우선순위 점수 vs 리스크 점수

Snyk 리스크 점수와 우선순위 점수는 보안 관리의 핵심입니다. 두 유형의 점수는 조직이 현재 위협을 다루고 미래 취약성에 대비하여 더 견고한 보안 프레임워크를 갖출 수 있도록 지원합니다.

우선순위 점수와 리스크 점수는 문제와 이를 해결할 긴급성을 순위를 매깁니다. 이 두 점수는 1부터 1000까지의 숫자를 제공하며, 1은 낮은 심각성을 의미하고 1000은 높은 심각성을 나타냅니다. Snyk은 이러한 숫자를 사용하여 취약성을 해결해야 하는 긴급성을 나타냅니다.

리스크 점수는 취약성의 잠재적 영향을 평가하여 심각한 결과를 초점으로 취하는 것입니다.

우선순위 점수는 문제를 신속하게 식별하고 긴급성에 따라 순위를 매겨 중요한 보안 취약성을 해결하는 데 도움을 줍니다.

리스크 점수와 우선순위 점수는 취약성 관리에 중요한 역할을 합니다. 리스크 점수는 취약성의 장기적인 영향을 예측합니다. 우선순위 점수는 즉시 해결이 필요하며 악용 가능성에 기초하여 취약성을 평가하며 즉시 보안을 저해할 수 있는 잠재적 위협에 우선순위를 둡니다. 반면, 리스크 점수는 장기적 손해를 미연에 방지하기 위해 전략적인 자원 할당을 가이드합니다.

점수를 비교하려면 동일 유형의 점수를 동일 제품에 대해 검토하는지 확인해야 합니다. 예를 들어, Snyk Open Source에서의 리스크 점수와 또 다른 Snyk Open Source에서의 리스크 점수를 비교할 수 있지만, Snyk Open Source의 리스크 점수와 Snyk Container의 리스크 점수를 비교할 수는 없습니다.

기본적으로, 우선순위 점수는 Snyk Container, Snyk Code, Snyk IaC, 및 Snyk Open Source 문제에 대해 활성화되어 있습니다. 사용자가 에서 리스크 점수를 활성화하면 다음과 같이 점수가 적용됩니다:

  • 리스크 점수는 Snyk Container 및 Snyk Open Source 문제에 적용됩니다.

  • 우선순위 점수는 Snyk Code 및 Snyk IaC 문제에 적용됩니다.

우선순위 점수와 리스크 점수 비교

다음 표를 사용하여 여러 상황에 가장 적합한 점수 유형을 결정할 수 있습니다.

우선 점수
리스크 점수

가용성

일반 가용성

초기 액세스

적용성

취약점 문제, 라이선스 문제

취약점 문제

Snyk 커버리지

Snyk Open Source, Snyk Code, Snyk Container

Snyk Open Source, Snyk Container

커버리지

Snyk 웹 UI의 프로젝트 보기, Snyk 웹 UI의 보고서 보기, Snyk API

Snyk 웹 UI의 프로젝트 보기, Snyk 웹 UI의 보고서 보기, Snyk API

통합

Kubernetes

NA

평가 모델

영향, 조치 가능성

영향, 가능성

우선순위 점수를 사용해야 하는 시기 및 이유

우선순위 점수 도구는 취약성을 관리하고 악용 가능성, 완화의 용이성 및 악용 가능성에 기반하여 가장 긴급한 문제에 우선순위를 지정합니다. 중요한 취약성을 먼저 해결하고 싶다면 우선 순위에 따라 분석한 Snyk Code 문제에 우선순위 점수를 사용할 수 있습니다.

  • 시급한 프로젝트 - 시간이 촉박한 프로젝트를 처리할 때 보안 문제를 즉시 해결하는 것이 중요합니다.

  • 초기 진단 - 우선순위 점수는 중요한 취약점을 쉽게 식별하고 다수의 취약성에서 즉시 발생하는 위험을 줄이는 데 도움을 줍니다.

  • 자원 할당 - 팀은 긴급한 위험을 즉시 해결하기 위해 선제적으로 보안 자원을 할당할 수 있습니다.

우선순위 점수는 팀이 프로젝트의 긴급한 취약성을 신속하게 우선 순위를 지정하고 해결하여 공격 위험을 줄입니다.

우선순위 점수에서 사용된 평가 모델은 다음 두 가지 요소에 중점을 둡니다:

  • 영향 - Snyk은 다수의 취약성을 해결하기 위한 수정의 가능성을 분석합니다. 수정으로 해결한 취약점이 많을수록 우선순위 점수가 기하급수적으로 증가합니다.

  • 조치 가능성 - Snyk은 취약성을 해결하는 방법이 얼마나 쉬운지를 분석합니다.

리스크 점수를 사용해야 하는 시기 및 이유

리스크 점수는 잠재적인 영향과 가능성에 기초하여 보안 위협을 평가하므로 미묘한 취약성 관리를 제공합니다.

  • 포괄적인 위험 평가 - 취약성 평가 시 악용 가능성과 잠재적 피해를 모두 평가하기 위해 리스크 점수를 사용합니다.

  • 장기적 보안 계획 - 잠재적 위험을 식별하고 우선 순위를 정하여 미래 보안 인프라 개선에 도움을 줍니다.

  • 이해관계자 커뮤니케이션 - 리스크 점수는 비기술적 이해 관계자에게 보안 위험을 전달하는 지표로 작용하여 보안 투자에 대한 판단을 내릴 수 있게 도와줍니다.

리스크 점수는 즉각적인 위협 완화와 장기적인 보안 자세의 균형을 맞추어 취약성을 관리하는 포괄적인 방법을 제공합니다.

리스크 점수에서 사용된 평가 모델은 다음 두 가지 요소에 중점을 둡니다:

  • 영향 - 다수의 취약성을 해결하기 위한 수정의 가능성.

  • 가능성 - 사용자의 코드에서 취약점이 악용될 확률.

사용 사례

조직의 보안 전략을 개선하는 데 두 점수의 중요성을 보여주는 다음 사용 사례를 통해 특정 유형의 점수를 언제와 어떻게 사용해야 하는지에 대해 더 잘 이해할 수 있습니다.

이러한 예시는 우선순위 점수와 리스크 점수 모두에 대해 동일한 필터 세트를 사용합니다.

우선순위 점수 사용 사례

조직이 최근 여러 보안 취약성이 발견된 널리 사용되는 웹 응용 프로그램 플랫폼을 사용하는 상황을 상상해보십시오. 제한된 자원으로 인해 모든 문제를 즉시 처리할 수 없는 경우가 있습니다. 우선순위 점수가 중요합니다. 팀은 조직의 보안에 가장 중요한 위협을 완화하기 위해 먼저 중요한 취약성을 패치합니다. Snyk Code 이외에도 Snyk Open Source 및 Snyk Container의 소스 코드를 스캔하고 싶다면 우선순위 점수에 초점을 맞추십시오. 우선순위 점수는 취약성을 해결하는 영향과 수단에 중점을 둡니다.

소스 코드를 스캔하고 다음 필터를 적용하여 찾은 취약점 목록을 살펴보세요:

  • 문제 유형: 취약성

  • 심각성: 중요

  • 해결 가능: 가능

  • 악용 능력: 성숙함

우선 점수 자세한 카드
우선순위 점수 자세한 카드

리스크 점수 사용 사례

기존 응용 프로그램에 새로운 써드 파티 라이브러리를 통합하고 스캔 후, 라이브러리에 여러 취약성이 있다는 것을 발견했다고 가정해보겠습니다. 위협의 크기를 결정하는 데 리스크 점수를 사용하여 취약성을 필터링합니다. 리스크 점수는 먼저 에서 활성화해야 하며, Snyk Open Source 및 Snyk Container에만 적용할 수 있습니다.

소스 코드를 스캔하고 다음 필터를 적용하여 해결 작업에 우선순위를 둘 취약점 목록을 확인하세요:

  • 문제 유형: 취약성

  • 심각성: 중요

  • 해결 가능성: 가능

  • 악용 능력: 성숙함

필터를 적용한 후에는 응용 프로그램에 써드 파티 라이브러리를 안전하게 통합하기 전에 수정이 필요한 가장 중요한 취약점 목록이 나옵니다. 이러한 중요한 문제를 해결함으로써 잠재적인 보안 위협을 방지하고 응용 프로그램의 무결성을 보호할 수 있습니다. 높은 심각성 및 성숙한 악용 가능성 때문에 이 문제의 리스크 점수가 높아져 즉각 조치가 필요함을 나타냅니다. 이 시나리오에서 조직은 이 취약성을 즉시 패치하도록 우선시해야 합니다.

이 예시는 리스크 점수가 결정 만드는 자들에게 보안 노력을 효과적으로 우선시하는 데 어떻게 안내하는지 보여줍니다.

우선 점수 자세한 카드
우선 점수 자세한 카드
Previous수정할 문제 우선 순위 지정Next우선순위 점수

Last updated