గుణాత్మక vs పరిమాణాత్మక: మార్చడానికి సమయం మూడవ పార్టీ ప్రమాదాల తీవ్రతను మేము ఎలా అంచనా వేస్తాము?

రచయిత: Roger Morrison
సృష్టి తేదీ: 26 సెప్టెంబర్ 2021
నవీకరణ తేదీ: 21 జూన్ 2024
Anonim
గుణాత్మక vs పరిమాణాత్మక: మార్చడానికి సమయం మూడవ పార్టీ ప్రమాదాల తీవ్రతను మేము ఎలా అంచనా వేస్తాము? - టెక్నాలజీ
గుణాత్మక vs పరిమాణాత్మక: మార్చడానికి సమయం మూడవ పార్టీ ప్రమాదాల తీవ్రతను మేము ఎలా అంచనా వేస్తాము? - టెక్నాలజీ

విషయము


మూలం: బ్రియాన్ జాక్సన్ / ఐస్టాక్‌ఫోటో

Takeaway:

ఓపెన్-సోర్స్ భాగాల కోసం ప్రమాదాన్ని అంచనా వేయడం గురించి మేము ఎలా ఆలోచిస్తామో దానితో విషయాలను కదిలించే సమయం ఇది.

సాఫ్ట్‌వేర్ డెవలప్‌మెంట్ కమ్యూనిటీ దుర్బలత్వాన్ని ఎంత తీవ్రంగా పరిగణించాలో అంచనా వేయడానికి ఒక వ్యవస్థను అభివృద్ధి చేయడం ఒక సవాలు, దానిని తేలికగా చెప్పడం. కోడ్ మానవులచే వ్రాయబడింది మరియు ఎల్లప్పుడూ లోపాలు ఉంటాయి. ప్రశ్న, ఏదీ ఎప్పటికీ పరిపూర్ణంగా ఉండదని మేము if హిస్తే, ఉత్పాదక పనిని కొనసాగించడానికి అనుమతించే విధంగా వాటి ప్రమాదానికి అనుగుణంగా భాగాలను ఎలా ఉత్తమంగా వర్గీకరిస్తాము?

జస్ట్ ది ఫాక్ట్స్

ఈ సమస్యను పరిష్కరించడంలో ఒకరు తీసుకోగల అనేక విభిన్న విధానాలు ఉన్నప్పటికీ, ప్రతి ఒక్కటి వారి స్వంత చెల్లుబాటు అయ్యే సమర్థనతో, సర్వసాధారణమైన పద్ధతి పరిమాణాత్మక నమూనా ఆధారంగా కనిపిస్తుంది.

ఒక వైపు, దుర్బలత్వం యొక్క తీవ్రతను నిర్ధారించడానికి పరిమాణాత్మక విధానాన్ని ఉపయోగించడం ఉపయోగకరంగా ఉంటుంది, ఇది మరింత లక్ష్యం మరియు కొలవగలది, ఇది కేవలం దుర్బలత్వానికి సంబంధించిన కారకాలపై ఆధారపడి ఉంటుంది.


సాఫ్ట్‌వేర్ పరిశ్రమ అంతటా భాగం, లైబ్రరీ లేదా ప్రాజెక్ట్ ఎంత విస్తృతంగా ఉపయోగించబడుతుందో, అలాగే ఇది దాడి చేసేవారికి ఎలాంటి ప్రాప్యతను ఇవ్వగలదో వంటి అంశాలను పరిగణనలోకి తీసుకుంటే, ఏ విధమైన నష్టం సంభవిస్తుందో ఈ పద్దతి చూస్తుంది. వారు తమ లక్ష్యాన్ని ఉల్లంఘించడానికి దీనిని ఉపయోగించాలి. సులభమైన సంభావ్య దోపిడీ వంటి అంశాలు స్కోర్‌ను ప్రభావితం చేయడంలో ఇక్కడ పెద్ద పాత్ర పోషిస్తాయి. (భద్రత గురించి మరింత తెలుసుకోవడానికి, సైబర్‌ సెక్యూరిటీని చూడండి: కొత్త పురోగతులు కొత్త బెదిరింపులను ఎలా తెస్తాయి - మరియు వైస్ వెర్సా.)

మేము స్థూల స్థాయిలో చూడాలనుకుంటే, పరిమాణాత్మక దృక్పథం మందను ఎలా దెబ్బతీస్తుందో చూస్తుంది, వాస్తవానికి దాడికి గురైన కంపెనీలపై పడే నష్టంపై తక్కువ దృష్టి పెడుతుంది.

నేషనల్ వల్నరబిలిటీ డేటాబేస్ (ఎన్విడి), బహుశా దుర్బలత్వాల యొక్క బాగా తెలిసిన డేటాబేస్, ఈ విధానాన్ని 2 మరియు 3 వెర్షన్లకు వారి కామన్ వల్నరబిలిటీ స్కోరింగ్ సిస్టమ్ (సివిఎస్ఎస్) కోసం తీసుకుంటుంది. హానిని అంచనా వేయడానికి వారి కొలమానాలను వివరిస్తూ వారి పేజీలో, వారు వారి పద్ధతిని ఇలా వ్రాస్తారు:

దీని పరిమాణాత్మక నమూనా పునరావృతమయ్యే ఖచ్చితమైన కొలతను నిర్ధారిస్తుంది, అయితే స్కోర్‌లను రూపొందించడానికి ఉపయోగించిన అంతర్లీన దుర్బలత్వ లక్షణాలను చూడటానికి వినియోగదారులను అనుమతిస్తుంది. అందువల్ల, పరిశ్రమలు, సంస్థలు మరియు ప్రభుత్వాలకు ఖచ్చితమైన మరియు స్థిరమైన హాని ప్రభావ స్కోర్‌లు అవసరమయ్యే ప్రామాణిక కొలత వ్యవస్థగా CVSS బాగా సరిపోతుంది.


ఆటలోని పరిమాణాత్మక కారకాల ఆధారంగా, ఎన్విడి అప్పుడు తీవ్రత స్కోరుతో రాగలదు, రెండూ వాటి స్కేల్‌లో ఒక సంఖ్యతో - 1 నుండి 10 వరకు, 10 అత్యంత తీవ్రమైనవి - అలాగే తక్కువ, మధ్యస్థం మరియు అధిక వర్గాలు .

బగ్స్ లేవు, ఒత్తిడి లేదు - మీ జీవితాన్ని నాశనం చేయకుండా జీవితాన్ని మార్చే సాఫ్ట్‌వేర్‌ను రూపొందించడానికి స్టెప్ గైడ్ ద్వారా మీ దశ

సాఫ్ట్‌వేర్ నాణ్యత గురించి ఎవరూ పట్టించుకోనప్పుడు మీరు మీ ప్రోగ్రామింగ్ నైపుణ్యాలను మెరుగుపరచలేరు.

ప్రభావం కోసం అకౌంటింగ్?

ఏది ఏమయినప్పటికీ, నష్టాన్ని కలిగించడంలో ఒక నిర్దిష్ట దోపిడీ ఎంత ప్రభావవంతంగా ఉందనే దాని ఆధారంగా, దుర్బలత్వం యొక్క గుణాత్మక కొలతగా మనం చెప్పగలిగే వాటి గురించి స్పష్టంగా ఉండటానికి NVD ప్రయత్నిస్తున్నట్లు కనిపిస్తోంది. సరళంగా చెప్పాలంటే, గోప్యత, సమగ్రత మరియు లభ్యత యొక్క కారకాలను చూస్తూ, వ్యవస్థపై దుర్బలత్వం యొక్క ప్రభావాన్ని వారు కొలిచేంతవరకు అవి ప్రభావాన్ని కలిగి ఉంటాయి. ఇవన్నీ చూడవలసిన ముఖ్యమైన అంశాలు - మరింత తేలికగా కొలవగల యాక్సెస్ వెక్టర్, యాక్సెస్ సంక్లిష్టత మరియు ప్రామాణీకరణ వంటివి - కాని ఒక దుర్బలత్వం సంస్థకు నిజమైన నష్టాలను కలిగించినప్పుడు వాస్తవ-ప్రపంచ ప్రభావానికి సంబంధించిన పనిని వారు అనుభవించరు.

ఉదాహరణకు, 145 మిలియన్ల మంది వ్యక్తుల యొక్క వ్యక్తిగతంగా గుర్తించదగిన సమాచారాన్ని బహిర్గతం చేసిన ఈక్విఫాక్స్ ఉల్లంఘనను తీసుకోండి, వారి డ్రైవర్ల లైసెన్స్ వివరాలు, సామాజిక భద్రత సంఖ్యలు మరియు ఇతర బిట్లతో సహా భారీ మోసపూరిత కార్యకలాపాలను నిర్వహించడానికి నిష్కపటమైన పాత్రలు ఉపయోగించుకోవచ్చు.

అపాచీ స్ట్రట్స్ 2 ప్రాజెక్ట్‌లో కనుగొనబడిన దుర్బలత్వం (CVE-2017-5638) వారి వెబ్ అనువర్తనంలో ఈక్విఫాక్స్ ఉపయోగించినది, ఇది దాడి చేసేవారిని ముందు తలుపులో నడవడానికి మరియు చివరికి వారి చేతులతో జ్యుసి వ్యక్తిగత సమాచారంతో తయారు చేయడానికి అనుమతించింది .

NVD దీనికి 10 మరియు HIGH యొక్క తీవ్రత స్కోరును సరిగ్గా ఇవ్వగా, వారి నిర్ణయం దాని సంభావ్య నష్టాన్ని వారి పరిమాణాత్మక అంచనా కారణంగా ఉంది మరియు ఈక్విఫాక్స్ ఉల్లంఘన బహిరంగమైనప్పుడు సంభవించిన విస్తృతమైన నష్టంతో ప్రభావితం కాలేదు.

ఇది ఎన్విడి పర్యవేక్షణ కాదు, కానీ వారు ప్రకటించిన విధానంలో ఒక భాగం.

NVD CVSS "బేస్ స్కోర్‌లను" అందిస్తుంది, ఇది ప్రతి దుర్బలత్వం యొక్క సహజ లక్షణాలను సూచిస్తుంది. మేము ప్రస్తుతం "తాత్కాలిక స్కోర్‌లు" (దుర్బలత్వానికి బాహ్య సంఘటనల కారణంగా కాలక్రమేణా మారే కొలమానాలు) లేదా "పర్యావరణ స్కోర్‌లు" (మీ సంస్థపై దుర్బలత్వం యొక్క ప్రభావాన్ని ప్రతిబింబించేలా అనుకూలీకరించిన స్కోర్‌లు) అందించడం లేదు.

నిర్ణయాధికారుల కోసం, పరిమాణాత్మక కొలత వ్యవస్థ తక్కువ ప్రాముఖ్యత కలిగి ఉండాలి, ఎందుకంటే ఇది పరిశ్రమ అంతటా హాని కలిగించే అవకాశాలను చూస్తోంది. మీరు బ్యాంక్ యొక్క CSO అయితే, మీ కస్టమర్ యొక్క డేటాతో లేదా అధ్వాన్నంగా, వారి డబ్బును సంపాదించడానికి దోపిడీ ఉపయోగించినట్లయితే అది చేసే గుణాత్మక ప్రభావంతో మీరు ఆందోళన చెందాలి. (టెక్‌లోని 5 భయంకరమైన బెదిరింపులలో వివిధ రకాలైన దుర్బలత్వాల గురించి తెలుసుకోండి.)

వ్యవస్థను మార్చాల్సిన సమయం?

కాబట్టి ఈక్విఫాక్స్ కేసులో ఉపయోగించిన అపాచీ స్ట్రస్ట్స్ 2 లోని దుర్బలత్వం ఎంత విస్తృతమైన నష్టం జరిగిందో వెలుగులో అధిక ర్యాంకును పొందాలా, లేదా షిఫ్ట్ NVD వంటి వ్యవస్థకు చాలా ఆత్మాశ్రయమైనదిగా మారుతుంది కొనసాగించాలా?

ఎన్విడి వివరించిన విధంగా "ఎన్విరాన్మెంటల్ స్కోర్" లేదా "టెంపోరల్ స్కోరు" తో రావడానికి అవసరమైన డేటాతో రావడం చాలా కష్టమని మేము మంజూరు చేస్తున్నాము, ఉచిత సివిఎస్ఎస్ బృందం నిర్వాహకులను అంతులేని విమర్శలకు మరియు ఒక టన్ను పనికి తెరుస్తుంది క్రొత్త సమాచారం బయటకు వచ్చినప్పుడు వారి డేటాబేస్లను నవీకరించడానికి NVD మరియు ఇతరులు.

అటువంటి స్కోరు ఎలా సంకలనం చేయబడుతుందనే ప్రశ్న ఉంది, ఎందుకంటే చాలా తక్కువ సంస్థలు ఉల్లంఘన ప్రభావంపై అవసరమైన డేటాను బహిర్గతం చేసే చట్టం ద్వారా అవసరమైతే తప్ప వాటిని అందించే అవకాశం ఉంది. ఉబెర్ కేసు నుండి కంపెనీలు బహిరంగంగా ఎదురుదెబ్బలు ఎదుర్కొనకుండా ఉల్లంఘనకు సంబంధించిన సమాచారాన్ని పత్రికలకు చేరకుండా ఉంచాలనే ఆశతో త్వరగా చెల్లించడానికి సిద్ధంగా ఉన్నాయని మేము చూశాము.

హాని డేటాబేస్ల నుండి మంచి ప్రయత్నాలను పొందుపరచగల కొత్త వ్యవస్థ బహుశా అవసరం మరియు సమాచారం అందుబాటులోకి వచ్చినప్పుడు వారి స్వంత అదనపు స్కోర్‌ను జోడించవచ్చు.

మునుపటి సంవత్సరాలలో ఈ పని తగినంతగా చేసినట్లు కనిపించినప్పుడు ఈ అదనపు స్కోరింగ్‌ను ఎందుకు ప్రేరేపించాలి?

స్పష్టముగా, సంస్థలు వారి అనువర్తనాలకు బాధ్యత వహించాల్సిన బాధ్యతకు వస్తుంది. ఆదర్శవంతమైన ప్రపంచంలో, ప్రతి ఒక్కరూ తమ ఉత్పత్తులలో ఉపయోగించే భాగాల స్కోర్‌లను వారి జాబితాలో చేర్చే ముందు తనిఖీ చేస్తారు, గతంలో సురక్షితమని భావించిన ప్రాజెక్టులలో కొత్త హానిని కనుగొన్నప్పుడు హెచ్చరికలను స్వీకరిస్తారు మరియు అవసరమైన పాచెస్‌ను వారి స్వంతంగా అమలు చేస్తారు .

ఒక సంస్థకు ఈ దుర్బలత్వాలలో కొన్ని ఎంత వినాశకరమైనవని చూపించే జాబితా ఉంటే, అప్పుడు సంస్థలు ప్రమాదకర భాగాలతో చిక్కుకోకుండా ఎక్కువ ఒత్తిడిని అనుభవిస్తాయి. కనీసం, వారు ఇప్పటికే కలిగి ఉన్న ఓపెన్ సోర్స్ లైబ్రరీల యొక్క నిజమైన జాబితాను తీసుకోవడానికి వారు చర్యలు తీసుకోవచ్చు.

ఈక్విఫాక్స్ అపజయం తరువాత, వారి ఉత్పత్తులలో స్ట్రట్స్ యొక్క హాని కలిగించే సంస్కరణ తమ వద్ద లేదని నిర్ధారించుకోవడానికి ఒకటి కంటే ఎక్కువ సి-స్థాయి ఎగ్జిక్యూటివ్ స్క్రాంబ్లింగ్ చేసే అవకాశం ఉంది. పరిశ్రమను వారి ఓపెన్ సోర్స్ భద్రతను తీవ్రంగా పరిగణించటానికి ఈ సంఘటన జరిగిన సంఘటన దురదృష్టకరం.

మీ అనువర్తనాల యొక్క ఓపెన్-సోర్స్ భాగాలలోని దుర్బలత్వం చాలా వాస్తవ-ప్రపంచ పరిణామాలను కలిగిస్తుందనే పాఠం, నిర్ణయాధికారులు భద్రతకు ఎలా ప్రాధాన్యత ఇస్తారనే దానిపై ప్రభావం చూపుతుందని, వారి ఉత్పత్తులను మరియు వినియోగదారుల డేటాను సురక్షితంగా ఉంచడానికి సరైన సాధనాలను ఎంచుకుంటారని ఆశిద్దాం.