평가

기본 보안 상태

취약점 공개 프로그램 (VDP)을 시작할 준비가 되었는지 어떻게 알 수 있나요? VDP를 구현하기 전에 수행해야 할 중요한 평가가 있습니다 이러한 평가는 인프라의 격차를 파악하고 수신되는 버그 신고 스트림에 대비하는 데 도움이 됩니다. VDP를 올바르게 구현하면 꾸준한 보고서 흐름이 생성됩니다. 팀이 추가 워크로드를 처리할 준비가 되지 않았다면 새 프로그램이 보안을 개선하는 대신 부정적인 영향을 미칠 수 있습니다. 보안 프로그램을 평가하여 간극을 식별하고 해결하면 VDP 처리량 처리 능력을 높이는 데 큰 도움이 될 수 있습니다. 보고된 취약점에 신속하게 대응하면 해킹 커뮤니티와의 관계를 개선하여 보다 건전한 프로그램을 구축할 수 있습니다.

기본 보안 상태

조직의 보안 성숙도나 사용 가능한 리소스에 관계없이 현재 보안 상태를 평가하는 것이 간극을 식별하는 가장 좋은 방법입니다. 아래에서는 버그 찾기, 버그 수정, 근본 원인 분석, 감지 및 대응, 보안 문화 등 일반적으로 간과되는 주요 영역의 잠재적 격차를 파악하는 방법을 설명합니다.

버그 찾기

VDP 출시를 준비할 때는 팀이 환경의 취약점을 식별하는 데 사용하는 방법을 평가하는 것이 중요합니다. VDP 시작을 위한 평가 및 준비의 일환으로 초기에 취약점을 찾아 수정해야 합니다.

이렇게 하지 않으면 VDP가 출시될 때 취약점 보고서가 크게 급증하여 팀에 부담이 될 수 있습니다. 기본 취약점 스캔 및 보안 검토 프로세스를 설정하면 조직에서 보안 문제를 처리하기 위한 견고한 프로세스를 구축할 수 있습니다. VDP를 시작하면 수신되는 취약점 보고서를 처리할 준비를 더 잘 할 수 있습니다.

버그 수정

취약점을 찾는 것 외에도 취약점을 적시에 해결할 수 있도록 잘 정의된 프로세스와 리소스가 필요합니다 . 단순히 버그를 찾는 것만으로는 충분하지 않습니다. 보안이 개선되어야 버그가 수정됩니다. 취약점 관리를 위한 프로세스와 리소스가 있나요? 보안에 있어서 조직 내 문화는 어떤가요? 보안팀이 엔지니어링 측면의 반대자, 방해자, 가시로 여겨지나요? 아니면 협업 파트너로 생각하시나요? 취약점 해결의 우선순위를 어떻게 정하시나요? 심각도 및 해결 일정에 대해 공통된 명명법과 이해를 가지고 있나요? 식별된 취약점을 해결할 소유자를 찾는 것이 얼마나 쉬운가요? 해결 시간을 포함하여 식별된 취약점과 관련된 측정항목을 추적하나요? 조직에 애셋 인벤토리가 있나요? 아니면 먼 미래에 가까운 꿈인가요? 다시 말씀드리지만, 이 문제에 대한 확신이 있고 심각한 버그를 즉시 수정하고, 취약점 해결을 담당하는 팀과 개인과 탄탄한 관계를 맺고, 들어오는 보안 버그 스트림을 원활하게 처리할 수 있는 리소스를 마련해 두었다면 잘하고 있습니다. 그렇지 않은 경우 다음 장에서 성공적인 취약점 관리 프로그램을 구현하는 방법을 안내합니다. 어떤 경우든 VDP에서 수신되는 새로운 버그 스트림을 처리할 수 있는 견고한 취약점 관리 관행을 갖춰야 식별된 취약점에 신속하게 대응하고 이를 해결할 수 있습니다.

근본 원인 분석

일회성으로 버그를 찾고 수정하는 운영 작업 외에도 문제의 근본 원인 분석 (RCA)을 수행하고 환경에 취약점이 발생하는 전반적 원인을 파악하고 있나요? 버그를 빠르게 찾아 수정할 수 있어서 좋습니다. 하지만 VDP를 성공적으로 실행하려면 이러한 버그가 어떻게 나타나는지 먼저 파악해야 합니다. 다음과 같은 다양한 형태로 제공됩니다.

  • 애플리케이션 보안 취약점이 어떻게 발생했는지 파악합니다.
    • 개발자가 취약점이 생길 위험을 줄이는 공통 라이브러리와 프레임워크를 사용하고 있나요?
  • 데이터 분석 및 추세 파악
    • 특정 팀에서 관리하는 인프라가 보안 업데이트로 패치되지 않는다는 점을 눈치채셨나요?
  • 보안 사고 또는 보안 침해.
    • 향후 같은 실수를 하지 않도록 모든 관련 당사자와 함께 사후 분석을 수행하여 발생한 상황과 이유를 분석하고 그로부터 학습합니다.

RCA를 수행하지 않으면 VDP의 유사한 버그 신고를 여러 번 처리하는 데 많은 노력이 낭비될 수 있습니다. 향후 취약점 발견 보상 프로그램을 시작하면 RCA가 부족해도 조직에 재정적 영향을 미칩니다. 다음 장에서 RCA 프로세스와 사후 분석 문화를 구현하는 방법에 대해 보다 구체적인 조언을 제공합니다.

감지 및 대응

외부 연구원을 초대하여 애셋을 해킹하면 감지 및 대응 메커니즘에 영향을 미치게 됩니다. 침입 감지/방지 시스템이 있는 경우 보안 연구원이 수행할 테스트 유형을 고려해야 합니다. 자동화된 방어 시스템의 '이면' 취약점을 찾을 수 있도록 예외를 만들 예정인가요? 10명의 연구원이 모두 토요일 오전 2시에 외부에 노출된 애셋에 대한 취약점 스캔을 실행하기 시작하면 보안팀이 경보를 울릴까요? 보안 연구원의 적법한 테스트 트래픽과 시스템에 대한 잠재적 실제 공격을 어떻게 식별할 수 있을까요? 시스템을 대상으로 테스트하는 보안 연구원이 생성한 데이터를 활용하는 방법을 알고 있나요? 보안 연구원이 사용자 이름과 비밀번호를 추측하기 위해 무작위 대입을 시도하는 경우 실제 사용자를 차단할 수 있나요? VDP를 시작하기 전에 이러한 모든 측면을 고려해야 합니다. 허용되지 않는 테스트 유형과 허용되지 않는 테스트 유형에 관해 보안 연구원의 명확한 기대치를 설정하고, 기존 감지 및 응답 메커니즘을 구성하는 방법을 결정해야 합니다. 다음 장에서는 이에 접근하는 방법을 자세히 살펴보겠습니다.

보안 문화

조직 내 문화는 성공적인 VDP를 시작하고 유지하는 능력에 큰 영향을 미칩니다. 한 걸음 물러서서 이 이니셔티브에 참여해야 하는 주요 이해관계자가 누구인지, 정보 보안팀과의 기존 관계를 이해하는 것이 좋습니다. 다양한 관련 이해관계자와 그들이 취약점 공개 프로그램 시작 제안을 처리하는 방식에 따라, 이해관계자가 이 개념을 지지하도록 설득할 수 있는 방법과 자료를 파악해야 합니다. 참여하지 않은 한 핵심 이해관계자가 VDP의 시작을 차단할 가능성이 있습니다.