CISA 과 CVSS : 오늘날 취약점 데이터베이스를 같이 사용하는 방법
CISA or CVSS: How Today’s Vulnerability Databases Work Together
CISA (사이버 및 인프라 보안기관)
사이버 보안영역에서, 알려져 있는 위협과 취약점 정보는 중요한 소스입니다. 이러한 보안 데이터 분류는 회사가 어느 곳에 보안의 노력을 기울여야 할지를 보여줍니다. 위험으로 일어날 수 있는 문제를 완화하고 보안성을 높이기 위해서, 패치에 있어 우선순위를 결정하는데에 있어도 활용이 됩니다. 그러므로 이러한 데이터베이스는 취약점 평가하기 위해, 최신의 신뢰할 만한 자료를 이용하여 정확한 기준으로 사용을 해야 합니다.
11월에 CISA (사이버 및 인프라 보안 기관) 에서 이미 알려져 있는 취약점에 대한 분류를 업데이트 후 공개하였습니다. 우선 국가기관을 위해 패치에 대한 권고기한을 제공 하였는데, 이는 사기업들 에게도 유용한 가이드라인 입니다 . CISA에서 공개한 이 목록은 기존의 CVSS와는 조금은 다른 기준으로, 취약점을 평가를 하는 사이버보안분야에 있어서 중요한 목록입니다.
이 두가지 시스템이 어떻게 다를까요? CVSS에서 벗어나 CISA 로 변화되는 것에 대한 장단점을 살펴보고, 이것이 보안에 관심을 갖고 있는 기관과 조직들에게 어떤 의미가 있는지를 이야기 해보고자 합니다.
In the cybersecurity field, large databases of known threats and vulnerabilities have often been an essential resource. These catalogs show you where to focus your efforts. They’re also a good tool for prioritizing patches to increase security and mitigate the risk of disaster. As a result, these databases need to be reliable and up-to-date and use the correct criteria to assess vulnerabilities.
In November, the Cybersecurity and Infrastructure Security Agency (CISA) updated its catalog of known vulnerabilities and made it public. The agency shared its own deadlines for patches, first intended for federal agencies but useful as guidelines for the private sector as well. The CISA list is a noteworthy change in the cybersecurity space because it uses slightly different criteria than the Common Vulnerability Scoring System (CVSS), another key resource for assessing cyber vulnerabilities.
How are the two systems different? Take a look at the pros and cons of moving to the CISA catalog and away from the CVSS, and what it all means for security-conscious organizations.
CISA 또는 CVSS ?
CISA에서 제공하는 분류와 CVSS 간의 가장 큰 차이는, 패치에 대한 우선순위를 메기는 방식입니다. CISA는 기존의 약점을 기반으로 하는 반면 CVSS는 침해 되었을 때의 치명성을 기반으로 권고를 합니다. 아래의 2가지 개념에 대해서 살펴 봅시다.
- 약점— 실제로 발생된 실제 데이터탈취를 기반으로 패치를 권고하고, 취약점을 분류합니다.
- 치명성 — CVSS를 기준으로 심각한 정도를 점수화 하고 이를 기반으로 패치를 권고하고 취약점을 분류합니다.
One of the key differences between the CISA catalog and the CVSS is the criteria for prioritizing patches. CISA recommends patches based on exploitability, while the CVSS bases its recommendations on criticality. Let’s explore those two concepts:
- Exploitability — categorizing vulnerabilities and recommending patches based on actual exploits that have taken place
- Criticality — categorizing vulnerabilities and recommending patches based on a severity score assigned by the CVSS.
CVSS 점수 시스템은 어떻게 되어 있나? / What Is the CVSS Scoring System?
우리는 점수가 매겨지는 시스템에 알아보면서, CVSS 가 어떻게 운영되는지를 이해해 보겠습니다.
CVSS는 기업의 특성을 기반으로 소프트웨어 취약점을 분류하기 위해서 고안된 오픈 프레임워크 입니다. 심각성 정도에 대해서는 3가지 기업의 기본 특징, 시간적 요소, 환경적 요소 매트릭스 그룹을 이용합니다.
-
기본 점수: 연속적인 기업의 특징을 전제로 취약점의 심각한 정도를 0부터 10까지 등급을 매깁니다. 이 변수는 고정변수로 다시 말해 최악의 위험한 경우 별도의 완화조치가 없을 때에 이 취약점의 얼마나 심각하게 나타날지에 대한 점수 입니다.
-
시간 점수: 시간이 지나가면서 변화되는 것으로 이 또한 기업이 나아감에 따라 다시 평가되고, 시간적인 요소가 변화될때 기본 점수도 변화 됩니다.
-
환경 점수: 취약점이 존재하는 컴퓨팅 환경에 의해서 영향을 받습니다. 이는 각 기업의 보안 조치들에 따라서 조금씩 달라 질 수 있는 것 이며. 이것은 기본점수와 시간점수에 모두 영향을 줄 수 있습니다.
CVSS는 연속적인 기업이라는 전제하에, 취약점을 모니터링 하고, 순위를 메기는 방식으로 작동됩니다. 이는 정확하고 신뢰할 수 있기에 모든 국가기업 또는 사기업에서 사용이 되어질 수 있습니다. 하지만, CVSS 또한 단점을 갖고 있습니다.
To understand how the CVSS works, we need to examine its scoring system.
The CVSS is an open framework designed to catalog software vulnerabilities according to their characteristics and how severe they are. It uses three groups of metrics: Base, Temporal and Environmental.
-
The Base Score rates the severity of a vulnerability from zero to 10 according to its intrinsic properties, factors that stay constant at all times. In other words, in a worst-case scenario with no mitigation whatsoever, this is how severe the vulnerability will likely be.
-
The Temporal Score refers to factors that change over time. That also means it needs to be re-checked on an ongoing basis. As the temporal metric changes, it also modifies the Base Score.
-
The Environmental Score is influenced by the computing environment within which the vulnerability exists. This is up to each organization to tweak according to their own security measures. It affects both the Base and Temporal Scores.
The CVSS works well as a method of monitoring and ranking vulnerabilities on an ongoing basis according to a range of factors. It’s often accurate and reliable and can be used by all types of businesses or agencies.
However, the CVSS has its weak points.
CVSS 의 단점 / The Drawbacks of CVSS
CVSS 점수 시스템의 가장 큰 단점은 이것은 취약점에 점수를 매기는 사람이 어떤 것을 기준으로 부여하는지에 의해 좌우된다는 것입니다. 만약 당신이 특정 취약점� 정보를 가지고 있고, 이것들이 시스템에 어떻게 연계되어 있는지를 잘 알고 있다면, 이는 자신감 있게 매우 보안에 대한 결정을 내리고 올바른 조치를 할 수 있도록 도와줄 수 있습니다. 하지만 만약 점수를 부여하는 사람이 취약점에 대한 정보가 부족하다면, CVSS 점수는 정확하지 않을 것 입니다.
이 경우, 기업은 대신에 무엇을 할 수 있을까요? 오히려 더 많은 케이스들에서 CISA 보안 분류가 더 나은 방법일까요?
The main drawback of the CVSS scoring system is that it relies on what the scorer knows about a vulnerability. So, if you have a lot of information on a specific vulnerability and how it relates to your own systems, it’s possible to produce a very accurate and trustworthy CVSS result to make confident security decisions and take actions in the right order.
However, if you lack information about that vulnerability, the CVSS score will not be accurate.
So, what can businesses do instead? Is the CISA catalog a better alternative in many cases?
왜 CISA로 변화하는가? / Why Switch to CISA?
CISA가 사람들에게 공개 되었기 때문에, CISA 분류는 CVSS 보다 나은 장점이 있다고 이야기 하면서, 많은 기업들이 이것을 이용할 것을 장려하고 있습니다. CISA는 실제 공격이 벌어지고 있을때 보이는 CVEs 내용을 담고 있습니다.이것이 가장 급한 패치가 어떤 것인지, 공격자들이 무엇을 공격하고 있는지를 보여 줍니다.
CISA 가 취약점에 있어서 우선순위를 두는 가장 다른 점은, CVSS에 따라 아무리 CVE 가 심각할 지라도, 중요한 문제는 공격자가 그것을 실제로 탈취 하고 있는지의 여부 입니다. 위협 가능성이 아무리 심각할 지라도, 그 위협은 실제로 이슈가 나타나는 것 보다는 덜 긴급하게 됩니다.
The CISA catalog has one major advantage over the CVSS, prompting many companies to switch to it now that the catalog is open to the public. In essence, the CISA captures Common Vulnerability Exposures (CVEs) only when they have active exploits underway. This means it focuses on the most urgent patches — those that an attacker is exploiting.
The big difference here is that CISA puts exploitability first. No matter how severe a CVE is according to the CVSS (criticality), what really matters is whether an attacker is actually exploiting it. A possible risk, no matter how severe, is always less urgent than a proven, ongoing issue.
CISA 분류는 보안 팀에 있어서 지속적인 어려움에 대해서 다시 한번 상기시킵니다. 이것은 사업 운영에 있어서 중요한 앱들이 업데이트와 패치와 같은 이유로 잠시 오프라인으로 운영되지 않는 것에 대한 이유를 제시해 줍니다. 보안문제를 해결하는 것은 서비스 점검시간을 필요로 하는데 잠깐의 서비스 점검 시간은 회사에 업무에 있어 방해가 되고 비용을 발생시킬 수 있습니다. 보안팀은 이러한 취약점 패치와 같은 보안업무와 사업 연속성을 유지하는 것 사이에서 균형을 맞추는 것이 중요합니다. 하지만 급하지 않거나 필요해 보이지 않는 패치에 대해서 기업으로 부터 지지를 받는 것은 어려울 때가 있는데 이때 CISA 에서 나오는 CVE를 보여주는 것이 도움이 될 수 있습니다.
The CISA catalog also addresses a constant challenge for security teams. It helps justify taking business-critical apps offline to apply patches and issue updates.
Fixing a security issue often involves downtime, and even small amounts of downtime can cause significant disruption and cost money. Security teams must strike a balance between patching vulnerabilities and ensuring business continuity. However, it can be difficult to gain support for a patch that isn’t seen as highly necessary and urgent. Showing the CVE according to CISA can help.
밸런스를 맞추기 / Striking a Balance
이런 것들을 종합해서 보았을떄, CISA 분류는 완벽하지 않습니다. 침투되지 않은 많은 취약점에 있어서도 주목을 하고 우선순위를 부여해야 합니다. 단지 취약점이 약점으로 확인되지 않았다는 이유로 인해, 이 취약점이 중요하지 않다고 이야기 할 수 있을까요? 물론 아닙니다. 사실 이러한 생각은 가장 위험한 것이 될 수 있습니다.
다시 말해, 보안팀은 적정의 균형을 찾아야 합니다.
CVSS와 CISA 분류 모두 취약점을 평가하는 중요한 자원으로 보안절차와 패치에 있어서 무엇을 먼저 둘지에 대해서 선택을 해야 합니다. 결국에 CISA 분류를 CVSS 대안으로 생각하지 말아야 합니다. 대신에 이것을 유용한 추가 도구로 보아야 합니다. 중요성과 탈취는 모두 위협을 평가하는데에 있어서 중요한 메트릭스 입니다. 더욱이 보안 팀은 여전히 취약점에 대해서 평가할 때, 이러한 판단과 분류를 실행할 필요가 있습니다. 당신의 노력을 어디에 집중하고, 다운타임을 언제 일으키는 것에 대한 결정을 하는 것은 당신에게 달려 있습니다.
With all that said, the CISA catalog isn’t perfect. After all, many unexploited vulnerabilities exist in the wild worthy of attention and prioritization. Just because a vulnerability has not yet been proven as exploited, does that mean it’s always less severe? Of course not. In fact, it could be the most dangerous of all.
Again, security teams must find the right balance. Both the CVSS and the CISA catalog are valuable resources for assessing vulnerabilities and choosing what to put first regarding patches and security procedures.
In the end, don’t think of the CISA catalog as an alternative to the CVSS. Instead, look at it as a useful addition. Both criticality and exploitability are important metrics to consider when assessing threats. What’s more, security teams still need to exercise their own judgment and discretion when evaluating vulnerabilities. It’s up to you to decide where to focus your efforts and when to justify downtime.
https://securityintelligence.com/articles/cisa-cvss-which-vulnerability-database/