CVSS 점수로는 현대 사이버 보안 방어가 충분하지 않습니다.

보안에 대한 위험을 평가하기 위해 CVSS 점수에 의존하는 것은 개인과 기업을 믿을 수있는 위험에 처하게 할 수 있다고 연구원은 말합니다.

Common Vulnerability Scoring System (CVSS)은 소프트웨어 취약점의 위험 요소를 문서화하고 측정하는 방법입니다. CVSS는 몇 가지 상황 별 데이터가 포함 된 최신 CVSS V3을 사용하여 여러 가지 진화를 거쳤지 만, 많은 기업체는 결함의 기술적 세부 사항을 기반으로하는 심각도 등급 만 포함하는 시스템의 기본 점수에 의존합니다.

그러나 추가 데이터가 없으면 IT 직원이 취약점의 실제 범위와 위험을 처리하지 못할 수 있으므로 패치 우선 순위가 영향을받을 수 있습니다.

NopSec의 연구원은 CVSS 점수가 현재의 위협을 적절히 평가하는 데 “충분하지 않다”고 결론을 내 렸으며 기업은 20 년 동안 국가 취약성 데이터베이스에 포함 된 100 만 개 이상의 고유 취약점과 76,000 개 이상의 취약점을 평가 한 후 소프트웨어 결함을 기반으로 한 미래의 데이터 유출 및 성공적인 사이버 공격을 방지하기 위해 성별에 관계없는 정보를 고려해야합니다.

ransomware 공격의 비용 : 올해 10 억 달러, HTTP 연결을 안전하지 않은 것으로 표시하는 Chrome, Hyperledger 프로젝트가 갱스 터처럼 성장하고있는 지금, 이제는 경로에서 무엇이든 파괴하는 USB 스틱을 구입할 수 있습니다

NopSec의 2016 State of Vulnerability Risk Management 보고서에 따르면 소프트웨어 취약성, 네트워크 및 기업 전체와 관련된 위험을 진정으로 평가하기위한 상황 별 데이터가 필요합니다.

소셜 미디어 추세, 데이터 유출, 연구 및 비즈니스가 영향을받을 수있는 방법과 같은 정보를 포함함으로써 보안 전문가는 “위험 평가 및 우선 순위 향상”중에 CVSS 점수를 사용할 수 있습니다.

파이어 아이 랩 (FireEye Labs) 이사 인 Geok Meng Ong는 “취약성 관리 및 완화는 중요한 자산이 노출 된 악의적 인 공격자가 사용하는 취약성에 대해보다 효과적이고 우선 순위를 부여 할 수 있습니다.

NopSec은 자체적으로 CVSS 점수가 시스템에서 최신 상태를 유지하기 위해 기업에서 사용되는 위험 중심 자동 서비스의 “약한 기반”이라고 말합니다. 점수는 인증, 액세스 벡터, 액세스 복잡성, 기밀성 영향, 가용성 영향 및 무결성 영향 – 반드시 취약점의 진정한 위험을 나타내는 것은 아닙니다.

엔터프라이즈 플레이어는 CVSS 점수가 9 위 또는 10 위 (가장 높은 순위)에 이르는 취약점을 패치하는 경우가 많지만 “알려진 취약하고 공개적으로 문서화 된 공격과 관련된 취약점은 아주 적습니다.”

결과적으로 패치 시스템에는 결함이 있으며 야생에서 적극적으로 악용되고있는 패치로 인해 약 25 %의 취약점이 해결되지 않을 수 있습니다.

보안, FBI가 Crackas 회원을 체포하여 미국 공무원 해킹에 대한 태도, 보안, WordPress는 중요한 보안 구멍을 고치기 위해 사용자를 업데이트 할 것을 촉구하고 보안, 백악관은 첫 번째 연방 정보 보안 책임자 (COO)를 임명하고 보안, 펜타곤은 사이버 정부 감시원의 비상 사태 대응

결과적으로 CVSS 점수는 실용적인 위험과 이론적 인 위험 사이의 구분을 흐리게합니다. “CVSS 점수에만 의존하면 분류 할 수있는 ‘치명적인’취약성이 더 커지며 가장 높은 우선 순위를 효과적으로 부여 할 수있는 능력이 떨어집니다 위험에 노출 될 위험이 있습니다.

또한 FireEye와 함께 개발 된이 보고서는 소셜 미디어가 현재 사이버 보안을위한 “최고의 플랫폼”임을 시사합니다. 마이크로 블로깅 플랫폼은 취약성 공개, PoC (proof-of-concept) 증거를 홍보하고 최신 위협 발견에 대한 인지도를 높이는 데 사용됩니다.

NopSec은 야생에있는 맬웨어와 관련된 취약점에 관한 메시지는 공개적으로 악의적 인 공격을 통해 보안 결함보다 총 9 배 더 트위터가 붙었으며 “다른 모든 취약점보다 최대 18 배나 더 많이 트윗됩니다.”라고 말합니다.

연구자들은 또한 사이버 공격자가 취약성을 사용하여 공격을 차단하는 데 어려움을 겪지 않으며 취약성의 잠재적 인 가능성에 대해 훨씬 더 신경을 쓰며 취약성을 이용한 악용 키트는 Microsoft, Adobe 및 Java는 지하 시장을 선도합니다.

NopSec의 전략 고문 인 Arnold Felberbaum은 “패치를 적용하기위한 우선 순위를 결정하기 위해 CVSS 점수에만 의존하기 때문에 조직은 패치 방법론을 인프라 위험, 비즈니스 위험 및 변화 위험에 맞게 조정해야합니다.

“CVSS는 이미 업계 인텔리전스, 소셜 미디어 및 조치로 보완 될 필요가 있으며, 패치 적용이 필요한지 아닌지를 알 필요가 있습니다. 패치를 사용하면 자원을 소비하고 자동화로 인해 자원이 소모 될 수 있습니다.”

FBI, 미국 정부 관료 해킹에 대한 태도로 Crackas 회원을 체포

WordPress는 사용자가 중요한 보안 취약점을 수정하기 위해 지금 업데이트하도록 촉구합니다.

백악관, 연방 정보 보안 책임자 (Federal Chief Information Security Officer) 선임

미 국방부, 정부의 감시로 사이버 비상 대응 비판