NIST(National Institute of Standards and Technology)는 매월 2,000개 이상의 새로운 보안 취약점을 국가 취약성 데이터베이스. 보안 팀은 이러한 모든 취약점을 추적할 필요는 없지만 시스템에 잠재적인 위협이 되는 취약점을 식별하고 해결할 수 있는 방법이 필요합니다. 그게 바로 취약점 관리 수명 주기는 입니다.

취약성 관리 수명 주기는 회사의 IT 자산에서 취약성을 발견하고 우선 순위를 지정하고 해결하기 위한 지속적인 프로세스입니다.

수명 주기의 일반적인 라운드에는 XNUMX단계가 있습니다.

1. 자산 인벤토리 및 취약성 평가. 
2. 취약점 우선순위.
3. 취약점 해결.
4. 확인 및 모니터링.
5. 보고 및 개선.

취약성 관리 수명 주기를 통해 조직은 취약성 관리에 보다 전략적인 접근 방식을 취함으로써 보안 상태를 개선할 수 있습니다. 새로운 취약점이 나타날 때 대응하는 대신 보안 팀은 시스템의 결함을 적극적으로 찾습니다. 조직은 위협 행위자가 공격하기 전에 가장 심각한 취약점을 식별하고 보호 조치를 취할 수 있습니다.

취약점 관리 수명 주기가 중요한 이유는 무엇입니까?

취약성은 네트워크 또는 자산의 구조, 기능 또는 구현에 있는 모든 보안 취약점입니다. 해커 악용하여 회사에 피해를 줄 수 있습니다. 

취약성은 자산 구성의 근본적인 결함으로 인해 발생할 수 있습니다. 악명높은 사건이 그랬다. Log4J 취약점, 인기있는 코딩 오류 자바 라이브러리는 해커가 원격으로 실행할 수 있도록 허용했습니다. 악성 코드 피해자의 컴퓨터에서 다른 취약성은 공용 인터넷에 민감한 데이터를 노출하는 잘못 구성된 클라우드 스토리지 버킷과 같은 사람의 실수로 인해 발생합니다.

모든 취약성은 조직의 위험입니다. IBM에 따르면 X-Force 위협 인텔리전스 인덱스, 취약점 악용은 두 번째로 흔한 사이버 공격 벡터. X-Force는 또한 새로운 취약점의 수가 매년 증가하여 23,964년에만 2022개가 기록되었음을 발견했습니다.

해커는 마음대로 사용할 수 있는 취약점을 점점 더 많이 보유하고 있습니다. 이에 대응하여 기업은 취약성 관리를 핵심 구성 요소로 삼았습니다. 사이버 위험 관리 전략. 취약성 관리 수명 주기는 끊임없이 변화하는 사이버 위협 환경에서 효과적인 취약성 관리 프로그램을 위한 공식적인 모델을 제공합니다. 수명 주기를 채택함으로써 조직은 다음과 같은 이점을 볼 수 있습니다.

• 사전 예방적 취약성 검색 및 해결: 기업은 종종 해커가 악용할 때까지 취약점에 대해 알지 못합니다. 취약성 관리 수명 주기는 지속적인 모니터링을 중심으로 구축되므로 보안 팀은 적보다 먼저 취약성을 찾을 수 있습니다.
• 전략적 자원 할당: 매년 수만 개의 새로운 취약점이 발견되지만 조직과 관련된 취약점은 소수에 불과합니다. 취약성 관리 수명 주기는 기업이 네트워크에서 가장 심각한 취약성을 정확히 찾아내고 가장 큰 위험을 해결하기 위한 우선 순위를 지정하는 데 도움이 됩니다.
• 보다 일관된 취약성 관리 프로세스: 취약성 관리 수명 주기는 보안 팀이 취약성 검색에서 교정 및 그 이상에 이르기까지 따라야 할 반복 가능한 프로세스를 제공합니다. 보다 일관된 프로세스는 보다 일관된 결과를 생성하고 기업이 자산 인벤토리, 취약성 평가 및 패치 관리.

취약성 관리 수명 주기의 단계

새로운 취약성은 언제든지 네트워크에서 발생할 수 있으므로 취약성 관리 수명 주기는 일련의 개별 이벤트가 아닌 연속 루프입니다. 수명 주기의 각 라운드는 다음 단계로 직접 전달됩니다. 단일 라운드에는 일반적으로 다음 단계가 포함됩니다. 

0단계: 계획 및 사전 작업

기술적으로 계획 및 사전 작업은 취약성 관리 수명 주기 이전에 발생하므로 "단계 0" 지정입니다. 이 단계에서 조직은 다음을 포함하여 취약성 관리 프로세스의 중요한 세부 정보를 처리합니다.

• 어떤 이해 관계자가 참여할 것이며 역할은 무엇입니까?
• 취약성 관리에 사용할 수 있는 리소스(사람, 도구 및 자금 포함)
• 취약점의 우선 순위 지정 및 대응을 위한 일반 지침
• 프로그램의 성공을 측정하기 위한 지표

조직은 라이프사이클의 모든 라운드 전에 이 단계를 거치지 않습니다. 일반적으로 회사는 공식적인 취약성 관리 프로그램을 시작하기 전에 광범위한 계획 및 사전 작업 단계를 수행합니다. 프로그램이 마련되면 이해 관계자는 주기적으로 계획 및 사전 작업을 재검토하여 필요에 따라 전반적인 지침과 전략을 업데이트합니다. 

1단계: 자산 검색 및 취약성 평가

공식적인 취약성 관리 수명 주기는 조직의 네트워크에 있는 모든 하드웨어 및 소프트웨어의 카탈로그인 자산 인벤토리에서 시작됩니다. 인벤토리에는 공식적으로 승인된 앱과 엔드포인트 및 모든 항목이 포함됩니다. 그림자 IT 직원이 승인 없이 사용하는 자산. 

새 자산이 정기적으로 회사 네트워크에 추가되기 때문에 자산 인벤토리는 수명 주기의 모든 라운드 전에 업데이트됩니다. 회사는 종종 다음과 같은 소프트웨어 도구를 사용합니다. 공격 표면 관리 인벤토리를 자동화하는 플랫폼.  

자산을 식별한 후 보안 팀은 자산의 취약성을 평가합니다. 팀은 자동화된 취약성 스캐너, 수동을 포함한 도구와 방법의 조합을 사용할 수 있습니다. 침투 테스트 및 외부 위협 정보 사이버 보안 커뮤니티에서.

수명 주기의 모든 라운드 동안 모든 자산을 평가하는 것은 번거롭기 때문에 보안 팀은 일반적으로 일괄 작업을 수행합니다. 수명 주기의 각 라운드는 특정 자산 그룹에 초점을 맞추고 더 중요한 자산 그룹이 더 자주 스캔을 받습니다. 일부 고급 취약성 검색 도구는 모든 네트워크 자산을 실시간으로 지속적으로 평가하여 보안 팀이 취약성 검색에 훨씬 더 동적인 접근 방식을 취할 수 있도록 합니다. 

2단계: 취약성 우선 순위 지정

보안 팀은 평가 단계에서 발견한 취약점의 우선 순위를 정합니다. 우선 순위 지정을 통해 팀은 가장 심각한 취약성을 먼저 해결합니다. 이 단계는 또한 팀이 위험도가 낮은 취약점에 시간과 리소스를 쏟지 않도록 도와줍니다. 

취약점의 우선 순위를 지정하기 위해 팀은 다음 기준을 고려합니다.

• 외부 위협 인텔리전스의 중요도 등급: 여기에는 MITRE의 목록이 포함될 수 있습니다. 일반적인 취약점 및 노출(CVE) 또는 CVSS(Common Vulnerability Scoring System).
• 자산 중요도: 중요한 자산의 중요하지 않은 취약성은 종종 덜 중요한 자산의 치명적인 취약성보다 높은 우선순위를 받습니다. 
• 잠재적 인 영향: 보안 팀은 해커가 비즈니스 운영에 미치는 영향, 재정적 손실 및 법적 조치 가능성을 포함하여 특정 취약성을 악용할 경우 발생할 수 있는 상황을 평가합니다.
• 악용 가능성: 보안 팀은 해커가 야생에서 적극적으로 사용하는 알려진 악용으로 취약점에 더 많은 주의를 기울입니다.
• 오탐지: 보안 팀은 리소스를 할당하기 전에 취약점이 실제로 존재하는지 확인합니다. 

3단계: 취약점 해결

보안 팀은 가장 중요한 것부터 가장 덜 중요한 것까지 우선순위가 지정된 취약점 목록을 검토합니다. 조직에는 취약점을 해결하기 위한 세 가지 옵션이 있습니다.

1. 교정: 운영 체제 버그 패치, 잘못된 구성 수정 또는 네트워크에서 취약한 자산 제거와 같이 더 이상 악용되지 않도록 취약성을 완전히 해결합니다. 교정이 항상 가능한 것은 아닙니다. 일부 취약점의 경우 발견 시점에 완전한 수정이 제공되지 않습니다(예: 제로 데이 취약점). 다른 취약점의 경우 치료에 너무 많은 리소스가 필요합니다.  
2. 완화: 취약점을 완전히 제거하지 않고 취약점을 악용하기 어렵게 만들거나 악용의 영향을 줄입니다. 예를 들어 웹 애플리케이션에 더 엄격한 인증 및 권한 부여 조치를 추가하면 해커가 계정을 도용하기가 더 어려워집니다. 제작 사고 대응 계획 확인된 취약점이 사이버 공격의 타격을 완화할 수 있기 때문입니다. 보안 팀은 일반적으로 수정이 불가능하거나 엄청나게 비용이 많이 드는 경우 완화를 선택합니다. 
3. 수락: 일부 취약점은 영향이 너무 적거나 악용될 가능성이 낮기 때문에 문제를 해결하는 것이 비용 효율적이지 않습니다. 이러한 경우 조직은 취약성을 허용하도록 선택할 수 있습니다. 

4단계: 확인 및 모니터링

완화 및 교정 노력이 의도한 대로 작동했는지 확인하기 위해 보안 팀은 방금 작업한 자산을 다시 스캔하고 다시 테스트합니다. 이러한 감사에는 두 가지 주요 목적이 있습니다. 보안 팀이 알려진 모든 취약점을 성공적으로 해결했는지 확인하고 완화 및 교정으로 인해 새로운 문제가 발생하지 않았는지 확인하는 것입니다.

이 재평가 단계의 일환으로 보안 팀은 네트워크를 보다 광범위하게 모니터링합니다. 팀은 마지막 스캔 이후의 새로운 취약성, 더 이상 사용되지 않는 이전 완화 또는 조치가 필요할 수 있는 기타 변경 사항을 찾습니다. 이러한 모든 결과는 수명 주기의 다음 라운드에 정보를 제공하는 데 도움이 됩니다.

5단계: 보고 및 개선

보안 팀은 발견된 취약성, 수행된 해결 단계 및 결과를 포함하여 수명 주기의 가장 최근 라운드의 활동을 문서화합니다. 이러한 보고서는 경영진, 자산 소유자, 규정 준수 부서 등을 포함한 관련 이해 관계자와 공유됩니다. 

보안 팀은 또한 가장 최근의 수명 주기가 어떻게 진행되었는지 반영합니다. 팀은 평균 탐지 시간(MTTD), 평균 응답 시간(MTTR), 치명적인 취약성의 총 수 및 취약성 재발률과 같은 주요 메트릭을 살펴볼 수 있습니다. 시간 경과에 따라 이러한 메트릭을 추적함으로써 보안 팀은 취약성 관리 프로그램의 성능에 대한 기준을 설정하고 시간 경과에 따라 프로그램을 개선할 기회를 식별할 수 있습니다. 라이프사이클의 한 라운드에서 배운 교훈은 다음 라운드를 더 효과적으로 만들 수 있습니다.

취약성 관리 솔루션 살펴보기

취약점 관리는 복잡한 작업입니다. 공식적인 수명 주기가 있더라도 보안 팀은 대규모 기업 네트워크에서 취약성을 추적하려고 시도하면서 건초더미에서 바늘을 찾는 것처럼 느낄 수 있습니다. 

IBM X-Force® Red는 프로세스를 간소화하는 데 도움이 될 수 있습니다. X-Force® Red 팀은 포괄적인 취약점 관리 서비스, 중요한 자산을 식별하고, 고위험 취약점을 발견하고, 약점을 완전히 수정하고 효과적인 대책을 적용하기 위해 조직과 협력합니다.

IBM X-Force® Red 취약성 관리 서비스에 대해 자세히 알아보기

IBM Security® QRadar® Suite는 현대화된 위협 탐지 및 대응 솔루션으로 리소스가 제한된 보안 팀을 추가로 지원할 수 있습니다. QRadar Suite는 공통 사용자 인터페이스 내에서 엔드포인트 보안, 로그 관리, SIEM 및 SOAR 제품을 통합하고 엔터프라이즈 자동화 및 AI를 내장하여 보안 분석가가 생산성을 높이고 여러 기술에서 보다 효과적으로 작업할 수 있도록 지원합니다.

IBM Security QRadar Suite 살펴보기