Security/보안 일반 || 관리

CVE vs CWE , 위협 vs 위험

jino22 2020. 9. 11. 00:59

틀린 부분이 있다면 언제든지 댓글 남겨주세요! 

CVE, CWE, OWASP, CVSS,  취약점, 위협, 위험

  • CVE (Common Vulnerabilities and Exposures): 공개적으로 알려진 보안 취약점(vulnerabilities)을 시간별로 정리한 목록(history)
    * 보안취약점(vulnerability) :해커가 시스템이나 네트워크에 접근하기 위해 사용할 수 있는 mistake, 운영단계에서 발생 (실제 발생 가능)
    CVE-연도-순서
  • CWE (Common Weakness Enumeration): MITRE에서 일반적인 소프트웨어 보안약점(weakness)를 다양한 관점에서 분류한 목록. 
    * 보안약점(weakness) :기능 설계 및 구현 단계에서 발생할 수 있는 보안상의 오류, 개발단계에서 발생 (이론상)
    CWE-YYY
  • OWASP(The Open Web Application Security Project): 오픈소스 웹 애플리케이션 보안 프로젝트. 웹에 관한 정보노출, 악성 파일 및 스크립트, 보안 취약점 등
    OWASP Top10 list: 웹프로그래밍 관련 가장 많이 발생하는 취약점 리스트

  • CVSS(Common Vulnerabilities Scoring System): 보안 취약점들을 평가하고 확인할 수 있도록 제공된 오픈 프레임워크

cve.mitre.org/

 

CVE - Common Vulnerabilities and Exposures (CVE)

CVE® is a list of entries—each containing an identification number, a description, and at least one public reference—for publicly known cybersecurity vulnerabilities. CVE Entries are used in numerous cybersecurity products and services from around the

cve.mitre.org

cwe.mitre.org/index.html

 

CWE - Common Weakness Enumeration

CWE™ is a community-developed list of software and hardware weakness types. It serves as a common language, a measuring stick for security tools, and as a baseline for weakness identification, mitigation, and prevention efforts.

cwe.mitre.org

owasp.org/www-project-top-ten/

 

OWASP Top Ten Web Application Security Risks | OWASP

The OWASP Top 10 is the reference standard for the most critical web application security risks. Adopting the OWASP Top 10 is perhaps the most effective first step towards changing your software development culture focused on producing secure code.

owasp.org

  • 취약점(취약성, Vulnerability): 허가되지 않은 접근이 가능할 수 있는 SW, HW, 절차, 인력상의 약점. 즉 위협의 이용대상.
  • 위협(Threat): 손실의 원인이 될 가능성이 있는 환경의 집합. 보안에 해를 끼치는 행동. 
    - 가로채기(interception): 비인가된 당사자가 자산으로의 접근 획득.
    ex) 불법 복사, 도청 등 -> 기밀성에 영향
    - 가로막음(interruption): 시스템 자산에 접근 불가.
    ex) HW장치 파괴, 파일 삭제, 서비스 거부 등 -> 가용성에 영향
    - 변조(modification): 비인가된 당사자가 접근하여 내용 변경.
    ex) DB특정값 변경, 특정 프로그램 변경 -> 무결성에 영향
    - 위조(fabrication): 비인가된 당사자가 시스템상에 불법 객체의 위조 정보 생성
    ex) 네트위크 통신에 가짜 거래정보를 만드는 경우 -> 무결성에 영향
  • 위협 주체(위협원, Thread agents): 취약점을 이용하는 주체 ex) 침입자, 자연재해, 실수로 파일의 무결성을 손상시키는 직원 등
  • 위험(Risk): 위협주체가 취약점을 이용해 위협이라는 행동을 통해 자산에 악영향을 미치는 결과를 가져올 할 가능성. 
    자산×위협×취약점
728x90
반응형
저작자표시