요약 - 지난주 새로운 CVSS 기준이 발표
- 각자의 환경에 맞게 위험 요소를 평가 및 관리하는데 도움이 될 수 있을 것
내용 - CVSS 4.0은 이전 버전은 보다 ‘평준화 된’ 리스크 평가 기법
> 동적이면서 컨텍스트까지 고려한 위험 평가를 가능하게 됨
> 취약점의 순수 기술적 특성만으로 위험도를 평가하지 않음
> 취약점을 절대적인 기준이 아닌 여러 환경과 맥락, 시점을 입체적으로 고려하여 평가
> 같은 취약점이라 하더라도 어떤 환경이냐에 따라 위험성이 달라진다는 것이 반영

- 장점
> 공개된 익스플로잇 코드, 실제 피해 사례, 해커가 공격을 성공하기 위해 성립되어야 할 조건 등의 외부요인을 CVSS 계산시 포함
> CVSS 지표를 확인해 구체적이고 맞춤형으로 리스크 관리를 할 수 있게될 것

> 기밀성, 무결성, 가용성 요소를 이전버전 보다 세분화
> 익스플로잇의 자동화 가능성, 물리적 사고 유발 가능성 등 OT 보안 반영

- 단점
> CVSS 점수만으로 취약점을 평가하고 해결하려 하기 때문에, 다른 취약점 관리 체계(KEV, EPSS 등)와 함께 사용할 때 효과를 발휘할 것
> CVSS 버전이 높아질 때마다 취약점들의 평균 점수는 지속해서 상승해, 고위험 및 초고위험 취약점이 증가할 것이며, 이를 대비하기 위한 프로세스를 마련할 필요
기타 - CVSS(Common Vulnerabilities Scoring System)
> 2005년부터 시작된 보안 취약점들의 심각도를 평가하기 위한 무료 개방형 업계 표준
> 취약점의 가장 중요한 특성을 이해하고, 그것에 수치로 된 점수를 부여함으로써 심각성을 표기
> 점수를 기준으로 대응 및 리소스의 우선순위를 지정하는데 도움

- KEV(Known Exploited Vulnerabilities)
> 미국 CISA에서 관리하는 실제로 활발하게 악용된 알려진 취약점 목록

- EPSS(Exploit Prediction Scoring System)
> 취약점이 실제로 악용될 가능성을 확률로 추정

 

보안뉴스

 

 

확 달라진 CVSS 4.0, 취약점에 대한 입체적 평가 가능하게 할 듯

취약점에 점수를 매겨 위험성을 직관적으로 표시할 수 있게 해 주는 시스템인 CVSS의 새로운 버전이 지난 주 발표됐다. CVSS 4.0인데, 현재까지 여러 전문가들이 검토한 바에 의하면 각 기업의 보안

www.boannews.com

'보안뉴스' 카테고리의 다른 글

[긴급] CISA, 소포스-오라클-마이크로소프트 제품 심각한 보안취약점…주의보 발령  (0) 2023.11.20
국가 행정전산망 장애 발생... 정부기관 및 지자체 온라인 서비스 차질 외 9건  (0) 2023.11.20
北 해킹창구 ‘매직라인(MagicLine4NX)’ 취약점 아직도 악용중! 외 2건  (0) 2023.11.08
북한, 2,000만명 사용 전자상거래 앱 사칭한 앱 공격!  (1) 2023.10.26
북한 해커들, 프리랜서로 재택 근무해 번 돈을 정권 무기 개발에 바쳤다 외 6건  (0) 2023.10.23

1. CVE (Common Vulnerabilities and Exposures)

- 공개적으로 알려진 보안취약점에 대한 시간별로 정리한 목록(History)
- 표준화된 CVE 항목은 서비스 적용 범위를 평가할 수 있는 기준을 제공

- 표기 : CVE-연도-순서

 

CVE - CVE

The mission of the CVE® Program is to identify, define, and catalog publicly disclosed cybersecurity vulnerabilities.

cve.mitre.org

 

2. CWE (Common Weakness Enumeration)

- MITRE에서 일반적인 소프트웨어 보안약점(weakness)를 다양한 관점에서 분류한 목록.

-  악용 가능한 보안으로 이어질 수 있는 아키텍처, 디자인, 코드 또는 구현에서 발생할 수 있는 일반적인 소프트웨어 및 하드웨어 약점의 공식 목록 또는 사전

- 표기 : CWE-YYY

MITRE는 CVE®(Common Vulnerabilities and Exposures) 목록 을 출시한 1999년 초부터 소프트웨어 약점을 분류하는 문제에 대한 작업을 시작했습니다.
CVE 구축의 일환으로 MITRE의 CVE 팀은 일반적인 소프트웨어 약점을 정의하는 데 도움이 되도록 2005년부터 취약성, 공격, 결함 및 기타 개념의 예비 분류 및 분류를 개발했습니다.
그러나 CVE에는 충분하지만 코드 보안 평가 업계에서 제공하는 기능을 식별하고 분류하는 데 사용하기에는 이러한 그룹화가 너무 대략적이었습니다.
CWE 목록 은 2006년에 추가 요구 사항을 더 잘 해결하기 위해 만들어졌습니다.
 

CWE - Common Weakness Enumeration

CWE™ is a community-developed list of software and hardware weakness types. It serves as a common language, a measuring stick for security tools, and as a baseline for weakness identification, mitigation, and prevention efforts. Viewing Customized CWE in

cwe.mitre.org

 

※ 취약점 (vulnerabilities) vs 보안약점 (weakness)

① 취약점 (vulnerabilities)

- 해커가 시스템이나 네트워크에 접근하기 위해 사용할 수 있는 소프트웨어의 실수(mistake)로 실제 발생 가능

- 운영 단계에서 발생

 

② 보안약점 (weakness)

- 기능 설계 및 구현 단계에서 발생할 수 있는 보안상의 오류

- 개발단계에서 발생 (이론상)

 

3. CVSS(Common Vulnerabilities Scoring System)

- 보안 취약점들을 평가하고 확인할 수 있도록 제공된 오픈 프레임워크

- 취약점의 가장 중요한 특성을 이해하고, 그것에 수치로 된 점수를 부여함으로써 심각성을 표기

 

Common Vulnerability Scoring System SIG

Common Vulnerability Scoring System SIG Mission The Common Vulnerability Scoring System (CVSS) provides a way to capture the principal characteristics of a vulnerability and produce a numerical score reflecting its severity. The numerical score can then be

www.first.org

'기타 > 기타' 카테고리의 다른 글

MITRE ATT&CK Framework  (0) 2023.01.17

+ Recent posts

티스토리툴바