보안 취약성 평가라고도 하는 취약성 평가는 IT 및 하이브리드 환경 내의 취약성 관련 위험에 대한 전체적인 평가입니다. 클라우드 환경의 경우 취약성 평가는 AI 워크로드, VM, 컨테이너, 데이터베이스, PaaS 서비스 및 데이터와 같은 자산을 다룹니다.
이 글을 읽고 있는 동안 클라우드 환경에 조용히 중첩될 수 있는 수만 개의 취약점이 있습니다. (여기 는 최근의 몇 가지 예입니다.) 여기에는 다음이 포함됩니다 구성 오류, 섀도우 IT, 열악한 액세스 제어, 불완전한 가시성, 안전하지 않은 API, 네트워크 노출 등. 취약점은 어디에나 있습니다. 무섭죠?
좋은 소식은 모든 취약점이 똑같이 위험한 것은 아니라는 것입니다. 사실, 그들 중 일부는 귀사에 전혀 중요하지 않을 수 있습니다. 이는 오늘날 취약성 관리 및 평가의 가장 큰 골칫거리로, 너무 많은 알림과 너무 많은 노이즈로 인해 CloudSec, 취약성 분석가 및 SOC 팀. 경고가 너무 많을 때의 문제는 실제로 비즈니스에 위험한 취약점이 긴 목록에서 손실된다는 것입니다.
그렇기 때문에 이 블로그 게시물에서는 클라우드용으로 구축된 중요한 취약점을 찾아 해결하는 데 도움이 될 수 있는 취약성 평가를 살펴보겠습니다.
The Vulnerability Management Buyer's Guide
Download this guide to get a RFP template to help you evaluate your vulnerability management vendor.
Download Now
취약성 평가를 수행하는 방법
다음은 취약성 평가를 수행하기 위한 실행 가능한 단계별 가이드입니다. 여기서 초점은 실제로 중요한 비즈니스 크리티컬 위험 또는 취약성을 식별하기 위해 노이즈를 제거하는 것임을 기억하십시오.
1단계: 기초 공사
좋은 취약성 평가를 수행하려면 약간의 준비와 전략 개발부터 시작해야 합니다. 그렇지 않으면 취약성 평가가 개발 및 IT에서 증가하는 이해 관계자 간의 명확성과 초점이 부족할 수 있습니다.
다음은 견고한 기초를 놓을 수 있는 몇 가지 간단한 방법입니다.
취약성 평가의 주요 목표를 나열합니다.
CSP, 클라우드 서비스 및 공동 책임 모델 코드에서 클라우드까지.
클라우드 규정 준수 의무를 다시 확인하십시오.
왕관 보석(비즈니스 크리티컬) 데이터를 기록해 둡니다.
다른 팀과 협력하여 평가 및 수정을 보다 협력적으로 수행할 수 있습니다.
평가에 적합한 도구와 프레임워크를 선택하십시오(자세한 내용은 곧 설명).
2단계: 포괄적인 자산 인벤토리 구축
보유하고 있는 자산이 무엇인지 알지 못하면 클라우드 환경에서 모든 중요한 취약점을 발견할 수 없습니다. 먼저 데이터베이스와 컨테이너에서 VM과 어플라이언스에 이르기까지 클라우드 자산의 전체 인벤토리를 구축합니다. 또한 자산 인벤토리를 항상 최신 상태로 유지하는 프로세스를 개발하십시오. 마지막으로, 모든 사용자(인간 및 시스템), 엔드포인트, 종속성, API 및 네트워크를 고려해야 합니다. 겉보기에 중요하지 않은 클라우드 자산조차도 민감한 데이터에 대한 공격 경로를 가질 수 있으므로 이 프로세스 중에 돌을 놓지 마십시오.
During this step, remember two things:
Cover your AI infrastructure and assets because they can be full of vulnerabilities.
Map your software development lifecycles because it’s important to discover and fix vulnerabilities during development and develop a strong application security posture.
3단계: 취약성을 정기적으로 검사하고 가능한 경우 자동화
이제 클라우드 환경에 대한 명확한 그림을 얻었으므로 취약성이 숨어 있는 위치를 강조할 차례입니다. 먼저 취약성 평가 도구의 매개 변수를 설정하여 평가 범위를 지정합니다. (전문가 팁: 기본 설정을 사용하지 마세요!) 매개변수는 능동 또는 수동과 같이 사용 중인 기술을 수정하고 싶을 수 있음을 의미합니다 취약성 검사, 그에 따라 스캔을 자동화하여 시간을 절약합니다. 특정 자산 또는 IP 주소 집합을 포함하여 고유한 필터 또는 쿼리를 스캔하고 개발할 수 있습니다.
다음으로, 취약성 검사 도구를 시작합니다. 데이터베이스 취약성 검사, 네트워크 취약성 검사 및 웹 애플리케이션 취약성 검사를 위한 도구가 있는지 확인합니다. 또한 취약성 평가 도구 및 스캐너가 잘 알려진 여러 취약성 데이터베이스 및 카탈로그를 기반으로 기능을 기반으로 하는지 확인합니다. 의 라인을 따라 생각하십시오. CISA KEV 카탈로그, NIST의 증권 시세 표시기및 MITRE ATT&CK 기술 자료.
경우에 따라 보다 구체적인 침투 테스트를 통해 취약성 검사를 지원할 수 있습니다. 이러한 테스트는 클라우드에서 복잡하거나 숨겨진 취약성을 제거하는 데 도움이 될 수 있습니다.
취약성 평가 vs. 침투 테스트
취약성 평가는 위험과 약점에 대한 보다 포괄적이고 높은 수준의 평가인 반면, 침투 테스트는 매우 구체적인 구성 요소나 상황에 초점을 맞춥니다. 모든 베이스를 커버하기 위해 둘 다 사용할 수 있습니다.
사용자 환경의 취약성을 탐지하고 공격 표면을 매핑하는 취약성 평가와 달리, 침투 테스트는 실제 공격을 시뮬레이션하여 특정 약점과 공격 벡터(진입로)를 드러냅니다. 침투 테스트는 취약성 평가를 마무리하는 좋은 방법이 될 수 있습니다.
4단계: 취약성 우선 순위 지정
취약성 검사를 통해 사용자 환경의 많은 취약성 목록이 드러날 수 있지만 앞에서 말한 것을 기억하십시오. 이 모든 것이 중요한 것은 아닙니다. 어떤 기업도 발견한 모든 취약점을 제거할 수 있는 리소스를 가지고 있지 않으므로 높은 것부터 낮은 것까지 위험 수준에 따라 취약점의 우선 순위를 지정하기 시작해야 합니다.
"고위험"은 조직마다 다른 의미를 가질 수 있으므로 PHI, PCI, PII 및 비즈니스 비밀과 같은 민감한 데이터로 이어질 수 있는 위험에 집중합니다. 또한 심각도, 악용 가능성, 폭발 반경, 소유권 및 손상된 자산이 미션에 필수적인지 여부와 같은 요소를 고려합니다. 다음은 도움이 될 수 있는 몇 가지 공개 리소스 및 표준입니다.
CVE(일반 취약성 및 노출): 취약점 파악
공통 취약성 점수 시스템(CVSS): 취약성의 심각도를 평가합니다.
익스플로잇 예측 점수 시스템(EPSS): 취약성이 악용될 가능성을 평가합니다.
5단계: 취약성 분석 및 수정 전략 개발
수정은 기술적으로 취약성 평가의 일부가 아니지만 발견된 취약성을 수정하는 방법을 계획하기 시작하는 것이 중요합니다. 지금까지 살펴본 것처럼 가장 중요한 취약점부터 시작해야 합니다. 각 취약성의 심각도를 연구하고 비즈니스 크리티컬 인프라에 미치는 영향을 이해합니다. CloudSec 팀의 작업을 보다 쉽게 하려면 이 단계에서 오탐을 제거하십시오.
각 심각한 취약성에 대해 실행 가능한 수정 옵션을 사용할 수 있는지 확인합니다. 여기에는 오래된 애플리케이션 패치, 잘못 구성된 리소스의 설정 변경, 권한 크기 조정이 포함될 수 있습니다.
CloudSec 팀이 중요한 취약성을 수정하기 시작함에 따라 후속 취약성 스캔을 수행하여 문제 해결을 검증하는 것이 중요합니다. 수정하는 동안 새로운 취약성이 도입될 수 있으며 조기에 포착하는 것이 중요합니다.
6단계: 보고, 평가 및 개선
프로세스의 마지막 단계에 도달했습니다. 좋게 마무리하는 방법은 다음과 같습니다: 취약성 평가의 모든 문서를 컴파일하십시오. 취약성 관리 도구를 사용하여 포괄적인 보고서를 생성하면 감사, 위협 인텔리전스 및 규정 준수 목적에 매우 중요할 수 있습니다. 또한 다른 클라우드 보안 관행과 마찬가지로 취약성 평가 프로세스를 지속적으로 반복해야 합니다. 기억하세요: 클라우드 취약성 관리를 사용하면 항상 개선의 여지가 있습니다.
취약성 평가 도구
어떤 취약성 평가 도구를 사용해야 할지 혼란스러우신가요? 다음은 시작하는 데 도움이 되는 15가지입니다.
오픈바스: 오픈 소스 취약성 검사 도구An open-source vulnerability scanning tool
에어크랙-ng: 네트워크 취약성을 발견하기 위한 제품군
엔맵: 네트워크 취약점을 발견하기 위한 스캐너
매스칸: 네트워크 취약점을 발견하는 또 다른 스캐너
클레어: 컨테이너 취약성 스캐너
와피티: 웹 애플리케이션 중심의 취약성 스캐너
니크토: 웹 서버 취약성 스캐너
sqlmap을 사용합니다. 침투 테스트 도구
거미: 웹앱 취약성 스캐너
케이틱스: 코드 취약성 스캐너
리니스: 엔드포인트 취약성 스캐너
아마존 인스펙터: AWS 워크로드 취약성 스캐너
시큐뱃: 웹 취약점 스캐너
Retire.js: JavaScript 취약성 스캐너
W3AF는 다음과 같습니다. 웹 애플리케이션 취약성 스캐너
이러한 취약성 평가 도구 및 기타 도구에 대해 자세히 알아보려면 다음의 블로그 게시물을 확인하세요. OSS 취약성 관리 도구 그리고 OSS 취약성 스캐너.
취약성 평가 템플릿
다음은 평가 중에 발견할 수 있는 실제 취약성 유형을 다루는 유용한 보안 취약성 평가 템플릿의 예입니다. 이 취약성 평가 템플릿은 또한 Wiz의 취약성 관리의 경이로움을 살짝 엿볼 수 있게 해줍니다.
따라서 준비 단계를 열정적으로 완료하고 자산 검색 프로세스에 있다고 가정해 보겠습니다. Wiz를 배포하면 다음과 같이 IT 및 클라우드 자산의 전체 인벤토리를 얻을 수 있습니다.
다음으로, 이러한 리소스를 스캔하여 눈에 띄지 않게 곪아 터진 취약점을 찾아야 합니다. Wiz의 모습은 다음과 같습니다.
보시다시피 Wiz는 공격 경로 순열, PII에 대한 노출, 과도한 관리자 권한 등에서 파생된 위험의 "독성 조합"이라고 부르는 조직별 위험 요소를 기반으로 취약점을 발견하고 우선 순위를 지정합니다.
심각한 취약성 관련 위험의 예는 다음과 같습니다.
공개적으로 노출된 VM
노출된 API
Docker의 치명적인 권한 부여 우회 취약성
잘못 구성된 데이터베이스가 민감한 PII로 가득 차 있습니다.
이러한 모든 취약점에 대해 Wiz는 강력한 수정 지침을 제공할 뿐만 아니라 필요한 경우 수정 사항을 사용자 지정할 수도 있습니다. 그림 5에서 볼 수 있듯이 최신 버전으로의 간단한 업데이트만으로도 심각한 취약점이 보안 자산으로 전환될 수 있습니다.
마지막으로, 환경을 다시 스캔하고, 수정 사항을 검증하고, 취약성 평가를 보다 효과적이고 총체적으로 수행할 수 있는 방법을 연구합니다. 이 접근 방식을 사용하면 전체 코드-클라우드 파이프라인에서 취약성을 발견, 평가 및 수정할 수 있습니다.
Wiz가 취약성 평가를 지원하는 방법
취약성 평가를 수행하기 위해 강력한 클라우드 네이티브 도구가 필요한 경우 Wiz만 있으면 됩니다. 40+ 운영 체제에서 120,000개 이상의 취약점을 지원하는 Wiz는 전 세계를 활용합니다.'최고의 클라우드 취약성을 카탈로그화하고 위협 인텔리전스 피드 및 Wiz Research와 결합하여 비즈니스 영향을 기반으로 숨겨진 취약성(또는 우선 순위가 낮음)을 발견합니다.
에이전트 없는 배포 및 컨텍스트 기반 우선 순위 지정을 통해 Wiz는 경고 피로를 과거의 일로 만듭니다. Wiz는 회사의 위험 요인을 기반으로 중요한 문제에 집중함으로써 인상적인 MTTR을 통해 가장 강력한 위험을 찾고 수정하는 데 도움을 줍니다. 코드에서 클라우드까지, Wiz's 취약성 관리 기능은 진정으로 차원이 다른 수준입니다.
데모 신청하기 이제 Wiz가 취약성 관리를 시행하는 데 어떻게 도움이 되는지 알아보겠습니다. 권장사항 또한 타의 추종을 불허하는 보안 취약성 평가를 수행하여 클라우드를 안전하게 유지할 수 있습니다.
Uncover Vulnerabilities Across Your Clouds and Workloads
Learn why CISOs at the fastest growing companies choose Wiz to secure their cloud environments.
