기술 지원
문서
로그인
문의하기
취약점 스캔 보고서: 오탐 표시에 지치셨나요?
2020년 9월 2일 TuxCare 홍보팀
분석가들이 경험하는 무서운 오탐 피로감은 수많은 문제를 야기합니다. 분석가들은 보고서를 무시하기 시작하고, 오탐을 검토하는 데 시간과 비용이 소요되며, 사고 대응과 위협 헌팅에 영향을 미칩니다. 스캔 공급업체는 오탐을 더 잘 방지하기 위해 지속적으로 절차를 개선하고 있지만 여전히 IT 운영에 영향을 미치고 있습니다. 양성 보고서로 인해 분석가에게 엄청난 오버헤드가 발생하면 오탐의 영향은 심각할 수 있습니다. 더 큰 문제는 감사자에게 일부 항목이 표시된 이유를 설명하는 것이 까다로울 수 있다는 것입니다.
콘텐츠:
- 오탐이 조직에 미치는 영향
- Linux Kernel 스캔에서 오탐이 나타나는 이유는 무엇인가요?
- KernelCare Enterprise는 Linux Kernel CVE 스캔의 오탐 문제를 어떻게 해결하나요?
- 완벽한 엔터프라이즈 취약성 관리를 위해 KernelCare Enterprise에는 무엇이 포함되어 있나요?
오탐이 조직에 미치는 영향
패치 관리의 초기 단계는 서버와 디바이스에서 현재 설치된 운영 체제 및 소프트웨어 버전에 대한 정보를 스캔하는 것입니다. 스캐너에 스캔을 완료하는 데 필요한 정보를 반환하도록 배너에 지시하는 적절한 권한이 있는 것이 이상적이지만, 잘못 구성하면 불완전하거나 잘못 반환된 데이터가 발생할 수 있습니다.
스캐너는 공통 취약점 및 노출(CVE) 데이터베이스를 사용하여 결과를 서버의 보고된 버전과 비교합니다. 오래된 버전이 발견되면 해당 서버는 패치가 필요한 것으로 플래그가 지정되고 취약한 것으로 표시됩니다. 대규모 조직의 경우 이 자동화된 시스템은 기업의 사이버 보안 태세를 크게 개선하고 관리자의 오버헤드를 줄이며 기업이 규제 표준을 준수할 수 있도록 해줍니다.
스캐너가 운영 체제를 완전히 폴링할 수 없을 때 문제가 발생합니다. 스캐너가 정확한 정보를 반환하지 않거나 운영 체제 자체가 스캐너에 반환되지 않으면 스캐너는 서버를 잠재적으로 취약한 것으로 보고합니다. 이렇게 하면 오탐이 발생하고 관리자의 개입이 필요합니다. 수백 대의 서버가 오탐을 보고하는 기업의 경우, 이 문제는 취약성 스캐너가 오탐을 비효율적으로 처리할 때 분석가 위치에서 흔히 나타나는 현상인 경고 피로를 유발합니다.
최근 Ponemon 보고서에서 응답자의 58%는 보안 운영 센터(SOC)가 비효율적이라고 답했으며, 이 중 49%는 비효율성의 원인이 오탐이 너무 많기 때문이라고 답했습니다. 응답자의 42%는 오탐이 비효율성을 초래할 뿐만 아니라 오탐이 위협 추적 팀의 활동을 방해한다고 답했습니다. 응답자들이 가장 많이 추천한 개선 방안은 자동화 도구와 분석가 워크플로를 개선하는 것이었습니다.
Linux Kernel 스캔에서 오탐이 나타나는 이유는 무엇인가요?
오탐의 가장 일반적인 이유는 인증 또는 권한 부여 문제입니다. 취약성 스캐너에 모든 권한으로 네트워크에 대한 개방형 액세스 권한을 부여하는 것도 자체적인 문제가 있습니다. 인증되지 않은 검사도 옵션이지만, 이렇게 하면 누구나 자세한 서버 정보에 액세스할 수 있으므로 네트워크 공격 표면이 증가합니다. 인증되지 않은 스캔은 공격자에게 알려진 취약점이 있는 서버 소프트웨어를 익스플로잇할 수 있는 충분한 정보를 제공합니다.
스캐너는 배너 캡처를 수행하여 최신 소프트웨어 버전을 가져옵니다. 시스템 배너에는 소프트웨어 이름과 버전이 포함되어 있으며, 스캐너는 정확한 데이터를 보고하기 위해 이 정보에 액세스해야 합니다. 이 정보는 매우 중요하고 서버 취약성을 노출할 수 있으므로 인증 규칙으로 보호하는 경우가 많습니다. 하지만 스캐너에 액세스 권한이 없는 경우 배너가 모호하거나 잘못된 정보를 반환할 수 있습니다. 예를 들어, 배너가 스캐너에 "알 수 없는 Linux"를 반환하고 스캐너가 운영 체제가 완전히 패치되었는지 확인할 수 없기 때문에 오탐지를 트리거할 수 있습니다.
스캐너는 인증된 액세스가 필요하지만 인증으로 인해 문제가 발생할 수 있으므로 관리자는 어떻게 해야 할까요? 다음은 오탐을 방지하기 위한 몇 가지 모범 사례입니다:
- 인증되지 않은 스캔의 경우 소프트웨어 또는 Kernel 버전과 같은 중요한 정보를 제공하지 마세요.
- 인증된 스캔과 인증되지 않은 스캔에서 어떤 정보가 반환되는지 파악합니다. 초기 테스트를 사용하여 배너 정보를 검토합니다.
- 소프트웨어에 오탐을 표시하여 취약성 스캐너를 훈련시켜 향후에 오탐이 억제되도록 합니다.
- 최소 권한 표준을 사용하여 배너 정보를 반환하도록 스캐너를 구성하고 테스트하여 스캐너를 미세 조정합니다.
KernelCare Enterprise는 Linux Kernel CVE 스캔의 오탐 문제를 어떻게 해결하나요?
KernelCare는 자동화 및 스캔 소프트웨어와 함께 작동하여 위험한 재부팅 요구 사항 없이 Linux를 패치합니다. 재부팅 없는 Linux 패치는 무분별하게 재부팅할 수 없는 중요한 서버가 있는 대규모 엔터프라이즈 네트워크에 유용합니다. KernelCare는 소스 코드의 보안 문제를 수정하고, 보안 코드가 포함된 바이너리 블롭을 생성하고, 실행 중인 Kernel의 안전하지 않은 바이너리 코드를 보안 버전으로 교체하는 방식으로 패치를 수행합니다.
보안 취약점을 패치하는 동안 KernelCare는 Kernel 버전을 변경하지 않습니다. 결과적으로 현재 실행 중인 Kernel은 보안 관점에서 메모리에서 완전히 패치되지만 /proc/ 버전에는 취약한 버전의 Kernel이 계속 표시됩니다.
Qualys 및 기타 취약점 스캐너는 Kernel을 익스플로잇하여 취약점의 실제 존재 여부를 확인하지 않습니다. 대신 /proc/version 파일에서 서버 정보를 수집하여 실행 중인 Kernel 버전을 탐지합니다. Kernel 버전을 탐지한 후 취약점 스캐너는 보고된 Kernel 버전에 대해 자체 취약점 데이터베이스를 확인합니다. 그 결과, 퀄리스는 KernelCare 패치가 적용된 후에도 취약한 Kernel 버전을 확인하고 런타임에 메모리에서 수정되었더라도 해당 버전에 여전히 보안 취약점이 있는 것으로 간주합니다.
이 문제를 해결하기 위해 KernelCare는 Kernel의 패치된 버전을 보여주는 명령줄 유틸리티인 kcarectl -uname을 공급업체에 제공하여 보고된 패치된 버전까지 Kernel의 보안 수준을 나타냅니다. 또한 KernelCare는 현재 실행 중인 Kernel에서 KernelCare에 의해 패치된 CVE를 표시하는 kcarectl -patch-info를 실행하여(그리고 API를 통해) 보고서를 제공합니다.
완벽한 엔터프라이즈 취약성 관리를 위해 KernelCare Enterprise에는 무엇이 포함되어 있나요?
KernelCare Enterprise는 1000대 이상의 서버를 보유한 대규모 조직을 위해 만들어졌습니다. 자동화 도구가 없다면 이러한 조직은 수동 패치 및 스캔과 관련된 비용이 많이 드는 오버헤드로 인해 어려움을 겪을 것입니다. 패치 업데이트를 위해 서버를 모니터링하고, 테스트하고, 실제 패치를 수행하는 작업은 여러 팀으로 구성된 직원이 풀타임으로 수행해야 합니다.
더 빠르고 효율적인 패치를 위해 KernelCare Enterprise는 스캐너 및 자동화 도구와 직접 통합하고 패치 서버를 더 잘 제어하며 24시간 연중무휴로 더 나은 지원을 제공합니다.
KernelCare Enterprise(KCE)가 제공합니다:
- 통합: KCE는 Ansible, Chef, Puppet 등 널리 사용되는 모든 자동화 도구에 바로 사용할 수 있습니다. 또한 Nessus, Qualys, Rapid7과 같은 취약성 스캐너 및 DataDog와 같은 클라우드 모니터링 도구와도 통합됩니다.
- 고급 지원: 실시간 채팅 옵션을 포함하여 기업 고객에게 365일 24시간 우선 지원을 제공합니다.
- 더 많은 제어: KernelCare Enterprise에는 방화벽 뒤에서 실행되는 구성 가능한 패치 서버인 보안 ePortal 서버가 포함되어 있습니다. 필요할 때마다 ePortal 서버를 제어하고 관리 및 감사할 수 있습니다.
결론
알림 피로와 분석가의 소진은 직원 이직률, 관리자의 심각한 오버헤드, 비용 비효율성을 초래하는 실제 문제입니다. KernelCare Enterprise는 과도한 오탐을 줄이고 재부팅 없이 패치를 수행하여 중요한 서버에 최신 CVE 패치를 유지할 수 있도록 지원합니다.
KernelCare Enterprise 오퍼링에 대해 자세히 알아보세요.
