사용자 환경의 보안을 위해 가장 중요한 작업 중 하나는 취약점 해결 우선 순위를 정하는 것입니다. Nexpose가 각각의 자산에서 수백 개 또는 수천 개의 취약점을 검색한 경우 가장 먼저 문제를 해결해야 하는 취약점 또는 자산은 어떻게 파악할까요?
각각의 취약점에는 익스플로이트 난이도 및 익스플로이트 후 해커가 사용자 환경에 미칠 수 있는 영향을 나타내는 여러 특징이 있습니다. 취약점이 사용자 환경에 미치는 위험은 이러한 특징으로 이루어 집니다.
또한 모든 자산은 해당 자산이 사용자 조직의 보안에 미칠 수 있는 영향과 관련된 위험을 갖고 있습니다. 예를 들어 신용 카드 번호를 포함하는 데이터베이스가 손상되면 조직에 발생하는 손실은 프린터 서버가 손상된 경우보다 훨씬 클 것입니다.
이 애플리케이션은 위험을 계산하기 위한 다양한 전략을 제공합니다. 조직의 특수한 보안 요구 사항 또는 목표에 따라 위험을 분석할 수 있도록 각각의 전략은 특정한 특징을 강조합니다. 또한 사용자 지정 전략을 생성하고 애플리케이션에 통합할 수도 있습니다.
위험 전략을 선택한 후 다음과 같은 방식으로 활용할 수 있습니다.
위험 전략과 관련된 작업은 다음과 같습니다.
각각의 위험 전략은 손상 발생 가능성, 손상의 영향 및 자산의 중요도와 같은 요소를 계산하는 데 사용하는 공식에 기반합니다. 각각의 공식은 다양한 범위의 숫자 값을 생성합니다. 예를 들어 Real 리스크 전략이 생성할 수 있는 최대 지수는 1,000인 반면 임시 전략은 상한값 제한이 없어 취약점 지수가 수십만에 달할 수 있습니다. 이는 스캔 데이터의 여러 세그먼트에 다양한 전략을 적용하는 경우 기억해야 할 중요한 사항입니다. 위험 전략 변경 및 기존 스캔 데이터 재계산을 참조하십시오.
사용할 수 있는 위험 전략 중 많은 전략이 위험 진단에 동일한 요소를 사용하며 각각의 전략은 관련 요소를 다양한 방식으로 평가하고 집계합니다. 일반적인 위험 요소는 취약점 영향, 초기 익스플로이트 난이도 및 위험 노출의 세 가지 범주로 분류됩니다. 취약점 영향 및 초기 익스플로이트 난이도로 구성된 요소는 CVSS(Common Vulnerability Scoring System)에 사용되는 6개의 기본적인 메트릭입니다.
메트릭을 선택하기 전에 각각의 모델에 대한 요약을 검토하십시오.
이 전략은 익스플로이트 또는 멀웨어 키트가 개발된 취약점 해결 조치의 우선 순위를 정하는 데 유용합니다. 사용자 환경이 단순한 익스플로이트 또는 폭넓게 액세스 가능한 멀웨어 키트를 통해 개발된 감염에 노출되는 보안 허점에는 즉각적인 조치가 필요할 수 있습니다. Real 리스크 알고리즘은 각각의 취약점에 대한 고유한 익스플로이트 및 멀웨어 노출 메트릭을 발생 가능성 및 영향에 대한 CVSS 기반 메트릭에 적용합니다.
특히 이 모델은 취약점의 기밀성, 무결성 및 가용성 영향에 기반해 최대 영향을 0~1,000 범위로 계산합니다. 이러한 영향을 항상 1 미만인 분수로 나타나는 발생률 요소로 곱합니다. 발생률 요소의 초기 값은 CVSS의 취약점 초기 익스플로이트 난이도 메트릭인 액세스 벡터, 액세스 복잡성 및 인증 요건에 기반합니다. 발생률 요소는 위험 노출에 의해 변경됩니다. 즉 발생률은 취약점의 기간에 따라 증가해 1에 점차 가까워 집니다. 발생률이 시간에 따라 증가하는 속도는 익스플로이트 노출 및 멀웨어 노출에 기반합니다. 취약점 위험은 CVSS 영향 메트릭에 의해 결정되는 최대 영향을 절대로 초과하지 않습니다.
Real 리스크 전략은 기본 영향으로 요약할 수 있으며 손상의 초기 발생률 및 시간에 따른 위험 노출 정도에 따라 수정할 수도 있습니다. 최대 Real Risk 지수는 1,000입니다.
TemporalPlus 전략은 임시 전략과 마찬가지로 취약점 존재가 알려진 기간을 강조합니다. 하지만 TemporalPlus 전략은 부분적인 영향 벡터의 위험 요인을 확대하여 취약점을 더욱 세부적으로 분석합니다.
TemporalPlus 리스크 전략은 기밀성, 무결성 및 가용성 영향을 액세스 벡터와 함께 사용하여 근접성에 기반한 취약점의 영향을 집계합니다. 이러한 영향은 액세스 복잡성 및 인증 요건과 같은 익스플로이트 난이도 메트릭의 집합에 따라 감소합니다. 반면 위험은 취약점 기간에 따라 증가합니다.
TemporalPlus 전략에는 상한값 제한이 없습니다. 위험도가 높은 취약점의 경우 취약점 지수는 수십만에 달할 수 있습니다.
이 전략은 같은 벡터에 대해 “부분적인” 영향 값을 가진 취약점과 관련된 위험을 영향 값이 “없음”인 취약점과 관련된 위험과 구분합니다. 이는 이 두 가지 위험을 동일하게 간주하는 임시 전략에서 TemporalPlus 전략으로 전환할 때 기억해야 할 중요한 사항입니다. 이러한 전환을 실행하면 사용자 환경에서 이미 감지된 많은 취약점에 대한 위험 지수가 증가합니다.
이 전략은 취약점의 존재가 알려진 기간을 강조하므로 오래된 취약점의 해결 우선 순위를 정하는 데 유용합니다. 오래된 취약점은 해커에게 알려진 기간이 길어 익스플로이트하기 보다 쉽습니다. 또한 취약점이 오래될수록 일반적으로 많이 알려지지 않은 익스플로이트가 존재할 가능성이 높습니다.
임시 리스크 전략은 기밀성, 무결성 및 가용성 영향을 액세스 벡터와 함께 사용하여 근접성에 기반한 취약점의 영향을 집계합니다. 이러한 영향은 액세스 복잡성 및 인증 요건과 같은 익스플로이트 난이도 메트릭의 집합을 분류하여 감소합니다. 반면 위험은 취약점 기간에 따라 증가합니다.
임시 전략에는 상한값 제한이 없습니다. 위험도가 높은 취약점의 경우 취약점 지수는 수십만에 달할 수 있습니다.
가중 전략 사이트에 중요도를 할당하거나 대상 자산에서 실행되는 서비스와 관련된 위험을 진단할 때 유용합니다. 이 전략은 주로 사이트 중요도, 자산 데이터 및 취약점 유형에 기반하며 다음의 요소를 강조합니다.
PCI ASV 2.0 위험 전략은 PCI DSS(Payment Card Industry Data Security Standard) 버전 2.0에 기반한 지수를 검색된 모든 취약점에 적용합니다. 범위는 1(최소 심각도)~5(최대 심각도)입니다. 이 모델을 통해 ASV(Approved Scan Vendor) 및 기타 사용자는 PCI 2.0 지수에 따라 취약점을 분류하고 이러한 지수를 PCI 보고서에서 확인하여 PCI 관점에서 위험을 평가할 수 있습니다. 또한 5점 단위의 심각도 범위를 바탕으로 조직은 위험을 간단하게 요약 평가할 수 있습니다.
사용자 환경에 존재하는 위험을 다른 관점에서 검토하기 위해 현재의 위험 전략을 변경할 수 있습니다. 이러한 변경에 따라 향후의 스캔을 통해 나타나는 위험 지수는 기존 스캔의 위험 지수와 크게 다를 수 있으므로 기존 스캔 데이터의 위험 지수를 재계산하는 옵션을 선택할 수도 있습니다.
이를 통해 시간에 따른 위험 추세를 일관적으로 추적할 수 있습니다. 위험 추세 차트를 통해 보고서를 생성하는 경우 기존의 지수가 향후 스캔의 지수와 일치하도록 특정 스캔 데이터 범위의 지수를 재계산할 수 있습니다. 이를 통해 위험 추세 보고의 일관성을 유지할 수 있습니다.
예를 들어 사용자가 노출 기반 위험 분석을 수행하기 위해 12월 1일 위험 전략을 임시 전략에서 Real 리스크로 변경합니다. 사용자는 조직의 경영진에게 문제 해결 자원을 위한 투자 덕분에 해당 연도의 첫 번째 분기에 위험 절감에 긍정적인 효과가 나타났음을 설명하고자 할 수 있습니다. 따라서 Real 리스크를 전략으로 선택하는 경우 4월 1일 이후의 모든 스캔 데이터에 대한 Real 리스크 지수를 계산하고자 할 수 있습니다.
계산 시간은 다양하게 나타납니다. 재계산하는 스캔 데이터의 양에 따라 계산에는 수 시간이 소요될 수 있습니다. 진행 중인 재계산을 취소할 수 없습니다.
注意: 재계산이 진행 중일 때 스캔 및 보고와 같은 일반적인 작업을 수행할 수 있습니다. 하지만 위험 지수를 포함하는 보고서를 재계산이 진행 중일 때 실행하면 이러한 지수가 일치하지 않을 수 있습니다. 이 보고서는 이전에 사용된 위험 전략의 지수와 새로운 전략의 지수를 모두 포함할 수 있습니다.
위험 전략을 변경하고 기존 스캔 데이터를 재계산하는 단계:
위험 전략 페이지로 갑니다.
콘솔이 관리 페이지를 표시합니다.
보안 콘솔이 글로벌 설정 패널을 표시합니다.
보안 콘솔이 위험 전략 페이지를 표시합니다
이 정보에는 전략 및 관련된 계산 요소, 전략의 출처(기본 또는 사용자 지정), 현재까지의 전략 이용 기간(현재 선택된 전략의 경우)에 대한 설명이 포함됩니다.
다양한 위험 전략이 사용자의 모든 스캔 데이터에 적용된 방식을 확인할 수 있습니다. 이 정보를 통해 위험 추세의 일관성을 유지하기 위해 재계산해야 하는 스캔 데이터의 양을 파악할 수 있습니다. 또한 위험 추세 데이터의 세그먼트가 일치하지 않는 이유도 파악할 수 있습니다.
상태 열에서 성공적으로 완료되지 않은 계산이 있는지 확인합니다. 이에 따라 계산을 다시 실행해 위험 추세 데이터에 있는 일치하지 않는 섹션을 수정할 수 있습니다.
이 섹션의 표에는 적용된 다른 위험 전략, 영향을 받는 데이터 범위, 변경을 실행한 사용자와 같은 모든 인스턴스가 나열됩니다. 이러한 정보는 또한 위험 추세의 불일치 수정 또는 기타 용도에 유용합니다.
기존 스캔 데이터의 위험 지수를 재계산합니다.
콘솔이 완료된 재계산의 비율을 나타내는 상자를 표시합니다.
사용자는 조직의 보안 목표에 따른 특수한 관점에서 위험을 분석하는 사용자 지정 전략을 통해 위험 지수를 계산하고자 할 수 있습니다. 사용자 지정 전략을 생성해 Nexpose에서 사용할 수 있습니다.
각각의 위험 전략은 XML 문서로 제공됩니다. 사용자 지정 전략의 고유한 내부 식별자인 id 속성을 포함하는 RiskModel 구성 요소가 필요합니다.
RiskModel에는 다음과 같은 하위 구성 요소가 포함됩니다.
注意: Rapid7 PSO(Professional Services Organization)는 사용자 지정 위험 평가 개발 기능을 제공합니다. 자세한 내용은 고객 담당자에게 문의하십시오.
사용자 지정 위험 전략의 XML 파일에 포함되는 구조:
<?xml version="1.0" encoding="UTF-8" standalone="yes"?>
<RiskModel id="custom_risk_strategy">
<name>주요 사용자 지정 위험 전략</name>
<description>
이 사용자 지정 위험 전략에서는 여러 중요한 요소가 강조됩니다.
</description>
<VulnerabilityRiskStrategy>
[formula]
<VulnerabilityRiskStrategy>
</RiskModel>
注意: 애플리케이션을 예상대로 작동하기 위해 사용자 지정 전략의 XML 파일이 체계적인 형식으로 구성되고 모든 필수 구성 요소를 포함하는지 확인하십시오.
Nexpose에서 사용자 지정 위험 전략을 사용하는 단계:
[installation_directory]/shared/riskStrategies/custom/global로 복사합니다.
사용자 지정 전략이 위험 전략 페이지에서 목록의 상단에 나타납니다.
위험 전략의 순서를 설정하려면 다음의 예와 같이 선택 사항인 order 하위 구성 요소에 0보다 큰 수를 지정해 추가합니다. 0을 지정하면 전략이 가장 마지막에 나타납니다.
<?xml version="1.0" encoding="UTF-8" standalone="yes"?>
<RiskModel id="janes_risk_strategy">
<name>Jane의 사용자 지정 위험 전략</name>
<description>
Jane의 사용자 지정 전략에서는 Jane에게 중요한 요소가 강조됩니다.
</description>
<order>1</order>
<VulnerabilityRiskStrategy>
[formula]
<VulnerabilityRiskStrategy>
</RiskModel>
표시 순서 설정 방법:
위험 전략이 위험 전략 페이지에 나열되는 순서를 변경할 수 있습니다. 이 기능은 목록에 여러 전략이 있으며 이중 자주 사용하는 전략을 목록의 위쪽에 나열할 때 유용합니다. 순서를 변경하려면 위험 전략의 XML 파일에서 선택 사항인 order 구성 요소를 사용해 순서 번호를 각각의 개별 전략에 지정합니다. 이는 RiskModel 구성 요소의 하위 구성 요소입니다. 사용자 지정 위험 전략 이용 을 참조하십시오.
예: 조직의 관계자 세 명이 각각 사용자 지정 위험 전략: Jane의 위험 전략, Tim의 위험 전략 및 Terry의 위험 전략을 생성합니다. 각각의 전략에 순서 번호를 지정할 수 있습니다. 또한 기본 제공되는 위험 전략에도 순서 번호를 지정할 수 있습니다.
다음과 같은 순서가 생성될 수 있습니다.
注意: 기본 제공 전략의 순서는 제품이 업데이트될 때마다 기본 순서로 재설정됩니다.
사용자 지정 전략은 항상 기본 제공 전략 위에 표시됩니다. 따라서 사용자 지정 전략과 기본 제공 전략에 같은 번호를 지정하거나 기본 제공 전략에 앞 번호를 지정해도 사용자 지정 전략이 항상 먼저 표시됩니다.
위험 전략에 번호를 지정하지 않으면 해당 전략은 각각의 그룹(사용자 지정 또는 기본 제공)에서 하단에 표시됩니다. 다음 예의 순서에서는 하나의 사용자 지정 전략과 두 개의 기본 제공 전략에 번호 1이 지정되었습니다.
하나의 사용자 지정 전략과 하나의 기본 제공 전략에는 번호가 지정되지 않았습니다.
Tim의 사용자 지정 전략은 다른 두 개의 기본 제공 전략보다 뒷 번호가 지정되었지만 이 두 개의 전략보다 위에 표시되었습니다.
자산 스캔 시 스캔 완료 상태가 되기 전에 여러 단계가 수행됩니다. 모든 필수 스캔 단계가 완료되지 않은 자산은 진행 중 상태로 표시됩니다. Nexpose는 스캔 완료 상태인 자산의 데이터에만 기반해 위험 지수를 계산합니다.
스캔이 중지되거나 일시 중지되면 이 애플리케이션은 완료 상태가 아닌 자산의 결과를 위험 지수 계산에 사용하지 않습니다. 예: 10개의 자산을 같이 스캔합니다. 일곱 개의 자산이 스캔 완료 상태이며 세 개는 그렇지 않습니다. 스캔이 중지됩니다. 스캔 완료 상태인 일곱 개의 자산의 결과를 바탕으로 위험이 계산됩니다. 진행 중 상태인 세 개의 자산의 경우 마지막에 완료된 스캔의 데이터가 사용됩니다.
스캔 상태를 확인하려면 스캔 로그를 참조하십시오. 스캔 로그 확인 을 참조하십시오.