0xStudyList - 취약점 데이터베이스 모음 Vulnerability Database
0xStudyList - 취약점 데이터베이스 모음 Vulnerability Database
취약점 Vulnerability 은 공격자가 공격을 수행할 때 명확하게 결과, 즉 피해를 줄 수 있는 것으로 정의된다.
이는 코드 설계상의 결함이나 구성의 오류 등 다양한 이유로 결과로 표출되며
보안 전문가는 이런 부분을 찾아서 계속 수정을 요청하거나
즉시 수정을 하지 못할 때는 피해를 최소화 하기 위한 대응을 모색한다.
취약점 정보는 일종의 큰 공격 성공을 위한 정보 모음이며
이런 정보와 맞는 취약점이 공격 대상에 있다면 이는 큰 문제로 이어지는 것은 자명한 일이다.
공격자는 보다 많은 정보를 모아서 확실하게 성공하기 위한 기초 자료로 사용하고
보안 전문가는 이런 정보를 토대로 문제 발생이 하지 않도록 사전 차단을 하도록 방법을 강구해야 한다.
이번 블로그는 이런 취약점 정보를 취합, 공개하는 다양한 사이트의 정보를 정리해 보았다.
1. National Vulnerability Database
NVD 로 지칭
SCAP Security Content Automation Protocol 을 사용하여 표현된 표준 기반 취약점 관리 데이터의 미국 정부의 정보 저장소
이 데이터는 취약점 관리, 보안 측정, 규정 준수 자동화 등에 대해 지원
NVD 에는 보안 검사 목록, 보안 관련 소프트웨어 결함, 잘못된 구성, 제품 이름과 이에 대한 영향 메트릭의 데이터 베이스 등이 포함
NVD 데시보드를 통한 일간 주간 월간 연간 처리 정보 확인
2. Common Vulnerabilities And Exposures
CVE 로 지칭
국제적으로 광범위하고 공개적이며 무료로 사용
공개적으로 알려진 정보보안 취약점과 알려진 정보의 백과 사전
CVE 의 공통 식별자는 보안 제품간 데이터 교환을 가능
이를 통해 도구나 서비스의 적용 범위를 평가하기 위한 기준 인덱스 포인트 제공
다수의 스캔 도구는 가장 일반적으로 분류되는 CVE 사용
CVE 웹 사이트에서는
CVE 범위 목표 목록
CVE scoring calculator 확인 등이 가능
3. CERT Vulnerability Notes
이름에서 알 수 있듯이 사간과 취약점과 관련된 인터넷 보안 정보 모음
공개 취약점 노트 데이트베이스와 2개의 제한된 접속 구성 요소가 포함
취약점 노트에는 요약, 기술 정보, 대응 정보, 영향을 받는 공급 업체 목록 등이 포함
4. DISA IAVA Database And STIGS
CVE ID 는 미국 국방정보 시스템 기구 US DISA Defense Information System Agency 의 정보 보증 취약점 경고 IAVA Information Assurance Vulnerability Alerts 에 맵핑
다운로드는 DISA 의 STIG Security Technical Implementation Implementations 웹 사이트에 게시
DISA 기반 취약점 매핑 데이터베이스인 IAVA 는
기존 SCAP 소스를 기반
가혹 상용 시스템의 일부가 아닌 정부 시스템에 대한 세부 정보를 포함
.gov 혹은 .mil 등과 작업을 수행하는 공급업체의 경우 필수로 참조해야 함
5. Open Vulnerability And Assessment Language
OVAL 로 지칭
범위가 넓고 공개적이며 무료
컴퓨터 시스템의 기계 상태를 평가하고 보고하는 방법을 표준화하기 위한 정보보안 커뮤니티의 노력의 결과
시스템 세부 정보를 인코딩하는 언어와 커뮤니티 전체에 보유된 다양한 컨텐츠 저장소가 포함
시스템 정보를 표현하고, 특정 기계 상태를 표현하며, 평가 결과를 보고하는
세가지 시스템 평가 단계에 OVAL 을 사용하는 도구와 서비스는
기업에게 정확하고 일관되며 실행 가능한 정보를 제공하여 보안성을 높일 수 있음
또한 신뢰할 수 있고 재현 가능한 정보 보증 지표가 제공
보안 도구와 서비스간의 상호 운용성과 자동화도 가능
6. National Council of ISACs
부문별 정보 공유와 분석 센터 Sector-specific ISAC Information Sharing and Analysis Centers 는 주요 인프라 소유자와 운영자가 정부와 산업간 정보를 공유하기 위해 형성된 비영리, 회원 중심 조직
ISAC 의 주요 목표는 물리적이고 사이버 위협 경고, 기타 중요 정보를 조직내 회원에게 신속히 배포하는 것
다음은 ISAC 의 분류 리스트
MS-ISAC
국가, 지방, 부족, 영토(SLTT) 정부의 사이버 위협 예방, 보호, 대응과 복구 중심
FS-ISAC 금융
사이버 위협과 물리적 위협 인텔리전스 분석과 공유를 위한 글로벌 금융 산업의 리소스
A-ISAC 항공
항공 중심의 정보 공유와 분석 기능을 제공
글로벌 항공 비즈니스와 운영, 서비스를 보호
AUTO-ISAC 자동차
자동차 제조업체와 공급 업체가 소유하고 운영하는 비영리 정보 공유 조직
미국의 도로를 주행 중인 차량 98% 는 AUTO-ISAC 의 회원사
ONG-ISAC 석유와 가스
석유와 가스 산업 전반에 걸쳐 사이버 사고, 위협, 취약점에 대한 대응 정보를 공유
NH-ISAC 건강 관리 NH National Healthcare
비영리와 영리 건강 관리 이해 관계자에게 사이버와 물리적 위협 지표, 모범 사례 및 완화 전략을 공유하기 위한 커뮤니티와 포럼 제공
IT-ISAC 정보기술
사이버 정보 공유와 분석을 통해 IT인프라 강화하기 위해 국가와 국토 보안 노력에 참여
이 외 다양한 산업, 그룹, 지역 등에 특화된 정보 공유 및 분석 조직 ISAO Information Sharing and Analysis Organizations 의 수가 증가
ISAO 는 특정 지역 사회 사이에 더 많은 인텔 공유 그룹을 구성
댓글
댓글 쓰기
글과 상관없는 댓글 작성은 발견 즉시 삭제합니다.