이 팟 캐스트에서 Prateek Bhajanka, 제품 관리, 취약성 관리, 탐지 및 대응 부사장 품질, 위협에 대응하는 조직의 능력을 크게 가속화 할 수있는 방법에 대해 설명합니다.
VMDR 품질 조직은 네트워크에 나타나는 관리되지 않는 자산을 비롯하여 모든 하드웨어 및 소프트웨어의 인벤토리를 작성하고 중요한 자산을 분류 및 태그 지정하는 등 환경의 모든 자산을 자동으로 검색 할 수 있습니다. VMDR은 지속적으로 이러한 자산에 대한 최신 취약성을 평가하고 최신 위협 인텔 분석을 적용하여 적극적으로 악용 가능한 취약성을 우선 순위로 둡니다.
다음은 귀하의 편의를위한 포드 캐스트 사본입니다.
여러분 안녕하세요. Prateek Bhajanka, Qualys의 제품 관리, 취약성 관리, 탐지 및 대응 부사장입니다. 오늘은 Qualys가 시장에 도입 한 새로운 개념에 대해 이야기하겠습니다. 이는 취약점 관리 탐지 및 대응으로, 동일한 플랫폼에서 하나의 통합 된 워크 플로우를 사용하여 취약점 관리의 전체 수명주기에 대해 이야기합니다.
보안은 조직에있는 가장 약한 링크만큼 강력합니다. 기업 네트워크에 연결되어 있고, 심지어는 알지 못하는 엔터프라이즈 자원을 소비하는 네트워크에 자산과 장치가 너무 많을 수 있습니다. 당신은 당신이 모르는 것을 확보 할 수 없습니다. 이것이 VMDR 개념이 취약성 관리 문제를 맨 아래에서 바로 파악하는 이유입니다. 즉, 연결되어 있거나 엔터프라이즈 네트워크에 연결되어있는 자산을 발견하는 데 도움이됩니다.
VPN을 사용하여 연결하든 로컬로 연결하든 네트워크를 통해 연결하든 관계없이 장치가 연결 되 자마자 네트워크에있는 센서가 장치를 감지하여 새로운 장치임을 알 수 있습니다 연결되어 자산을 발명 할 수 있습니다. 해당 장치의 자산 인벤토리를 유지할 수 있습니다. 다음 단계는 취약성 관리를 수행하는 경우 취약성 평가, 해당 장치의 취약성 관리, 기존 장치, 이미 발견 된 장치 및 현재 발견되는 장치를 수행하는 것입니다. 그런 다음 해당 자산에 존재하는 모든 취약점을 식별 한 다음 시장에서 인식되는 것처럼 취약점은 숫자 게임이지만 취약점 관리는 더 이상 숫자 게임이 아닙니다.
그 이유는 지난 10 년 동안의 통계를 보면 15,000 년 동안 발견 된 총 취약점 수가 해당 취약점에서 발견 된 16,000에서 1000 개의 취약점을 보았을 것입니다. 10 개의 취약점과 같은 소수만이 악용됩니다. 이는 악용되고있는 취약점의 비율이 12 ~ 900 %를 넘지 않음을 의미합니다. 조직에 수천 개의 취약점이 있으며 900 개의 취약점을 수정 한 경우에도 나머지 XNUMX 개의 취약점이 XNUMX 개의 취약점보다 더 위험 할 수 있기 때문에 취약점 관리를 효과적으로 구현했다고 말할 수 없습니다. 남은 수백 가지의 취약점은 야생에서 악용 될 수 있습니다.
이제 우리는 격차를 해소하고 VMDR의 개념을 통해 수천 가지 취약점을 계산할뿐만 아니라 다양한 형식을 사용하여 XNUMX 가지 취약점이 악용되는 것을 이해하도록 돕고 있습니다. 맬웨어 일 수도 있고 랜섬웨어 일 수도 있고 국가 국가의 공격 일 수도 있고 원격 코드 실행 일 수도 있습니다. 따라서 즉각적인주의를 기울여야하는 취약점은 무엇입니까? 따라서 치료 노력이 제한되고, 인원이 적고, 취약점 관리에 필요한 리소스가 제한되어 있으므로 노력의 우선 순위를 지정할 수 있습니다. 오늘날보다 훨씬 영향력이 큰 영역에 집중할 수 있습니다. 따라서 자산 검색에서 자산 인벤토리, 취약성 관리에 이르기까지 다양한 위협을 기반으로 취약성을 우선시합니다.
지금까지 우리가하고있는 일은 문제 식별이지만 실제로 문제를 해결하지 못할 수도 있습니다. 그 문제를 해결하는 방법? VMDR의 개념을 통해 동일한 플랫폼에 응답 기능을 추가하여 문제를 식별하고 테이블에 그대로 두는 것뿐만 아니라 수정 사항을 수행하고 구현하는 것도 가능합니다. 특정 취약점이 발견되면이 특정 취약점을 치료하기 위해 구현할 수있는 특정 패치를 확인할 수도 있습니다.
CVE에서 누락 된 패치에 대한 이러한 종류의 상관 관계는이 특정 취약점을 치료할 수 있도록 배포해야하는 정확한 부분을 알려줍니다. 또한 다양한 공격 영역을 기준으로 다양한 실시간 위협 지표를 기반으로 우선 순위가 지정된 자산 목록을 제공합니다.
취약점 데이터가 있으면 스캔하는 동안 취약점 수를 필터링하는 데 사용할 수있는 많은 자산 컨텍스트가 있습니다. 내가 말하면 당신은 문맥을 내부와 외부의 두 부분으로 나눕니다. 외부 컨텍스트는 다양한 소스에서 제공되거나 플랫폼 자체에 내장되어있는 위협 인텔리전스 피드입니다. 그리고이 위협 인텔리전스는 자산 컨텍스트 또는 내부 조직 컨텍스트를 고려하지 않기 때문에 외부 컨텍스트입니다. 따라서 이것은 오늘날 야생에서 악용되고있는 취약점을 식별하는 데 도움이 될 것입니다. 야생에서 악용 될 것으로 예상되며, 다크 웹에서 일종의 대화가 발생하며,이 취약점은 익스플로잇이 개발되었고, 개념 증명이 가능하며, 많은 것들이 있습니다. 이것은 매우 외부 적입니다.
이제 내부 상황. 1000 가지 취약점 중에서 외부 컨텍스트를 기준으로 800 가지 취약점의 우선 순위를 정하거나 필터링 할 수 있으며 이제 200 가지 취약점이 있습니다. 그러나 더 나아가는 방법, 노력을 간소화하고 노력의 우선 순위를 정하는 방법.
이제 내부 컨텍스트가 온다. 이 특정 취약점이 실행중인 커널 또는 실행되지 않는 커널에 있는지 여부 물론, 나는 커널 외부에 노출 될 커널이기 때문에 먼저 커널 실행에 집중하고 싶습니다. 이것이 내가 넣을 자산 컨텍스트입니다. 기존 구성으로 이미 완화 된 취약점은 무엇입니까? BlueKeep 취약점을 가정 해 봅시다. BlueKeep 취약점은 포트 3389에있는 취약점입니다. 네트워크 장치 또는 네트워크 수준 인증이 네트워크에서 이미 활성화되어 있으면 BlueKeep 취약점에 대해 걱정할 필요가 없습니다.
이미 활성화되어 있으면 자산이 기존 BlueKeep 취약성으로 태그가 지정된 취약성을 필터링 할 수도 있습니다. 원격으로 검색 할 수 있는지 여부에 관계없이 원격으로 검색 할 수 있는지 여부에 관계없이 이러한 많은 요소를 기반으로 공격자도 원격으로 검색 할 수 있습니다. 즉, 먼저이 취약점을 해결해야합니다. VMDR 개념 및 VMDR 플랫폼과 함께 사용할 수있는 다른 많은 내부 컨텍스트 필터를 기반으로 이러한 취약점, 수천 가지 취약점 중 XNUMX 가지 취약점을 식별 할 수 있으며, 즉시주의를 기울여야합니다.
콘솔에서 사용할 수있는 버튼을 클릭하면 콘솔 자체에서 수정 조치를 배포하여 수정 시간을 최소로 줄일 수 있습니다. 또한 CPM (Chief Product Officer)은이 문제를 제로 (XNUMX)라고 부르기 때문에 이상적인 치료 시간은 제로입니다. 취약점을 악용하기까지 걸리는 평균 일수가 줄어듦에 따라 치료 시간은 XNUMX이됩니다. 이제 평균 일수가 XNUMX 일로 줄었습니다.
취약점이 발견되고 취약점이 패치되기 전에는 상당한 지연이있을 수 없습니다. 자산 검색에서 자산 인벤토리, 취약성 관리에 이르기까지이 모든 것이 활성화 된 위협을 기반으로 우선 순위를 정한 다음 이러한 문제를 해결하고 수정합니다. 이것이 취약점 관리, 탐지 및 대응의 개념입니다.
출처 : https://www.helpnetsecurity.com/2020/04/07/qualys-vmdr/
