데이터에서 작업으로 전환: 인텔리전스 기반 취약성 관리
컨텍스트에 따라서 취약성의 우선 순위를 지정하는 것은 항상 취약성 관리 팀에게 도전 관제였으며 게시된 CVE의 수가 계속 증가하고 있으므로 이 작업은 더 쉬워지지 않을 것입니다. 이런 상황을 해결하기 위해 많은 엔터프라이즈에서는 다양한 인텔리전스 데이터 및 도구를 사용하여 환경을 보호하기 위한 제품 및 서비스에 투자할 수 밖에 없습니다. 이 블로그에서는 Tenable Vulnerability Intelligence 및 Exposure Response가 데이터에 기반한 결정을 내리도록 지원하여 우선 순위 지정을 향상하고 프로그램을 운영 가능하도록 만드는 방식을 설명합니다.
취약성 관리는 조직에게 정복하기 어려운 장애물처럼 보입니다. CVE(Common Vulnerabilities and Exposures)의 수는 많으며 빠르게 증가하고 있습니다. 처음부터 취약성 관리에 집중했던 조직으로서 Tenable도 이런 문제로 고심했지만 그 복잡성은 더 높았습니다. Tenable의 폭넓은 고객 기반을 보유하므로 가능한 많은 제품에서 많은 CVE를 다루며서 위험 컨텍스트, 정확도 및 안정성을 유지해야 했습니다.
솔루션은 모든 가능한 CVE와 영향을 받는 제품의 조합을 확인하려는 목적이 아닙니다. 정확하고 목표가 지정된 컨텍스트로 가장 중요한 취약성의 우선 순위를 지정해야 합니다. Tenable에서는 빠르고 정확하게 이런 결정을 내릴 수 있도록 외부 출처 및 Tenable Research 모두에서 거대하고 검색 가능한 취약성 정보의 데이터베이스를 활용합니다. 이것은 Vulnerability Intelligence라는 이름의 Tenable Vulnerability Management 제품의 새 기능을 작동하는 동일한 데이터 소스이며 그 목적은 고객이 취약성 관리 프로그램의 더 나은 운영을 가능하게 하고 빠른 데이터 기반 우선 순위 결정을 내리도록 하는 것입니다.
상황은 어려우며 더 악화되고 있습니다
2024년의 절반만 지났지만 이런 속도이면 올해에는 30,000개 CVE를 게시할 것으로 보입니다. 상황을 더 복잡하게 만드는 것을 더 많은 CVE들이 근본적 구성 요소, 프레임워크 및 언어 라이브러리에 관련됩니다. 이것은 조직들이 단일 애플리케이션을 수정하지 않고 영향을 받는 취약성 구성 요소를 활용하는 모든 애플리케이션을 추적하여 수정해야 한다는 것을 의미합니다.
우선 순위 지정 전략을 구축하기 위해 취약성 인텔리전스를 활용
Tenable에서는 주요 제품의 릴리스를 위한 최신 취약성 보안 범위를 제공하기 위한 매일의 노력 이외에도 다음 주요 취약성에 가능한 빠르게 대응할 수 있도록 지속적으로 관심을 기울이고 있습니다. Vulnerability Intelligence에서 컨텍스트 데이터를 활용하는 것은 빠르게 합리적 결정을 내리기 위해 중요합니다. 또한 NVD(National Vulnerability Database)에 상당한 백로그로 어려움을 겪는 것을 고려할 때 Tenable은 하나의 데이터 소스에 연결되어 있지 않으므로 Vulnerability Intelligence 데이터 세트는 최근 취약성 및 위험에 대한 데이터를 최신으로 유지할 수 있었습니다.
Vulnerability Intelligence를 시작하면 여러 육각형이 가장 높은 수준의 위협이 되는 것으로 강조하려는 취약성의 위험 범주를 나타냅니다. 단독적으로 사용된 결정 기준은 아니지만 Vulnerability Intelligence의 범주는 Tenable Vulnerability Database에 입력하는 데이터 포인트를 기반으로 하며 위험 등급 결정에 영향을 줍니다.
다음과 같은 범주가 포함됩니다.
- 새로 등장하는 위협은 Security Response 팀에서 활발하게 모니터링하고 있는 취약성이며 많은 경우 취약성을 해결하기 위해, 특히 관심을 가져야하는 취약성 및 우려가 되는 취약성 범주의 취약성을 해결하기 위해 팀에서 플러그인의 개발까지 직접 경로를 따릅니다.
- VPR은 Tenable 팀에게 빠르게 입력하고 분류하기 위한 숫자 점수가 됩니다. 물론, 모든 점수처럼 그 이면의 컨텍스트를 이해하는 것이 중요합니다.
- 랜섬웨어는 이런 유형의 공격과 연결된 취약성을 강조 표시하며 특히 주요 엔터프라이즈 애플리케이션의 취약성은 조직에게 특히 위험한 공격이 될 수 있으므로 이들을 강조 표시합니다.
위의 스크린샷에서 볼 수 있는 것처럼 이런 목표 범주에 집중하면 집중해야 하는 CVE의 수를 상당히 줄일 수 있습니다. 게시된 250,000개의 CVE와 비교할 때 위의 숫자는 훨씬 더 관리가 가능하며 CVSS 메트릭을 활용하여 얻는 심각도 점수와 다르게 실질적인 위험을 알려줍니다.
데이터를 우선 순위 전략으로 변환
많은 조직에서 여전히 특정 제품, CVSS 점수 또는 독점적 명령을 목표로 하는기본적 우선 순위 메트릭을 사용하여 운영 방식을 구축하고 있습니다. 이것은 많은 경우 특정 컴플라이언스 표준의 준수 필요성 때문에 또는 단순히 측정할 수 있는 무엇인가가 필요하기 때문입니다. 간단한 CVSS 점수 또는 심각도에 대해 추적하고 측정하기는 단순하지만 많은 컨텍스트를 제공하지 않으며 위험에 대해 증명 가능한 영향이 있는 전략은 아닙니다.
이런 부분이 Tenable Vulnerability Management의 새로운 Exposure Response 기능을 도움을 받을 수 있는 부분입니다. 팀은 Exposure Response를 사용하여 측정 가능하며 실제 위험을 반영하는 취약성 관리 전략을 개발할 수 있습니다. 모든 VM 프로그램에서 가장 중요한 도구는 성과를 추적하는 기능입니다. 아쉽게도 새로 발생하는 취약성의 수가 지속적으로 수정하는 취약성의 수를 상쇄하므로 대부분의 그래프는 결국 편평한 선이 됩니다. 표적이 더 집중되어 있을수록 시간에 따른 실제 성과를 측정하고 달성 가능한 SLA 목표를 지정하는 것이 가능합니다.
CISA KEV 이니셔티브
미국의 Cybersecurity and Infrastructure Security Agency의 KEV(Known Exploited Vulnerabilities) 카탈로그는 널리 악용되고 있다는 증거가 있는 특정 취약성에 집중할 수 있는 중요하며 널리 사용되는 리소스가 되었습니다. KEV는 포괄적이지는 않지만 이런 특정 CVE에 연결된 위험과 많은 조직에서 KEV에 주목하기 때문에 KEV는 Tenable Research 팀에서 취약성 보안 범위를 추적하기 위해 사용하는 여러 벤치마크 중 하나가 되었습니다. 취약성 관리 팀은 Exposure Response를 사용하여 비슷한 방식으로 추적 가능한 CISA KEV 기반 이니셔티브를 만들어서 수정 노력을 비교하여 벤치마크할 수 있습니다. 이전에 언급한 것처럼 SLA 및 벤치마크는 모든 수정 전략에서 중요합니다. Tenable은 KEV 취약성을 가능한 빠르게 보안 범위에 포함하려고 노력하며 이상적으로 KEV에 도달하기 전이지만 그렇지 않은 경우 많은 경우 KEV에 게시되고 몇 시간 이내에 보안 범위에 포함합니다.
Exposure Response는 이런 측정을 제공하기 위해 적합한 필요한 도구를 제공합니다. KEV에 연결된 가시성 및 위험을 고려할 때 SLA를 겨우 며칠로 설정하고 발견 사항의 90% 이상을 수정하는 벤치마크를 유지하도록 목표하는 것이 합리적일 수 있습니다. 적용한 전략이 측정 가능하며 달성 가능하도록 하는 것이 중요합니다.
게시된 250,000개의 CVE와 다르게 CISA KEV 카탈로그에는 지금까지 단 1,134개의 CVE만 있습니다. 매달 KEV에 적은 수의 CVE만 추가되므로 팀에서 실질적으로 성과를 비교하여 측정할 수 있는 영향을 주는 CVE입니다.
결론
취약성의 우선 순위 지정 및 운영에 반영은 오랫동안 취약성 관리 팀에게 주요 도전 과제였습니다. 매년 게시되는 많은 수의 취약성은 보안 팀이 따라잡을 수 없음을 의미하며 액세스하기 편리한 컨텍스트가 없다는 것은 우선 순위 지정이 추측에 기반하거나 과도한 작업이거나 CVSS 심각도에만 집중하는 것과 같이 부족한 제한된 노력임을 의미합니다. Tenable Vulnerability Management에서는 한곳에서 모든 필요한 컨텍스트를 포함하는 Vulnerability Intelligence와 목표가 지정되고 측정 가능한 취약성 관리 워크플로를 운영에 반영하기 위한 Exposure Response를 제공합니다.
자세히 알아보기
관련 기사
CVE-2021-20123, CVE-2021-20124: DrayTek Vulnerabilities Discovered by Tenable Research Added to CISA KEV
September 9, 2024With patches out for three years, attackers have set their sights on a pair of vulnerabilities affecting DrayTek VigorConnect.
Cybersecurity Snapshot: RansomHub Group Triggers CISA Warning, While FBI Says North Korean Hackers Are Targeting Crypto Orgs
September 6, 2024Cybersecurity teams must beware of RansomHub, a surging RaaS gang. Plus, North Korea has unleashed sophisticated social-engineering schemes against crypto employees. Meanwhile, a new SANS report stresses the importance of protecting ICS and OT systems. And a Tenable poll sheds light on cloud-native VM. And much more!
AA24-241A : Joint Cybersecurity Advisory on Iran-based Cyber Actors Targeting US Organizations
August 28, 2024A joint Cybersecurity Advisory highlights Iran-based cyber actor ransomware activity targeting U.S. organizations. The advisory includes CVEs exploited, alongside techniques, tactics and procedures used by the threat actors.
CVE-2021-20123, CVE-2021-20124: DrayTek Vulnerabilities Discovered by Tenable Research Added to CISA KEV
September 9, 2024With patches out for three years, attackers have set their sights on a pair of vulnerabilities affecting DrayTek VigorConnect.
Cybersecurity Snapshot: RansomHub Group Triggers CISA Warning, While FBI Says North Korean Hackers Are Targeting Crypto Orgs
September 6, 2024Cybersecurity teams must beware of RansomHub, a surging RaaS gang. Plus, North Korea has unleashed sophisticated social-engineering schemes against crypto employees. Meanwhile, a new SANS report stresses the importance of protecting ICS and OT systems. And a Tenable poll sheds light on cloud-native VM. And much more!
Cybersecurity Snapshot: Schools Suffer Heavy Downtime Losses Due To Ransomware, as Banks Grapple with AI Challenges
August 30, 2024The cost of ransomware downtime in schools gets pegged at $500K-plus per day. Meanwhile, check out the AI-usage risks threatening banks’ cyber resilience. Plus, Uncle Sam is warning about a dangerous Iran-backed hacking group. And get the latest on AI-system inventories, the APT29 nation-state attacker and digital identity security!
- Exposure Management
- Vulnerability Management
- Exposure Management
- Risk-based Vulnerability Management