콘텐츠
출처 : BrianAJackson / iStockphoto
테이크 아웃 :
이제 오픈 소스 구성 요소의 위험을 평가하는 방법에 대해 생각해보아야합니다.
소프트웨어 개발 커뮤니티가 얼마나 심각하게 취약성을 취해야하는지 평가하기위한 시스템을 개발하는 것은 어려운 일입니다. 코드는 인간이 작성했으며 항상 결함이 있습니다. 그렇다면 우리에게 완벽한 것이 없다고 가정한다면, 생산적으로 계속 일할 수있는 방식으로 위험에 따라 구성 요소를 어떻게 가장 잘 분류 하는가?
그냥 사실
이 문제를 해결하기 위해 취할 수있는 여러 가지 접근 방식이 있지만 각각 고유 한 정당화가 있지만 가장 일반적인 방법은 정량적 모델을 기반으로하는 것 같습니다.
한편으로, 취약점의 심각도를 판단하기 위해 정량적 접근 방식을 사용하는 것은 취약점 자체와 관련된 요인에 기초하여 더욱 객관적이고 측정 가능하다는 점에서 유용 할 수 있습니다.
이 방법론은 소프트웨어 산업에서 컴포넌트, 라이브러리 또는 프로젝트가 얼마나 광범위하게 사용되었는지뿐만 아니라 공격자가 어떤 종류의 액세스를 제공 할 수 있는지와 같은 요소를 고려하여 취약점이 악용 될 경우 어떤 종류의 피해가 발생할 수 있는지를 조사합니다. 그들이 목표를 달성하기 위해 그것을 사용하면 혼란을 초래할 수 있습니다. 쉬운 잠재적 악용 가능성과 같은 요소가 점수에 영향을 미치는 데 큰 역할을 할 수 있습니다. (보안에 대한 자세한 내용은 사이버 보안 : 새로운 위협이 새로운 위협을 유발하는 방법과 그 반대 방법을 참조하십시오.)
거시적 수준을 살펴 보려면 양적 관점에서 취약점이 어떻게 무리를 해칠 수 있는지 살펴보고 실제로 공격에 부딪친 회사에 미칠 수있는 피해에 초점을 맞 춥니 다.
아마도 가장 잘 알려진 취약점 데이터베이스 인 NVD (National Vulnerability Database)는 CVSS (Common Vulnerability Scoring System) 버전 2와 3 모두에 대해이 접근 방식을 취합니다. 취약성을 평가하기위한 지표를 설명하는 페이지에서 다음과 같은 방법을 작성합니다.
이 정량적 모델은 반복 가능한 정확한 측정을 보장하면서 사용자가 점수를 생성하는 데 사용 된 기본 취약점 특성을 볼 수 있도록합니다. 따라서 CVSS는 정확하고 일관된 취약성 영향 점수가 필요한 산업, 조직 및 정부를위한 표준 측정 시스템으로 적합합니다.
NVD는 재생중인 양적 요소를 기반으로 1에서 10까지의 규모로 숫자가 가장 높고 10이 가장 심각하며 LOW, MEDIUM 및 HIGH의 범주와 함께 심각도 점수를 얻을 수 있습니다. .
버그 없음, 스트레스 없음-인생을 파괴하지 않고 인생을 바꾸는 소프트웨어를 만드는 단계별 가이드
아무도 소프트웨어 품질에 신경 쓰지 않으면 프로그래밍 기술을 향상시킬 수 없습니다.
영향에 대한 회계?
그러나 NVD는 특정 익스플로잇이 피해를 입히는 데 얼마나 영향을 미치는지에 따라 취약점의 질적 척도라고 할 수있는 것을 명확하게 유지하려고 노력하는 것 같습니다. 공평하게 말하면 시스템에 대한 취약점의 영향을 측정하고 기밀성, 무결성 및 가용성의 요소를 조사하는 한 영향을 미칩니다. 보다 쉽게 측정 할 수있는 액세스 벡터, 액세스 복잡성 및 인증과 같이 이러한 요소는 모두 살펴 봐야 할 중요한 요소이지만, 취약점으로 인해 조직의 실제 손실이 발생할 때 실제 영향과 관련된 작업을 수행하지는 않습니다.
예를 들어 Equifax 위반은 운전 면허 번호, 주민등록번호 및 대규모 사기 행위를 수행하기 위해 부도덕 한 캐릭터가 사용할 수있는 기타 비트를 포함하여 약 1 억 6 천 5 백만 명의 개인 식별 정보를 노출 시켰습니다.
Equifax가 웹 앱에서 사용한 Apache Struts 2 프로젝트에서 발견 된 취약점 (CVE-2017-5638)은 공격자가 정문으로 걸어 들어 와서 육즙으로 가득 찬 개인 정보로 가득 차도록 만들었습니다. .
NVD는 심각도 10과 HIGH를 부여했지만, 그들의 결정은 잠재적 피해에 대한 정량적 평가에 의한 것이며 Equifax 위반이 공개 될 때 나중에 발생한 광범위한 피해의 영향을받지 않았습니다.
이는 NVD의 감독이 아니라 명시된 정책의 일부입니다.
NVD는 각 취약점의 타고난 특성을 나타내는 CVSS "기본 점수"를 제공합니다. 현재는 "시간 점수"(취약점 외부의 이벤트로 인해 시간이 지남에 따라 변경되는 지표) 또는 "환경 점수"(취약점이 조직에 미치는 영향을 반영하도록 맞춤화 된 점수)를 제공하지 않습니다.
의사 결정자에게는 정량적 측정 시스템이 업계 전체에 해를 끼칠 가능성을보고 있기 때문에 중요하지 않습니다. 은행의 CSO 인 경우 고객의 데이터 또는 돈을 악화시키는 데 악용 될 경우 익스플로잇이 미칠 수있는 질적 영향에 대해 걱정해야합니다. (기술에서 가장 무서운 5 가지 위협의 다양한 유형의 취약점에 대해 알아보십시오.)
시스템을 바꾸는 시간?
따라서 Equifax 사례에 사용 된 Apache Strusts 2의 취약점은 피해가 얼마나 광범위하게 나타 났는지 또는 NVD와 같은 시스템에 대해 너무 주관적으로 변경 될 수 있다는 점에서 높은 순위를 받아야합니다. 계속?
NVD에서 설명한대로 "환경 적 점수"또는 "시간적 점수"를 도출하는 데 필요한 데이터를 확보하는 것은 매우 어려울 것입니다. 무료 CVSS 팀의 관리자는 끝없는 비판과 수많은 작업으로 이어집니다 NVD와 다른 사람들이 새로운 정보가 나오면 데이터베이스를 업데이트합니다.
물론, 공개법에 의해 요구되지 않는 한 위반이 미치는 영향에 대해 필요한 데이터를 제공 할 수있는 조직은 거의 없기 때문에 이러한 점수를 어떻게 수집 할 것인지에 대한 의문이 있습니다. 우리는 Uber의 사례에서 기업들이 공개 반발에 직면하지 않도록 침해에 관한 정보가 언론에 도달하지 못하도록하기 위해 기꺼이 돈을 지불 할 의사가 있음을 보았다.
아마도 필요한 것은 취약성 데이터베이스의 좋은 노력을 통합하고 정보가 제공 될 때 자체 점수를 추가 할 수있는 새로운 시스템 일 것입니다.
이전의 점수가 수년 동안 충분히 잘 해낸 것처럼 보일 때이 추가 점수를 부여하는 이유는 무엇입니까?
솔직히 말해서, 조직은 애플리케이션에 대한 책임을 져야합니다. 이상적인 세계에서 모든 사람은 제품에 추가하기 전에 제품에 사용하는 구성 요소의 점수를 확인하고 이전에 안전하다고 생각한 프로젝트에서 새로운 취약점이 발견되면 경고를 받고 필요한 패치를 모두 자체적으로 구현합니다. .
조직에 이러한 취약점 중 일부가 얼마나 치명적일 수 있는지 보여주는 목록이있을 경우, 조직은 위험한 구성 요소에 걸리지 않도록 더 많은 압력을받을 수 있습니다. 최소한 이미 보유한 오픈 소스 라이브러리의 실제 인벤토리를 확보하기위한 조치를 취할 수 있습니다.
Equifax fiasco의 여파로, 한 명 이상의 C 레벨 임원이 제품에 취약한 버전의 Struts가 없는지 확인하기 위해 혼란을 겪었을 것입니다. 불행히도 업계가 오픈 소스 보안을 진지하게 받아들이는 데 엄청난 규모의 사건이 발생했습니다.
애플리케이션의 오픈 소스 구성 요소에 존재하는 취약점이 실제 결과를 초래할 수 있다는 교훈은 의사 결정자들이 보안의 우선 순위를 정하는 방법에 영향을 미치며, 제품 및 고객의 데이터를 안전하게 유지하는 데 적합한 도구를 선택하는 데 영향을 미칩니다.