Management Frameworks

CCE(Common Configuration Enumeration) CCE(Common Configuration Enumeration)는 시스템의 보안 설정과 관련된 취약점을 식별하고 관리하기 위한 표준화된 명명 체계이다. 시스템 구성 문제에 고유 ID를 제공하여 여러 정보 소스와 도구 간에 구성 데이터를 빠르고 정확하게 상관시키는 것을 목적으로 한다. 이를 통해 시스템의 보안 설정을 일관되게 관리하고 평가할 수 있다. 주요 특징 표준화된 식별: 각 보안 설정에 고유한 CCE ID를 부여한다. 설정 중심: 시스템의 구성 설정에 초점을 맞춘다. 다양한 플랫폼 지원: 서버, 네트워크 장치, 방화벽 등 다양한 IT 인프라에 적용 가능하다. CCE의 중요성 일관성 유지: 여러 도구와 플랫폼에서 동일한 보안 설정을 일관되게 식별할 수 있다. 자동화 지원: 자동화된 보안 도구에서 CCE를 활용하여 효율적인 취약점 관리가 가능하다. 규정 준수: 다양한 보안 표준과 규정 준수를 위한 기준으로 활용된다. CCE의 구조와 형식 CCE 식별자는 ‘CCE-XXXX-X’ 형식을 따르며, 각 식별자는 특정 보안 구성 설정을 고유하게 식별한다. 예를 들어, ‘CCE-27277-8’은 Windows 시스템에서 최소 암호 길이 설정을 나타낸다. ...

CVE CVE는 공개적으로 알려진 사이버 보안 취약점들에 대한 표준화된 식별자를 제공하는 목록이다. 이는 보안 취약점에 대한 일관된 명명과 식별을 가능하게 하여, 서로 다른 보안 도구와 서비스 간의 데이터 공유와 취약점 관리를 용이하게 한다. 1999년 MITRE Corporation에 의해 만들어졌으며, 주요 목적은 다음과 같다: 보안 취약점에 대한 표준화된 식별자 제공 취약점 정보의 공유 및 협업 촉진 보안 도구 및 서비스 간의 데이터 공유 개선 CVE ID 구조 CVE ID는 다음과 같은 형식을 가진다: CVE-[연도]-[일련번호] ...

CVSS(Common Vulnerability Scoring System) CVSS는 “공통 취약점 등급 시스템"의 약자로, 소프트웨어 취약점의 특성과 심각도를 파악하는 데 도움이 되는 표준화된 시스템이다. 주요 목적 취약점의 심각도를 표준화된 방식으로 평가 취약점 대응의 우선순위 결정에 도움 조직 간 취약점 정보 공유 및 소통 촉진 CVSS 점수 체계 CVSS 점수는 0.0에서 10.0 사이의 값으로 표현되며, 다음과 같이 분류된다: 0.0-3.9: 낮음 4.0-6.9: 중간 7.0-8.9: 높음 9.0-10.0: 심각 CVSS 메트릭 그룹 CVSS 점수는 다음 세 가지 메트릭 그룹으로 구성된다: ...

CWE(Common Weakness Enumeration) CWE는 소프트웨어와 하드웨어의 설계, 디자인, 코드 구현에서 발생할 수 있는 결함, 버그, 에러 등의 보안 약점을 카탈로그화한 것이다. 주요 목적 보안 약점에 대한 공통 언어 제공 소프트웨어 보안 도구 간의 호환성 향상 보안 약점 식별 및 완화를 위한 기준 제공 표기 방식 ID 체계 CWE는 'CWE-XXX' 형식으로 표기된다. 예: CWE-119: 버퍼 오버플로우 CWE-89: SQL 인젝션 CWE-79: 크로스 사이트 스크립팅 상세 정보 구조 각 CWE 항목은 다음과 같은 정보를 포함한다: ...