취약성 평가(컴퓨팅)

Vulnerability assessment (computing)

취약성 평가정보기술 시스템의 보안 구멍을 정의, 식별, 분류하는 과정이다. 공격자는 취약성을 이용하여 시스템의 보안을 침해할 수 있다. 알려진 취약성으로는 인증 취약성, 권한 부여 취약성 및 입력 유효성 검사 취약성이 있다.[1]

목적

시스템을 배치하기 전에 먼저 빌드 시스템이 알려진 모든 보안 위험으로부터 안전한지 확인하는 일련의 취약성 평가를 거쳐야 한다. 새로운 취약성이 발견되면 시스템 관리자는 다시 평가를 수행하고, 취약한 모듈을 찾아 패치 프로세스를 시작할 수 있다. 수정사항이 설치된 후에는 다른 평가를 실행하여 취약성이 실제로 해결되었는지 확인할 수 있다. 이러한 평가, 패치 및 재평가 주기는 많은 조직에서 보안 문제를 관리하는 표준 방법이 되었다.

평가의 주요 목적은 시스템의 취약점을 찾는 것이지만, 평가 보고서는 이러한 취약점으로부터 시스템이 확보되었다는 것을 이해관계자들에게 전달한다. 침입자가 취약한 웹 서버로 구성된 네트워크에 접속했다면, 그 시스템에도 접속했다고 가정해도 무방하다.[2] 평가보고서가 있기 때문에 보안 관리자는 침입이 어떻게 발생했는지 파악하고, 손상된 자산을 식별하며, 시스템에 심각한 손상을 입지 않도록 적절한 보안 조치를 취할 수 있게 된다.

평가 유형

시스템에 따라 취약성 평가는 다양한 유형과 수준을 가질 수 있다.

호스트 평가

호스트 평가는 안전하지 않은 파일 권한, 응용 프로그램 수준 버그, 백도어 및 트로이 목마 설치와 같은 시스템 수준 취약성을 찾는다. 시험해야 하는 각 시스템에 대한 관리 액세스 외에 사용 중인 운영 체제 및 소프트웨어 패키지에 대한 전문 도구가 필요하다. 호스트 평가는 종종 시간 면에서 매우 비용이 많이 들기 때문에 중요한 시스템의 평가에만 사용된다. 호스트 평가에서 COSTTiger와 같은 도구는 인기가 있다.

네트워크 평가

네트워크 평가에서 네트워크에 알려진 취약성이 있는지 평가한다. 네트워크의 모든 시스템을 배치하고, 어떤 네트워크 서비스가 사용 중인지 파악한 다음, 그러한 서비스에서 잠재적 취약성을 분석한다. 이 프로세스는 평가 중인 시스템에 대한 어떠한 구성 변경도 요구하지 않는다. 호스트 평가와 달리, 네트워크 평가에는 계산 비용과 노력이 거의 필요하지 않다.

취약성 평가 vs 침투 테스트

취약성 평가와 침투 테스트는 두 가지 다른 테스트 방법이다. 특정 매개변수에 기초하여 구별된다.

취약성 평가 vs 침투 테스트[3]
취약성 검색 삽입 테스트
실행 빈도 지속적으로, 특히 새 장비를 장착한 후 1년에 한 번
보고서 취약성 존재 및 마지막 보고서의 변경 사항에 대한 포괄적인 기준 간략하고 요점만 말해, 실제로 손상된 데이터를 식별
측정지표 악용될 수 있는 알려진 소프트웨어 취약성 나열 일반 비즈니스 프로세스에 대한 알려지지 않고 악용 가능한 노출 검색
수행자 일반 보안 프로파일에 대한 전문성과 지식을 높인다. 독립외부서비스
경비 낮음에서 보통으로: yr당 약 1200달러 + 직원 시간 높음: 외부 컨설팅 비용 연간 약 10,000달러
가치 탐정 제어 장치, 장비가 손상되었을 때 감지하는 데 사용 노출을 줄이는 데 사용되는 예방적 제어

참조

  1. ^ "Category:Vulnerability - OWASP". www.owasp.org. Retrieved 2016-12-07.
  2. ^ "Vulnerability Assessment" (PDF). www.scitechconnect.elsevier.com. Retrieved 2016-12-07.
  3. ^ "Penetration Testing vs. Vulnerability Scanning". www.tns.com. Retrieved 2016-12-07.

외부 링크