비디오: 정보보호/정보보안 전문가 취업에 필요한 자격증 종류와 면접관이 보는 자격증과 서류심사 기준은 무엇일까? 2024
보안 취약점의 우선 순위를 매기는 것이 중요합니다. 왜냐하면 많은 문제가 해결되지 않을 수도 있고 해결할 가치가 없을 수도 있기 때문입니다. 기술적 인 이유로 인해 일부 취약점을 제거 할 수 없을 수도 있고, 다른 기술을 제거 할 여력이 없을 수도 있습니다. 또는 단순히 비즈니스가 일정 수준의 위험 감수성을 보유하고있을 수도 있습니다. 모든 상황이 다릅니다.
혜택이 노력과 비용의 가치가 있는지 여부를 고려해야합니다. 반면 사이트 간 스크립팅 및 SQL 주입 취약점을 해결하기위한 개발에 몇 주를 소비하는 것은 많은 돈을 벌어 들일 수 있습니다. 특히 제 3 자에 의해 파문을 당하거나 잠재 고객을 잃는 경우가 발생할 수 있습니다. 모든 사람이 민감한 정보를 포함하지 않는 모바일 장치에서도 마찬가지입니다.
각 취약성을 신중하게 연구하고 비즈니스 위험을 파악하고 문제가 고칠 가치가 있는지 여부를 판단해야합니다.
발견 한 모든 취약점을 해결하는 것은 불가능합니다. 각 취약점을 신중하게 분석하고 최악의 시나리오를 결정하십시오. 따라서 프린터의 웹 인터페이스에서 CSRF (cross-site request forgery)가 있습니까? 비즈니스 위험은 무엇입니까? 아마도 FTP는 수많은 내부 서버에서 실행 중일 것입니다. 비즈니스 위험은 무엇입니까? 많은 보안 결함 때문에 위험 요소가 존재하지 않을 가능성이 높습니다.
악용 가능성:-
분석중인 특정 취약점이 해커, 악의적 인 사용자, 악성 코드 또는 다른 위협 요소가 있습니까? 악용 된 영향:
-
분석중인 취약점이 악용 된 경우 얼마나 위험합니까? 많은 사람들이 이러한 고려 사항을 건너 뛰고 발견 된 모든 취약성을 해결해야한다고 가정합니다. 큰 실수. 취약점이 발견되었다고해서 그것이 당신의 특정 상황과 환경에 적용된다는 것을 의미하지는 않습니다. 상황에 관계없이 모든 취약점이 해결 될 것이라는 사고 방식으로 들어가면 불필요한 시간, 노력 및 비용을 많이 낭비하게되며 장기적으로 보안 평가 프로그램을 설정할 수 있습니다.
그러나 다른 방향으로 너무 멀리 스윙하지 않도록주의하십시오! 많은 취약점이 표면에 너무 심각하게 나타나지는 않지만 악용되면 조직을 더운물로 만들 수 있습니다. 깊은 곳에서 파고 몇 가지 상식을 사용하십시오.
두 가지 고려 사항 각각에 대해 높음, 중간 및 낮음 또는 1에서 5 등급 (1이 가장 낮은 우선 순위이고 5가 가장 높음)과 같은 기준을 사용하여 각 취약성을 순위를 매 깁니다. 다음은 각 카테고리의 샘플 표와 대표적인 취약점입니다.
취약점 우선 순위
| 중간 우연도 | 우연도 | 고 영향도 | |
|---|---|---|---|
| 암호화되지 않은 랩톱에 저장된 민감한 정보 | 암호화되지 않은 오프 사이트에서 수행 된 테이프 백업 및 / 암호로 보호 된 | 내부 SQL Server 시스템에 관리자 암호가 없음
보통 영향 |
중요한 정보가 포함 된 암호화되지 않은 전자 메일 |
| 전송 됨 | Metasploit을 사용하여 악용
Windows 관리자 |
계정에 암호가 필요 없음
영향이 낮음 |
인터넷 검색 전용의 독립 실행 형 PC에서 구형 바이러스 서명 |
| 액세스 | 마케팅 웹 사이트에서 사용되는 약한 암호화 암호
표시된 보안 우선 순위는 보안 위험을 평가하는 정 성적 방법을 기반으로합니다. 즉, 시스템과 취약점에 대한 지식을 기반으로 주관적입니다. 또한 보안 도구에서 얻는 모든 위험 등급을 고려할 수 있습니다. 공급 업체가 궁극적 인 취약점 순위를 제공 할 수 없기 때문에 보안 도구에만 의존하지 마십시오. |
