우선순위 점수 대 위험 점수

Snyk 리스크 점수와 우선순위 점수는 보안 관리의 핵심입니다. 두 가지 점수 유형 모두 조직이 현재의 위협을 처리하고 미래의 취약점에 대비하여 더 강력한 보안 프레임워크를 구축하도록 돕습니다.

우선순위 및 리스크 점수는 이슈의 순위와 수정의 긴급성을 나타냅니다. 두 점수 모두 1에서 1000 사이의 숫자를 제공하며, 1은 낮은 심각도, 1000은 높은 심각도를 의미합니다. Snyk은 이러한 숫자를 사용하여 취약점 해결의 긴급성을 표시합니다.

리스크 점수와 우선순위 점수는 취약점 관리에 필수적입니다. 리스크 점수는 취약점의 장기적인 영향을 예측합니다. 우선순위 점수는 즉시성 및 익스플로잇 가능성에 기반하여 취약점을 평가하며, 보안을 즉시 저해할 수 있는 잠재적 위협에 대한 대응 우선순위를 정합니다. 반면 리스크 점수는 장기적인 피해를 방지하기 위해 전략적인 리소스 할당을 안내합니다.

점수를 비교하려면 동일한 유형의 점수이고 동일한 제품에 대한 것인지 확인하십시오. 예를 들어, Snyk 오픈소스의 리스크 점수를 다른 Snyk 오픈소스의 리스크 점수와 비교할 수 있지만, Snyk 오픈소스의 리스크 점수를 Snyk 컨테이너의 리스크 점수와 비교할 수는 없습니다.

기본적으로 우선순위 점수는 Snyk 컨테이너, Snyk Code, Snyk IaC 및 Snyk 오픈소스 이슈에 대해 활성화되어 있습니다. 사용자가 Snyk Preview에서 리스크 점수를 활성화하면 점수는 다음과 같이 적용됩니다.

• 리스크 점수는 Snyk 컨테이너 및 Snyk 오픈소스 이슈에 적용됩니다.

• 우선순위 점수는 Snyk Code 및 Snyk IaC 이슈에 적용됩니다.

우선순위 점수 및 리스크 점수 비교

다음 표를 사용하여 귀하의 시나리오에 어떤 유형의 점수가 가장 적합한지 결정할 수 있습니다.

우선순위 점수를 사용하는 시기 및 이유

우선순위 점수 도구는 익스플로잇 가능성, 완화 용이성 및 익스플로잇 잠재력에 기반하여 가장 시급한 이슈의 우선순위를 정함으로써 취약점을 관리하는 데 도움을 줍니다. 치명적인 취약점을 먼저 해결하고 싶을 때, 그리고 Snyk Code 이슈의 우선순위를 정하고 싶을 때(리스크 점수는 Snyk Code에서 사용할 수 없으므로) 사용하십시오.

• 시간에 민감한 프로젝트 - 마감 기한이 촉박한 프로젝트를 작업할 때는 보안 문제를 즉시 해결하는 것이 중요합니다.

• 초기 분류 (Initial Triage) - 우선순위 점수는 여러 취약점으로부터 발생하는 즉각적인 위협을 신속하게 식별하고 완화합니다.

• 리소스 할당 - 팀은 긴급한 리스크를 신속하게 처리하기 위해 보안 리소스를 할당할 수 있습니다.

우선순위 점수는 팀이 긴급한 프로젝트 취약점의 우선순위를 정하고 해결하여 공격 리스크를 줄이는 데 도움을 줍니다.

우선순위 점수에서 사용하는 평가 모델은 두 가지 요인에 집중합니다.

• 영향 (Impact) - Snyk은 여러 취약점을 해결할 수 있는 수정의 가능성을 분석합니다. 우선순위 점수는 수정에 의해 해결되는 취약점 수에 따라 기하급수적으로 증가합니다.

• 실행 가능성 (Actionability) - Snyk은 취약점을 얼마나 쉽게 해결할 수 있는지 분석합니다.

리스크 점수를 사용하는 시기 및 이유

리스크 점수는 잠재적 영향과 가능성에 기반하여 보안 위협을 평가하므로 더 미묘한 취약점 관리가 가능합니다.

• 포괄적인 리스크 평가 - 취약점을 평가할 때 리스크 점수를 사용하여 익스플로잇 가능성과 잠재적 피해를 모두 평가하십시오.

• 장기 보안 계획 - 잠재적 리스크를 식별하고 우선순위를 정하여 향후 보안 인프라 개선 계획을 수립하는 데 도움을 줍니다.

• 이해관계자 소통 - 리스크 점수는 비기술적 이해관계자에게 보안 리스크를 소통하여 보안 투자에 대한 정보에 입각한 결정을 내리도록 돕는 메트릭입니다.

리스크 점수는 즉각적인 위협 완화와 장기적인 보안 태세 사이의 균형을 맞추는 데 도움을 주어 취약점 관리에 대한 포괄적인 접근 방식을 제공합니다.

리스크 점수에서 사용하는 평가 모델은 두 가지 요인에 집중합니다.

• 영향 (Impact) - 여러 취약점을 해결할 수 있는 수정의 가능성.

• 가능성 (Likelihood) - 사용자 코드에서 취약점이 악용될 확률.

사용 사례 (Use cases)

다음 사용 사례를 통해 특정 유형의 점수를 언제 어떻게 사용해야 하는지 더 잘 이해해 보십시오. 이러한 시나리오는 조직의 보안 전략을 정제하는 데 있어 두 점수의 필수적인 유용성을 보여줍니다.

이 예시들은 우선순위 점수와 리스크 점수 모두에 대해 동일한 필터 세트를 사용합니다.

우선순위 점수 사용 사례

귀하의 조직에서 널리 사용되는 웹 애플리케이션 플랫폼을 사용하고 있는데, 최근 여러 보안 취약점이 있는 것으로 확인된 시나리오를 가정해 보십시오. 리소스가 제한되어 있어 모든 이슈를 즉시 해결하지 못할 수도 있습니다. 이때 우선순위 지정 점수가 중요합니다. 귀하의 팀은 조직 보안에 가장 중대한 위협을 완화하기 위해 치명적인 취약점을 먼저 패치합니다.

Snyk 오픈소스 및 Snyk 컨테이너 외에도 Snyk Code의 소스 코드를 스캔하려는 경우 우선순위 점수 사용에 집중할 수 있습니다. 우선순위 점수는 취약점 해결의 영향과 수단에 집중합니다.

소스 코드를 스캔하고 발견된 취약점 목록에 다음 필터를 적용하십시오.

• 이슈 유형: 취약점

• 심각도: 치명적(Critical)

• 수정 버전 제공 여부: 예

• 계산된 수정 가능성: 수정 가능(Fixable)

• 익스플로잇 성숙도: 성숙함(Mature)

리스크 점수 사용 사례

기존 애플리케이션에 새로운 타사 라이브러리를 통합하려는데, 스캔 후 해당 라이브러리에 여러 취약점이 있음을 발견했다고 가정해 보십시오. 리스크 점수를 사용하여 취약점을 필터링하고 어떤 취약점이 가장 큰 위협이 되는지 결정하십시오.

리스크 점수는 먼저 Snyk Preview 화면에서 활성화되어야 하며 Snyk 오픈소스 및 Snyk 컨테이너에만 적용될 수 있음을 기억하십시오.

소스 코드를 스캔하고 발견된 취약점 목록에 다음 필터를 적용하여 해결 노력의 우선순위를 정하십시오.

• 이슈 유형: 취약점

• 심각도: 치명적(Critical)

• 수정 제공 여부: 예

• 계산된 수정 가능성: 수정 가능(Fixable)

• 익스플로잇 성숙도: 성숙함(Mature)

필터를 적용한 후, 타사 라이브러리를 애플리케이션에 안전하게 통합하기 전에 수정해야 할 가장 치명적인 취약점 목록을 얻게 됩니다. 이러한 치명적인 이슈를 수정함으로써 잠재적인 보안 침해를 방지하고 애플리케이션의 무결성을 보호할 수 있습니다.

높은 심각도와 성숙한 익스플로잇을 고려할 때, 이 이슈에 대한 리스크 점수는 높아질 것이며 이는 즉각적인 조치가 필요함을 나타냅니다. 이 시나리오에서 조직은 높은 익스플로잇 리스크로 인해 이 취약점을 즉시 패치하는 것을 우선순위로 삼아야 합니다.

이 예시는 리스크 점수가 의사 결정자가 보안 노력을 효과적으로 우선순위화하도록 안내하여 가장 치명적인 취약점이 신속하게 해결되도록 보장하는 방법을 보여줍니다.