Understanding the Red Hat security impact scale
www.redhat.com
Red Hat의 보안 영향도 스케일 이해
Red Hat은 4점 영향 척도(four-point impact scale)를 사용하여 제품에 영향을 미치는 보안 문제를 분류하는데요, 보안에 대한 이해에 도움이 되는 관련 기사 공유합니다. (출처: Red Hat Blog)
CVE란?
Common Vulnerability and Exposures의 약자로, 공개적으로 공개된 컴퓨터 보안 결함 목록입니다.
심각도 등급을 받으려면 문제가 CVE여야 하는데요, CVE ID가 발행되려면 취약점이 CIA 3요소의 세 가지 요소인 기밀성, 무결성 및 가용성 중 하나 이상을 손상시켜야 합니다.
문제가 이 세 가지 원칙 중 어느 하나도 직접적으로 손상시키지 않는 경우 해당 문제는 CVE가 아닙니다. 약점일 수도 있지만 CVE는 아닙니다.
CVE로 인해 소프트웨어가 어느 정도 영향을 받나요?
CIA 트라이어드(기밀성, 무결성, 가용성)에서 하나 이상의 항목이 손상되어 CVE ID가 발행되는 경우 이로 인해 우리의 소프트웨어가 어느정도 영향을 받는지 확인해야 합니다.
CVE 영향 용어는 아래와 같습니다.
영향을 받거나 취약함(Impacted or Vulnerable): 취약한 코드가 런타임 코드에 존재하며 CIA 트라이어드에 실질적인 영향을 미칩니다. 따라서 이 취약점은 잠재적으로 악용될 수 있는 것으로 의심됩니다.
악용 또는 악용 가능(Exploited or Exploitable): 취약점이 악용되었거나 악용 가능한 것으로 입증되었습니다.
완화됨(Mitigated): 취약한 코드가 런타임 코드에 포함되어 있습니다. 따라서 구성 요소가 영향을 받지만 수정 사항을 배포하지 않고도 보안 취약점의 영향을 줄이기 위한 조치를 취할 수 있습니다.
런타임 코드(Runtime code): 실제로 고객에게 전달되는 실행 가능한 소프트웨어입니다.
따라서 영향을 받는다는 것은 최종 사용자에게 제공되는 취약한 런타임 코드가 포함된 모든 소프트웨어를 의미합니다. CVE 페이지에 제품이 없다는 것은 해당 제품과 함께 배송되지 않았으므로 영향을 받지 않는다는 의미입니다.
Red Hat의 영향력 규모와 NIST
CVE가 보안에 미치는 영향을 이해하기 위해 미국 정부는 국립 표준 기술 연구소(NIST)에 NVD(National Vulnerability Database)를 실행하도록 하면서, NIST는 계산된 CVSS 점수에 직접 매핑되는 영향 척도를 만들었습니다.
NVD 피드는 NIST의 점수와 심각도를 참조로 하여 커뮤니티와 보안 스캐너에 의해 신속하게 채택되는데, 일반화된 접근 방식을 사용하여 구성 요소의 취약성을 평가한다고 합니다
잠재적으로 Red Hat 제품에 영향을 미칠 수 있는 각 취약성에 대해 해당 취약성이 실제로 얼마나 노출되고 고객에게 제공하는 것에서 취약성을 이용하는지를 고려하여 해당 취약성을 평가합니다. 이 취약성은 SELinux 또는 컴파일러 플래그와 같은 운영 체제 대응 조치 또는 제품에 어떻게 노출되는지를 통해 완화될 수 있습니다. 예를 들어 Red Hat OpenShift의 로컬 호스트에만 노출되는 RHEL(Red Hat Enterprise Linux) 구성 요소의 중요한 취약성은 Red Hat 제품이 다운그레이드 될 수 있는 강력한 후보가 됩니다.
Red Hat 심각도 등급을 제공함으로써 고객에게 가치를 부여하고 있으며, 관련 등급을 신뢰할 수 있는 도구로 제공하여 고객이 시스템에 보안 업데이트를 배포하는 시기와 방법을 결정하고 영향을 적절하게 파악하며 시스템의 가용성과 신뢰성을 향상시킬 수 있도록 지원합니다.
Red Hat 보안 영향도 스케일
Critical impact
사용자 개입 없이 시스템을 손상시키고 악성 코드를 실행하는 것입니다. 이에 대한 예는 "Log4Shell 취약점": CVE-2021-44228입니다.
Important impact
이 등급은 리소스의 기밀성, 무결성 또는 가용성을 쉽게 손상시킬 수 있는 결함에 부여됩니다. 이에 대한 예는 최근 "Looney Tunables": CVE-2023-4911입니다
Moderate impact
요구 사항은 "악용하기 더 어려울 수 있는 결함"을 중심으로 이루어지며, 중요하거나 중요한 영향을 미칠 수 있지만 결함에 대한 기술적 평가에 따라 쉽게 악용되지 않으며/또는 가능성이 낮은 구성에 영향을 미칩니다.
Low impact
이는 예상치 못한 상황, 이론적이고 입증되지 않은 보안 공격 또는 최소한의 결과가 필요한 공격입니다.
원본 기사 링크는 아래와 같습니다.
보다 상세한 내용은 원본 기사를 통해 확인하세요. 감사합니다.🙏
[Source Link] https://www.redhat.com/en/blog/understanding-red-hat-security-impact-scale
다음 내용이 궁금하다면?
이미 회원이신가요?
2024년 4월 28일 오후 3:13
댓글 0
함께 읽은 게시물
초중고딩 어렸을 적 과학시간에 석유와 석탄이 만들어지는 원리와 과정을 배울 때마다 이해가 되지 않아서 그냥 외웠었다. 석유는 공룡을 비롯 동물이 죽어서 만들어지고 석탄은 식물이 죽어서 만들어진다고 배웠는데, 석탄이야 식물이 워낙 많았고 죽으면 자연스럽게 땅에 묻히니 그럴 수도 있겠다 이해가 되었지만, 석유는 아무리 생각해도 말이 안되었다. 동물이 화석이 될 확율이 극도로 낮다는 점을 생각하면 동물이 한꺼번에 같은 장소에서 갑자기 많이 죽어서 결국 석유까지 될 확율은 매장되어 있는 석유량을 볼 때 더 말이 안된다고 생각했기 때문이다. 그래서 배울 때마다 당시 과학선생님들께 이해가 안된다고 질문을 드렸으나 속시원한 답을 들어본 적은 없었다. 그렇게 10대에 그 궁금증을 묻고 지금까지 잊고 살았다. 그러다 우연히 생각나서 찾아보니...
비행기가 나는 과학적 원리와 마찬가지로 과학자들조차 속 시원하게 설명하기 어려운 질문 중 하나라고 한다. 많은 학설 중 다수의 과학자와 전문가들이 동의하는 하나는 바다 미생물 이론인데, 이 이야기는 들으면서 고개가 끄덕여질 정도로 납득이 되더라.
... 더 보기[기능 설명이 아닌 Why중심]
U
... 더 보기![[🦄 유니콘·빅테크] 합격한 UX/UI 포트폴리오 컨설팅 - PO·디자인 리드·채용 담당 경력 - 우디디자인랩](data:image/gif;base64,R0lGODlhAQABAIAAAAAAAP///yH5BAEAAAAALAAAAAABAAEAAAIBRAA7)
방송이나 유튜브 보다보면 경제전문가라 말하는 하락론자와 비관론자가 판을 치는데, 최소 지난 수년, 더 나아가 20여년동안 매번 틀려도 여전히 전문가라고 말하고 다니는 걸 보면 재미있다.
모든 인간사가 그렇듯 인간은 믿고 싶은대로 믿는 존재라 그렇게 믿고 싶은 사람들의 감정적 지지를 받아 밥벌이하고 있다는 건 이해가 된다. 하지만 확율적으로 벌어지기 어려운 천재지변 수준의 사건으로 벌어지는 현상이나 전체 흐름에서 일시적으로 벌어지는 현상, 혹은 인간의 욕망과 본성이 외부적 요인으로 잠시 억눌린 상황에서 현실적 경험 없이 뇌피셜로 몇몇 논리적 근거만으로 설명되는 현상을 바탕으로 자산 가치 떨어지고 세상 망할 것처럼 이야기하는데, 결국 제대로 맞추지도 못하는 사람들을 여전히 추종하는 건 글쎄...
... 더 보기창업 기초, 창업 로드맵, 나도 한번 창업을 해볼까?
창업 기초, 창업 로드맵, 나도 한번 창업을 해볼까? 이 궁금증을 해결하는 'PBR B라운지 : (직장인 이후의 삶을 위한) 사업 아이디어 선명하게 다듬기' 과정 오늘 저녁 드디어 시작! 😊
... 더 보기리더의 성격이 비즈니스에 미치는 영향
Clay는 AI를 통해 50개 이상의 데이터베이스를 분석하여 영업팀이 잠재 고객을 빠르게 찾도록 돕는 아웃바운드 마케팅 중심의 리드 생성 소프트웨어입니다. Clay 공동 창업자 Kareem Amin의 인터뷰 중, 창업가의 성격이 비즈니스에 미치는 영향이 담긴
... 더 보기
