지원하다¶

1337skills.com에 오신 것을 환영합니다 리소스 섹션 - 우리의 명령 속임수 시트를 보완하는 최고의 외부 플랫폼, 도구 및 서비스에 대한 포괄적 인 가이드와 사이버 보안 및 개발 여정을 향상시킵니다.

교육 플랫폼 & 실천 환경¶

Hands-on 사이버 보안 학습¶

**TryHackMe**는 사이버 보안 교육에 가장 접근 가능한 항목 중 하나이며, 브라우저를 통해 직접 손으로 운동과 실험실을 제공하는 무료 온라인 플랫폼을 제공합니다. 이 플랫폼은 학습 경로, 대화형 교실 및 도전을 통해 초보자 친화적 인 콘텐츠를 제공합니다. TryHack 설정 Me apart는 학습에 대한 gamified 접근 방식이며, 경험이 풍부한 실무자에 대한 고급 콘텐츠를 제공하면서 초보자들에게 복잡한 보안 개념을 만드는 것입니다.

**Hack The Box**는 사이버 보안 성능 센터의 피나클을 나타내며 실제 시나리오와 업계 인증을 통해 gamified Hand-on upskilling을 제공합니다. 이 플랫폼은 실제 기업 네트워크를 미러링하는 도전적인 가상 머신과 현실적인 침투 테스트 환경에 유명합니다. 사이트맵 아카데미는 기본 개념부터 고급 악용 기술에 이르기까지, 실제 사이버 보안 기술을 개발하는 데 필수적인 리소스를 만드는 구조 학습 경로를 제공합니다.

**LetsDefend**는 가장 혁신적인 SOC 환경에서 실제 사이버 공격 조사를 통해 핸즈온 SOC 분석 경험 제공함으로써 블루 팀 교육의 중요한 격차를 채웁니다. 이 플랫폼은 사이버 보안 역할에 관심이있는 사람들에게 특히 귀중합니다. 보안 사고 응답, 위협 사냥 및 디지털 포렌식과 실제 SOC 작업에 직접 번역합니다.

특수 보안 교육¶

**CyberDefenders**는 SOC 분석가 및 DFIR 전문가를 위한 블루 팀 트레이닝에 특히 초점을 맞추고, CyberRange 실험실을 통해 핸즈온 사이버 보안 교육 및 인증을 제공합니다. 이 플랫폼은 사이버 위협에 대한 감지, 분석 및 응답 할 수있는 능력에 도전하는 현실적인 시나리오를 제공합니다. 방어적인 사이버 보안 기능을 개발하기위한 비유 가능한 리소스를 만듭니다.

**Immersive Labs**는 공격 보안, 방어적인 보안, 클라우드 보안 및 애플리케이션 보안을 커버하는 종합적인 실험실을 제공하는 사이버 보안 교육에 대한 시나리오 기반 접근 방식을 취합니다. 이 플랫폼은 기업 교육 프로그램에 특히 귀중하게 만들기 위해 진화 위협에 대한 방어하기 위해 실제 능력을 갖춘 직원을 갖춰서 조직이 사이버 탄력을 구축하도록 설계되었습니다.

OffSec (Offensive Security)는 PEN-200 과정을 통해 유명한 OSCP 인증을 제공하는 침투 테스트 교육에서 금 표준을 나타냅니다. "Try Harder" 철학에 대해 알고있는 OffSec은 자동화 된 도구에 의존하지 않고 정품 문제 해결 기술을 개발하는 학생들을 밀어주는 손에 학습 경험을 제공합니다. 그들의 Proving Grounds 가상 침투 테스트 실험실은 당신의 능력을 연마하기위한 추가 연습 기회를 제공합니다.

무료 및 커뮤니티 드라이버¶

**SEED Labs**는 사이버 보안교육을 위해 특별히 디자인된 손에 실험실 운동의 광범위한 컬렉션을 제공합니다. Syracuse University에 의해 개발 된이 실험실은 다양한 보안 주제를 커버하고 전 세계적으로 교육자와 학생들을 자유롭게 사용할 수 있습니다. 실험실은 실제 구현을 통해 기본적인 보안 개념을 이해하는 데 특히 유용합니다.

**PentesterLab**는 웹 애플리케이션 침투 테스트 및 보안 코드 검토 전문 교육을 제공합니다. 이 플랫폼은 실제 취약점에 중점을 둔 무료 및 유료 운동을 제공합니다. 개발자 및 보안 전문가가 공격과 방어적인 관점을 모두 이해하기 위해 훌륭한 리소스를 만듭니다.

️ 보안 프레임 워크 & 표준¶

오와SP 지원하다¶

**OWASP Foundation**는 커뮤니티 중심의 무료 컬렉션을 제공하여 안전한 소프트웨어를 구축하기 위해 최선을 다하고 있습니다. 기초의 프로젝트는 유명한 OWASP Top 10 취약점 목록에서 종합적인 테스트 가이드 및 보안 코딩 관행에 이르기까지 애플리케이션 보안의 전체 스펙트럼을 지원합니다.

**OWASP Cheat Sheet Series**는 특정 애플리케이션 보안 주제에 대한 concise, high-value 정보를 제공합니다. 이 속임수 시트는 인증 및 세션 관리에서 검증 및 암호화 관행에 이르기까지 모든 것을 다루는 개발자 및 보안 전문가를위한 빠른 참조 가이드 역할을합니다. 각 속임수 시트는 주제에 의해 유지되며 정기적으로 최신 모범 사례를 반영합니다.

**OWASP Web Security Testing Guide**는 웹 애플리케이션 개발자와 보안 전문가를 위한 최고의 사이버 보안 테스트 리소스로 서 있습니다. 이 포괄적 인 가이드는 웹 애플리케이션 보안을 테스트하는 방법론, 기술 및 도구를 제공합니다. 응용 프로그램 보안 테스트에 참여하는 사람을위한 필수 참조.

정부 및 산업 표준¶

**NIST Cybersecurity Framework 2.0**는 조직의 평가를 돕고 예방, 탐지 및 사이버 공격에 대응할 수 있는 능력을 향상시키기 위해 설계된 배운 가이드라인을 제공합니다. 프레임 워크의 6 코어 기능 - 식별, 보호, 탐지, 응답, 복구, 그리고 통치자 - 작은 기업에서 큰 기업에 규모 사이버 보안 위험 관리에 대한 포괄적 인 접근을 제공합니다.

SANS Institute 자원은 사이버 보안 교육, 학위 및 조직이 사이버 위험을 완화하는 연구합니다. SANS는 특히 사건 응답 기구를 위해 고명합니다, 보안 사고 취급에 구조화된 6단계 접근을 제공합니다: 준비, ID, Containment, Eradication, 회복 및 교훈 학습.

** ISO 27001/27002 ** 표준은 정보 보안 관리 시스템에 대한 국제 프레임 워크를 제공합니다. 이 표준은 조직이 정보 자산을 보호하고 정보 보안에 대한 헌신을 입증 할 수있는 포괄적 인 보안 제어 및 모범 사례를 제공합니다.

Cloud Security 프레임 워크¶

**Cloud Security Alliance (CSA)**는 CSA STAR 레지스트리와 같은 프레임워크를 통해 업계 최고의 클라우드 보안 모범 사례와 지도를 제공합니다. 이 리소스는 조직이 클라우드 환경에 적합한 보안 컨트롤을 이해하고 구현할 수 있도록, 클라우드 기반 인프라 및 응용 분야의 고유한 과제를 해결합니다.

FedRAMP (Federal Risk and Authorization Management Program)는 정부의 사용을 위해 클라우드 보안 표준을 수립합니다. FedRAMP의 엄격한 보안 요구 사항 및 평가 프로세스는 강력한 클라우드 보안 제어를 구현하려는 모든 조직에 대한 귀중한 지침을 제공합니다.

AI 보안 및 기계 학습 리소스¶

AI 보안 프레임 워크¶

**Google's Secure AI Framework (SAIF)**는 보안 전문가가 AI 보안의 진화 풍경을 탐색하도록 설계된 종합 리소스 허브를 나타냅니다. SAIF는 AI 보안 위험, 완화 전략 및 Google의 광범위한 경험을 반영하는 모범 사례를 제공합니다.

**NIST AI Risk Management Framework**는 인공 지능 시스템과 관련된 위험을 관리하는 구조화된 접근법을 제공합니다. 이 프레임 워크는 조직이 식별, 평가 및 사회의 이익을 얻는 신뢰할 수있는 AI 시스템의 개발을 촉진하면서 AI 관련 위험을 완화하는 데 도움이됩니다.

**OWASP AI Security and Privacy Guide**는 설계, 제작, 테스트 및 보안 및 개인 정보 보호 AI 시스템에 대한 명확하고 행동 가능한 통찰력을 제공합니다. 이 가이드는 AI 시스템에 의해 구성 된 독특한 보안 문제를 해결하고 수명주기 전반에 걸쳐 AI를 확보하기위한 실용적인 권고를 제공합니다.

사이트맵 보안 리소스¶

**OWASP Top 10 for large Language Model Applications**는 LLM 애플리케이션에서 가장 중요한 보안 취약점을 식별합니다. 이 자원은 LLM 기반 응용 프로그램과 협력하여 개발자 및 보안 전문가에 필수적이며 일반적인 취약점 및 완화 전략에 대한 지침을 제공합니다.

Lakera AI Security Guides AI 보안 위험과 건물 안전에 대한 무료 리소스를 제공합니다. 이 가이드는 빠르게 진화하는 AI 보안 풍경에서 신흥 위협을 앞두고 실제적인 조언을 제공합니다.

AI 레드 팀¶

Microsoft AI Red Team 리소스는 AI Red Teaming의 업계 최고의 지도와 모범 사례를 제공합니다. 이 리소스는 테스트 AI 시스템에서 Microsoft의 광범위한 경험을 쌓고 AI 관련 보안 위험을 식별하고 마이그레이션하기위한 실용적인 프레임 워크를 제공합니다.

**Cloud Security Alliance Agentic AI Red Teaming Guide**는 Red teaming Agentic AI 시스템을 위한 상세한 프레임워크를 제공합니다. 이 가이드는 AI 시스템 보안의 여러 차원에서 중요한 취약점을 테스트하는 방법론을 제공합니다.

규정 준수 지원하다¶

주요 규정 준수 Framework¶

**SOC 2 Framework**는 보안, 가용성, 처리 무결성, 기밀성 및 프라이버시에 중점을 둔 서비스 조직 관리 기준을 제공합니다. 이 프레임 워크는 SaaS 공급자 및 클라우드 서비스 조직에 필수적이며 고객 데이터를 보호하기위한 헌신을 입증해야합니다.

PCI DSS (Payment Card Industry Data Security Standard)는 카드 홀더 데이터를 처리하는 조직에 대한 요구 사항을 설정합니다. PCI DSS와 준수는 프로세스, 상점, 또는 지불 카드 정보를 전달하는 모든 조직에 대한 필수이며 전자 상거래 및 금융 서비스 조직의 중요한 프레임 워크를 만듭니다.

HIPAA (Health Insurance Portability and Accountability Act)는 민감한 환자 건강 정보를 보호하기 위해 표준을 설정합니다. 헬스케어 조직 및 비즈니스 동료들은 HIPAA 요구 사항을 준수해야 하며 보호된 건강 정보의 개인 정보 보호 및 보안을 보장합니다.

Compliance 교육 플랫폼¶

**Docebo**는 참여를 구동하는 올인원 컴플라이언스 트레이닝 플랫폼을 제공하며, 교육 비용을 절감하고 위험을 완화하는 데 도움을 줍니다. 플랫폼은 조직이 다양한 규제 요구 사항을 준수하는 데 도움이되는 포괄적 인 추적 및보고 기능을 제공합니다.

**360Learning**는 참여 및 지식 보유에 중점을 둔 협업 준수 교육 솔루션을 제공합니다. 플랫폼의 소셜 학습 접근법은 조직이 규정 준수의 문화를 구축하는 데 도움이되는 교육 요구 사항은 효과적으로 충족됩니다.

**NAVEX One**는 직원 이해를 돕는 윤리 및 규정 준수 교육을 제공하며, 일년 교육 인증을 완료하는 것보다 오히려 행동에 대한 지식을 적용합니다. 플랫폼의 행동 중심 접근 방식을 통해 조직은 진정한 준수 문화를 구축 할 수 있습니다.

전문 서비스 & 컨설턴트¶

보안 컨설팅 기업¶

**Black Hills Information Security (BHIS)**는 침투 테스트, 적색 팀화, 위협 사냥 및 Active SOC 서비스를 전문으로 하는 사이버 보안 컨설팅 회사입니다. BHIS Apart는 교육 및 커뮤니티 건물에 대한 헌신이며 무료 리소스, 교육 웹 세미나 및 52,000 회원이 넘는 활성 Discord 커뮤니티를 유지하고 있습니다. 그들의 "30 당신이 시작해야 할 것들"가이드는 정보 보안에 초보자를위한 코너스톤 리소스가되었습니다.

**TrustedSec**는 End-to-end Cybersecurity Consulting Service를 제공합니다. Dave Kennedy에 의해 설립 된 Binary Defense, TrustedSec은 Social Engineering Toolkit (SET)을 개발하고 고품질의 보안 평가 및 컨설팅 서비스에 대한 명성을 유지하고 있습니다.

**Rapid7**는 잘 알려진 취약성 관리 및 보안 관현 플랫폼과 함께 종합적인 침투 테스트 서비스를 제공합니다. 그들의 서비스는 조직을 식별하고 중급 취약성을 돕는 철저한 보안 평가를 제공하는 전문가 매뉴얼 테스트와 자동화 된 스캔 기능을 결합합니다.

특수 침투 테스트 기업¶

**CrowdStrike**는 AI 환경에 대한 실제 공격을 시뮬레이션하는 AI-enhanced Red 팀 서비스를 제공합니다. 그들의 침투 테스트 서비스는 특정 사용 사례와 AI 구현에 맞게 조정되며, 특히 AI 시스템을 배포하는 조직에 대한 가치.

**Secureworks**는 위협 행위자가되기 전에 조직의 간격과 약점을 식별하는 데 도움을 주는 광범위한 침투 테스트 서비스를 제공합니다. 그들의 서비스는 광대한 위협 인텔리전스 및 연구 기능에 의해 역행됩니다.

**GuidePoint Security**는 공격자로부터 안전하게 비즈니스를 유지하는 고급 맞춤형 침투 테스트 서비스를 제공합니다. 그들의 접근법은 조직적 목표를 맞추는 행동 가능한 권고를 제공하기 위해 보안 테스트의 비즈니스 컨텍스트를 이해하는 데 중점을 둡니다.

기업 및 큰 4 컨설팅¶

주요 컨설팅 회사 - Deloitte, PwC, KPMG 및 EY - 모든 포괄적 인 보안 컨설팅 서비스를 통해 엔터프라이즈 고객을 제공하는 실질적인 사이버 보안 관행을 유지합니다. 이 회사는 전략적 보안 컨설팅, 규제 준수, 위험 관리 및 대규모 보안 변화 프로젝트에서 탁월합니다.

**IBM Security**는 광범위한 연구 기능과 글로벌 위협 인텔리전스를 활용한 엔터프라이즈급 사이버 보안 컨설팅 서비스를 제공합니다. 그들의 서비스는 전략 개발에서 구현 및 지속적인 관리에 이르기까지 사이버 보안 수명주기 전체에 걸쳐.

커뮤니티 지원하다¶

포괄적인 보안 컬렉션¶

**Awesome Security**는 보안 소프트웨어, 라이브러리, 문서, 책 및 리소스의 가장 종합 컬렉션 중 하나입니다. 이 지역 사회 평가 목록은 거의 모든 사이버 보안의 측면을 다룹니다. 침투 테스트 도구에서 암호화 라이브러리에 이르기까지 보안 전문가를위한 비유 가능한 시작점을 만듭니다.

**Awesome Cyber Security**는 위협 데이터베이스, 보안 경고 및 지도를 포함한 사이버 보안 리소스 및 도구의 큐레이터 목록을 제공합니다. 이 목록은 특히 범주에 의해 자원의 조직에 대한 가치와 실제 도구와 참조에 초점.

**Awesome Cyber Security University**는 학습에 집중하는 무료 교육 리소스를 제공합니다. 이 자원은 기본 개념에서 학습자가 손에 운동과 실제적인 프로젝트를 통해 사이버 보안 기술을 발전시키는 종합적인 커리큘럼으로 구성되어 있습니다.

전문 최고 목록¶

**Awesome Penetration Testing**는 침투 테스트 리소스, 도구 및 방법론을 컴파일합니다. 이 목록은 공격적인 보안과 관련된 모든 사람에게 필수적이며, 포괄적인 도구, 기술 및 침투 테스트를 위한 학습 리소스를 제공합니다.

**Awesome Cloud Security ** 표준, 도구, 읽기 자료 및 모범 사례를 다루는 클라우드 보안 리소스를 큐레이트합니다. 조직은 클라우드 기술을 채택하고, 이 목록은 여러 플랫폼에서 클라우드 환경을 확보하기위한 필수 리소스를 제공합니다.

**Awesome Web Security**는 웹 보안 자료와 자원을 활용하여 최첨단 침투 기술을 학습합니다. 이 목록은 특히 개발자와 보안 전문가가 웹 애플리케이션 보안에서 일하는 가치입니다.

AI 및 개인 정보 취급 방침¶

**Awesome AI Red Teaming**는 AI Red Teaming 리소스 및 도구의 큐레이터 컬렉션을 제공합니다. AI 시스템은 더 많은 이전이되고, 이 목록은 AI 응용 프로그램을 테스트하고 확보하기위한 필수 리소스를 제공합니다.

Awesome Privacy 데이터 보호 및 익명성에 중점을 둔 개인 정보 보호 도구 및 리소스를 컴파일합니다. 이 목록은 개인 및 단체가 개인 정보 보호 정책 기술 및 관행을 구현하는 데 유용합니다.

API 문서 및 개발 지원하다¶

모형 Context 의정서 (MCP)¶

**Model Context Protocol**는 LLM 애플리케이션과 외부 데이터 소스 및 도구 간의 원활한 통합을 가능하게 하는 획기적인 개방형 표준을 나타냅니다. MCP의 AI 애플리케이션을 위한 USB-C 포트로 생각하십시오 - 표준화 된 방식으로 다양한 데이터 소스, 도구 및 서비스와 연결할 수있는 범용 인터페이스를 제공합니다.

**Anthropic's MCP 소개**는 MCP를 AI 애플리케이션으로 통합하는 종합적인 문서 및 구현 가이드를 제공합니다. 프로토콜은 AI 애플리케이션을 더 강력하고 유용하게 만들기 위해 외부 소스에서 실시간 관련 컨텍스트에 액세스 할 수있는 AI 시스템을 제공하는 도전을 요구합니다.

**Microsoft Copilot Studio MCP Integration**는 MCP가 기존 지식 서버와 API를 Copilot Studio에서 직접 연결할 수 있는 메이커를 어떻게 구현할 수 있는지 보여줍니다. 이 통합은 외부 데이터 소스를 액세스하고 활용할 수있는 AI 응용 프로그램을 구축하는 프로세스를 단순화합니다.

API 문서 플랫폼¶

**Swagger/OpenAPI**는 API 문서에 대한 업계 표준이 되고, API 문서를 생성, 시각화 및 유지하기위한 도구를 제공합니다. Swagger의 대화형 문서 기능은 개발자가 문서에서 직접 API를 탐색하고 테스트할 수 있도록 하며 개발자 경험을 크게 향상시킵니다.

**Postman API Platform**는 전체 API 라이프사이클을 지원하는 종합 API 문서 도구를 제공합니다. Beyond documentation, Postman은 API 개발 및 관리를위한 완벽한 플랫폼을 만드는 테스트, 모니터링 및 협업 기능을 제공합니다.

**Stripe API Documentation**는 API 문서에 대한 금 표준으로 널리 간주됩니다. Stripe의 문서는 명확성, 완전성 및 유용성에서 발췌하여 명확한 예, 포괄적 인 매개 변수 설명 및 여러 프로그래밍 언어로 코드 스니펫을 제공합니다.

개발자 문서 회사 소개¶

**Mintlify**는 아름다운 아웃박스 디자인과 AI-native 기능을 제공하는 문서 플랫폼의 차세대를 나타냅니다. 이 플랫폼은 개발자를 위해 특별히 제작되었으며 문서 작성 및 유지 보수 프로세스를 간소화하는 기능을 제공합니다.

**GitBook**는 협업 작성 및 편집을 지원하는 현대 문서 플랫폼을 제공합니다. 개발 워크플로우와 통합은 소프트웨어 개발 프로젝트에 따라 진화해야 하는 기술 문서에 특히 적합합니다.

**ReadRead Docs**는 문서 작성 및 호스팅 서비스를 제공합니다. 오픈 소스 플랫폼으로, 프로젝트 문서 호스팅을위한 개발자 커뮤니티에서 특히 인기가 있습니다.

전문 개발 및 인증¶

사이버 보안 인증¶

사이버 보안 분야는 수많은 인증 경로를 제공합니다. CISSP (Certified Information Systems Security Professional)는 보안 전문가를위한 가장 존경받는 인증 중 하나이며 사이버 보안 지식의 8 개를 덮습니다. CISM (Certified Information Security Manager)는 정보 보안의 관리 및 관리 측면에 중점을두고 보안 리더 및 관리자에 대한 가치를 창출합니다.

기술 능력을 위해, OSCP (저렴한 보안 인증 전문가)는 침투 테스트 커뮤니티에 매우 관련이 있습니다. 인증은 실제 기능을 테스트하는 도전적인 손에 대한 시험을 통해 실제 침투 테스트 능력을 입증하는 후보자가 필요합니다.

CEH (Certified Ethical Hacker)는 윤리적인 해킹 방법론과 도구의 기초를 제공합니다. 때때로 너무 이론적 인 것으로 비난하는 동안 CEH는 널리 인식되고 더 고급 인증에 스테핑 돌 역할을 할 수 있습니다.

Cloud Security 인증¶

Cloud-specific 인증은 클라우드 플랫폼에 대한 조직의 마이그레이션으로 점점 중요했습니다. AWS 인증 보안 - 특수, Azure Security Engineer Associate 및 **Google Cloud Professional Cloud Security Engineer**는 해당 플랫폼에서 클라우드 환경을 확보하는 전문 지식을 검증합니다.

AI 및 ML 보안 인증¶

AI 보안은 더 중요한 것이므로, 새로운 인증 프로그램은 신중합니다. SANS 및 **EC-Council**와 같은 조직은 AI 시스템의 고유한 과제를 해결하는 AI 보안 인증을 개발하고 있습니다.

RM 보안 연구 도구 및 저장소¶

땅과 이진 폭발에서 생활¶

**GTFOBins**는 잘못된 시스템에서 로컬 보안 제한을 우회할 수 있는 유닉스 바이너리 목록으로 표시됩니다. 이 invaluable 자원은 특권 에스컬레이션, 파일 전송, 역 쉘 및 기타 포스트 폭발 활동을 위해 학대 될 수있는 합법적 인 시스템 바이너리를 카탈로그. 각 항목은 공격자가 안전하지 않은 파일 권한, SUID/SGID 비트를 가지고 있을 때 이러한 바이너리를 활용할 수 있는 방법에 대한 상세한 예를 제공하거나 높은 권한으로 사용할 수 있습니다. GTFOBins는 침투 검사자, 빨간 teamers 및 리눅스 체계에 작동하는 안전 연구원을 위한 근본적인 참고가 되었습니다.

**LOLBAS ** (Living Off The Land Binaries, Scripts and Libraries)는 GTFOBins와 동등한 Windows 역할을하며, 모든 바이너리, 스크립트 및 Windows 시스템의 토지 기법을 Living Off에 사용할 수있는 라이브러리를 문서화합니다. 이 프로젝트는 공격자가 정상 시스템 활동과 함께 혼합 할 수있는 합법적 인 Windows 도구를 카탈로그에 초점을 맞추고, 더 많은 도전을합니다. LOLBAS 항목은 실행 방법, 탐지 전략 및 방어적인 고려사항에 대한 자세한 정보를 포함하며 공격과 방어적인 보안 전문가 모두에게 귀중하게 만듭니다.

포괄적인 보안 지식 자료¶

**HackTricks**는 가장 포괄적 인 침투 테스트 기술, 트릭 및 방법론을 제공합니다. Carlos Polop에 의해 생성 및 유지, 이 광범위한 지식베이스는 여러 플랫폼과 기술에 걸쳐 고급 악용 방법을 다룹니다. 이 자원은 특히 실제에 대한 가치, 보안 테스트에 대한 손에 접근, 일반적인 침투 테스트 시나리오에 대한 단계별 가이드 제공. HackTricks는 클라우드 보안, Active Directory 공격 및 웹 애플리케이션 테스트를 위한 전문 섹션을 유지합니다.

**PayloadsAllTheThings**는 웹 애플리케이션 보안 테스트를 위한 유용한 페이로드와 바이패스의 광범위한 컬렉션을 제공합니다. 이 커뮤니티 구동 저장소에는 SQL Injection, XSS, 명령 주입 및 기타를 포함한 일반적인 취약점에 대한 실용적인 사례가 포함되어 있습니다. 각 단면도에는 다수 탑재량 변이, 우회 기술 및 안전 전문가가 그들의 테스트 시나리오를 위해 적응할 수 있는 진짜 세계 예 포함합니다. 저장소는 보안 커뮤니티에 의해 발견 된 새로운 기술과 페이로드로 정기적으로 업데이트됩니다.

**SecLists**는 보안 평가에서 사용되는 여러 종류의 목록의 종합 컬렉션을 제공합니다. 저장소에는 사용자 이름, 암호, URL, 민감한 데이터 패턴, fuzzing 페이로드, 웹 쉘 및 훨씬 더 포함됩니다. SecLists는 침투 검사자 및 버그 현상 사냥꾼을 위한 근본적인 공구가 되었습니다, 두드러지게 안전 테스트 활동의 효율성을 개량하는 주의깊게 큐레이터를 제안하는.

미츠비시 ATT&CK 테스트 및 시뮬레이션¶

**Atomic Red Team**는 MITRE ATT&CK 프레임워크에 맵핑된 간단한 집중 테스트 라이브러리를 제공합니다. 각 원자 시험은 특정한 기술에 5 분 또는 더 적은에서 실행하기 위하여 디자인되고, 그것의 탐지 기능을 검증하기 위하여 보안 팀을 위해 쉬운 만들기. 이 프로젝트는 Windows, macOS, Linux 및 클라우드 환경에 대한 테스트를 제공합니다. 명령을 포함하여 각 테스트는 실행, 예상된 artifacts 및 정리 절차를 포함합니다. Atomic Red 팀은 ATT&CK 기반 테스트 및 검증을 위한 표준이 되었습니다.

**MITRE Caldera**는 자율적인 breach-and-attack 시뮬레이션 운동을 쉽게 실행하도록 설계된 고급 사이버 보안 프레임 워크를 나타냅니다. Caldera는 adversary emulation를 자동화할 수 있고, 수동 빨간 팀을 원조하고, 사건 응답 훈련을 지원합니다. 플랫폼은 기존 보안 도구와 광범위한 사용자 정의 및 통합을 허용하는 플러그인 아키텍처를 사용합니다. Caldera는 복잡한 공격 시나리오를 체인화 할 수있는 능력으로 상세한 로깅을 제공하면서 엔터프라이즈 보안 제어를 테스트 할 수 있습니다.

탐지 공학 및 규칙 개발¶

**Sigma Rules**는 시그마 탐지 규칙에 대한 주요 저장소를 제공하며, 다른 유형의 3,000개 이상의 탐지 규칙을 제공합니다. Sigma 규칙은 다양한 SIEM 쿼리 언어로 변환 할 수있는 표준화 된 형식을 사용하여 다른 보안 플랫폼에서 위협 감지 논리 휴대용을 만듭니다. Repository는 기본 시스템 이벤트에서 고급 위협 사냥 시나리오에 이르기까지 모든 것을 다루는 비용 없이 신뢰할 수있는 탐지를 실현하는 것을 목표로합니다.

**Elastic Detection Rules**는 Elastic Stack을 위한 고품질 검출 논리를 제공하는 Elastic Security의 공식 탐지 규칙을 포함합니다. 이 규칙은 지속적으로 위협 인텔리전스 및 실제 공격 관측 관측을 기반으로하며 Elastic Security를 사용하지 않는 조직에서도 가치를 창출합니다.

취약점 연구 및 평가¶

**Exploit Database**는 공공 악용 및 대응 취약 소프트웨어의 가장 종합 컬렉션을 유지합니다. Offensive Security에 의해 운영되는 데이터베이스는 테스트 및 연구 목적으로 보안 전문가가 사용하는 세부적인 악용 코드, 증거-of-concept 데모 및 취약 정보를 제공합니다.

**VulnHub**는 보안 훈련을 위해 설계된 취약한 가상 머신 컬렉션을 제공합니다. 각 VM은 보안 전문가가 통제 된 환경에서 실용적 착취 능력을 개발하는 데 도움이되는 독특한 도전을 제시합니다.

위협 인텔리전스 & 연구¶

Threat Intelligence 플랫폼¶

**MITRE ATT&CK Framework**는 실제 관찰을 기반으로 한 전술과 기법의 세계적인 접근 가능한 지식 베이스를 제공합니다. 이 프레임 워크는 위협 사냥, 탐지 공학 및 보안 작업을 위해 필수적인 사이버 위협을 이해하고 분류하는 표준이되었습니다.

CISA (Cybersecurity and Infrastructure Security Agency)는 정부의 사이버 보안 리소스, 위협 인텔리전스 및 자문을 제공합니다. CISA의 자원은 현재 위협을 이해하고 방어적인 조치를 구현하는 데 특히 중요합니다.

보안 연구 조직¶

**SANS Internet Storm Center**는 글로벌 협력적인 사이버 위협 모니터링 및 조기 경고 시스템으로 운영됩니다. 매일 보안 업데이트 및 분석은 현재 위협과 공격 추세에 대한 귀중한 통찰력을 제공합니다.

ENISA (사이버 보안 유럽 연합국)은 종합 위협 보고서와 사이버 보안 연구를 수행한다. 그들의 보고서는 지역 및 글로벌 사이버 보안 트렌드에 대한 귀중한 통찰력을 제공합니다.