공개 취약점 정보를 활용한 소프트웨어 취약점 위험도 스코어링 시스템

Vol. 28, No. 6, pp. 1449-1461, 11월. 2018
10.13089/JKIISC.2018.28.6.1449, Full Text:
Keywords: scoring system, risk based prioritization, CVE, CWE, CVSS
Abstract

소프트웨어 취약점의 수가 해마다 증가함에 따라 소프트웨어에 대한 공격 역시 많이 발생하고 있다. 이에 따라 보안 관리자는 소프트웨어에 대한 취약점을 파악하고 패치 해야 한다. 그러나 모든 취약점에 대한 패치는 현실적으로어렵기 때문에 패치의 우선순위를 정하는 것이 중요하다. 본 논문에서는 NIST(National Institute ofStandards and Technology)에서 제공하는 취약점 자체 정보와 더불어, 공격 패턴이나 취약점을 유발하는 약점에 대한 영향을 추가적으로 고려하여 취약점의 위험도 평가 척도를 확장한 스코어링 시스템을 제안하였다. 제안하는스코어링 시스템은 CWSS의 평가 척도를 기반으로 확장했으며, 어느 기업에서나 용이하게 사용할 수 있도록 공개된 취약점 정보만을 활용하였다. 이 논문에서 실험을 통해 제안한 자동화된 시스템을 소프트웨어 취약점에 적용함으로써, 공격 패턴과 약점에 의한 영향을 고려한 확장 평가 척도가 유의미한 값을 보이는 것을 확인하였다.

Statistics
Show / Hide Statistics

Statistics (Cumulative Counts from December 1st, 2017)
Multiple requests among the same browser session are counted as one view.
If you mouse over a chart, the values of data points will be shown.


Cite this article
[IEEE Style]
김민철, 오세준, 강현재, 김진수, 김휘강, "Risk Scoring System for Software Vulnerability Using Public Vulnerability Information," Journal of The Korea Institute of Information Security and Cryptology, vol. 28, no. 6, pp. 1449-1461, 2018. DOI: 10.13089/JKIISC.2018.28.6.1449.

[ACM Style]
김민철, 오세준, 강현재, 김진수, and 김휘강. 2018. Risk Scoring System for Software Vulnerability Using Public Vulnerability Information. Journal of The Korea Institute of Information Security and Cryptology, 28, 6, (2018), 1449-1461. DOI: 10.13089/JKIISC.2018.28.6.1449.