15,000년에 이미 2023개 이상의 취약점이 식별되었고 25,227년에는 2022개가 식별되었기 때문에 조직은 사용 가능한 리소스에 의존하고 있습니다. 조직은 발견된 취약점의 양과 시기적절하고 잘 판단된 방식으로 먼저 어떤 취약점을 해결해야 할지 결정하기 위해 취약점을 분류하는 어려운 작업에 점점 더 압도당하고 있습니다.
결과적으로 취약성 관리 프로세스를 성숙시키고 기존의 심각도 평가에서 벗어나야 할 필요성이 있습니다. 위협 행위자 역량의 진화가 악용의 증가에 큰 영향을 미치면서 조직이 취약성 관리에서 우선순위를 위한 지속 가능한 프레임워크와 표준을 구현하는 것이 중요합니다. 이 논문은 취약성 관리에 관한 일련의 커뮤니케이션의 첫 번째 반복으로, 우선순위의 중요성과 다양한 권장 개념을 사용하는 조직에 대한 적용 가능성에 초점을 맞춥니다.
개요
네트워크 보안 팀은 종종 지속적으로 공개되는 취약점으로 인해 어려움을 겪습니다.
공급업체와 보안 연구원에 의해 공개적으로 공개되거나 제로데이로 식별됩니다. 이러한 각 취약성의 심각도 및 악용 가능성 수준은 CVSS(Common Vulnerability Scoring System) 점수와 종종 CVE(Common Vulnerability and Exposures) 번호와 연관됩니다. 이러한 방대한 정보는 번거로움이 있고 때로는 조직의 취약성 관리 역량과 관련하여 난제를 제기할 수 있습니다. 게시된 모든 취약성 중 2-7%만이 실제로 악용되고 많은 경우 우선순위가 부족하여 무시됩니다.
취약성 관리에서 우선순위 지정의 개념은 다양한 조직 역량 수준에서 효과적인 완화 및 수정 전략을 지원하는 데 도움이 되므로 중요합니다. 우선순위 지정과 조직의 역량 수준 간의 상관 관계는 보안 팀이 이해 관계자와 효과적으로 소통하고 자산 가치를 식별하며 비즈니스에 중요한 시스템의 연속성에 도움이 되는 수정 정책을 개발하는 데 도움이 될 수 있으므로 긴밀하게 연관되어 있습니다. 우선순위 지정은 모든 역량 수준에 걸쳐 있는 프로세스이며 보안 팀이 조직의 위험 감수 수준을 초과하는 심각도 수준과 관련된 취약성을 해결하기 위해 리소스를 적절히 할당할 수 있도록 합니다.
