보안 및 개인정보 처리방침
3 분 읽기 분량
규정 준수 관리 도구로 커뮤니케이션 환경을 관리하는 세 가지 방법
Zoom 규정 준수 관리자와 같은 규정 준수 관리 도구는 까다로운 커뮤니케이션 환경을 관리하는 데 유용합니다. Zoom 규정 준수 관리자가 작동하는 방식을 알아보세요.
VISS 공개: 취약성 영향 점수에 대한 혁신적인 접근 방식
5 분 읽기 분량
업데이트 날짜 December 14, 2023
게시 날짜 December 14, 2023
이 블로그에서는
- 01 VISS 이해: 방어자의 관점 - Jumplink to VISS 이해: 방어자의 관점
- 02 VISS가 중요한 이유 - Jumplink to VISS가 중요한 이유
- 03 VISS의 구조 - Jumplink to VISS의 구조
- 04 VISS 사용 사례: HackerOne의 사례 연구 - Jumplink to VISS 사용 사례: HackerOne의 사례 연구
- 05 심각도가 더 높은 취약성을 타기팅 - Jumplink to 심각도가 더 높은 취약성을 타기팅
- 06 전 세계 보안 팀의 역량 강화 - Jumplink to 전 세계 보안 팀의 역량 강화
이 게시물 공유하기
Roy Davis
보안 관리자
Zoom에서 취약성 평가 및 인시던트 대응 환경을 재편하기 위해 혁신적인 오픈 소스 프로젝트인 VISS(Vulnerability Impact Scoring System)를 정식 도입했다는 기쁜 소식을 전해 드립니다. 지난 1년 동안 개발된 이 프로젝트는 취약성 점수를 더 획기적인 방법으로 분석하여 보안 조치를 강화하고 더 안전한 디지털 환경을 조성하는 것을 목표로 합니다. VISS는 이론적으로 보안에 영향을 미칠 수 있는 가능성보다 실제로 입증된 영향을 우선하는 사용자 친화적인 웹 기반 UI와 고급 알고리즘을 제공합니다.
CVSS(Common Vulnerability Scoring System)와 같은 기존 취약성 점수 시스템은 공격자 관점을 바탕으로 한 최악의 시나리오에 중점을 두는 반면, VISS는 다른 관점을 취합니다. VISS는 인시던트 대응 능력을 강화해 주는 고유한 평가 시스템을 통해 CVSS를 보완합니다. VISS는 방어자의 관점에서 취약성 영향을 객관적으로 측정하므로, 이론적인 위협이 아닌 확실하게 입증된 악용을 기준으로 평가할 수 있습니다.
2023년 3월부터 Zoom은 이 혁신적인 취약성 점수 시스템을 사용하여 버그 바운티 프로그램 내 보상금 지급을 평가했습니다. 이 프로그램은 보안 연구자와 제품 사용자가 법적 보복에 대한 걱정 없이 Zoom의 보안 취약성을 찾아내서 공개할 수 있는 안전한 장을 마련해 줍니다. 취약성을 찾은 사람에게 포상금이라고도 불리는 사례금을 지급하기도 하는 이 이니셔티브를 도입한 이후부터 제출된 보고서가 눈에 띄게 달라졌으며, 이전보다 큰 발전을 이룩했습니다.
취약성의 영향력이 커지고 있으며 다단계 악용이 점점 더 교묘해지는 추세가 뚜렷하게 나타나는 것을 통해 연구원들이 잠재적인 취약성의 미묘한 차이를 더 깊이 파헤치기 위해 얼마나 더 많은 시간을 쏟고 있는지 알 수 있습니다.
VISS를 사용한다면 실질적인 영향을 미칠 가능성이 적은 취약성에 소중하고 한정된 리소스를 투자하는 대신, 환경을 선제적으로 보호하고 조직에 영향을 미칠 가능성이 가장 높은 취약성이 무엇인지 우선순위를 지정할 수 있습니다. 지난 한 해 동안 많은 기업이 인력을 감축한 상황에서 이러한 우선순위는 시간과 노력을 어디에 쏟아야 가치를 극대화할 수 있는지 파악하는 데 매우 중요합니다.
VISS는 플랫폼, 인프라, 데이터 그룹으로 분류되는 13가지 영향 측면을 기준으로 취약성을 분석합니다. 0에서 100까지의 결과 점수를 통해 특정 환경 내 미치는 영향의 심각도를 알 수 있습니다. 보완 컨트롤 메트릭을 사용하여 VISS 점수를 조정할 수 있으며, 환경 소유자는 강력한 관리 포털을 통해 개별 위험 프로필과 허용 범위에 따라 유연하게 점수를 조정할 수 있습니다.
자세한 내용을 살펴보고 Zoom의 VISS 계산기의 구현 방식을 알아보려면 VISS의 전체 사양을 확인하세요.
Zoom은 2023년 런던에서 열린 HackerOne H1-4420 라이브 해킹 이벤트를 후원했으며, 이 이벤트 동안 해커가 제출한 취약성 보고서는 CVSS와 VISS를 모두 사용하는 고급 버그 평가 프로세스를 거쳤습니다. VISS의 효과를 입증한 이 방법을 통해 리소스 할당을 개선하고 '위험' 및 '높음' 심각도의 취약성을 해결하는 데 집중할 수 있었습니다.
VISS로 전환한 후 제출된 취약성 보고서의 심각도는 '낮음'~'중간'에서 '높음'~'위험'으로 바뀌었습니다. 연구원들은 이론적인 수준을 넘어 실제 영향을 입증하는 방향으로 악용을 발견하기 위해 더 많은 시간과 에너지를 투자하고 있습니다. 2023년 3월부터 2023년 12월 1일 사이에 Zoom은 '위험' 심각도 보고서가 28%, '높음' 심각도 보고서가 12% 많아진 것을 발견했습니다. 특히 VISS를 시행하기 8개월 전인 2023년 3월에 비해 '중간' 심각도 제출 보고서가 57%나 감소했습니다.
VISS의 임무는 Zoom을 넘어 전 세계의 인시던트 대응 및 보안 팀의 역량을 강화하는 것입니다. VISS는 업계에 취약성이 미치는 영향에 대한 종합적이고 객관적인 측정 방식을 제공함으로써 모두에게 안전한 인터넷을 계속 영위해 나갈 수 있도록 돕습니다.
VISS를 살펴보고, VISS 개발에 기여하고, VISS를 혁신하는 데 동참해 주세요. 더 안전한 디지털 미래를 함께 만들어 가고 싶습니다. https://github.com/zoom/viss에서 오픈 소스 리포지토리를 확인하세요.
소스 코드에는 GPL 3.0 라이선스가 적용됩니다.
귀하께서 좋아하실 항목입니다.
3 분 읽기 분량
보안 및 개인정보 처리방침
3 분 읽기 분량
한 해 돌아보기: 2023년 버그 바운티 프로그램이 Zoom 보안에 미치는 영향
Zoom의 버그 바운티 프로그램은 보안 취약성을 찾아서 책임감 있게 공개하도록 장려하는 프로그램입니다. 지난 한 해의 하이라이트를 돌아보겠습니다.
보안 및 개인정보 처리방침
2 분 읽기 분량
ISMAP 등록으로 핵심 제품에 대한 새로운 글로벌 보안 표준을 달성한 Zoom
Zoom이 이제 ISMAP(Information system Security Management and Assessment Program)에 공식적으로 등록되었습니다. 이것이 고객에게 어떤 의미가 있는지 알아보세요.
