Red Hat Summit개요
CVE(Common Vulnerabilities and Exposures)는 공개적으로 알려진 컴퓨터 보안 결함 목록입니다. CVE는 보통 CVE ID 번호가 할당된 보안 결함을 뜻합니다.
벤더와 연구자가 발행한 보안 권고 사항에 최소 1개의 CVE ID가 언급되는 것이 일반적입니다. CVE는 IT 전문가들이 이러한 취약점에 우선 순위를 지정하고 해결하기 위해 협력함으로써 컴퓨터 시스템을 더욱 안전하게 관리하도록 지원합니다.
CVE 시스템은 어떻게 작동할까요?
CVE 프로그램은 미국 국토안보부 산하의 사이버 보안 및 인프라 보안국(Cybersecurity and Infrastructure Security Agency, CISA)의 재정 지원을 받아 MITRE Corporation에서 감독합니다.
CVE 항목은 간략합니다. 기술적인 데이터나 위험, 영향, 픽스에 대한 정보는 포함하지 않습니다. 이러한 세부 정보는 미국 국가 취약점 데이터베이스(NVD), CERT/CC 취약점 참고 데이터베이스, 그리고 벤더와 기타 조직에서 유지 관리되는 다양한 목록을 비롯한 다른 데이터베이스에 나타납니다.
이처럼 다양한 시스템 전반에서 CVE ID는 고유한 취약점을 인식하고 보안 툴 및 솔루션 개발을 조정할 수 있는 신뢰할 수 있는 방법을 사용자에게 제공합니다. MITRE Corporation이 CVE 목록을 유지 관리하지만 CVE 항목이 되는 보안 결함은 오픈소스 커뮤니티에 속한 조직 및 구성원이 제출하는 경우가 많습니다.
CVE 식별자 정보
CVE 식별자는 CVE 넘버링 기관(CNA)에서 할당합니다. 보안 기업 및 리서치 조직과 Red Hat, IBM, Cisco, Oracle, Microsoft와 같은 주요 IT 벤더를 대표하는 CNA가 100개 정도 있습니다. MITRE 역시 CVE를 직접 발행할 수 있습니다.
CNA는 새로운 문제 발견 시 이를 연결하기 위해 준비되는 CVE 블록을 발행합니다. 매년 수천 개의 CVE ID가 발행되며, 운영 체제와 같은 하나의 복합 제품에 수백 개의 CVE가 축적될 수 있습니다.
CVE는 어디에서든 보고할 수 있습니다. 벤더, 연구원, 기민한 사용자 등이 결함을 발견하고 다른 사람들에게 알릴 수 있습니다. 많은 벤더가 책임 있는 보안 문제 공개를 장려하기 위해 버그 현상금을 제공하고 있습니다. 오픈소스 소프트웨어에서 취약점을 발견한 경우 오픈소스 커뮤니티에 제출해야 합니다.
어떤 방법으로든 결함에 대한 정보는 CNA에 전달됩니다. CNA는 해당 정보에 CVE ID를 할당하고 참조 정보를 포함한 간략한 설명을 작성합니다. 그런 다음, 새로운 CVE가 CVE 웹사이트에 게시됩니다.
CVE ID는 보안 권고 사항이 공개되기 전에 할당되는 경우가 많습니다. 픽스를 개발하고 테스트할 때까지 벤더가 보안 결함을 비밀로 유지하는 것은 일반적인 일입니다. 이는 공격자들이 패치가 적용되지 않은 결함을 악용할 기회를 줄입니다.
공개된 CVE 항목에는 CVE ID("CVE-2019-1234567" 형식), 보안 취약점 또는 노출에 대한 간략한 설명, 취약점 보고서 및 권고 사항 링크가 포함될 수 있는 참조 정보가 포함됩니다.
CVE에 해당하는 조건은 무엇일까요?
CVE ID는 특정 기준을 충족하는 결함에 할당됩니다. 해당 기준은 다음과 같습니다.
1. 독립적으로 수정 가능.
다른 버그로부터 독립적으로 수정할 수 있는 결함입니다.
2. 피해를 입은 벤더 또는 문서를 통한 확인.
소프트웨어 또는 하드웨어 벤더가 버그를 확인하고 보안에 부정적인 영향을 받은 경우입니다. 또는 보고자가 버그의 부정적인 영향과 영향을 받은 시스템의 보안 정책을 위반한 버그에 대한 취약점 보고서를 공유한 경우입니다.
3. 하나의 코드베이스에 영향을 미침.
두 개 이상의 제품에 영향을 미치는 결함에는 별도의 CVE가 할당됩니다. 공유 라이브러리, 프로토콜 또는 표준의 경우, 취약점이 노출되지 않고는 공유 코드를 사용할 방법이 없는 경우 해당 결함에 하나의 CVE만 할당됩니다. 그렇지 않은 경우에는 영향을 받는 각각의 코드베이스 또는 제품에 고유한 CVE가 할당됩니다.
Red Hat 보안에 관한 최신 정보를 파악하세요.
공통 취약점 등급 시스템이란 무엇인가요?
취약점의 심각도를 평가하는 방법은 여러 가지가 있습니다. 그중 하나인 공통 취약점 등급 시스템(CVSS)은 취약점의 심각도를 평가하기 위해 번호를 할당하는 오픈 표준입니다. CVSS 점수는 NVD, CERT 및 기타 조직에서 취약점의 영향을 평가하는 데 사용합니다. 등급은 0.0에서 10.0까지 주어지며 숫자가 높을수록 취약점의 심각도가 더 높음을 나타냅니다. 많은 보안 벤더들 또한 자체적으로 등급 시스템을 갖추고 있습니다.
세 가지 핵심 사항
배포 환경 숙지. CVE가 존재한다고 해서 반드시 위험이 특정 환경 및 배포에 적용되는 것은 아닙니다. 각 CVE를 읽고 사용자 고유 환경의 운영 체제, 애플리케이션, 모듈, 구성에 적용(또는 부분적으로 적용)되는지를 검증하여 CVE가 사용자의 환경에 적용되는지 파악해야 합니다.
취약점 관리 수행. 취약점 관리는 취약점을 식별, 분류, 우선순위 지정, 문제 해결, 완화하기 위한 반복 가능한 프로세스입니다. 즉, 위험이 어떻게 조직에 영향을 주는지를 파악하면 미해결 취약점에 적절히 우선순위를 지정할 수 있습니다.
커뮤니케이션에 대비. CVE는 취약점 자체는 물론 이를 해결하는 데 필요한 잠재적인 다운타임으로 인해 조직의 시스템에 영향을 미칩니다. 내부 고객과 커뮤니케이션하고 협력하여 사내의 중앙 위험 관리 부서와 취약점을 공유해야 합니다.
Red Hat은 CVE를 어떻게 사용할까요?
오픈소스 소프트웨어의 주요 기여자인 Red Hat은 지속적으로 보안 커뮤니티에 참여하고 있습니다. Red Hat은 CVE 넘버링 기관(CNA)이며 CVE ID를 사용하여 보안 취약점을 트래킹합니다. Red Hat 보안은 자주 업데이트되는 오픈 보안 업데이트 데이터베이스를 유지 관리하며 이는 CVE 번호로 표시됩니다.
Red Hat Security Data API란?
Red Hat Product Security는 Security Data 페이지의 원시 보안 데이터에 대한 액세스를 Security Data API를 사용해 머신이 사용할 수 있는 형식으로 제공합니다.
고객은 Red Hat이 제작한 보안 보고서 및 메트릭뿐만 아니라, 이러한 원시 데이터를 통해 특정한 상황에 대한 자체적인 메트릭을 생성할 수 있습니다.
Security Data API가 제공하는 데이터는 개방형 취약점 및 평가 언어(OVAL) 정의, 공통 취약점 보고 프레임워크(CVRF) 문서, CVE 데이터를 포함합니다. 데이터는 XML 또는 JSON 형식으로 사용할 수 있습니다.
