보안 위험 평가

보호 하려는 대상이 무엇인가? 예 ? 테이터, 민감 데이터, 자산

무엇으로부터 보호해야하는 가? 공격 주체, 위협

서비스 또는 시스템에 약점이 존재하나? 취약성 식별 및 정리

적절한 보호를 위해 어느 정도의 시간,노력,비용을 지출할 것인가? 위험에 대한 수치화

 

보호하려는 대상과 무엇으로 부터 보호하는 지를 정리하며면

어떤 데이터를 누가 access하지는 지를 기록해야함, api access log, http 로그 등

 

시스템 접근 위협

인증되지 않는 엑세스	인증되지 않는 사용자, unauthenticated user
무단 엑세스	권한이 없는 사용자, unauthorized user
암호 정책	낮은 복잡도의 암호 공격
무단 SSH 엑세스	롤, 권한 받기
패치 부족	취약성 공격