आधुनिक सॉफ्टवेयर आपूर्ति श्रृंखला अभूतपूर्व दबाव में चल रही है क्योंकि नई कमजोरियां रिकॉर्ड गति से उभरती हैं। अकेले 2024 में, 33,000 से अधिक नई सामान्य कमजोरियों और एक्सपोज़र (CVES) की सूचना दी गई है – एक रिकॉर्ड आंकड़ा जो सुरक्षा टीमों और डेवलपर्स को अपने मूल कमजोरियों पर ध्यान केंद्रित करने की कोशिश करते हुए पैमाने पर कमजोरियों को कम करने के लिए सुरक्षा टीमों और डेवलपर्स को आगे बढ़ाता है।
फिर भी, “क्रिटिकल” लेबल वाले CVES की उच्च संख्या के बावजूद, एक नज़दीकी नज़र से पता चलता है कि इनमें से कई खतरे अभ्यास में लगभग गंभीर नहीं हैं। वास्तव में, हाल के शोध में पाया गया कि इन CVES में से सिर्फ 12% को आधिकारिक स्रोतों द्वारा “महत्वपूर्ण” के रूप में चिह्नित किया गया था, वास्तव में उस पदनाम को वारंट किया गया था।
यह डिस्कनेक्ट साइबर सुरक्षा उद्योग के लिए एक बढ़ती चुनौती पर प्रकाश डालता है। यद्यपि Miter जैसे CVE स्कोरिंग सिस्टम एक उपयोगी आधार रेखा प्रदान करते हैं, वे अक्सर प्रत्येक संगठन के पर्यावरण के अनूठे संदर्भ के लिए जिम्मेदार होने में विफल रहते हैं। नतीजतन, टीमों ने सैद्धांतिक जोखिमों पर ध्यान केंद्रित करने का जोखिम उठाया, जबकि वास्तविक खतरों को नजरअंदाज किया जा सकता है।
JFROG में खतरे के अनुसंधान के निदेशक।
उदाहरण के लिए, CVE-2024-45490-एक व्यापक रूप से उपयोग किए जाने वाले सॉफ़्टवेयर टूल में एक भेद्यता जिसे 9.8 CVSS स्कोर मिला। यद्यपि इसे एक “महत्वपूर्ण” रेटिंग मिली, आगे के विश्लेषण और संदर्भ से पता चला कि यह केवल 10% मामलों में लागू है। इस दोष का शोषण करने के लिए डेवलपर्स के लिए स्थितियों की एक बहुत विशिष्ट और अप्रत्याशित सेट की आवश्यकता होगी, जिससे वास्तविक दुनिया का शोषण बेहद असंभव हो जाएगा।
CVES का मूल्यांकन करने वाली टीमों को अधिक स्पष्टता लाने के लिए, सुरक्षा नेताओं को आवश्यक प्रासंगिक विश्लेषण के साथ इन खतरों का मूल्यांकन करने के लिए एक चेक और बैलेंस सिस्टम स्थापित करना चाहिए। यह दृष्टिकोण टीमों को कम जोखिम वाली कमजोरियों के शोर के माध्यम से काटने में मदद कर सकता है और यह सुनिश्चित कर सकता है कि संसाधनों को उनकी सबसे अधिक दबाव वाली सुरक्षा समस्याओं की ओर निर्देशित किया जाता है।
क्यों संदर्भ वर्गीकरण से अधिक मायने रखता है
140 हाई-प्रोफाइल CVES के हालिया विश्लेषण से पता चला कि 88% महत्वपूर्ण और 57% उच्च CVE स्कोर उतने गंभीर नहीं थे जितना कि CVSS स्कोरिंग आपको विश्वास होगा। केवल 27 CVES (15%) वास्तव में अत्यधिक शोषक पाए गए।
यह CVES के वास्तविक दुनिया के संदर्भ का आकलन करने के महत्व पर प्रकाश डालता है। इस जानकारी के बिना, गर्भपात से सतर्क थकान, उत्पादकता और मनोबल की सतर्कता हो सकती है, और मानवीय त्रुटि के जोखिम को बढ़ा सकता है, जिससे स्वयं कमजोरियों की तुलना में अधिक नुकसान हो सकता है।
सीवीई के पहलुओं में फैक्टरिंग जैसे कि उनके विशिष्ट वातावरण, एक्सपोज़र स्तर और व्यावसायिक प्रभाव में शोषणशीलता, टीमें अधिक सूचित निर्णय ले सकती हैं, जिनके बारे में कमजोरियां तत्काल ध्यान देने की मांग करती हैं।
डेवलपर्स और सुरक्षा टीमों पर टोल
सुरक्षा चेतावनियों और सीवीई के खुलासे की निरंतर बाढ़ से वास्तविक खतरों को कम तत्काल मुद्दों से अलग करना मुश्किल हो जाता है। समय के साथ, अलर्ट की यह भारी मात्रा ध्यान केंद्रित कर सकती है, जिससे बर्नआउट, धीमी प्रतिक्रिया समय और खतरनाक गलतियों की अधिक संभावना हो सकती है। जैसे -जैसे खतरा अभिनेता अधिक परिष्कृत होते हैं, दरार के माध्यम से फिसलने वाले महत्वपूर्ण मुद्दों का जोखिम केवल तेज होता है।
इस थकान में एक प्रमुख योगदानकर्ता झूठी सकारात्मकता का प्रसार है। जब सुरक्षा उपकरण दुर्भावनापूर्ण के रूप में सौम्य गतिविधि को ध्वजांकित करते हैं, तो विश्लेषकों को अभी भी वास्तविक खतरों से शासन करने के लिए इन अलर्ट की जांच करने की आवश्यकता होती है। नई सुविधाओं के निर्माण पर ध्यान केंद्रित करने या मौजूदा उत्पादों में सुधार करने के बजाय, डेवलपर्स को अक्सर अन्य सुरक्षा सूचनाओं के एक बैराज का जवाब देने के लिए अक्सर खींच लिया जाता है, जिनमें से कई असंगत हो जाते हैं।
अंततः, भेद्यता थकान न केवल सुरक्षा टीमों और डेवलपर्स की प्रभावशीलता को समान रूप से बाधित करती है, बल्कि संगठनों को गंभीर सुरक्षा घटनाओं के अधिक जोखिम में भी डालती है। इस चक्र को तोड़ने के लिए, संगठनों को होशियार, संदर्भ-चालित प्राथमिकता की आवश्यकता होती है जो टीमों को वास्तव में क्या मायने रखता है, इस पर ध्यान केंद्रित करने के लिए सशक्त बनाता है।
एक चालाक तरीका आगे
CVES की बढ़ती सूची एक चालाक, अधिक रणनीतिक दृष्टिकोण की मांग करती है, जो सतह-स्तरीय आकलन से परे है। संदर्भ राजा है। यह समझने के लिए समय निकालकर कि भेद्यता उनके अद्वितीय वातावरण पर कैसे लागू होती है, संगठन अनावश्यक घबराहट से बच सकते हैं और इसके बजाय जोखिम में शून्य हो सकते हैं।
एक संदर्भ-प्रथम मानसिकता को अपनाने से सुरक्षा नेताओं और व्यावसायिक निर्णय लेने वालों के बीच बेहतर संरेखण की सुविधा होती है। यह जोखिम के लिए एक अधिक मापा, सहयोगी दृष्टिकोण का समर्थन करता है जो चपलता, लचीलापन और नवाचार के साथ सुरक्षा को संतुलित करता है।
एक ऐसी दुनिया में जहां हर अलर्ट एक फायर ड्रिल की तरह महसूस कर सकता है, वास्तविक खतरों को झूठे अलार्म से अलग करने की क्षमता एक सुविधा से अधिक है। यह एक आवश्यकता है।
हमने छोटे व्यवसाय के लिए सर्वश्रेष्ठ फ़ायरवॉल सूचीबद्ध किए हैं।
यह लेख TechRadarpro के विशेषज्ञ इनसाइट्स चैनल के हिस्से के रूप में निर्मित किया गया था, जहां हम आज प्रौद्योगिकी उद्योग में सबसे अच्छे और प्रतिभाशाली दिमागों की सुविधा देते हैं। यहां व्यक्त किए गए विचार लेखक के हैं और जरूरी नहीं कि TechRadarpro या भविष्य PLC के हों। यदि आप योगदान देने में रुचि रखते हैं तो यहां और अधिक जानकारी प्राप्त करें: https://www.techradar.com/news/submit-your-story-to-techradar-pro
