보안 취약점

시리즈 일부
정보 보안
관련 보안 분류
위협
방어
시리즈
컴퓨터 해킹
역사
해커 문화윤리
콘퍼런스
사이버 범죄
해킹 도구
연습 장소
악성 소프트웨어
컴퓨터 보안
단체
출판

취약점(vulnerability)은 공격자가 시스템의 정보 보증을 낮추는데 사용되는 약점이다. 취약점은 세 요소의 교집합이다. 시스템 민감성 또는 결함, 공격자가 결함에 대한 접근 그리고 공격자가 결함에 대한 익스플로잇 가능성.[1] 취약점을 익스플로잇하기 위해서, 공격자는 반드시 시스템의 약점에 접속할 수 있는 적어도 하나의 툴이나 기법을 가져야 한다. 이 경우에, 취약점은 또한 공격 영역이라고도 불린다.

취약점 관리는 취약점을 확인, 분류, 치료 그리고 완화시키는 주기적인 과정이다.[2] 이 과정은 일반적으로 컴퓨터 시스템에서 소프트웨어 취약점을 나타낸다.

보안 위협은 취약점으로서 분류될 수 있다. 취약점의 사용을 같은 의미의 위험과 함께 사용하는 것은 헷갈릴 수 있다. 위험은 심각한 손실의 가능성과 관련된다. 취약점들 중에는 위험이 없는 것도 있다. 예를 들면 영향을 받은 자산이 값을 가지고 있지 않은 경우가 있다. 공격을 구현하기 위해 사용될 수 있는 하나 이상의 취약점을 익스플로잇 가능한 취약점이라고 한다. 취약성의 창문(window of vulnerability)은 보안 구멍이 소개된 또는 사용중인 소프트웨어에서 분명해진 시간부터, 접근이 제거되고 보안이 바로잡히고, 공격이 비활성화된 시간 까지이다. - 제로 데이 공격을 보자.

보안 버그는 더 좁은 개념이다: 소프트웨어와 관련 없는 취약점이 있다:하드웨어, 사이트, 인적 취약점들이 소프트웨어 보안 버그와 관련 없는 것들의 예이다.

프로그래밍 언어에서 적절히 사용되기 어려운 구조체가 많은 취약점점들의 근원지이다.

정의

국제 표준화 기구 (ISO) 27005는 취약점(vulnerability)을:[3]

하나 이상의 위협에 의해 익스플로잇될 수 있는 자산 또는 자산들의 그룹의 약점.

자산은 정보 자원을 포함하는 비지니스 전략과 그것의 연속성 뿐만 아니라 조직의 임무를 지원하는 어떤 것도 될 수 있다.[4]

국제 인터넷 표준화 기구 (IETF) RFC 2828은  취약점(vulnerability)을:[5]

시스템의 디자인, 구현 또는 작업 그리고 관리에서의 결함이나 약점으로서, 시스템의 보안 정책을 침해하기 위해 익스플로잇될 수 있는 것.

취약점과 위험 인자 모델

자원은 위협적인 행동에 의해 익스플로잇될 수 있는 하나 이상의 취약점을 가질 수 있다. 결과는 잠재적으로 자원들의 비밀성, 무결성 또는 가용성을 위협할 수 있다.

공격은 이것이 시스템 자원이나 그들의 동작을 바꾸고, 무결성 또는 가용성을 위협할 때 활성화 된다. "수동적인 공격"은 시스템의 정보를 사용하거나 배우는 것을 시도하지만, 시스템 자원에 영향을 미치고 비밀성을 위협하지는 않는다.[5]

OWASP: relationship between threat agent and business impact

OWASP는 약간 다른 용어들에서 같은 현상을 묘사한다. 공격 매개를 통한 위협적인 에이전트는 비지니스 영향과 관련된 IT 자원들에 대한 기술적 영향을 미치며 시스템과 관련된 보안 제어들의 취약점을 익스플로잇한다.

전체적인 그림은 위험 시나리오의 위험 요소들을 표시한다.[6]

정보 보안 관리 시스템

정보 보안 관리와 관련있는 정책들의 집합(ISMS)은 보안 전략을 보장하기 위한 위험 관리 원리에 따라 관리하기 위해 개발되어 왔다. 이러한 대책들은 또한 보안 제어로도 부르지만, 정보 전송에 적용할 경우에는 보안 서비스라고 부른다.[7]

분류

취약점들은 관련된 자원 클래스에 따라 분류된다.[3]

  • 하드웨어
    • 습도에의 민감성
    • 먼지에의 민감성
    • 오염에의 민감성
    • 보호되지 않은 저장소에의 민감성
  • 소프트웨어
  • 네트워크
    • 보호되지 않은 통신 라인
    • 안전하지 않은 네트워크 구조
  • 직원
    • 부적절한 리쿠르팅 과정
    • 부적절한 보안 인식
  • 위치
    • 홍수의 위험이 있는 지역
    • 신뢰성 없는 전력 공급
  • 관리 기관
    • 정기적 감사의 부족
    • 지속적 계획의 부족
    • 보안의 부족

원인

  • 복잡함: 크고 복잡한 시스템은 결함과 의도되지 않은 접근점의 가능성을 높인다.[8]
  • 익숙함: 흔하고 잘 알려진 코드와 소프트웨어, 운영체제, 하드웨어를 사용하는 것은 공격자가 결함을 익스플로잇할 수 있는 정보를 제공할 가능성을 높인다.[9]
  • 연결성: 물리적 접속, 권한, 포트, 프로토콜 그리고 서비스들은 각각의 접근할 수 있는 시간이 늘어날수록 취약점은 증가하게 된다.[10]
  • 패스워드 관리 결함: 컴퓨터 사용자는 무차별 대입 공격에 취약한 암호를 사용한다. 사용자들은 프로그램이 접근할 수 있는 컴퓨터에 암호를 저장한다. 사용자들은 많은 프로그램과 사이트들에서 암호를 재사용한다.[8]
  • 근본적인 운영체제 설계 결함: 운영체제 설계자는 사용자/프로그램 관리에 차선의 정책을 선택한다. 예를 들면 기본 권한과 같은 정책을 가진 운영체제는 모든 프로그램과 사용자들에게 컴퓨터 전체에 접근할 수 있는 권한을 준다.[8] 이 운영체제 권한은 바이러스와 악성코드가 관리자를 대신하여 명령어를 실행할 수 있게 한다.[11]
  • 인터넷 웹사이트 검색: 몇몇 인터넷 웹사이트들은 컴퓨터에 자동으로 설치될 수 있는 스파이웨어애드웨어를 포함한다. 이러한 웹사이트 방문 이후, 컴퓨터 시스템은 감염되고 개인 정보가 수집되고 다른 개인으로 보내질 수 있다.[12]
  • 소프트웨어 버그: 프로그래머는 익스플로잇할 수 있는 버그를 소프트웨어 프로그램 안에 남겨둘 수 있다. 소프트웨어 버그는 공격자가 애플리케이션을 악용할 수 있게 한다.[8]
  • 확인되지 않은 사용자 입력: 프로그램은 모든 사용자의 입력이 안전하다고 가정한다. 입력이 확인되지 않은 프로그램들은 의도되지 않은 명령어의 실행을 허용하게 된다.[8]
  • 과거의 실수를 배우지 않는 것.[13][14] 예를 들면 IPv4 프로토콜 소프트웨어에서 발견된 취약점들이 새로운 IPv6에도 구현될 수 있다.[15]

연구는 대부분의 취약한 부분이 사용자나 설계자 등 같이 사람에 의한 것이라는 점을 보여준다.[16] 그러므로 사람들은 위협, 자원, 정보 자원 등의 역할에 따라 고려되어야 한다. 사회공학 기법은 증가하는 보안 고려 사항이다.

취약점 결과

보안 위반의 영향은 매우 크다. IT 관리자나 높은 관리직이 취약점이 있는 IT 시스템과 애플리케이션에 대해 쉽게 알 수 있는 것과 IT 위험에 대해 어떤 조치도 취하지 않는 것은 대부분의 경우에 좋지 않은 행위이다. 프라이버시 법은 관리자들이 보안 위험에 대한 영향과 가능성을 줄이는 것을 강요한다. 모의 해킹은 조직에 의해 채택된 약점과 대응책을 확인하는 형태이다.[17] IT 위험을 전문적으로 관리하는 적절한 방식은 정보 보안 관리 시스템을 채택하는 것이다.[7]

정보 보안의 중요한 개념 중 하나는 종심방어의 원리이다. 즉, 다계층 방어 시스템을 설치하는 것은:

  • 익스플로잇을 예방한다.
  • 공격을 탐지하고 가로챈다.

침입 탐지 시스템은 공격들을 탐지할 때 사용되는 시스템들의 클래스의 한 예이다.

물리 보안은 정보 자산을 물리적으로 보호하는 방식들의 집합이다.

개발된 좋은 보안 수준을 충족시키기 위하여 몇몇 기준들의 집합들이 만족되어야 한다. ITSEC와 공통평가기준이 두 예이다.

취약점 공개

취약점들의 공개에 대한 책임은 많은 논란이 있는 주제이다. 2010년 8월의 테크 헤럴드에 의하면 "구글, 마이크로소프트 등이 최근에 이러한 공개를 다루는 가이드라인과 선언을 발행하였다.[18]

취약점 식별과 제거

컴퓨터 시스템에서 취약점들을 발견할 수 있게 도와주는 많은 소프트웨어 툴들이 존재한다. 비록 이러한 툴들이 감시관에게 현재 존재할 수 있는 취약점들에 대한 좋은 개요를 제공할 수 있지만, 인간의 판단을 대체하지는 못한다. 단지 스캐너에만 의존하는 것은 현재 시스템에 존재하는 문제들에 대한 제한된 관점과 긍정 오류를 만들 수 있다.

취약점들은 모든 주요 운영 체제들에서 발견되고 있다. 이러한 시스템들을 사용하면서 취약점들의 확률을 줄일 수 있는 유일한 방법은 감사와 최적의 배치(방화벽접근 제어의 사용 같은), 세심한 시스템 관리를 포함한 꾸준한 조심을 통해서 가능해 진다.

취약점들의 예시

취약점들은 아래의 목록들과 관련된다.

  • 시스템의 물리적 환경
  • 직원
  • 관리
  • 조직 내에서 관리 절차와 보안 방식
  • 경영 활동과 서비스 전달
  • 하드웨어
  • 소프트웨어
  • 통신 장비와 시설
  • 그리고 이들의 조합

순수한 기술적 접근이 심지어 물리적 자원도 보호하지 못한다는 것은 명백한 사실이다.

취약점 익스플로잇의 4가지 예시

  • 공격자는 오버플로우 취약점을 찾아서 민감한 데이터를 내보내는 악성코드를 설치한다.
  • 공격자는 사용자가 악성코드가 들어있는 이메일 메시지를 열게 만든다.
  • 내부인이 보호되고 암호화된 프로그램을 USB에 담아와서 집에서 크랙한다.
  • 1층에 설치된 컴퓨터 시스템에 수해로 인한 피해가 발생한다.

소프트웨어 취약점

다음은 취약점으로 이끄는 소프트웨어 결함의 예시들이다.

몇몇 코딩 가이드라인들이 개발되어 왔으며, 코드가 가이드라인을 따르는지 확인하는 수많은 정적 코드 분석기들이 사용된다.

같이 보기

각주

  1. “The Three Tenets of Cyber Security”. U.S. Air Force Software Protection Initiative. 2009년 6월 5일에 원본 문서에서 보존된 문서. 2009년 12월 15일에 확인함. 
  2. Foreman, P: Vulnerability Management, page 1.
  3. ISO/IEC, "Information technology -- Security techniques-Information security risk management" ISO/IEC FIDIS 27005:2008
  4. British Standard Institute, Information technology -- Security techniques -- Management of information and communications technology security -- Part 1: Concepts and models for information and communications technology security management BS ISO/IEC 13335-1-2004
  5. Internet Engineering Task Force RFC 2828 Internet Security Glossary
  6. “ISACA THE RISK IT FRAMEWORK (registration required)” (PDF). 2010년 7월 5일에 원본 문서 (PDF)에서 보존된 문서. 2015년 11월 9일에 확인함. 
  7. Wright, Joe; Harmening, Jim (2009). 〈15〉. Vacca, John. 《Computer and Information Security Handbook》. Morgan Kaufmann Publications. Elsevier Inc. 257쪽. ISBN 978-0-12-374354-1. 
  8. Kakareka, Almantas (2009). 〈23〉. Vacca, John. 《Computer and Information Security Handbook》. Morgan Kaufmann Publications. Elsevier Inc. 393쪽. ISBN 978-0-12-374354-1. 
  9. Krsul, Ivan (1997년 4월 15일). “Technical Report CSD-TR-97-026”. The COAST Laboratory Department of Computer Sciences, Purdue University. CiteSeerX: 10.1.1.26.5435. 
  10. "An Introduction to Factor Analysis of Information Risk (FAIR)", Risk Management Insight LLC, November 2006 Archived 2014년 11월 18일 - 웨이백 머신;
  11. “The Six Dumbest Ideas in Computer Security”. 《ranum.com》. 
  12. “The Web Application Security Consortium / Web Application Security Statistics”. 《webappsec.org》. 
  13. Ross Anderson.
  14. Neil Schlager.
  15. Hacking: The Art of Exploitation Second Edition
  16. Kiountouzis, E. A.; Kokolakis, S. A. 《Information systems security: facing the information society of the 21st century》. London: Chapman & Hall, Ltd. ISBN 0-412-78120-4. 
  17. Bavisi, Sanjay (2009). 〈22〉. Vacca, John. 《Computer and Information Security Handbook》. Morgan Kaufmann Publications. Elsevier Inc. 375쪽. ISBN 978-0-12-374354-1. 
  18. “The new era of vulnerability disclosure - a brief chat with HD Moore”. 《The Tech Herald》. 2010년 8월 26일에 원본 문서에서 보존된 문서. 2015년 11월 9일에 확인함. 

Read other articles:

中国铁路昆明局集团

中国铁路昆明局集团有限公司中华人民共和国铁路路徽昆明局集团总部(2021年3月),该办公楼所在地原为滇越铁路云南府站公司類型国有独资企业机构代码9153000062260081XX (查)成立2017年代表人物董事长:周荣總部 中国云南省昆明市官渡区塘双路南站新村548号業務範圍云南省大部分以及四川省、贵州省境内部分铁路运输及其相关产业;磨万铁路运营产业铁路运输服務铁路

 

Bandeira do Havaí

Este artigo não cita fontes confiáveis. Ajude a inserir referências. Conteúdo não verificável pode ser removido.—Encontre fontes: ABW  • CAPES  • Google (N • L • A) (Setembro de 2020) Ka Hae Hawaiʻi, ou a bandeira do Havaí Bandeira do governador A Bandeira do Havaí é o estandarte oficial simbolizando o Havaí como um reino, protetorado, república, território e estado dos Estados Unidos da América. A Bandeira do ...

 

COPS8

COPS8 Наявні структури PDBПошук ортологів: PDBe RCSB Список кодів PDB 4D10, 4D18, 4WSN Ідентифікатори Символи COPS8, COP9, CSN8, SGN8, COP9 signalosome subunit 8 Зовнішні ІД OMIM: 616011 MGI: 1915363 HomoloGene: 4882 GeneCards: COPS8 Онтологія гена Молекулярна функція • GO:0001948, GO:0016582 protein binding Клітинна компонента • perinuclear region of cytoplasm• екзо

Chicoana

Chicoana Ciudad y municipio ChicoanaLocalización de Chicoana en Provincia de SaltaCoordenadas 25°06′S 65°33′O / -25.1, -65.55Entidad Ciudad y municipio • País  Argentina • Provincia  Salta • Departamento ChicoanaIntendente Esteban Ivetich (PRS)Altitud   • Media 1432 m s. n. m.Población (2001)   • Total 3396 hab.Gentilicio chicoanisto/aHuso horario UTC−3Código postal A4423Prefijo telefónico 0387[...

 

Zespół dworski w Jastrzębiu-Zdroju

Zespół dworskiw Jastrzębiu-Zdroju nr rej. - A/736/66 z 5 sierpnia 1966[1] (woj. katowickie)- A/791/2021 z 12 kwietnia 2021 (woj. śląskie)[2] Państwo  Polska Miejscowość Jastrzębie-Zdrój Adres ul. Klubowa 2 Typ budynku dwór obronny Ukończenie budowy 1605 Położenie na mapie Jastrzębia-ZdrojuZespół dworskiw Jastrzębiu-Zdroju Położenie na mapie PolskiZespół dworskiw Jastrzębiu-Zdroju Położenie na mapie województwa śląskiegoZespół dworskiw Jastrzębiu-Zdroju 49°56

 

Réserves de pétrole en Arabie saoudite

Réserves de pétroles déclarées pour l'Arabie saoudite (en bleu) et pour le Venezuela (en rouge) Les réserves prouvées de pétrole en Arabie saoudite sont les premières plus grandes revendiquées dans le monde. Elles sont estimées à 267 milliards de barils (42 × 10^9 m3) (Gbbl ci-après) dont 2,5 Gbbl dans la zone neutre située entre l'Arabie et le Koweït. Ces réserves étaient les plus importantes dans le monde jusqu'à ce que le Venezuela ait annoncé qu'il augmentait ses r...

Netherne Hospital

Hospital in EnglandNetherne HospitalThe former administration block of Netherne Hospital in 2007Shown in SurreyGeographyLocationHooley, England, United KingdomCoordinates51°17′33″N 0°08′26″W / 51.292408°N 0.140556°W / 51.292408; -0.140556OrganisationCare systemPublic NHSTypePublicServicesEmergency departmentNo Accident & EmergencyHistoryOpened1905Closed1994LinksListsHospitals in England Netherne Hospital, formerly The Surrey County Asylum at Netherne or...

 

Khachpar

40°07′33″N 44°24′11″E / 40.12583°N 44.40306°E / 40.12583; 44.40306 Place in Ararat, ArmeniaKhachpar ԽաչփառKhachparShow map of ArmeniaKhachparShow map of AraratCoordinates: 40°07′33″N 44°24′11″E / 40.12583°N 44.40306°E / 40.12583; 44.40306CountryArmeniaProvinceAraratMunicipalityMasisPopulation (2008) • Total1,736Time zoneUTC+4 • Summer (DST)UTC+5 Khachpar (Armenian: Խաչփառ; Azerbaij...

 

Уні

Уні — термін, який має кілька значень. Ця сторінка значень містить посилання на статті про кожне з них.Якщо ви потрапили сюди за внутрішнім посиланням, будь ласка, поверніться та виправте його так, щоб воно вказувало безпосередньо на потрібну статтю.@ пошук посилань саме ...

Daftar operator Fokker F28

Dibawah ini adalah daftar operator saat ini dan yang pernah mengoperasikan dimasa lalu tipe pesawat Fokker F28 termasuk. Fokker F28-0070 (Fokker 70) dan Fokker F28-0100 (Fokker 100): Operator sipil Ansett Express F28 di Bandar Udara Perth pada awal tahun 1990-an Ansett N.T. F28 di Bandar Udara Perth pada awal tahun 1990-an Aerolíneas Argentinas Aeroperú Air 21 Air Anglia Air Gabon Air Canada Air Ivoire Air Nauru Air Niugini Air Tanzania Altair Airlines American Airlines (pesawat Fokker F100...

 

Ralph Lewis (actor)

American actor Ralph LewisLewis in The Hoodlum (1919)BornRalph Percy Lewis(1872-10-08)October 8, 1872Englewood, Illinois, U.S.DiedDecember 4, 1937(1937-12-04) (aged 65)Los Angeles, California, U.S.OccupationActorYears active1912–1937SpouseVera LewisChildren1 Ralph Percy Lewis (October 8, 1872 – December 4, 1937) was an American actor of the silent film era.[1] Born in 1872 in Englewood, Illinois, Lewis attended Northwestern University.[2] Lewis appeared in 16...

 

Campeonato Sudamericano de Baloncesto de 2016

XLVII Campeonato Sudamericano de Baloncesto Caracas 2016 Poliedro de Caracas, sede del campeonato.Datos generalesSede Caracas, VenezuelaCategoría Masculino séniorFecha 26 de junio de 20162 de julio de 2016Edición 47PalmarésCampeón  VenezuelaSubcampeón  BrasilTercero  UruguayCuarto  ArgentinaMejor jugador Gregory VargasDatos estadísticosParticipantes 10 seleccionesPartidos 16 partidos Cronología La Asunción 2014 Caracas 2016 [editar datos en Wikidata] El ...

Munchkin (card game)

This article needs additional citations for verification. Please help improve this article by adding citations to reliable sources. Unsourced material may be challenged and removed.Find sources: Munchkin card game – news · newspapers · books · scholar · JSTOR (March 2021) (Learn how and when to remove this template message) Card game spoofing table-top RPG play MunchkinOld box coverPublicationSeptember 2001; 22 years ago (20...

 

Kurogane (manga)

Manga by Kei Toume KuroganeThe first volume of Kurogane黒鉄 MangaWritten byKei ToumePublished byKodanshaEnglish publisherNA: Del ReyImprintMorning KCMagazineMorning Open Special Edition(1996–1997)Morning (1997–2001)DemographicSeinenOriginal runFebruary 5, 1996 – August 30, 2001Volumes5 MangaKurogane-kaiWritten byKei ToumePublished byShueishaMagazineGrand JumpDemographicSeinenOriginal runNovember 2, 2016 – October 21, 2020[1]Volumes5 Kurogane (黒鉄), als...

 

The Zetland

The hotel, in 2013 The Zetland is a hotel in the town centre of Middlesbrough, in England. The building was constructed in about 1860, as a hotel with a pub serving Middlesbrough railway station. It was extended to the rear in 1893 by J. M. Bottomley, and then in 1898 by W. Duncan. It is built of brick, with the front rendered to resemble stone.[1][2] The building was renovated in 2018, and includes a brasserie and bar.[3] The building was Grade II listed in 1988. It a...

Mia Uyeda

Canadian actress, model, columnist and VJ Mia UyedaUyeda in April 2012BornMia Evonne UyedaVancouver, British Columbia, CanadaOccupation(s)Actor, Model, VJ, ColumnistYears active2007–2014Agent(s)Inega Model Management, IndiaTelevisionSaturday Night Shuffle, Maharajah RouteWebsitewww.inega.in/v2/talent/board/mia/ Mia Evonne Uyeda is a Canadian actress, model, columnist and VJ. She gained fame in India as a Kingfisher Calendar model and later as a VJ for shows like MTV India's show Saturd...

 

PCB Women's Twenty20 Tournament

Pakistan women's Twenty20 cricket competition PCB Women's Twenty20 TournamentCountries PakistanAdministratorPakistan Cricket Board (PCB)FormatTwenty20First edition2019–20Latest edition2022–23Tournament formatRound-robin and finalNumber of teams4Current championPCB Blasters (1st title)Most successfulPCB Challengers (2 titles) The PCB Women's Twenty20 Tournament, previously the National Triangular T20 Women's Cricket Championship, is a women's domestic Twenty20 competition organised by...

 

George Wright Golf Course

Golf course in Boston, Massachusetts George Wright Golf CourseClub informationCoordinates42°16′05″N 71°07′58″W / 42.26806°N 71.13278°W / 42.26806; -71.13278LocationBoston, Massachusetts, United States Established1938, 85 years agoTypePublicOwned byCity of BostonOperated byCity of Boston Parks and Recreation DepartmentTotal holes18Events hostedMGA 2018 Massachusetts Amateur[1]Websitecityofbostongolf.comDesigned byDonald RossPar70Length6,506 yard...

Quadraturphasenumtastung

Die Quadraturphasenumtastung oder Vierphasen-Modulation (englisch Quadrature Phase-Shift Keying oder Quaternary Phase-Shift Keying, QPSK) ist ein digitales Modulationsverfahren in der Nachrichtentechnik und eine Form der Phasenumtastung (PSK). Mit QPSK können pro Symbol zwei Bits übertragen werden. Dadurch verdoppelt sich gegenüber der binären Phasenumtastung (PSK) die Ausnutzung der zur Verfügung stehenden Bandbreite (spektrale Effizienz). Inhaltsverzeichnis 1 Eigenschaft 2 Funktion 3 V...

 

Monica Lopera

Colombian-American actress In this Spanish name, the first or paternal surname is Lopera and the second or maternal family name is Cossio. Monica LoperaMónica Lopera, 2011BornMonica Lopera Cossio (1985-09-10) September 10, 1985 (age 38)Miami, Florida, United StatesNationalityAmericanColombianCitizenshipColombian AmericanOccupationActressYears active1999–present Mónica Lopera Cossio (born September 10, 1985) is a Colombian-American actress of film, television and theater....

 

Strategi Solo vs Squad di Free Fire: Cara Menang Mudah!