CVE, CWE, CCE

CVE만 조사 하다가 사이트에 Weakness Enumeration 이라면서 CWE에 관련해서도 써있길래 갑자기 CWE에 대해서도 뭔지 공부해보라던 말이 떠올라서 찾아봤다. 찾아보다가 CCE라는 것도 있다는 걸 알게됐다.

일단 CCE, CVE, CWE 셋다 취약점의 종류/유형이다.

* 취약점(Vulnerablity) : 정보시스템이나 소프트웨어 상에 존재하는 보안상의 약점. 기업에서 해킹이나 서비스 장애, 데이터의 유출·변조·삭제 등이 일어난 경우, 이러한 시스템상의 취약점을 악용하여 피해가 발생하게 되는 것.

CCE (Common Configuration Enumeration)

- 사용자에게 허용된 권한 이상의 동작을 허용하거나, 범위 이상의 정보 열람·변조·유출을 가능하게하는 시스템 설정 상의 취약점.

- 정보 시스템의 설정 값(Configuration)을 통하여 진단.

- 운영자가 환경 설정 값 변경을 통해 자체 개선이 가능.

CVE (Common Vulnerabilities and Exposures)

- 컴퓨터 하드웨어 또는 소프트웨어 결함이나 체계, 설계 상의 허점.

- 애플리케이션(Microsoft, Adobe, Open SSL, Java 등)의 취약점 진단.

- 설계 상의 허점이기 때문에 자체 개선이 불가능. 제조사의 공식 패치에 의존.

CWE (Common Weakness Enumeration)

- 다양한 소프트웨어 언어(C, C++, JAVA 등) 및 아키텍쳐, 디자인 설계, 코딩 등의 개발 단계에서 발생 가능한 취약점.

- Web 서버 (HTML, ASP, JSP, PHP 등) 소스 취약점 진단. (소스 코드 보안 취약점)

- 개발자의 소스 코드 수정을 통하여 자체 개선 가능.

- 7대 보안 취약점

1) 입력 데이터 검증 및 표현 : 입력 값에 대한 검증 누락 또는 부적절한 검증

2) 보안 기능 : 보안(인증, 접근 제어, 기밀성, 암호화, 권한 관리 등)을 부적절하게 구현 시 발생

3) 시간 및 상태 : 동시 수행을 지원하는 병렬 시스템, 하나 이상의 프로세스가 동작 되는 환경에서 시간 및 상태를 부적절하게 관리하여 발생.

4) 에러처리 : 에러를 처리하지 않거나, 중요한 정보가 포함 될 때

5) 코드 오류 : 인가되지 않은 사용자에게 데이터 노출

6) 캡슐화 : 중요한 데이터 또는 기능을 불충분하게 캡슐화 하였을 때

7) API 오용 : 의도된 사용에 반하는 방법으로 API를 사용하거나, 보안에 취약한 API를 사용하여 발생할 수 있음.

이때 많이 헷갈릴 수 있는 개념이 CVE와 CWE였다.

일단,

CVE의 V는 취약점(Vulnerabilities)을 의미하며, CVE는 취약점 리스트이다.

CWE의 W는 보안 약점(Weakness)을 의미하며, CWE 보안 약점 리스트이다.

취약점과 보안 약점의 차이는?

취약점 : 해커가 시스템이나 네트워크에 액세스하기 위해 직접 사용할 수 있는 소프트웨어의 실수.

보안 약점 : 소프트웨어 취약점으로 이어질 수 있는 오류.

결국 보안약점이 더 큰 개념이다. 보안 약점 중 공격자가 Exploit 할 수 있으면 취약점이 되는 것이고, 보안 약점이라도 공격자가 Exploit할 수 없으면 취약점이 아니다.

소프트웨어 보안 약점은 소스 코드에 존재하는 잠재적 위험을 의미하고, 소프트웨어 보안 취약점은 보안 약점 중 침해 사고로 연결되는 위험

CVE를 소프트웨어 보안 취약점을 표준화한 '식별자 목록' CWE는 결함을 방지하는 자동화된 도구를 작성하는 '시스템'이라고 생각하는 사람도 있는데 아직까지 무슨 말인지 잘 모르겠다...ㅋㅋㅋ

** CWE가 생기게 된 배경

MITRE의 CVE 팀은 일반적인 소프트웨어 취약점(vulnerabilities) 을 정의하기 위해 2005 년부터 취약점, 공격, 결함 및 기타 개념을 사전 분류 및 범주로 분류했다. 그러나 코드 보안 평가 업계의 오퍼링에서 제공되는 기능을 식별하고 분류하는데는 너무 러프했다. 따라서 취약점 뿐만 아니라 보안약점(weakness) 와 같이 더 상세한 분류가 필요하게 된 것이다.

References

https://blog.naver.com/bycho211/221508854566

https://blog.naver.com/be_young999/222005215631

https://blog.naver.com/jsmb/221868521837

LIST

저작자표시

'✏️ 21-2 IPP > study & work' 카테고리의 다른 글

python 연습 - 3 (0)	2021.09.16
python 연습 - 1 (0)	2021.09.13
CVE ID, Date, Severity 한번에 크롤링 (0)	2021.09.08
CVE Date 가져오기 (0)	2021.09.08
STP(Spanning Tree Protocol) (0)	2021.09.08

hayeoniee's archive 🧸💡📜

CVE, CWE, CCE

CCE (Common Configuration Enumeration)

CVE (Common Vulnerabilities and Exposures)

CWE (Common Weakness Enumeration)

References

'✏️ 21-2 IPP > study & work' 카테고리의 다른 글

댓글

티스토리툴바

CVE, CWE, CCE

CCE (Common Configuration Enumeration)

CVE (Common Vulnerabilities and Exposures)

CWE (Common Weakness Enumeration)

References

'✏️ 21-2 IPP > study & work' 카테고리의 다른 글

관련글

댓글

티스토리툴바