시스템의 보안 취약점을 우선 순위 화하는 방법

보안 취약점의 우선 순위를 매기는 것이 중요합니다. 왜냐하면 많은 문제가 해결되지 않을 수도 있고 해결할 가치가 없을 수도 있기 때문입니다. 기술적 인 이유로 인해 일부 취약점을 제거 할 수 없을 수도 있고, 다른 기술을 제거 할 여력이 없을 수도 있습니다. 또는 단순히 비즈니스가 일정 수준의 위험 감수성을 보유하고있을 수도 있습니다. 모든 상황이 다릅니다.

혜택이 노력과 비용의 가치가 있는지 여부를 고려해야합니다. 반면 사이트 간 스크립팅 및 SQL 주입 취약점을 해결하기위한 개발에 몇 주를 소비하는 것은 많은 돈을 벌어 들일 수 있습니다. 특히 제 3 자에 의해 파문을 당하거나 잠재 고객을 잃는 경우가 발생할 수 있습니다. 모든 사람이 민감한 정보를 포함하지 않는 모바일 장치에서도 마찬가지입니다.

각 취약성을 신중하게 연구하고 비즈니스 위험을 파악하고 문제가 고칠 가치가 있는지 여부를 판단해야합니다.

발견 한 모든 취약점을 해결하는 것은 불가능합니다. 각 취약점을 신중하게 분석하고 최악의 시나리오를 결정하십시오. 따라서 프린터의 웹 인터페이스에서 CSRF (cross-site request forgery)가 있습니까? 비즈니스 위험은 무엇입니까? 아마도 FTP는 수많은 내부 서버에서 실행 중일 것입니다. 비즈니스 위험은 무엇입니까? 많은 보안 결함 때문에 위험 요소가 존재하지 않을 가능성이 높습니다.

악용 가능성:

• 분석중인 특정 취약점이 해커, 악의적 인 사용자, 악성 코드 또는 다른 위협 요소가 있습니까? 악용 된 영향:

• 분석중인 취약점이 악용 된 경우 얼마나 위험합니까? 많은 사람들이 이러한 고려 사항을 건너 뛰고 발견 된 모든 취약성을 해결해야한다고 가정합니다. 큰 실수. 취약점이 발견되었다고해서 그것이 당신의 특정 상황과 환경에 적용된다는 것을 의미하지는 않습니다. 상황에 관계없이 모든 취약점이 해결 될 것이라는 사고 방식으로 들어가면 불필요한 시간, 노력 및 비용을 많이 낭비하게되며 장기적으로 보안 평가 프로그램을 설정할 수 있습니다.

그러나 다른 방향으로 너무 멀리 스윙하지 않도록주의하십시오! 많은 취약점이 표면에 너무 심각하게 나타나지는 않지만 악용되면 조직을 더운물로 만들 수 있습니다. 깊은 곳에서 파고 몇 가지 상식을 사용하십시오.

두 가지 고려 사항 각각에 대해 높음, 중간 및 낮음 또는 1에서 5 등급 (1이 가장 낮은 우선 순위이고 5가 가장 높음)과 같은 기준을 사용하여 각 취약성을 순위를 매 깁니다. 다음은 각 카테고리의 샘플 표와 대표적인 취약점입니다.

취약점 우선 순위

높은 가능성

중간 우연도	우연도	고 영향도
암호화되지 않은 랩톱에 저장된 민감한 정보	암호화되지 않은 오프 사이트에서 수행 된 테이프 백업 및 / 암호로 보호 된	내부 SQL Server 시스템에 관리자 암호가 없음 보통 영향	중요한 정보가 포함 된 암호화되지 않은 전자 메일
전송 됨	Metasploit을 사용하여 악용 Windows 관리자	계정에 암호가 필요 없음 영향이 낮음	인터넷 검색 전용의 독립 실행 형 PC에서 구형 바이러스 서명
액세스	마케팅 웹 사이트에서 사용되는 약한 암호화 암호 표시된 보안 우선 순위는 보안 위험을 평가하는 정 성적 방법을 기반으로합니다. 즉, 시스템과 취약점에 대한 지식을 기반으로 주관적입니다. 또한 보안 도구에서 얻는 모든 위험 등급을 고려할 수 있습니다. 공급 업체가 궁극적 인 취약점 순위를 제공 할 수 없기 때문에 보안 도구에만 의존하지 마십시오.