매일매일 최신 취약점이 쏟아지는 세상입니다.
모든 취약점에 귀를 귀울이고 대처한다는건 쉬운일이 아닐텐데요
로또를 사야 로또에 당첨이 되듯이
대처를 하려면 어떤 취약점들이 새로 발견되었는지 알아야하지 않을까요?ㅎㅎ
중요한 취약점 정보 출처에 대해 알아볼까 합니다.
1. CVE (Common Vulnerabilities and Exposures) : Mitre의 공통 보안 취약성 및 노출 [http://cve.mitre.org]
※ Mitre Corporation : 미국 비영리 단체
: CVE는 취약점 분류 혹은 구조화의 가장 대표적인 포맷.
마이티 코퍼레이션은 1999년부터 CVE 포멧의 최초 편집자 역할을 하고 있으며
홈페이지에서 CVE목록을 다운로드 받을 수 있으며 CVE 관련 소식을 접할 수 있음
2. NVD (National Vulnerability Database) : NIST의 국가 취약점 데이터베이스 [https://nvd.nist.gov/]
※NIST (National Institute of Standards and Technology)
: NVD는 CVE라는 표준에 따라 미국 정부가 취약점을 자체적으로 수집하고 목록화 하여 관리하고 있음.
표준화된 규격으로 매일 정부에서 관리하고 있어, 신뢰도가 매우 높다.
3. VNDB (Vulnerability Notes Database) : Cert의 취약점노트 데이터베이스 [http://www.kb.cert.org/vuls/]
: VNDB는 소프트웨어 취약점에 대한 정보를 제공함.
취약점에 대한 간단한 명, 기술적인 세부 사항, 복구 및 약화 정보, 관련 벤더 목록 등의 정보가 포함됨.
보안전문가들이 개인적으로 연구해서 밝힌 내용들이 대부분이라, VND나 Mitre만큼 다루는 범위가 넓지는 못하다.
4. VulnDB : RBS( Risk Based Security)라는 보안업체에서 제공 [https://www.riskbasedsecurity.com/vulndb/]
: 가장 큰 취약점 데이터베이스라고 알려져 있음. 유료
소프트웨어 취약점에 대한 세부사항을 처음부터 끝까지 포함하고 있어 능동적으로 대처할 수 있도록 함.
5. IASE(Information Assurance Support Environment) 정보확증 취약점경보[http://iase.disa.mil/stigs/Pages/iavm-cve.aspx]
: CVE 취약점들을 미국의 국방 정보 시스템 에이전시(DISA, Defense Information System Agency)의 정보 확증 취약점 정보 (IASE)에서 새롭게 재편집하여 공개.
취약점 목록을 국방 관련 정부기관이 재편집하여 공개하다보니 비상업 부문,
특히 정부 및 공공 기관과 관련된 취약점이 상세히 다뤄진 것이 특징
DISA가 운영하는 보안기술 도입가이드(STIG, Security Technical Implementation Guides) 에서 다운로드 가능
6. SecurityTracker.com
: 취약점 데이터베이스 라이브러리로 매일 업데이트, OS와 연관성이 없는 취약점을 주로 목록에 포함.
사회 기반시설 및 사물인터넷과 관련된 취약점이 주로 전면을 장식하며, CVE에 없는 새로운 오류들을 알아내기 위한 데이터베이스로 애용 됨.
'IT > 보안' 카테고리의 다른 글
| [Android/APK]안드로이드 모바일에서 APK 파일 추출하기. (0) | 2016.07.20 |
|---|---|
| [노트북 WIFI] 노트북으로 무선공유기를 만들어보자(AP만들기) (0) | 2016.07.14 |
