerability at a preset diagnosis cycle in the first diagnosis unit,
IT infrastructure information is collected from the first diagnostic information, the second diagnostic information, and the scanning diagnostic information, and sub-domain and IP range information included in the IT infrastructure information is extracted, and the IP The range is converted into GPS coordinates, the subdomain is displayed on the map at the corresponding coordinates, and the vulnerability analysis result information is output for each subdomain,
Based on the sub-domain included in the IT infrastructure information, a port, server information, language used, and whether or not a security solution is used are mapped and output together with the vulnerability analysis result information, and plug-in information extracted from the scanning diagnosis information is mapped and outputted with the vulnerability analysis result information,
Collecting the disclosed files from the first diagnostic information, the second diagnostic information, and the scanning diagnostic information, and checking the exposure information of the disclosed files, Creates the vulnerability analysis result information by setting the risk of the file high,
Collecting information exposed in the dark web from the second diagnostic information, setting a high degree of risk to the information exposed in the dark web, and generating the vulnerability analysis result information,
From the second diagnostic information, information retrieved using a preset search engine is collected, and a Structured Query Language Injection Attack is performed based on URL and domain accounts among the information retrieved using a preset search engine. After discovering the used vulnerability, the vulnerability analysis result information is generated,
Collecting crawled data from the second diagnostic information, reviewing whether the crawled data is hacked, and setting the risk of hacking confirmed data high to generate the vulnerability analysis result information integrated security diagnostics device. 제1항에 있어서,
상기 제1 진단부는
호스트, 네트워크, 시스템, 애플리케이션을 상기 복수의 진단 대상으로 선정하고, 상기 호스트, 상기 네트워크, 상기 시스템, 상기 애플리케이션 각각에 대해 구비된 이상징후 진단툴, 침해사고 진단툴, 취약점 진단툴을 이용하여 주기적으로 이상징후 진단, 침해사고 진단, 취약점 진단을 수행한 상기 제1 진단 정보를 생성하는 것을 특징으로 하는 통합 보안 진단 장치.According to claim 1,
The first diagnostic unit
A host, network, system, and application are selected as the plurality of diagnosis targets, and the host, the network, the system, and the application are periodically provided using an anomaly diagnosis tool, an intrusion diagnosis tool, and a vulnerability diagnosis tool. An integrated security diagnosis device, characterized in that generating the first diagnosis information on which abnormal symptom diagnosis, infringement accident diagnosis, and vulnerability diagnosis are performed. 제2항에 있어서,
상기 제1 진단부의 진단 주기는 기 설정된 임계주기보다 짧게 설정되어 높은 진단 빈도를 가지며, 상기 제2 진단부의 진단 주기는 기 설정된 임계주기보다 길게 설정되어 낮은 진단 빈도를 갖는 것을 특징으로 하는 통합 보안 진단 장치.3. The method of claim 2,
Integrated security diagnosis, characterized in that the diagnosis cycle of the first diagnosis unit is set shorter than a preset threshold cycle to have a high diagnosis frequency, and the diagnosis cycle of the second diagnosis unit is set longer than the preset threshold cycle to have a low diagnosis frequency. Device. 제3항에 있어서,
상기 제2 진단부는 상기 제1 진단부와 서로 다른 추가적인 진단툴을 이용하여 상기 복수의 진단 대상에 대해 진단을 수행하여 상기 제2 진단 정보를 생성하는 것을 특징으로 하는 통합 보안 진단 장치.4. The method of claim 3,
and the second diagnosis unit generates the second diagnosis information by performing diagnosis on the plurality of diagnosis objects using additional diagnosis tools different from those of the first diagnosis unit. 제4항에 있어서,
상기 위협정보 진단부는,
상기 복수의 진단대상의 플러그인에 대해 위험도를 추적하여 상기 스캐닝 정보를 생성하는 것을 특징으로 하는 통합 보안 진단 장치.5. The method of claim 4,
The threat information diagnosis unit,
The integrated security diagnosis apparatus according to claim 1, wherein the scanning information is generated by tracking the degree of risk of the plug-ins of the plurality of diagnosis targets. 제5항에 있어서,
상기 취약점 관리부는,
상기 복수의 진단대상에 대한 상기 제1 진단 정보, 상기 제2 진단 정보, 상기 스캐닝 진단 정보를 서로 비교하여 각 진단 항목별 보안 위험도 출력하는 것을 특징으로 하는 통합 보안 진단 장치.
6. The method of claim 5,
The vulnerability management unit,
The integrated security diagnosis apparatus of claim 1, wherein the first diagnosis information, the second diagnosis information, and the scanning diagnosis information for the plurality of diagnosis targets are compared with each other and a security risk for each diagnosis item is also output.
KR1020200114538A 2020-09-08 2020-09-08 Method And Apparatus for Diagnosing Integrated Security KR102330404B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020200114538A KR102330404B1 (en) 2020-09-08 2020-09-08 Method And Apparatus for Diagnosing Integrated Security

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020200114538A KR102330404B1 (en) 2020-09-08 2020-09-08 Method And Apparatus for Diagnosing Integrated Security

Publications (1)

Publication Number Publication Date
KR102330404B1 true KR102330404B1 (en) 2021-11-24

Family

ID=78748058

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020200114538A KR102330404B1 (en) 2020-09-08 2020-09-08 Method And Apparatus for Diagnosing Integrated Security

Country Status (1)

Country Link
KR (1) KR102330404B1 (en)

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20120114304A (en) * 2009-12-15 2012-10-16 맥아피 인코퍼레이티드 Systems and methods for behavioral sandboxing
JP2016095631A (en) * 2014-11-13 2016-05-26 株式会社リコー Information diagnostic system, information diagnostic device, information diagnostic method and program
KR101672791B1 (en) * 2015-10-26 2016-11-07 고려대학교 산학협력단 Method and system for detection of vulnerability on html5 mobile web application
JP2017167766A (en) * 2016-03-15 2017-09-21 三菱電機株式会社 Diagnostic result integration device and diagnostic result integration program
KR102040227B1 (en) * 2018-02-02 2019-11-04 박승필 Method and system for evaluating security effectiveness between device

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20120114304A (en) * 2009-12-15 2012-10-16 맥아피 인코퍼레이티드 Systems and methods for behavioral sandboxing
JP2016095631A (en) * 2014-11-13 2016-05-26 株式会社リコー Information diagnostic system, information diagnostic device, information diagnostic method and program
KR101672791B1 (en) * 2015-10-26 2016-11-07 고려대학교 산학협력단 Method and system for detection of vulnerability on html5 mobile web application
JP2017167766A (en) * 2016-03-15 2017-09-21 三菱電機株式会社 Diagnostic result integration device and diagnostic result integration program
KR102040227B1 (en) * 2018-02-02 2019-11-04 박승필 Method and system for evaluating security effectiveness between device

Similar Documents

Publication Publication Date Title
US11012472B2 (en) Security rule generation based on cognitive and industry analysis
US20210273961A1 (en) Apparatus and method for a cyber-threat defense system
JP6930742B2 (en) Methods and equipment for managing security in computer networks
CN106411578B (en) A kind of web publishing system and method being adapted to power industry
Bryant et al. Improving SIEM alert metadata aggregation with a novel kill-chain based classification model
KR101883400B1 (en) detecting methods and systems of security vulnerability using agentless
US20140137257A1 (en) System, Method and Apparatus for Assessing a Risk of One or More Assets Within an Operational Technology Infrastructure
CN105376245A (en) Rule-based detection method of ATP attack behavior
Mirjalili et al. A survey on web penetration test
CN112637220A (en) Industrial control system safety protection method and device
CN113868659B (en) Vulnerability detection method and system
Chalvatzis et al. Evaluation of security vulnerability scanners for small and medium enterprises business networks resilience towards risk assessment
Almaarif et al. Vulnerability Assessment and Penetration Testing (VAPT) framework: Case study of government’s website
US11863577B1 (en) Data collection and analytics pipeline for cybersecurity
Alghamdi Effective penetration testing report writing
Kersten et al. 'Give Me Structure': Synthesis and Evaluation of a (Network) Threat Analysis Process Supporting Tier 1 Investigations in a Security Operation Center
CN115499840A (en) Security assessment system and method for mobile internet
CN114050937A (en) Processing method and device for mailbox service unavailability, electronic equipment and storage medium
CN113868669A (en) Vulnerability detection method and system
KR102330404B1 (en) Method And Apparatus for Diagnosing Integrated Security
Sommestad Experimentation on operational cyber security in CRATE
Liao Generating Targeted Attack Scenarios against Availability for Critical Infrastructures
Aldea et al. Software vulnerabilities integrated management system
Alkhurayyif et al. Adopting automated penetration testing tools: A cost-effective approach to enhancing cybersecurity in small organizations
CN113868670A (en) Vulnerability detection flow inspection method and system

Legal Events

Date Code Title Description
E701 Decision to grant or registration of patent right
GRNT Written decision to grant