Red Hat의 보안 영향도 스케일 이해

Red Hat은 4점 영향 척도(four-point impact scale)를 사용하여 제품에 영향을 미치는 보안 문제를 분류하는데요, 보안에 대한 이해에 도움이 되는 관련 기사 공유합니다. (출처: Red Hat Blog) CVE란? * Common Vulnerability and Exposures의 약자로, 공개적으로 공개된 컴퓨터 보안 결함 목록입니다. * 심각도 등급을 받으려면 문제가 CVE여야 하는데요, CVE ID가 발행되려면 취약점이 CIA 3요소의 세 가지 요소인 기밀성, 무결성 및 가용성 중 하나 이상을 손상시켜야 합니다. * 문제가 이 세 가지 원칙 중 어느 하나도 직접적으로 손상시키지 않는 경우 해당 문제는 CVE가 아닙니다. 약점일 수도 있지만 CVE는 아닙니다. CVE로 인해 소프트웨어가 어느 정도 영향을 받나요? * CIA 트라이어드(기밀성, 무결성, 가용성)에서 하나 이상의 항목이 손상되어 CVE ID가 발행되는 경우 이로 인해 우리의 소프트웨어가 어느정도 영향을 받는지 확인해야 합니다. * CVE 영향 용어는 아래와 같습니다. * 영향을 받거나 취약함(Impacted or Vulnerable): 취약한 코드가 런타임 코드에 존재하며 CIA 트라이어드에 실질적인 영향을 미칩니다. 따라서 이 취약점은 잠재적으로 악용될 수 있는 것으로 의심됩니다. * 악용 또는 악용 가능(Exploited or Exploitable): 취약점이 악용되었거나 악용 가능한 것으로 입증되었습니다. * 완화됨(Mitigated): 취약한 코드가 런타임 코드에 포함되어 있습니다. 따라서 구성 요소가 영향을 받지만 수정 사항을 배포하지 않고도 보안 취약점의 영향을 줄이기 위한 조치를 취할 수 있습니다. * 런타임 코드(Runtime code): 실제로 고객에게 전달되는 실행 가능한 소프트웨어입니다. * 따라서 영향을 받는다는 것은 최종 사용자에게 제공되는 취약한 런타임 코드가 포함된 모든 소프트웨어를 의미합니다. CVE 페이지에 제품이 없다는 것은 해당 제품과 함께 배송되지 않았으므로 영향을 받지 않는다는 의미입니다. Red Hat의 영향력 규모와 NIST * CVE가 보안에 미치는 영향을 이해하기 위해 미국 정부는 국립 표준 기술 연구소(NIST)에 NVD(National Vulnerability Database)를 실행하도록 하면서, NIST는 계산된 CVSS 점수에 직접 매핑되는 영향 척도를 만들었습니다. * NVD 피드는 NIST의 점수와 심각도를 참조로 하여 커뮤니티와 보안 스캐너에 의해 신속하게 채택되는데, 일반화된 접근 방식을 사용하여 구성 요소의 취약성을 평가한다고 합니다 * 잠재적으로 Red Hat 제품에 영향을 미칠 수 있는 각 취약성에 대해 해당 취약성이 실제로 얼마나 노출되고 고객에게 제공하는 것에서 취약성을 이용하는지를 고려하여 해당 취약성을 평가합니다. 이 취약성은 SELinux 또는 컴파일러 플래그와 같은 운영 체제 대응 조치 또는 제품에 어떻게 노출되는지를 통해 완화될 수 있습니다. 예를 들어 Red Hat OpenShift의 로컬 호스트에만 노출되는 RHEL(Red Hat Enterprise Linux) 구성 요소의 중요한 취약성은 Red Hat 제품이 다운그레이드 될 수 있는 강력한 후보가 됩니다. * Red Hat 심각도 등급을 제공함으로써 고객에게 가치를 부여하고 있으며, 관련 등급을 신뢰할 수 있는 도구로 제공하여 고객이 시스템에 보안 업데이트를 배포하는 시기와 방법을 결정하고 영향을 적절하게 파악하며 시스템의 가용성과 신뢰성을 향상시킬 수 있도록 지원합니다. Red Hat 보안 영향도 스케일 * Critical impact * 사용자 개입 없이 시스템을 손상시키고 악성 코드를 실행하는 것입니다. 이에 대한 예는 "Log4Shell 취약점": CVE-2021-44228입니다. * Important impact * 이 등급은 리소스의 기밀성, 무결성 또는 가용성을 쉽게 손상시킬 수 있는 결함에 부여됩니다. 이에 대한 예는 최근 "Looney Tunables": CVE-2023-4911입니다 * Moderate impact * 요구 사항은 "악용하기 더 어려울 수 있는 결함"을 중심으로 이루어지며, 중요하거나 중요한 영향을 미칠 수 있지만 결함에 대한 기술적 평가에 따라 쉽게 악용되지 않으며/또는 가능성이 낮은 구성에 영향을 미칩니다. * Low impact * 이는 예상치 못한 상황, 이론적이고 입증되지 않은 보안 공격 또는 최소한의 결과가 필요한 공격입니다. 원본 기사 링크는 아래와 같습니다. 보다 상세한 내용은 원본 기사를 통해 확인하세요. 감사합니다.🙏 [Source Link] https://www.redhat.com/en/blog/understanding-red-hat-security-impact-scale