레드 팀 평가와 애플리케이션 보안 테스트의 시너지 효과

* 해당 블로그의 원문은 2024년 12월 6일 Google Cloud 블로그(영문)에 게재되었습니다.

작성자: Ilyass El Hadi, Louis Dion-Marcil, Charles Prevost

요약

레드 팀이든 표적화된 외부 평가이든 애플리케이션 보안(AppSec) 전문 지식을 통합하면 조직은 최신 공격자의 전술과 기술을 더 잘 시뮬레이션할 수 있습니다. 여기에는 다음이 포함됩니다.

• 최대 영향을 위한 최소 액세스 활용: 높은 권한 상승이 필요하지 않습니다. 레드 팀 목표는 종종 제한된 액세스로 달성할 수 있으므로 모든 인터넷 연결 자산을 보호하는 것이 중요합니다.

• 취약성 체이닝을 통한 영향력이 낮은 취약성의 잠재력 인식: 영향력이 낮거나 중간 정도인 취약성을 함께 악용하여 상당한 영향을 미칠 수 있습니다.

• 자체 익스플로잇 개발: 숙련된 공격자 또는 컨설턴트는 공개 개념 증명 악용이 없는 경우 리버스 엔지니어링 및/또는 제로데이 취약성을 찾는 데 시간과 리소스를 투자합니다.

• 다양한 기술 세트 활용: 레드 팀 구성원에는 AppSec을 포함한 광범위한 전문 지식을 갖춘 개인이 포함되어야 합니다. 

• 협업 촉진: 다양한 기술 세트를 결합하면 창의력을 발휘하고 더 효과적인 공격 시뮬레이션으로 이어질 수 있습니다.

• 계약 전반에 걸쳐 AppSec 통합: 공격적인 애플리케이션 보안 기여는 프로젝트의 모든 단계에서 레드 팀에 도움이 될 수 있습니다.

조직은 이러한 접근 방식을 수용함으로써 끊임없이 진화하는 위협 환경으로부터 사전에 방어하여 보다 강력하고 복원력 있는 보안 태세를 보장할 수 있습니다.

소개

오늘날 빠르게 진화하는 위협 환경에서 조직은 점점 더 정교해지는 사이버 범죄자 및 국가 지원 행위자에 맞서 지속적인 군비 경쟁에 참여하고 있습니다. 이러한 공격자보다 앞서기 위해 많은 조직은 실제 공격을 시뮬레이션하여 악용되기 전에 취약성을 노출하는 레드 팀 평가를 활용합니다. 그러나 많은 기존 레드 팀 평가는 일반적으로 네트워크 및 인프라 구성 요소 공격에 우선순위를 두고 최신 공격 표면의 중요한 측면인 웹 애플리케이션을 간과하는 경우가 많습니다.

사이버 범죄자들은 이러한 격차를 알아차렸습니다. 최근 몇 년 동안 업계 보고서는 공격자가 조직의 주요 진입점으로 공개 애플리케이션 취약성을 악용하는 추세가 진화하고 있음을 지속적으로 강조하고 있습니다. 이는 2024 M-Trends 보고서에서 관찰된 바와 같이 위협 행위자가 사용하는 일반적인 전술에 대한 Mandiant의 관찰과 일치합니다. "초기 침입 벡터가 식별된 침입에서 침입의 38%가 악용으로 시작되었습니다. 이는 2022년보다 6% 증가한 수치입니다."

2024 M-Trends 보고서는 또한 초기 침해 액세스의 28.7%가 공개 웹 애플리케이션(MITRE T1190)을 악용하여 얻어진다고 기록합니다.

Mandiant에서는 이러한 격차를 인지하고 있으며 AppSec 전문 지식을 레드 팀 평가에 통합하여 이를 해소하기 위해 노력하고 있습니다. 이러한 선택적 접근 방식은 외부 경계의 범위를 늘려 보안 상태를 더 깊이 이해하고자 하는 고객에게 제공됩니다. 일반적으로 대부분의 인프라는 상당한 양의 보안 조사를 받지만 웹 애플리케이션 및 에지 장치는 종종 동일한 수준의 고려 사항이 부족하여 공격자의 주요 목표가 됩니다.

이러한 통합 접근 방식은 전체 범위의 레드 팀 계약에만 국한되지 않습니다. 다양한 성숙도 수준을 가진 조직은 집중적인 외부 경계 평가의 맥락에서 애플리케이션 보안 전문 지식을 활용할 수도 있습니다. 이러한 평가는 레드 팀 연습 없이도 인터넷 연결 애플리케이션 및 시스템의 보안에 대한 통찰력을 얻을 수 있는 가치 있고 비용 효율적인 방법을 제공합니다.

레드 팀 평가에서 애플리케이션 보안의 역할

AppSec 전문가를 레드 팀 평가에 통합하면 고유한 인력 배치 방식이 나타납니다. 이 전문가의 역할은 공격자가 외부 경계에서 조직을 침해하는 데 사용하는 끊임없이 진화하는 악용 기술로 레드 팀의 기능을 강화하는 것입니다.

AppSec 전문가는 범위 지정 및 초기 계획 단계에서도 가능한 한 빨리 계약에 참여합니다. 다양한 애플리케이션 인벤토리를 매핑하고 인터넷에 노출된 웹 애플리케이션 및 애플리케이션 프로그래밍 인터페이스(API)의 다양한 구성 요소 내에서 취약성을 식별하여 대상 경계를 세심하게 검토합니다.

검사가 진행되는 동안 레드 팀 운영자는 동시에 인프라 준비, 설득력 있는 피싱 캠페인 제작, 도구 개발 및 개선, 대상 환경의 제어 및 방어 메커니즘을 회피하는 효과적인 페이로드 생성을 포함한 평가의 다른 중요한 측면에 집중합니다.

중요한 영향을 미치는 AppSec 취약성이 발견되면 팀은 일반적으로 악용을 진행하여 주요 연락처에 예비 조사 결과를 알리고 발견의 잠재적 영향을 검증합니다. 성공적인 발견이 항상 대상 환경에서 직접적인 발판을 마련하는 것은 아니라는 점에 유의하는 것이 중요합니다. 광범위한 정찰 및 경계 검토 단계를 통해 수집된 인텔리전스는 레드 팀 임무의 다양한 측면에 맞게 용도를 변경할 수 있습니다. 여기에는 다음이 포함될 수 있습니다.

• 소셜 엔지니어링 캠페인을 미세 조정하기 위한 귀중한 정찰 대상 또는 기술 식별
• 공격 페이로드 추가 조정
• 추가 악용으로 이어질 수 있는 임시 발판 마련
• 공격 시뮬레이션의 후반 단계를 위한 악성 페이로드 호스팅

외부 경계 검사 단계가 완료되면 레드 팀 운영자는 식별된 취약성 및 관련 악용을 포함하여 AppSec 팀의 통찰력과 인텔리전스를 통해 나머지 임무 목표를 수행하기 시작합니다. 이 시점에서 레드 팀 운영자가 나머지 활동의 대부분을 수행하지만 AppSec 컨설턴트는 계약에 가깝게 유지되고 종종 내부 악용 노력을 더 지원하기 위해 참여합니다. 예를 들어 내부에서만 액세스할 수 있는 애플리케이션은 일반적으로 외부에서 액세스할 수 있는 자산보다 훨씬 덜 자세히 조사되므로 훨씬 덜 자주 평가됩니다.

AppSec 전문 지식을 통합함으로써 레드 팀이 고객의 외부 경계 검토 중에 발판을 마련하거나 기밀 정보에 액세스하는 것과 같이 상당한 이점을 얻은 계약이 크게 증가했습니다. 이러한 전반적인 접근 방식은 고객에게 보다 현실적이고 가치 있는 평가를 제공하여 네트워크 및 애플리케이션 보안 위험을 포괄적으로 다룹니다. Mandiant는 전체 공격 표면에서 취약성을 발견하고 해결함으로써 조직이 광범위한 위협으로부터 사전에 방어하고 전반적인 보안 태세를 강화할 수 있도록 지원합니다.

사례 연구: 애플리케이션 보안 지원의 영향 입증

이 섹션에서는 Mandiant의 AppSec 팀의 지원이 레드 팀 평가의 효과를 크게 향상시킨 여러 실제 시나리오 중 네 가지에 중점을 둡니다. 각 사례 연구에서는 공격 벡터, 공격의 배경, 경험에서 얻은 주요 내용, 관련 가정 및 오해를 강조합니다.

이러한 사례 연구는 레드 팀 계약에 애플리케이션 보안 지원을 통합하는 가치를 강조하는 동시에 협업과 지식 공유를 촉진하는 귀중한 학습 기회를 제공합니다.

중요한 내부 문서 액세스에 노출된 API 키

컨텍스트

에너지 부문의 한 회사는 Mandiant와 계약을 맺고 사이버 보안 팀의 탐지, 예방 및 대응 능력의 효율성을 평가했습니다. 조직은 여러 차례의 인수를 거쳐 지난 몇 년 동안 크게 성장했기 때문에 Mandiant는 외부 경계에 더 집중할 것을 제안했습니다. 이를 통해 조직은 모 조직과 비교하여 자회사의 외부 보안 상태를 측정할 수 있습니다.

관심 대상

철저한 정찰 단계에 따라 AppSec 팀은 고객이 비즈니스 파트너를 위해 개발한 모바일 애플리케이션을 검사하기 시작했습니다. 모바일 애플리케이션이 디컴파일되자 외부 API 서비스에 대한 무단 액세스 권한을 부여하는 하드 코딩된 API 키가 발견되었습니다. API 키를 활용하여 API 서비스에 대한 인증된 정찰을 수행했으며, 이를 통해 애플리케이션의 PDF 생성 기능 내에서 심각한 취약성이 발견되었습니다. HTML 삽입을 통해 활성화된 전체 읽기 서버 측 요청 위조(SSRF)입니다.

취약성 식별

초기 정찰 단계에서 팀은 수많은 내부 시스템의 호스트 이름이 인증서 투명성 로그를 통해 공개적으로 액세스할 수 있음을 관찰했습니다. 이를 염두에 두고 목표는 SSRF 취약성을 악용하여 이러한 내부 시스템에 외부 API 서비스를 통해 연결할 수 있는지 확인하는 것이었습니다. 결국 상용 ASP.NET 문서 관리 솔루션인 그러한 호스트 중 하나가 식별되었습니다. 솔루션의 이름과 버전이 식별되면 AppSec 팀은 온라인에서 알려진 취약성을 검색했습니다. 조사 결과 중에는 영향을 받는 동적 연결 라이브러리(DLL) 이름에 대한 세부 정보가 포함된 ViewState 역직렬화 보안 취약점에 대한 최근 CVE 항목이 있습니다.

악수풀로잇

공개 익스플로잇 개념 증명이 없었기 때문에 팀은 VirusTotal의 공개 코퍼스에서 파일을 찾을 때까지 DLL을 검색했지만 성공하지 못했습니다. 그런 다음 DLL을 C# 코드로 디컴파일하여 취약한 함수를 드러냈으며, 이는 성공적인 익스플로잇에 필요한 모든 구성 요소를 제공했습니다. 다음으로 애플리케이션 보안 컨설턴트는 인증 후 SSRF 벡터를 활용하여 내부 애플리케이션에 영향을 미치는 ViewState 역직렬화 취약점을 악용했습니다. 이 공격 체인은 모 조직의 내부 네트워크에 대한 안정적인 발판을 마련했습니다.

주요 시사점

조직의 비무장 지대(DMZ)가 이제 침해되었으며 원격 액세스 권한을 레드 팀 운영자에게 넘길 수 있습니다. 이를 통해 운영자는 네트워크로의 측면 이동을 수행하고 다양한 사전 결정된 목표를 달성할 수 있습니다. 그러나 고객은 특히 애플리케이션 서버에 수많은 중요한 문서가 저장되어 있기 때문에 측면 이동 전에 입증된 영향에 대해 높은 만족도를 표명했습니다. 이는 외부 경계를 악용하면 반드시 내부 네트워크 내에서 측면 이동을 용이하게 해야 한다는 일반적인 오해를 강조합니다. 그러나 고객의 중요한 데이터에 액세스하는 것만으로도 측면 이동 전에도 영향이 분명했습니다.

장벽 허물기: 내부 네트워크에 대한 게이트웨이로서의 블라인드 XSS

컨텍스트

기술 산업에서 운영되는 한 회사가 레드 팀 평가를 위해 Mandiant와 계약을 맺었습니다. 매우 성숙한 보안 프로그램을 갖춘 이 회사는 이미 수많은 내부 피싱 및 비싱 연습을 수행하고 있었기 때문에 피싱을 수행하지 말 것을 요청했습니다. 그들은 이전의 모든 레드 팀 계약이 다양한 사회 공학적 방법에 크게 의존했으며 성공률이 지속적으로 낮았다고 강조했습니다.

관심 대상

외부 정찰 노력 중에 AppSec 팀은 맞춤형 고객 관리 솔루션(CRM)과 같은 여러 관심 대상을 식별했습니다. CRM 호스트 이름에서 Wayback Machine을 활용하여 오래된 것처럼 보이지만 인증 없이 여전히 액세스할 수 있는 레거시 엔드포인트가 발견되었습니다.

취약성 식별

CRM의 사용자 인터페이스를 통해 액세스할 수는 없지만 엔드포인트에는 지원을 요청하는 기능적 양식이 포함되어 있습니다. AppSec 팀은 블라인드 교차 사이트 스크립팅(XSS) 페이로드를 양식에 삽입하여 공격 후 코드가 포함된 외부 JavaScript 파일을 로드했습니다. 성공하면 이 방법을 통해 공격자는 대상 사용자의 브라우저 탭을 일시적으로 가로채 공격자가 사용자를 대신하여 작업을 수행할 수 있습니다. 잠시 후 팀은 내부 고객 지원 관리 패널을 탐색하는 사용자의 컨텍스트 내에서 페이로드가 성공적으로 실행되었다는 알림을 받았습니다.

AppSec 팀은 유출된 문서 객체 모델(DOM)을 분석하여 페이로드의 실행 컨텍스트를 더 잘 이해하고 이 내부 애플리케이션 내에서 액세스할 수 있는 데이터를 평가했습니다. 분석 결과 2004년에 처음 출시된 프레임워크인 Apache Tapestry 프레임워크 버전 3에 대한 참조가 밝혀졌습니다. Mandiant는 내부 애플리케이션의 프레임워크를 식별한 직후 로컬 Tapestry v3 인스턴스를 배포하여 잠재적인 보안 함정을 식별했습니다. 코드 검토를 통해 Mandiant는 코어 프레임워크에서 원격 코드 실행(RCE)으로 이어지는 제로데이 역직렬화 취약점을 발견했습니다. Apache Software Foundation은 이 RCE에 CVE-2022-46366을 할당했습니다.

익스플로잇

내부 고객 지원 애플리케이션에 영향을 미치는 제로데이는 추가 블라인드 XSS 페이로드를 제출하여 악용되었습니다. 양식 제출 시 트리거되도록 제작된 이 페이로드는 직원의 브라우저에서 자율적으로 실행되어 내부 애플리케이션의 역직렬화 결함을 악용했습니다. 이로 인해 클라이언트의 인프라 내에서 중요한 발판이 마련되어 레드 팀이 모든 목표를 성공적으로 달성할 때까지 측면 이동을 진행할 수 있었습니다.

주요 시사점

이 실제 시나리오는 교차 사이트 스크립팅이 레드 팀 평가에서 관련성이 거의 없다는 일반적인 오해를 강조합니다. 이 사례 연구에서 이 특정 공격 벡터의 중요성과 영향은 분명했습니다. 외부 네트워크를 침해하고 직원의 내부 네트워크 위치를 프록시로 활용하여 내부 애플리케이션을 악용하는 게이트웨이 역할을 했습니다. Mandiant는 이전에 외부 경계에서 XSS 취약성을 식별하지 못했는데, 이는 외부 경계의 보안 상태가 내부 네트워크의 보안 상태보다 훨씬 더 강력할 수 있음을 더욱 강조합니다.

로거 위험: 로그 파일에서 무단 클라우드 액세스까지

컨텍스트

운송 부문의 한 조직이 Mandiant와 계약을 맺고 외부에 노출된 시스템과 서비스를 침해하는 데 중점을 둔 초기 액세스 브로커(IAB) 위협 그룹을 에뮬레이션하는 것을 목표로 레드 팀 평가를 수행했습니다. 일반적으로 손상된 피해자 환경에 대한 불법 액세스를 재판매하는 이러한 그룹은 이전에 평가 활동을 지원하기 위해 위협 프로필을 구축하는 동안 Google 위협 인텔리전스(GTI) 팀에 의해 조직에 대한 심각한 위협으로 식별되었습니다.

관심 대상

정찰 단계에서 식별된 수백 개의 외부 애플리케이션 중 하나가 눈에 띄었습니다. 클라우드에서 호스팅되는 상용 Java 기반 공급망 관리 솔루션입니다. 이 애플리케이션은 설치 절차를 설명하는 온라인 포럼 게시물이 발견되면서 추가로 주목을 받았습니다. 게시물 내에서 자세한 설치 및 관리 지침을 제공하는 목록에 없는 YouTube 동영상에 대한 링크가 공유되었습니다. 동영상을 검토한 결과 AppSec 팀은 다른 곳에서 참조되거나 색인화되지 않았음에도 불구하고 온라인에서 여전히 액세스할 수 있는 애플리케이션의 평가판 설치 프로그램 URL을 확인했습니다.

설치 및 로컬 배포 후 설치 폴더 내에서 관리 매뉴얼을 사용할 수 있었습니다. 이 매뉴얼에는 기본 자격 증명과 함께 애플리케이션과 함께 기본적으로 배포된 웹 기반 성능 모니터 플러그인에 대한 섹션이 포함되어 있습니다. 플러그인의 기능에는 처리되지 않은 오류가 발생할 경우 성능 메트릭과 스택 추적을 로컬 파일로 기록하는 것이 포함됩니다. 또한 플러그인의 엔드포인트 이름은 고유하게 구별되어 기존 디렉토리 무차별 대입 방법으로는 발견될 가능성이 매우 낮습니다.

취약성 식별

AppSec 팀은 관리 매뉴얼에서 제공하는 기본 자격 증명을 사용하여 조직의 성능 모니터 플러그인에 성공적으로 로그인하고 인증 후 취약성을 식별하기 위해 로컬 테스트를 재개했습니다. 수동 테스트와 병행하여 코드 검토를 수행하여 인증된 사용자가 로그 파일 이름과 디렉토리를 조작할 수 있는 로그 관리 기능이 식별되었습니다. 또한 팀은 표적화된 잘못된 HTTP 요청을 통해 오류를 유발할 수 있음을 관찰했습니다. 로그 파일 이름 조작과 함께 기본 서버의 파일 시스템에 있는 임의의 파일 위치에 임의의 데이터가 저장되도록 강제할 수 있었습니다.

악용

이 전략에는 의도적으로 예외를 트리거하는 것이 포함되었으며, 그러면 성능 모니터가 웹 애플리케이션의 루트 디렉토리 내에 공격자가 정의한 Jakarta Server Pages(JSP) 파일에 기록합니다. AppSec 팀은 임의의 JSP 코드를 HTTP 요청의 매개변수에 삽입하여 성능 모니터가 공격자가 제어하는 JSP 파일에 오류를 기록하도록 하는 악용을 만들었습니다. JSP 로그 파일에 액세스하면 삽입된 코드가 실행되어 Mandiant가 고객의 클라우드 환경을 침해하고 수천 개의 중요한 물류 문서에 액세스할 수 있습니다.

주요 시사점

침해가 내부 온프레미스 네트워크 액세스 또는 Active Directory 손상으로 이어져야 한다는 일반적인 가정은 이 사례 연구에서 이의를 제기했습니다. 측면 이동은 시간에 의해 제약을 받았지만 주요 목표는 달성되었습니다. 초기 액세스 브로커를 에뮬레이션하는 것입니다. 여기에는 클라이언트가 내부 Active Directory 네트워크에 비해 가시성이 부족한 클라우드 환경을 침해하고 비즈니스에 중요한 핵심 자산에 액세스하는 것이 포함됩니다.

협업 침입: CI/CD 파이프라인 액세스에 대한 웹훅

컨텍스트

자동차 부문의 한 회사가 Mandiant와 계약을 맺고 지속적 통합 및 지속적 제공/배포(CI/CD) 파이프라인에 대한 액세스 권한을 얻는 것을 목표로 레드 팀 평가를 수행했습니다. 외부에 노출된 시스템의 수가 워낙 많았기 때문에 AppSec 팀은 레드 팀의 정찰 및 침해 노력을 지원하기 위해 배치되었습니다.

관심 대상

대부분의 흥미로운 애플리케이션은 고객의 단일 로그온(SSO) 공급자로 리디렉션되었습니다. 그러나 한 애플리케이션의 동작이 달랐습니다. Wayback Machine을 쿼리하여 팀은 SSO로 리디렉션되지 않는 엔드포인트를 발견했습니다. 대신 고유한 파비콘이 있는 빈 페이지가 표시되었습니다. 애플리케이션의 기본 기술을 식별하기 위해 파비콘의 해시를 계산하고 Shodan을 사용하여 쿼리했습니다. 결과적으로 동일한 파비콘을 공유하는 다른 많은 라이브 애플리케이션이 반환되었습니다. 흥미롭게도 이러한 애플리케이션 중 일부는 SSO와 독립적으로 작동하여 팀이 애플리케이션의 이름과 공급업체를 식별하는 데 도움이 되었습니다.

취약성 식별

애플리케이션의 이름이 식별되면 팀은 공급업체 웹사이트를 방문하여 공개 API 문서에 액세스했습니다. API 엔드포인트 중 하나가 눈에 띄었습니다. SSO로 리디렉션하지 않고 고객의 애플리케이션에서 직접 액세스할 수 있습니다. 이 API 엔드포인트에는 인증이 필요하지 않았으며 매개변수 값으로 증분 숫자 ID만 사용했습니다. 쿼리 시 응답에는 이메일 주소 및 전화번호를 포함한 중요한 직원 정보가 포함되어 있습니다. 팀은 API 엔드포인트를 통해 체계적으로 반복하여 ID 매개변수를 증가시켜 직원 이메일 주소와 전화번호의 포괄적인 목록을 컴파일했습니다. 그러나 레드 팀은 또 다른 흥미로운 애플리케이션이 발견됨에 따라 이 데이터를 활용하지 않았습니다. 이 애플리케이션은 회사의 no-reply@ 이메일 주소에서 완전히 사용자가 제어하는 이메일을 보내도록 조작할 수 있는 기능을 노출했습니다.

이러한 취약성을 활용하여 레드 팀은 피싱 캠페인을 시작하여 AppSec 팀이 외부 침해 벡터를 식별하기도 전에 고객의 네트워크에서 성공적으로 발판을 마련했습니다. 내부 공격 후 노력이 계속됨에 따라 애플리케이션 보안 컨설턴트는 내부 네트워크 내에서 레드 팀의 노력을 지원하는 데 집중했습니다.

익스플로잇

네트워크 공유를 조사한 결과 레드 팀은 엔터프라이즈 소스 제어 애플리케이션 계정에 대한 개발자의 자격 증명을 찾았습니다. AppSec 팀은 정찰 데이터를 샅샅이 뒤져 동일한 소스 제어 애플리케이션 서버가 외부에 노출되었음을 표시했습니다. 이 사용자에게는 다단계 인증이 없었기 때문에 자격 증명을 사용하여 성공적으로 로그인했습니다. GitHub 인터페이스 내에서 팀은 회사의 내부 Jenkins에 연결된 사전 정의된 웹훅을 발견했습니다. 이는 일반적으로 소스 제어 시스템과 CI/CD 파이프라인 간의 통신을 용이하게 하기 위해 사용되는 통합입니다. 이 발견을 활용하여 팀은 새로운 웹훅을 만들었습니다. 팀에서 수동으로 트리거하면 이 웹훅은 내부 URL에 대한 SSRF를 수행합니다. 이로 인해 결국 인증되지 않은 Jenkins 샌드박스 우회 취약점(CVE-2019-1003030)이 악용되었고 궁극적으로 원격 코드 실행으로 이어져 조직의 CI/CD 파이프라인이 효과적으로 손상되었습니다.

주요 시사점

이 사례 연구에서는 레드 팀과 AppSec 팀 간의 협업 효과가 입증되었습니다. 팀은 공동으로 수집한 통찰력을 활용하여 고객이 설정한 주요 목표인 CI/CD 파이프라인 액세스를 달성하기 위한 전략적 계획을 고안했습니다. 또한 목표를 달성하는 데 단일 중요 취약점이 필수적이라는 오해에 도전했습니다. 대신 목표를 달성하려면 종종 혁신적인 우회가 필요하다는 현실을 밝혔습니다. 실제로 AppSec 팀이나 레드 팀에서 발견한 취약성이나 잘못된 구성의 조합을 전략적으로 연결하여 임무를 완수할 수 있습니다.

Conclusion

이 블로그 게시물에서 설명했듯이 애플리케이션 보안 전문 지식을 레드 팀 평가에 통합하면 보안 상태를 이해하고 강화하려는 조직에 상당한 이점이 있습니다. 기존 접근 방식에서 일반적으로 간과되는 취약성을 포함하여 전체 공격 표면에서 취약성을 사전에 식별하고 해결함으로써 기업은 침해 위험을 최소화하고 중요한 자산을 보호하며 성공적인 공격과 관련된 재정적 및 평판 손상을 방지할 수 있습니다.

이러한 통합 접근 방식은 레드 팀 계약에만 국한되지 않습니다. 다양한 성숙도 수준을 가진 조직은 집중적인 외부 경계 평가의 맥락에서 애플리케이션 보안 전문 지식을 활용할 수도 있습니다. 이러한 평가는 레드 팀 연습 없이도 인터넷 연결 애플리케이션 및 시스템의 보안에 대한 통찰력을 얻을 수 있는 가치 있고 비용 효율적인 방법을 제공합니다.

종합적인 레드 팀 계약이든 표적화된 외부 평가이든 애플리케이션 보안 전문 지식을 통합하면 조직은 최신 공격자의 전술과 기술을 더 잘 시뮬레이션할 수 있습니다.