애플리케이션 취약성 대응의 예외 관리
조직이 게시된 취약성 관리 또는 보안 정책, 표준 또는 가이드라인을 준수할 수 없는 경우 예외를 요청할 수 있습니다. 예외 관리에는 정책에 따라 정정할 수 없는 애플리케이션 취약한 항목(AVIT)에 대한 예외를 요청, 검토, 승인 또는 거부하는 작업이 수반됩니다.
일부 취약성에는 기존 패치, 수정 프로그램 또는 솔루션이 없을 수 있습니다. 예외가 승인되면 취약성을 정정하지 않을 때의 결과를 인정하고 동의하기 때문에 위험을 수용한다는 의미이기도 합니다.
주:
의 애플리케이션 취약성 대응v21.0부터는 설정된 일수 후에 승인자와 요청자 모두에 대한 이메일 알림과 함께 긍정 오류 및 예외를 승인하는 시간 범위를 구성할 수 있습니다. 요청이 발생하면 애플리케이션 취약한 항목이 검토 중 상태로 변경되고 상태 변경 기록이 생성됩니다. 승인자가 구성된 시간 범위 내에 응답하지 않으면 애플리케이션 취약한 항목 또는 정정 작업이 열림 상태로 되돌아갑니다. 이전 상태는 backup_state 필드에 저장됩니다. 자세한 내용은 예외 관리를 위한 승인 규칙 구성 문서를 참조하십시오.
예외의 수명주기
- 예외의 정의
- 지정된 기간 동안 AVI 정정을 연기해 달라는 요청이 예외입니다. 예를 들어 개발자는 머신에 패치를 사용할 수 없는 경우 예외를 요청할 수 있습니다.
- 예외 요청
- 개발자는 예외 관리 프로세스를 사용하여 AVI에 대한 면제를 요청할 수 있습니다. 애플리케이션 보안 분석가가 이 요청을 승인하면 AVI가 지연됨 상태로 전환됩니다.중요사항:취약성 관리자 작업 공간 및 IT 정정 작업 공간에서 각각 AVTI 및 RT에 대한 예외를 요청할 수 있습니다. 자세한 내용은 취약성 관리자 작업 공간에서 정정 작업 및 기록에 대한 예외 요청 및 에서 예외 요청 IT 정정 작업 공간 문서를 참조하십시오.
- 예외 규칙
- v20부터는 예외 규칙을 생성하여 기존 및 새 AVI(애플리케이션 취약한 항목)이 규칙의 조건과 일치하는 경우 특정 기간 동안 자동으로 연기할 수 있습니다. 예외 규칙을 사용하여 AVI를 자동으로 연기하면 서비스 수준 계약이 누락될 위험을 최소화할 수 있습니다. 이 규칙을 사용하면 수동 개입을 제거할 수 있으므로 여러 항목을 관리할 수 있습니다. 예외 규칙 생성을 참조하십시오.
- 예외 규칙에 대한 연장 요청
- v20부터는 예외 규칙의 연 기된 날짜 로 연장 요청을 제출할 수 있습니다. 규칙에 의해 생성된 많은 수의 기록이 지연 종료 날짜 (정정 작업이 새 AVI 수용을 중지하는 날짜)에 해결되지 않는 것으로 확인되면 규칙에 대한 연장을 요청할 수 있습니다. 연장은 기존 규칙의 지연 날짜를 자동으로 연장하도록 예외 규칙을 업데이트합니다. 현재 날짜로부터 최대 1년까지 날짜를 입력할 수 있으며 연장 사유를 포함해야 합니다. 연장 요청에는 별도의 승인 그룹에서 2단계 승인이 필요합니다.
- 예외 요청 승인
- 즉시 정정할 수 없는 AVIT는 애플리케이션 보안 분석가가 검토하고, 위험에 대해 평가하고, 정정할 수 있을 때까지 연기하도록 승인됩니다. 예외 요청 승인은 2단계 플로우가 될 수 있습니다. 첫 번째 수준 승인자만 있는 경우 예외를 요청하고 승인할 수 있습니다. 그러나 첫 번째 수준 승인자가 없으면 예외를 요청할 수 없습니다. 자세한 내용은 애플리케이션 취약성 대응에 대한 예외 승인자 추가 문서를 참조하십시오.중요사항:취약성 관리자 작업 공간에서 예외 요청을 승인하거나 거부할 수 있습니다. 자세한 내용은 에서 요청 승인 또는 거부 취약성 관리자 작업 공간 문서를 참조하십시오.
주:
AVIT에 대한 예외 요청이 승인되면 다음 작업을 수행할 수 있습니다.
- 재개설
- 자세한 내용 가져오기
- 예외 요청 추적
- 예외를 제기한 후 AVIT의 상태 변경 승인 탭을 사용하여 해당 상태를 추적할 수 있습니다.
- 예외 요청 만료 및 예외 규칙에 대한 연장 요청
- 특정 AVI에 대한 예외 요청이 만료되면 영향을 받는 AVI는 열림 상태로 되돌아갑니다.
그러나 v20부터는 예외 규칙에서 연기된 날짜 연장 요청을 제출할 수 있습니다.