YesXYZ

아딸이 함께 만드는 세상

[정보보안] 취약점 관리 및 식별 방법(CVE / CWE / CCE / CVSS)

by · 2024년 04월 11일

CVE,CWE,CCE와 CVSS는 정보보안 및 취약점 관리에서 중요한 역할을 하는 용어들입니다. 각 용어의 의미와 연관된 개념에 대해 간단히 설명하겠습니다.

  1. CVE (Common Vulnerabilities and Exposures):
    • 공개적으로 알려진 보안 취약점을 식별하고 추적하기 위한 표준 식별자입니다.
    • 이 식별자는 벤더가 제공하는 패치와 관련된 취약점의 특성과 함께 공개됩니다.
    • 다양한 보안 도구, 운영체제, 애플리케이션 및 데이터베이스에서 해당 취약점을 찾을 수 있도록 돕습니다.
    • 실제로 악용된 사례가 있는 취약점을 강조하기 위해 KEV(Known Exploited Vulnerability)라는 개념을 사용합니다.
    • 보안 제품 간의 데이터 교환을 가능하게 하고 보안 제품과 서비스의 범위를 평가하는 기준을 제공합니다.
    • 보안 콘텐츠 자동화 프로토콜(Security Content Automation Protocol, SCAP)에 사용되고 CVE ID는 미국 국가 취약성 데이터베이스(National Vulnerability Database, NVD)뿐만 아니라 MITRE 시스템에 기록됩니다.

      • ※ SCAP(Security Content Automation Protocol), NVD(National Vulnerability Database)

    • 표시 형식: CVE-YYYY-NNNN (YYYY: 연도, NNNN: 일련번호)
      – CVE식별자는 보안 기업, 리서치 조직 및 Red Hat, IBM, Cisco, Oracle, Microsoft와 같은 주요 IT 벤더를 대표하는 CNA(CVE Numbering Authority)에서 할당합니다.
    • 사용 분야: 보안 취약점 식별 및 추적, 취약점 데이터베이스 및 도구, 보안 패치 관리 시스템
  2. CWE (Common Weakness Enumeration):
    • 소프트웨어의 아키텍처, 설계, 코드, 개발에서 발생되는 보안취약점으로 이어질 수 있는 일반적인 보안 약점에 대해 통합되고 측정 가능한 기준을 제공하는 목록 또는 사전입니다.
    • 소프트웨어 개발 및 보안 전문가가 소프트웨어에서 발생할 수 있는 공통 취약점을 식별하고 이해하는 데 도움을 줍니다.
    • 다양한 취약점 유형을 계층적으로 구조화하여 특정 취약점을 더 쉽게 이해하고 관리할 수 있도록 돕습니다.
    • 소스코드나 운영시스템에서 보안약점을 찾는 보안 도구 및 서비스에 활용될 뿐만 아니라 보안약점을 이해하고 관리하는데도 사용됩니다.
    • CWE/SANS TOP 25: 소프트웨어 개발자가 가장 법하기 쉬고 위험한 25가지 소프트웨어 취약점 목록
    • 표시 형식: CWE-XXX (XXX: 고유한 숫자 식별자)
    • 사용 분야: 보안 취약점 분류 및 정의, 취약점 분석 및 관리, 보안 교육 및 인지
  3. CCE (Common Configuration Enumeration):
    • 시스템 및 네트워크 구성 요소의 취약점을 식별하고 점검항목을 표준화하기 위한 표준 식별자입니다.
    • 비밀번호 길이/복잡성, 기본 계정 삭제 등 시스템 구성 및 설정에 관한 규정(또는 정책)을 설명합니다.
    • 시스템 및 네트워크 구성의 일관성을 유지하고 보안을 강화할 수 있습니다.
    • 표시 형식: CCE-NNN-NNNNN
    • 사용 분야: 시스템 및 네트워크 구성 요소의 표준화, 보안 구성 관리, 취약점 관리 및 해결
  4. CVSS (Common Vulnerability Scoring System):
    • 보안 취약점의 중요도 및 심각성을 측정하고 평가하는 데 사용되는 표준 메트릭입니다.
    • 취약점의 기반 특성, 영향 및 가능한 해결 방법을 고려하여 위험도를 계산할 수 있는 개방형 Framework입니다.
    • 조직의 취약성 관리 프로세스를 평가하고 우선순위를 지정할 수 있다
    • 표시 형식: CVSS:VX.Y/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H (CVSS V4.0 Calculator)
      – VX.Y: CVSS 버전을 표시
      – AV: 취약점에 대한 Attack Vector를 표시
      – AC: Attack Complexity을 설명
      – PR: Privileges Required 등
    • 사용 분야: 보안 취약점 평가 및 등급화, 위험 관리, 보안 우선순위 결정

요약하면, CVE는 보안 취약점에 대한 고유 식별자를 제공하여 취약점을 추적하고 식별하는 데 중점을 두는 반면, CWE는 소프트웨어 개발에서 발생할 수 있는 일반적인 약점을 식별하고 설명하여 개발자들이 이를 이해하고 방지하는 데 도움을 줍니다.

Tags:

You may also like...

답글 남기기

이메일 주소는 공개되지 않습니다. 필수 필드는 *로 표시됩니다