문서11.2.1. 취약점 평가
A 취약점 정보 시스템의 기밀성, 무결성 또는 가용성을 손상시키는 데 어떤 방식으로든 사용될 수 있는 약점으로 간주됩니다. 취약점 평가의 목표는 시스템 내에서 발견된 취약점에 대한 간단한 인벤토리를 만드는 것입니다. 대상 환경. 이러한 대상 환경 개념은 매우 중요합니다. 고객의 대상 네트워크 및 필수 목표의 범위 내에 있어야 합니다. 평가 범위를 벗어나면 서비스 중단, 고객과의 신뢰 위반 또는 귀하와 귀하의 고용주에 대한 법적 조치가 발생할 수 있습니다.
상대적으로 단순하기 때문에 취약성 테스트는 실사를 입증하는 일환으로 정기적으로 보다 성숙한 환경에서 완료되는 경우가 많습니다. 대부분의 경우 취약점 분석과 같은 자동화된 도구7 및 웹 애플리케이션8 Kali 도구 사이트 및 Kali 데스크탑 애플리케이션 메뉴의 카테고리는 대상 환경에서 라이브 시스템을 검색하고 청취 서비스를 식별하며 이를 열거하여 서버 소프트웨어, 버전, 플랫폼 등과 같은 가능한 많은 정보를 검색하는 데 사용됩니다. .
그런 다음 잠재적인 문제나 취약점에 대한 알려진 서명이 있는지 이 정보를 확인합니다. 이러한 서명은 알려진 문제를 나타내기 위한 데이터 포인트 조합으로 구성됩니다. 더 많은 데이터 포인트를 사용할수록 식별이 더 정확해지기 때문에 여러 데이터 포인트가 사용됩니다. 다음을 포함하되 이에 국한되지 않는 매우 많은 수의 잠재적 데이터 포인트가 존재합니다.
• 운영 체제 버전: 소프트웨어가 한 운영 체제 버전에서는 취약하지만 다른 운영 체제 버전에서는 취약하지 않은 경우가 많습니다. 이로 인해 스캐너는 대상 응용 프로그램을 호스팅하는 운영 체제 버전을 최대한 정확하게 확인하려고 시도합니다.
• 패치 수준: 버전 정보를 증가시키지 않지만 취약점이 대응하는 방식을 변경하거나 심지어 취약점을 완전히 제거하는 운영 체제용 패치가 출시되는 경우가 많습니다.
• 프로세서 아키텍처: Intel x86, Intel x64, 여러 버전의 ARM, UltraSPARC 등과 같은 다중 프로세서 아키텍처에 대해 많은 소프트웨어 애플리케이션을 사용할 수 있습니다.
5https://en.wikipedia.org/wiki/Executable_space_protection#Windows 6https://en.wikipedia.org/wiki/Address_space_layout_randomization 7http://tools.kali.org/category/vulnerability-analysis 8http://tools.kali.org/category/web-applications
어떤 경우에는 취약점이 특정 아키텍처에만 존재하므로 이 정보를 아는 것이 정확한 서명을 위해 중요할 수 있습니다.
• 소프트웨어 버전: 대상 소프트웨어의 버전은 취약점 식별을 위해 캡처해야 하는 기본 항목 중 하나입니다.
이러한 데이터 포인트와 기타 많은 데이터 포인트는 취약점 스캔의 일부로 서명을 구성하는 데 사용됩니다. 예상대로 일치하는 데이터 포인트가 많을수록 서명이 더 정확해집니다. 서명 일치를 처리할 때 몇 가지 다른 잠재적인 결과를 얻을 수 있습니다.
• 참 긍정: 서명이 일치하고 실제 취약점을 포착합니다. 이러한 결과는 악의적인 개인이 귀하의 조직(또는 귀하의 고객)에게 피해를 주기 위해 이용할 수 있는 항목이므로 후속 조치를 취하고 수정해야 할 결과입니다.
• 거짓 긍정: 서명이 일치합니다. 그러나 발견된 문제는 실제 취약점이 아닙니다. 평가에서 이는 종종 소음으로 간주되어 매우 실망스러울 수 있습니다. 더 광범위한 검증 없이는 참양성을 거짓양성으로 무시하고 싶지 않을 것입니다.
• 참 부정(True Negative): 서명이 일치하지 않으며 취약점이 없습니다. 이는 대상에 취약점이 존재하지 않음을 확인하는 이상적인 시나리오입니다.
• 거짓 부정(False Negative): 서명이 일치하지 않지만 기존 취약점이 있습니다. 거짓양성(false positive)이 나쁜 만큼, 거짓음성(false negative)은 훨씬 더 나쁩니다. 이 경우 문제가 있지만 스캐너가 이를 감지하지 못했기 때문에 문제가 있는지 알 수 없습니다.
상상할 수 있듯이 서명의 정확성은 정확한 결과를 위해 매우 중요합니다. 제공되는 데이터가 많을수록 자동화된 서명 기반 스캔에서 정확한 결과를 얻을 가능성이 커지므로 인증된 스캔이 인기가 있는 경우가 많습니다.
인증된 스캔을 통해 스캔 소프트웨어는 제공된 자격 증명을 사용하여 대상을 인증합니다. 이는 다른 방법보다 대상에 대한 더 깊은 수준의 가시성을 제공합니다. 예를 들어, 일반 스캔에서는 수신 서비스와 해당 서비스가 제공하는 기능에서 파생될 수 있는 시스템에 대한 정보만 검색할 수 있습니다. 이것은 때로 꽤 많은 정보일 수 있지만 시스템에 인증하고 설치된 모든 소프트웨어, 적용된 패치, 실행 중인 프로세스 등을 종합적으로 검토하면 얻을 수 있는 데이터의 수준과 깊이에 비할 수는 없습니다. . 이러한 광범위한 데이터는 다른 경우에는 발견되지 않았을 취약점을 탐지하는 데 유용합니다.
잘 수행된 취약성 평가는 조직의 잠재적인 문제에 대한 스냅샷을 제시하고 시간 경과에 따른 변화를 측정하는 측정 기준을 제공합니다. 이는 상당히 가벼운 평가이지만, 그럼에도 불구하고 많은 조직에서는 서비스 가용성과 대역폭이 가장 중요한 낮 시간 동안 잠재적인 문제를 방지하기 위해 업무 외 시간에 자동화된 취약점 검색을 정기적으로 수행합니다.
앞서 언급했듯이, 취약점 스캔은 정확한 결과를 얻기 위해 다양한 데이터 포인트를 확인해야 합니다. 이러한 다양한 검사는 모두 대상 시스템에 부하를 생성할 뿐만 아니라 대역폭을 소모할 수도 있습니다. 아쉽게도 대상에서 얼마나 많은 리소스가 소모될지는 오픈 서비스의 개수와 종류에 따라 달라지기 때문에 정확히 알기는 어렵습니다.
해당 서비스와 관련된 수표. 이는 스캔을 수행하는 데 드는 비용입니다. 시스템 리소스를 차지하게 됩니다. 이러한 도구를 실행할 때 소비될 리소스와 대상 시스템이 차지할 수 있는 로드에 대한 일반적인 아이디어를 갖는 것이 중요합니다.
스레드 스캔 중 대부분의 취약점 스캐너에는 설정하는 옵션이 포함되어 있습니다. 스캔당 스레드, 이는 한 번에 발생하는 동시 검사 수와 같습니다. 이 숫자를 늘리면 평가 플랫폼의 로드는 물론 상호 작용하는 네트워크 및 대상에 직접적인 영향을 미칩니다. 스캐너를 사용할 때 이 점을 명심하는 것이 중요합니다. 스캔을 더 빠르게 완료하기 위해 스레드를 늘리고 싶지만 그렇게 하면 상당한 로드 증가가 발생한다는 점을 기억하십시오.
스레드 스캔 중 대부분의 취약점 스캐너에는 설정하는 옵션이 포함되어 있습니다. 스캔당 스레드, 이는 한 번에 발생하는 동시 검사 수와 같습니다. 이 숫자를 늘리면 평가 플랫폼의 로드는 물론 상호 작용하는 네트워크 및 대상에 직접적인 영향을 미칩니다. 스캐너를 사용할 때 이 점을 명심하는 것이 중요합니다. 스캔을 더 빠르게 완료하기 위해 스레드를 늘리고 싶지만 그렇게 하면 상당한 로드 증가가 발생한다는 점을 기억하십시오.
취약점 스캔이 완료되면 발견된 문제는 일반적으로 CVE 번호와 같은 업계 표준 식별자에 다시 연결됩니다.9, EDB ID10및 공급업체 권고 사항을 참조하세요. 이 정보는 취약점 CVSS 점수와 함께 제공됩니다.11, 위험 등급을 결정하는 데 사용됩니다. 위음성(및 위양성)과 함께 이러한 임의의 위험 등급은 스캔 결과를 분석할 때 고려해야 하는 일반적인 문제입니다.
자동화된 도구는 취약점을 탐지하기 위해 서명 데이터베이스를 사용하기 때문에 알려진 서명에서 약간만 벗어나면 결과가 변경될 수 있으며 인지된 취약점의 유효성도 마찬가지로 변경될 수 있습니다. 거짓 긍정은 존재하지 않는 취약점을 잘못 표시하는 반면, 거짓 부정은 사실상 취약점을 인식하지 못하고 이를 보고하지 않습니다. 이 때문에 스캐너는 서명 규칙 기반만큼만 우수하다고 종종 알려져 있습니다. 이러한 이유로 많은 공급업체에서는 여러 개의 서명 세트를 제공합니다. 하나는 가정 사용자에게 무료로 제공되고, 다른 하나는 보다 포괄적이며 일반적으로 기업 고객에게 판매되는 비교적 고가의 세트입니다.
취약성 스캔에서 자주 발생하는 또 다른 문제는 제안된 위험 등급의 유효성입니다. 이러한 위험 등급은 권한 수준, 소프트웨어 유형, 사전 또는 사후 인증과 같은 다양한 요소를 고려하여 일반적인 기준으로 정의됩니다. 환경에 따라 이러한 등급은 적용될 수도 있고 적용되지 않을 수도 있으므로 맹목적으로 받아들여서는 안 됩니다. 시스템과 취약점에 대해 잘 알고 있는 사람만이 위험 등급을 적절하게 검증할 수 있습니다.
위험 등급에 대해 보편적으로 정의된 합의는 없지만 NIST 특별 간행물 800-3012 환경에서의 위험 등급과 그 정확성을 평가하기 위한 기준으로 권장됩니다. NIST SP 800-30은 발견된 취약점의 실제 위험을 다음과 같이 정의합니다. 발생 가능성과 잠재적 영향의 조합.
9https://cve.mitre.org 10https://www.exploit-db.com/about/ 11https://www.first.org/cvss
12http://csrc.nist.gov/publications/PubsSPs.html#800-30