Understanding the Red Hat security impact scale
www.redhat.com
Red Hat의 보안 영향도 스케일 이해
Red Hat은 4점 영향 척도(four-point impact scale)를 사용하여 제품에 영향을 미치는 보안 문제를 분류하는데요, 보안에 대한 이해에 도움이 되는 관련 기사 공유합니다. (출처: Red Hat Blog)
CVE란?
Common Vulnerability and Exposures의 약자로, 공개적으로 공개된 컴퓨터 보안 결함 목록입니다.
심각도 등급을 받으려면 문제가 CVE여야 하는데요, CVE ID가 발행되려면 취약점이 CIA 3요소의 세 가지 요소인 기밀성, 무결성 및 가용성 중 하나 이상을 손상시켜야 합니다.
문제가 이 세 가지 원칙 중 어느 하나도 직접적으로 손상시키지 않는 경우 해당 문제는 CVE가 아닙니다. 약점일 수도 있지만 CVE는 아닙니다.
CVE로 인해 소프트웨어가 어느 정도 영향을 받나요?
CIA 트라이어드(기밀성, 무결성, 가용성)에서 하나 이상의 항목이 손상되어 CVE ID가 발행되는 경우 이로 인해 우리의 소프트웨어가 어느정도 영향을 받는지 확인해야 합니다.
CVE 영향 용어는 아래와 같습니다.
영향을 받거나 취약함(Impacted or Vulnerable): 취약한 코드가 런타임 코드에 존재하며 CIA 트라이어드에 실질적인 영향을 미칩니다. 따라서 이 취약점은 잠재적으로 악용될 수 있는 것으로 의심됩니다.
악용 또는 악용 가능(Exploited or Exploitable): 취약점이 악용되었거나 악용 가능한 것으로 입증되었습니다.
완화됨(Mitigated): 취약한 코드가 런타임 코드에 포함되어 있습니다. 따라서 구성 요소가 영향을 받지만 수정 사항을 배포하지 않고도 보안 취약점의 영향을 줄이기 위한 조치를 취할 수 있습니다.
런타임 코드(Runtime code): 실제로 고객에게 전달되는 실행 가능한 소프트웨어입니다.
따라서 영향을 받는다는 것은 최종 사용자에게 제공되는 취약한 런타임 코드가 포함된 모든 소프트웨어를 의미합니다. CVE 페이지에 제품이 없다는 것은 해당 제품과 함께 배송되지 않았으므로 영향을 받지 않는다는 의미입니다.
Red Hat의 영향력 규모와 NIST
CVE가 보안에 미치는 영향을 이해하기 위해 미국 정부는 국립 표준 기술 연구소(NIST)에 NVD(National Vulnerability Database)를 실행하도록 하면서, NIST는 계산된 CVSS 점수에 직접 매핑되는 영향 척도를 만들었습니다.
NVD 피드는 NIST의 점수와 심각도를 참조로 하여 커뮤니티와 보안 스캐너에 의해 신속하게 채택되는데, 일반화된 접근 방식을 사용하여 구성 요소의 취약성을 평가한다고 합니다
잠재적으로 Red Hat 제품에 영향을 미칠 수 있는 각 취약성에 대해 해당 취약성이 실제로 얼마나 노출되고 고객에게 제공하는 것에서 취약성을 이용하는지를 고려하여 해당 취약성을 평가합니다. 이 취약성은 SELinux 또는 컴파일러 플래그와 같은 운영 체제 대응 조치 또는 제품에 어떻게 노출되는지를 통해 완화될 수 있습니다. 예를 들어 Red Hat OpenShift의 로컬 호스트에만 노출되는 RHEL(Red Hat Enterprise Linux) 구성 요소의 중요한 취약성은 Red Hat 제품이 다운그레이드 될 수 있는 강력한 후보가 됩니다.
Red Hat 심각도 등급을 제공함으로써 고객에게 가치를 부여하고 있으며, 관련 등급을 신뢰할 수 있는 도구로 제공하여 고객이 시스템에 보안 업데이트를 배포하는 시기와 방법을 결정하고 영향을 적절하게 파악하며 시스템의 가용성과 신뢰성을 향상시킬 수 있도록 지원합니다.
Red Hat 보안 영향도 스케일
Critical impact
사용자 개입 없이 시스템을 손상시키고 악성 코드를 실행하는 것입니다. 이에 대한 예는 "Log4Shell 취약점": CVE-2021-44228입니다.
Important impact
이 등급은 리소스의 기밀성, 무결성 또는 가용성을 쉽게 손상시킬 수 있는 결함에 부여됩니다. 이에 대한 예는 최근 "Looney Tunables": CVE-2023-4911입니다
Moderate impact
요구 사항은 "악용하기 더 어려울 수 있는 결함"을 중심으로 이루어지며, 중요하거나 중요한 영향을 미칠 수 있지만 결함에 대한 기술적 평가에 따라 쉽게 악용되지 않으며/또는 가능성이 낮은 구성에 영향을 미칩니다.
Low impact
이는 예상치 못한 상황, 이론적이고 입증되지 않은 보안 공격 또는 최소한의 결과가 필요한 공격입니다.
원본 기사 링크는 아래와 같습니다.
보다 상세한 내용은 원본 기사를 통해 확인하세요. 감사합니다.🙏
[Source Link] https://www.redhat.com/en/blog/understanding-red-hat-security-impact-scale
다음 내용이 궁금하다면?
이미 회원이신가요?
2024년 4월 28일 오후 3:13
댓글 0
함께 읽은 게시물
“내가 아무리 노력해도 안 바뀌어요.” 조직문화나 구성원 얘기를 꺼낼 때 종종 들리는 말이다. 그런데 이 말이 단순한 하소연을 넘어 “이젠 직원들에게 마음을 닫았다”라는 선언처럼 들릴 때가 있다. 문제는 바로 거기에 있다.
... 더 보기![[명대성의 소통 본색] 조직은 리더의 태도를 닮는다](data:image/gif;base64,R0lGODlhAQABAIAAAAAAAP///yH5BAEAAAAALAAAAAABAAEAAAIBRAA7)
< 당신의 성장을 막는 가장 큰 적, '똑똑함' >
1. "최고의 경지에 오른 사람의 노하우나 디테일은 말로 설명하기가 어려워요. 어깨너머로만 배울 수 있어요. 그리고 그 작은 차이가 완성도를 판가름하죠.
“직원들에게 월급 외에 출근할 이유를 줘야 합니다. 팀장이 좋다던가, 이 일이 날 성장시킨다던가, 이 일이 좋다던가, 이게 다 여기에 해당합니다.“ 박웅현 TBWA 코리아 조직문화연구소 소장은 직원들을 조직에 남게하는 방법을 이렇게 제안했다.
... 더 보기6월 초, 새로운 바이브 코딩과 SW 개발의 전환의 시대
바
... 더 보기< 길을 잃기 위해 도서관에 갑니다 >
1. 이 세계에 존재하는 책의 99.99%를 저는 아직 읽은 적이 없습니다. 그 사실 앞에서 망연자실해집니다.
이제 스티브 잡스의 남자가 아니라 샘 올트만의 남자라고 해야 할까요. 조니 아이브가 스타트업들에게 전하는 조언입니다. 그는 여전히 애플 때와 마찬가지로 자신의 일이 인류를 위한 일이라고 믿고, 제품 너머에 있는 사용자의 설렘을 같이 느끼면서 디자인하고 있습니다. 그러면서 다른 스타트업 창업자들에게 좋은 본보기를 만들고 있죠. 하지만 실리콘 밸리는 이제 돈과 권력으로만 움직이는 장소가 되지 않았나 아쉬움을 토로해요.
... 더 보기
