취약성 대응 롤업 계산기

  • 릴리스 버전: Yokohama
  • 업데이트 날짜 2025년 01월 30일
  • 읽기4분

    • 설정 도우미에서 위험 계산기를 처음 평가한 후에는 취약성 롤업 계산기를 사용하여 정정 작업 및 임포트한 취약성에 대해 누적 위험 점수를 계산하는 방법을 구성합니다.

    취약성 롤업 계산기를 사용하여 정정 작업 및 임포트한 취약성에 대해 누적 위험 점수를 계산하는 방법을 구성합니다. 기본 시스템과 함께 제공되는 롤업 계산기는 다음과 같습니다.
    • Remediation Task Rollup: 전체 취약한 항목 그룹의 전체 위험 점수를 제공하기 위해 정정 작업에 있는 모든 취약한 항목에 대한 위험 점수를 롤업합니다.
    • Patch Update Rollup: 패치 업데이트에 대한 전체 위험 점수를 제공하기 위해 패치 업데이트가 같은 모든 취약한 항목에 대한 위험 점수를 롤업합니다.
    • Organization Risk Score Rollup: 조직의 모든 호스트 취약한 항목, 애플리케이션 취약한 항목, 컨테이너 취약한 항목 및 구성 문제에 대한 위험 점수를 롤업하여 통합 대시보드에서 전체 조직에 대한 전체 위험 점수를 제공합니다.
      주:
      취약성 대응v22.0부터 조직 점수에 대한 롤업 가중치를 구성할 수 있습니다. 또한 개별 롤업 계산기가 제거되었습니다.
    • Vulnerable Item Rollup: 조직의 모든 호스트 취약한 항목에 대한 위험 점수를 롤업하여 통합 대시보드에서 전체 조직의 전체 위험 점수에 기여합니다.
    • Vulnerability Entry Rollup: 취약성 항목에 대한 전체 위험 점수를 제공하기 위해 취약성 항목이 같은 모든 취약한 항목에 대한 위험 점수를 롤업합니다.
    • Rollup EPSS Scores from NVD to TPEs: NVD 테이블에 나열된 모든 취약 항목/CVE에 대한 EPSS 점수를 기존 TPE에 롤업하여 취약성이 악용될 전체 확률을 제공합니다.
    • Remediation Effort Rollup: 정정 작업에 대한 전체 위험 점수를 제공하기 위해 정정 작업에 있는 모든 기록에 대한 위험 점수를 롤업합니다.

    다음으로 이동 모두 > 취약성 대응 > 관리 > 취약성 롤업 계산기.

    롤업 계산기를 구성하여 누적 위험 점수를 설정할 때 계산된 각 값에 지정할 가중치를 지정합니다. 가중치가 높을수록 취약성 또는 정정 작업에서 롤업된 위험 점수를 결정하는 데 해당 값이 더 많이 사용됩니다.

    주:
    지연 포함을 선택하면 지연된 모든 취약한 항목이 정정 작업의 롤업 계산에 포함됩니다. 이 옵션을 선택하기 전에 총 계산에 미치는 영향을 이해해야 합니다.
    롤업 계산기는 15분마다 예약된 작업을 Rollup vulnerable item values to vulnerability and groups실행하여 변경 사항을 선택하고 상세 정보 및 위험 점수를 정정 작업 및 취약성에 롤업합니다. 이러한 예약된 작업은 VI 수, 최대 위험 점수, 정정 목표 날짜 및 정정 작업 상태에 대한 누적 값도 계산합니다.
    주:
    취약성 항목에 대해 계산된 값에는 정정 대상 데이터가 포함되지 않습니다.
    위험 점수는 다음과 같은 경우에 계산됩니다.
    • 취약한 항목에 대한 위험 점수, 정정 대상, 정정 상태 또는 취약성 변경 내용입니다.
    • 취약한 항목 상태가 오픈, 연기됨, 종결로 변경되거나 종결 또는 연기됨에서 변경됩니다.
    • 취약한 항목이 삭제됩니다.
    • 취약한 항목이 정정 작업에서 추가되거나 제거됩니다.
    취약성 롤업 계산기 예: 다음과 같은 취약한 항목이 있는 정정 작업 VUL324567 생각해 보십시오.
    • 위험 점수가 30인 VIT1001
    • 위험 점수가 40인 VIT1002
    • 위험 점수가 50인 VIT1003
    또한 취약성 롤업 계산기에서 다음 가중치를 고려하십시오.
    • 최대 위험 점수: 80
    • 평균 위험 점수: 5
    • 취약한 항목 수: 15
    그림 1. 취약성 롤업 계산기 예
    최대 위험 점수가 80, 평균 위험 점수가 5, 취약한 항목 수가 15인 취약성 롤업 계산기 예.

    취약성 롤업 계산기 예에서 정정 작업 위험 점수를 결정하는 수식은 다음과 같습니다.

    (최대 위험 점수/100) * 80 + (평균 위험 점수 /100) * 5 + (계수 * 15)

    요인은 다음과 같이 결정됩니다.
    VI 수 요인
    <10 0.2
    10-100 0.4
    101-1000 0.6
    1001-10000 0.8
    > 10000 1
    따라서 정정 작업의 경우 다음을 VUL324567.
    • 평균 위험 점수는 40입니다.
    • 최대 위험 점수는 50입니다.
    • 50(최대 위험 점수)
    • 계수는 0.2입니다.

    위험 점수는 45 [(50/100) * 80 + (40/100) * 5 + 0.2 * 15 = 40 + 2 + 3 = 45]입니다.

    그림 2. NVD에서 TPE로 EPSS 점수 롤업
    EPSS 롤업 계산기 스크립트입니다.

    EPSS 롤업 계산기 - 예제

    예를 들어 각각 악용될 확률이 5%인 100개의 취약성이 있는 조직을 고려합니다. 네트워크 방어자가 가장 관심을 갖는 질문은 이러한 취약점 중 하나 이상이 악용될 확률은 얼마인지, 따라서 전반적인 위협은 무엇인지일 수 있습니다. 적어도 하나의 사건이 발생할 확률은 단순히 사건이 발생하지 않는 것의 보수(반대)입니다. 
    P(at least one exploited vulnerability) = 1 - P(no vulnerabilities are exploited)
    여기서 취약성이 없을 확률은 악용되지 않는 각 취약성의 선형 곱입니다. 이 예에서 각 취약성은 악용될 확률이 5%이므로 각각 악용되지 않을 확률은 95%입니다. 그리고 100개가 있으므로 다음과 같이 작성할 수 있습니다. 
    P(at least one vuln exploited) = 1 - P(no vulns are exploited) = 1 - P(one vuln not exploited)^100 = 1 - 0.95^100 = 0.994
    즉, 취약점 중 하나 이상이 악용될 확률은 99.4%입니다.
    중요사항:
    Rollup EPSS Scores from NVD to TPEs수정하려면 양식 컨텍스트 메뉴 뷰를 기본 뷰에서 롤업 개발자 뷰로 전환해야 합니다.