점수 파악: 취약성 노출 설명

이 게시물에서는 조직이 Illumio 취약점 노출 점수 (VES) 를 계산할 때 발생하는 다양한 요소에 대해 설명합니다. 업계 표준 취약성 점수 측정 결합 고유한 환경의 컨텍스트를 활용합니다.또한 VES는 보안 전문가가 보안 제어의 우선 순위를 지정하여 공격 표면의 노출과 취약점의 잠재적 영향을 최소화하는 데 도움이 됩니다.

노출이란 무엇입니까?

사이버 보안 환경에서의 노출은 일반적으로 “공격 표면”으로 정의됩니다.다음은 다음과 같은 정의입니다. 올말벌 용도:

공격 표면은 공격자가 시스템에 침입할 수 있는 다양한 지점과 데이터를 유출할 수 있는 위치를 모두 설명합니다.

Illumio VES는 이러한 정의에 직접적으로 부합합니다.간단히 말해, 노출은 공격자가 네트워크를 통해 시스템에 침입하려고 시도할 수 있는 “구멍” 또는 여러 지점의 합계를 수치화하려는 시도입니다.

포트 443에서 웹 애플리케이션을 실행하는 워크로드인 파트너 포털을 예로 들어 보겠습니다.다음은 최소 권한 원칙, 해당 웹 애플리케이션에 대한 액세스 권한을 외부 파트너 3개로만 제한할 수 있습니다.이 예에서 해당 애플리케이션의 노출 점수는 3입니다.당연해 보이지만 조직에서는 이러한 수준의 인식이 없는 경우가 많거나 가시성 전체 노출이 환경 전반에 미치는 영향은 고사하고 애플리케이션별로 동서 노출에 영향을 미칩니다.

취약성 점수란 무엇인가요?

Illumio VES는 원래 커뮤니티에서 인정하는 개방형 업계 표준 CVSS (공통 취약성 평가 시스템) 를 사용합니다. 국가 인프라 자문위원회 (나이악).업계 표준을 채택함으로써 다음을 비롯한 많은 기존 보안 솔루션과 상호 운용할 수 있습니다. 취약성 관리 공급업체뿐만 아니라 가장 광범위한 보안 실무자가 인정하는 점수를 제공합니다.

취약성 점수는 대부분의 취약성 관리 솔루션에서 흔히 볼 수 있으며 일반적으로 워크로드별로 평가 및 할당됩니다.예를 들어, 워크로드 A에는 5개의 취약점이 있습니다.취약성 점수는 이 5점의 CVSS 점수를 합한 평균일 수 있습니다.이는 단일 워크로드의 잠재적 취약성을 개별적으로 이해하는 데 유용한 지표이긴 하지만 실제 환경에서 해당 워크로드가 얼마나 취약한지를 이해하는 데 필요한 몇 가지 중요한 세부 정보는 놓치고 있습니다.

취약성과 관련된 위험을 완화하기 위한 마이크로세그멘테이션 구현

어떤 것이 얼마나 취약한지 이해하려면 여러 요인을 살펴봐야 합니다.취약점은 환경에 노출되어 악용될 수 있는 경우에만 진정한 위험입니다.

간단한 예로, 단일 워크로드에 심각한 취약점이 하나 있다고 가정해 보겠습니다.심각도가 '심각도'로 평가되기 때문에 악용 가능성이 매우 높을 수 있습니다.보안팀의 일반적인 권장 사항은 “패치를 적용해야 합니다!” 일 수 있습니다.하지만 얼마나 많은 다른 워크로드가 해당 워크로드에 연결되어 잠재적으로 해당 취약점을 악용할 수 있는지 생각해 봅시다.해당 취약점의 일부로 노출된 네트워크 포트도 살펴보겠습니다.플랫 네트워크에서 흔히 그렇듯이 워크로드는 다른 많은 워크로드와 잘 연결됩니다.

패치가 아직 존재하지 않거나 프로덕션 가동 시간, 변경 기간 및 SLA에 대한 요구 사항 및 제한으로 인해 특정 취약점을 패치하는 것이 불가능할 수 있습니다.이러한 경우 마이크로세그멘테이션을 사용하여 취약한 워크로드 및 특정 취약한 포트에 연결할 수 있는 워크로드의 수를 줄일 수 있습니다.

마이크로세그멘테이션 다음과 같은 방법으로 위험을 완화하는 통제 수단이 됩니다.

• 워크로드에 대한 공격 벡터를 줄입니다.
• 워크로드의 “노출”을 줄입니다.
• 취약성이 “치명적”이고 현재 패치가 불가능한 경우에도 해당 워크로드의 취약성이 실제로 악용될 수 있는 위험을 줄입니다.
  

취약점은 무엇인가요? 노출 점수?

Illumio VES는 취약점의 “악용성" (일반적으로 CVSS 점수로 표시됨) 과 사용자 환경의 공격 벡터를 통한 취약한 워크로드의 실제 “도달성”, 즉 “노출”을 모두 파악할 수 있는 수단입니다.

이제 실제 계산을 해보겠습니다.VES는 특정 서비스에 대한 척도화된 취약성 점수 (CVSS) 에 척도화된 노출 측정값을 곱하여 계산합니다. 여기서 s 과 p 이러한 측정값을 로그 스케일링하는 데 도움이 되는 스케일링 인자입니다. 이는 값의 범위가 클 때 흔히 사용되는 수학적 기법입니다.

VES = s (CVSS) * p (노출 측정)

제가 말씀드린 것처럼 포브스 기사 NBA MVP Steph Curry로부터 얻은 엔터프라이즈 보안 교훈에 따르면, 보안 전문가는 이 측정 결과를 통해 세분화된 환경의 맥락에서 취약성 및 관련 위협 정보를 이해할 수 있습니다.

특히 기존 취약성 관리 솔루션은 위험, 높음, 중간, 낮음 및 정보 등급을 사용하여 취약성을 분류하고 완화 노력의 우선 순위를 정하는 데 도움을 줍니다.위험 및 높음은 필요에 따라 즉시 주의를 기울여야 합니다.하지만 우선 순위가 지정되지 않은 중간 규모의 취약점이 많으며 결국 심각한 백로그로 누적되어 멀웨어 작성자가 알아차리지 못한 적이 없습니다.

심각한 취약점은 종종 악용될 가능성이 높지만 (공격자가 비용을 절감할 수 있음), 보안 팀이 신속하게 패치를 적용하거나 노출을 제거할 다른 방법을 찾기 때문에 짧은 기간 동안만 사용할 수 있습니다.항상 새로운 관점을 찾는 공격자들은 잡음 속에서 사라지고 더 오랜 기간 동안 패치가 적용되지 않은 상태로 남아 훨씬 더 효과적인 침해 표적이 되는 중간 규모의 취약점을 표적으로 삼는 경우가 늘고 있습니다.악용하기에 다소 “비용이 많이 드는” 것으로 간주될 수 있지만 (원한다면 진입 장벽이 더 높음), 치명적이고 높은 취약점보다 오래 사용할 수 있다는 점에서 공격자가 투자에 대한 ROI를 계산할 때 공격 대상으로 삼기에 훨씬 더 매력적입니다.

목적 및 성과

VES를 통해 조직은 업계 모범 사례 CVSS 점수를 각 고객의 환경에 고유한 요소와 훨씬 쉽게 결합할 수 있습니다.보안팀은 고유한 환경에서 취약성이 노출되는 정도를 기반으로 완화 전략의 우선 순위를 더 잘 정할 수 있습니다.예를 들어 심각도가 높은 취약점은 노출이 심했기 때문에 우선 순위가 낮아질 수 있습니다. 마이크로세그멘테이션 제어를 통한 감소.또는 중간 수준의 취약점이 있을 수 있는데, 취약한 서비스에 대한 잠재적 공격 경로가 엄청나게 많기 때문에 목록의 맨 위에 우선 순위를 두어야 합니다.

VES는 우리 고유의 특성 때문에 가능합니다 지도 이해하기 — 환경이 어떻게 연결되고 통신하는지—그리고 맵 상단에 취약점 정보 오버레이 보안 팀이 해당 환경의 취약성 위험을 시각화하고 우선 순위를 정할 수 있도록 지원합니다.이는 보안 팀뿐만 아니라 애플리케이션 소유자 및 경영진과 같이 위험을 이해하고 광범위한 비즈니스 위험의 맥락에서 이를 완화 또는 수용해야 하는 다른 사람들에게도 매우 강력한 도구가 됩니다.