গুণগত বনাম পরিমাণগত: পরিবর্তনের সময় আমরা তৃতীয় পক্ষের ঝুঁকির তীব্রতা কীভাবে মূল্যায়ন করব?

লেখক: Roger Morrison
সৃষ্টির তারিখ: 26 সেপ্টেম্বর 2021
আপডেটের তারিখ: 21 জুন 2024
Anonim
গুণগত বনাম পরিমাণগত: পরিবর্তনের সময় আমরা তৃতীয় পক্ষের ঝুঁকির তীব্রতা কীভাবে মূল্যায়ন করব? - প্রযুক্তি
গুণগত বনাম পরিমাণগত: পরিবর্তনের সময় আমরা তৃতীয় পক্ষের ঝুঁকির তীব্রতা কীভাবে মূল্যায়ন করব? - প্রযুক্তি

কন্টেন্ট


সূত্র: ব্রায়ানএ জ্যাকসন / আইস্টকফোটো

ছাড়াইয়া লত্তয়া:

ওপেন-সোর্স উপাদানগুলির ঝুঁকি নিরূপণের বিষয়ে আমরা কীভাবে চিন্তা করি তা নিয়ে জিনিসকে নাড়া দেওয়ার সময়।

সফ্টওয়্যার বিকাশ সম্প্রদায়ের দুর্বলতাগুলি কতটা গুরুত্ব সহকারে গ্রহণ করা উচিত তা মূল্যায়ন করার জন্য একটি সিস্টেম বিকাশ করা একে চ্যালেঞ্জ, হালকাভাবে বলা। কোড মানব দ্বারা রচিত, এবং সর্বদা ত্রুটি থাকবে। তাহলে প্রশ্নটি, যদি আমরা ধরে নিই যে কোনও কিছুই কখনই নিখুঁত হয় না, তবে কীভাবে আমরা উপাদানগুলি তাদের ঝুঁকি অনুযায়ী এমনভাবে শ্রেণীবদ্ধ করব যাতে আমাদের উত্পাদনশীলভাবে কাজ চালিয়ে যেতে দেয়?

শুধু ঘটনা

যদিও এই সমস্যাটি মোকাবেলায় অনেকে গ্রহণ করতে পারে এমন অনেকগুলি পদ্ধতি রয়েছে, যার প্রতিটি তার নিজস্ব বৈধ সমর্থনযোগ্যতা সহ, সর্বাধিক সাধারণ পদ্ধতিটি একটি পরিমাণগত মডেলের উপর ভিত্তি করে বলে মনে হয়।

একদিকে, দুর্বলতার তীব্রতা বিচার করার জন্য একটি পরিমাণগত পদ্ধতির ব্যবহারটি কার্যকর হতে পারে কারণ এটি কেবলমাত্র দুর্বলতার সাথে সম্পর্কিত কারণগুলির উপর ভিত্তি করে আরও উদ্দেশ্যমূলক এবং পরিমাপযোগ্য।


এই পদ্ধতিটি দেখায় যে কী ধরনের ক্ষয়ক্ষতি হতে পারে তা যদি দুর্বলতা কাজে লাগানো উচিত তবে বিবেচনা করা হবে যে কীভাবে উপাদান, গ্রন্থাগার বা প্রকল্পটি সফ্টওয়্যার শিল্প জুড়ে ব্যাপকভাবে ব্যবহৃত হয়, পাশাপাশি আক্রমণকারীকে কী ধরণের অ্যাক্সেস দিতে পারে তার কারণগুলিও বিবেচনা করে বিধ্বস্ত হ'ল তাদের লক্ষ্যটি লঙ্ঘনের জন্য এটি ব্যবহার করা উচিত। সহজে সম্ভাব্য শোষণের মতো উপাদানগুলি স্কোরকে প্রভাবিত করতে এখানে একটি বড় ভূমিকা নিতে পারে। (সুরক্ষার বিষয়ে আরও তথ্যের জন্য, সাইবারসিকিউরিটি দেখুন: নতুন অগ্রগতি কীভাবে নতুন হুমকি নিয়ে আসে - এবং ভাইস ভার্সা))

আমরা যদি ম্যাক্রো স্তরের দিকে নজর রাখতে চাই, তবে পরিমাণগত দৃষ্টিকোণটি কীভাবে দুর্বলতায় পশুর ক্ষতি করতে পারে তা লক্ষ্য করে এবং প্রকৃতপক্ষে আক্রমণে আক্রান্ত সংস্থাগুলির যে ক্ষতি হতে পারে তার দিকে কম দৃষ্টি নিবদ্ধ করে।

জাতীয় ক্ষতিগ্রস্থতা ডেটাবেস (এনভিডি), সম্ভবত দুর্বলতার সবচেয়ে সুপরিচিত ডাটাবেস, এই দুটি সাধারণ সংস্করণ এবং তাদের সাধারণ দুর্বলতা স্কোরিং সিস্টেম (সিভিএসএস) উভয় সংস্করণের জন্য এই পদ্ধতি গ্রহণ করেছে। দুর্বলতার মূল্যায়নের জন্য তাদের মেট্রিকগুলি ব্যাখ্যা করার জন্য তাদের পৃষ্ঠায় তারা তাদের পদ্ধতিটি লিখেছেন যে:


এর পরিমাণগত মডেলটি স্কোরগুলি তৈরি করতে ব্যবহৃত অন্তর্নিহিত দুর্বলতার বৈশিষ্ট্যগুলি ব্যবহারকারীদের সক্ষম করতে গিয়ে পুনরাবৃত্তিযোগ্য সঠিক পরিমাপ নিশ্চিত করে। সুতরাং, সিভিএসএস শিল্প, সংস্থাগুলি এবং সরকারগুলির জন্য যথাযথ এবং ধারাবাহিক দুর্বলতার প্রভাব স্কোরগুলির জন্য একটি স্ট্যান্ডার্ড পরিমাপ ব্যবস্থা হিসাবে উপযুক্ত।

খেলায় পরিমাণগত কারণের ভিত্তিতে, এনভিডি তার তীব্র স্কোর নিয়ে আসতে সক্ষম হয়, উভয়ই তাদের স্কেলের একটি সংখ্যা - 1 থেকে 10, 10 সবচেয়ে গুরুতর - পাশাপাশি নিম্ন, মিডিয়াম এবং এইচআইএটি বিভাগগুলি ।

কোনও বাগ নেই, কোনও স্ট্রেস নেই - আপনার জীবনকে বিনষ্ট না করে জীবন-পরিবর্তনশীল সফটওয়্যার তৈরির ধাপে গাইড আপনার ধাপ

কেউ যখন সফ্টওয়্যার মানের সম্পর্কে চিন্তা করে না তখন আপনি আপনার প্রোগ্রামিং দক্ষতা উন্নত করতে পারবেন না।

প্রভাব জন্য অ্যাকাউন্টিং?

যাইহোক, এনভিডি আমরা কীভাবে কোনও দুর্বলতার গুণগত পরিমাপ হিসাবে অভিহিত করতে পারি সে সম্পর্কে পরিষ্কার থাকার প্রচেষ্টা চালিয়ে যাচ্ছে বলে মনে করা হচ্ছে যে কোনও নির্দিষ্ট শোষণ কীভাবে ক্ষতিগ্রস্থ হয়েছে তার উপর নির্ভর করে। ন্যায়সঙ্গতভাবে, তারা গোপনীয়তা, অখণ্ডতা এবং প্রাপ্যতার কারণগুলি দেখে সিস্টেমে দুর্বলতার প্রভাব পরিমাপ করে তারা এ পর্যন্ত প্রভাবকে একত্রিত করে। এগুলি দেখার জন্য সমস্ত গুরুত্বপূর্ণ উপাদান - যেমন আরও সহজে পরিমাপযোগ্য অ্যাক্সেস ভেক্টর, অ্যাক্সেস জটিলতা এবং প্রমাণীকরণের সাথে - তবে যখন কোনও দুর্বলতা কোনও সংস্থার আসল ক্ষতির কারণ হয় তখন তারা বাস্তব-বিশ্ব প্রভাব সম্পর্কিত কাজটি অনুভব করে না।

উদাহরণস্বরূপ, ইক্যুফ্যাক্স লঙ্ঘনটি প্রায় 145 মিলিয়ন ব্যক্তির ব্যক্তিগত সনাক্তকরণযোগ্য তথ্য প্রকাশ করেছে, যার মধ্যে রয়েছে তাদের ড্রাইভার লাইসেন্সের বিবরণ, সামাজিক সুরক্ষা নম্বর এবং অন্যান্য বিট যা অসাধু চরিত্রগুলি দ্বারা ব্যাপক জালিয়াতির ক্রিয়াকলাপ চালাতে ব্যবহৃত হতে পারে।

এটিই দুর্বলতা (সিভিই -2017-5638) আবিষ্কার হয়েছিল যে অ্যাপাচি স্ট্রুটস 2 প্রকল্পে ইক্যুফ্যাক্স তাদের ওয়েব অ্যাপ্লিকেশনটিতে ব্যবহার করেছিল যা আক্রমণকারীদের সামনের দরজায় হাঁটতে দেয় এবং অবশেষে তাদের বাহুতে সরস ব্যক্তিগত তথ্যে পূর্ণ করে তোলে Equ ।

যদিও এনভিডি যথাযথভাবে এটি 10 ​​এবং এইচআইএটির তীব্র স্কোর দিয়েছে, তাদের সিদ্ধান্তটি তার সম্ভাব্য ক্ষতির পরিমাণগত মূল্যায়নের কারণে হয়েছিল এবং ইক্যুফ্যাক্স লঙ্ঘন জনসমক্ষে প্রকাশিত হওয়ার পরে পরে ঘটে যাওয়া ব্যাপক ক্ষতির দ্বারা প্রভাবিত হয়নি।

এটি এনভিডির তদারকি নয়, তবে তাদের বর্ণিত নীতির একটি অংশ।

এনভিডি সিভিএসএস "বেস স্কোর" সরবরাহ করে যা প্রতিটি দুর্বলতার সহজাত বৈশিষ্ট্য উপস্থাপন করে। আমরা বর্তমানে "অস্থায়ী স্কোর" (দুর্বলতার বাইরে থাকা ইভেন্টগুলির কারণে সময়ের সাথে সাথে পরিবর্তিত মেট্রিক) বা "পরিবেশগত স্কোর" (আপনার সংস্থার দুর্বলতার প্রভাব প্রতিফলিত করতে স্কোরগুলি কাস্টমাইজড) সরবরাহ করি না।

সিদ্ধান্ত গ্রহণকারীদের জন্য, পরিমাণগত পরিমাপের সিস্টেমটি কম বিবেচ্য হওয়া উচিত কারণ এটি সম্ভাবনাটি দেখছে যে এটি পুরো শিল্প জুড়ে ক্ষতি ছড়াবে। আপনি যদি কোনও ব্যাংকের সিএসও হন তবে আপনার গ্রাহকের ডেটা, বা আরও খারাপ, এটির অর্থের সাথে ব্যবহার করার জন্য যদি এটি ব্যবহার করা হয় তবে কোনও শোষণকারী তার গুণগত প্রভাব সম্পর্কে উদ্বিগ্ন হওয়া উচিত। (টেকের 5 টি ভীতিজনক হুমকিতে বিভিন্ন ধরণের দুর্বলতা সম্পর্কে শিখুন))

সিস্টেম পরিবর্তন করার সময়?

সুতরাং, অ্যাপাচি স্ট্রাস্টস 2-এর যে দুর্বলতাটি ইক্যুফ্যাক্স ক্ষেত্রে ব্যবহৃত হয়েছিল তা ক্ষতির পরিমাণটি কতটা বড় আকার ধারণ করেছে তার আলোকে উচ্চতর র‌্যাঙ্কিং অর্জন করতে হবে বা এনভিডি-র মতো সিস্টেমের জন্য শিফটটি খুব বেশি বিষয়ভিত্তিক হতে পারে চালিয়ে যাও?

আমরা মঞ্জুর করি যে এনভিডি দ্বারা বর্ণিত হিসাবে "পরিবেশগত স্কোর" বা "টেম্পোরাল স্কোর" নিয়ে আসার জন্য প্রয়োজনীয় ডেটা উপস্থিত করা চূড়ান্তভাবে কঠিন হবে, অবিচ্ছিন্ন সমালোচনা এবং এক টন কাজ অবধি ফ্রি সিভিএসএস দলের পরিচালকদের উদ্বোধন করা এনভিডি এবং অন্যদের কাছে নতুন তথ্য প্রকাশের সাথে সাথে তাদের ডাটাবেস আপডেট করার জন্য।

অবশ্যই, এই জাতীয় স্কোরটি কীভাবে সংকলিত হবে সে সম্পর্কে প্রশ্ন রয়েছে, কারণ খুব অল্প সংস্থাগুলি কোনও লঙ্ঘনের আইন দ্বারা প্রয়োজনীয় ব্যবস্থা গ্রহণ না করা হলে লঙ্ঘনের প্রভাব সম্পর্কে প্রয়োজনীয় তথ্য সরবরাহ করার সম্ভাবনা রয়েছে। আমরা উবারের ঘটনা থেকে দেখেছি যে সংস্থাগুলি কোনও লঙ্ঘনের আশেপাশের তথ্যগুলি প্রেসে পৌঁছানো থেকে রক্ষা করার আশায় দ্রুত অর্থ প্রদান করতে রাজি হয় যাতে পাবলিক প্রতিক্রিয়া না ঘটে।

সম্ভবত যা প্রয়োজন তা একটি নতুন সিস্টেম যা দুর্বলতা ডেটাবেসগুলি থেকে ভাল প্রচেষ্টা অন্তর্ভুক্ত করতে পারে এবং তথ্য উপলব্ধ হলে তাদের নিজস্ব স্কোর যুক্ত করতে পারে।

আগের বছরটি এত বছর ধরে তার কাজটি বেশ ভালভাবে সম্পাদন করেছে বলে মনে হয় কেন এই অতিরিক্ত স্কোরিংয়ের স্তরটিকে উত্সাহিত করবে?

সত্যই, সংস্থাগুলি তাদের অ্যাপ্লিকেশনগুলির জন্য দায়িত্ব নেওয়ার দায়বদ্ধতার দিকে নেমে আসে। একটি আদর্শ বিশ্বে, প্রত্যেকে নিজের পণ্যগুলিতে তাদের উপাদানগুলিতে যোগ করার আগে যে সমস্ত উপাদানগুলি তারা তাদের পণ্যগুলিতে ব্যবহার করে সেগুলির স্কোর পরীক্ষা করত, সতর্কতাগুলি গ্রহণ করত যখন পূর্বে নিরাপদ বলে মনে করা প্রকল্পগুলিতে নতুন দুর্বলতাগুলি আবিষ্কার করা হত এবং প্রয়োজনীয় প্যাচগুলি তাদের নিজেরাই প্রয়োগ করে would ।

সম্ভবত যদি এমন একটি তালিকা উপস্থিত ছিল যা দেখিয়েছিল যে এই দুর্বলতার কিছু ধ্বংসাত্মক কোনও সংস্থার জন্য কী হতে পারে, তবে সংস্থাগুলি ঝুঁকিপূর্ণ উপাদানগুলির সাথে ধরা না পড়ার জন্য আরও চাপ অনুভব করতে পারে। খুব কমপক্ষে, তারা ইতিমধ্যে ওপেন-সোর্স লাইব্রেরিগুলির একটি সত্যিকারের তালিকা গ্রহণের পদক্ষেপ নিতে পারে।

ইক্যুফ্যাক্স ফিয়াস্কোর পরে, একাধিক সি-লেভেল এক্সিকিউটিভ সম্ভবত তাদের পণ্যগুলিতে স্ট্রটসের দুর্বল সংস্করণ না রয়েছে তা নিশ্চিত করার জন্য ঝাঁকুনি দিচ্ছিল। দুর্ভাগ্যজনক যে এটিকে তাদের উন্মুক্ত উত্স সুরক্ষাকে গুরুত্বের সাথে নিতে শিল্পকে চাপ দেওয়ার জন্য এই বিশালতার একটি ঘটনাটি ঘটেছে।

আশা করা যায় যে আপনার অ্যাপ্লিকেশনগুলির ওপেন সোর্স উপাদানগুলির দুর্বলতার ফলে খুব বাস্তব-বিশ্ব পরিণতি হতে পারে সিদ্ধান্ত গ্রহণকারীরা সুরক্ষাকে কীভাবে অগ্রাধিকার দেয়, তাদের পণ্য এবং গ্রাহকদের ডেটা সুরক্ষিত রাখতে সঠিক সরঞ্জামগুলি বেছে নেওয়ার ক্ষেত্রে তার প্রভাব ফেলবে।