매달 미국 국립표준기술연구소(NIST)에서는 2,000개가 넘는 새로운 보안 취약점을 국가 취약점 데이터베이스에 추가합니다. 보안 팀은 이러한 모든 취약점을 추적할 필요는 없지만 시스템에 잠재적인 위협이 되는 취약점을 식별하고 해결할 수 있는 방법은 필요합니다. 이것이 바로 취약성 관리 라이프사이클의 존재 이유입니다.
취약성 관리 라이프사이클은 회사의 IT 자산에서 취약성을 발견하고, 우선순위를 지정하고, 해결하기 위한 지속적인 프로세스입니다.
일반적인 라이프사이클 라운드는 다음과 같은 5단계로 구성됩니다.
취약성 관리 라이프사이클을 통해 조직은 취약성 관리에 대한 보다 전략적인 접근 방식을 취함으로써 보안 태세를 개선할 수 있습니다. 보안팀은 새로운 취약점이 나타날 때마다 대응하는 대신 시스템의 결함을 적극적으로 찾아냅니다. 조직은 위협 행위자가 공격하기 전에 가장 중요한 취약점을 파악하고 보호 조치를 취할 수 있습니다.
취약성이란 해커가 회사에 피해를 입히기 위해 악용할 수 있는 네트워크나 자산의 구조, 기능 또는 구현상의 보안 약점을 말합니다.
취약점은 자산 구성의 근본적인 결함으로 인해 발생할 수 있습니다. 인기 있는 Java 라이브러리의 코딩 오류로 인해 해커가 피해자의 컴퓨터에서 원격으로 맬웨어를 실행할 수 있었던 악명 높은 Log4J 취약성의 경우가 한 예입니다. 다른 취약성은 민감한 데이터를 공용 인터넷에 노출시키는 잘못 구성된 클라우드 스토리지 버킷과 같은 인적 오류로 인해 발생합니다.
모든 취약성은 조직에 위험 요소입니다. IBM의 X-Force Threat Intelligence Index에 따르면 취약성 악용은 두 번째로 흔한 사이버 공격 벡터라고 합니다. 또한 X-Force는 2022년에만 23,964개의 새로운 취약성이 기록되는 등 매년 새로운 취약성이 증가하고 있다는 사실을 발견했습니다.
해커들이 사용할 수 있는 취약성이 점점 더 많아지고 있습니다. 이에 따라 기업들은 취약성 관리를 사이버 위험 관리 전략의 핵심 요소로 삼고 있습니다. 취약성 관리 라이프사이클은 끊임없이 변화하는 사이버 위협 환경에서 효과적인 취약성 관리 프로그램을 위한 공식적인 모델을 제공합니다. 조직은 이 라이프사이클을 도입함으로써 다음과 같은 이점을 얻을 수 있습니다.
네트워크에서는 언제든지 새로운 취약성이 발생할 수 있으므로 취약성 관리 라이프사이클은 일련의 개별 이벤트가 아닌 지속적인 루프입니다. 라이프사이클의 각 라운드는 다음 라운드로 바로 이어집니다. 한 라운드에는 일반적으로 다음 단계가 포함됩니다.
엄밀히 말하면 계획과 사전 작업은 취약성 관리 라이프사이클 전에 이루어지므로 '0단계'라고 합니다. 이 단계에서 조직은 다음을 포함하여 취약성 관리 프로세스의 중요한 세부 정보를 확인합니다.
조직은 라이프사이클의 매 라운드가 시작되기 전에 이 단계를 거치지 않습니다. 일반적으로 기업은 공식적인 취약성 관리 프로그램을 시작하기 전에 광범위한 계획 및 사전 작업 단계를 수행합니다. 프로그램이 준비되면 이해관계자는 필요에 따라 전체 지침과 전략을 업데이트하기 위해 정기적으로 계획 및 사전 작업을 다시 검토합니다.
공식적인 취약성 관리 라이프사이클은 조직 네트워크에 있는 모든 하드웨어 및 소프트웨어의 카탈로그인 자산 재고로 시작됩니다. 재고에는 공식적으로 승인된 앱과 엔드포인트가 포함되며 직원이 승인 없이 사용하는 모든 섀도우 IT 자산도 포함됩니다.
새로운 자산이 회사 네트워크에 정기적으로 추가되기 때문에 자산 재고는 라이프사이클의 모든 라운드 전에 업데이트됩니다. 기업은 종종 공격 표면 관리 플랫폼과 같은 소프트웨어 툴을 사용하여 재고를 자동화합니다.
자산을 식별한 후 보안 팀은 자산의 취약성을 평가합니다. 팀은 자동화된 취약성 스캐너, 수동 침투 테스트, 사이버 보안 커뮤니티의 외부 위협 인텔리전스 등 다양한 툴과 방법을 조합하여 사용할 수 있습니다.
라이프사이클의 모든 라운드에서 모든 자산을 평가하는 것은 번거로울 수 있으므로 보안 팀은 일반적으로 일괄적으로 작업합니다. 라이프사이클의 각 라운드는 특정 자산 그룹에 초점을 맞추며, 더 중요한 자산 그룹은 더 자주 스캔을 받습니다. 일부 고급 취약성 스캔 도구는 모든 네트워크 자산을 실시간으로 지속적으로 평가하여 보안 팀이 취약성 검색에 더욱 동적인 접근 방식을 취할 수 있도록 지원합니다.
보안팀은 평가 단계에서 발견한 취약성의 우선순위를 정합니다. 우선순위 지정을 통해 팀이 가장 중요한 취약성을 먼저 해결할 수 있습니다. 이 단계는 또한 팀이 위험성이 낮은 취약성에 시간과 리소스를 쏟는 것을 방지하는 데 도움이 됩니다.
취약성의 우선순위를 지정하기 위해 팀은 다음 기준을 고려합니다.
보안 팀은 가장 심각한 취약성부터 심각도가 가장 낮은 취약성까지 우선순위가 지정된 취약성 목록을 토대로 작업합니다. 조직은 취약성을 해결하기 위해 다음과 같은 세 가지 옵션을 사용할 수 있습니다.
보안 팀은 완화 및 수정 노력이 의도한 대로 작동했는지 확인하기 위해 방금 작업한 자산을 다시 스캔하고 다시 테스트합니다. 이러한 감사의 주요 목적은 보안 팀이 알려진 모든 취약성을 성공적으로 해결했는지 확인하고 완화 및 수정으로 인해 새로운 문제가 발생하지 않았는지 확인하는 것입니다.
이 재평가 단계의 일환으로 보안 팀은 네트워크를 보다 광범위하게 모니터링합니다. 팀은 마지막 스캔 이후에 새로 생긴 취약성, 더 이상 사용되지 않는 오래된 완화 조치 또는 조치가 필요할 수 있는 기타 변경 사항을 찾습니다. 이러한 모든 결과는 다음 라운드의 라이프사이클을 결정하는 데 도움이 됩니다.
보안 팀은 발견된 취약성, 취한 해결 조치 및 결과를 포함하여 라이프사이클의 가장 최근 라운드의 활동을 문서화합니다. 이러한 보고서는 경영진, 자산 소유자, 규정 준수 부서 등을 포함한 관련 이해관계자와 공유됩니다.
보안 팀은 또한 가장 최근의 라이프사이클 라운드가 어떻게 진행되었는지에 대해서도 되돌아봅니다. 팀은 평균 탐지 시간(MTTD), 평균 대응 시간(MTTR), 총 중요 취약성 수 및 취약성 재발률과 같은 주요 메트릭을 살펴볼 수 있습니다. 보안 팀은 이러한 메트릭을 시간 경과에 따라 추적함으로써 취약성 관리 프로그램의 성과에 대한 기준을 설정하고 시간이 지남에 따라 프로그램을 개선할 수 있는 기회를 파악할 수 있습니다. 라이프사이클의 한 라운드에서 얻은 교훈을 통해 다음 라운드를 더 효과적으로 진행할 수 있습니다.
취약성 관리는 복잡한 작업입니다. 공식적인 라이프사이클이 있더라도 보안 팀은 대규모 기업 네트워크의 취약성을 추적하는 과정이 모래사장에서 바늘을 찾는 것처럼 느껴질 수 있습니다.
IBM X-Force Red는 프로세스를 간소화하는 데 도움이 될 수 있습니다. X-Force Red 팀은 조직과 협력하여 중요 자산을 식별하고, 고위험 취약성을 발견하고, 취약성을 완전히 수정하고, 효과적인 대응책을 적용하는 포괄적인 취약성 관리 서비스를 제공합니다.
IBM Security QRadar Suite는 현대화된 위협 탐지 및 대응 솔루션을 통해 리소스가 부족한 보안 팀을 추가로 지원할 수 있습니다. QRadar Suite는 엔드포인트 보안, 로그 관리, SIEM 및 SOAR 제품을 공통 사용자 인터페이스 내에 통합하고, 엔터프라이즈 자동화 및 AI를 내장하여 보안 분석가가 생산성을 높이고 기술 전반에서 보다 효과적으로 작업할 수 있도록 지원합니다.