কমন ভালনারেবিলিটি স্কোরিং সিস্টেম (CVSS) এর শীঘ্রই প্রকাশিত সংস্করণ 4.0 নিরাপত্তা বাগগুলির জন্য তীব্রতা মেট্রিকের সাথে বেশ কয়েকটি সমস্যা সমাধান করার প্রতিশ্রুতি দেয়। তবে দুর্বলতা বিশেষজ্ঞরা বলছেন যে প্যাচগুলিকে অগ্রাধিকার দেওয়া বা শোষণের পরিমাপ করা এখনও ক্র্যাক করা শক্ত বাদাম হবে।
দ্য ফোরাম অফ ইনসিডেন্ট রেসপন্স অ্যান্ড সিকিউরিটি টিমস (FIRST) গত সপ্তাহে তার বার্ষিক সম্মেলনে CVSS এর পরবর্তী সংস্করণের একটি পূর্বরূপ প্রকাশ করেছে। সংস্করণ 4 অস্পষ্ট "টেম্পোরাল" মেট্রিকটি দূর করবে, এটিকে আরও বর্ণনামূলক "হুমকি" মেট্রিক দিয়ে প্রতিস্থাপন করবে এবং এটি বেস মেট্রিক গণনার সাথে অন্যান্য কারণ যোগ করবে। পরিবর্তনগুলি CVSS-এর সামগ্রিক ব্যবহারযোগ্যতাকে উন্নত করে, FIRST অনুযায়ী, যা যোগ করেছে যে কোম্পানি এবং সংস্থাগুলি বর্তমান দুর্বলতাগুলি গ্রেড করার জন্য মেট্রিক চেষ্টা করতে পারে এবং সাধারণ প্রকাশের প্রবর্তনের আগে প্রতিক্রিয়া প্রদান করতে পারে।
CVSS 4 কোম্পানীর জন্য বেস মেট্রিক গণনা করার জন্য দুটি নতুন ফ্যাক্টর যোগ করে: অ্যাটাক রিকোয়ারমেন্ট (AT) এবং ইউজার ইন্টারঅ্যাকশন (UI), আক্রমণের জটিলতা পরিমাপ করা এবং আক্রমণের জন্য ব্যবহারকারীর মিথস্ক্রিয়া প্রয়োজন কিনা, নতুন স্পেসিফিকেশনের একটি বিবরণ. উপরন্তু, CVSS-এর একটি উপাদান হল পরিবেশগত স্কোর, যা কোম্পানি-নির্দিষ্ট এবং তাদের আইটি পরিবেশে একটি দুর্বলতার প্রভাব পরিমাপ করে।
"[T]তার সর্বশেষ প্রকাশটি তার মূল অংশে নির্ভুল স্কোরিংয়ের জন্য হুমকি বুদ্ধিমত্তা এবং পরিবেশগত মেট্রিক্স ব্যবহার করার গুরুত্ব সহ দলগুলির জন্য গুরুত্বপূর্ণ অতিরিক্ত ক্ষমতার সাথে একটি গুরুত্বপূর্ণ পদক্ষেপের অগ্রগতি চিহ্নিত করে," প্রথম CVSS 4 এর পূর্বরূপ প্রকাশের একটি বিবৃতিতে বলেছেন.
প্যাচ অগ্রাধিকার CVSS এর চেয়ে বেশি প্রয়োজন
একটি ভাল কমন ভালনারেবিলিটি স্কোরিং সিস্টেম কোম্পানীগুলিকে কোন দুর্বলতাগুলি করা উচিত তা সিদ্ধান্ত নেওয়ার জন্য একটি ভাল পন্থা দিতে পারে প্যাচিংয়ের জন্য অগ্রাধিকার পানবিশেষজ্ঞরা বলছেন, তবে এটাকে প্যানেসিয়া হিসেবে দেখা উচিত নয়।
যখন শোষণযোগ্যতা নির্ধারণের কথা আসে, সংস্থাগুলি প্যাচগুলিকে অগ্রাধিকার দেওয়ার জন্য ব্যবহার করে সবচেয়ে বড় মেট্রিকগুলির মধ্যে একটি, কোম্পানিগুলির কাছে অনেকগুলি সরঞ্জাম রয়েছে৷ তারা ইউএস সাইবারসিকিউরিটি অ্যান্ড ইনফ্রাস্ট্রাকচার সিকিউরিটি এজেন্সি (সিআইএসএ) থেকে পরিচিত এক্সপ্লয়েটেড ভালনারেবিলিটি (কেইভি) তালিকা CVSS ব্যবহার করতে পারে। এক্সপ্লয়েট প্রেডিকেশন স্কোরিং সিস্টেম (EPSS), বা অন্যান্য মালিকানা সিস্টেম, যেমন কোয়ালিশন এক্সপ্লয়েট স্কোরিং সিস্টেম. তবুও, যেকোন পদ্ধতির একটি প্রতিষ্ঠানের সক্ষমতা এবং সংস্থানগুলির সাথে মিল থাকতে হবে, সাশা রোমানস্কি বলেছেন, র্যান্ড কর্পোরেশনের একজন সিনিয়র নীতি গবেষক, একটি বৈশ্বিক নীতি এবং গবেষণা থিঙ্ক ট্যাঙ্ক৷
CVSS এবং EPSS উভয়েরই অবদানকারী রোমানস্কি বলেছেন, "ইস্যুটি এত বেশি নয় [কোন পদ্ধতির], কিন্তু যে কৌশলটি ব্যবহার করে তা সর্বোত্তম উত্পাদন করে — অর্থাৎ, অগ্রাধিকার দেওয়া — তাদের সংস্থার জন্য তালিকা,” রোমানোস্কি বলেছেন, CVSS এবং EPSS উভয়েরই অবদানকারী৷ "আমরা শিখেছি যে সিভিএসএস হুমকির একটি ভাল ভবিষ্যদ্বাণী নয় - শোষণ - [নিজের থেকে, এবং] এটি আমাদের জন্য, সিভিএসএসের নির্মাতাদের জন্য একটি কঠিন বড়ি ছিল, কিন্তু এটিই বাস্তবতা।"
ট্রেন্ড মাইক্রোস জিরো ডে ইনিশিয়েটিভ (জেডডিআই)-এর হুমকি সচেতনতার প্রধান ডাস্টিন চাইল্ডস বলেছেন, উদাহরণস্বরূপ, একটি সংস্থার আক্রমণের পৃষ্ঠের অংশের অংশ এমন সিস্টেমগুলি জানা গুরুত্বপূর্ণ।
"আমি সবসময় একটি জিনিস সুপারিশ করি যে আপনার সম্পদ আবিষ্কারে নির্মম হতে হবে এবং বুঝতে হবে কোন সিস্টেমগুলি আপনার ব্যবসার চাবিকাঠি," তিনি বলেছেন। "এটি অগ্রাধিকার দিতে সাহায্য করবে।"
CVSS টাইমিং, জটিলতা চ্যালেঞ্জ
অগ্রাধিকারের জন্য অ্যাকশনেবল মূল্যায়ন প্রদানের ক্ষেত্রে নতুন CVSS এখনও বাধার সম্মুখীন হয়। উদাহরণস্বরূপ, শোষণের মেট্রিকগুলিও দ্রুত তৈরি করা দরকার, যাতে প্যাচিংকে অগ্রাধিকার দেওয়ার বিষয়ে সিদ্ধান্ত নেওয়ার জন্য সংস্থাগুলিকে যত তাড়াতাড়ি সম্ভব নির্দেশিকা থাকে, স্কট ওয়ালশ বলেছেন, কোয়ালিশনের একজন সিনিয়র নিরাপত্তা গবেষক, একটি সক্রিয়-সুরক্ষা সাইবার-বীমা সংস্থা।
“যখন একটি নতুন CVE ঘোষণা করা হয়, তখন ঝুঁকি পরিচালক এবং ডিফেন্ডাররা তীব্রতা এবং শোষণের স্কোরের জন্য CVSS বা EPSS-এর দিকে যেতে পারে, কিন্তু এই শিল্প-মানক সিস্টেমগুলি প্রায়ই নতুন CVE স্কোর করতে সময় নেয় — এক সপ্তাহ থেকে এক মাস পর্যন্ত, " তিনি বলেন. "এই সময়ের মধ্যে, সংস্থাগুলি সর্বদা জানে না কোন দুর্বলতাগুলি তাদের ব্যক্তিগত ডিজিটাল ইকোসিস্টেম এবং প্রযুক্তিগুলিকে নেতিবাচকভাবে প্রভাবিত করার সর্বোচ্চ সম্ভাবনা রাখে।"
উপরন্তু, সর্বশেষ CVSS পাঠোদ্ধার করতে জটিল হতে পারে, যার প্রায় দুই ডজন গুণাবলী বেস মেট্রিক গণনা করতে ব্যবহৃত হয় — জটিলতা যা নিরাপত্তা দলগুলির তাদের ঝুঁকি পরিমাপ করার ক্ষমতাকে বাধাগ্রস্ত করতে পারে।
"এই ভেরিয়েবলগুলির প্রভাব এবং প্রয়োজনীয়তার উপর একমত হওয়ার জন্য একাধিক ব্যবসায়িক ইউনিটের প্রয়োজন হবে," তিনি বলেছেন। “নিরাপত্তার ক্ষেত্রে, সময়ের সারমর্ম, এবং দ্রুত প্রতিক্রিয়া জানানো সফলভাবে আক্রমণ প্রতিরোধ বা শিকার হওয়ার মধ্যে পার্থক্য হতে পারে। এই ভেরিয়েবলগুলি একটি নতুন হুমকির প্রতিক্রিয়া দেওয়ার সময় দুর্বলতা মূল্যায়ন প্রক্রিয়াকে ধীর এবং কষ্টকর করে তোলে।"
- এসইও চালিত বিষয়বস্তু এবং পিআর বিতরণ। আজই পরিবর্ধিত পান।
- PlatoData.Network উল্লম্ব জেনারেটিভ Ai. নিজেকে ক্ষমতায়িত করুন। এখানে প্রবেশ করুন.
- প্লেটোএআইস্ট্রিম। Web3 ইন্টেলিজেন্স। জ্ঞান প্রসারিত. এখানে প্রবেশ করুন.
- প্লেটোইএসজি। মোটরগাড়ি / ইভি, কার্বন, ক্লিনটেক, শক্তি, পরিবেশ সৌর, বর্জ্য ব্যবস্থাপনা. এখানে প্রবেশ করুন.
- ব্লকঅফসেট। পরিবেশগত অফসেট মালিকানার আধুনিকীকরণ। এখানে প্রবেশ করুন.
- উত্স: https://www.darkreading.com/vulnerabilities-threats/cvss-4-prioritizing-patches-hard-problem
- : আছে
- : হয়
- :না
- $ ইউপি
- 7
- a
- ক্ষমতা
- অনুযায়ী
- সঠিক
- যোগ
- যোগ
- যোগ
- যোগ করে
- প্রভাবিত
- এজেন্সি
- এছাড়াও
- সর্বদা
- an
- এবং
- এবং অবকাঠামো
- ঘোষিত
- বার্ষিক
- কোন
- কোথাও
- অভিগমন
- রয়েছি
- এলাকায়
- AS
- মূল্যায়ন
- সম্পদ
- At
- আক্রমণ
- বৈশিষ্ট্যাবলী
- সচেতনতা
- দূরে
- ভিত্তি
- BE
- হচ্ছে
- সর্বোত্তম
- উত্তম
- মধ্যে
- বৃহত্তম
- উভয়
- বাগ
- ব্যবসায়
- কিন্তু
- গণনা করা
- গণক
- CAN
- ক্ষমতা
- পরিবর্তন
- এর COM
- আসা
- আসে
- সাধারণ
- কোম্পানি
- জটিল
- জটিলতা
- উপাদান
- সম্মেলন
- অংশদাতা
- মূল
- কর্পোরেশন
- পারা
- ফাটল
- স্রষ্টাগণ
- সংকটপূর্ণ
- কঠোর
- বর্তমান
- cve
- সাইবার নিরাপত্তা
- দিন
- সিদ্ধান্ত নিচ্ছে
- পাঠোদ্ধার করা
- সিদ্ধান্ত
- রক্ষাকর্মীদের
- বিবরণ
- নির্ণয়
- পার্থক্য
- ডিজিটাল
- আবিষ্কার
- do
- ডন
- ডজন
- সময়
- ইকোসিস্টেম
- পরিবেশ
- পরিবেশ
- সারমর্ম
- মূল্যায়ন
- উদাহরণ
- বিশেষজ্ঞদের
- কাজে লাগান
- শোষণ
- শোষিত
- মুখ
- কারণের
- প্রতিক্রিয়া
- দৃঢ়
- প্রথম
- ঠিক করা
- জন্য
- ফোরাম
- অগ্রবর্তী
- থেকে
- হিসাব করার নিয়ম
- সাধারণ
- উত্পন্ন
- দাও
- বিশ্বব্যাপী
- ভাল
- পথপ্রদর্শন
- কঠিন
- আছে
- he
- মাথা
- সাহায্য
- এখানে
- সর্বোচ্চ
- পশ্চাদ্বর্তী
- এইচটিএমএল
- HTTPS দ্বারা
- বেড়া-ডিঙ্গান দৌড়
- i
- প্রভাব
- প্রভাব
- গুরুত্ব
- উন্নত করা
- in
- ঘটনা
- ঘটনার প্রতিক্রিয়া
- স্বতন্ত্র
- পরিকাঠামো
- ইনিশিয়েটিভ
- উদাহরণ
- বুদ্ধিমত্তা
- মিথষ্ক্রিয়া
- সমস্যা
- সমস্যা
- IT
- এর
- চাবি
- জানা
- পরিচিত
- গত
- সর্বশেষ
- সর্বশেষ রিলিজ
- শুরু করা
- শিখতে
- তালিকা
- করা
- মেকিং
- পরিচালকের
- ম্যাচ
- মে..
- পরিমাপ
- পরিমাপ
- ছন্দোময়
- ছন্দোবিজ্ঞান
- মাস
- অধিক
- অনেক
- বহু
- প্রায়
- প্রয়োজন
- চাহিদা
- নেতিবাচকভাবে
- নতুন
- পরবর্তী
- সংখ্যা
- of
- প্রায়ই
- on
- ONE
- or
- সংগঠন
- সংগঠন
- অন্যান্য
- শেষ
- সামগ্রিক
- নিজের
- সর্বব্যাধিহর ঔষধ
- অংশ
- প্যাচ
- প্যাচিং
- Plato
- প্লেটো ডেটা ইন্টেলিজেন্স
- প্লেটোডাটা
- নীতি
- সম্ভব
- সম্ভাব্য
- Predictor
- নিরোধক
- প্রি
- পূর্বে
- অগ্রাধিকার
- অগ্রাধিকার
- অগ্রাধিকারের
- প্রকল্প ছাড়তে
- অগ্রাধিকার
- সমস্যা
- প্রক্রিয়া
- উত্পাদন করে
- প্রতিশ্রুতি
- মালিকানা
- প্রদান
- প্রদানের
- দ্রুত
- র্যান্ড্
- বাস্তবতা
- সুপারিশ করা
- মুক্তি
- মুক্ত
- প্রয়োজন
- আবশ্যকতা
- প্রয়োজন
- গবেষণা
- গবেষক
- Resources
- উত্তরদায়ক
- প্রতিক্রিয়া
- ঝুঁকি
- s
- বলা
- বলেছেন
- স্কোর
- স্কোরিং
- স্কট
- নিরাপত্তা
- দেখা
- জ্যেষ্ঠ
- উচিত
- গুরুত্বপূর্ণ
- ধীর
- So
- শীঘ্রই
- বিবৃতি
- ধাপ
- এখনো
- কৌশল
- সফলভাবে
- এমন
- পৃষ্ঠতল
- পদ্ধতি
- সিস্টেম
- গ্রহণ করা
- ট্যাংক
- দল
- প্রযুক্তি
- চেয়ে
- যে
- সার্জারির
- তাদের
- এইগুলো
- জিনিস
- মনে
- চিন্তা করুন ট্যাংক
- এই
- হুমকি
- সময়
- সময়জ্ঞান
- থেকে
- সরঞ্জাম
- শক্ত
- প্রবণতা
- চেষ্টা
- চালু
- দুই
- ui
- বোঝা
- ইউনিট
- উপরে
- us
- ব্যবহারযোগ্যতা
- ব্যবহার
- ব্যবহৃত
- ব্যবহারকারী
- ব্যবহারসমূহ
- ব্যবহার
- Ve
- সংস্করণ
- শিকার
- দুর্বলতা
- দুর্বলতা
- ছিল
- we
- সপ্তাহান্তিক কাল
- কখন
- কিনা
- যে
- ইচ্ছা
- সঙ্গে
- এখনো
- আপনার
- zephyrnet
- শূন্য
- শূন্য দিন