일 | 월 | 화 | 수 | 목 | 금 | 토 |
---|---|---|---|---|---|---|
1 | 2 | |||||
3 | 4 | 5 | 6 | 7 | 8 | 9 |
10 | 11 | 12 | 13 | 14 | 15 | 16 |
17 | 18 | 19 | 20 | 21 | 22 | 23 |
24 | 25 | 26 | 27 | 28 | 29 | 30 |
- 운영체제
- 컴퓨터 네트워크
- 게임개발
- link layer
- DSP
- SJF
- 유스케이스
- 게임 개발
- 유니티
- DP
- stride
- MLFQ
- Trap
- frequency-domain spectrum analysis
- FIFO
- OWASP
- unity
- information hiding
- Security
- Unity #Indie Game
- OSI 7계층
- polymorphism
- 메카님
- 배경 그림
- STCF
- SDLC
- AINCAA
- Waterfall
- protection
- MAC
- Today
- Total
다양한 기록
CVE, NVD, CWE 본문
CVE
Common Vulnerability and Exposure = Common Vulnerabiliy Enumeraion
원래는 Exposure였는데 CWE 까지 생기면서 Enumeration이 됨
.org 도메인 => 공익 목적
목적: 취약점에 대한 공통 이름을 붙이고 사전을 만들자
식별이 굉장히 중요하고, 정의도 해야함
CVI ID를 가짐 => 자동화, 협업사 간 논의, 공유에 도움이 됨
** 2013년까진 4자리였다.(취약점이 많아도 10000개는 안된다) 그 이후 넘어섰다 (디지털 대전환)
예) CVE-2014-0106 (Heartbleed)
SSL 에 문제가 있어서 TLS를 사용하는데, 이것과 관계된게 하트블리드
** TLS가 SSL 3.0
예) CVE-2023-23836 (SolarWinds Platform Deserialization of Untrusted Data Vulnerability)
서플라이 체인 어택과 관련있는 취약점
CVSS (Common Vulnerability Scoring System)
0~10점수를 매기고 10점에 가까울수록 크리티컬
Metrics(평가 지표)
- CIA가 포함됨
- 공격의 복잡도가 낮을수록 하기 쉬우니 위험이 높아짐
- 권한이 필요 없을수록 위험
NVD
National Vulnerability Database
미국 정부가 관리하는 취약점 관리 데이터베이스
NIST가 관리하고, 자동화하기 위한 프로토콜이 존재
CVE와 NVD
서로 분리된 프로그램.
미국 정부가 단순히 CVE를 모으지만 말고 활용하기 위해 NVD 만듦
연동되어서 CVE 정보가 NVD에 업데이트됨
DHS(국가보안국), CISA의 지원을 받음
CWE
Common Weakness Enumeration
근본적인 실수 = 약점
CWSS (Common Weakness Scroing System) 존재
CWRAF (Common Weakness Risk Analysys Framework)
절차(프레임워크, 체계)를 만들어 위험을 분석
대략 600개의 카테고리.
유사한 취약점을 묶어 하나의 약점으로 취급
CVE -> CWE -> CAPEC -> ATT&CK
CAPEC은 공격 패턴 데이터베이스
'보안개론' 카테고리의 다른 글
보안의 목적, STRIDE / AINCAA (0) | 2024.04.07 |
---|---|
Security Threat, Attack (0) | 2024.04.07 |
보안, 위협, 공격 / 약점, 취약점 (0) | 2024.04.07 |
위협의 종류, STRIDE (0) | 2024.03.26 |
다양한 공격 방식(파밍, XSS, MitM 등) (0) | 2024.03.26 |