जोखिम (कम्प्युटि)

कम्प्युटर सुरक्षामा, एक जोखिम एक कमजोरी हो जुन एक खतरनाक अभिनेता द्वारा शोषण गर्न सकिन्छ, जस्तै एक आक्रमणकारीले कम्प्युटर प्रणाली भित्र अनाधिकृत कार्यहरू प्रदर्शन गर्न। जोखिमलाई शोषण गर्न, आक्रमणकर्तासँग कम्तिमा एक लागू उपकरण वा प्रविधि हुनुपर्दछ जुन प्रणाली कमजोरीमा जडान हुन सक्छ। यस फ्रेममा, भेद्यतालाई हमला सतह पनि भनिन्छ।

कमजोरी व्यवस्थापन भनेको पहिचान, वर्गीकरण, उपचार, र कमजोरहरूलाई कम गर्ने चक्रीय अभ्यास हो। यस अभ्यासले सामान्यतया कम्प्युटि systems प्रणालीमा सफ्टवेयर कमजोरीलाई जनाउँछ।

एक सुरक्षा जोखिम अक्सर गलत रूपमा कमजोरीको रूपमा वर्गीकृत गरिन्छ। जोखिमको उही अर्थको साथ भेद्यताको उपयोगले भ्रममा पार्न सक्छ। जोखिम एक कमजोर प्रभावको शोषण परिणामस्वरूप एक महत्वपूर्ण प्रभावको सम्भावना हो। त्यसोभए जोखिमविना कमजोरहरू छन्: उदाहरणको लागि जब प्रभावित सम्पत्तिको कुनै मूल्य हुँदैन। एक वा बढि ज्ञात घटनाहरू काम गर्ने र पूर्ण रूपमा लागू भएका आक्रमणहरूको एक जोखिमलाई एक शोषणनीय जोखिम-को रूपमा वर्गीकृत गरिएको छ - एक जोखिम जुनको लागि एक शोषण अवस्थित छ। भेद्यताको विन्डो त्यस्तो समय हो जब सुरक्षा घेरा पेश गरिएको थियो वा प्रयोग गरिएको सफ्टवेयरमा प्रकट गरिएको थियो, जब पहुँच हटाइएको थियो, एक सुरक्षा फिक्स उपलब्ध थियो / तैनात गरिएको थियो, वा आक्रमणकर्ता असक्षम भएको थियो - शून्य-दिन आक्रमण हेर्नुहोस्

सुरक्षा बग (सुरक्षा दोष) एक संकुचित अवधारणा हो: त्यहाँ कमजोरीहरू छन् जुन सफ्टवेयरसँग सम्बन्धित छैन: हार्डवेयर, साइट, कर्मचारी कमजोरीहरू कमजोरीहरूको उदाहरण हो जुन सफ्टवेयर सुरक्षा बगहरू होइन।

प्रोग्रामिंग भाषाहरूमा निर्माणहरू जुन सही तरिकाले प्रयोग गर्न गाह्रो छ कमजोरहरूको ठूलो स्रोत हुन सक्छ।

परिभाषा

सम्पादन

ISO 27005 ले कमजोरलाई परिभाषित गर्दछ:


सम्पत्ति वा सम्पत्तिको समूहको कमजोरी जुन एक वा बढी धम्कीबाट शोषण गर्न सकिन्छ

जहाँ एक सम्पत्ति केहि छ जुन संगठनको मूल्य छ, यसको व्यवसाय परिचालन र तिनीहरूको निरन्तरता, सूचना को स्रोत सहित संगठनको मिशन समर्थन

IETF RFC 4949 कमजोर रूपमा:


प्रणालीको डिजाइन, कार्यान्वयन, वा अपरेशन र व्यवस्थापनमा त्रुटि वा कमजोरी जुन प्रणालीको सुरक्षा नीति उल्ल to्घन गर्नका लागि शोषण गर्न सकिन्छ।

संयुक्त राज्य अमेरिकाको नेशनल सेक्युरिटी सिस्टमस कमिटीले २ated अप्रिल 2010 मा CNSS निर्देशन नं। 4009 in मा जोखिमलाई परिभाषित गर्‍यो।

कमजोरी - एक सूचना प्रणालीमा कमजोरी, प्रणाली सुरक्षा प्रक्रियाहरू, आन्तरिक नियन्त्रणहरू, वा कार्यान्वयन जुन एक खतरा स्रोतले शोषण गर्न सक्दछ।

धेरै एनआईएसटी प्रकाशनहरू आईटी सन्दर्भमा जोखिमलाई विभिन्न प्रकाशनहरूमा परिभाषित गर्दछ: FISMApedia अवधि एक सूची प्रदान गर्दछ। तिनीहरू बीच एसपी -30००--30०, एक फराकिलो दिनुहोस्:

प्रणाली सुरक्षा प्रक्रियाहरू, डिजाइन, कार्यान्वयन, वा आन्तरिक नियन्त्रणहरू जुन एक अभ्यास (दुर्घटनावश ट्रिगर वा जानबूझकर शोषण हुन सक्छ) मा त्रुटि वा कमजोरी र सुरक्षा उल्लंघन वा प्रणालीको सुरक्षा नीतिको उल्लंघनको परिणाम हो।

ENISA कमजोरलाई यस रूपमा परिभाषित गर्दछ:

एक कमजोरी, डिजाइन, वा कार्यान्वयन त्रुटि को अस्तित्व जसले एक अप्रत्याशित, अवांछनीय घटना [G.11] लाई कम्प्युटर प्रणाली, नेटवर्क, अनुप्रयोग, वा प्रोटोकोल समावेशको सुरक्षामा सम्झौता गराउन सक्छ। (ITSEC)

खुला समूहले रूपमा कमजोरलाई परिभाषित गर्दछ

सम्भावना कि खतरा क्षमता खतरा प्रतिरोध क्षमता भन्दा बढी छ।

जानकारी जोखिम को कारक विश्लेषण (FAIR) जोखिम परिभाषित गर्दछ:

सम्भावना कि एक सम्पत्ति एक खतरा एजेन्टको कार्यहरूको प्रतिरोध गर्न असमर्थ हुनेछ

एफएआईआर कमजोर जोखिम नियन्त्रणको शक्तिसँग सम्बन्धित छ, अर्थात् बलको एक मानक मापदण्ड र खतरा क्षमताको तुलनामा नियन्त्रणको शक्ति, अर्थात एक सम्भावित तहको बल जुन एक खतरनाक एजेन्ट एक सम्पत्ति विरुद्ध आवेदन दिन सक्षम छ।

ISACA जोखिममा यो जोखिमलाई परिभाषित गर्दछ यो रूपरेखाको रूपमा:


डिजाइन, कार्यान्वयन, अपरेशन वा आन्तरिक नियन्त्रणमा कमजोरी

डाटा र कम्प्युटर सुरक्षा: मानक अवधारणा र सर्तहरूको शब्दकोश, लेखक डेनिस लांगले र माइकल श्यान, स्टकटन प्रेस, ISBN ०- 9 3535859 -17-१--,, असुरक्षालाई परिभाषित गर्दछ:


१) कम्प्युटर सुरक्षामा, स्वचालित प्रणाली सुरक्षा प्रक्रियाहरू, प्रशासनिक नियन्त्रणहरू, इन्टर्नेट नियन्त्रणहरू, इत्यादिमा कमजोरी जुन सूचनामा अनाधिकृत पहुँच प्राप्त गर्न वा आलोचनात्मक प्रक्रियामा अवरोध खतराहरू द्वारा शोषण गर्न सक्दछ। २) कम्प्युटर सुरक्षामा, शारीरिक लेआउट, संगठन, प्रक्रियाहरू, कर्मचारीहरू, व्यवस्थापन, प्रशासन, हार्डवेयर वा सफ्टवेयरमा कमजोरी जुन एडीपी प्रणाली वा गतिविधिलाई हानी गर्नका लागि शोषण गर्न सकिन्छ। )) कम्प्युटर सुरक्षामा, कुनै कमजोरी वा त्रुटि प्रणालीमा अवस्थित छ। आक्रमण वा हानिकारक घटना, वा त्यो आक्रमण आरोहण गर्न एक खतरा एजेन्टलाई अवसर।

म्याट विशप र डेव बेली कम्प्युटर जोखिमको निम्न परिभाषा दिन्छ:


एक कम्प्युटर प्रणाली कम्प्युटर प्रणाली बनाउने संस्थाको वर्तमान कन्फिगरेसन वर्णन राज्यहरु मिलेर बनेको छ। प्रणालीले राज्यको परिवर्तनको माध्यमबाट कम्प्युट गर्छ। सुरक्षा ट्रान्जिसनको सेटको प्रयोग गरी दिइएको राज्यको पहुँचबाट सबै राज्यहरू पहुँच योग्य हुन्छन् जुन सुरक्षा नीतिले परिभाषित गरेको छ। यस कागजमा, यी वर्ग र ट्रान्जिसनहरूको परिभाषा अक्षीय मानिन्छ। कमजोर राज्य एक आधिकारिक राज्य हो जहाँबाट एक अनधिकृत राज्य आधिकारिक राज्य ट्रान्जिसनहरूको प्रयोग गरेर पुग्न सकिन्छ। एक सम्झौता राज्य राज्य छ कि पुग्यो। एउटा आक्रमण अधिकृत राज्य ट्रान्जिसनको क्रम हो जुन एक सम्झौता राज्यमा समाप्त हुन्छ। परिभाषा द्वारा, आक्रमण एउटा कमजोर राज्यमा सुरु हुन्छ। एक जोखिम नै एक कमजोर राज्यको चरित्र हो जुन यसलाई सबै असुरक्षित राज्यहरू भन्दा फरक पार्छ। यदि जेनेरिक, कमजोर जोखिम धेरै धेरै कमजोर राज्य विशेषता हुन सक्छ; यदि विशिष्ट छ भने, यो केवल एक विशेषता हुन सक्छ ...

राष्ट्रिय सूचना आश्वासन प्रशिक्षण र शिक्षा केन्द्रले जोखिमलाई परिभाषित गर्दछ:


स्वचालित प्रणाली सुरक्षा प्रक्रियाहरू, प्रशासनिक नियन्त्रणहरू, आन्तरिक नियन्त्रणहरू, र यस्तै अन्य कुनै कमजोरी, जुन जानकारीमा अनधिकृत पहुँच प्राप्त गर्न वा महत्वपूर्ण प्रक्रियामा अवरोध खतराहरू द्वारा शोषण गर्न सकिन्छ। २. प्रणाली सुरक्षा प्रक्रियाहरू, हार्डवेयर डिजाइन, आन्तरिक नियन्त्रणहरू, इत्यादिमा कमजोरी, जुन वर्गीकृत वा संवेदनशील जानकारीमा अनधिकृत पहुँच प्राप्त गर्न शोषण गर्न सकिन्छ। The. एडीपी प्रणाली वा गतिविधिलाई नोक्सान पुर्‍याउन शारीरिक शोषण, संगठन, प्रक्रियाहरू, कर्मचारीहरू, व्यवस्थापन, प्रशासन, हार्डवेयर, वा सफ्टवेयरमा कमजोरी। एक जोखिम को उपस्थिति आफैमा हानि पैदा गर्दैन; जोखिम केवल एक अवस्था वा सर्तहरूको सेट हो जुन एडीपी प्रणाली वा गतिविधिलाई आक्रमणले नोक्सान पुर्‍याउन सक्छ। An. एक दावा मुख्यतया आन्तरिक वातावरण (सम्पत्ति) को अस्तित्व को बारे मा; हामी भन्छौं कि एक सम्पत्ति (वा सम्पत्तिको वर्ग) कमजोर छ (कुनै न कुनै रूपमा, सम्भवतः एजेन्ट वा एजेन्टको संग्रह समावेश गर्दै); हामी लेख्छौं: V (i, e) जहाँ: e खाली सेट हुन सक्छ। Various. विभिन्न खतराहरूको लागि संवेदनशीलता। Specific. एक विशिष्ट आन्तरिक इकाईको गुणहरूको सेट जुन, एक विशिष्ट बाह्य इकाईको गुणहरूको सेटको साथमा, जोखिम दर्शाउँछ। A. अस्वाभाविक (मानव निर्मित) शत्रुतापूर्ण वातावरणमा प्रभावको एक निश्चित स्तरको अधीनमा परेको परिणामस्वरूप एक निश्चित गिरावट (निर्दिष्ट गरिएको मिसन गर्न असमर्थता) भोग्नु पर्ने प्रणालीको विशेषताहरू।

कमजोर र जोखिम कारक मोडेलहरू

सम्पादन

एक संसाधन (या त शारीरिक वा तार्किक) एक वा बढी सम्भावनाहरू हुन सक्छ जुन एक खतरनाक एजेन्टले धम्की कार्यमा शोषण गर्न सक्दछ। नतिजाले एक संगठन र / वा अन्य पार्टीहरू (ग्राहकहरू, आपूर्तिकर्ता) सम्बन्धित सम्बन्धित गोपनीयता, अखण्डता वा संसाधनहरूको उपलब्धता सम्भावित रूपमा सम्झौता गर्न सक्दछ।

तथाकथित सीआईए ट्राईड सूचना सुरक्षाको आधार हो।

एक आक्रमण सक्रिय हुन सक्छ जब यसले प्रणाली स्रोतहरू परिवर्तन गर्न वा उनीहरूको सञ्चालनमा असर पार्ने, अखण्डता वा उपलब्धता सम्झौता गर्ने प्रयास गर्दछ। "निष्क्रिय आक्रमण" ले प्रणालीबाट जानकारी सिक्न वा प्रयोगको लागि प्रयास गर्दछ तर सुरक्षा संसाधनहरूमा असर गर्दैन, गोपनीयतासँग सम्झौता गर्दै।

 
OWASP: खतरा एजेन्ट र व्यापार प्रभाव बीचको सम्बन्ध

OWASP (चित्र हेर्नुहोस्) उही घटना लाई अलि फरक शब्दहरु मा दर्शाउँछ: एक हमला भेक्टर मार्फत एक धम्की एजेन्ट प्रणाली को एक कमजोरी (जोखिम) को शोषण र सम्बन्धित सुरक्षा नियन्त्रण, एक आईटी संसाधन मा एक प्राविधिक प्रभाव को कारण (सम्पत्ति) मा जडित व्यापार प्रभाव।

समग्र तस्वीर जोखिम परिदृश्यको जोखिम कारक प्रतिनिधित्व गर्दछ।

सूचना सुरक्षा व्यवस्थापन प्रणाली

सम्पादन

सूचना सुरक्षा प्रबन्धनसँग सम्बन्धित नीतिहरूको एक सेट, सूचना सुरक्षा प्रबन्धन प्रणाली (ISMS), व्यवस्थापन गर्न विकसित गरिएको छ, जोखिम प्रबन्धन सिद्धान्तहरू अनुसार, सुरक्षा रणनीति सुनिश्चित गर्नका लागि काउन्मेजरहरू दिइएको नियममा लागू हुने नियम र नियमहरू पछ्याउने छ। देश। यी काउन्मेसरहरूलाई सुरक्षा नियन्त्रण पनि भनिन्छ, तर जब सूचना प्रसारणमा लागु गरिन्छ, तिनीहरूलाई सुरक्षा सेवाहरू भनिन्छ।

वर्गीकरण

सम्पादन

असुरक्षाहरू सम्पत्ति वर्ग अनुसार वर्गीकृत गरिएको छ तिनीहरू सम्बन्धित छन्:

  • हार्डवेयर
    • आर्द्रतामा अतिसंवेदनशीलता
    • धूलो को लागी संवेदनशीलता
    • माटोमा संवेदनशीलता
    • असुरक्षित भण्डारणको लागि अतिसंवेदनशीलता
  • सफ्टवेयर
    • अपर्याप्त परीक्षण
    • अडिट ट्रेलको अभाव
    • डिजाइन त्रुटि
  • नेटवर्क
    • असुरक्षित संचार लाइनहरु
    • असुरक्षित नेटवर्क वास्तुकला
  • कर्मचारीहरु
    • अपर्याप्त भर्ती प्रक्रिया
    • अपर्याप्त सुरक्षा जागरूकता
  • भौतिक साइट
    • क्षेत्र बाढीको अधीनमा छ
    • अविश्वसनीय शक्ति स्रोत
  • संगठनात्मक
    • नियमित अडिटहरूको अभाव
    • निरन्तरता योजना को अभाव
    • सुरक्षाको अभाव

कारणहरू

सम्पादन
  • जटिलता: ठूला, जटिल प्रणालीहरूले त्रुटि र अनावश्यक पहुँच पोइन्टहरूको सम्भावना बढाउँछन्।
  • परिचितता: सामान्य, प्रख्यात कोड, सफ्टवेयर, अपरेटि systems प्रणाली, र / वा हार्डवेयर प्रयोग गर्नाले आक्रमणकारीको सम्भावना बढ्छ वा त्रुटि र शोषण गर्न ज्ञान र उपकरणहरू फेला पार्न सक्छ।
  • कनेक्टिविटी: अधिक शारीरिक जडानहरू, सुविधाहरू, पोर्टहरू, प्रोटोकलहरू, र सेवाहरू र ती सबै समय पहुँचयोग्य बृद्धि जोखिममा छन्।
  • पासवर्ड व्यवस्थापन त्रुटि: कम्प्युटर प्रयोगकर्ताले कमजोर पासवर्ड प्रयोग गर्दछ जुन ब्रूट फोर्सले पत्ता लगाउन सक्दछ। कम्प्युटर प्रयोगकर्ताले कम्प्युटरमा पासवर्ड भण्डार गर्दछ जहाँ प्रोग्रामले यसलाई पहुँच गर्न सक्दछ। प्रयोगकर्ताहरूले धेरै कार्यक्रमहरू र वेबसाइटहरू बीच पासवर्ड पुन: प्रयोग गर्दछ।
  • मौलिक अपरेटिंग सिस्टम डिजाइन त्रुटिहरू: अपरेटि system सिस्टम डिजाइनरले प्रयोगकर्ता / कार्यक्रम व्यवस्थापनमा सबप्टिमल नीतिहरू लागू गर्न छनौट गर्दछ। उदाहरण को लागी, पूर्वनिर्धारित अनुमति को रूप मा नीतिहरु संग अपरेटिंग प्रणाली प्रत्येक प्रोग्राम र सबै प्रयोगकर्ताले सम्पूर्ण कम्प्युटरमा पूर्ण पहुँच प्रदान गर्दछ। यस अपरेटि system सिस्टम दोषले प्रशासकको तर्फबाट आदेशहरू कार्यान्वयन गर्न भाइरस र मालवेयरलाई अनुमति दिन्छ। इन्टर्नेट वेबसाइट ब्राउजि:: केहि ईन्टरनेट वेबसाइटहरूमा हानिकारक स्पाइवेयर वा एडवेयर हुन सक्छ जुन कम्प्युटर प्रणालीहरूमा स्वचालित रूपमा स्थापना गर्न सकिन्छ। ती वेबसाईटहरू भ्रमण गरिसकेपछि, कम्प्युटर प्रणालीहरू संक्रमित हुन्छन् र व्यक्तिगत जानकारी स .्कलन गरेर तेस्रो पक्षका व्यक्तिहरूलाई पठाइन्छ। सफ्टवेयर बगहरू: प्रोग्रामरले सफ्टवेयर प्रोग्राममा एक शोषणयुक्त बग छोड्दछ। सफ्टवेयर बगले आक्रमणकर्तालाई अनुप्रयोगको दुरुपयोग गर्न अनुमति दिनेछ। जाँच नगरिएको प्रयोगकर्ता इनपुट: कार्यक्रमले सबै प्रयोगकर्ता इनपुट सुरक्षित छ भनेर मान्दछ। प्रोग्रामहरू जसले प्रयोगकर्ता इनपुट जाँच गर्दैनन् अज्ञात प्रत्यक्ष आदेशहरू वा SQL स्टेटमेन्टहरू (बफर ओभरफ्लोज, SQL ईन्जेक्शन वा अन्य गैर-मान्य ईनपुटहरू को रूपमा परिचित) को अनुमति दिन सक्छ। विगतका गल्तीहरूबाट पाठ सिक्न: उदाहरणका लागि IPv4 प्रोटोकोल सफ्टवेयरमा भेट्टाउने प्रायः कमजोरहरू नयाँ IPv6 कार्यान्वयनहरूमा पत्ता लगाइयो।

अनुसन्धानले देखाईएको छ कि अधिक जानकारी प्रणालीमा सबैभन्दा जोखिमपूर्ण बिन्दु मानव प्रयोगकर्ता, अपरेटर, डिजाइनर, वा अन्य मानव हो: त्यसैले मानिसहरूलाई तिनीहरूको विभिन्न भूमिकामा सम्पत्ति, धम्की, सूचना संसाधनको रूपमा विचार गर्नुपर्दछ। सामाजिक ईन्जिनियरिंग एक बढ्दो सुरक्षा चिन्ता हो।

कमजोरी परिणामहरू

सम्पादन

एक सुरक्षा उल्लंघन को प्रभाव धेरै उच्च हुन सक्छ। यो तथ्य जुन आईटी प्रबन्धकहरू, वा माथिल्लो व्यवस्थापनले (सजिलैसँग) जान्न सक्दछ कि आईटी प्रणाली र अनुप्रयोगहरूले कमजोरीहरू छन् र आईटी जोखिम प्रबन्ध गर्न कुनै कार्यहरू गर्दैनन् जुन प्रायः कानूनहरूमा एक दुराचारको रूपमा देखिन्छ। गोपनीयता कानूनले व्यवस्थापकहरूलाई सुरक्षा जोखिमको प्रभाव वा सम्भावना कम गर्न कार्य गर्न बल गर्दछ। सूचना प्रविधि सुरक्षा अडिट अन्य स्वतन्त्र व्यक्तिहरूलाई यो प्रमाणित गर्न एक तरीका हो कि आईटी वातावरण राम्रोसँग व्यवस्थापन गरिएको छ र जिम्मेवारी कम गर्ने, कम्तिमा राम्रो विश्वास प्रदर्शन गरेको हो। पेन्टेसन टेस्ट भनेको संस्थाले अपनाएको कमजोरी र काउन्टरमाइजरको प्रमाणिकरणको एक रूप हो: एक व्हाइट ह्याट ह्याकरले संगठनको सूचना प्रविधि सम्पत्तिमा आक्रमण गर्न खोज्छ, IT सुरक्षामा सम्झौता गर्नु कत्तिको सजिलो वा गाह्रो छ भनेर पत्ता लगाउन। आईटी जोखिमलाई व्यवसायिक रूपमा व्यवस्थित गर्ने उचित तरिका भनेको सूचना सुरक्षा प्रबन्धन प्रणाली अपनाउनु हो, जस्तै ISO/IEC 27002 वा जोखिम आईटी र त्यसलाई अनुसरण गर्नुहोस्, माथिल्लो प्रबन्धले तोकेको सुरक्षा रणनीतिका अनुसार।

सूचना सुरक्षाको एक प्रमुख अवधारणा भनेको गहिराईमा रक्षाको सिद्धान्त हो: अर्थात् बहुपक्षीय रक्षा प्रणाली सेट अप गर्न जुन:

  • शोषण रोक्नुहोस्
  • आक्रमण पत्ता लगाउनुहोस् र रोक्नुहोस्
  • धम्की एजेन्टहरू पत्ता लगाउनुहोस् र उनीहरूलाई मुद्दा चलाउनुहोस्

घुसपैठ पत्ता लगाउने प्रणाली प्रणालीहरूको वर्गको उदाहरण हो जुन आक्रमणहरू पत्ता लगाउन प्रयोग गरियो।

शारीरिक सुरक्षा जानकारी को सम्पत्ति को रक्षा गर्न उपायहरु को एक सेट हो: यदि कसैले जानकारी सम्पत्ति को लागी भौतिक पहुँच प्राप्त गर्न सक्दछ भने, यो वैध प्रयोगकर्ताहरु को लागी संसाधनहरु अनुपलब्ध बनाउन को लागी एकदम सजिलो छ।

कम्प्युटरले सन्तुष्ट हुने मापदण्डका केही सेटहरू, यसको अपरेटि system प्रणाली र राम्रो सुरक्षा स्तर पूरा गर्नका लागि एप्लिकेसनहरू विकसित गरिएको छ: ITSEC र साझा मापदण्ड दुईवटा उदाहरण हुन्।

कमजोरी प्रकटीकरण

सम्पादन

एक जिम्मेवार प्रकटीकरणले प्रभावित विक्रेताहरूलाई दुई हप्ता पछि CERT सचेत गर्नु अघि गोप्य रूपमा सतर्क गराउँछ, जसले विक्रेताहरूलाई सुरक्षा सल्लाह प्रकाशित गर्नु अघि 45 45 दिनको अतिरिक्त अवधि प्रदान गर्दछ।

पूर्ण खुलासा तब गरिन्छ जब सम्भाव्यताको सबै विवरणहरू सार्वजनिक गरिन्छ, सायद सफ्टवेयर वा प्रक्रिया लेखकहरूमाथि दबाब दिने अभिप्रायले तुरुन्तै एउटा समाधान फेला पार्न।

सम्मानित लेखकहरूले कमजोरीहरू र उनीहरूको शोषण कसरी गर्ने भन्ने बारेमा पुस्तकहरू प्रकाशित गरेका छन्: ह्याकि:: एक्सप्लुटेसन दोस्रो संस्करणको एक राम्रो उदाहरण हो।

साइबर वारफेयर वा साइबर क्राइम उद्योगको आवश्यकता पूरा गर्ने सुरक्षा अनुसन्धानकर्ताहरूले भनेका छन् कि यस दृष्टिकोणले उनीहरूको प्रयासको लागि पर्याप्त आय प्रदान गर्दैन। यसको सट्टामा, उनीहरूले निजी शोरो दिन शून्य आक्रमणहरू सक्षम पार्न प्रस्ताव गर्छन्।

नयाँ कमजोरीहरू फेला पार्न र त्यसलाई सच्याउनको लागि कहिल्यै अन्त्य नभएको प्रयासलाई कम्प्युटर सुरक्षा भनिन्छ।

जनवरी २०१ 2014 मा जब Google ले यसलाई ठीक गर्न प्याच जारी गर्नु अघि माइक्रोसफ्टको जोखिम प्रकट गर्‍यो, माइक्रोसफ्टका एक प्रतिनिधिले खुलासा खुलासा गर्दा सफ्टवेयर कम्पनीहरूमा समन्वित अभ्यासको लागि आग्रह गरे।

कमजोरी सूची

सम्पादन

मिटर कर्पोरेशनले सामान्य असुरक्षा र एक्सपोजर भनिने प्रणालीमा खुलासा गरिएको कमजोरहरूको सूची राख्दछ, जहाँ भेद्यतालाई वर्गीकृत गरीन्छ (स्कोर) सामान्य वेन्नरबिलिटी स्कोरिंग सिस्टम (CVSS) प्रयोग गरेर।

OWASP ले प्रणाली डिजाइनरहरू र प्रोग्रामरहरूलाई शिक्षित गर्ने उद्देश्यको साथ सम्भावित जोखिमहरूको सूची संकलन गर्दछ, जसले गर्दा सफ्टवेयरमा अन्जानमा लेखिएको कमजोरताको सम्भावना कम गर्दछ।

भेद्यताको खुलासाको समय सुरक्षा समुदाय र उद्योगमा बिभिन्न किसिमले परिभाषित गरिएको छ। यसलाई प्राय "" एक निश्चित पार्टी द्वारा सुरक्षा जानकारीको एक किसिमको सार्वजनिक प्रकटीकरण "भनेर चिनिन्छ। सामान्यतया, भेद्यता जानकारी मेलिंग सूचीमा छलफल गरिन्छ वा सुरक्षा वेब साइटमा प्रकाशित हुन्छ र सुरक्षा सल्लाहकार पछि परिणाम हुन्छ।

खुलासाको समय पहिलो मिति एक सुरक्षा जोखिम एक च्यानलमा वर्णन गरिएको छ जहाँ भेद्यताको खुलासा गरिएको जानकारीले निम्न आवश्यकता पूरा गर्नुपर्दछ:

  • जानकारी सार्वजनिक रूपमा स्वतन्त्र रूपमा उपलब्ध छ
  • भेद्यता जानकारी एक विश्वसनीय र स्वतन्त्र च्यानल / स्रोत द्वारा प्रकाशित गरीन्छ
  • जोखिम रेटिंग जानकारी प्रकटीकरणमा समावेश गरीन्छ कि विशेषज्ञहरूले ती भेद्यता विश्लेषण गरेका छन्
भेद्यताहरू पहिचान गर्दै र हटाउँदै

धेरै सफ्टवेयर उपकरणहरू अवस्थित छन् जुन एक कम्प्युटर प्रणालीमा कमजोरीहरूको खोज (र कहिलेकाँही हटाउने) लाई सहयोग पुर्‍याउन सक्छ। यद्यपि यी उपकरणहरूले एक सम्भावित सम्भावित कमजोरीहरूको राम्रो सिंहावलोकनको साथ एक लेखा परीक्षक प्रदान गर्न सक्छ, ती मानव न्याय बदल्न सक्दैन। केवल स्क्यानरहरूमा भर पर्नाले गलत सकारात्मक र प्रणालीमा उपस्थित समस्याहरूको सीमित क्षेत्र दृश्य उत्पन्न गर्दछ।

विन्डोज, म्याकोस, युनिक्स र लिनक्सको विभिन्न रूपहरू, ओपनभीएमएस, र अन्य लगायत हरेक प्रमुख अपरेटिंग सिस्टममा कमजोरीहरू फेला परेका छन्। एक प्रणालीको बिरूद्ध कमजोर जोखिमको सम्भावना कम गर्ने एकमात्र तरीका भनेको सतर्क सतर्कता, सावधान प्रणाली मर्मतसहित (जस्तै सफ्टवेयर प्याचहरू लागू गर्ने), डिप्लोयमेन्टमा उत्तम अभ्यासहरू (जस्तै फायरवालहरू र पहुँच नियन्त्रणहरूको प्रयोग) र अडिटिंग (दुबै समयमा) विकास र तैनाती जीवन भर मा)।

कमजोरीहरूका उदाहरणहरू

सम्पादन

कमजोरीहरू सम्बन्धित छन्:

  • प्रणालीको भौतिक वातावरण
  • कर्मचारीहरु
  • व्यवस्थापन
  • प्रशासन प्रक्रिया र संगठन भित्र सुरक्षा उपायहरू
  • व्यवसाय संचालन र सेवा डेलिभरी
  • हार्डवेयर
  • सफ्टवेयर
  • सञ्चार उपकरण र सुविधा
  • परिधीय उपकरणहरु

  • र तिनीहरूको संयोजनहरू।

यो स्पष्ट छ कि एक शुद्ध प्राविधिक दृष्टिकोणले भौतिक सम्पत्तिलाई पनि सुरक्षित गर्न सक्दैन: एकसँग प्रशासनिक प्रक्रिया हुनुपर्छ सुविधाहरूमा प्रवेश गर्न दिन र प्रक्रियाको पर्याप्त ज्ञान भएका मानिसहरूलाई, उचित हेरचाहको साथ यसलाई अनुसरण गर्न प्रेरित। सामाजिक ईन्जिनियरिंग (सुरक्षा) हेर्नुहोस्।

कमजोरी शोषणका चार उदाहरणहरू:

  • एक आक्रमणकर्ताले संवेदनशील डाटा निर्यात गर्न मालवेयर स्थापना गर्न ओभरफ्लो कमजोरी फेला पार्दछ र प्रयोग गर्दछ;
  • एक आक्रमणकर्ताले एक प्रयोगकर्तालाई संलग्न मालवेयरको साथ ईमेल सन्देश खोल्न मनाउँछ;
  • एक आन्तरिक एक कठोर, ईन्क्रिप्टेड प्रोग्राम को थम्ब ड्राइवमा प्रतिलिपि गर्दछ र यसलाई घरमा क्र्याक गर्दछ;
  • एक बाढीले भूइँमा स्थापित कम्प्यूटर प्रणालीलाई क्षति पुर्‍याउँछ।

सफ्टवेयर कमजोरीहरू

सम्पादन

सामान्य प्रकारका सफ्टवेयर त्रुटिहरूमा जोखिम निम्त्याउँछ:

  • मेमोरी सुरक्षा उल्लंघन, जस्तै:
    • बफर ओभरफ्लो र ओवर-रिडहरू
    • Dangling सूचकहरू
    • इनपुट मान्यीकरण त्रुटिहरू, जस्तै:
    • कोड इंजेक्शन
    • वेब अनुप्रयोगहरूमा क्रस-साइट स्क्रिप्टि।
    • निर्देशिका traversal
    • इ-मेल इंजेक्शन
    • ढाँचा स्ट्रि attacks आक्रमणहरू
    • HTTP हेडर इंजेक्शन
    • HTTP प्रतिक्रिया विभाजन
    • SQL ईन्जेक्शन
    • विशेषाधिकार भ्रम बगहरू, जस्तै:
    • क्लिकज्याकिंग
    • वेब अनुप्रयोगहरूमा क्रस-साइट अनुरोध जालसाजी
    • FTP बाउन्स आक्रमण
    • विशेषाधिकार वृद्धि
    • दौड सर्तहरू, जस्तै:
    • SyMLink रेसहरू
    • समय-जाँच-को-प्रयोग-बगहरू
    • साइड-च्यानल हमला
    • समय आक्रमण
    • प्रयोगकर्ता इन्टरफेस विफलता, जस्तै:
    • दोषलाई दोष दिने प्रयोगकर्तालाई जवाफ दिन पर्याप्त जानकारी नदिई सुरक्षा निर्णय गर्न प्रोम्ट गर्दै
    • दौड सर्तहरू
    • चेतावनी थकान वा प्रयोगकर्ता कन्डिसन।

कोडिंग दिशानिर्देशहरूको केही सेट विकसित गरिएको छ र कोड कोड दिशानिर्देशहरू पालना गर्दछ भन्ने प्रमाणित गर्नको लागि स्थिर कोड विश्लेषकहरूको ठूलो संख्या प्रयोग गरिएको छ।

पनि हेर्नुहोस्

सम्पादन
  • ब्राउजर सुरक्षा
  • कम्प्युटर आपतकालीन प्रतिक्रिया टीम
  • सूचना सुरक्षा
  • इन्टर्नेट सुरक्षा
  • मोबाइल सुरक्षा
  • कमजोरी स्क्यानर

सन्दर्भ

सम्पादन

बाह्य लिंकहरू

सम्पादन