긴급 패치 관리

Windows 시스템

NICE CXone은 다음과 같은 경우 영향을 받는 CXone 시스템에 가능한 한 빨리 패치를 적용해야 합니다.

  • 개념 증명 코드가 가능한 익스플로잇과 관련하여 공개적으로 사용 가능합니다.

  • 새로운 중요 보안 패치가 출시되었습니다.

이러한 패치의 목적은 조직의 클라우드 환경에서 취약점을 즉시 제거하는 것입니다. Microsoft 중요 업데이트 및 기타 패치는 테스트 주기를 통해 실행되며 정기적인 일정에 따라 적용됩니다. 이 일정은 일반적으로 Microsoft의 화요일 패치부터 시작되는 30일 패치 주기입니다. NICE CXone은 또한 유사한 우선순위 등급으로 Linux 패치 일정을 유지합니다. 중요한 패치는 다음 달 패치를 기다리면 안 됩니다.

패치 및 업그레이드는 CCR(Change Control Record)에 문서화됩니다. 다음 사항에 대해 NICE CXone 변경 관리 위원회에서 검토해야 합니다.

  • 영향.

  • 위험 분석.

  • 승인 전에 수행한 필요 조치.

패치 및 업그레이드는 동료 및 기술 검토도 거쳐야 합니다.

패치 및 업그레이드는 먼저 NICE CXone 연구소에서 테스트한 다음 알파 및 베타 클러스터에서 테스트한 다음 프로덕션에서 테스트합니다. NICE CXone은 예상치 못한 중대한 문제에 대한 긴급 변경 관리 프로세스를 유지합니다.

전담 품질 보증(QA) 부서에서 업데이트에 대한 테스트를 수행합니다. 이 부서는 NICE CXone 지침 내에서 사례를 활용합니다. 이러한 지침은 다음에서 찾을 수 있습니다.

  • 보안 개발 수명 주기(SDLC).

  • 정책 및 절차 문서.

NICE CXone 운영팀은 적용 가능한 모든 CXone 장치를 업데이트하거나 패치합니다. 패치 작업은 설정된 유지 관리 기간 동안 이루어지며 일반적으로 위치에 따라 밤에 사용량이 적은 세 시간을 포함합니다. 유지 관리 기간은 고객 계약의 일부로 공개됩니다. 유지 관리로 인해 서버가 재부팅되거나 클러스터가 장애 조치되는 동안 잠시 중단될 수 있습니다.

Windows가 아닌 시스템 및 소프트웨어

Linux 및 기타 Windows가 아닌 운영 체제와 장치는 일정에 따라 임시로 패치됩니다. 이들은 위와 동일한 CCB(Change Control Board) 프로세스 및 주기를 따릅니다. 현재 버전을 알고 관련 CVE(공통 취약성 및 노출)와 비교한 다음 개선합니다.

정보 보안은 타사 또는 Windows가 아닌 소프트웨어를 평가합니다. 다음을 사용합니다.

  • QA 기반 스캐닝.

  • 보안 센터.

  • 기타 탐지 제어 및 보고서.

정보 보안은 이러한 취약성을 SysOps 또는 R&D와 같은 각 소유자 및 그룹에 전달합니다. "심각" 또는 "높음" 등급의 취약점은 30~90일 이내에 패치되어야 합니다. 이러한 취약성 내의 특정 위협은 30일 의무 기간 내에 관리되어야 합니다.

도구

Infra-Tools는 Windows에서 사용되는 내부 도구입니다. 자동화된 소프트웨어 및 하드웨어 상태 검색을 수행합니다. 이 도구는 시스템 운영 그룹에서 실행합니다. 패치되지 않은 시스템과 소프트웨어에 플래그가 지정되고 패치가 적용되도록 합니다.

방화벽은 위협 보호가 활성화된 상태에서 IDS/IPS 동안 심층 패킷 검사를 수행합니다.

NICE CXone은 내부적으로 다른 관리 위협 환경 조사 도구를 사용합니다. 로깅 SIEM은 적절한 서버의 로그에서 이상이 있는지 검사합니다.

서비스 레벨 목표

NICE CXone은 패치 적용 시 서비스 레벨 목표를 사용합니다. 이러한 목표는 다음을 보장합니다.

  • 알려진 취약점이 적시에 패치됩니다.

  • 패치는 다음을 준수합니다.

    • PCI-DSS

    • 기타 범위가 지정된 보안 인프라 요구사항.

패치 및 이벤트 위험을 설명하는 척도가 사용됩니다. 내부 장치 소유자 그룹은 신뢰성을 "긴급", "높음", "중간" 또는 "낮음"으로 평가합니다.

  • 긴급 취약점은 30일 이내에 패치해야 합니다.

  • 높음 취약점은 60일 이내에 패치해야 합니다.

  • 중간 취약점은 90일 이내에 패치해야 합니다.

  • 낮음 취약점은 내부 장치 소유자 그룹에서 설정한 시간 내에 패치되어야 합니다.

정보 보안은 보안 센터에 약점에 대한 정보를 전달합니다. 취약성 검사 보고서를 통해 그렇게 합니다.

개선 주기

긴급 위협에 대한 분석은 발견 즉시 시작됩니다. 위협 정의 및 작업 계획은 72시간 이내에 결정됩니다. 그런 다음 계획은 개선 주기로 들어갑니다. 개선 주기는 다음으로 구성됩니다.

  1. 솔루션 설계.

  2. 솔루션 엔지니어링.

  3. 테스트를 위해 실험실에서 구현.

  4. 솔루션을 QA에 전달.

  5. 릴리스 일정.

  6. 변경 위원회 동료 검토 및 승인 프로세스.

  7. 배포.

분석, 정의, 작업 계획 및 개선 주기는 탐지 후 30일 이내에 이루어져야 합니다. 사업부 서비스가 영향을 받는 경우 사업부 에 진행 상황 업데이트를 알려줍니다. 개선 주기의 각 단계가 구현될 때마다 업데이트가 제공됩니다. 성공적인 개선 후 사건에 따라 영향을 받는 사업부 에게 RCA가 전달됩니다.

예외

다음에 해당하지 않는 서버 및 장치에 대해 수동 개선 및 카탈로그 작성이 수행됩니다.

  • WSUS 서버와 통신.

  • 업데이트를 가져올 수 있음.

패치되지 않은 서버에 대한 보고서는 가시성, 추적 및 개선 조치를 위해 정보 보안에 제공됩니다.