제품 보안 게시판

report

제품 보안 사례

제품 소프트웨어 보안 관행에 대해 자세히 알아보기

McAfee에서는 고객의 컴퓨터, 네트워크, 장치 및 데이터에 대한 보안을 확고히 하는 데 초점을 두고 있습니다. 당사에서는 문제가 발생함에 따라 신속히 해결하고 보안 게시판 및 기술 자료 기사를 통해 권장 사항을 제공하는 데 매진하고 있습니다. 지원이 필요하며, 바이러스를 제출하고자 하거나, URL 분류를 요청하려면 관련 버튼을 선택해 주십시오. McAfee 제품 및 웹사이트에 대한 취약성을 보고하려면 아래의 “보안 취약성 보고” 탭을 클릭하십시오.

바이러스 샘플 제출기업 지원팀에 문의고객 지원팀에 문의URL 분류 요청

2018년 5월 21일: Spectre NG

Intel에서 2018년 5월 21일 공개한 Spectre NG라고 하는 두 개의 새로운 사이드 채널 취약성 집합이 McAfee 어플라이언스 제품에 영향을 줍니다.

  • CVE-2018-3639 – SSB(Speculative Store Bypass) – 유형 4라고도 함
  • CVE-2018-3640 – RSRE(Rogue System Register Read) – 유형 3a라고도 함

기술 자료 기사:

  • KB90619 – Spectre-NG 보고서에 대한 McAfee 응답

 

모든 배너 아카이브 보기
보안 게시판
보안 게시판 – 소비자

McAfee는 HackerOne과 제휴 계약을 맺어 McAfee 제품 및 공용 웹사이트의 보고된 잠재적인 보안 또는 취약성 문제를 처리합니다. McAfee에서는 HackerOne의 비공개 프로그램을 실행하며 고객은 가입 초대를 받은 후에 보고서를 제출할 수 있습니다.

보고서를 제출하려면 security_report@mcafee.com으로 이메일을 보내십시오.

이메일을 보내면 진행 방법을 안내하는 HackerOne 시스템의 자동 응답이 전달됩니다. 이후에는 HackerOne 시스템을 통해 직접 보고서를 제출할 수 있습니다.

첫 이메일에 입력한 모든 정보는 HackerOne 시스템에 자동으로 추가됩니다.

시스템에 접속한 후 다음 정보를 제공해 주십시오.

  • 연락처 정보(모든 의사소통은 시스템을 통해 이루어짐)
  • 발견한 문제점 요약
  • 상세한 문제 재현 단계(샘플 코드 및 스크린샷/비디오 포함)
  • 제품 취약성
    • 제품, 버전, 운영체제
  • 웹사이트 운영체제
    • 브라우저 및 버전
  • 공개 계획

제품 또는 웹사이트 취약성 보고서

McAfee PSIRT
이메일: security_report@mcafee.com

기업의 제품 또는 소프트웨어 성능이나 가입 문제
기업 지원팀

소비자의 제품 또는 소프트웨어 성능이나 가입 문제
소비자 지원팀

바이러스 샘플 제출
자세히 알아보기

분류 URL 또는 분류 관련 문제 제출
자세히 알아보기

McAfee PSIRT에 문의
이메일: Security_Report@McAfee.com

PSIRT 정책문

실행 가능
McAfee에서는 실행 가능한 해결 방법, 패치, 핫픽스 또는 버전 업데이트 없이 제품이나 소프트웨어 취약성을 공개적으로 발표하지 않습니다. 그렇지 않으면 McAfee 제품이 대상으로 하는 해커 커뮤니티에 알려져서 고객을 더 큰 위험에 빠뜨리게 됩니다. HeartBleed와 같이 많은 언론의 관심을 받는 취약점에 대해서는 당사의 인식과 조치를 나타내는 배너를 게시할 것입니다.

즐겨찾기 없음
공정함을 위해 McAfee에서는 제품 취약성을 모든 고객에게 동시에 공개하고 있습니다. 대다수의 고객은 일반적으로 사전 통지를 받지 않습니다. 사전 통지는 사례별로 CISO에 의해 엄격한 NDA(기밀 유지 협약서)를 필수로 하여 제공될 수 있습니다.

발견자
McAfee에서는 다음의 경우에만 외부 취약성 발견자를 신뢰합니다.

  • 외부 취약성 발견자가 발견자임을 밝히기를 원하는 경우
  • 외부 취약성 발견자가 McAfee에 대해 ‘제로 데이’를 수행하지 않거나 SB 또는 KB가 게시되기 전에 자신들의 연구를 공개하는 경우

조직, 개인 또는 두 대상이 모두 발견자로 식별될 수 있습니다.

CVSS 점수
가장 최신 CVSS(Common Vulnerability Scoring System) 버전이 사용됩니다. 현재는 CVSS v3를 사용 중입니다.

모든 보안 게시판에는 관련 CVSS 벡터는 물론 각 취약성에 대한 CVSS 점수를 포함해야 합니다. 기본 점수가 있어야 합니다. 시간 및 환경 점수는 선택 사항입니다. 이상적으로 기본 점수는 NIST가 CVE에 할당한 점수와 일치해야 합니다.

SNS(Support Notification Service) 메시지
SNS(Support Notification Service) 메시지, 통지 또는 경고는 모든 보안 게시판에 대해 필수입니다. SNS는 McAfee Enterprise Support 고객은 물론 다른 고객도 의지하게 되는 서비스입니다.

SNS 텍스트 경보에 가입하려면 SNS 요청 센터로 가서 가입합니다.

대응 정책
McAfee의 수정 및 경보 대응은 가장 높은 CVSS 기본 점수에 따라 달라집니다.

우선순위(보안)CVSS v2 점수 일반적인 수정 대응* SNS
P1 - 치명적 9.0-10.0 치명적 핫픽스 경고
P2 - 높음 7.0-8.9 높음 업데이트 고지사항
P3 - 중간 4.0-6.9 중간 업데이트 고지사항
P4 - 낮음 0.0-3.9 낮음 버전 업데이트 선택사항
P5 - 정보 0.0 해결하지 않음. 정보용. NA

*참고: 수정 대응은 취약점의 심각도, 제품 수명주기 및 수정 가능성을 기반으로 합니다. 위에서 설명한 일반적인 수정 대응은 지원되는 모든 제품 버전에 대한 핫픽스, 패치 또는 버전 업데이트를 생성하지 않습니다.


외부 통신 메커니즘
데이터 보호 McAfee의 외부 통신 메커니즘은 CVSS 기본 점수, 고객 문의 수 및 언론의 관심 정도에 따라 달라집니다.                                    

  • SB = 보안 게시판(4-10)
  • KB = 기술 자료 기사(2-4)
  • SS = 지원 설명(0-4)
  • NN = 필요하지 않음(0)
 CVSS = 0
낮음
0 < CVSS < 4
낮음
4 ≤ CVSS < 7
중간
7 ≤ CVSS ≤ 10
높음
외부 공개(CVE) 문의가 여러 개이면 KB, 그 밖의 경우 NN KB SB, SNS SB, SNS
고객 공개 SS SS SB, SNS SB, SNS
내부 공개 NN 릴리스 노트의 문서 SB(릴리스 이후) , 릴리스 노트의 문서 SB
(릴리스 이후) , 릴리스 노트의 문서


위기 시나리오
여러 제품에 영향을 주는 높은 심각도의 공개된 취약성에 대해 보안 게시판은 한 제품의 패치와 함께 게시될 수 있으며 그 후 다른 제품을 사용할 수 있을 때 이에 대한 설명 및 패치가 업데이트될 수 있습니다.

여러 취약한 제품이 있는 보안 게시판은 다음의 범주로 모든 제품, 기업 및 고객을 나열하게 됩니다.

  • 취약하고 업데이트됨
  • 취약하고 아직 업데이트되지 않음
  • 취약하지만 위험도가 낮음(주어진 표준 배포 모범 사례)
  • 취약하지 않음
  • 조사 중(선택사항)

보안 게시판은 위기 시나리오가 아닌 한 보통 금요일 오후에는 발표되지 않습니다.

취약점 vs. 위험 점수
McAfee는 업계 표준 CVSS 취약점 점수 시스템에 참여합니다. CVSS 점수는 특정 취약성이 McAfee 고객에게 제기할 수 있는 위험을 판단하기 위한 시작점으로 고려되어야 합니다. CVSS 점수는 McAfee 제품 또는 McAfee 제품이 실행되는 관련 런타임 환경에서 발생할 수 있는 취약성의 심각성 위험 등급과 혼동되어서는 안됩니다.

CVSS 기본 점수는 주어진 사고에 대한 당사의 초기 반응을 결정합니다.

보안 게시판에는 취약함, 취약하지 않음, 취약하지만 악용되지 않음, 취약하지만 위험성이 낮음으로 지정된 제품 목록이 포함될 수 있습니다. 아래 목록은 잠재 고객 영향 측면에서 이러한 각 범주의 의미를 설명합니다.

  • 취약함: 제품에 확인된 취약성이 포함되어 있습니다. 취약점이 고객에게 어느 정도 위험을 초래합니다. 관련 CVSS 점수는 일반적인 배포 시나리오에서 취약점 악용으로 인한 심각한 영향을 나타내는 지표로 간주될 수 있습니다.
  • 취약하지 않음: 제품이 취약점을 포함하지 않거나 취약한 구성 요소의 존재가 어떤 식으로도 악용될 수 없습니다. 제품의 사용이 고객에게 추가적인 위험을 초래하지 않습니다.
  • 취약하지만 악용되지 않음: 제품이 이미지에 포함된 라이브러리 또는 실행 파일 등의 취약점을 가지고 있지만 이 제품은 위협적인 에이전트에 취약점을 노출시키지 않도록 충분한 보안 제어 기능을 제공하므로 취약점을 악용하는 것을 매우 어렵게 합니다. 제품의 사용이 고객에게 추가적인 위험을 초래하지 않습니다.
  • 취약하지만 위험성이 낮음: 제품이 소프트웨어 이미지에 포함된 라이브러리 또는 실행 파일과 같은 취약점을 가지고 있지만 악용으로 인한 영향은 무시할 수 있는 정도이며 추가적인 공격자 값이 없습니다. 제품을 사용하면 권장되는 일반적인 배포 시나리오에서 제품을 사용하는 고객에게 약간의 추가 위험이 발생할 수 있습니다.