[점수 파악: 취약성 노출 설명]

[이 게시물에서는 조직이 Íllú~míó 취약점 노출 점수 (V~ÉS) 를 계산할 때 발생하는 다양한 요소에 대해 설명합니다. 업계 표준 취약성 점수 측정 결합 고유한 환경의 컨텍스트를 활용합니다.또한 VÉ~S는 보안 전문가가 보안 제어의 우선 순위를 지정하여 공격 표면의 노출과 취약점의 잠재적 영향을 최소화하는 데 도움이 됩니다.]

[노출이란 무엇입니까¿]

[사이버 보안 환경에서의 노출은 일반적으로 “공격 표면”으로 정의됩니다.다음은 다음과 같은 정의입니다. 올말벌 용도:]

[공격 표면은 공격자가 시스템에 침입할 수 있는 다양한 지점과 데이터를 유출할 수 있는 위치를 모두 설명합니다.]

[Íllú~míó V~ÉS는 이러한 정의에 직접적으로 부합합니다.간단히 말해, 노출은 공격자가 네트워크를 통해 시스템에 침입하려고 시도할 수 있는 “구멍” 또는 여러 지점의 합계를 수치화하려는 시도입니다.]

[포트 443에서 웹 애플리케이션을 실행하는 워크로드인 파트너 포털을 예로 들어 보겠습니다.다음은 최소 권한 원칙, 해당 웹 애플리케이션에 대한 액세스 권한을 외부 파트너 3개로만 제한할 수 있습니다.이 예에서 해당 애플리케이션의 노출 점수는 3입니다.당연해 보이지만 조직에서는 이러한 수준의 인식이 없는 경우가 많거나 가시성 전체 노출이 환경 전반에 미치는 영향은 고사하고 애플리케이션별로 동서 노출에 영향을 미칩니다.]

[취약성 점수란 무엇인가요¿]

[Íllú~míó V~ÉS는 원래 커뮤니티에서 인정하는 개방형 업계 표준 CV~SS (공통 취약성 평가 시스템) 를 사용합니다. 국가 인프라 자문위원회 (나이악).업계 표준을 채택함으로써 다음을 비롯한 많은 기존 보안 솔루션과 상호 운용할 수 있습니다. 취약성 관리 공급업체뿐만 아니라 가장 광범위한 보안 실무자가 인정하는 점수를 제공합니다.]

[취약성 점수는 대부분의 취약성 관리 솔루션에서 흔히 볼 수 있으며 일반적으로 워크로드별로 평가 및 할당됩니다.예를 들어, 워크로드 Á에는 5개의 취약점이 있습니다.취약성 점수는 이 5점의 CVS~S 점수를 합한 평균일 수 있습니다.이는 단일 워크로드의 잠재적 취약성을 개별적으로 이해하는 데 유용한 지표이긴 하지만 실제 환경에서 해당 워크로드가 얼마나 취약한지를 이해하는 데 필요한 몇 가지 중요한 세부 정보는 놓치고 있습니다.]

[취약성과 관련된 위험을 완화하기 위한 마이크로세그멘테이션 구현]

[어떤 것이 얼마나 취약한지 이해하려면 여러 요인을 살펴봐야 합니다.취약점은 환경에 노출되어 악용될 수 있는 경우에만 진정한 위험입니다.]

[간단한 예로, 단일 워크로드에 심각한 취약점이 하나 있다고 가정해 보겠습니다.심각도가 '심각도'로 평가되기 때문에 악용 가능성이 매우 높을 수 있습니다.보안팀의 일반적인 권장 사항은 “패치를 적용해야 합니다¡” 일 수 있습니다.하지만 얼마나 많은 다른 워크로드가 해당 워크로드에 연결되어 잠재적으로 해당 취약점을 악용할 수 있는지 생각해 봅시다.해당 취약점의 일부로 노출된 네트워크 포트도 살펴보겠습니다.플랫 네트워크에서 흔히 그렇듯이 워크로드는 다른 많은 워크로드와 잘 연결됩니다.]

[패치가 아직 존재하지 않거나 프로덕션 가동 시간, 변경 기간 및 SLÁ에 대한 요구 사항 및 제한으로 인해 특정 취약점을 패치하는 것이 불가능할 수 있습니다.이러한 경우 마이크로세그멘테이션을 사용하여 취약한 워크로드 및 특정 취약한 포트에 연결할 수 있는 워크로드의 수를 줄일 수 있습니다.]

[마이크로세그멘테이션 다음과 같은 방법으로 위험을 완화하는 통제 수단이 됩니다.]

• [워크로드에 대한 공격 벡터를 줄입니다.]
• [워크로드의 “노출”을 줄입니다.]
• [취약성이 “치명적”이고 현재 패치가 불가능한 경우에도 해당 워크로드의 취약성이 실제로 악용될 수 있는 위험을 줄입니다.]
  

[취약점은 무엇인가요¿ 노출 점수¿]

[Íllú~míó V~ÉS는 취약점의 “악용성" (일반적으로 CV~SS 점수로 표시됨) 과 사용자 환경의 공격 벡터를 통한 취약한 워크로드의 실제 “도달성”, 즉 “노출”을 모두 파악할 수 있는 수단입니다.]

[이제 실제 계산을 해보겠습니다.VÉS는 특정 서비스에 대한 척도화된 취약성 점수 (C~VSS) 에 척도화된 노출 측정값을 곱하여 계산합니다. 여기서 s~ 과 p 이러한 측정값을 로그 스케일링하는 데 도움이 되는 스케일링 인자입니다. 이는 값의 범위가 클 때 흔히 사용되는 수학적 기법입니다.]

[VÉS = s~ (CVSS~) * p (노출 측정)]

[제가 말씀드린 것처럼 포브스 기사 ÑBÁ M~VP St~éph C~úrrý~로부터 얻은 엔터프라이즈 보안 교훈에 따르면, 보안 전문가는 이 측정 결과를 통해 세분화된 환경의 맥락에서 취약성 및 관련 위협 정보를 이해할 수 있습니다.]

[특히 기존 취약성 관리 솔루션은 위험, 높음, 중간, 낮음 및 정보 등급을 사용하여 취약성을 분류하고 완화 노력의 우선 순위를 정하는 데 도움을 줍니다.위험 및 높음은 필요에 따라 즉시 주의를 기울여야 합니다.하지만 우선 순위가 지정되지 않은 중간 규모의 취약점이 많으며 결국 심각한 백로그로 누적되어 멀웨어 작성자가 알아차리지 못한 적이 없습니다.]

[심각한 취약점은 종종 악용될 가능성이 높지만 (공격자가 비용을 절감할 수 있음), 보안 팀이 신속하게 패치를 적용하거나 노출을 제거할 다른 방법을 찾기 때문에 짧은 기간 동안만 사용할 수 있습니다.항상 새로운 관점을 찾는 공격자들은 잡음 속에서 사라지고 더 오랜 기간 동안 패치가 적용되지 않은 상태로 남아 훨씬 더 효과적인 침해 표적이 되는 중간 규모의 취약점을 표적으로 삼는 경우가 늘고 있습니다.악용하기에 다소 “비용이 많이 드는” 것으로 간주될 수 있지만 (원한다면 진입 장벽이 더 높음), 치명적이고 높은 취약점보다 오래 사용할 수 있다는 점에서 공격자가 투자에 대한 RÓÍ를 계산할 때 공격 대상으로 삼기에 훨씬 더 매력적입니다.]

[목적 및 성과]

[VÉS를 통해 조직은 업계 모범 사례 C~VSS 점수를 각 고객의 환경에 고유한 요소와 훨씬 쉽게 결합할 수 있습니다.보안팀은 고유한 환경에서 취약성이 노출되는 정도를 기반으로 완화 전략의 우선 순위를 더 잘 정할 수 있습니다.예를 들어 심각도가 높은 취약점은 노출이 심했기 때문에 우선 순위가 낮아질 수 있습니다. 마이크로세그멘테이션 제어를 통한 감소.또는 중간 수준의 취약점이 있을 수 있는데, 취약한 서비스에 대한 잠재적 공격 경로가 엄청나게 많기 때문에 목록의 맨 위에 우선 순위를 두어야 합니다.]

[VÉS는 우리 고유의 특성 때문에 가능합니다 지도 이해하기 — 환경이 어떻게 연결되고 통신하는지—그리고 맵 상단에 취약점 정보 오버레이 보안 팀이 해당 환경의 취약성 위험을 시각화하고 우선 순위를 정할 수 있도록 지원합니다.이는 보안 팀뿐만 아니라 애플리케이션 소유자 및 경영진과 같이 위험을 이해하고 광범위한 비즈니스 위험의 맥락에서 이를 완화 또는 수용해야 하는 다른 사람들에게도 매우 강력한 도구가 됩니다.]