보안 취약점의 수와 평가 방법은 무엇입니까?

매년 보안 및 기술 회사는 수천 개의 취약점에 대한 세부 정보를 게시합니다. 미디어는 이러한 취약점에 대해 정식으로 보도하여 가장 위험한 문제를 강조하고 사용자에게 안전을 유지하는 방법을 조언합니다.

하지만 수천 개의 취약점 중 야생에서 적극적으로 악용되는 취약점은 거의 없다고 말씀드리면 어떻게 될까요?

그렇다면 얼마나 많은 보안 취약점이 있으며 보안 회사가 취약점의 심각성을 결정합니까?

얼마나 많은 보안 취약점이 있습니까?

Kenna Security의 예측 보고서 시리즈 우선 순위에 따르면 2019년에 보안 회사는 18,000개 이상의 CVE(Common Vulnerabilities and Exposures)를 게시했습니다.

이 수치는 높게 들리지만 보고서에서는 18,000개의 취약점 중 473개만이 "광범위한 악용에 도달"했으며 이는 전체의 약 2%에 해당하는 것으로 나타났습니다. 이러한 취약점은 실제로 인터넷에서 악용되고 있었지만, 그렇다고 해서 전 세계의 모든 해커와 공격자가 취약점을 사용하고 있는 것은 아닙니다.

또한 "CVE 목록에 게시할 당시 취약점의 50% 이상에 대해 익스플로잇 코드가 이미 사용 가능했습니다." 익스플로잇 코드가 이미 사용 가능했다는 사실은 액면 그대로 놀라울 정도로 들리며 문제입니다. 그러나 이는 보안 연구원이 이미 문제를 패치하기 위해 노력하고 있음을 의미하기도 합니다.

일반적인 관행은 게시 후 30일 이내에 취약점을 패치하는 것입니다. 항상 그런 것은 아니지만 대부분의 기술 회사가 이를 위해 노력하고 있습니다.

아래 차트는 보고된 CVE 수와 실제로 악용된 수 사이의 불일치를 추가로 보여줍니다.

CVE의 약 75%는 미만에 의해 감지됩니다. 조직 11,000개 중 1개, CVE의 5.9%만이 조직 100개 중 1개에서 감지됩니다. 꽤 퍼졌네요. 위 차트는 총 18,000개 정도의 취약점이 아니라 473개의 익스플로잇을 나타냅니다.

위의 데이터와 수치는 예측 우선순위 제6권:공격자-방어자 구분에서 확인할 수 있습니다.

누가 CVE를 할당합니까?

처음에 CVE를 할당하고 생성하는 사람이 누구인지 궁금할 것입니다. 아무나 CVE를 할당할 수 있는 것은 아닙니다. 현재 CVE를 할당하도록 승인된 25개국의 153개 조직이 있습니다.

그렇다고 해서 이들 회사와 조직만이 전 세계의 보안 연구를 책임지는 것은 아닙니다. 사실 그것과는 거리가 멀다. 이것이 의미하는 바는 이러한 153개 조직(CVE Numbering Authorities 또는 줄여서 CNA로 알려짐)이 공개 도메인에 취약점을 공개하기 위해 합의된 표준에 따라 작업한다는 것입니다.

자발적인 입장입니다. 참여 조직은 "사전 게시 없이 취약성 정보 공개를 제어하는 ​​능력"을 입증해야 하며 취약성에 대한 정보를 요청하는 다른 연구자와 협력해야 합니다.

계층 구조의 맨 위에 있는 세 개의 루트 CNA가 있습니다.

• 마이터 코퍼레이션
• 사이버 보안 및 기반 시설 보안국(CISA) 산업 제어 시스템(ICS)
• JPCERT/CC

다른 모든 CNA는 이 세 가지 최상위 기관 중 하나에 보고합니다. 보고 CNA는 Microsoft, AMD, Intel, Cisco, Apple, Qualcomm 등과 같이 이름이 알려진 기술 회사와 하드웨어 개발자 및 공급업체가 대부분입니다. 전체 CNA 목록은 MITRE 웹사이트에서 확인할 수 있습니다.

취약점 보고

취약점 보고는 또한 취약점이 발견된 소프트웨어 및 플랫폼 유형에 따라 정의됩니다. 또한 처음 발견한 사람에 따라 다릅니다.

예를 들어 보안 연구원이 일부 독점 소프트웨어에서 취약점을 발견하면 공급업체에 직접 보고할 가능성이 높습니다. 또는 오픈 소스 프로그램에서 취약점이 발견되면 연구원은 프로젝트 보고 또는 문제 페이지에서 새로운 문제를 열 ​​수 있습니다.

그러나 악의적인 사람이 먼저 취약점을 발견하면 해당 공급업체에 공개하지 않을 수 있습니다. 이런 일이 발생하면 보안 연구원과 공급업체는 제로 데이 익스플로잇으로 사용될 때까지 취약점을 인식하지 못할 수 있습니다.

보안 회사는 CVE를 어떻게 평가합니까?

또 다른 고려 사항은 보안 및 기술 회사가 CVE를 평가하는 방식입니다.

보안 연구원은 단순히 숫자를 가져와 새로 발견된 취약점에 할당하지 않습니다. 취약점 채점을 안내하는 채점 프레임워크인 CVSS(Common Vulnerability Scoring System)가 있습니다.

CVSS 척도는 다음과 같습니다.

취약점에 대한 CVSS 값을 파악하기 위해 연구원은 기본 점수 지표, 임시 점수 지표 및 환경 점수 지표를 포괄하는 일련의 변수를 분석합니다.

• 기본 점수 측정항목 취약점의 악용 가능성, 공격 복잡성, 필요한 권한 및 취약점의 범위와 같은 항목을 다룹니다.
• 시간적 점수 측정항목 익스플로잇 코드가 얼마나 성숙한지, 익스플로잇에 대한 교정이 존재하는 경우, 취약점 보고에 대한 신뢰도와 같은 측면을 다룹니다.
• 환경 점수 지표 여러 영역을 다룹니다:
  • 악용 가능성 측정항목: 공격 벡터, 공격 복잡성, 권한, 사용자 상호 작용 요구 사항 및 범위를 다룹니다.
  • 영향 측정항목: 기밀성, 무결성 및 가용성에 대한 영향을 다룹니다.
  • 영향 하위 점수: 기밀성 요구 사항, 무결성 요구 사항 및 가용성 요구 사항을 다루는 영향 메트릭에 추가 정의를 추가합니다.

이제 모든 것이 약간 혼란스럽게 들린다면 두 가지를 고려하십시오. 첫째, 이것은 CVSS 척도의 세 번째 반복입니다. 나중에 수정하는 동안 후속 메트릭을 추가하기 전에 처음에는 기본 점수로 시작했습니다. 현재 버전은 CVSS 3.1입니다.

둘째, CVSS가 점수를 표시하는 방법을 더 잘 이해하기 위해 National Vulnerability Database CVSS Calculator를 사용하여 취약점 메트릭이 상호 작용하는 방식을 확인할 수 있습니다.

"눈으로" 취약점을 채점하는 것이 매우 어려울 것이라는 데는 의심의 여지가 없으므로 이와 같은 계산기는 정확한 점수를 제공하는 데 도움이 됩니다.

안전한 온라인 상태 유지

Kenna Security 보고서에 따르면 보고된 취약점 중 심각한 위협이 되는 비율은 극히 적지만 악용될 확률은 여전히 ​​6%입니다. 좋아하는 의자가 앉을 때마다 부러질 확률이 100분의 6이라고 상상해 보십시오. 교체하시겠습니까?

인터넷에는 동일한 옵션이 없습니다. 그것은 대체할 수 없습니다. 그러나 좋아하는 의자처럼 더 큰 문제가 되기 전에 수선하고 고정할 수 있습니다. 온라인에서 안전하다고 말하고 맬웨어 및 기타 악용을 방지하기 위해 5가지 중요한 사항이 있습니다.

1. 업데이트 시스템을 최신 상태로 유지하십시오. 업데이트는 기술 회사가 취약점 및 기타 결함을 패치하여 컴퓨터를 안전하게 유지하는 최고의 방법입니다.
2. 바이러스 백신. "더 이상 바이러스 백신이 필요하지 않습니다" 또는 "바이러스 백신은 쓸모가 없습니다."와 같은 온라인 기사를 읽을 수 있습니다. 물론 공격자는 안티바이러스 프로그램을 피하기 위해 끊임없이 진화하지만, 안티바이러스 프로그램이 없으면 훨씬 더 나쁜 상황에 놓이게 됩니다. 운영 체제에 통합된 바이러스 백신은 훌륭한 출발점이지만 Malwarebytes와 같은 도구를 사용하여 보호 기능을 강화할 수 있습니다.
3. 링크 . 어디로 가는지 모르는 경우 클릭하지 마십시오. 브라우저에 내장된 도구를 사용하여 의심스러운 링크를 검사할 수 있습니다.
4. 비밀번호. 강력하게 만들고 고유하게 만들고 재사용하지 마십시오. 그러나 모든 암호를 기억하는 것은 어렵습니다. 아무도 이에 대해 이의를 제기하지 않을 것입니다. 그렇기 때문에 계정을 기억하고 보안을 강화하는 데 도움이 되는 암호 관리자 도구를 확인해야 합니다.
5. 사기. 인터넷에는 많은 사기가 있습니다. 사실이라고 하기에는 너무 좋은 것 같으면 아마도 . 범죄자와 사기꾼은 자신도 모르는 사이에 사기를 당할 수 있도록 세련된 부분이 포함된 swish 웹사이트를 만드는 데 능숙합니다. 온라인에서 읽는 모든 것을 믿지 마십시오.

안전한 온라인 상태를 유지하기 위해 정규직일 필요는 없으며 컴퓨터를 켤 때마다 걱정할 필요도 없습니다. 몇 가지 보안 조치를 취하면 온라인 보안이 크게 향상됩니다.