कितने सुरक्षा कमजोरियां हैं और वे कैसे स्वीकार किए जाते हैं?

हर साल, सुरक्षा और तकनीक कंपनियां हजारों कमजोरियों का विवरण प्रकाशित करती हैं। मीडिया ने उन कमजोरियों पर विधिवत रिपोर्ट दी, सबसे खतरनाक मुद्दों पर प्रकाश डाला और उपयोगकर्ताओं को सुरक्षित रहने के बारे में सलाह दी।

लेकिन क्या होगा अगर मैंने आपको बताया कि उन हजारों कमजोरियों में से कुछ का जंगली में सक्रिय रूप से शोषण किया गया है?

तो कितनी सुरक्षा कमजोरियां हैं, और क्या सुरक्षा कंपनियां तय करती हैं कि भेद्यता कितनी खराब है?

कितने सुरक्षा कमजोरियां हैं?

केन्ना सुरक्षा भविष्यवाणी रिपोर्ट श्रृंखला को प्राथमिकता पाया गया कि 2019 में, सुरक्षा कंपनियों ने 18,000 सीवीई (कॉमन वल्नरेबिलिटी और एक्सपोज़र) प्रकाशित किए।

जबकि यह आंकड़ा बहुत अधिक है, रिपोर्ट में यह भी पाया गया कि, उन 18,000 कमजोरियों में से केवल 473 "व्यापक शोषण तक पहुंची," जो कुल का लगभग 6 प्रतिशत है। हालाँकि इन कमजोरियों का इंटरनेट पर वास्तव में दोहन किया जा रहा था, लेकिन इसका मतलब यह नहीं है कि दुनिया भर के हर हैकर और हमलावर उनका उपयोग कर रहे थे।

इसके अलावा, "शोषण कोड पहले से ही उपलब्ध था> 50% कमजोरियों के लिए जब तक वे प्रकाशित हुए सीवीई सूची। "शोषण कोड पहले से ही अंकित मूल्य पर खतरनाक लगता है, और यह एक है समस्या। हालांकि, इसका मतलब यह भी है कि सुरक्षा शोधकर्ता पहले से ही इस मुद्दे पर काम कर रहे हैं।

प्रकाशन के 30 दिनों के भीतर कमजोरियों को दूर करना आम बात है। यह हमेशा नहीं होता है, लेकिन यह वही है जो ज्यादातर तकनीकी कंपनियां काम करती हैं।

नीचे दिया गया चार्ट रिपोर्ट किए गए सीवीई की संख्या और वास्तव में शोषित संख्या के बीच की विसंगति को दर्शाता है।

सीवीई के लगभग 75 प्रतिशत का पता लगाया जाता है से कम ११,००० संगठनों में १, और सीवीई के केवल ५.९ प्रतिशत का पता १०० संगठनों में से १ में है। वह काफी फैला हुआ है।

आप प्रिडेटिशन वॉल्यूम 6 के लिए उपरोक्त डेटा और आंकड़े पा सकते हैं: हमलावर-डिफेंडर डिवाइड।

सीवीई कौन असाइन करता है?

आप सोच रहे होंगे कि कौन असाइन करता है और शुरू करने के लिए CVE बनाता है। बस कोई भी CVE असाइन नहीं कर सकता। वर्तमान में सीवीई को असाइन करने के लिए अधिकृत 25 देशों के 153 संगठन हैं।

इसका मतलब यह नहीं है कि केवल ये कंपनियां और संगठन ही दुनिया भर में सुरक्षा अनुसंधान के लिए जिम्मेदार हैं। वास्तव में, इससे दूर। इसका अर्थ यह है कि ये 153 संगठन (जिसे सीवीई नंबरिंग अथॉरिटीज या शॉर्ट के लिए CNAs के रूप में जाना जाता है) सार्वजनिक डोमेन में कमजोरियों की रिहाई के लिए सहमत-मानक पर काम करते हैं।

यह एक स्वैच्छिक स्थिति है। प्रतिभागी संगठनों को "भेद्यता के प्रकटीकरण को नियंत्रित करने की क्षमता" का प्रदर्शन करना चाहिए पूर्व-प्रकाशन के बिना जानकारी, "साथ ही साथ अन्य शोधकर्ताओं के साथ काम करने के लिए जो पर जानकारी का अनुरोध करते हैं कमजोरियों।

तीन रूट CNA हैं, जो पदानुक्रम के शीर्ष पर बैठते हैं:

• MITER निगम
• साइबर सुरक्षा और अवसंरचना सुरक्षा एजेंसी (CISA) औद्योगिक नियंत्रण प्रणाली (ICS)
• जेपीसीईआरटी / सीसी

अन्य सभी CNA इन तीन शीर्ष-स्तरीय अधिकारियों में से एक को रिपोर्ट करते हैं। रिपोर्टिंग CNA मुख्य रूप से टेक कंपनियों और हार्डवेयर डेवलपर्स और विक्रेताओं के नाम के साथ मान्यता प्राप्त है, जैसे कि Microsoft, AMD, Intel, Cisco, Apple, Qualcomm, और इसी तरह। पूर्ण CNA सूची इस पर उपलब्ध है MITER वेबसाइट.

भेद्यता रिपोर्टिंग

भेद्यता रिपोर्टिंग को सॉफ्टवेयर के प्रकार से भी परिभाषित किया गया है और मंच पर भेद्यता पाई जाती है। यह इस पर भी निर्भर करता है कि शुरू में इसे कौन पाता है।

उदाहरण के लिए, यदि कोई सुरक्षा शोधकर्ता कुछ मालिकाना सॉफ़्टवेयर में भेद्यता पाता है, तो वे इसे सीधे विक्रेता को रिपोर्ट कर सकते हैं। वैकल्पिक रूप से, यदि ओपन-सोर्स प्रोग्राम में भेद्यता पाई जाती है, तो शोधकर्ता प्रोजेक्ट रिपोर्टिंग या मुद्दों पृष्ठ पर एक नया मुद्दा खोल सकता है।

हालांकि, अगर एक दकियानूसी व्यक्ति को पहले भेद्यता का पता लगाना था, तो वे विचाराधीन विक्रेता से इसका खुलासा नहीं कर सकते हैं। जब ऐसा होता है, तो सुरक्षा शोधकर्ताओं और विक्रेताओं को इसकी भेद्यता के बारे में पता नहीं चलता शून्य-दिन के शोषण के रूप में उपयोग किया जाता है.

कैसे सुरक्षा कंपनियों CVEs दर?

एक और विचार यह है कि सुरक्षा और तकनीकी कंपनियां सीवीई को कैसे रेट करती हैं।

सुरक्षा शोधकर्ता केवल पतली हवा से एक नंबर नहीं खींचता है और इसे नई खोजी गई भेद्यता के लिए असाइन करता है। एक स्कोरिंग ढांचा है जो भेद्यता स्कोरिंग को निर्देशित करता है: सामान्य भेद्यता स्कोरिंग सिस्टम (सीवीएसएस)।

CVSS पैमाने निम्नानुसार है:

तीव्रता	बेस स्कोर
कोई नहीं	0
कम	0.1-3.9
मध्यम	4.0-6.9
उच्च	7.0-8.9
नाजुक	9.0-10.0

भेद्यता के लिए सीवीएसएस मूल्य का पता लगाने के लिए, शोधकर्ता बेस स्कोर मेट्रिक्स, टेम्पोरल स्कोर मेट्रिक्स और पर्यावरण स्कोर मेट्रिक्स को कवर करने वाले चर की एक श्रृंखला का विश्लेषण करते हैं।

• बेस स्कोर मेट्रिक्स कैसे शोषक क्षमता है, हमले की जटिलता, आवश्यक विशेषाधिकार, और भेद्यता के दायरे जैसी चीजों को कवर करें।
• टेम्पोरल स्कोर मेट्रिक्स शोषण कोड कितना परिपक्व है, इसके पहलुओं को कवर करें, अगर शोषण के लिए निवारण मौजूद है, और भेद्यता की रिपोर्टिंग में विश्वास है।
• पर्यावरण स्कोर मेट्रिक्स कई क्षेत्रों से निपटें:
  • शोषण मेट्रिक्स: हमले के वेक्टर को कवर करना, हमले की जटिलता, विशेषाधिकार, उपयोगकर्ता सहभागिता की आवश्यकताएं, और गुंजाइश।
  • प्रभाव मैट्रिक्स: गोपनीयता, अखंडता और उपलब्धता पर प्रभाव को कवर करना।
  • प्रभाव सदस्यता: गोपनीयता की आवश्यकताओं, अखंडता आवश्यकताओं और उपलब्धता आवश्यकताओं को कवर करते हुए इंपैक्ट मेट्रिक्स की आगे की परिभाषा जोड़ता है।

अब, अगर यह सब थोड़ा भ्रामक लगता है, तो दो बातों पर विचार करें। पहला, यह सीवीएसएस पैमाने का तीसरा पुनरावृत्ति है। यह शुरुआत में बाद के संशोधनों के दौरान बाद के मैट्रिक्स को जोड़ने से पहले बेस स्कोर के साथ शुरू हुआ। वर्तमान संस्करण CVSS 3.1 है।

दूसरा, यह समझने के लिए कि सीवीएसएस स्कोर को कैसे दर्शाता है, आप इसका उपयोग कर सकते हैं राष्ट्रीय भेद्यता डेटाबेस CVSS कैलक्यूलेटर यह देखने के लिए कि भेद्यता मेट्रिक्स कैसे सहभागिता करते हैं।

इसमें कोई संदेह नहीं है कि "आंख से" एक भेद्यता स्कोर करना बेहद मुश्किल होगा, इसलिए इस तरह से कैलकुलेटर एक सटीक स्कोर देने में मदद करता है।

सुरक्षित ऑनलाइन रहना

भले ही केन्ना सुरक्षा रिपोर्ट बताती है कि रिपोर्ट की गई कमजोरियों का केवल एक छोटा हिस्सा एक गंभीर खतरा बन जाता है, शोषण का 6 प्रतिशत मौका अभी भी अधिक है। कल्पना कीजिए कि अगर आपकी पसंदीदा कुर्सी हर बार बैठने के दौरान टूटने की 100 संभावना में 6 थी। आप इसे बदल देंगे, है ना?

आपके पास इंटरनेट के समान विकल्प नहीं हैं; यह अपूरणीय है। हालाँकि, अपनी पसंदीदा कुर्सी की तरह, आप इसे पैच अप कर सकते हैं और सुरक्षित कर सकते हैं इससे पहले कि यह और भी बड़ा मुद्दा बन जाए। ऑनलाइन सुरक्षित कहने और मैलवेयर और अन्य कारनामों से बचने के लिए पांच महत्वपूर्ण चीजें हैं:

1. अपडेट करें। अपने सिस्टम को अपडेट रखें। अपडेट नंबर एक तरह से टेक कंपनियां आपके कंप्यूटर को सुरक्षित रखती हैं, कमजोरियों और अन्य खामियों को दूर करती हैं।
2. एंटीवायरस। आप ऑनलाइन चीजें पढ़ सकते हैं जैसे "आपको अब एंटीवायरस की आवश्यकता नहीं है" या "एंटीवायरस बेकार है।" ज़रूर, हमलावर लगातार एंटीवायरस प्रोग्राम से बचने के लिए विकसित होते हैं, लेकिन आप इसके बिना बहुत बदतर स्थिति में होंगे उन्हें। आपके ऑपरेटिंग सिस्टम पर एकीकृत एंटीवायरस एक शानदार शुरुआती बिंदु है, लेकिन आप मालवेयरबाइट्स जैसे टूल से अपनी सुरक्षा को समाप्त कर सकते हैं।
3. लिंक. जब तक आप यह नहीं जानते कि वे कहाँ जा रहे हैं, उन्हें क्लिक न करें। आप ऐसा कर सकते हैं एक संदिग्ध लिंक का निरीक्षण करें अपने ब्राउज़र के इनबिल्ट टूल्स का उपयोग करना।
4. कुंजिका। इसे मजबूत बनाएं, इसे अद्वितीय बनाएं और इसका पुन: उपयोग न करें। हालाँकि, उन सभी पासवर्डों को याद रखना मुश्किल है - कोई भी उनके खिलाफ बहस नहीं करेगा। इसलिए आपको करना चाहिए पासवर्ड मैनेजर देखें उपकरण आपको याद रखने और अपने खातों को बेहतर ढंग से सुरक्षित करने में मदद करने के लिए।
5. घोटाले करते हैं। इंटरनेट पर बहुत सारे घोटाले हैं। अगर यह सच होना बहुत अच्छा लगता है, यह शायद है. अपराधियों और घोटाले करने वालों को पॉलिश किए हुए हिस्सों के साथ स्वाइप वेबसाइटें बनाने के लिए तैयार किया जाता है, जो आपको बिना किसी घोटाले के एहसास कराती हैं। विश्वास मत करो सब कुछ आप ऑनलाइन पढ़ा है।

ऑनलाइन सुरक्षित रहना एक पूर्णकालिक काम नहीं है, और आपको हर बार अपने कंप्यूटर में आग लगाने की चिंता करने की आवश्यकता नहीं है। कुछ सुरक्षा कदम उठाने से आपकी ऑनलाइन सुरक्षा में काफी वृद्धि होगी।

कम से कम लिवर विशेषाधिकार का सिद्धांत क्या है और यह साइबर हमले को कैसे रोक सकता है?

कितनी पहुंच बहुत अधिक है? कम से कम विशेषाधिकार के सिद्धांत के बारे में जानें और यह कैसे अप्रत्याशित साइबर हमले से बचने में मदद कर सकता है।

लेखक के बारे में