API는 개발자가 프로그램 호출을 사용해 다른 소프트웨어 애플리케이션에 통합할 수 있는 기능입니다. 용어 API는 또한 각각의 독립적인 XML API 중 하나인: API v1.1 또는 확장된 API v1.2를 가리킵니다. 각 API에 대한 정보는 API 문서를 지원: 기술 지원 및 고객 서비스.
어플라이언스는 전용 하드웨어/소프트웨어 단위로 제공되는 Nexpose 구성 요소입니다. 어플라이언스 구성으로는 보안 콘솔/스캔 엔진 조합과 스캔 엔진 전용 버전이 있습니다.
자산은 애플리케이션이 스캔 시 검색하는 네트워크의 단일 디바이스입니다. 웹 인터페이스 및 API의 경우 자산은 디바이스라고도 합니다.
자산 그룹은 특정한 구성원이 보고서를 생성 또는 확인하거나 문제 해결 티켓을 추적하기 위해 액세스하는 관리 대상 자산의 논리적 집합입니다. 자산 그룹은 여러 사이트 또는 다른 자산 그룹에 해당되는 자산을 포함할 수 있습니다. 자산 그룹은 정적 자산 또는 동적 자산이 있습니다. 자산 그룹은 사이트가 아닙니다.
자산 소유자는 사전 설정된 역할 중 하나입니다. 이 역할이 부여된 사용자는 검색된 자산에 대한 데이터를 확인하고 수동 검색을 실행하며 액세스할 수 있는 사이트 및 자산 그룹에서 보고서를 생성 및 실행할 수 있습니다.
ARF(Asset Reporting Format)는 연결 유형, 호스트 이름 및 IP 주소에 기반해 자산 정보를 제공하는 XML 기반 보고서 템플릿입니다. 이 템플릿은 SCAP 인증과 관련해 정책 스캔 결과 보고서를 미국 정부에 제출할 때 필요합니다.
자산 검색 필터는 동적 자산 그룹에 추가할 자산 검색을 필터링하는 일련의 기준입니다. 자산 검색 필터는
인증이란 액세스를 시도하는 클라이언트 또는 사용자의 로그온 자격 증명을 검증하는 보안 애플리케이션의 프로세스입니다. 기본적으로 이 애플리케이션은 내부 프로세스를 통해 사용자를 인증하지만, 외부 LDAP 또는 Kerberos 소스를 통해 사용자를 인증하도록 구성할 수 있습니다.
평균 위험은 위험 추세 보고서 구성에 있는 설정입니다. 이는 보고서 데이터 범위에 있는 자산의 위험 지수 계산에 기반합니다. 예를 들어 평균 위험은 익스플로이트에 대한 자산의 취약도가 높은지 낮은지 또는 변동이 없는지 개략적으로 설명합니다. 일부 자산은 다른 자산보다 위험 지수가 높습니다. 평균 위험 지수를 계산해 익스플로이트에 대한 자산의 취약도를 개괄적으로 파악할 수 있습니다.
FDCC 정책 규정 준수를 위한 스캔과 관련해 벤치마크는 동일한 소스 데이터를 공유하는 정책의 조합입니다. 정책 관리자의 각 정책은 각 벤치마크에 포함된 규칙의 일부 또는 전부를 포함합니다.
폭이란 스캔 범위에 있는 총자산의 수를 말합니다.
FDCC 정책 규정 준수를 위한 스캔과 관련해 범주는 스캔 템플릿을 위한 정책 관리자 구성의 정책을 분류하는 범주입니다. 정책 범주는 정책의 원천, 목적 및 기타 기준에 기반합니다.
검사 유형은 스캔 시 실행해야 할 특정한 유형의 검사를 말합니다. 예: 안전하지 않은 점검 항목 유형은 대상 자산에 서비스 거부를 발생시키는 공격적인 취약점 테스트를 포함하며 이러한 정책 검사 유형은 정책 규정 준수를 검증하는 데 사용됩니다. 검사 유형 설정은 스캔 범위를 세부적으로 지정하기 위한 스캔 템플릿 구성에 사용됩니다.
CIS(Center for Internet Security)는 공공 및 민간 부문 모두를 위해 가치 있고 신뢰할 수 있는 환경을 제공하여 전 세계의 보안 상태를 개선하기 위한 비영리 조직입니다. CIS는 국가적이며 국제적인 차원에서 주요 보안 정책 및 의사 결정을 마련하는 데 주도적인 역할을 수행합니다. 정책 관리자는 네트워크 디바이스, 운영 체제, 미들웨어 및 소프트웨어 애플리케이션을 개선하기 위한 기술 관리 규칙 및 가치를 비롯해 CIS 벤치마크 준수 여부를 확인할 수 있는 방법을 제공합니다. 이러한 검사를 수행하려면 정책 관리자 기능 및 CIS 스캔을 지원하는 라이센스가 필요합니다.
명령 콘솔은 특정한 작업을 실행하는 명령을 입력하기 위한 보안 콘솔 웹 인터페이스 페이지입니다. 이 툴을 사용하면 보안 콘솔 작업에 대한 실시간 진단 및 배경을 확인할 수 있습니다. 명령 콘솔 페이지에 액세스하려면 관리 페이지에서 문제 해결 항목 옆의 보안 콘솔 명령 실행 링크를 클릭합니다.
CCE(Common Configuration Enumeration)는 구성 컨트롤에 CCE로 알려진 고유한 식별자를 할당하여 다양한 환경에서 이러한 컨트롤을 일관적으로 식별하기 위한 표준입니다. CCE는 인증되지 않은 스캔 제품에 대한 SCAP 규정 준수의 일환으로 구현됩니다.
CPE(Common Platform Enumeration)는 운영 체제 및 소프트웨어 애플리케이션을 식별하는 방법입니다. CPE의 명명 체계는 URI(Uniform Resource Identifiers)에 대한 일반 구문에 기반합니다. CCE는 인증되지 않은 스캔 제품에 대한 SCAP 규정 준수의 일환으로 구현됩니다.
CVE(Common Vulnerabilities and Exposures)는 이 애플리케이션이 취약점을 식별하는 방법을 규정하는 표준으로서 이러한 표준을 통해 보안 제품이 취약점 데이터를 쉽게 교환할 수 있습니다. CVE는 인증되지 않은 스캔 제품에 대한 SCAP 규정 준수의 일환으로 구현됩니다.
CVSS(Common Vulnerability Scoring System)는 취약점 위험 지수 계산을 위한 개방형 프레임워크입니다. CVSS는 인증되지 않은 스캔 제품에 대한 SCAP 규정 준수의 일환으로 구현됩니다.
컴플라이언스는 정부 또는 주요 산업 기관의 표준을 충족하는 상태를 말합니다. 이 애플리케이션은 FDCC(Federal Desktop Core Configuration)에 대한 PCI(Payment Card Industry) 요건 및 NIST(National Institute of Standards and Technology: 미국표준기술연구소) 표준과 같은 다양한 보안 표준 규정 준수와 관련해 자산을 테스트합니다.
예정된 기간에 지정된 범위의 사이트 자산의 스캔이 완료되면 계속 스캔은 처음부터 다시 시작됩니다. 이는 사이트 구성의 설정입니다.
범위란 취약점 검사 범위를 말합니다. 범위와 관련해 뉴스 페이지에 취약점 검사가 새로 추가되었거나 기존의 검사가 정확도 또는 기타 기준을 위해 개선되었음을 알리는 릴리즈 목록이 있습니다.
중요도는 비즈니스에 대한 자산의 중요성을 표시하기 위해 RealContext 태그를 통해 자산에 적용할 수 있는 값입니다. 중요도 수준의 범위는 매우 높음에서 매우 낮음까지입니다. 적용된 중요도 수준을 사용해 자산 위험 지수를 변경할 수 있습니다. 중요도 - 위험 지수 조정을 참조하십시오.
또는
컨텍스트 기반 위험은 숫자를 중요도 수준에 지정하고 이러한 숫자를 사용해 위험 지수를 증대하는 프로세스입니다.
사용자 지정 태그를 사용해 비즈니스에 중요할 수 있는 모든 기준에 따라 자산을 파악할 수 있습니다.
깊이는 스캔이 얼마나 세부적이며 포괄적으로 수행되는지 나타냅니다. 깊이는 애플리케이션이 시스템 정보 및 취약점과 관련해 개별 자산을 조사하는 수준을 말합니다.
검색은 애플리케이션이 네트워크에서 잠재적인 스캔 대상을 검색하는 스캔의 첫 번째 단계입니다. 검색 단계로서의 검색은
보고서 템플릿은 자산 및 취약점 정보를 포함하는 이해하기 쉬운 형식의 보고서를 위해 설계되었습니다. 이러한 템플릿 유형에 사용할 수 있는 몇몇 형식—Text, PDF, RTF 및 HTML—은 간부 또는 문제 해결을 담당하는 보안 팀 직원과 같은 조직의 관계자들이 확인할 정보를 공유하는 데 편리합니다.
동적 자산 그룹은 특정한 검색 조건에 일치하는 스캔 자산을 포함합니다. 사용자는 IP 주소 범위 또는 운영 체제와 같은 자산 검색 필터로 이러한 조건을 정의합니다. 동적 그룹의 자산 목록은 각각의 스캔에 따라 또는 예외 처리된 취약점이 생성된 시기에 따라 변경될 수 있습니다. 동적 자산 그룹은 이런 점에서 정적 자산 그룹과 차이가 있습니다.
동적 검색은 애플리케이션이 자산을 관리하는 서버에 대한 연결을 통해 자산을 자동으로 검색하는 프로세스입니다. 기준 필터를 통해 자산 검색을 조정 또는 제한할 수 있습니다. 동적 검색은 검색(검색 단계)과는 다릅니다.
동적 검색 필터는 동적 검색 결과를 조정 또는 제한하기 위한 일련의 조건을 말합니다. 이러한 유형의 필터는 자산 검색 필터 와는 다릅니다.
동적 검색 풀은 스캔 엔진 풀을 사용해 스캔 범위의 일관성을 개선하는 기능입니다. 스캔 엔진 풀은 로드를 공유 스캔 엔진에 고르게 분산할 수 있도록 사이트로 통합 가능한 공유 스캔 엔진의 그룹입니다. 확장된 API v1.2를 사용해 스캔 풀을 구성할 수 있습니다.
동적 사이트는 vAsset 검색을 통해 검색된 스캔 대상 자산의 집합입니다. 동적 사이트의 자산 구성원은 검색 연결 또는 자산 검색 필터링 조건이 변경됨에 따라 변경될 수 있습니다.
익스플로이트는 보안 상의 결함 또는 취약점을 통해 네트워크에 침투하거나 컴퓨터에 액세스하려는 시도를 말합니다. 악의적인 익스플로이트로 인해 시스템 중단 또는 데이터 도난이 발생할 수 있습니다. 침투 테스터는 취약점이 존재하는지 확인하기 위해 양성 익스플로이트를 사용합니다. Metasploit 제품은 양성 익스플로이트를 실행하기 위한 툴입니다.
내보내기 템플릿은 정보를 외부 시스템에 통합하기 위해 설계되었습니다. 이 유형에 사용할 수 있는 형식은 다양한 XML 형식, Database Export 및 CSV 등이 있습니다.
노출은 주로 멀웨어 또는 알려진 익스플로이트를 통한 해킹에 대한 자산의 취약점을 말합니다.
XCCDF(Extensible Configuration Checklist Description Format)는 NIST(National Institute of Standards and Technology: 미국표준기술연구소)의 정의에 따라 “보안 체크리스트, 벤치마크 및 관련 문서 작성을 위한 명세 언어입니다. XCCDF 문서에는 특정 대상 시스템과 관련된 일련의 보안 구성 규칙이 체계적으로 명시되어 있습니다. 이러한 사양은 정보 교환, 문서 생성, 체계적이며 효과적인 조정, 자동화된 규정 준수 테스트 및 평가를 지원하기 위해 마련되었습니다.” FDCC 정책 규정 준수에 대한 정책 관리자 검사는 이러한 형식으로 작성됩니다.
오탐은 애플리케이션이 존재하지 않는 취약점을 표시한 경우를 말합니다. 부정 오류는 애플리케이션이 존재하는 취약점을 표시하지 못한 경우를 말합니다.
FDCC(Federal Desktop Core Configuration)는 미국 정부 기관의 네트워크에 직접 연결된 컴퓨터와 관련해 NIST(National Institute of Standards and Technology: 미국표준기술연구소)가 권장하는 구성 보안 설정입니다. 정책 관리자는 스캔 템플릿에서 이러한 정책에 대한 규정 준수를 검사합니다. 이러한 검사를 수행하려면 정책 관리자 기능 및 FDCC 스캔을 지원하는 라이센스가 필요합니다.
핑거 프린팅은 스캔 대상의 운영 체제를 식별하거나 특정한 애플리케이션 버전을 감지하는 방법을 말합니다.
글로벌 관리자는 사전 설정된 역할 중 하나입니다. 이 역할이 부여된 사용자는 애플리케이션의 모든 작업을 수행하고 모든 사이트 및 자산 그룹에 액세스할 수 있습니다.
호스트는 컴퓨팅 리소스를 게스트 가상 머신에 제공하는 물리적 또는 가상 서버입니다. 가용성이 높은 가상 환경에서 호스트는 노드라고 부르기도 합니다. 용어 노드의 의미는 애플리케이션에 따라 다릅니다.
대기 시간은 하나의 컴퓨터가 네트워크를 통해 데이터를 전송하고 다른 컴퓨터가 이를 수신할 때의 시간 간격을 말합니다. 대기 시간이 짧으면 지연 시간이 단축됩니다.
위치 태그를 통해 자산을 물리적 위치나 지리적 위치에 따라 파악할 수 있습니다.
멀웨어란 대상 시스템의 운영 중단 또는 거부, 데이터 도용 또는 손상, 권한 없는 리소스 액세스 확보, 기타 유사한 방식의 악용을 목적으로 생성된 소프트웨어입니다. 이 애플리케이션은 자산이 멀웨어에 노출되는 원인이 될 수 있는 특정한 취약점을 파악할 수 있습니다.
익스플로이트 키트라고도 불리는 멀웨어 키트는 악의적인 사용자가 취약점을 통해 대상 시스템을 공격하기 위한 코드를 작성하고 구축하는 데 사용할 수 있는 소프트웨어 번들입니다.
관리 대상 자산은 스캔을 통해 검색되고 사이트의 대상 목록에 자동 또는 수동으로 추가된 네트워크 디바이스입니다. 관리 대상 자산만 취약점 검사 및 기간별 추적이 가능합니다. 관리 대상 자산이 된 자산은 라이센스에 따라 스캔 가능한 최대 자산의 수를 계산할 때 포함됩니다.
수동 검색은 특정한 시간에 실행되도록 예약된 경우라도 다른 때에 언제든 수행이 가능한 검색을 말합니다. 임시 스캔 및 예약되지 않은 스캔도 이에 해당됩니다.
Metasploit는 취약점을 확인하기 위해 양성 익스플로이트를 수행하는 제품입니다.
MITRE Corporation은 보안 개발 계획을 위한 보안 관련 개념 및 언어를 나열하는 표준을 정의하는 기관입니다. MITRE 정의에 따라 생성된 용어로는 CCE(Common Configuration Enumeration) 및 CVE(Common Vulnerability Enumeration) 등이 있습니다. MITRE 정의에 따라 생성된 언어로는 OVAL(Open Vulnerability and Assessment Language) 등이 있습니다. 여러 MITRE 표준이 FDCC 규정 준수 검증 등과 관련해 시행되었습니다.
NIST(National Institute of Standards and Technology: 미국표준기술연구소)는 미국 상무부에 소속된 비규제적인 연방 기관입니다. 이 기관은 SCAP(Security Content Automation Protocol)를 포함한 여러 보안 계획을 마련하고 관리합니다.
노드 애플리케이션이 스캔 시 검색하는 네트워크의 디바이스입니다. 이 애플리케이션이 노드 데이터를 스캔 데이터베이스에 추가하면 노드는 사이트 및 자산 그룹 목록에 추가할 수 있는 자산으로 인식됩니다.
OVAL(Open Vulnerability and Assessment Language)은 FDCC 정책 검사와 같은 보안 관련 데이터 수집 및 공유를 위한 개발 표준입니다. FDCC 요건 준수와 관련해 애플리케이션이 구성 정책 검사 시 가져오는 각각의 OVAL 파일은 보안 콘솔 웹 인터페이스의 SCAP 페이지에서 다운로드할 수 있습니다.
오버 라이드는 사용자가 구성 정책 규칙 준수 검사 결과에 반영한 변경 사항입니다. 예를 들어 사용자는 실패를 통과로 오버 라이드할 수 있습니다.
PCI(Payment Card Industry)는 신용 카드 거래를 수행하는 모든 사업체에 대해 PCI 데이터 보안 표준을 관리하고 시행하는 위원회입니다. 이 애플리케이션은 ASV(Approved Scanning Vendor)가 사업체의 PCI 규정 준수에 대한 공식적인 사업체 감사에 사용하는 스캔 템플릿과 보고서 템플릿을 포함합니다.
권한은 하나 이상의 특정한 작업을 수행할 수 있는 능력을 말합니다. 일부 권한은 지정된 사용자가 액세스할 수 있는 사이트 또는 자산 그룹에만 적용됩니다. 다른 권한은 이러한 유형의 액세스의 영향을 받지 않습니다.
정책은 컴퓨터, 운영 체제, 소프트웨어 애플리케이션 또는 데이터베이스와 관련된 일련의 주요 보안 관련 구성 지침입니다. 이 애플리케이션에는 스캔과 관련된 두 가지 일반적인 정책 유형인: 정책 관리자 정책과 표준 정책이 있습니다. 이 애플리케이션의 정책 관리자(라이센스 기반 기능)는 USGCB(United States Government Configuration Baseline), FDCC(Federal Desktop Core Configuration), CIS(Center for Internet Security), DISA(Defense Information Systems Agency) 표준과 벤치마크 및 이러한 정책에 기반한 사용자 지정 정책에 대한 준수를 확인하기 위해 자산을 스캔합니다.
정책 관리자(Policy Manager)는 FDCC(Federal Desktop Core Configuration), USGCB(United States Government Configuration Baseline) 및 기타 구성 관련 정책에 대한 준수를 검사하는 라이센스 기반 스캔 기능입니다. 정책 관리자의 스캔 결과는 웹 인터페이스에서 정책 아이콘을 클릭해 정책 페이지에서 확인할 수 있습니다. 또한, 정책 관리자 검사로 스캔한 모든 자산 목록이 있는 정책 목록 테이블에서도 확인할 수 있습니다. 정책 관리자 정책은 기본 라이센스를 통해 스캔이 가능한 표준 정책과는 다릅니다.
FDCC 정책 스캔 결과는 규칙 또는 정책의 준수 여부를 나타냅니다. 정책 결과에는 통과, 실패 또는 해당 없음이 있습니다.
규칙이란 FDCC 구성 정책을 보완하는 특정한 지침 중 하나입니다.
잠재적인 취약점은 세 가지 양성 취약점 검사 결과 유형의 하나입니다. 이 애플리케이션은 스캔 시 두 가지 상황에서 잠재적인 취약점을 보고합니다. 첫 째는 잠재적인 취약점 검사가 스캔 템플릿에서 설정되어 있는 경우입니다. 두 번째는 애플리케이션이 대상에 취약한 소프트웨어 버전이 실행되고 있음을 확인했으나 패치 또는 기타 유형의 문제 해결이 적용되었는지 확인할 수 없는 경우입니다. 데이터베이스 버전 1.1.1이 실행되고 있는 자산을 예로 들어 보겠습니다. 해당 공급업체는 버전 1.1.1이 취약하다는 보안 권장 사항을 발표했습니다. 이 자산에 패치가 설치되었지만 버전은 여전히 1.1.1입니다. 이런 경우 애플리케이션이 잠재적인 취약점을 검사해도 호스트 자산이 잠재적으로 취약하다는 보고만 가능합니다. XML 및 CSV 보고서의 잠재적인 취약점 코드는 vp(vulnerable, potential)입니다. 기타 양성 결과 유형에 대한 내용은
공개된 익스플로이트는 이 애플리케이션과 관련해 Metasploit에서 개발되었거나 Exploit Database 목록에 있는 익스플로이트입니다.
RealContext는 자산이 비즈니스에 미치는 영향에 따라 자산에 태그를 붙이는 기능입니다. 태그를 사용해 중요도, 위치 또는 소유 내용을 명시할 수 있습니다. 또한, 사용자 지정 태그를 통해 조직에 중요한 기준에 따라 자산을 파악할 수 있습니다.
Real 리스크 전략은 위험을 진단 및 분석하기 위해 이 애플리케이션이 기본으로 제공하는 전략 중 하나입니다. 이 전략은 또한 발생율(액세스 백터, 액세스 복잡성, 인증 요건) 및 자산이 받은 영향(신뢰성, 무결성, 가용성)을 기준으로 각 취약점과 관련된 고유한 익스플로이트 및 멀웨어 노출 메트릭을 CVSS(Common Vulnerability Scoring System) 기본 메트릭에 적용하는 효과적인 전략입니다.
모든 보고서는 제품과 함께 제공되는 템플릿 또는 조직을 위한 사용자 지정 템플릿과 같은 특정한 템플릿에 기반합니다.
취약점 진단에서 위험은 네트워크 또는 컴퓨터 환경이 손상될 가능성과 이로 인한 데이터 도용과 손상 및 서비스 중단과 같은 예상되는 결과를 말합니다. 또한, 이에 따라 조직에 발생할 수 있는 재정적 손실과 평판의 손상도 위험에 포함됩니다.
위험 지수는 이 애플리케이션이 모든 자산 및 취약점에 대해 계산한 등급입니다. 이 지수는 악의적인 익스플로이트 발생 시 네트워크 및 비즈니스 보안에 발생할 수 있는 잠재적인 위험을 나타냅니다. 이 애플리케이션이 제공하는 기본 위험 전략에 따라 위험을 평가하거나 사용자 지정 위험 전략을 생성할 수 있습니다.
위험 전략은 취약점 위험 지수를 계산하는 방법입니다. 각각의 전략은 특정한 위험 요인 및 관점을 강조합니다. 4가지 기본 전략은:
위험 추세 그래프를 통해 자산에 손상이 발생할 가능성과 이로 인해 예상되는 영향 및 시간에 따른 변화를 장기적인 관점에서 검토할 수 있습니다. 위험 추세는 평균 또는 총 위험 지수에 기반할 수 있습니다. 보고서에서 위험도가 가장 높은 그래프는 사이트, 그룹 또는 자산의 수준에서 가장 큰 위험 요소를 나타냅니다. 위험 추세를 추적하면 이러한 부분에서 조직이 직면한 위험을 진단하고 취약점 관리 조치가 위험을 적절한 수준으로 관리하거나 줄이기에 충분한지 파악할 수 있습니다.
역할은 일련의 권한을 의미합니다. 5가지 사전 설정된 역할이 있습니다. 권한을 직접 선택해 사용자 지정 역할을 생성할 수도 있습니다.
스캔은 애플리케이션이 네트워크 자산을 검색하고 관련 취약점을 검사하는 프로세스입니다.
스캔 자격 증명은 이 애플리케이션이 액세스 및 세부 정보 확인을 위한 인증을 위해 대상 자산에 제출하는 사용자 이름 및 암호입니다. 여러 다양한 인증 매커니즘이 다양한 플랫폼에 지원됩니다.
스캔 엔진은 애플리케이션의 두 가지 주요 구성 요소 중 하나입니다. 이 엔진은 자산을 검색하고 취약점을 감지합니다. 스캔 엔진은 다양한 스캔 범위에서 방화벽 내부 또는 외부로 분산이 가능합니다. 또한, 보안 콘솔 설치 시 콘솔의 네트워크 경계에서 스캔을 실행할 때 사용할 수 있는 로컬 엔진이 제공됩니다.
스캔 템플릿은 자산 스캔 방법을 결정하는 일련의 매개 변수입니다. 다양한 스캔 시나리오를 위한 다양한 사전 설정 스캔 템플릿이 있습니다. 맞춤형 스캔 템플릿을 생성할 수도 있습니다. 스캔 템플릿에 포함되는 매개 변수:
예약된 스캔은 사전 지정된 시점에 자동으로 실행됩니다. 스캔 예약은 사이트 구성의 설정 옵션입니다. 또한, 모든 스캔은 어느 때나 수동으로 실행할 수 있습니다.
보안 콘솔은 애플리케이션의 두 가지 주요 구성 요소 중 하나입니다. 보안 콘솔은 스캔 엔진을 제어하고 스캔 데이터를 가져옵니다. 또한, 모든 작업을 관리하고 웹 기반 사용자 인터페이스를 제공합니다.
SCAP(Security Content Automation Protocol)는 보안 데이터를 표시하고 조작하기 위한 일련의 표준입니다. SCAP는 미국 정부에 의해 제정되었으며 NIST에 의해 관리됩니다. 이 애플리케이션은 인증되지 않은 스캔 제품과 관련해 SCAP 기준을 준수합니다.
보안 관리자는 사전 설정된 역할 중 하나입니다. 이 역할이 부여된 사용자는 스캔을 구성 및 실행하고 보고서를 생성하며 액세스할 수 있는 사이트 및 자산 그룹에서 자산 데이터를 확인할 수 있습니다.
스캔 인증에 사용할 수 있는 두 가지 유형의 자격 증명 중 하나인 공용 계정은 글로벌 관리자 또는 사이트 관리 권한이 있는 사용자를 통해 생성됩니다. 공용 계정은 사이트 수의 제한 없이 여러 자산에 적용할 수 있습니다.
사이트는 스캔 대상 자산으로 구성됩니다. 각각의 사이트에는 대상 자산 목록, 하나의 스캔 템플릿, 하나 이상의 스캔 엔진, 기타 스캔 관련 설정이 있습니다.
스캔 인증에 사용할 수 있는 두 가지 유형의 자격 증명 중 하나인 단일 인스턴스 자격 증명은 개별 사이트 구성을 위해 생성되며 해당 사이트에서만 사용할 수 있습니다.
사이트 소유자는 사전 설정된 역할 중 하나입니다. 이 역할이 부여된 사용자는 스캔을 구성 및 실행하고 보고서를 생성하며 액세스할 수 있는 사이트에서 자산 데이터를 확인할 수 있습니다.
표준 정책은 정책 관리자 정책과 달리 애플리케이션이 기본 라이센스를 통해 스캔할 수 있는 정책 중 하나입니다. 표준 정책 스캔은 Oracle, Lotus Domino, AS/400, Unix 및 Windows 시스템의 특정한 구성 설정 검증에 사용할 수 있습니다. 스캔 범위에 정책을 추가하면 스캔 템플릿에 표준 정책이 표시됩니다. 표준 정책 스캔 결과는 이러한 정책의 준수와 관련해 스캔된 모든 자산에 대한 고급 정책 목록 테이블에 나타납니다.
정적 자산 그룹은 조직의 요구 사항에 따라 설정된 일련의 기준을 충족하는 자산을 포함합니다. 동적 자산 그룹과 달리 정적 그룹에 있는 자산 목록은 수동으로 변경하지 않는 이상 변경되지 않습니다.
정적 사이트는 수동으로 선택된 스캔 대상 자산의 집합입니다. 정적 그룹에 있는 자산 구성원은 사용자가 사이트 구성에서 자산 목록을 수동으로 변경하지 않는 이상 변경되지 않습니다. 자세한 내용은
기본 리스크 전략 중 하나인 임시 리스크 전략은 시간에 따라 점차 증가하는 손상 발생률을 나타냅니다. 이 계산은 공개 날짜를 기준으로 각 취약점의 기간을 발생률(액세스 백터, 액세스 복잡성, 인증 요건) 및 자산이 받은 영향(신뢰성, 무결성, 가용성)에 대한 CVSS 기본 메트릭의 배수로 적용합니다. 임시 위험 지수는 부분적인 영향 벡터로 인한 위험 요인을 제한하기 때문에 TemporalPlus 지수보다 낮습니다.
기본 리스크 전략 중 하나인 TemporalPlus 전략은 취약점 영향을 보다 세부적으로 분석하고 시간에 따라 점차 증가하는 손상 발생률을 나타냅니다. 이는 취약점의 기간을 발생률(액세스 백터, 액세스 복잡성, 인증 요건) 및 자산이 받는 영향(신뢰성, 무결성, 가용성)에 대한 CVSS 기본 메트릭의 배수로 적용합니다. TemporalPlus 위험 지수는 부분적인 영향 벡터로 인한 위험 요인을 확대하기 때문에 임시 지수보다 높습니다.
총 위험은 위험 추세 보고서 구성에 있는 설정입니다. 총 위험은 특정 기간 동안의 자산의 취약점 지수 합계입니다.
USGCB(United States Government Configuration Baseline)는 모든 미국 정부 기관에서 사용되는 IT 제품에 대한 보안 구성 기준을 마련하기 위한 계획입니다. USGCB는 FDCC에서 발전하여 미국 정부 구성 보안 요건으로서 FDCC를 대체하게 되었습니다. 정책 관리자는 USGCB 기준 준수와 관련해 Microsoft Windows 7, Windows 7 방화벽, Internet Explorer를 검사합니다. 이러한 검사를 수행하려면 정책 관리자 기능 및 USGCB 스캔을 지원하는 라이센스가 필요합니다.
관리되지 않는 자산은 스캔 시 검색되었으나 관리되는 자산과 관계가 없거나 사이트의 대상 목록에 추가되지 않은 디바이스입니다. 이 애플리케이션은 사용자가 관리되지 않는 자산을 관리할지 여부를 결정할 수 있도록 이러한 자산에 대한 충분한 정보를 제공하도록 설계되었습니다. 관리되지 않는 자산은 라이센스에 따라 스캔 가능한 최대 자산의 수를 계산할 때 포함되지 않습니다.
안전하지 않은 점검 항목은 대상 시스템에 서비스 거부를 발생시킬 수 있는 취약점에 대한 테스트입니다. 이러한 테스트 자체로 인한 서비스 거부가 발생할 수 있으니 주의해야 합니다. 안전하지 않은 점검 항목 테스트는 운영 상태가 아닌 대상 시스템에만 수행하는 것이 좋습니다.
업데이트는 애플리케이션에 적용되는 변경 사항의 릴리즈입니다. 자동으로 다운로드 및 적용되는 기본적인 두 가지 유형의 업데이트:
컨텐츠 업데이트는 취약점에 대한 새로운 검사, 패치 확인 및 보안 정책 준수를 포함합니다. 컨텐츠 업데이트는 생성될 때마다 항상 자동으로 수행됩니다.
제품 업데이트는 성능 개선, 버그 해결 및 최신 제품 기능을 포함합니다. 컨텐츠 업데이트와 달리 자동 제품 업데이트를 해제하고 수동으로 제품을 업데이트할 수 있습니다.
사용자는 사전 설정된 역할 중 하나입니다. 이 역할이 부여된 사용자는 액세스할 수 있는 사이트 및 자산 그룹에서 자산 데이터를 확인하고 보고서를 실행할 수 있습니다.
검증된 취약성은 통합 Metasploit 익스플로이트에 의해 그 존재가 입증된 취약점입니다.
취약한 버전은 세 가지 양성 취약점 검사 결과 유형의 하나입니다. 이 애플리케이션은 대상에 취약한 소프트웨어 버전이 실행되고 있음을 확인한 경우 취약한 버전을 보고하고 패치 또는 기타 유형의 문제 해결이 적용되지 않았음을 확인할 수 있습니다. XML 및 CSV 보고서에서 취약한 버전에 대한 코드는 vv(vulnerable, version check)입니다. 기타 양성 결과 유형에 대한 내용은
취약점은 네트워크 또는 컴퓨터의 보안 결함을 말합니다.
취약점 범주란 공통의 기준에 따른 일련의 취약점 검사를 말합니다. 예를 들어 Adobe 범주에는 Adobe 애플리케이션에 영향을 미치는 취약점 검사가 포함됩니다. Air, Flash 및 Acrobat/Reader와 같은 특정한 Adobe 제품에 대한 범주도 있습니다. 취약점 검사 범주는 스캔 템플릿에서 범위를 조정하는 데 사용됩니다. 또한, 보고서 범위를 조정하기 위해 취약점 검사 결과를 범주별로 필터링할 수도 있습니다. Microsoft와 같이 제조업체 이름으로 된 범주는 해당 제품 이름으로 된 범주의 상위 집합 역할을 할 수 있습니다. 예를 들어 Microsoft 범주로 필터링하는 경우 Microsoft Path 및 Microsoft Windows와 같은 모든 Microsoft 제품 범주도 포함됩니다. 이는 Adobe, Apple 및 Mozilla와 같은 다른 "기업" 범주에도 적용됩니다.
취약점 검사란 대상 자산에 보안 결함이 존재하는지 파악하기 위한 일련의 작업을 말합니다. 검사 결과는 음성(취약점이 발견되지 않음) 또는 양성일 수 있습니다. 양성 결과의 세 가지 유형:
예외 처리된 취약점은 보고서 및 모든 자산 목록 테이블에서 제외되는 취약점을 말합니다. 또한, 예외 처리된 취약점은 위험 지수 계산에 포함되지 않습니다.
발견된 취약점은 세 가지 양성 취약점 검사 결과 유형의 하나입니다. 이 애플리케이션은 스캔 시 익스플로이트와 같은 자산별 취약점 테스트를 통해 검사한 취약점을 보고합니다. XML 및 CSV 보고서의 발견된 취약점에 대한 코드는 ve(vulnerable, exploited)입니다. 기타 양성 결과 유형에 대한 내용은
기본 리스크 전략 중 하나인 가중 리스크 전략은 주로 자산 데이터 및 취약점 유형에 기반하며 사용자가 사이트에 할당한 중요도 또는 중량을 고려합니다.