커넥티드카 해킹 (커넥티드카 침투 테스트 방법론)

커넥티드카 해킹 (커넥티드카 침투 테스트 방법론)

$35.27
Ask a Question
Vendor: 에이콘출판 - 알리샤 나이트
Type: 보안/해킹
SKU: 9791161756639
Categories: ALL BOOKS 컴퓨터/인터넷 컴퓨터/인터넷_OS/Networking
Tags: 커넥티드카해킹커넥티드카침투테스트방법론 컴퓨터/IT_보안/해킹
Description
자동차 사이버 보안 분야에서 저자가 겪은 다양한 경험을 기반으로 자동차에 대한 위험 평가 및 침투 테스트 방법론에 관해 다룬다. 전통적인 IT 기반 사이버 보안 분야에서 자동차 해킹 분야로 업무 경험을 확장하거나 자동차 시스템 및 시스템 보안 설계와 관련된 업무를 하거나 준비하는 이들에게 도움이 될 것이다.
저자

알리샤나이트

AlissaKnight
사이버보안분야에서20년이상일했다.지난10년동안미국,중동,유럽및아시아의고객을위해커넥티드카,임베디드시스템및IoT장치해킹을위한취약성연구에집중해왔다.더욱안전한커넥티드카를구축하기위해세계최대의자동차제조사및OEM과지속적으로협력하고있다.Brier&Thorn의그룹CEO이자KnightInk의관리파트너로,사이버보안분야의신규브랜드및시장리더를위해문서와시각적콘텐츠의생성을해킹을융합한다.연쇄기업가로서국제시장에서상장된기업들에인수합병거래로매각한회사인AppliedWatch와Netstream의CEO였다.
전문적으로전세계의뛰어난리더들과만나고배우며글로벌시장을재편하는파괴적인힘에관한견해를공유하는데열정을갖고있다.먼목표는가능한한많은조직들이전략적계획을개발하고실행하는것이다.또한증가한그들의위험영역에집중하도록돕고조직간경계를넘어효과적으로위험관리를할수있도록사일로를연결하고장기적인가치창출을위한수단으로지능적위험을추구하도록하는것이다.

목차

1장.사전협의
__침투테스트수행표준
__범위정의
____아키텍처
____전체공개
____배포주기
____IP주소
____소스코드
____무선네트워크
____시작및종료날짜
____하드웨어고유일련번호
__업무규정
____타임라인
____테스트위치
__작업분할구조도
__문서수집및검토
____문서사례
__프로젝트관리
____콘셉트와착수
____정의및계획
____착수또는실행
____성능/모니터링
____프로젝트종료
__랩구성
____필요한하드웨어및소프트웨어
____노트북설정
____RogueBTS옵션1:OsmocomBB
____RogueBTS옵션2:BladeRF+YateBTS
____WiFiPineappleTetra설정하기
__요약

2장.정보수집
__자산목록
__정찰
____수동형정찰
____능동형정찰
__요약

3장.위협모델링
__STRIDE모델
STRIDE를사용한위협모델링
__VAST
__PASTA
____1단계:비즈니스및보안목표정의
____2단계:기술범위정의
____3단계:애플리케이션세분화
____4단계:위협요소식별
____5단계:취약점식별
____6단계:익스플로잇목록화
____7단계:위험및영향분석수행
__요약

4장.취약점분석
__수동및능동적인분석
____WiFi
____Bluetooth
__요약

5장.익스플로잇
__가짜BTS만들기
____PC내네트워크구성
____가짜BTS를온라인상태로만들기
__TCU공격
____TCU의MSISDN을알고있는경우
____TCU의IMSI를알고있는경우
____TCU의IMSI또는MSISDN을모를때
__암호분석
____암호화키
____위장공격
__요약

6장.포스트익스플로잇
__지속적인액세스
____리버스쉘생성
____리눅스시스템
____시스템내백도어설치
__네트워크스니핑
__인프라분석
____네트워크인터페이스검사
____ARP캐시검사
____DNS검사
____라우팅테이블검사
____서비스식별
____퍼징
__파일시스템분석
____커맨드-라인기록
____코어덤프파일
____디버그로그파일
____인증정보및인증서
__무선업데이트
__요약

7장.위험관리
__프레임워크
__리스크관리프로그램수립
____SAEJ3061
____ISO/SAEAWI21434
____HEAVENS
__위협모델링
____STRIDE
____PASTA
____TRIKE
__요약

8장.위험평가프레임워크
__HEAVENS
____위협수준결정
____영향도결정
____보안수준결정
__EVITA
____공격가능성계산
__요약

9장.차량내PKI
__VANET
____온보드장치
____도로변장치
____VANET의PKI
____VANET의애플리케이션
____VANET공격벡터
__802.11p증가
____주파수및채널
__암호화
____공개키인프라
____V2XPKI
____IEEE미국표준
__인증서보안
____하드웨어보안모듈(HSM)
____신뢰할수있는플랫폼모듈(TPM)
____인증서고정(CertificatePinning)
__PKI구현실패
__요약


10장.결과보고
__침투테스트보고서
____요약페이지
____핵심요약
____범위
____방법론
____제한사항
____설명
____사용된도구
____위험등급
____발견사항
____개선사항
____보고서개요
__위험평가보고서
____소개
____참고문헌
____기능설명
____헤드유닛
____시스템인터페이스
____위협모델
____위협분석
____영향평가
____위험평가
____보안통제평가
__위험평가표의예
__요약

출판사 서평

◈이책에서다루는내용◈

◆전자및텔레매틱스제어장치(ECU및TCUs)
◆중간자(Man-in-the-middle)공격
◆기밀성,무결성및가용성에영향을미치는공격
◆위험평가,위협모델링및위험처리프레임워크
◆침투테스트상TCU및헤드유닛킬체인(killchain)
◆바이너리리버스엔지니어링및정적코드분석
◆키교환과그외암호분석적공격
◆온보드(On-board)진단평가
◆일반적인ECU/TCU/HU운영체제플랫폼에영향을미치는취약점

◈이책의대상독자◈

차량메카트로닉스분야에서커넥티드카의사이버보안을위해요구되는지식과도구를구축하길원하는사이버보안분야의전문가,침투테스트와차량ECU의위험평가수행을위한참조가이드가필요한차량메카트로닉스전문가를위해쓰였다.전통적인네트워크침투테스트경험이없는사람에게는적합하지않지만,표면적인수준에서침투테스트방법론을다룬다.침투테스트경험이없다면차량메카트로닉스와차량네트워킹을추가적으로학습하면서보완하는것이좋다.

◈이책의구성◈

1장,‘사전협의’에서는일반적으로프로젝트를시작하기앞서업무를준비하고자이해관계자와기타프로젝트관리단계를정의하고업무규정과작업범위가명확히정의됐음을확인하는사전협의행위를다룬다.
2장,‘정보수집’에서는엔지니어링문서수집단계,이해관계자와의회의,접근권한이있어야하는테스트벤치의시스템에대한모든자료및접근권한이있는지확인한다.
3장,‘위협모델링’에서는다양한위협모델링프레임워크와침투테스트프로세스의일부로위협모델링을수행하는방법을다룬다.
4장,‘취약점분석’에서는능동및수동취약성분석을살펴보고테스트대상의개별부품및소프트웨어에적용할수있는CVE문서및공급업체권고사항을검토한다.
5장,‘익스플로잇’에서는이전단계에서악용될수있는취약성의익스플로잇단계를다룬다.
6장,‘포스트익스플로잇’에서는표적에대한진입발판이확보된후피봇팅(pivoting)과이용할수있는포스트익스플로잇단계에대해설명한다.
7장,‘위험관리’에서는위험관리프로세스,위험평가를수행할때다룰다양한프레임워크,위험처리에포함할여러단계,위험평가수행시위협모델링에대한표면적검토를설명한다.
8장,‘위험평가프레임워크’에서는존재하는다양한위험평가방법론을다룬다.따라서특정업무에가장적합한프레임워크와사용에가장적합한방법론을결정할수있다.
9장,‘자동차의PKI’에서는이전침투테스트에서발견된다양한암호화분석공격옵션및기타취약점을설명한다.
10장,‘결과보고’에서는업무의가장중요한단계를다룬다.보고서의여러내용을자세히설명하고테스트결과를가장잘표현하는방법을설명한다.