공격자는 연중 무휴 24 시간 작동하므로 7 시간 내내 경계해야합니다. 게임 이론을위한 시간.
모든 취약점을 동등하게 처리하려고하면 조직이 빠르게 압도 될 것입니다. 취약한 규모, 제한된 리소스 및 관련된 팀 전체의 다양한 목표를 감안할 때 효과적인 사이버 보안을 위해서는 적절한 상황에서 취약성을보고 치료를 위해 우선 순위를 지정하여 치료를해야합니다.
“취약점”재정의
우선, 조직은 취약점이 있음을 의미하는 것을 확립해야합니다. 취약점은 종종 악용 가능성, 위협 행위자, 동기 부여 등과 같은 다른 관련 요소를 고려하지 못하는 사일로 또는 진공 상태에서 정의되고 해석됩니다. 따라서 실제로 취약점은 취약점을 악용하는 위협과 취약점 만 악용하는 것입니다. 성공적인 악용이 조직이나 비즈니스에 미칠 수있는 잠재적 영향.
조직은 종종 CVSS (Common Vulnerability Scoring System) 및 CVE (Common Vulnerabilities and Exposure) 번호에 중점을 두어 취약점의 순위를 정하거나 우선 순위를 정하지 만 취약점을 효과적으로 관리하기 위해 자체적으로 사용할 수는 없습니다.
CVSS는 취약점의 심각성을 측정하지만 위험은 고려하지 않습니다. 취약점이 성공적으로 악용 될 경우의 영향 또는 피해 정도에 대한 최악의 시나리오를 나타내지 만 악용이 발생할 가능성은 그다지 크지 않습니다. CVE는 고유 한 취약점을 식별하기위한 명명 규칙 또는 라이브러리 일 뿐이므로 위험 관리 관점에서 훨씬 유용하지 않습니다.
취약점의 우선 순위를 정하는 컨텍스트
취약점은 심각 할 수 있지만 위험은 낮거나, 위험은 높지만 위험하지는 않습니다. 두 용어는 서로 바꿔 사용할 수 없으며 차이점을 이해하는 것이 중요합니다.
IT 보안 팀은 가장 최근의 취약점, 특히 심각도가 높은 취약점에 초점을 맞추는 경향이 있습니다. 반면에 공격자는 심각도에 따라 우선 순위를 정할 필요는 없습니다. 그들은 증명할 것이 없습니다. 공격자는 일반적으로 착취의 용이성과 높은 투자 수익에 중점을 둡니다. 공격자는 단지 악용을 구매하거나 기존 악용 도구를 사용하고 검색 및 악용 프로세스를 자동화 할 수 있기 때문에 많은 공격이 수개월 또는 수년간 패치가 존재했던 오래된 취약점을 대상으로합니다. 공격자는 공격을 시작하기 위해 산업화 된 접근 방식을 취하는 경향이 있습니다.
게임 이론 및 취약점 관리
취약점 관리와 관련하여 가장 큰 오류 중 하나는 숫자 게임이라는 것입니다. 많은 조직에서 취약성 관리에 대한 왜곡되고 메트릭 중심의 접근 방식을 사용하여 회사가 심각한 위험에 노출되는 동안 진행 상황과 성공의 환상을 만듭니다.
1,000 개의 취약점이 발견되어 IT 보안 팀이 990 개의 패치 (또는 치료)를 완화하거나 완화 할 경우이 취약점 중 99 %가 닫혔습니다. 액면가는 인상적이지만 공격자는 엔터프라이즈 네트워크에 침입하기 위해 악용 가능한 취약점이 하나만 있으면됩니다. 실제 질문은 다음과 같습니다. 남아있는 10 가지 취약점은 무엇이며, 그 중 하나가 성공적으로 악용 될 경우 조직이 직면 할 수있는 영향은 무엇입니까?
취약성 관리를 숫자 게임으로보고 감지 된 총 취약성의 임의 비율을 기준으로 성공을 측정하는 대신, 조직은 취약성 관리를 게임 이론의 함수로 간주해야합니다.
그게 무슨 소리 야? 게임 이론은 유틸리티 극대화 결정을 예측하기 위해 합리적인 선택 이론과 적대 지식의 가정을 사용합니다. 상대방의 전략을 예측할 수 있습니다. 게임 이론을 취약점 관리에 적용하는 것은 단지 취약점을 계산하는 것보다 효과적이고 실용적인 전략입니다.
취약성의 우선 순위를 효과적으로 지정하고 효과적인 취약성 관리를 유지하기 위해 고려해야 할 다양한 요소가 있습니다. IT 보안 팀은 취약성 심각도, 자산 중요도, 자산 접근성, 완화 제어, 잠재적 영향 등 여러 요소를 고려하고 협상해야하며 성공적인 전략을 개발하기 위해 상대방에 대해 전술적으로 생각해야합니다.
지속적인 경계는 중요하다
효과적인 취약성 관리 전략의 마지막 부분은 지속적이어야한다는 것입니다. 매월 또는 매주 취약성 검사를 실행하여 취약성을 식별하여 해당 시점의 스냅 샷 만 제공합니다.
공격자는 주별 또는 월간 일정으로 작업하지 않습니다. 인터넷은 전 세계적으로 사용되며 항상 오전 10시입니다. 공격자는 24 시간 내내 작업하므로 취약성 관리 노력을 7/XNUMX에주의해야합니다.
취약성 치료 노력의 우선 순위를 정할 때 상황을 고려하는 방법, 취약성 관리를 순수한 숫자 게임으로 취급하지 않고 게임 이론을 기반으로하는 전략 및 지속적인 취약성 모니터링 시스템을 이해하면 공격 영역을 줄이고 보안 상태를 개선하는 데 도움이됩니다. .
관련 콘텐츠 :
Prateek Bhajanka (CISA, CEH)는 제품 관리 부사장으로 VMDR 제품 오퍼링의 제품 정의, 로드맵, 마케팅 및 전략을 담당합니다. 그는 보안 영역에서 포괄적 인 경험을 가지고 있으며 전반적으로 역할을 수행했습니다.… 전체 자료보기
더 많은 통찰력
