제품 보안 게시판

 

제품 소프트웨어 보안 관행에 대해 자세히 알아봅니다.

지금 다운로드

McAfee에서는 고객의 컴퓨터, 네트워크, 장치 및 데이터에 대한 보안을 확고히 하는 데 초점을 두고 있습니다. Intel Security에서는 문제가 발생함에 따라 신속히 해결하고 보안 게시판 및 기술 자료 기사를 통해 권장 사항을 제공하는 데 매진하고 있습니다.

바이러스 샘플 제출 기술 지원 문의 PSIRT 문의
McAfee는 모든 Windows 프로그램에 영향을 주는 DoubleAgent 공격을 인식합니다.

McAfee 제품은 그러한 공격을 완화하는 데 도움을 주는 자체 보호 메커니즘이 있으며, 추가 보호를 검토합니다.

자세한 내용은 이 블로그, SB10192KB88085를 참조하십시오.
보안 게시판

McAfee/Intel Security 제품과 관련한 보안 문제나 취약성에 대한 정보가 있다면 secure@intel.com 및 CC PSIRT@IntelSecurity.com으로 이메일을 보내주십시오. Intel의 PGP 공개 키를 사용하여 중요한 정보를 암호화하십시오.
다음 항목을 포함하여 가능한 한 많은 정보를 제공해 주십시오.

  • 발견자의 연락처 정보:
    • 이름(전체 이름과 별명 중 하나)
    • 실제 주소(전체 주소 대신 주 수준으로 정확하게)
    • 소속 / 회사
    • 이메일 주소
    • 전화 번호
  • 제품 정보:
    • 영향을 받은 제품 및 하드웨어 버전(알려진 경우 빌드 번호)
    • 알려진 경우 운영 체제
    • 소프트웨어 및/또는 하드웨어 구성
  • 취약성 정보:
    • 취약성에 대한 자세한 설명
    • 취약성을 생성/확인하는 데 사용한 샘플 코드
    • 알려진 공격에 대한 정보
    • 취약성이 이미 문서화되었다면 CVE 번호
    • 엔지니어링 팀이 근본 원인을 분석하거나 식별하는 데 도움이 될 수 있는 URL이나 링크
  • 통신 계획:
    • 공개 계획
    • 보안 게시판에서 발견자로서 인정되는 권한

McAfee Product Security Group(PSG)이나 Product Security Incident Response Team(PSIRT, 제품 보안 사고 대응팀)의 구성원이 이메일을 검토하고 발견자에게 연락하여 문제를 함께 해결하게 됩니다.

상담 분류

외부적으로 보고된 제품 취약성은 McAfee Product Security Group에서 처리합니다. 기타 문제의 경우에는 아래의 팀들 중 한 곳에 문의하십시오.

외부적으로 보고된 IT 응용프로그램 및 웹 응용프로그램 취약성은 McAfee Global Security Services(GSS) 보안 운영 센터(SOC)에서 처리합니다.

IT 응용프로그램 및 웹 취약성
McAfee Security Operations Center(SOC)
이메일: abuse.report@mcafee.com
전화: +1 972-987-2745

현재 배송 중인 제품의 성능에 대한 외부 문의는 McAfee 기술 지원에서 처리합니다.

제품 또는 소프트웨어 성능, 또는 가입 문제
McAfee 기술 지원
웹: http://www.mcafee.com/kr/support.aspx

바이러스 및 악성 프로그램 샘플은 McAfee Labs에서 처리합니다.

바이러스 샘플 제출
McAfee Labs
이메일: virus_research@mcafee.com
웹: http://www.mcafee.com/kr/threat-center/resources/how-to-submit-sample.aspx

Intel Security/McAfee PSIRT 연락처
이메일: secure@intel.com
전화: +1 408-753-5752

Intel PSIRT 연락처
Intel Product Security Center
이메일: secure@intel.com
웹 사이트: https://security-center.intel.com

PSIRT 정책문

실행 가능성
Intel Security에서는 실행 가능한 해결 방법, 패치, 핫픽스 또는 버전 업데이트 없이 제품이나 소프트웨어 취약성을 공개적으로 발표하지 않습니다. 그렇지 않으면 McAfee 제품이 대상으로 하는 해커 커뮤니티에 알려서 고객이 더 큰 위험에 빠뜨리게 됩니다.

즐겨찾기 없음
Intel Security에서는 제품 취약성을 모든 고객에게 동시에 공개하고 있습니다. 많은 고객은 일반적으로 사전 통지를 받지 않습니다. 사전 통지는 사례별로 PSG에 의해 엄격한 NDA를 필수로 하여 제공될 수 있습니다.

발견자
Intel Security에서는 다음의 경우에만 외부 취약성 발견자를 신뢰합니다.

  • 외부 취약성 발견자가 발견자임을 밝히기를 원하는 경우.
  • 외부 취약성 발견자가 McAfee에 대해 "제로 데이"를 수행하지 않거나, SB 또는 KB가 게시되기 전에 자신들의 연구를 공개하는 경우.

조직, 개인 또는 두 대상이 모두 발견자로 식별될 수 있습니다.

CVSS 점수
가장 최신 CVSS(Common Vulnerability Scoring System) 버전을 사용하게 됩니다. 현재는 CVSS v3를 사용 중입니다.

모든 보안 게시판에는 관련 CVSS 벡터는 물론 각 취약성에 대한 CVSS 점수를 포함해야 합니다. 기본 점수와 시간적 점수가 모두 있어야 합니다. 기본 점수는 NIST가 CVE에 할당한 점수와 일치해야 합니다. 

SNS(Support Notification Service) 메시지
SNS(Support Notification Service) 메시지, 통지 또는 경고는 모든 보안 게시판에 대해 필수입니다. SNS는 다른 고객은 물론 Intel Security Enterprise Support 고객도 의지하게 되는 서비스입니다.

SNS 텍스트 경보에 가입하려면 SNS Request Center(SNS 요청 센터)로 가서 "새 계정을 만듭니다".

응답 정책
Intel Security의 수정 및 경보 응답은 가장 높은 CVSS 기본 점수에 따라 달라집니다.

우선순위(보안)CVSS v2 점수일반적 수정 응답SNS
P1 - 치명적 8.5-10.0 높음 핫픽스 경고
P2 - 높음 7.0-8.4 높음 패치 고지사항
P3 - 중간 4.0-6.9 중간 패치 고지사항
P4 - 낮음 0.0-3.9 낮음 버전 업데이트 선택사항
P5 - 정보 0.0 해결 안 함. 정보용. NA


외부 통신 메커니즘
Intel Security의 외부 통신 메커니즘은 CVSS 기본 점수, 고객 문의 수 및 언론의 관심 정도에 따라 달라집니다.                                    

  • SB = 보안 게시판 (4-10)
  • KB = 기술 자료 기사 (2-4)
  • SS = 지원 설명 (0-4)
  • NN = 필요하지 않음 (0)
 CVSS = 0
낮음
0 < CVSS < 4
낮음
4 ≤ CVSS < 7
중간
7 ≤ CVSS ≤ 10
높음
외부 공개(CVE) 문의가 여러 개이면 KB, 그 밖의 경우 NN KB SB, SNS SB, SNS
고객 공개 SS SS SB, SNS SB, SNS
내부 공개 NN NN 릴리스 노트의 문서 SB
(릴리스 후)


위기 시나리오
여러 제품에 영향을 주는 높은 심각도의 공지된 취약성을 위한 보안 게시판은 한 제품의 패치와 함께 발표되고 그 후 다른 패치 및 출시된 다른 제품에 대한 설명으로 업데이트될 수 있습니다.

공격 당하기 쉬운 제품이 여러 개인 보안 게시판은 다음의 범주로 모든 제품, 기업 및 고객을 나열하게 됩니다.

  • 취약하고 업데이트됨
  • 취약하고 아직 업데이트되지 않음
  • 취약하지만 위험도가 낮음(주어진 표준 배포 모범 사례)
  • 취약하지 않음
  • 조사 중(선택사항)

보안 게시판은 위기 시나리오가 아닌 한 보통 금요일 오후에는 발표되지 않습니다.

취약성 및 위험 점수
Intel Security는 산업 표준 CVSS 취약성 평가 시스템에 참여합니다. CVSS 점수는 특정 취약성으로 인해 Intel Security 고객에게 발생할 수 있는 위험을 결정하는 기준점으로 고려되어야 합니다. Intel Security/McAfee 제품 또는 Intel Security 제품이 실행되는 관련 런타임 환경에서 발생할 수 있는 취약성의 심각도에 대한 위험 등급과 CVSS 점수를 혼동하지 마십시오.

Intel Security에서는 CVSS 점수와 함께 "JGERR"(Just Good Enough Risk Rating)을 사용하여 Intel Security 제품에 영향을 줄 수 있는 잠재적 문제의 위험을 평가합니다. JGERR은 2012년에 SANS Institute Smart Guide로 지정되었습니다. JGERR은 Open Group 표준인 "FAIR"(Factor Analysis of Information Risk)을 기반으로 합니다. JGERR을 사용하여 위험을 평가할 때 위협 에이전트의 존재와 활동, 공격 벡터, 위협 에이전트에 대한 취약성 노출, 취약성 악용의 쉬움 또는 어려움, 노출의 영향 등과 같은 추가적인 요소가 위험 분석에 포함됩니다. 따라서 개별 취약성은 Intel Security 위험 등급의 한 가지 측면에 불과합니다.

CVSS 기본 점수에 따라 주어진 인시던트에 대한 초기 대응이 결정됩니다. Intel Security 위험 등급에 따라 패치 또는 업데이트를 얼마나 빨리 제공할지가 결정됩니다.

보안 게시판은 다음과 같이 지정된 제품 목록을 포함할 수 있습니다. 취약함, 취약하지 않음, 취약하지만 악용할 수 없음, 취약하지만 위험도 낮음 아래 목록에서는 고객에게 미치는 잠재적 영향의 측면에서 각 범주의 의미를 설명합니다.

  • 취약함: 제품에 취약성이 포함되어 있습니다. 취약성이 고객에게 다양한 수준의 위험을 제공합니다. 연결된 CVSS 점수를 일반 배포 시나리오에서 취약성이 악용될 때 미치는 영향의 심각도 지표로 사용할 수 있습니다.
  • 취약하지 않음: 제품에 취약성이 없거나, 취약한 구성 요소가 존재하지만 어떠한 방법으로도 악용할 수 없습니다. 제품을 사용해도 고객에게 추가적인 위험이 없습니다.
  • 취약하지만 악용할 수 없음: 제품에 취약성(예: 이미지에 포함된 라이브러리 또는 실행 파일)이 있지만, 제품에서 충분한 보안 제어를 제공하여 취약성이 위협 에이전트에게 노출되지 않으므로 취약성을 악용하는 것이 거의 불가능합니다. 제품을 사용해도 고객에게 추가적인 위험이 없습니다.
  • 취약하지만 위험도 낮음: 제품에 취약성(예: 소프트웨어 이미지에 포함된 라이브러리 또는 실행 파일)이 있지만, 취약성이 노출될 때의 미치는 영향이 미미하여 공격자가 얻게 될 추가적 이익이 없습니다. 권장되는 일반 배포 시나리오에서 제품을 사용하더라도 고객에게 추가되는 위험이 거의 없습니다.