भेद्यता स्कोरिंग सिस्टम और डेटाबेस
भेद्यता स्कोरिंग सिस्टम और डेटाबेस: -
सीवीई भेद्यता का उपयोग कैसे करें? सीवीई भेद्यता की जांच कैसे करें?
इस लेख में आप भेद्यता स्कोरिंग सिस्टम और डेटाबेस, सामान्य भेद्यता और जोखिम सूची, cve भेद्यता का उपयोग कैसे करें, cve भेद्यता की जाँच कैसे करें आदि के बारे में जानेंगे।
भेद्यता स्कोरिंग सिस्टम और डेटाबेस: -
साइबर हमलों की बढ़ती गंभीरता के कारण भेद्यता अनुसंधान महत्वपूर्ण हो गया है क्योंकि यह हमलों की संभावना को कम करने में मदद करता है। भेद्यता अनुसंधान उन्नत तकनीकों के बारे में जागरूकता प्रदान करता है ताकि हमलावरों द्वारा शोषण किए जा सकने वाले सॉफ़्टवेयर में खामियों या खामियों की पहचान की जा सके।
भेद्यता स्कोरिंग सिस्टम और भेद्यता डेटाबेस का उपयोग सुरक्षा विश्लेषकों द्वारा सूचना प्रणाली की कमजोरियों को रैंक करने और पहचानी गई कमजोरियों से जुड़े समग्र गंभीरता और जोखिम का समग्र स्कोर प्रदान करने के लिए किया जाता है। भेद्यता डेटाबेस सूचना प्रणाली में मौजूद विभिन्न कमजोरियों के बारे में जानकारी रखता है।
निम्नलिखित कुछ भेद्यता स्कोरिंग सिस्टम और डेटाबेस हैं:
1. सामान्य भेद्यता स्कोरिंग प्रणाली सामान्य भेद्यता स्कोरिंग प्रणाली (सीवीएसएस)
2. सामान्य भेद्यताएँ और जोखिम सामान्य भेद्यताएँ और जोखिम (CVE)
3. राष्ट्रीय भेद्यता डेटाबेस राष्ट्रीय भेद्यता डेटाबेस (एनवीडी)
4. सामान्य कमजोरियों की गणना (सीडब्ल्यूई)
1. सामान्य भेद्यता स्कोरिंग सिस्टम (सीवीएसएस)
स्रोत: https://www.first.org, https://nvd.nist.gov
सीवीएसएस (सामान्य भेद्यता स्कोरिंग सिस्टम) एक प्रकाशित मानक है जो आईटी भेद्यता की विशेषताओं और प्रभावों को संप्रेषित करने के लिए एक खुला ढांचा प्रदान करता है।
सिस्टम का मात्रात्मक मॉडल दोहराने योग्य, सटीक माप सुनिश्चित करता है जबकि उपयोगकर्ताओं को अंतर्निहित भेद्यता विशेषताओं को देखने में सक्षम बनाता है जिनका उपयोग स्कोर उत्पन्न करने के लिए किया जाता है।
इस प्रकार, सीवीएसएस उद्योगों, संगठनों और सरकारों के लिए एक मानक माप प्रणाली के रूप में अच्छी तरह से अनुकूल है, जिसके लिए सटीक और लगातार भेद्यता प्रभाव स्कोर की आवश्यकता होती है।
सीवीएसएस के दो सामान्य उपयोग भेद्यता सुधारात्मक गतिविधियों को प्राथमिकता दे रहे हैं और किसी के सिस्टम पर खोजी गई कमजोरियों की गंभीरता की गणना कर रहे हैं। राष्ट्रीय भेद्यता डेटाबेस (एनवीडी) लगभग सभी ज्ञात कमजोरियों के लिए सीवीएसएस स्कोर प्रदान करता है।
सीवीएसएस भेद्यता की प्रमुख विशेषताओं को पकड़ने में मदद करता है और इसकी गंभीरता को दर्शाने के लिए एक संख्यात्मक स्कोर उत्पन्न करता है।
इस संख्यात्मक स्कोर को तब गुणात्मक प्रतिनिधित्व (जैसे निम्न, मध्यम, उच्च, या महत्वपूर्ण) में अनुवादित किया जा सकता है ताकि संगठन अपनी भेद्यता प्रबंधन प्रक्रियाओं का उचित मूल्यांकन और प्राथमिकता दे सकें।
कमजोरियों को मापने के लिए सीवीएसएस मूल्यांकन में तीन मेट्रिक्स शामिल हैं:
1. बेस मेट्रिक: भेद्यता के निहित गुणों का प्रतिनिधित्व करता है
2. टेम्पोरल मेट्रिक: उन विशेषताओं का प्रतिनिधित्व करता है जो भेद्यता के जीवनकाल के दौरान बदलती रहती हैं।
3. पर्यावरण मीट्रिक: उन कमजोरियों का प्रतिनिधित्व करता है जो किसी विशेष वातावरण या कार्यान्वयन पर आधारित होती हैं।
प्रत्येक मीट्रिक 1 से 10 तक का स्कोर निर्दिष्ट करती है, जिसमें 10 सबसे गंभीर होता है। सीवीएसएस स्कोर की गणना की जाती है और टेक्स्ट के ब्लॉक के रूप में प्रत्येक समूह के लिए संख्यात्मक स्कोर का प्रतिनिधित्व करने वाली वेक्टर स्ट्रिंग द्वारा उत्पन्न की जाती है।
सीवीएसएस कैलकुलेटर सुरक्षा कमजोरियों को रैंक करता है और उपयोगकर्ता को समग्र गंभीरता और भेद्यता के जोखिम के बारे में जानकारी प्रदान करता है।
2. सामान्य भेद्यताएं और जोखिम (सीवीई)
स्रोत: https://cve.mitre.org
CVE (सामान्य भेद्यता और जोखिम) सार्वजनिक रूप से उपलब्ध और उपयोग में आसान सूची या सामान्य सॉफ़्टवेयर भेद्यता और जोखिम के लिए मानकीकृत पहचानकर्ताओं का शब्दकोश है।
CVE नंबरिंग अथॉरिटीज़ (CNAs) द्वारा दुनिया भर से सौंपे गए CVE पहचानकर्ताओं या "CVE IDs" का उपयोग, सॉफ़्टवेयर या फ़र्मवेयर भेद्यताओं के बारे में चर्चा या जानकारी साझा करते समय पार्टियों के बीच विश्वास सुनिश्चित करता है।
सीवीई उपकरण मूल्यांकन के लिए आधार रेखा प्रदान करता है और अधिक सुरक्षा स्वचालन के लिए डेटा एक्सचेंज को सक्षम बनाता है। सीवीई आईडी उपकरणों और सेवाओं के कवरेज का मूल्यांकन करने के लिए आधार रेखा प्रदान करते हैं ताकि उपयोगकर्ता यह निर्धारित कर सकें कि कौन से उपकरण सबसे प्रभावी हैं और उनके संगठन की जरूरतों के लिए उपयुक्त हैं।
संक्षेप में, CVE (सामान्य भेद्यता और जोखिम सूची) वाले उत्पाद और सेवाएँ बेहतर कवरेज, आसान अंतरसंचालनीयता और बढ़ी हुई सुरक्षा प्रदान करते हैं।
सीवीई क्या है:
1. भेद्यता या जोखिम के लिए एक पहचानकर्ता है
2. प्रत्येक भेद्यता या जोखिम के लिए एक मानकीकृत विवरण है
3. यह एक डेटाबेस के बजाय एक शब्दकोश है
4. एक ही भाषा "बोलने" के लिए विभिन्न डेटाबेस और टूल के लिए एक विधि
5. इंटरऑपरेबिलिटी और बेहतर सुरक्षा कवरेज ही रास्ता है
6. सेवाओं, उपकरणों और डेटाबेस के बीच मूल्यांकन के लिए आधार रखें
7. जनता के लिए डाउनलोड और उपयोग करने के लिए निःशुल्क
8. CVE नंबरिंग प्राधिकरणों, CVE बोर्डों और CVE सहित उत्पादों और सेवाओं की एक श्रृंखला के माध्यम से उद्योग समर्थित
3. राष्ट्रीय भेद्यता डेटाबेस (एनवीडी)
स्रोत: https://nvd.nist.gov
अमेरिका के लिए NVD (मानक-आधारित भेद्यता प्रबंधन डेटा) यह सरकार का भंडार है। यह सुरक्षा सामग्री स्वचालन प्रोटोकॉल (SCAP) का उपयोग करता है। इस प्रकार का डेटाa भेद्यता प्रबंधन, सुरक्षा माप और अनुपालन के स्वचालन को सक्षम करने का कार्य करता है।
एनवीडी में सुरक्षा चेकलिस्ट संदर्भों, सुरक्षा संबंधी सॉफ़्टवेयर दोषों, गलत कॉन्फ़िगरेशन, उत्पाद के नाम और प्रभाव मेट्रिक्स का एक डेटाबेस शामिल है।
एनवीडी सीवीई डिक्शनरी में प्रकाशित सीवीई पर विश्लेषण करता है। एनवीडी कर्मचारियों को विवरण, आपूर्ति किए गए संदर्भों और सार्वजनिक रूप से उपलब्ध किसी भी पूरक डेटा से डेटा बिंदुओं को एकत्रित करके सीवीई का विश्लेषण करने का काम सौंपा गया है।
इस विश्लेषण के परिणामस्वरूप संघ प्रभाव मेट्रिक्स (सामान्य भेद्यता स्कोरिंग सिस्टम - सीवीएसएस), भेद्यता प्रकार (सामान्य कमजोरी गणना - सीडब्ल्यूई), और प्रयोज्यता कथन (सामान्य प्लेटफार्म गणना - सीपीई), साथ ही साथ अन्य प्रासंगिक मेटाडेटा।
NVD सक्रिय रूप से भेद्यता परीक्षण नहीं करता है; इन विशेषताओं को निर्दिष्ट करने के लिए उपयोग की जाने वाली जानकारी प्रदान करने के लिए यह विक्रेताओं, तृतीय-पक्ष सुरक्षा शोधकर्ताओं और भेद्यता समन्वयकों पर निर्भर है।
4. सामान्य कमजोरियों की गणना (सीडब्ल्यूई)
स्रोत: https://cwe.mitre.org
कॉमन वीकनेस एन्यूमरेशन (CWE) सॉफ्टवेयर कमजोरियों और कमजोरियों के लिए एक प्रणाली है। यह होमलैंड सुरक्षा विभाग के राष्ट्रीय साइबर सुरक्षा प्रभाग के सहयोग से MITER Corporation, US-CERT और U.S. के स्वामित्व वाली राष्ट्रीय साइबर सुरक्षा FFRDC द्वारा प्रायोजित है।
इसमें कमजोरियों की 600 से अधिक श्रेणियां हैं, जो CWE को कमजोरियों की पहचान, शमन और रोकथाम के प्रयासों के लिए आधार रेखा के रूप में समुदाय द्वारा प्रभावी ढंग से नियोजित करने की क्षमता प्रदान करती हैं।
इसमें एक उन्नत खोज तकनीक भी है जहां हमलावर अनुसंधान अवधारणाओं, विकास अवधारणाओं और वास्तु अवधारणाओं के आधार पर कमजोरियों को ढूंढ सकते हैं और उनका पता लगा सकते हैं।
धन्यवाद
0 Response to "भेद्यता स्कोरिंग सिस्टम और डेटाबेस"
Post a Comment