보안 문제의 심각도 수준
취약성의 출처
- Nexpose 및 Snyk에서 제출한 보안 스캐너 티켓
- 보안 연구원이 Bugcrowd를 통해 발견한 버그 바운티 연구 결과
- 보안 팀이 검토를 통해 보고한 보안 취약성
- Atlassian팀이 보고한 보안 취약성
심각도 프레임워크 및 등급
Atlassian은 보안 위험을 평가하고 발견된 취약성마다 우선 순위를 지정하기 위해 일반 취약성 점수 시스템(CVSS)을 사용합니다. CVSS는 업계 표준 취약성 메트릭입니다. FIRST.org에서 CVSS에 대해 자세히 알아볼 수 있습니다.
심각도 수준
Atlassian 보안 권고에는 심각도 수준이 포함됩니다. 심각도 수준은 각각의 특정 취약성에 대해 자체 계산한 CVSS 점수를 기반으로 합니다.
- 중요
- 높음
- 중간
- 낮음
CVSS v3의 경우 Atlassian은 다음과 같은 심각도 등급 시스템을 사용합니다.
CVSS V3 점수 범위 | 권고의 심각도 |
---|---|
9.0~10.0 | 중요 |
7.0~8.9 | 높음 |
4.0~6.9 | 중간 |
0.1~3.9 | 낮음 |
Atlassian은 경우에 따라 CVSS 점수와 관련이 없는 추가 요인을 활용하여 취약성의 심각도 수준을 결정할 수 있습니다. 이러한 접근 방식은 CVSS v3.1 사양을 기반으로 합니다.
고객은 CVSS 정보를 조직의 취약성 관리 프로세스에 대한 입력 정보로 사용할 수 있습니다. 취약성 관리 프로세스는 CVSS에 포함되지 않는 요소도 고려하여 기술 인프라에 대한 위협의 순위를 매기고 합리적 수정 결정을 내릴 수 있도록 지원합니다. 해당 요소에는 제품 라인의 고객 수, 보안 침해로 인한 금전적 손실, 생명 또는 자산 위협 또는 널리 알려진 취약성에 대한 대중의 감정 등이 포함될 수 있습니다. 이러한 요소는 CVSS의 범위에 포함되지 않습니다.
Atlassian이 이러한 접근 방식을 따르는 경우 취약성을 공개적으로 공개할 때 어떤 추가 요소를 고려했으면 고려한 이유를 설명할 것입니다.
다음은 특정 심각도 수준을 초래할 수 있는 취약성의 예입니다. 이 등급은 설치 환경의 세부 사항을 고려하지 않으며 가이드용으로만 사용된다는 점을 주의하세요.
심각도 수준: 중요
중요 범위에 해당하는 취약성에는 일반적으로 대부분 다음과 같은 특징이 있습니다.
- 취약성을 악용하면 서버 또는 인프라 장치의 루트 수준에 보안 침해를 일으킬 수 있습니다.
- 공격자는 특별한 인증 자격 증명이나 개별 공격 대상자에 대한 지식이 필요하지 않으며 예를 들어 사회 공학 공격을 통해 대상 사용자가 특정 기능을 수행하도록 유도할 필요가 없기 때문에 악용이 일반적으로 간단합니다.
중요 취약성의 경우 다른 완화 조치가 마련되어 있지 않은 한 최대한 빨리 패치하거나 업그레이드하는 것이 좋습니다. 예를 들어 인터넷에서 설치에 액세스할 수 없으면 완화 요인이 될 수 있습니다.
심각도 수준: 높음
높음 범위에 해당하는 취약성에는 일반적으로 다음과 같은 특징이 있습니다.
- 이러한 취약성은 악용하기 어렵습니다.
- 악용으로 인해 권한 상승이 일어날 수 있습니다.
- 악용하면 데이터가 크게 손실되거나 가동 중지 시간이 발생할 수 있습니다.
심각도 수준: 중간
중간 범위에 해당하는 취약성에는 일반적으로 다음과 같은 특징이 있습니다.
- 공격자가 사회 공학 전술을 통해 개별 공격 대상자를 조작해야 하는 취약성입니다.
- 서비스 거부 취약성은 설정하기가 어렵습니다.
- 공격자가 공격 대상자와 동일한 로컬 네트워크에 존재해야 하는 취약성입니다.
- 악용으로 얻을 수 있는 액세스가 매우 제한되는 취약성입니다.
- 악용에 성공하려면 사용자 권한이 필요한 취약성입니다.
심각도 수준: 낮음
낮음 범위에 해당하는 취약성은 일반적으로 조직의 비즈니스에 거의 영향을 미치지 않습니다. 이러한 취약성을 악용하려면 일반적으로 로컬 또는 물리적 시스템 액세스가 필요합니다. Atlassian 코드에서 연결할 수 없는 타사 코드의 취약성은 낮은 심각도로 다운그레이드할 수 있습니다.
수정 타임라인
Atlassian은 보안 심각도 수준 및 영향을 받는 제품에 따라 보안 취약성을 해결하기 위해 서비스 수준 목표를 설정합니다. Atlassian은 보안 버그 수정 정책에 따라 보안 이슈를 해결하기 위한 기간을 정의했습니다.
단축된 해결 타임프레임이 적용되는 대상은 다음과 같습니다.
- 모든 클라우드 기반 Atlassian 제품
- Jira Align(클라우드 및 자체 관리 버전 모두)
- Atlassian이 관리하거나 Atlassian 인프라에서 실행 중인 기타 모든 소프트웨어 또는 시스템
연장된 해결 타임프레임이 적용되는 대상은 다음과 같습니다.
- 모든 자체 관리 Atlassian 제품
- 고객이 관리하는 시스템에 고객이 설치하는 제품입니다
- Atlassian의 Data Center, 데스크톱 및 모바일 애플리케이션이 포함됩니다
CVSS 해결 기간
심각도 수준 | 단축된 해결 기간 | 연장된 해결 기간 |
---|---|---|
중요 | 확인 후 10일 이내 | 확인 후 90일 이내 |
높음 | 확인 후 4주 이내 | 확인 후 90일 이내 |
중간 | 확인 후 12주 이내 | 확인 후 90일 이내 |
낮음 | 확인 후 25주 이내 | 확인 후 180일 이내 |