CVSS 4.0 এখানে, কিন্তু প্যাচগুলিকে অগ্রাধিকার দেওয়া এখনও একটি কঠিন সমস্যা

কমন ভালনারেবিলিটি স্কোরিং সিস্টেম (CVSS) এর শীঘ্রই প্রকাশিত সংস্করণ 4.0 নিরাপত্তা বাগগুলির জন্য তীব্রতা মেট্রিকের সাথে বেশ কয়েকটি সমস্যা সমাধান করার প্রতিশ্রুতি দেয়। তবে দুর্বলতা বিশেষজ্ঞরা বলছেন যে প্যাচগুলিকে অগ্রাধিকার দেওয়া বা শোষণের পরিমাপ করা এখনও ক্র্যাক করা শক্ত বাদাম হবে।

দ্য ফোরাম অফ ইনসিডেন্ট রেসপন্স অ্যান্ড সিকিউরিটি টিমস (FIRST) গত সপ্তাহে তার বার্ষিক সম্মেলনে CVSS এর পরবর্তী সংস্করণের একটি পূর্বরূপ প্রকাশ করেছে। সংস্করণ 4 অস্পষ্ট "টেম্পোরাল" মেট্রিকটি দূর করবে, এটিকে আরও বর্ণনামূলক "হুমকি" মেট্রিক দিয়ে প্রতিস্থাপন করবে এবং এটি বেস মেট্রিক গণনার সাথে অন্যান্য কারণ যোগ করবে। পরিবর্তনগুলি CVSS-এর সামগ্রিক ব্যবহারযোগ্যতাকে উন্নত করে, FIRST অনুযায়ী, যা যোগ করেছে যে কোম্পানি এবং সংস্থাগুলি বর্তমান দুর্বলতাগুলি গ্রেড করার জন্য মেট্রিক চেষ্টা করতে পারে এবং সাধারণ প্রকাশের প্রবর্তনের আগে প্রতিক্রিয়া প্রদান করতে পারে।

CVSS 4 কোম্পানীর জন্য বেস মেট্রিক গণনা করার জন্য দুটি নতুন ফ্যাক্টর যোগ করে: অ্যাটাক রিকোয়ারমেন্ট (AT) এবং ইউজার ইন্টারঅ্যাকশন (UI), আক্রমণের জটিলতা পরিমাপ করা এবং আক্রমণের জন্য ব্যবহারকারীর মিথস্ক্রিয়া প্রয়োজন কিনা, নতুন স্পেসিফিকেশনের একটি বিবরণ. উপরন্তু, CVSS-এর একটি উপাদান হল পরিবেশগত স্কোর, যা কোম্পানি-নির্দিষ্ট এবং তাদের আইটি পরিবেশে একটি দুর্বলতার প্রভাব পরিমাপ করে।

"[T]তার সর্বশেষ প্রকাশটি তার মূল অংশে নির্ভুল স্কোরিংয়ের জন্য হুমকি বুদ্ধিমত্তা এবং পরিবেশগত মেট্রিক্স ব্যবহার করার গুরুত্ব সহ দলগুলির জন্য গুরুত্বপূর্ণ অতিরিক্ত ক্ষমতার সাথে একটি গুরুত্বপূর্ণ পদক্ষেপের অগ্রগতি চিহ্নিত করে," প্রথম CVSS 4 এর পূর্বরূপ প্রকাশের একটি বিবৃতিতে বলেছেন.

প্যাচ অগ্রাধিকার CVSS এর চেয়ে বেশি প্রয়োজন

একটি ভাল কমন ভালনারেবিলিটি স্কোরিং সিস্টেম কোম্পানীগুলিকে কোন দুর্বলতাগুলি করা উচিত তা সিদ্ধান্ত নেওয়ার জন্য একটি ভাল পন্থা দিতে পারে প্যাচিংয়ের জন্য অগ্রাধিকার পানবিশেষজ্ঞরা বলছেন, তবে এটাকে প্যানেসিয়া হিসেবে দেখা উচিত নয়।

যখন শোষণযোগ্যতা নির্ধারণের কথা আসে, সংস্থাগুলি প্যাচগুলিকে অগ্রাধিকার দেওয়ার জন্য ব্যবহার করে সবচেয়ে বড় মেট্রিকগুলির মধ্যে একটি, কোম্পানিগুলির কাছে অনেকগুলি সরঞ্জাম রয়েছে৷ তারা ইউএস সাইবারসিকিউরিটি অ্যান্ড ইনফ্রাস্ট্রাকচার সিকিউরিটি এজেন্সি (সিআইএসএ) থেকে পরিচিত এক্সপ্লয়েটেড ভালনারেবিলিটি (কেইভি) তালিকা CVSS ব্যবহার করতে পারে। এক্সপ্লয়েট প্রেডিকেশন স্কোরিং সিস্টেম (EPSS), বা অন্যান্য মালিকানা সিস্টেম, যেমন কোয়ালিশন এক্সপ্লয়েট স্কোরিং সিস্টেম. তবুও, যেকোন পদ্ধতির একটি প্রতিষ্ঠানের সক্ষমতা এবং সংস্থানগুলির সাথে মিল থাকতে হবে, সাশা রোমানস্কি বলেছেন, র্যান্ড কর্পোরেশনের একজন সিনিয়র নীতি গবেষক, একটি বৈশ্বিক নীতি এবং গবেষণা থিঙ্ক ট্যাঙ্ক৷

CVSS এবং EPSS উভয়েরই অবদানকারী রোমানস্কি বলেছেন, "ইস্যুটি এত বেশি নয় [কোন পদ্ধতির], কিন্তু যে কৌশলটি ব্যবহার করে তা সর্বোত্তম উত্পাদন করে — অর্থাৎ, অগ্রাধিকার দেওয়া — তাদের সংস্থার জন্য তালিকা,” রোমানোস্কি বলেছেন, CVSS এবং EPSS উভয়েরই অবদানকারী৷ "আমরা শিখেছি যে সিভিএসএস হুমকির একটি ভাল ভবিষ্যদ্বাণী নয় - শোষণ - [নিজের থেকে, এবং] এটি আমাদের জন্য, সিভিএসএসের নির্মাতাদের জন্য একটি কঠিন বড়ি ছিল, কিন্তু এটিই বাস্তবতা।"

ট্রেন্ড মাইক্রোস জিরো ডে ইনিশিয়েটিভ (জেডডিআই)-এর হুমকি সচেতনতার প্রধান ডাস্টিন চাইল্ডস বলেছেন, উদাহরণস্বরূপ, একটি সংস্থার আক্রমণের পৃষ্ঠের অংশের অংশ এমন সিস্টেমগুলি জানা গুরুত্বপূর্ণ।

"আমি সবসময় একটি জিনিস সুপারিশ করি যে আপনার সম্পদ আবিষ্কারে নির্মম হতে হবে এবং বুঝতে হবে কোন সিস্টেমগুলি আপনার ব্যবসার চাবিকাঠি," তিনি বলেছেন। "এটি অগ্রাধিকার দিতে সাহায্য করবে।"

CVSS টাইমিং, জটিলতা চ্যালেঞ্জ

অগ্রাধিকারের জন্য অ্যাকশনেবল মূল্যায়ন প্রদানের ক্ষেত্রে নতুন CVSS এখনও বাধার সম্মুখীন হয়। উদাহরণস্বরূপ, শোষণের মেট্রিকগুলিও দ্রুত তৈরি করা দরকার, যাতে প্যাচিংকে অগ্রাধিকার দেওয়ার বিষয়ে সিদ্ধান্ত নেওয়ার জন্য সংস্থাগুলিকে যত তাড়াতাড়ি সম্ভব নির্দেশিকা থাকে, স্কট ওয়ালশ বলেছেন, কোয়ালিশনের একজন সিনিয়র নিরাপত্তা গবেষক, একটি সক্রিয়-সুরক্ষা সাইবার-বীমা সংস্থা।

“যখন একটি নতুন CVE ঘোষণা করা হয়, তখন ঝুঁকি পরিচালক এবং ডিফেন্ডাররা তীব্রতা এবং শোষণের স্কোরের জন্য CVSS বা EPSS-এর দিকে যেতে পারে, কিন্তু এই শিল্প-মানক সিস্টেমগুলি প্রায়ই নতুন CVE স্কোর করতে সময় নেয় — এক সপ্তাহ থেকে এক মাস পর্যন্ত, " তিনি বলেন. "এই সময়ের মধ্যে, সংস্থাগুলি সর্বদা জানে না কোন দুর্বলতাগুলি তাদের ব্যক্তিগত ডিজিটাল ইকোসিস্টেম এবং প্রযুক্তিগুলিকে নেতিবাচকভাবে প্রভাবিত করার সর্বোচ্চ সম্ভাবনা রাখে।"

উপরন্তু, সর্বশেষ CVSS পাঠোদ্ধার করতে জটিল হতে পারে, যার প্রায় দুই ডজন গুণাবলী বেস মেট্রিক গণনা করতে ব্যবহৃত হয় — জটিলতা যা নিরাপত্তা দলগুলির তাদের ঝুঁকি পরিমাপ করার ক্ষমতাকে বাধাগ্রস্ত করতে পারে।

"এই ভেরিয়েবলগুলির প্রভাব এবং প্রয়োজনীয়তার উপর একমত হওয়ার জন্য একাধিক ব্যবসায়িক ইউনিটের প্রয়োজন হবে," তিনি বলেছেন। “নিরাপত্তার ক্ষেত্রে, সময়ের সারমর্ম, এবং দ্রুত প্রতিক্রিয়া জানানো সফলভাবে আক্রমণ প্রতিরোধ বা শিকার হওয়ার মধ্যে পার্থক্য হতে পারে। এই ভেরিয়েবলগুলি একটি নতুন হুমকির প্রতিক্রিয়া দেওয়ার সময় দুর্বলতা মূল্যায়ন প্রক্রিয়াকে ধীর এবং কষ্টকর করে তোলে।"

• এসইও চালিত বিষয়বস্তু এবং পিআর বিতরণ। আজই পরিবর্ধিত পান।
• PlatoData.Network উল্লম্ব জেনারেটিভ Ai. নিজেকে ক্ষমতায়িত করুন। এখানে প্রবেশ করুন.
• প্লেটোএআইস্ট্রিম। Web3 ইন্টেলিজেন্স। জ্ঞান প্রসারিত. এখানে প্রবেশ করুন.
• প্লেটোইএসজি। মোটরগাড়ি / ইভি, কার্বন, ক্লিনটেক, শক্তি, পরিবেশ সৌর, বর্জ্য ব্যবস্থাপনা. এখানে প্রবেশ করুন.
• ব্লকঅফসেট। পরিবেশগত অফসেট মালিকানার আধুনিকীকরণ। এখানে প্রবেশ করুন.
• উত্স: https://www.darkreading.com/vulnerabilities-threats/cvss-4-prioritizing-patches-hard-problem