점수 파악하기: 취약점 노출 설명

이 게시물에서는 조직이 업계 표준 취약성 점수 측정값을 고유한 환경의 컨텍스트와 결합할 수 있는 Illumio 취약성 노출 점수(VES)를 계산하는 다양한 요소에 대해 설명합니다. 또한 VES는 보안 전문가가 보안 제어의 우선 순위를 지정하여 공격 표면의 노출과 취약성의 잠재적 영향을 최소화할 수 있도록 도와줍니다.

노출이란 무엇인가요?

사이버 보안의 맥락에서 노출은 일반적으로 "공격 표면으로 정의됩니다." 다음은 OWASP에서 사용하는 정의입니다:

공격 표면은 공격자가 시스템에 침입할 수 있는 모든 지점과 데이터를 유출할 수 있는 지점을 설명합니다.

일루미오 VES는 이러한 정의에 직접적으로 부합합니다. 간단히 말해, 노출이란 "구멍" 또는 공격자가 네트워크에서 시스템에 침입하려고 시도할 수 있는 여러 지점의 합을 정량화하는 시도입니다.

예를 들어 포트 443에서 웹 애플리케이션을 실행하는 워크로드인 파트너 포털이 있다고 가정해 보겠습니다. 최소 권한 원칙에 따라 해당 웹 애플리케이션에 대한 액세스 권한을 외부 파트너 3곳으로만 제한할 수 있습니다. 이 예에서 해당 애플리케이션의 노출 점수는 3점입니다. 이는 당연한 것처럼 보이지만, 조직은 애플리케이션별로 애플리케이션에 대한 동서 노출에 대해 이러한 수준의 인식이나 가시성을 확보하지 못하는 경우가 많으며, 환경 전반에 걸쳐 이러한 노출의 총합이 미치는 영향은 말할 것도 없습니다.

취약점 점수란 무엇인가요?

Illumio VES는 원래 국가 인프라 자문 위원회 (NIAC)가 개척한 개방형 산업 표준이자 커뮤니티에서 인정하는 공통 취약점 점수 시스템(CVSS)을 사용합니다. 업계 표준을 채택하면 취약성 관리 공급업체를 비롯한 기존의 많은 보안 솔루션과 상호 운용할 수 있을 뿐만 아니라 가장 광범위한 보안 실무자가 인정하는 점수를 제공할 수 있습니다.

취약성 점수는 대부분의 취약성 관리 솔루션에서 일반적으로 사용되며 일반적으로 워크로드별로 평가 및 할당됩니다. 예를 들어 워크로드 A에는 5개의 취약점이 있습니다. 취약점 점수는 이 다섯 가지 CVSS 점수의 합산 평균이 될 수 있습니다. 이는 단일 워크로드의 잠재적 취약성을 개별적으로 이해하는 데는 유용한 지표이지만, 라이브 환경에서 해당 워크로드가 얼마나 취약한지를 이해하는 데는 몇 가지 중요한 세부 정보가 누락되어 있습니다.

마이크로세그멘테이션을 구현하여 취약성과 관련된 위험 완화하기

어떤 것이 얼마나 취약한지 파악하려면 여러 가지 요소를 살펴봐야 합니다. 취약점은 사용자 환경에 노출되어 악용될 수 있을 때만 진정한 위험이 됩니다.

간단한 예로 하나의 중요한 취약점이 있는 단일 워크로드를 생각해 보겠습니다. 심각도가 '심각'으로 표시되므로 악용 가능성이 높을 수 있습니다. 보안팀의 일반적인 권고는 "패치를 해야 합니다!"일 수 있습니다. 하지만 얼마나 많은 다른 워크로드가 해당 워크로드에 연결하여 잠재적으로 해당 취약점을 악용할 수 있는지 생각해 보겠습니다. 또한 해당 취약점의 일부로 노출된 네트워크 포트에 대해서도 살펴봅시다. 플랫 네트워크에서 흔히 그렇듯이 워크로드는 다른 많은 워크로드와 잘 연결됩니다.

패치가 아직 존재하지 않거나 프로덕션 가동 시간, 변경 기간 및 SLA와 관련된 요구 사항 및 제한 사항으로 인해 특정 취약점을 패치하는 것이 불가능할 수 있습니다. 이러한 경우 마이크로세그멘테이션을 사용하여 해당 취약한 워크로드 및 특정 취약 포트에 연결할 수 있는 워크로드 수를 줄일 수 있습니다.

마이크로세그멘테이션은 다음과 같은 방법으로 위험을 완화하는 제어 수단이 됩니다:

• 워크로드에 대한 공격 벡터를 줄입니다.
• 워크로드의 "노출" 을 줄입니다.
• 해당 워크로드의 취약점이 ' "심각' 취약점이고 현재 패치가 불가능하더라도 실제로 악용될 수 있는 위험을 줄입니다.
  

취약점 노출 점수란 무엇인가요?

Illumio VES는 취약점(일반적으로 CVSS 점수로 표시됨)의 "악용 가능성(" )과 사용자 환경의 공격 벡터를 통한 취약한 워크로드의 실제 "도달 가능성(" )을 모두 파악할 수 있는 수단입니다( "노출이라고 부르고 있음)."

이제 실제 계산을 해보겠습니다. VES는 스케일링된 취약성 점수(CVSS)에 특정 서비스에 대한 스케일링된 노출 측정값을 곱하여 계산되며, 여기서 s와 p는 해당 측정값을 로그 스케일링하는 데 도움이 되는 스케일링 계수로, 값의 범위가 클 때 일반적으로 사용되는 수학적 기법입니다:

VES = s(CVSS) * p(노출 측정)

NBA MVP 스테픈 커리로부터 얻은 기업 보안 교훈에 대한 포브스 기사에서 언급했듯이, 이 측정은 보안 전문가가 세분화된 환경의 맥락에서 취약성 및 관련 위협 정보를 이해할 수 있는 방법을 제공합니다.

특히 기존의 취약성 관리 솔루션은 중요, 높음, 보통, 낮음, 정보 등의 등급을 사용하여 취약성을 분류하고 완화 노력의 우선순위를 정하는 데 도움을 줍니다. 중요도와 높음은 당연히 즉각적인 관심을 받아야 합니다. 그러나 우선 순위가 지정되지 않은 중간 수준의 취약점도 많으며, 결국 멀웨어 작성자가 발견하지 못한 채 중요한 백로그에 쌓이게 됩니다.  

중요한 취약점은 공격자가 낮은 비용으로 악용할 수 있는 경우가 많지만, 보안팀이 신속하게 패치를 적용하거나 노출을 제거할 다른 방법을 찾기 때문에 짧은 기간 동안만 악용할 수 있는 경우가 많습니다. 항상 새로운 각도를 찾는 공격자들은 점점 더 노이즈에 가려져 오랫동안 패치되지 않은 채로 남아 있는 중간 수준의 취약점을 노리고 있으며, 이는 침해에 훨씬 더 효과적인 표적이 됩니다. 익스플로잇 비용이 조금 더 "비싼" 것으로 간주될 수 있지만(진입 장벽이 높다고 할 수 있습니다), 중요하고 높은 취약점보다 더 오래 사용할 수 있다는 사실은 공격자가 투자 대비 ROI를 계산할 때 훨씬 더 매력적인 표적이 될 수 있습니다.

목적과 보상

VES를 사용하면 조직이 업계 모범 사례인 CVSS 점수를 각 고객 환경에 고유한 요소와 결합하는 것이 훨씬 쉬워집니다. 보안팀은 고유한 환경의 취약점 노출에 따라 완화 전략의 우선순위를 더 잘 정할 수 있습니다. 예를 들어, 심각도가 높은 취약성은 마이크로세그멘테이션 제어를 통해 노출이 크게 감소했기 때문에 우선순위가 낮아질 수 있습니다. 또는 취약한 서비스에 대한 잠재적인 공격 경로가 매우 많이 노출되어 있으므로 목록의 맨 위에 우선순위를 두어야 하는 중간 수준의 취약점이 있을 수 있습니다.

VES는 사용자 환경이 연결되고 통신하는 방식인 맵을 고유하게 이해하고 맵 위에 취약성 정보를 오버레이하여 보안팀이 해당 환경의 취약성 위험을 시각화하고 우선순위를 정할 수 있도록 지원하기 때문에 가능합니다. 이는 보안 팀뿐만 아니라 애플리케이션 소유자 및 경영진과 같이 더 광범위한 비즈니스 위험의 맥락에서 해당 위험을 이해하고 완화하거나 수용해야 하는 다른 사람들에게도 매우 강력한 도구가 됩니다.