WareValley

Database Vulnerability Assessment Software
데이터베이스 취약점 분석 솔루션

DB VULNERABILITY ASSESSMENT

데이터 보안 진단 솔루션 싸이클론
싸이클론은 데이터베이스에 내재된 취약점들과 운영에 있어서 고려되어야 할 항목들을 다각도에서
구체적으로 점검 함으로써 보안관리자 및 DBA에게 시스템에 내재된 보안 취약점을 제거하고
보안 수준 향상을 도모합니다.
KEY ADVANTAGES
외부로부터의 침입을 가장한 Penetration Test를 통한 주요 취약점 검출
내부의 보안 감사 성격의 Security Auditing을 통한 데이터베이스 보안 강화 ┃ Fix Scripts 자동 생성을 통한 손쉬운 적용가능
다양한 데이터베이스 보안 취약점 점검 결과 리포트 제공 ┃ OS취약점 탐지기능 지원 ┃ 개인정보탐색기능 지원
Database Server
Oracle: 7.3, 8.0, 8i, 9i, 10g, 11g, 12c ┃ Microsoft SQL Server : 6.5, 7, 2005 이상(2008, 2012)
IBM DB2 for Linux, Unix, and Windows: 5.x, 6.x, 7.x, 8.x 이상 ┃ IBM DB2 for Z/OS and OS/390: 6.x, 7.x, 8.x 이상
Sybase Adaptive Server Enterprise: 10.x, 11.x, 12.x 이상 ┃ Mysql for Linux, Unix and Windows 3.2x, 4x, 5x 이상
Tibero 5.x 이상(Data Scan Edition only) ┃ Altibase 6.x 이상(data Scan Edition only)
시스템 요구사항
운영체제
Windows NT ┃ Windows 2000 all version ┃ Windows XP all version ┃ Windows 2003 all version
Windows Vista ┃ Window 7 ┃ Window 8 ┃ Window 10

프로세서 : I5, 2.20GHz 이상
메모리 : 4GB RAM
권장 디스크 용량 : 10GB
네트워크 : 100Mbps

개요

데이터베이스의 잠재적인 취약점을 점검하여, 정보보호를 지원합니다.
Cyclone은 데이터베이스에 내재된 취약점들과 데이터베이스 운영에 있어서 고려되어야 할 항목들을 다각도에서 구체적으로 점검함으로써 보안 관리자 및
DBA에게 시스템에 내재된 Security Hole을 제거하고, 나아가 전체적인 보안 수준을 향상시킬 수 있는 최상의 대안을 제시합니다.
Cyclone은 데이터베이스 취약점 점검 솔루션으로서 점검대상 네트워크 범위에 존재하는 정보자산을 파악하는 『Information Gathering』과 데이터베이스 보안을
검증할 수 있는『Penetration Test(모의 해킹)』 및 『Security Auditing(내부 보안 감사)』과정을 통하여 다양한 데이터베이스 취약점들의 이해를 돕고,
데이터베이스의 전체 보안 수준의 향상을 도모합니다.
Cyclone은 정보 자산의 파악과 보안성의 검토, 검출된 취약점 제거를 위한 『Fix Scripts』및 개선안 제시 및 Reporting 등을 주요 기능으로 합니다.

기능

Information Gathering (데이터베이스 자동탐지)
Information Gathering은 Cyclone에 의한 점검대상 Network Range의 정보자산 정보의 수집을 위한 수행과정이며, Information Gathering은
해당 데이터베이스의 버전 정보, 환경설정 옵션 및 주요 파일경로 등을 수집합니다.
Penetration Test (모의 해킹)
Penetration Testing는 외부 공격자에 의한 데이터베이스의 침해를 가상한 점검으로 외부로부터의 위협에 대한 취약점을 검출합니다.
TNS Attack
TNS Listener는 오라클 커뮤니케이션의 허브 역할을 담당하는 컴포넌트입니다. 곧, TNS Listener가정상 동작하지 않으면 오라클 서비스를 정상적으로
이용할 수 없습니다. 그리고 Oracle 10g 이전의TNS Listener는 원격에서 패스워드 없이 관리가 가능했습니다. 그로 인해 공격자는 원격에서 Listener에
접근하여 오라클의 버전을 알아낼 수 있었으며, 또한 리스너에 쉘코드를 삽입하여 특정 쉘코드가 동작하도록 조작이 가능하였습니다.
Cyclone은 이런 종류의 공격을 막기 위해 Listener를 검사하여 보다 Secure한 리스너로 설정할 수 있도록 가이드 합니다.
Password Attack
관리대상 데이터베이스에 접근하기 위해 필요한 Password에 대하여 Cyclone은 무작위(Brute Force) 대입 공격 및 사전파일 참조 공격, Well-Known한
패스워드를 이용한 공격을 시도하여 보안상 안전하지 못한 Password가 사용되고 있는지 여부를 확인합니다. Penetration Test에서는 Well-Known한
ID 리스트를 대상으로 위와 같은 가상 공격을 시도합니다.
Buffer Overflow
데이터베이스에는 설계상의 오류 및 데이터버퍼에 대한 사이즈 점검 체크 누락 등으로 인해 서비스가 오작동을 하거나 강제종료 되는 문제가 있을 수 있습니다. Cyclone은 위와 같은 문제가 생길 수 있는 데이터베이스의 모듈들에 대해 패치가이드를 제공하거나 실제 공격을 통하여 서비스가 오작동하거나
강제종료 되는지 여부를 검사합니다.
Denial of Services
DBMS는 방대한 서비스들의 집합체로 하나의 서비스가 정상 동작하지 않으면 다른 서비스들도 영향을 받기 쉽습니다. 이런 점을 이용하여 공격자는
외부에서 특정 서비스들에 대한 DoS 공격을 시도하고 이런 공격으로 DBMS가 서비스 불가 상태를 만든다거나, 강제 종료 시키려고 시도합니다.
Cyclone은 잘 알려진 취약점에 대해서는 가상으로 DoS공격을 시도해보거나 벤더사에 의해 배포된 패치 버전을 검사하여 사용자에게 패치 가이드를
제공합니다.
Configurations
DBMS는 설치되는 다양한 시스템 환경과 다양한 기능들에 필요한 환경 설정들로 인해 보안상 Hole이 발생할 수 있습니다.
Cyclone은 이런 보안상 Hole들에 대한 패치 버전을 사용자에게 가이드 합니다.
Vulnerabilities
보안상 위험한 결과를 초래하는 Programming Error를 포함할 수 있습니다. 이러한 Error에 대해 잘 알려진 취약점을 사용자에게 가이드하고 배포되고 있는
패치 버전에 대한 가이드를 제공합니다.
Security Auditing (내부 보안 감사)
Security Auditing은 알려진 취약점과 더불어 데이터베이스가 보안상 안전하게 설치되고 운영되는 가를 점검하는 방법으로 데이터베이스와 데이터베이스를
구성하는 파일 및 테이블스페이스 그리고 데이터베이스가 운영중인 OS를 대상으로 Backup, Configuration 그리고 Monitoring 측면을 고려한다.
Penetration Test와 마찬가지로 Brute-Forcing, Dictionary Attack 및 Password Cracking과 같은 일부 항목들은 점검 수행시간이 장시간 소요될 수 있음을
고려하여 점검을 수행해야 합니다.
Authentication
약한(Weakness) 인증 정책(쉬운 패스워드 사용, 설치 시 제공되는 사용하지 않는 계정)은 공격자에게 사용자 권한 및 관리자 권한을 획득하거나 우회할 수 있는
취약점을 제공하므로 강력한 인증을 위하여 Password 정책 및 Profile 설정이 보안상 안전하게 설정되었는지 확인 할 수 있도록 수정가능 스크립트 및
가이드를 제공합니다.
Access Control
DBMS의 권한 남용은 공격자에게 권한 상승 및 SQL Injection과 같은 공격 취약점을 제공합니다. 그리하여 Cyclone 은 DBMS의 권한 검사를 수행하여 사용자에게
계정 및 Role에 대한 권한이 어떻게 부여되어 있는지 확인시켜줍니다.
Application Integrity
데이터베이스의 무결성이 유지되는 지를 확인하는 항목으로 DBMS에서 사용되는 개체들에 대한 Buffer Overflow, Parameter Error가 일어날 수 있는 지
Cyclone은 점검하여 사용자에 취약점에 대한 패치 버전을 가이드해줍니다.
Audit Trail
데이터베이스를 관리하기 위해서는 데이터베이스 시스템에서 일어나는 모든 동작들과 각 데이터에 대한 모니터링이 필요합니다. 데이터베이스 작업을 선택하여
관찰하고, 데이터베이스 동작을 모니터하며, 데이터베이스 작업에 대한 자료를 기록하는 작업입니다. 이렇게 얻어진 모든 정보는 Audit Trail에 저장됩니다.
Cyclone은 이런 Audit Trail의 활성/비활성 여부를 확인합니다.
Networking
데이터베이스의 Communication 프로토콜 상의 취약점의 존재 여부에 대한 침해 가능성 및 보안상 안전하게 구성되었는지를 점검합니다.
OS Integrity
데이터베이스가 운영 중인 서버에 대해 비인가 자에 의하여 OS 무결성이 침해 당할 소지가 있는 지 확인합니다.
Patch Management
각 DBMS 벤더 별로 주기적으로 발표되는 보안패치에 대한 적용 및 관리가 적절한 지 확인하며, 항상 최신의 패치 상태를 유지하도록 가이드를 제시합니다.
Backup / Availability
데이터베이스 백업 데이터는 위협으로부터 보호되지 못한 경우가 많으며, 백업 데이터에 대한 백업 정책 설정과 가용성의 침해 가능성을 확인하여 백업 데이터의
노출을 예방합니다.
Vulnerability Reports (취약점 분석 리포트)
Cyclone은 점검대상 데이터베이스와 검출된 취약점들의 이해를 돕기 위한 다양한 취약점 리포트를 제공합니다.
Fix Scripts
Fix Scripts 생성은 Cyclone의 보안 감사 과정에 의해 검출된 취약점들을 제거하기 위한 과정입니다.
Reporting
Cyclone은 다양한 취약점 분석 보고서를 통해 Cyclone이 탐지한 대상 데이터베이스의 취약점 정보를 제공합니다. 기본적으로 검출 대상에 대한 배너, 취약점의
항목별 리스트로 구성됩니다. 리스트는 취약점의 이름과 개수, 위험도를 보여줍니다.
Network Scan
대상 네트워크 대역에 있는 모든 정보자산들 예를 들자면 WAS, Database, ftp 등을 포트 별로 무작위 검출하여 어디에 어떤 정보자산들이 있는지 한눈에 파악할
수 있게 해줍니다.
Pattern Scan
주민번호, 핸드폰번호, 카드번호와 같은 민감자료를 해당 패턴들을 이용하여 검출합니다.
Object Scan
Pattern Scan에 의해서 검출된 자료를 포함하고 있는 DB상의 특정 Object를 검출합니다.
Value Scan
DB상의 칼럼에서 특정한 값이 포함되어 있는지 검출 합니다.
File Scan
로컬이나 원격으로 OS의 파일시스템 안에 개인정보들을 탐색한다.
SQL 명령
Pattern Scan에서 나온 결과들을 확인하기 위해 SQL 명령을 이용하여 DB의 Table안의 데이터들을 볼 수 있습니다.
ERViewer
Target DB에 DB 구조를 도식화 하여 볼 수 있고 Pattern Scan에서 찾은 개인정보들을 ERDiagram에 표시를 해 줍니다.

데이터베이스 취약점에 대한 고민 Cyclone으로 해답을 찾으세요!

  • 보유하고 있는 DBMS자산을 쉽게 파악할 수 없을까?
    Cyclone의 ‘자산 정보수집 마법사’를 이용하여 대상 네트워크 상에 운영하고 있는 DBMS자산 정보관리에 필요한 유효한 정보들을 한번에 파악할 수 있도록 지원합니다.
  • 각 DBMS벤더 별 계속 발표되는 보안 취약점 대응, 권고..어떻게 정리할 수 있을까?
    Cyclone의 ‘보안 감사’를 이용하여 DBMS벤더 별로 주기적으로 발표되는 보안 Patch에 대한 적용 및 관리가 적절한지 확인하고, 최신의 Patch상태를 유지하도록
    Guide를 제시합니다. DBMS가 보안상 안전하게 운영되고 있는지 점검 할 수 있도록 지원합니다.
  • Hacker등의 불법 침입자의 공격에 얼마나 안전할까?
    Cyclone의 ‘모의 침투 테스트’를 이용하여 악의적인 해커에 의한 외부로부터의 공격에 대비하기 위한 점검을 지원합니다. 외부로부터의 침입을 가상하여 알려진 취약점을
    바탕으로 다양한 모의 공격을 수행하여 안전성을 점검 할 수 있습니다.
  • DBMS서버에 필요한 취약점 점검 및 해결 방안을 쉽게 정리할 수 없을까?
    각종 IT Compliance에 대한 대응은 어떻게 준비해야 할까?
    Cyclone의 ‘Report’는 모의 침투 테스트와 보안감사를 통한 취약점 결과를 명확히 정리 제공하며, 각종 IT Compliance요건에 대응할 수 있는 기반 데이터를 제공합니다.
  • 귀사의 DB관리자는 국내 정보 보호법 관련 사항을 모두 숙지하고 있습니까?
    Cyclone은 국내 정보 보호법 관련 사항을 얼마나 잘 준수하고 있는지 확인할 수 있는 국내 법령 준수 보고서를 제공하여 이를 쉽게 해결할 수 있습니다.