요약 |
본 발명은 정보자산 모델링을 이용한 위험 평가 방법에 관한 것으로, 더욱 상세하게는, 위험 평가를 수행하고자 하는 정보자산을 식별하고, 이를 모델링함으로써, 정보자산에 대한 위험도 산출을 자동화할 수 있는 위험 평가 방법에 관한 것이다. 본 발명의 일 실시예에 따른 위험 평가 방법은, (a) 네트워크 서비스를 사용하거나 제공하는 정보자산을 식별하는 단계; (b) 컴퓨터 네트워크를 통해서 상기 정보자산에 가해지는 위협을 식별하는 단계; (c) 상기 정보자산의 취약성을 식별하는 단계; (d) 상기 취약성에 대한 공격 성공으로 인한 영향(Severity)을 표준화된 값으로 변환한 CVSS 값을 이용하여 공격성공가능성을 산출하는 단계; (e) 상기 정보자산의 가치를 산정하여 충격도를 산출하는 단계; 및 (f) 상기 산출된 공격성공가능성과 충격도를 곱하여 상기 정보자산에 대한 위험도를 결정하는 단계를 포함한다. 본 발명에 따른 위험 평가 방법은 정보자산을 모델링하여, 정보자산에 대한 위험도 산출을 자동화함으로써, 위험도 산출에 소요되는 시간을 단축하고, 취약성 정보 관리를 일관적으로 수행할 수 있는 효과가 있다. 공격성공가능성, 위험평가, 위협, 정보자산, 취약성, CVE, CVSS
|