गुणात्मक वि परिमाणवाचक: बदलण्याची वेळ आम्ही तृतीय-पक्षाच्या असुरक्षांच्या तीव्रतेचे मूल्यांकन कसे करतो?

लेखक: Roger Morrison
निर्मितीची तारीख: 26 सप्टेंबर 2021
अद्यतन तारीख: 21 जून 2024
Anonim
गुणात्मक वि परिमाणवाचक: बदलण्याची वेळ आम्ही तृतीय-पक्षाच्या असुरक्षांच्या तीव्रतेचे मूल्यांकन कसे करतो? - तंत्रज्ञान
गुणात्मक वि परिमाणवाचक: बदलण्याची वेळ आम्ही तृतीय-पक्षाच्या असुरक्षांच्या तीव्रतेचे मूल्यांकन कसे करतो? - तंत्रज्ञान

सामग्री


स्रोत: ब्रायनए जॅक्सन / आयस्टॉकफोटो

टेकवे:

मुक्त-स्त्रोत घटकांच्या जोखमीचे मूल्यांकन करण्याबद्दल आम्ही कसे विचार करतो याने गोष्टी हादरवून टाकण्याची ही वेळ आहे.

सॉफ्टवेअर डेव्हलपमेंट समुदायाने असुरक्षा किती गांभीर्याने घ्याव्यात हे ठरविण्यासाठी सिस्टम विकसित करणे हे आव्हान आहे, त्यास हलकेच सांगायचे. कोड मानवांनी लिहिले आहे आणि त्यात नेहमीच त्रुटी असतील. प्रश्न असा आहे की जर आपण असे मानले आहे की काहीही कधीही परिपूर्ण होणार नाही तर मग त्या घटकांच्या जोखमीनुसार त्यांचे वर्गीकरण कसे करावे जेणेकरून आपल्याला उत्पादकपणे कार्य करणे शक्य होईल.

फक्त तथ्ये

या समस्येचे निराकरण करण्यासाठी आपल्याकडे बरेच भिन्न दृष्टिकोन आहेत परंतु प्रत्येकजण स्वत: च्या वैध औचित्यसह, सर्वात सामान्य पद्धत परिमाणात्मक मॉडेलवर आधारित असल्याचे दिसते.

एकीकडे, असुरक्षिततेच्या तीव्रतेचे परीक्षण करण्यासाठी परिमाणात्मक दृष्टीकोन वापरणे हे उपयोगी असू शकते कारण ते केवळ असुरक्षा संबंधित घटकांवर आधारित असते.

सॉफ्टवेअर उद्योगात घटक, ग्रंथालय किंवा प्रकल्प किती व्यापकपणे वापरला जातो तसेच आक्रमणकर्त्याला कोणत्या प्रकारचा प्रवेश देऊ शकतो यासारख्या घटकांचा विचार केल्यास या असुरक्षिततेचा कसा फायदा होऊ शकतो हे या पद्धतीनुसार दिसते. विनाश कहर म्हणजे त्यांनी त्यांचे लक्ष्य भंग करण्यासाठी वापरावे. सुलभ संभाव्य शोषणक्षमता यासारखे घटक येथे स्कोअरवर परिणाम घडविण्यास मोठी भूमिका बजावू शकतात. (सुरक्षेच्या अधिक माहितीसाठी, सायबरसुरिटी तपासून पहा: नवीन अ‍ॅडव्हान्सन्स नवीन धमक्या कसे आणतात - आणि त्याचे वर्सा.)


जर आपल्याला मॅक्रो स्तराकडे पहायचे असेल तर परिमाणवाचक दृष्टीकोन पाहतो की एखाद्या असुरक्षिततेमुळे कळपाला कसे दुखापत होऊ शकते आणि त्या हल्ल्यामुळे ज्या कंपन्यांचे नुकसान होऊ शकते त्याकडे कमी लक्ष केंद्रित केले जाते.

नॅशनल व्हेनेरबिलिटी डेटाबेस (एनव्हीडी), कदाचित असुरक्षिततेचा सर्वात ज्ञात डेटाबेस, ही सामान्य व्हेनेरेबिलिटी स्कोअरिंग सिस्टम (सीव्हीएसएस) आणि व्हर्जन 2 आणि 3 या दोन्ही आवृत्तींसाठी हा दृष्टिकोन ठेवतो. त्यांच्या पृष्ठावर असुरक्षा मूल्यांकन करण्यासाठी त्यांची मेट्रिक्स स्पष्ट करताना, त्यांनी त्यांच्या पद्धतीविषयी लिहिले कीः

स्कोअर व्युत्पन्न करण्यासाठी वापरल्या जाणार्‍या मूलभूत असुरक्षा वैशिष्ट्ये पाहण्यास सक्षम करते तेव्हा त्याचे परिमाणवाचक मॉडेल पुनरावृत्ती करण्यायोग्य अचूक मोजमाप सुनिश्चित करते. अशा प्रकारे, उद्योग, संस्था आणि सरकारे ज्यांना अचूक आणि सुसंगत असुरक्षा प्रभाव स्कोअर आवश्यक आहेत त्यांच्यासाठी सीव्हीएसएस मानक मापन प्रणाली म्हणून योग्य आहे.

खेळाच्या परिमाणात्मक घटकांवर आधारित, एनव्हीडी नंतर तीव्रतेचे गुण मिळविण्यास सक्षम आहे, त्यांच्या प्रमाणात अनेक - 1 ते 10, 10 सर्वात गंभीर आहेत - तसेच एलओडी, मेडियम आणि उच्च श्रेणीच्या .


कोणतीही दोष नाही, तणाव नाही - आपले जीवन नष्ट न करता जीवन-बदलणारे सॉफ्टवेअर तयार करण्यासाठी चरण चरण बाय चरण

जेव्हा कोणालाही सॉफ्टवेअर गुणवत्तेची काळजी नसते तेव्हा आपण आपली प्रोग्रामिंग कौशल्ये सुधारू शकत नाही.

प्रभावासाठी लेखांकन?

तथापि, एनव्हीडी एखाद्या असुरक्षाचे गुणात्मक उपाय म्हणून आपण काय म्हणू शकतो याविषयी स्पष्टीकरण मिळवण्याचा प्रयत्न करीत असल्याचे दिसून येते, ज्यामुळे एखाद्या विशिष्ट शोषणाचे नुकसान होऊ शकते यावर परिणामकारक ठरते. खरे सांगायचं तर ते गोपनीयता, अखंडता आणि उपलब्धता या घटकांवर नजर टाकून सिस्टमवर असुरक्षिततेच्या परिणामाचे मोजमाप करतात म्हणून त्यांचे प्रभाव समाविष्ट करतात. हे पाहण्यासारखे हे सर्व महत्त्वाचे घटक आहेत - जसे सहजतेने मोजता येण्यायोग्य प्रवेश वेक्टर, प्रवेश जटिलता आणि प्रमाणीकरणासह - परंतु जेव्हा एखाद्या असुरक्षामुळे एखाद्या संस्थेला वास्तविक नुकसान होते तेव्हा वास्तविक जगाच्या परिणामाशी संबंधित ते कार्य करत नाहीत.

उदाहरणार्थ, इक्विफॅक्सचा भंग करा ज्याने सुमारे 145 दशलक्ष लोकांची वैयक्तिकरित्या ओळखण्यायोग्य माहिती उघड केली, ज्यात त्यांचे ड्रायव्हर्स परवाना तपशील, सामाजिक सुरक्षा क्रमांक आणि मोठ्या प्रमाणात फसवणूकीचे कार्यवाही करण्यासाठी बेईमान पात्रांद्वारे वापरल्या जाणार्‍या इतर बिटचा समावेश आहे.

अपाचे स्ट्रट्स 2 प्रोजेक्टमध्ये शोधले गेले असे अपाचिंग स्ट्रक्चर्स (सीव्हीई-२०१ Equ--56388) होते जे इक्विफॅक्सने त्यांच्या वेब अ‍ॅपमध्ये वापरले ज्याने हल्लेखोरांना पुढच्या दारावर चालायला परवानगी दिली आणि अखेरीस रसाळ वैयक्तिक माहितीने त्यांच्या बाहूंनी ते बाहेर काढले .

एनव्हीडीने त्यांना योग्यरित्या 10 आणि एचआयव्हीची तीव्रता दिली, परंतु त्यांचा निर्णय त्याच्या संभाव्य नुकसानाच्या परिमाणात्मक मूल्यांकनमुळे झाला आणि विषुववृत्त उल्लंघन सार्वजनिक झाल्यावर नंतर झालेल्या मोठ्या नुकसानीवर परिणाम झाला नाही.

हे एनव्हीडीचे निरीक्षण नसून त्यांच्या नमूद केलेल्या धोरणाचा एक भाग आहे.

एनव्हीडी सीव्हीएसएस "बेस स्कोअर" प्रदान करते जे प्रत्येक असुरक्षिततेच्या मूळ वैशिष्ट्यांचे प्रतिनिधित्व करते. आम्ही सध्या "टेम्पोरल स्कोअर" (असुरक्षिततेच्या बाह्य घटनेमुळे काळानुसार बदलणारी मेट्रिक्स) किंवा "पर्यावरणीय स्कोअर" (आपल्या संस्थेच्या असुरक्षाच्या परिणामाचे प्रतिबिंबित करण्यासाठी सानुकूलित स्कोअर) प्रदान करत नाही.

निर्णय घेणार्‍यांसाठी, परिमाण मोजणारी प्रणाली कमी फरक पडायला पाहिजे कारण ती संपूर्ण उद्योगात नुकसान पोहोचविण्याची शक्यता पाहत आहे. आपण बँकेचे सीएसओ असल्यास, आपल्या ग्राहकांच्या डेटा किंवा त्यापेक्षाही वाईट म्हणजे त्याचा पैसा काढून घेण्यासाठी त्याचा वापर केल्याचा फायदा एखाद्या शोषणाच्या परिणामी होऊ शकतो यासंबंधी आपण चिंतेत असले पाहिजे. (टेक इन 5 भयानक धमक्यांमधील विविध प्रकारच्या असुरक्षांबद्दल जाणून घ्या.)

सिस्टम बदलण्याची वेळ आली आहे?

इक्विफॅक्स प्रकरणात वापरल्या जाणार्‍या अपाचे स्ट्रुस्ट्स 2 मधील असुरक्षिततेचे नुकसान किती व्यापक होईल या प्रकाशात उच्च रँकिंग प्राप्त झाली पाहिजे किंवा एनव्हीडी सारख्या प्रणालीसाठी या शिफ्टमध्ये बदल होऊ शकेल. चालू ठेवतो?

आम्ही मंजूर करतो की एनव्हीडीने वर्णन केल्यानुसार "पर्यावरणीय स्कोअर" किंवा "टेम्पोरल स्कोअर" आणण्यासाठी आवश्यक डेटा आणणे खूपच कठीण होईल, निरुपयोगी टीका आणि एक टन कामासाठी विनामूल्य सीव्हीएसएस टीमचे व्यवस्थापक उघडणे. एनव्हीडी आणि इतरांसाठी नवीन माहिती बाहेर येताच त्यांचे डेटाबेस अद्यतनित करण्यासाठी.

अर्थात, अशा स्कोअरचे संकलन कसे केले जाईल हा प्रश्न आहे, कारण प्रकटीकरण कायद्याद्वारे आवश्यक नसल्यास फारच कमी संघटना उल्लंघनाच्या परिणामाविषयी आवश्यक डेटा सादर करतात. आम्ही उबरच्या प्रकरणातून हे पाहिले आहे की कंपन्या उल्लंघनाच्या सभोवतालची माहिती प्रेसपर्यंत पोहोचू नयेत या आशेने त्वरीत पैसे देण्यास तयार आहेत जेणेकरुन त्यांना जनतेच्या प्रतिक्रियेचा सामना करावा लागेल.

कदाचित आवश्यक असलेली एक नवीन प्रणाली आहे जी असुरक्षा डेटाबेसमधून चांगल्या प्रयत्नांचा समावेश करू शकेल आणि जेव्हा माहिती उपलब्ध होईल तेव्हा स्वत: चे अतिरिक्त गुण जोडा.

मागील वर्षानुवर्षे इतकी वर्षे चांगली कामगिरी केल्याचे दिसून येते तेव्हा या अतिरिक्त क्षेत्राच्या स्कोअरिंगला उत्तेजन का द्यावे?

स्पष्टपणे सांगायचे तर, संस्थांकडून त्यांच्या अनुप्रयोगांची जबाबदारी घेणे जबाबदारीवर येते. एक आदर्श जगात प्रत्येकजण आपल्या उत्पादनांमध्ये त्यांचा उपयोग करण्यापूर्वी वापरत असलेल्या घटकांची संख्या तपासून पाहत असला पाहिजे, पूर्वी सुरक्षित समजल्या जाणा projects्या प्रकल्पांमध्ये नवीन असुरक्षा शोधल्या गेल्यानंतर सतर्कता प्राप्त करतील आणि आवश्यक ते सर्व पॅच स्वतःच अंमलात आणतील. .

कदाचित अशी एखादी यादी असेल ज्यात यापैकी काही असुरक्षितता एखाद्या संस्थेसाठी किती विनाशकारी असू शकते हे दर्शवित असेल, तर संघटनांना धोकादायक घटकांसह न पकडण्यासाठी जास्त दबाव वाटू शकेल. कमीतकमी, त्यांच्याकडे आधीपासून असलेल्या मुक्त-स्त्रोत लायब्ररीची वास्तविक यादी तयार करण्यासाठी ते कदाचित पावले उचलू शकतील.

इक्विफॅक्स फियास्कोनंतर, त्यांच्या उत्पादनांमध्ये स्ट्रूटची असुरक्षित आवृत्ती नाही याची खात्री करण्यासाठी एकापेक्षा जास्त सी-स्तरीय कार्यकारी अधिकारी ओरडत होते. दुर्दैवाची बाब म्हणजे या ओपन-सोर्स सुरक्षिततेस गांभीर्याने घेण्यास उद्योगांना उद्युक्त करण्यासाठी ही मोठी घटना घडली.

आशा आहे की आपल्या अनुप्रयोगांच्या मुक्त-स्त्रोताच्या घटकांमधील असुरक्षिततेमुळे वास्तविक जीवनाचे दुष्परिणाम होऊ शकतात, याचा निर्णय निर्णय घेणारे सुरक्षिततेला कसे प्राधान्य देतात यावर परिणाम होईल आणि त्यांची उत्पादने आणि ग्राहकांचा डेटा सुरक्षित ठेवण्यासाठी योग्य साधने निवडतील.