보안 이슈의 심각도 수준

취약성의 출처

• Nexpose, Cloud Conformity, Snyk에서 제출한 보안 스캐너 티켓과 같은 티켓
• 보안 연구원이 Bugcrowd를 통해 발견한 버그 바운티 연구 결과
• 보안 팀이 검토를 통해 보고한 보안 취약성
• Atlassian팀이 보고한 보안 취약성

심각도 프레임워크 및 등급

Atlassian은 보안 위험을 평가하고 발견된 취약점마다 우선 순위를 지정하기 위해 일반 취약점 점수 시스템(CVSS)을 사용합니다. CVSS는 업계 표준 취약점 메트릭입니다. FIRST.org에서 CVSS에 대해 자세히 알아볼 수 있습니다.

심각도 수준

Atlassian 보안 권고에는 심각도 수준이 포함됩니다. 심각도 수준은 특정 취약성마다 자체 계산한 CVSS 점수를 기반으로 합니다.

• 중요
• 높음
• 중간
• 낮음

CVSS v3의 경우 Atlassian은 다음과 같은 심각도 등급 시스템을 사용합니다.

심각도 수준: 중요

중요 범위에 해당하는 취약성에는 일반적으로 대부분 다음과 같은 특징이 있습니다.

• 취약성을 악용하면 서버 또는 인프라 장치의 루트 수준에 보안 침해를 일으킬 수 있습니다.
• 공격자는 특별한 인증 자격 증명이나 개별 공격 대상자에 대한 지식이 필요하지 않으며 예를 들어 사회 공학 공격을 통해 대상 사용자가 특수 기능을 수행하도록 유도할 필요가 없기 때문에 악용이 일반적으로 간단합니다.

중요 취약성의 경우 다른 완화 조치가 마련되어 있지 않은 한 최대한 빨리 패치하거나 업그레이드하는 것이 좋습니다. 예를 들어 인터넷에서 설치에 액세스할 수 없으면 완화 요인이 될 수 있습니다.

심각도 수준: 높음

높음 범위에 해당하는 취약점에는 일반적으로 다음과 같은 특징이 있습니다.

• 이러한 취약점은 악용하기 어렵습니다.
• 악용으로 인해 권한 상승이 일어날 수 있습니다.
• 악용하면 데이터가 크게 손실되거나 가동 중지 시간이 발생할 수 있습니다.

심각도 수준: 중간

중간 범위에 해당하는 취약점에는 일반적으로 다음과 같은 특징이 있습니다.

• 공격자가 사회 공학 전술을 통해 개별 공격 대상자를 조작해야 합니다.
• 서비스 거부 취약점은 설정하기가 어렵습니다.
• 취악점을 악용하려면 공격자가 공격 대상자와 동일한 로컬 네트워크에 상주해야 합니다.
• 취약점 악용은 액세스가 매우 제한됩니다.
• 취약성 악용에 성공하려면 사용자 권한이 필요합니다.

심각도 수준: 낮음

낮음 범위에 해당하는 취약점은 일반적으로 조직의 비즈니스에 거의 영향을 미치지 않습니다. 이러한 취약점을 악용하려면 일반적으로 로컬 또는 물리적 시스템 액세스가 필요합니다. Atlassian 코드에서 연결할 수 없는 타사 코드의 취약점은 낮은 심각도로 다운그레이드할 수 있습니다.

수정 타임라인

Atlassian은 보안 심각도 수준 및 영향을 받는 제품에 따라 보안 취약성을 해결하기 위해 서비스 수준 목표를 설정합니다. Atlassian은 보안 버그 수정 정책에 따라 보안 이슈를 해결하기 위한 기간을 정의했습니다.

단축된 해결 타임프레임이 적용되는 대상은 다음과 같습니다.

• 모든 클라우드 기반 Atlassian 제품
• Jira Align(클라우드 및 자체 관리 버전 모두)
• Atlassian이 관리하거나 Atlassian 인프라에서 실행 중인 기타 모든 소프트웨어 또는 시스템

연장된 해결 타임프레임이 적용되는 대상은 다음과 같습니다.

• 모든 자체 관리 Atlassian 제품
  • 고객이 관리하는 시스템에 고객이 설치하는 제품입니다
  • Atlassian의 Server, Data Center, 데스크톱 및 모바일 애플리케이션이 포함됩니다

CVSS 해결 기간