CVE

취약점의 발견과 보고

Zero Day Initiative

https://www.zerodayinitiative.com/

Home | Zero Day Initiative

• TippingPoint에 의해 시작된 취약점 발견/공유 사이트
• 대기업 SW의 취약점을 발견, 공유함
• 취약점 발견자에게 금전적으로 보상 : 취약점을 발견 보고하여 경제적 이익을 얻을 수 잇음

 

 

CVE (Common Vulnerabilities and Exposures)

• CERT에 의해 1999년에 시작
• 취약점의 표준화된 식별을 목표 (Vendor 중심 자체 식별자 지정, 상호 의사소통의 어려움 해결)
• 각 Vendor 및 공급자들이 자신의 advisory 발표 가능 (단, CVE를 통해 상호참조하고 사용자들은 CVE ID를 활용하여 취약점 추적)
• MITRE가 현재 관리하며 지속적으로 취약점 관리
• ITU-T에 의해 취약점 DB 표준을 추천

 

 

Vulnerabilities vs exposures

취약점 (Vulnerabilities)	해커에 의해 이용될 수 있는 실수로 시스템의 보안정책을 깨뜨리는 상황의 빌미가 되는 것 - 다른 사용자의 권한으로 명령 실행 - 접근 통제 정책 위배 - DoS 공격 대상
유출 (Exposures)	시스템의 설정 문제나 소프트웨어상의 실수 - 중요한 공격을 수행하는데 활용 가능한 정보를 드러내는 상황

 

 

CVE Identifiers

• CVE ID(number) : CVE-2020-0340
• 취약점/유출에 대한 간략한 설명
• 참고자료 및 보고서, advisories
• 잠재적 취약점 및 유출에 대한 발견
• CVE 번호 부여를 위한 권한 요청 (번호를 블록단위로 예약)
• CVE 번호를 공개그룹과 공유
• Advisory 공개 (CVE ID를 포함)
• MITRE는 추가된 CVE-ID를 master 리스트에 보관
• 상호 운영성 또는 상호비교가능성의 표준
• 제품/서비스 모두에 적용
• MITRE의 인증제품생산 시 필수
• Tool 혹은 웹사이트의 요구 속성 => CVE ID를 통해 검색이 가능하고 표준 문서 포맷을 지켜야 함