취약성 관리

취약성 관리는 "소프트웨어 취약점을 식별, 분류, 우선순위화, 교정 및 완화하는 주기적인 관행"이다.^[1] 취약성 관리는 컴퓨터 보안 및 네트워크 보안에 필수적이며 취약성 평가와 혼동해서는 안 된다.[2][홍보 공급원인가?]

취약성은 열린 포트, 안전하지 않은 소프트웨어 구성, 악성 프로그램 감염에 대한 민감성 ^[3]등 알려진 취약성을 검색하여 컴퓨터 시스템을 분석하는 취약성 스캐너로 발견할 수 있다. 또한 NVD와 같은 공공 출처를 컨설팅하거나 Symantec의 DeepSight 취약성 데이터^[4]^{[promotional source?]} 피드 또는 Accenture의 취약성 인텔리전스 서비스와 같은 상용 취약성 경고 서비스에 가입하여 식별할 수도 있다.^[5]^{[promotional source?]} 제로 데이와 같은 알 수 없는 취약성은 솜털 테스트에서 발견될 수 있다.^[3] 퍼지 테스트는 관련 테스트 사례의 버퍼 오버플로와 같은 특정 유형의 취약성을 식별할 수 있다. 그러한 분석은 시험 자동화에 의해 촉진될 수 있다. 또한 경험적 접근 분석이 가능한 바이러스 백신 소프트웨어는 소프트웨어가 (시스템 파일 덮어쓰기 시도 등) 의심스럽게 동작하는 것을 발견하면 문서화되지 않은 악성 프로그램을 발견할 수 있다.

취약성을 교정하려면 패치 설치, 네트워크 보안 정책 변경, 소프트웨어 재구성 또는 사용자 사회공학 교육 등이 다양하게 포함될 수 있다.

프로젝트 취약성 관리

프로젝트 취약성은 부정적인 사건에 대한 프로젝트의 민감성, 부정적인 사건에 대한 영향 분석, 그리고 부정적인 사건에 대처하는 프로젝트의 능력이다.^[6] Systems Thinking을 기반으로 프로젝트 체계적 취약성 관리는 전체적인 비전을 가지고 다음과 같은 프로세스를 제안한다.

1. 프로젝트 취약성 식별

2. 취약성 분석.

3. 취약성 대응 계획

4. 취약성 제어 – 구현, 모니터링, 제어 및 학습한 교훈을 포함한다.

이 모델에서 부정적인 사건에 대처하는 것은 다음을 통해 이루어진다.

저항 – 순간 손상에 견딜 수 있는 용량을 나타내는 정적 측면
복원력 – 시간 내에 복구할 수 있는 용량을 나타내는 동적 측면

중복성은 취약성 관리의 저항성과 탄력성을 높이기 위한 구체적인 방법이다.^[7]

항균제는 불리한 사건으로부터 저항하거나 회복할 뿐만 아니라, 그것들 때문에 개선될 수 있는 시스템의 용량을 설명하기 위해 나심 니콜라스 탈레브가 도입한 개념이다. 반선명성은 스테판 모코프가 제안한 양의 복잡성 개념과 유사하다.

참고 항목

참조

^ 포맨, P: 취약점 관리, 1페이지. 테일러 & 프랜시스 그룹, 2010. ISBN 978-1-4398-0150-5
^ "Vulnerability Assessments vs. Vulnerability Management". Hitachi Systems Security Managed Security Services Provider. 2018-02-19. Retrieved 2018-08-04.
^ ^a ^b Anna-Maja Juuso와 Ari Takanen Unknown 취약성 관리, Codenomicon 백서, 2010년 10월 [1]
^ "DeepSight Technical Intelligence Symantec". www.symantec.com. Retrieved 2018-12-05.
^ www.accenture.com (PDF) https://www.accenture.com/t20170721T105740Z__w__/us-en/_acnmedia/PDF-57/Accenture-IDefense-Vulnerability-Intelligence.pdf. Retrieved 2018-12-05. {{cite web}}: 누락 또는 비어 있음 title= (도움말)
^ Marle, Franck; Vidal, Ludovic‐Alexandre (2016). Managing Complex, High Risk Projects - A Guide to Basic and Advanced Project Management. London: Springer-Verlag.
^ Nassim N. Taleb, Daniel G. Goldstein (2009-10-01). "The Six Mistakes Executives Make in Risk Management". Harvard Business Review. ISSN 0017-8012. Retrieved 2021-12-13.

외부 링크

"취약성 관리 프로세스 구현". SANS 연구소.

[1] 포맨, P: 취약점 관리, 1페이지. 테일러 & 프랜시스 그룹, 2010. ISBN 978-1-4398-0150-5

[2] "Vulnerability Assessments vs. Vulnerability Management". Hitachi Systems Security Managed Security Services Provider. 2018-02-19. Retrieved 2018-08-04.

[Codenomicon-3] Anna-Maja Juuso와 Ari Takanen Unknown 취약성 관리, Codenomicon 백서, 2010년 10월 [1]

[4] "DeepSight Technical Intelligence Symantec". www.symantec.com. Retrieved 2018-12-05.

[5] www.accenture.com (PDF) https://www.accenture.com/t20170721T105740Z__w__/us-en/_acnmedia/PDF-57/Accenture-IDefense-Vulnerability-Intelligence.pdf. Retrieved 2018-12-05. {{cite web}}: 누락 또는 비어 있음 title= (도움말)

[6] Marle, Franck; Vidal, Ludovic‐Alexandre (2016). Managing Complex, High Risk Projects - A Guide to Basic and Advanced Project Management. London: Springer-Verlag.

[7] Nassim N. Taleb, Daniel G. Goldstein (2009-10-01). "The Six Mistakes Executives Make in Risk Management". Harvard Business Review. ISSN 0017-8012. Retrieved 2021-12-13.

[1]

[3]

[4]

[5]

[6]

[7]

Search

취약성 관리

네임스페이스

더

목차

프로젝트 취약성 관리

참고 항목

참조

외부 링크