기록★일지

취약점 공개 정책 (VDP) 사이버 환경에서의 취약점 보고의 문제점 - 적절한 담당자에게 연락하기 어려움 - 적절한 연락 채널을 찾기 어려움 - 보고 내용이 적절한 담당자에게 전달되었는지 확인이 어려움 취약점 공개 정책 부재로 인한 결과 - 취약점 정보 유출 - 취약점이 보고되지 않음 - 기관이 취약점에 대한 정보를 얻지 못함 2016년 미 국방부(DOD)는 미국 정부를 위해 만든 최초의 VDP를 개발 2020년 CISA(Cybersecurity and infrasturcture Security Agency)는 모든 기관들에게 취약점 공개 정책(VDP)를 설립하도록 지시 VDP는 선의의 목적을 취약점으로 찾는 보안 연구자들에게 법적 조치를 하지 않고 취약점 보고서를 제출할 수 있게 함 https://ww..

취약점 리스크 정량화 산정 방법 - 특정 취약점이 정보시스템이나 네트워크에 어느 정도의 위험을 초래할 수 있는지를 수치화하는 과정 취약점 리스크 정량화에 고려되는 요소들 - 공격 복잡성 - 공격 범위 - 취약점 유형 - 영향 범위보안 팀에서 보다 명확하게 조치해야할 취약점에 대한 우선순위를 정하고 관리할 수 있도록 도움 취약점 리스크 정량화 모델 CVSS (Common Vulnerability Scoring System) - 각 취약점의 공격 복잡성, 공격 범위, 영향 범위 등 - 가장 많이 사용 DREAD (Damage, Reproducibility, Exploitability, Affected Users, Discoverability) - MS사에서 만들었고 각 취약점이 얼마나 해로운지, 재현 가능한..