Introduction to Vulnerability Management 취약점 관리에 대해 알아보자

해당 포스팅은 securityteamblue에서 제공되는 
introduction to Vulnerability Management를 공부하며 정리한 내용입니다

---

 

 

Vulnerability Management는 보안 결함, 취약점을 식별해서 수정하고

사이버공격의 위험, 영향을 줄이는 프로세스이다. 조직에 피해를 줄 수 있는

잠재적인 보안 결함의 수를 뜻하는 Attack Surface를 줄이기 위해 작동함

 

Vulnerability Management 단계

 

• Identification: 취약점 스캐너 등의 방법으로 여러 기기에서 보안 문제를 찾아내 점수(ex.CVSS)와 함께 기록
• Reporting: 시스템 소유자나 이해관계자에게 보고해야 함
• Remediation: 보안 결함을 해결하기 위해 보안 패치 등 방법으로 조치
• Reassessment: 완전히 해결되었는지 확인하기 위해 자동/수동 점검

 

Vulnerability Management 취약점 관리를 수행하는 역할들

 

 

• 위협 인텔리전스 분석가 (Threat Intelligence Anlyst)
• 취약점 분석가 (Vulnerability Analyst)
• 침해사고 대응자 (Incident Responder)
• 침투 테스터 / 레드 팀원 (Penetration Tester / Red Teamer)
  
  

 

취약점 관리 실제 업무 예시

 

1. 보안 유지 관리: 전 세계에 있는 수천 개의 엔드포인트, 서버, 웹사이트, 워크스테이션, 네트워크 장비 보안 유지
2. 취약점 탐지 및 수정: 시스템을 해킹하여 취약점을 찾아내고, 이를 수정하여 악의적인 공격자가 침투하지 못하도록 방어
3. 레드 팀과 블루 팀 작업: 해킹을 시도하여 취약점을 식별하고, 이를 해결해 보안 강화를 위한 작업
4. 취약점 관리: 중요한 제로데이 취약점에 대한 모니터링 및 대응
5. 보안 패치 적용: Microsoft의 보안 패치를 시스템에 적용 (Windows XP까지 포함)
6. RDP 서비스 비활성화: 필요 없는 경우 RDP(Remote Desktop Protocol) 서비스를 비활성화
7. 취약점 스캔 수행: 인터넷에 노출된 시스템에 대해 RDP 활성화 여부 확인
8. OSINT 도구 사용: Shodan, ShadowServer 등을 사용하여 취약점 및 시스템 노출 상태 확인
9. 위협 인텔리전스 분석: 공개된 익스플로잇 코드 및 실제 악용 여부 모니터링
10. 정보 공유: 발견한 인텔리전스를 정부 소유의 정보 공유 플랫폼을 통해 공유
11. 취약점 스캔 및 점검: 시스템에 대한 취약점 스캔과 수동 점검
12. 공격 시뮬레이션: 시스템에 대한 공격 시뮬레이션을 실행
13. SIEM 경고 조사: SIEM(Security Information and Event Management) 경고와 관련된 취약점 및 시스템 악용 조사
    웹 애플리케이션 침투 테스트

 

취약점 분석 업무를 위해 필요한 지식과 기술은?

 

1. 취약점 스캐너 툴들 연습하기 : Nessus, OpenVas, Nikto 같은 스캐너들을 사용해 보고 Metasploitable, VulnHub 등 취약한 vm에서 연습해 보기
2. 최신 보안 뉴스나 정보 업데이트 : cve에 대해 업데이트되는 소식을 계속 접하자
3. 해킹 관련 블로그나 깃허브 업로드: 이미 하고 있다 ^^

 

CVEs/ CVSS Scores

 

CVE란? common vulnerabilities and exposures의 약자로, 공개적으로 알려진 취약점을 표준화하는 것.

예를 들면 CVE-2019-0708는 'BlueKeep'이라는 원격 데스크톱 프로토콜 제로데이 원격 코드 실행 취약점을 지칭.

MITRE에서 저작권을 가지고 있음.

이외에도 NIST에서 만든 NVD(미국 정부의 표준 기반 취약점)도 있다. http:// https://nvd.nist.gov/vuln/search

 

사용 예시를 들어보자~

 

시나리오: 트위터에서 Adobe Acrobat, Reader의 취약점이 보고되어서 취약점의 심각성을 확인해야 하는 상황

취약점 확인: NVD에서 CVE-2019-8039를 찾았다. 해당 취약점은 Adobe Acrobat, Reader에 영향을 주는 원격 코드 실행

 

 

CVSS 점수 확인: CVSS 3.0 점수가 8.8 높음에 해당해 정보보안의 3요소 CIA에 위협이 됨

 

조치: 심각도가 높으므로 즉시 보고하고 조치를 해야 한다

 

 

 

cvss 점수 구성을 더 살펴보면

 

• CVSS:3.0: CVSS 3.0 버전으로 평가한 점수
• AV:N: 공격 벡터(어디서 공격이 발생할 수 있는지) - '네트워크'로, 인터넷을 통해 원격으로 공격 가능함.
• AC:L: 공격 복잡도(공격의 어려움) - '낮음', 즉 기술적 어려움이 적어 쉽게 공격할 수 있음.
• PR:N: 권한 필요 여부 - '없음', 공격자가 특별한 권한 없이도 악용할 수 있음.
• UI:R: 사용자 상호작용 필요 여부 - '필요', 사용자가 악성 파일을 클릭하거나 열어야 악용이 가능함.
• S:U: 범위 변화 여부 - '변경되지 않음', 취약점의 범위는 시스템에 영향을 미친 후 변경되지 않음.
• C:H: 기밀성 영향 - '높음', 공격자가 중요한 정보를 탈취할 수 있음.
• I:H: 무결성 영향 - '높음', 공격자가 정보를 수정하거나 변경할 수 있음.
• A:H: 가용성 영향 - '높음', 공격자가 시스템의 정상적인 접근을 방해할 수 있음.

 

AV는 Attack Vector, C:H는 Confidentiality, high 이렇게 초성으로 되어있어 이해하기 어렵지 않다

 

 

 

여기서 잠깐!

 

공개된 익스플로잇 코드가 있는 중간 등급의 취약점

vs

공개된 익스플로잇 코드가 없고 실시간 악용되지 않는 치명적 취약점

 

이 중에 어떤 것을 먼저 처리해야 할까?

정답은 전자라고 한다. 그 이유는 cvss 점수는 낮아도 공개된 익스플로잇 코드가 있고

실제로 악용되고 있다면 우리 네트워크에도 존재하는지 확인하고 조치해야 한다고 한다.

흠터레스팅