취약성 데이터베이스

Vulnerability database

취약성 데이터베이스(VDB)는 발견된 컴퓨터 보안 취약성에 대한 정보를 수집, 유지, 배포하는 것을 목적으로 하는 플랫폼이다.데이터베이스는 식별된 취약성을 관례적으로 설명하고, 영향을 받는 시스템에 대한 잠재적 영향을 평가하며, 문제를 완화하기 위한 해결책이나 업데이트를 제공한다.VDB는 숫자(예: 123456) 또는 영숫자 지정(예: VDB-2020-12345)과 같이 카탈로그화된 각 취약성에 고유한 식별자를 할당한다.데이터베이스의 정보는 웹 페이지, 엑스포트 또는 API를 통해 이용할 수 있다.VDB는 무료, 유료 또는 이들의 조합으로 정보를 제공할 수 있다.

역사

첫 번째 취약성 데이터베이스는 제롬 H. 솔처(Jerome H. Saltzer)가 1973년 2월 7일까지 발행한 "Repaired Security Bugs in Multics"이다.그는 목록을 "사용자가 멀티크 보호 메커니즘을 분해하거나 우회할 있는 알려진 모든 방법의 목록"[1]이라고 설명했다.이 목록은 처음에 해결책이 나올 때까지 취약성 세부사항을 보관할 목적으로 다소 비공개로 유지되었다.공개된 목록에는 두 가지 로컬 권한 상승 취약성과 세 가지 로컬 서비스 거부 공격이 포함되어 있었다.[2]

취약성 데이터베이스 유형

ISS X-Force 데이터베이스, Symantec / Security와 같은 주요 취약성 데이터베이스Focus BID 데이터베이스와 OSVDB([a]Open Source Vulnerability Database)는 CVE(공통 취약성 및 노출)를 포함한 광범위한 공개 취약성을 집계한다.MITRE가 운영하는 CVE의 1차적인 목적은 공공의 취약성을 취합하여 표준화된 형식 고유 식별자를 부여하는 것이다.[3]많은 취약성 데이터베이스는 CVE로부터 받은 인텔리전스를 개발하여 취약성 위험 점수, 영향 등급 및 필요한 해결 방법을 제공하는 추가 정보를 조사한다.과거에는 CVE가 취약성 데이터베이스를 연결하기 위해 무엇보다 중요 패치와 디버그를 공유하여 해커들이 개인 시스템의 중요한 정보에 액세스하지 못하도록 했다.[4]국립표준기술원(NIST)이 운영하는 국가 취약성 데이터베이스(NVD)는 MITRE가 운영하는 CVE 데이터베이스와 별도로 운영되지만 CVE의 취약성 정보만 포함하고 있다.NVD는 CVSS(Common Vulnerability Scoring System) 위험 점수 매기기 및 CPE(Common Platform Enumeration) 데이터를 제공하여 해당 데이터에 대한 개선 역할을 한다.

오픈 소스 취약성 데이터베이스는 취약성 보안에 대한 정확하고 기술적인 편견 없는 색인을 제공한다.포괄적인 데이터베이스는 121,000개 이상의 취약점을 분류했다.OSVDB는 2002년 8월에 설립되어 2004년 3월에 출범하였다.초기 초기에는 사이트 회원에 의해 새롭게 확인된 취약점을 조사하였고 웹사이트에 설명이 상세하게 설명되었다.그러나, 서비스의 필요성이 증대됨에 따라, 전담 인력의 필요성은 보안 프로젝트 및 OSVDB에 대한 자금 지원을 위해 2005년에 비영리 단체로 설립된 개방형 보안 재단(OSF)을 설립하는 결과를 낳았다.[5]OSVDB는 2016년 4월에 폐쇄되었다.[6]

미국 국가 취약성 데이터베이스(National Vulnerability Database)는 2005년 CVE에 대해 보고하는 종합적인 사이버 보안 취약성 데이터베이스다.[7]NVD는 현재 취약성에 대한 정보 리소스를 제공하는 개인과 산업 모두를 위한 주요 사이버 보안 참조 도구다.NVD는 10만 개 이상의 기록을 보유하고 있다.OSVDB와 유사하게, NVD는 영향 등급을 공표하고 자료를 지수로 분류하여 사용자에게 알기 쉬운 검색 시스템을 제공한다.[8]다른 나라들은 중국 국가 취약성 데이터베이스와 러시아의 데이터 보안 위협 데이터베이스와 같은 그들만의 취약성 데이터베이스를 가지고 있다.

또한 다양한 상업적 회사들은 자체 취약성 데이터베이스를 유지하여 고객들에게 웹 포털을 통해서뿐만 아니라 기계 판독이 가능한 형식으로 새로운 취약성 데이터와 업데이트된 취약성 데이터를 제공하는 서비스를 제공한다.Symantec의 DeepSight[9] 포털 및 취약점 데이터 피드, Secunia의 (Flexera가 구매한[10]) 취약점 관리자, Accenture의 취약점 인텔리전스 서비스[11](이전의 iDefence) 등이 그 예다.

취약성 데이터베이스는 조직이 중요한 취약성을 수정하려는 패치 또는 기타 완화 조치를 개발, 우선 순위 지정 및 실행하도록 권고한다.그러나 이는 추가 시스템 착취 및 위반을 방지하기 위해 패치를 급히 생성하기 때문에 종종 추가적인 취약성을 발생시킬 수 있다.사용자 또는 조직의 수준에 따라 사용자에게 영향을 미칠 수 있는 알려진 취약성에 대한 공개를 제공하는 취약성 데이터베이스에 대한 적절한 액세스를 보장한다.개인에 대한 접근을 제한하는 명분은 해커들이 잠재적으로 더 악용될 수 있는 기업 시스템 취약성에 정통하지 못하도록 방해하는 것이다.[12]

취약성 데이터베이스 사용

취약성 데이터베이스에는 식별된 광범위한 취약성이 포함되어 있다.그러나 모든 잠재적인 시스템 취약성을 수정하고 교정할 수 있는 전문지식, 인력 및 시간을 가진 조직은 거의 없으므로 취약성 점수는 시스템 위반의 심각성을 정량적으로 결정하는 방법이다.US-CERT 및 SANS Institute의 CVSS(Critical Vulnerability Analysis Scale)와 같은 취약성 데이터베이스에는 다양한 채점 방법이 존재하지만 공통 취약성 채점 시스템(CVSS)은 OSVDB, vFeed[13] 및 NVD를 비롯한 대부분의 취약성 데이터베이스에 널리 사용되는 기술이다.CVSS는 각각 취약성 등급을 제공하는 기본, 임시 및 환경이라는 세 가지 주요 지표에 기초한다.[14]

베이스

이 측정기준은 기밀정보 노출의 잠재적 영향, 정보의 접근성 및 되돌릴 수 없는 정보 삭제의 여파와 같은 취약성의 불변의 속성을 다룬다.

시간적

일시적 측정기준은 취약성의 변이 가능한 특성을 나타낸다. 예를 들어 취약성의 신뢰성, 시스템 위반의 현재 상태 및 적용할 수 있는 해결책의 개발.[15]

환경

CVSS의 이러한 측면은 개인 또는 조직에 대한 잠재적 손실을 취약성으로부터 평가한다.또한 개인 시스템에서 대규모 조직에 이르는 취약성의 주요 목표와 잠재적으로 영향을 받을 수 있는 개인의 수를 상세히 기술한다.[16]

서로 다른 채점 시스템을 사용하는 데 따른 복잡성 때문에 취약성의 심각성에 대한 합의가 이루어지지 않아 서로 다른 조직들이 중요한 시스템 착취를 간과할 수 있다.CVSS와 같은 표준화된 채점 시스템의 주요 이점은 발표된 취약성 점수를 신속하게 평가, 추구 및 교정할 수 있다는 것이다.조직과 개인은 모두 취약성이 자신의 시스템에 미치는 개인적 영향을 결정할 수 있다.정보 시스템이 점점 더 내장되고, 데이터 이용 기회와 마찬가지로, 정보 시스템에 대한 의존성과 의존도가 증가함에 따라 소비자와 조직에 대한 취약성 데이터베이스에서 도출된 이점은 기하급수적이다.[17]

취약성 데이터베이스에 나열된 일반적인 보안 취약성

초기 배포 실패

데이터베이스의 기능성은 엄격한 테스트 없이 결함이 없는 것처럼 보일 수 있지만, 해커들은 시스템의 사이버 보안에 침투할 수 있다.엄격한 보안 통제 없이 데이터베이스를 공개하는 경우가 많아 민감한 자료는 쉽게 접근할 수 있다.[18]

SQL 주입

데이터베이스 공격은 취약성 데이터베이스에 기록된 사이버 보안 침해의 가장 반복적인 형태다.SQL과 NoSQL 주입은 각각 전통적인 정보 시스템과 빅데이터 플랫폼을 관통하고 해커들이 규제를 받지 않는 시스템 액세스를 허용하는 악의적인 진술을 보간한다.[19]

잘못 구성된 데이터베이스

일반적으로 확립된 데이터베이스는 과도한 작업 부하와 결함 있는 시스템 취약성을 업데이트하기 위한 철저한 트라이얼링의 필요성 때문에 취약성 데이터베이스가 제안하는 중요한 패치를 구현하지 못한다.데이터베이스 운영자들은 해커들이 방치된 패치를 통해 무감정 시스템 액세스를 제공하는 주요 시스템 결함에 노력을 집중한다.[20]

부적절한 감사

모든 데이터베이스는 데이터 수정 또는 액세스 시 감사 트랙을 기록하도록 요구한다.필요한 감사 시스템 없이 시스템을 만들 때, 시스템 취약점의 이용은 식별하고 해결하기 어렵다.취약성 데이터베이스는 사이버 공격을 억제하는 감사 추적의 중요성을 공표한다.[21]

개인정보와 재무정보가 핵심 자산이고 민감한 자료의 정리가 기업의 평판을 떨어뜨릴 수 있기 때문에 데이터 보호는 어떤 사업에도 필수적이다.기밀 정보를 보호하기 위해서는 데이터 보호 전략의 구현이 필수적이다.일부는 소프트웨어 설계자의 초기 무관심 때문에 취약성 데이터베이스의 존재가 필요하다는 견해를 가지고 있다.시스템을 보다 면밀하게 고안했다면 SQL과 NoSQL 주입으로 인해 취약성 데이터베이스가 중복될 수 있다.[22]

메모들

  1. ^ OSVDB는 2016년 4월에 종료되었으며 유료 서비스인 VulnDB가 그 자리를 대신했다.

참조

  1. ^ Saltzer, J. H. (7 February 1973). "Repaired Security Bugs in Multics" (PDF). S2CID 15487834. {{cite journal}}:Cite 저널은 필요로 한다. journal=(도움말)
  2. ^ "REPAIRED SECURITY BUGS IN MULTICS" (PDF).
  3. ^ "Common Vulnerabilities and Exposures (CVE)". Cve.mitre.org. Retrieved 1 November 2015.
  4. ^ Yun-Hua, Gu; Pei, Li (2010). "Design and Research on Vulnerability Database". 2010 Third International Conference on Information and Computing. pp. 209–212. doi:10.1109/ICIC.2010.147. ISBN 978-1-4244-7081-5. S2CID 13308368.
  5. ^ Karlsson, Mathias (2012). The Edit History of the National Vulnerability Database and similar Vulnerability Databases (PDF) (Thesis).
  6. ^ "OSVDB Shut Down Permanently". Retrieved 2021-01-25.
  7. ^ "The National Vulnerability Database Explained". resources.whitesourcesoftware.com. Retrieved 2020-12-01.
  8. ^ "NVD Primary Resources". National Vulnerability Database. Retrieved 1 November 2015.
  9. ^ "DeepSight Technical Intelligence Symantec". www.symantec.com. Retrieved 2018-12-05.
  10. ^ "Secunia's Vulnerability Manager".
  11. ^ "Accenture Vulnerability Intelligence" (PDF).
  12. ^ Erickson, J (2008). Hacking - The Art of Exploitation (1st ed.). San Francisco: No Starch Press. ISBN 978-1593271442.
  13. ^ vFeed. "vFeed Correlated Vulnerability and Threat Intelligence".
  14. ^ First. "Common Vulnerability Scoring System (CVSS-SIG)". Retrieved 1 November 2015.
  15. ^ Mell, Peter; Scarfone, Karen; Romanosky, Sasha (November 2006). "Common Vulnerability Scoring System". IEEE Security Privacy. 4 (6): 85–89. doi:10.1109/MSP.2006.145. S2CID 14690291.
  16. ^ Hayden, L (2010). IT Security Metrics (1st ed.). New York: McGraw Hill.
  17. ^ Chandramouli, R; Grance, T; Kuhn, R; Landau, S (2006). "Common Vulnerability Scoring System": 85–88. {{cite journal}}:Cite 저널은 필요로 한다. journal=(도움말)
  18. ^ "The Most Significant Risks of 2015 and How to Mitigate Them" (PDF). Imperva. Retrieved 2 November 2015.
  19. ^ Natarajan, Kanchana; Subramani, Sarala (2012). "Generation of Sql-injection Free Secure Algorithm to Detect and Prevent Sql-Injection Attacks". Procedia Technology. 4: 790–796. doi:10.1016/j.protcy.2012.05.129.
  20. ^ "Vulnerability Database - Top 1000 Flaws". Network Security. 8 (6). 2001.
  21. ^ Afyouni, H (2006). Database Security & Auditing (1st ed.). Boston: Thomson Course Technology.
  22. ^ Sirohi, D (2015). Transformational Dimensions of Cyber Crime. India: Vij Books. pp. 54–65.

참고 항목