최신 소프트웨어 공급망은 새로운 약점이 기록 속도로 도출되기 때문에 전례없는 압력으로 작동합니다. 2021 년에는 1,5 개가 넘는 새로운 일반적인 약점과 노출 (CVE)이보고되었습니다. 기록적인 수치 보호 팀과 개발자들은 주요 약점에 집중하려고 노력하면서 척도의 약점에 기대고 있습니다.
그럼에도 불구하고, “중요한”라벨이 붙은 CVE에도 불구하고, 더 가까운 모습은 이러한 위협들 중 다수가 실제로 거의 강렬하다는 것을 보여줍니다. 실제로, 최근의 연구에 따르면이 CV의 12%만이 정부의 소식에 의해 “중요한”것으로 확인되었으며, 실제로는 그 명칭을 경고합니다.
이 연결은 사이버 수석 산업의 점점 더 많은 도전을 강조합니다. 미터처럼 설정된 CVE 점수 시스템은 유용한 기준을 제공하지만 종종 각 조직 환경의 고유 한 맥락에서 설명하지 못합니다. 결과적으로, 이론적 위험에 초점을 맞추면 실제 위협은 위험에 의해 무시 될 수 있습니다.
Jepphur의 위협은 연구 책임자입니다.
예를 들어, 9.8 CVSS 점수를받은 널리 사용되는 소프트웨어 장비에서 CVE-2024-45490을 사용하십시오. “중요한”등급을 받았지만 추가 분석과 컨텍스트에 따르면 사례의 10% 만 적용된다는 것이 밝혀졌습니다. 이 오류를 사용하려면 개발자에게는 매우 구체적이고 불가능한 조건이 필요하므로 실제 흡수가 매우 불가능합니다.
CVS 평가 당사자에게 더 큰 정확성을 가져 오려면 보안 리더의 관련 분석과 함께이 위협의 수표 및 균형 시스템을 설정해야합니다. 이 접근법은 팀이 위험한 약점이 낮은 소리를 극복하고 가장 스트레스가 많은 보안 문제를 보장하는 데 도움이 될 수 있습니다.
컨텍스트는 이유의 분류보다 더 중요합니다.
5 개의 유명한 CVS에 대한 최근의 분석에 따르면 CVE 점수의 5%와 57%가 CVSS 점수만큼 심각하지 않은 것으로 나타났습니다. 27 CVE (15%)만이 극도로 흡수성이있는 것으로 판명되었습니다.
CVS의 실제 상황을 평가하는 것의 중요성을 강조합니다. 이 정보를 제외하고, 잘못된 분류는 경고, 생산성 및 사기를 과장하고 인간 오류의 위험을 증가시켜 약점보다 더 해를 끼칠 수 있습니다.
특정 환경의 흡수, 노출 수준 및 비즈니스 효과와 같은 CVE 측면을 고려하면 즉각적인주의를 기울여야하는 약점에 대한 정보를 얻을 수 있습니다.
개발자 및 보안 팀의 통행료
보안 경고와 CVE 출판의 중단되지 않은 홍수로 인해 실제 위협을 덜 긴급한 문제와 분리하기가 어렵습니다. 시간이 지남에 따라,이 관련없는 경고는 초점을 침식하여 소진, 느린 반응 및 더 위험한 실수에 더 많은 잠재력을 제공 할 수 있습니다. 위협 행위자가 더욱 정교함에 따라 균열에 빠지는 중요한 문제의 위험은 단지 강화됩니다.
이 피로의 주요 기여자 중 하나는 잘못된 긍정의 확산입니다. 보안 장비가 부드러운 활동을 악의적으로 표시 할 때 분석가들은 여전히 이러한 경고를 조사하여 진정한 위협을 취소해야합니다. 새로운 기능을 만들거나 기존 제품에 집중하는 대신 개발자는 종종 다른 보안 알림의 사격에 대응하기 위해 멀리 이동하는데, 그 중 다수는 불필요하게 보입니다.
결국, 약점의 피로는 보안 팀과 개발자의 효과를 막을뿐만 아니라 대행사는 심각한 보안 사건에 더 많은 위험을 초래했습니다. 이주기를 끊으려면 회사는 당사자에게 중요한 문제에 집중할 수있는 능력을 제공하는보다 현명하고 상황에 맞는 우선 순위가 필요합니다.
현명한 방법보다 앞서
CVS의 증가하는 목록은 정밀하고 전략적인 접근 방식이며 표면 수준 평가를 넘어서고 있습니다. 문맥은 왕입니다. 기업은 불필요한 공황을 피하고 위험이없는 대신 약점이 고유 한 환경에 어떻게 적용되는지 이해할 수 있습니다.
문맥 우선 사고는 보안 리더와 비즈니스 의사 결정자가 더 나은 조정을하도록 돕는 것입니다. 그것은 교반, 탄력성 및 혁신의 균형을 유지하는 위험에 대한보다 측정 된 연관 접근법을 지원합니다.
모든 경고가 소방 훈련처럼 느껴질 수있는 세상에서, 실제 위협을 잘못된 경보와 구별하는 능력은 이점보다 큽니다. 이것은 요구 사항입니다.
우리는 소규모 비즈니스를위한 최고의 방화벽을 상장했습니다.
이 기사는 TechraderPro Specialist Insight Channel의 일환으로 기술 산업에서 오늘날 최고의 마음을 사로 잡았습니다. 여기에 발표 된 견해는 저자에 있으며 TechRoderPro 또는 Future PLC에 필수적이지 않습니다. 기여에 관심이 있으시면 여기에서 자세히 알아보십시오. https://www.techradar.com/news/submit-your-totory-techradar-pradar
