Close

보안 이슈의 심각도 수준


심각도 수준

Atlassian 보안 권고에는 심각도 수준이 포함됩니다. 심각도 수준은 특정 취약점마다 자체 계산된 CVSS 점수를 기반으로 합니다. CVSS는 업계 표준 취약점 메트릭입니다. FIRST.org에서 CVSS에 대해 자세히 알아볼 수 있습니다.

  • 중요
  • 높음
  • 중간
  • 낮음

CVSS v3의 경우 Atlassian은 다음과 같은 심각도 등급 시스템을 사용합니다.

CVSS V3 점수 범위
권고의 심각도

0.1~3.9

낮음

4.0~6.9

중간

7.0~8.9

높음

9.0~10.0

중요

Atlassian은 경우에 따라 CVSS 점수와 관련이 없는 추가 요인을 활용하여 취약점의 심각도 수준을 결정할 수 있습니다. 이러한 접근 방식은 CVSS v3.1 사양으로 뒷받침됩니다.

프로 팁:

고객은 CVSS 정보를 조직의 취약점 관리 프로세스에 대한 입력 정보로 사용할 수 있습니다. 취약점 관리 프로세스는 CVSS에 포함되지 않는 요소도 고려하여 기술 인프라에 대한 위협의 순위를 매기고 합리적 수정 결정을 내릴 수 있도록 지원합니다. 해당 요소에는 제품 라인의 고객 수, 보안 침해로 인한 금전적 손실, 생명 또는 자산 위협 또는 널리 알려진 취약점에 대한 대중의 감정 등이 포함될 수 있습니다. 이러한 요소는 CVSS의 범위에 포함되지 않습니다.

Atlassian이 이러한 접근 방식을 따르는 경우 어떤 추가 요소를 고려하는지, 그리고 취약점을 공개적으로 공개하는 이유에 관해 설명합니다.

다음은 특정 심각도 수준을 초래할 수 있는 취약점의 예입니다. 이 등급은 설치 환경의 세부 사항을 고려하지 않으며 가이드용으로만 사용된다는 점을 명심하세요.

심각도 수준: 중요

중요 범위에 해당하는 취약점에는 일반적으로 대부분 다음과 같은 특징이 있습니다.

  • 취약점을 악용하면 서버 또는 인프라 장치의 루트 수준에 보안 침해를 일으킬 수 있습니다.
  • 공격자는 특별한 인증 자격 증명이나 개별 공격 대상자에 대한 지식이 필요하지 않으며 예를 들어 사회 공학 공격을 통해 대상 사용자가 특수 기능을 수행하도록 유도할 필요가 없기 때문에 악용이 일반적으로 간단합니다.

중요 취약점의 경우 다른 완화 조치가 마련되어 있지 않은 한 최대한 빨리 패치하거나 업그레이드하는 것이 좋습니다. 예를 들어 인터넷에서 설치에 액세스할 수 없으면 완화 요인이 될 수 있습니다.

심각도 수준: 높음

높음 범위에 해당하는 취약점에는 일반적으로 다음과 같은 특징이 있습니다.

  • 이러한 취약점은 악용하기 어렵습니다.
  • 악용으로 인해 권한 상승이 일어날 수 있습니다.
  • 악용하면 데이터가 크게 손실되거나 가동 중지 시간이 발생할 수 있습니다.

심각도 수준: 중간

중간 범위에 해당하는 취약점에는 일반적으로 다음과 같은 특징이 있습니다.

  • 공격자가 사회 공학 전술을 통해 개별 공격 대상자를 조작해야 합니다.
  • 서비스 거부 취약점은 설정하기가 어렵습니다.
  • 취악점을 악용하려면 공격자가 공격 대상자와 동일한 로컬 네트워크에 상주해야 합니다.
  • 취약점 악용은 액세스가 매우 제한됩니다.
  • 악용에 성공하려면 사용자 권한이 필요합니다.

심각도 수준: 낮음

낮음 범위에 해당하는 취약점은 일반적으로 조직의 비즈니스에 거의 영향을 미치지 않습니다. 이러한 취약점을 악용하려면 일반적으로 로컬 또는 물리적 시스템 액세스가 필요합니다. Atlassian 코드에서 연결할 수 없는 타사 코드의 취약점은 낮은 심각도로 다운그레이드할 수 있습니다.