ITPE * JackerLab

개요IriusRisk는 위협 모델링(Threat Modeling)을 코드와 프로세스로 자동화하는 데 초점을 둔 보안 설계 플랫폼이다. 시스템 아키텍처 또는 데이터 흐름을 정의하면, 해당 구성에 기반한 위협, 취약점, 보안 요구사항을 자동으로 도출하고 대응책을 제시한다. DevSecOps 및 Agile 개발 환경에서 '보안 설계의 자동화'와 '협업 중심 보안관리'를 동시에 가능케 하는 도구로 주목받고 있다.1. 개념 및 정의IriusRisk는 보안 전문가가 아니어도 개발자 또는 아키텍트가 시스템 설계도를 입력하면 자동으로 위협 시나리오와 대응 전략을 생성하는 SaaS 기반 위협 모델링 툴이다. OWASP Top 10, STRIDE, ISO 27001, NIST 800-53 등의 보안 표준 라이브러리를 활용..

개요PASTA(Process for Attack Simulation and Threat Analysis)는 공격 중심(attack-centric) 위협 모델링 방법론으로, 애플리케이션의 기술 구조와 비즈니스 영향, 실제 공격 시나리오까지 통합 분석하여 실효성 높은 보안 대응 전략을 도출하는 7단계 프레임워크이다. DevSecOps 환경에서 보안 요구사항 정의, 위협 우선순위 도출, 보안 아키텍처 수립에 최적화되어 있다.1. 개념 및 정의PASTA는 비즈니스 위험과 기술 위협을 연결해 보안 설계를 가능케 하는 위협 모델링 접근법이다. 프로세스 중심의 구조화된 7단계 절차로 구성되며, 공격 시뮬레이션을 통해 실질적 리스크 기반 보안 요구사항을 도출한다. 단계 이름 설명 1단계Definition of th..

개요Seven Touch Points는 Gary McGraw 박사가 제안한 실천 기반의 소프트웨어 보안 개발방법론으로, 실제 개발 프로세스 속에 보안 활동을 자연스럽게 통합하기 위한 7가지 핵심 접점을 제시한다. 이는 전통적인 개발 생명주기(SDLC)나 DevSecOps와도 연계 가능하며, 조직이 개발 과정 중 언제, 어떤 방식으로 보안을 고려해야 하는지를 명확히 안내한다. 특히 보안 리스크를 선제적으로 줄이고, 코딩 단계부터 운영 단계까지 보안 수준을 높이기 위한 실무적 접근법이다.1. 개념 및 정의Seven Touch Points는 보안이 개발자의 업무 흐름 속에 통합되어야 한다는 관점에서, 각 개발 단계에 삽입 가능한 7가지 보안 활동을 정의한다. 이는 보안을 외부 감사 항목이 아닌 개발 품질의 핵..