गुणात्मक बनाम मात्रात्मक: समय बदलने के लिए कैसे हम तीसरे पक्ष की कमजोरियों की गंभीरता का आकलन करते हैं?

लेखक: Roger Morrison
निर्माण की तारीख: 26 सितंबर 2021
डेट अपडेट करें: 21 जून 2024
Anonim
गुणात्मक बनाम मात्रात्मक: समय बदलने के लिए कैसे हम तीसरे पक्ष की कमजोरियों की गंभीरता का आकलन करते हैं? - प्रौद्योगिकी
गुणात्मक बनाम मात्रात्मक: समय बदलने के लिए कैसे हम तीसरे पक्ष की कमजोरियों की गंभीरता का आकलन करते हैं? - प्रौद्योगिकी

विषय


स्रोत: ब्रायनजैकसन / iStockphoto

ले जाओ:

ओपन-सोर्स घटकों के लिए जोखिम का आकलन करने के बारे में हम कैसे सोचते हैं, इसके साथ चीजों को हिला देने का समय है।

सॉफ्टवेयर विकास समुदाय को कमजोरियों को कितनी गंभीरता से लेना चाहिए, इसका आकलन करने के लिए एक प्रणाली विकसित करना, इसे हलके में लाना एक चुनौती है। कोड मनुष्यों द्वारा लिखे गए हैं, और हमेशा दोष होंगे। फिर सवाल यह है कि अगर हम यह मान लें कि कुछ भी कभी भी संपूर्ण नहीं होगा, तो हम घटकों को उनके जोखिम के अनुसार सबसे बेहतर तरीके से वर्गीकृत कैसे कर सकते हैं जो हमें उत्पादक रूप से काम करना जारी रखने की अनुमति देता है?

केवल तथ्य

जबकि कई अलग-अलग दृष्टिकोण हैं जो इस समस्या से निपटने में ले सकते हैं, प्रत्येक अपने स्वयं के वैध औचित्य के साथ, सबसे आम तरीका एक मात्रात्मक मॉडल पर आधारित प्रतीत होता है।

एक तरफ, एक भेद्यता की गंभीरता को पहचानने के लिए एक मात्रात्मक दृष्टिकोण का उपयोग करना इस रूप में उपयोगी हो सकता है कि यह अधिक उद्देश्यपूर्ण और औसत दर्जे का है, केवल भेद्यता से संबंधित कारकों पर आधारित है।


यह कार्यप्रणाली यह देखती है कि किस प्रकार की क्षति हो सकती है, भेद्यता का शोषण किया जाना चाहिए, यह देखते हुए कि सॉफ्टवेयर उद्योग में घटक, पुस्तकालय, या परियोजना का व्यापक रूप से उपयोग कैसे किया जाता है, साथ ही साथ यह किस तरह की पहुंच के लिए एक हमलावर को दे सकता है जैसे कारक। मलबे का कहर उन्हें अपने लक्ष्य को भंग करने के लिए उपयोग करना चाहिए। आसान संभावित शोषण जैसे कारक स्कोर को प्रभावित करने में यहां एक बड़ी भूमिका निभा सकते हैं। (सुरक्षा के बारे में अधिक जानकारी के लिए, साइबरस्पेस की जांच करें: कैसे नए अग्रिम नए खतरे लाते हैं - और इसके विपरीत)।

अगर हम एक वृहद स्तर पर देखना चाहते हैं, तो मात्रात्मक परिप्रेक्ष्य इस बात पर ध्यान देता है कि कैसे एक भेद्यता झुंड को चोट पहुंचा सकती है, उस क्षति पर कम ध्यान केंद्रित कर सकती है जो उन कंपनियों पर पड़ सकती है जो वास्तव में हमले से प्रभावित हैं।

राष्ट्रीय भेद्यता डेटाबेस (एनवीडी), जो संभवतः कमजोरियों का सबसे प्रसिद्ध डेटाबेस है, यह दृष्टिकोण दोनों संस्करणों 2 और 3 के लिए अपने सामान्य भेद्यता स्कोरिंग सिस्टम (सीवीएसएस) को ले जाता है। कमजोरियों के मूल्यांकन के लिए अपने मीट्रिक की व्याख्या करने वाले अपने पृष्ठ पर, वे अपनी विधि लिखते हैं:


इसका मात्रात्मक मॉडल उपयोगकर्ताओं को अंतर्निहित भेद्यता विशेषताओं को देखने के लिए सक्षम करने के लिए दोहराए जाने योग्य सटीक माप सुनिश्चित करता है जो स्कोर उत्पन्न करने के लिए उपयोग किए जाते थे। इस प्रकार, सीवीएसएस उद्योगों, संगठनों और सरकारों के लिए एक मानक माप प्रणाली के रूप में अच्छी तरह से अनुकूल है, जिसे सटीक और सुसंगत भेद्यता प्रभाव स्कोर की आवश्यकता होती है।

खेलने पर मात्रात्मक कारकों के आधार पर, NVD तब एक गंभीरता स्कोर के साथ आने में सक्षम है, दोनों अपने पैमाने पर एक संख्या के साथ - 10 के माध्यम से 1, 10 सबसे गंभीर होने के साथ-साथ LOW, MEDIUM और उच्च की श्रेणियां ।

नो बग्स, नो स्ट्रेस - योर स्टेप बाय स्टेप गाइड बाय स्टेप गाइड टू लाइफ-चेंजिंग सॉफ्टवेर विदाउट योर लाइफ

जब कोई भी सॉफ़्टवेयर गुणवत्ता की परवाह नहीं करता है तो आप अपने प्रोग्रामिंग कौशल में सुधार कर सकते हैं।

प्रभाव के लिए लेखांकन?

हालाँकि, NVD यह स्पष्ट करने के प्रयास में रहता है कि हम एक भेद्यता के अधिक गुणात्मक माप के रूप में क्या कह सकते हैं, यह इस बात पर आधारित है कि क्षति के कारण एक निश्चित शोषण कितना प्रभावशाली रहा है। निष्पक्ष होने के लिए, वे अभी तक प्रभाव को शामिल करते हैं क्योंकि वे गोपनीयता, अखंडता और उपलब्धता के कारकों को देखते हुए सिस्टम पर भेद्यता के प्रभाव को मापते हैं। ये देखने के लिए सभी महत्वपूर्ण तत्व हैं - जैसे अधिक आसानी से मापने योग्य एक्सेस वेक्टर, एक्सेस जटिलता और प्रमाणीकरण के साथ - लेकिन वे वास्तविक दुनिया के प्रभाव से संबंधित कार्य को महसूस नहीं करते हैं जब एक भेद्यता संगठन के वास्तविक नुकसान का कारण बनती है।

उदाहरण के लिए, इक्विफैक्स ब्रीच, जो कुछ 145 मिलियन लोगों की व्यक्तिगत रूप से पहचान योग्य जानकारी को उजागर करता है, जिसमें उनके ड्राइवर लाइसेंस विवरण, सामाजिक सुरक्षा संख्या और अन्य बिट्स शामिल हैं जो बड़े पैमाने पर धोखाधड़ी के संचालन के लिए बेईमान पात्रों द्वारा उपयोग किए जा सकते हैं।

यह भेद्यता (CVE-2017-5638) थी जिसे अपाचे स्ट्रट्स 2 परियोजना में खोजा गया था जो इक्विक्स ने अपने वेब ऐप में उपयोग किया था जो हमलावरों को सामने के दरवाजे पर चलने की अनुमति देता था और अंततः इसे रसदार व्यक्तिगत जानकारी से भरा अपनी बाहों के साथ बाहर कर देता था। ।

जबकि NVD ने इसे सही मायने में 10 और हाई का गंभीरता स्कोर दिया था, लेकिन उनका निर्णय इसके संभावित नुकसान के मात्रात्मक मूल्यांकन के कारण था और बाद में इक्विकैक्स उल्लंघन सार्वजनिक होने पर हुए व्यापक नुकसान से प्रभावित नहीं था।

यह एनवीडी द्वारा निरीक्षण नहीं है, बल्कि उनकी घोषित नीति का एक हिस्सा है।

एनवीडी सीवीएसएस "बेस स्कोर" प्रदान करता है जो प्रत्येक भेद्यता की जन्मजात विशेषताओं का प्रतिनिधित्व करता है। हम वर्तमान में "टेम्पोरल स्कोर" (मेट्रिक्स जो समय के साथ परिवर्तन की वजह से भेद्यता की घटनाओं के कारण बदलते हैं) या "पर्यावरण स्कोर" (आपके संगठन पर भेद्यता के प्रभाव को प्रतिबिंबित करने के लिए अनुकूलित स्कोर) प्रदान नहीं करते हैं।

निर्णय लेने वालों के लिए, मात्रात्मक माप प्रणाली कम होनी चाहिए क्योंकि यह संभावना देख रही है कि यह पूरे उद्योग में नुकसान फैलाएगा। यदि आप किसी बैंक के CSO हैं, तो आपको उस गुणात्मक प्रभाव से चिंतित होना चाहिए जो किसी शोषण का हो सकता है यदि इसका उपयोग आपके ग्राहक के डेटा, या इससे भी बदतर, उनके पैसे से किया जाता है। (टेक में 5 स्कर्एस्ट थ्रेट्स में विभिन्न प्रकार की कमजोरियों के बारे में जानें।)

सिस्टम को बदलने का समय?

तो क्या Apache Strusts 2 में उपयोग किया गया था जो Equifax मामले में उपयोग किया गया था, इस बात की रोशनी में एक उच्च रैंकिंग प्राप्त करता है कि क्षति कितनी व्यापक हुई, या NVD जैसी प्रणाली के लिए पारी को बहुत अधिक संवेदनशील बना देगा। चालू रखो

हम मानते हैं कि एनवीडी द्वारा वर्णित "पर्यावरणीय स्कोर" या "टेम्पोरल स्कोर" के साथ आने के लिए आवश्यक डेटा के साथ आना अत्यधिक कठिन होगा, मुफ्त सीवीएसएस टीम के प्रबंधकों को आलोचना और काम का एक टन तक खोलने के लिए नई जानकारी सामने आते ही अपने डेटाबेस को अपडेट करने के लिए एनवीडी और अन्य के लिए।

बेशक, इस बारे में सवाल है कि इस तरह के स्कोर को कैसे संकलित किया जाएगा, क्योंकि बहुत कम संगठनों को एक उल्लंघन के प्रभाव पर आवश्यक डेटा की पेशकश करने की संभावना है जब तक कि वे एक प्रकटीकरण कानून द्वारा आवश्यक नहीं थे। हमने उबेर के मामले से देखा है कि कंपनियों को एक ब्रीच के आसपास की जानकारी रखने की उम्मीद में जल्दी से बाहर भुगतान करने के लिए तैयार हैं, प्रेस की पहुंच से बचने के लिए वे सार्वजनिक बैकलैश का सामना करते हैं।

शायद जो आवश्यक है वह एक नई प्रणाली है जो भेद्यता डेटाबेस से अच्छे प्रयासों को शामिल कर सकती है, और जानकारी उपलब्ध होने पर अपने स्वयं के अतिरिक्त स्कोर को जोड़ सकती है।

स्कोरिंग की इस अतिरिक्त परत को क्यों उकसाया जाता है जब पिछले एक साल में अपना काम इन सभी वर्षों में अच्छी तरह से किया है?

सच कहूं, तो यह संगठनों के लिए जवाबदेही के लिए नीचे आता है कि वे अपने आवेदनों की जिम्मेदारी लें। एक आदर्श दुनिया में, हर कोई अपने इनवेंटरी में जोड़ने से पहले अपने उत्पादों में उपयोग किए जाने वाले घटकों के स्कोर की जांच करेगा, अलर्ट प्राप्त करेगा जब नई कमजोरियों को पहले से सुरक्षित समझे जाने वाले प्रोजेक्ट्स में खोजा जाए, और सभी पर आवश्यक पैच लागू करें। ।

शायद अगर कोई सूची थी जो दिखाती थी कि किसी संगठन के लिए इन कमजोरियों में से कुछ कैसे विनाशकारी हो सकता है, तो संगठनों को जोखिम वाले घटकों के साथ नहीं पकड़े जाने के लिए अधिक दबाव महसूस हो सकता है। बहुत कम से कम, वे एक वास्तविक इन्वेंट्री लेने के लिए कदम उठा सकते हैं, जो उनके पास पहले से मौजूद ओपन-सोर्स लाइब्रेरी हैं।

इक्विफैक्स फियास्को के बाद में, एक से अधिक सी-स्तर के कार्यकारी यह सुनिश्चित करने के लिए पांव मार रहे थे कि उनके उत्पादों में स्ट्रट्स का कमजोर संस्करण नहीं था। यह दुर्भाग्यपूर्ण है कि इस उद्योग को अपने खुले स्रोत की सुरक्षा को गंभीरता से लेने के लिए इस परिमाण की घटना हुई।

उम्मीद है कि आपके अनुप्रयोगों के ओपन-सोर्स घटकों में कमजोरियों के बहुत ही वास्तविक-विश्व परिणाम हो सकते हैं, इसका असर यह होगा कि कैसे निर्णय लेने वाले सुरक्षा को प्राथमिकता देते हैं, अपने उत्पादों और ग्राहकों के डेटा को सुरक्षित रखने के लिए सही उपकरण चुनते हैं।