PCI, CVSS 및 위험 지수 평가 FAQ

이 페이지는 PCI 규정 준수 및 취약점 지수에 대해 다룹니다.

Nexpose의 위험 지수 평가 모델은 어떤 것이 있으며 이러한 모델 간의 차이는 무엇입니까?

Nexpose는 스캔 시 검색된 모든 자산 및 취약점에 대한 위험 지수를 계산합니다. 이러한 지수는 해당 취약점이 네트워크와 비즈니스 보안에 미치는 잠재적인 위험을 익스플로이트의 영향 및 발생 가능성을 바탕으로 표시합니다.

Nexpose에서 제공되는 두 가지 위험 지수 평가 모델:

• 임시 모델
• 가중 모델

임시 모델

이 모델은 취약점이 존재하는 것으로 확인된 기간 및 이러한 위험의 특성을 강조합니다. 오래된 취약점은 해커에게 알려진 기간이 길어 익스플로이트하기 쉽습니다. 임시 리스크 모델의 수학적인 계산에 사용되는 요소:

• 시간 기반 발생 가능성(t)은 취약점이 공개된 이후 경과된 일의 수입니다. 전체 지수는 경과된 일의 수가 증가할 수록 같이 증가합니다.
• 근접성 기반 영향은 네 가지 변수의 합계입니다:
  1. 이러한 변수는 액세스 벡터(AV) 또는 익스플로이트 가능성, 대상에 로컬로 액세스 가능한지 여부, 네트워크 내에서 액세스 가능한지 여부 또는 네트워크 외부에서 액세스해야 하는지 여부가 있으며 지수는 로컬 액세스에 따라 커집니다
  2. 기밀성 영향(C) 또는 인증되지 않은 개인이나 시스템으로의 노출
  3. 무결성 영향(I) 또는 인증되지 않은 데이터 변경
  4. 가용성 영향(A) 또는 데이터 액세스 손실

• 두 개의 변수의 합계인 익스플로이트 복잡성:
  1. 익스플로이트에 필요한 기술을 기준으로 한 액세스 복잡성(AC) 또는 엑세스 발생 가능성, 익스플로이트가 간단할 수록 지수는 증가
  2. 인증 요건에 기반해 인증(Au) 또는 익스플로이트 가능성, 인증이 없으면 지수는 증가

이 지수는 큰 정수로 나타나며 최대 6자리로 표시됩니다. "최고" 수치는 없습니다. 이러한 수치는 서로 상대적입니다.

이 지수 평가 모델은 시간에 따른 취약점과 관련된 위험을 추적하는 가장 효과적인 방법입니다. 또한 시간과 심각도가 강조되어 문제 해결 프로젝트의 우선 순위를 정하는 데 유용하므로 새로운 구축에 적합한 옵션입니다.

임시 지수 평가 모델 계산에 사용되는 공식:

이러한 공식을 분해하여 나타낼 수 있는 구성 요소:

가중 모델

가중 리스크 모델은 주로 자산 데이터 및 취약점 유형에 기반하며 다음의 요소를 강조합니다.

• Nexpose가 각 취약점에 대해 계산하여 1~10의 숫자로 나타내는 심각도 수준
• 취약점 인스턴스 수
• 컴퓨터, 라우터 또는 WAP(Wireless Access Point)와 같은 자산 유형
• 자산의 서비스 수와 유형, 예를 들어 데이터베이스는 비즈니스 가치가 높음
• 사이트 구성 시 사이트에 할당하는 중요도는 사이트 생성 및 편집을 참조하십시오.

가중 리스크 지수는 취약점의 수에 따라 증가합니다. 자산에 취약점이 많으면 위험 지수는 커집니다. 이 지수는 주로 한 자릿수의 작은 숫자로 나타나며 소수점을 포함합니다.

위험 전략을 통한 위험 분석을 참조하십시오.

위험 지수는 취약점 문제 해결 프로젝트의 우선 순위를 정하는 데 중요합니다. 이 지수는 CVSS 지수의 또 다른 중요한 메트릭입니다. FAQ에서 "CVSS 지수란 무엇입니까?"를 참고하십시오

PCI 스캔을 수행한 후 PCI 보고서에서 사용자의 환경이 규정을 준수하는 것으로 나타나면 해당 환경이 PCI를 준수하는 것입니까?

PCI(Payment Card Industry)의 승인을 받은 ASV(Approved Scanning Vendor)가 아닌 경우, 이 질문에 대한 답은 '아니요'입니다. 승인된 ASV만 PCI 승인 규정 준수 감사를 수행할 수 있습니다. 하지만 규정 준수 감사를 대비하거나 정기적인 보안 유지 보수 작업의 일환으로 PCI 스캔과 보고서를 실행하는 것은 좋은 방법입니다.

PCI 감사 결과의 "통과" 또는 "실패" 기준은 무엇입니까?

ASV의 감사 결과는 CVSS(Common Vulnerability Scoring System) 버전 2에 따라 계산된 각각의 취약점 지수에 기반합니다. 지수의 범위는 0~10.0이며 4.0 이상이면 PCI 표준을 준수하는 데 실패한 것입니다.

CVSS 지수가 4.0 이상인 취약점이 하나라도 있는 자산은 규정을 준수하지 않는 것으로 간주됩니다. 규정을 준수하지 않는 자산이 하나라도 있는 경우, 해당 조직 전체가 규정을 준수하지 않는 것으로 간주됩니다.

또한 자산이 XSS 또는 SQL 인젝션에 노출되는 취약점이 있는 경우 CVSS 지수와 상관없이 PCI 표준을 준수하는 않는 것입니다.

CVSS 지수란 무엇입니까?

Nexpose는 CVSS(Common Vulnerability Scoring System) 버전 2를 비롯한 다양한 요소에 따라 모든 검색된 취약점의 등급을 평가합니다. CVSS 지수는 취약점이 네트워크 보안에 미치는 위험도를 반영하는 기본 메트릭을 계산한 것입니다. 기본 메트릭에는 액세스(로컬 및 원격), 액세스 복잡성, 필요한 인증, 데이터 기밀성에 미치는 영향, 데이터 무결성에 미치는 영향, 데이터 가용성에 미치는 영향이 있습니다.

CVSS 시스템이 평가하는 모든 취약점 지수의 범위는 0.0~10.0이며 지수 10.0은 가장 높은 보안 위험을 나타냅니다. 지수가 4.0 이상이면 PCI 표준을 준수하는 데 실패한 것입니다.

위험도가 하인 취약점은 CVSS 시스템에 나타난 지수가 0.0~3.9이며 로컬로만 익스플로이트할 수 있고 인증을 필요로 합니다. 해커가 제한되지 않은 정보에 액세스하기 어려우며 정보를 파괴하거나 손상시킬 수 없고 어떠한 시스템을 중단시킬 수 없습니다. 이러한 취약점의 예는 기본 또는 추측이 가능한 SNMP 커뮤니티 이름 및 OpenSSL PRNG 내부 상태 검색 취약점 등이 있습니다.

위험도가 중인 취약점은 CVSS 시스템에 나타난 지수가 4.0~6.9이며 익스플로이트할 때 많은 해킹 경험이 필요하지 않고 인증을 필요로 하거나 필요로 하지 않을 수 있습니다. 해커가 제한된 정보에 부분적으로 액세스할 수 있고 일부 정보를 파괴할 수 있으며 네트워크의 개별적인 대상 시스템을 해제할 수 있습니다. 이러한 취약점의 예로는 쓰기 가능한 익명의 FTP 및 단순한 LAN Manager 해싱 허용 등이 있습니다.

위험도가 상인 취약점은 CVSS 시스템에 나타난 지수가 7.0~10.0이며 시스템에 쉽게 액세스하여 익스플로이트할 수 있고 인증을 거의 필요로 하지 않습니다. 해커가 기밀 정보에 액세스할 수 있고 데이터를 손상시키거나 삭제할 수 있으며 시스템을 중단시킬 수 있습니다. 이러한 취약점의 예로 익명의 사용자가 Windows 암호 정책을 획득하는 경우를 들 수 있습니다.

CVSS 지수 평가가 PCI 감사 결과의 체계라면 "PCI" 지수가 내 보고서에 나타나는 이유는 무엇입니까?

Nexpose는 취약점을 평가하고 우선 순위를 정하는 추가적인 방법으로서 이전의 PCI 지수 평가 시스템을 포함합니다. 이 체계에 의해 취약점은 심각도에 따라 1에서 5로 분류됩니다. 심각도가 2 이상인 취약점은 PCI 표준에 위반되는 것입니다.

• 취약점 심각도가 5인 경우, 원격 루트 또는 원격 관리자 기능을 통한 해킹으로 인해 전체 호스트가 손상될 수 있습니다.
• 취약점 심각도가 4인 경우, 원격 사용자 기능 및 부분적인 파일 시스템 액세스를 통한 해킹이 발생할 수 있습니다.
• 취약점 심각도가 3인 경우, 보안 설정과 같은 특정한 저장 정보에 대한 액세스가 발생할 수 있습니다.
• 취약점 심각도가 2인 경우, 정확한 서비스 버전과 같은 민감한 호스트 정보의 일부가 노출될 수 있습니다.
• 취약점 심각도가 1인 경우, 개방 포트와 같은 정보가 노출될 수 있습니다.