ब्लैक हैट यूएसए - लास वेगास - सुरक्षा-भेद्यता पैचिंग के साथ रहना सबसे अच्छा चुनौतीपूर्ण है, लेकिन प्राथमिकता देना कि किन बगों पर ध्यान केंद्रित करना पहले से कहीं अधिक कठिन हो गया है, संदर्भ-रहित सीवीएसएस स्कोर, मैला विक्रेता सलाह और अपूर्ण सुधारों के कारण धन्यवाद सुरक्षा की झूठी भावना के साथ व्यवस्थापकों को छोड़ दें।
यही तर्क है कि ब्रायन गोरेन्क और डस्टिन चाइल्ड्स, दोनों ने ट्रेंड माइक्रो के जीरो डे इनिशिएटिव (जेडडीआई) के साथ, अपने सत्र के दौरान ब्लैक हैट यूएसए के मंच से बनाया, "अस्पष्टता के युग में जोखिम की गणना: सुरक्षा सलाह की पंक्तियों के बीच पढ़ना".
ZDI ने 10,000 से पूरे उद्योग में विक्रेताओं के लिए 2005 से अधिक कमजोरियों का खुलासा किया है। उस समय के दौरान, ZDI संचार प्रबंधक चिल्ड्स ने कहा कि उन्होंने एक परेशान करने वाली प्रवृत्ति देखी है, जो पैच गुणवत्ता में कमी और सुरक्षा अद्यतनों के आसपास संचार में कमी है।
"असली समस्या तब उत्पन्न होती है जब विक्रेता दोषपूर्ण पैच, या उन पैच के बारे में गलत और अधूरी जानकारी जारी करते हैं जो उद्यमों को उनके जोखिम का गलत अनुमान लगाने का कारण बन सकते हैं," उन्होंने कहा। "दोषपूर्ण पैच भी लेखकों का शोषण करने के लिए एक वरदान हो सकते हैं, क्योंकि 'एन-डे' शून्य-दिनों की तुलना में उपयोग करना बहुत आसान है।"
सीवीएसएस स्कोर और पैचिंग प्राथमिकता के साथ समस्या
अधिकांश साइबर सुरक्षा टीमों के पास स्टाफ नहीं है और वे दबाव में हैं, और मंत्र "हमेशा सभी सॉफ़्टवेयर संस्करणों को अप-टू-डेट रखें" उन विभागों के लिए हमेशा मायने नहीं रखता है जिनके पास तट को कवर करने के लिए संसाधन नहीं हैं। इसलिए सामान्य भेद्यता गंभीरता स्केल (CVSS) में उनकी गंभीरता रेटिंग के अनुसार लागू करने के लिए कौन से पैच को प्राथमिकता देना कई व्यवस्थापकों के लिए कमबैक बन गया है।
हालांकि, चिल्ड ने नोट किया कि यह दृष्टिकोण गहराई से त्रुटिपूर्ण है, और संसाधनों को उन बगों पर खर्च किया जा सकता है जिनका कभी भी शोषण होने की संभावना नहीं है। ऐसा इसलिए है क्योंकि सीवीएसएस स्कोर प्रदान नहीं करने वाली कई महत्वपूर्ण जानकारी है।
"अक्सर, उद्यम पैचिंग प्राथमिकता निर्धारित करने के लिए सीवीएसएस बेस कोर से आगे नहीं देखते हैं," उन्होंने कहा। "लेकिन सीवीएसएस वास्तव में शोषकता को नहीं देखता है, या जंगली में भेद्यता का उपयोग होने की संभावना है या नहीं। सीवीएसएस आपको यह नहीं बताता है कि बग 15 सिस्टम में मौजूद है या 15 मिलियन सिस्टम में। और यह नहीं बताता कि यह सार्वजनिक रूप से सुलभ सर्वरों में है या नहीं।"
उन्होंने आगे कहा, "और सबसे महत्वपूर्ण बात यह है कि यह नहीं बताता कि बग किसी ऐसे सिस्टम में मौजूद है या नहीं जो आपके विशिष्ट उद्यम के लिए महत्वपूर्ण है।"
इस प्रकार, भले ही एक बग सीवीएसएस पैमाने पर 10 में से 10 की एक महत्वपूर्ण रेटिंग ले सकता है, यह वास्तविक प्रभाव उस महत्वपूर्ण लेबल से बहुत कम हो सकता है जो इंगित करेगा।
"माइक्रोसॉफ्ट एक्सचेंज जैसे ईमेल सर्वर में एक अनधिकृत रिमोट कोड निष्पादन (आरसीई) बग शोषण लेखकों से बहुत रुचि पैदा करने वाला है," उन्होंने कहा। "गिलहरी मेल जैसे ईमेल सर्वर में एक अनधिकृत आरसीई बग शायद उतना ध्यान आकर्षित नहीं करेगा।"
प्रासंगिक अंतराल को भरने के लिए, सुरक्षा दल अक्सर विक्रेता सलाह की ओर रुख करते हैं - जो कि, चिल्ड्स ने नोट किया, उनकी अपनी स्पष्ट समस्या है: वे अक्सर अस्पष्टता के माध्यम से सुरक्षा का अभ्यास करते हैं।
माइक्रोसॉफ्ट पैच मंगलवार एडवाइजरी विवरण की कमी
2021 में माइक्रोसॉफ्ट ने लिया फैसला कार्यकारी सारांश निकालने के लिए
सुरक्षा अद्यतन मार्गदर्शिकाओं से, उपयोगकर्ताओं को यह सूचित करने के बजाय कि सीवीएसएस स्कोर प्राथमिकता के लिए पर्याप्त होगा - एक ऐसा परिवर्तन जिसे चिल्ड ने विस्फोट किया।
"परिवर्तन जोखिम को निर्धारित करने के लिए आवश्यक संदर्भ को हटा देता है," उन्होंने कहा। "उदाहरण के लिए, क्या सूचना-प्रकटीकरण बग यादृच्छिक स्मृति या पीआईआई को डंप करता है? या सिक्युरिटी-फीचर बायपास के लिए क्या बायपास किया जा रहा है? परिवर्तन की लगभग सार्वभौमिक आलोचना के बावजूद, इन राइटअप में जानकारी असंगत और अलग-अलग गुणवत्ता की है। ”
Microsoft के अलावा या तो "अद्यतनों में जानकारी को हटाना या अस्पष्ट करना जो स्पष्ट मार्गदर्शन उत्पन्न करते थे," अब मूल पैच मंगलवार की जानकारी को निर्धारित करना भी अधिक कठिन है, जैसे कि हर महीने कितने बग पैच किए जाते हैं।
"अब आपको खुद को गिनना होगा, और यह वास्तव में मेरे द्वारा किए जाने वाले सबसे कठिन कामों में से एक है," चिल्ड ने कहा।
साथ ही, कितनी कमजोरियां सक्रिय हमले के अधीन हैं या सार्वजनिक रूप से ज्ञात हैं, इसकी जानकारी अभी भी उपलब्ध है, लेकिन अब बुलेटिनों में दफन है।
"एक उदाहरण के रूप में, के साथ इस महीने 121 सीवीई को पैच किया जा रहा है, यह देखने के लिए कि कौन सक्रिय हमले में है, उन सभी के माध्यम से खुदाई करना कठिन है, ”चाइल्ड्स ने कहा। "इसके बजाय, लोग अब जोखिम को निर्धारित करने में मदद करने के लिए विक्रेता से आधिकारिक जानकारी के बजाय ब्लॉग और प्रेस लेखों जैसी जानकारी के अन्य स्रोतों पर भरोसा करते हैं।"
यह ध्यान दिया जाना चाहिए कि माइक्रोसॉफ्ट परिवर्तन पर दोगुना हो गया है. ब्लैक हैट यूएसए में डार्क रीडिंग के साथ बातचीत में, माइक्रोसॉफ्ट के सुरक्षा प्रतिक्रिया केंद्र के कॉर्पोरेट उपाध्यक्ष आंचल गुप्ता ने कहा कि कंपनी ने जानबूझकर उपयोगकर्ताओं की सुरक्षा के लिए अपने सीवीई के साथ प्रदान की जाने वाली जानकारी को सीमित करने का फैसला किया है। जबकि Microsoft CVEs बग की गंभीरता, और इसके शोषण की संभावना (और क्या इसका सक्रिय रूप से शोषण किया जा रहा है) के बारे में जानकारी प्रदान करते हैं, कंपनी इस बारे में विवेकपूर्ण होगी कि यह भेद्यता शोषण की जानकारी कैसे जारी करती है, उसने कहा।
गुप्ता ने कहा कि लक्ष्य सुरक्षा प्रशासन को उन्हें खतरे में डाले बिना पैच लागू करने के लिए पर्याप्त समय देना है। "अगर, हमारे सीवीई में, हम सभी विवरण प्रदान करते हैं कि कैसे कमजोरियों का फायदा उठाया जा सकता है, तो हम अपने ग्राहकों को जीरो-डे करेंगे," उसने कहा।
अन्य विक्रेता अस्पष्टता का अभ्यास करते हैं
बग प्रकटीकरण में कम विवरण प्रदान करने में Microsoft शायद ही अकेला हो। चाइल्ड्स ने कहा कि कई विक्रेता अपडेट जारी करते समय सीवीई बिल्कुल भी नहीं देते हैं।
"वे बस कहते हैं कि अद्यतन कई सुरक्षा मुद्दों को ठीक करता है," उन्होंने समझाया। "कितने? गंभीरता क्या है? शोषकता क्या है? हमने हाल ही में एक विक्रेता से विशेष रूप से कहा था, हम सुरक्षा मुद्दों पर सार्वजनिक सलाह प्रकाशित नहीं करते हैं। यह एक साहसिक कदम है।"
इसके अलावा, कुछ विक्रेता अपने जोखिम को और अस्पष्ट करते हुए, पेवॉल या समर्थन अनुबंधों के पीछे सलाह देते हैं। या, वे कई बग रिपोर्ट को एक सीवीई में जोड़ते हैं, इस आम धारणा के बावजूद कि एक सीवीई एक अद्वितीय भेद्यता का प्रतिनिधित्व करता है।
"यह संभवतः आपके जोखिम गणना को तिरछा करता है," उन्होंने कहा। "उदाहरण के लिए, यदि आप किसी उत्पाद को खरीदने पर विचार करते हैं, और आप 10 सीवीई देखते हैं जिन्हें एक निश्चित समय में पैच किया गया है, तो आप इस नए उत्पाद से जोखिम के एक निष्कर्ष के साथ आ सकते हैं। हालांकि, अगर आप जानते हैं कि वे 10 सीवीई 100+ बग रिपोर्ट पर आधारित थे, तो आप एक अलग निष्कर्ष पर पहुंच सकते हैं।"
प्लेसीबो पैच प्लेग प्राथमिकता
प्रकटीकरण समस्या से परे, सुरक्षा टीमों को स्वयं पैच के साथ भी परेशानी का सामना करना पड़ता है। चाइल्ड्स के अनुसार, "प्लेसबो पैच", जो "फिक्स" हैं जो वास्तव में कोई प्रभावी कोड परिवर्तन नहीं करते हैं, असामान्य नहीं हैं।
"ताकि बग अभी भी है और अभिनेताओं को धमकी देने के लिए शोषक है, सिवाय इसके कि उन्हें इसके बारे में सूचित किया गया है," उन्होंने कहा। "ऐसा होने के कई कारण हो सकते हैं, लेकिन ऐसा होता है - बग इतने अच्छे हैं कि हम उन्हें दो बार पैच करते हैं।"
अक्सर ऐसे पैच भी होते हैं जो अधूरे होते हैं; वास्तव में, ZDI कार्यक्रम में, शोधकर्ताओं द्वारा विश्लेषण किए गए बग्स का पूर्ण 10% से 20% एक दोषपूर्ण या अपूर्ण पैच का प्रत्यक्ष परिणाम है।
चाइल्ड्स ने Adobe Reader में एक पूर्णांक ओवरफ़्लो समस्या के उदाहरण का उपयोग किया, जिसके कारण अंडरसाइज़्ड हीप आवंटन हुआ, जिसके परिणामस्वरूप बहुत अधिक डेटा लिखे जाने पर बफर ओवरफ़्लो हो जाता है।
चिल्ड्स ने कहा, "हमें उम्मीद थी कि Adobe एक निश्चित बिंदु पर किसी भी मूल्य को खराब करके ठीक कर देगा।" "लेकिन हमने ऐसा नहीं देखा, और रोलआउट के 60 मिनट के भीतर, एक पैच बाईपास था और उन्हें फिर से पैच करना पड़ा। रीरन सिर्फ टीवी शो के लिए नहीं हैं। ”
पैच प्राथमिकता संकट का मुकाबला कैसे करें
अंततः जब पैच प्राथमिकता की बात आती है, तो प्रभावी पैच प्रबंधन और जोखिम गणना संगठन के भीतर उच्च-मूल्य वाले सॉफ़्टवेयर लक्ष्यों की पहचान करने के साथ-साथ तीसरे पक्ष के स्रोतों का उपयोग करने के लिए उबलती है, जो किसी भी वातावरण के लिए सबसे महत्वपूर्ण पैच होगा। शोधकर्ताओं ने नोट किया।
हालांकि, प्रकटीकरण के बाद की चपलता का मुद्दा संगठनों के लिए ध्यान केंद्रित करने वाला एक अन्य प्रमुख क्षेत्र है।
ZDI के वरिष्ठ निदेशक गोरेंक के अनुसार, साइबर अपराधियों ने अपने रैंसमवेयर टूल सेट या उनके शोषण किट में बड़े हमले की सतहों के साथ भेड़ियों को एकीकृत करने में कोई समय बर्बाद नहीं किया, इससे पहले कि कंपनियों के पास पैच करने का समय हो, नए प्रकट दोषों को हथियार बनाने की तलाश में। ये तथाकथित एन-डे बग हमलावरों के लिए कटनीप हैं, जो औसतन 48 घंटों में बग को रिवर्स-इंजीनियर कर सकते हैं।
"अधिकांश भाग के लिए, आक्रामक समुदाय एन-डे कमजोरियों का उपयोग कर रहा है जिनके पास सार्वजनिक पैच उपलब्ध हैं," गोरेन्क ने कहा। "हमारे लिए यह समझना महत्वपूर्ण है कि क्या बग वास्तव में हथियार बनने जा रहा है, लेकिन अधिकांश विक्रेता शोषण के बारे में जानकारी प्रदान नहीं करते हैं।"
इस प्रकार, उद्यम जोखिम आकलन को प्रकटीकरण के बाद बदलने के लिए पर्याप्त गतिशील होने की आवश्यकता है, और सुरक्षा टीमों को यह समझने के लिए खतरे के खुफिया स्रोतों की निगरानी करनी चाहिए कि बग को शोषण किट या रैंसमवेयर में एकीकृत किया गया है, या जब कोई शोषण ऑनलाइन जारी किया जाता है।
इसके लिए सहायक, उद्यमों के लिए एक महत्वपूर्ण समयरेखा पर विचार करना है कि वास्तव में पूरे संगठन में एक पैच को रोल आउट करने में कितना समय लगता है, और क्या ऐसे आपातकालीन संसाधन हैं जिन्हें यदि आवश्यक हो तो सहन किया जा सकता है।
"जब खतरे के परिदृश्य में परिवर्तन होते हैं (पैच संशोधन, सार्वजनिक सबूत-अवधारणाएं, और शोषण रिलीज), उद्यमों को जरूरत को पूरा करने और नवीनतम जोखिमों का मुकाबला करने के लिए अपने संसाधनों को स्थानांतरित करना चाहिए," गोरेंक ने समझाया। "न केवल नवीनतम प्रचारित और नामित भेद्यता। खतरे के परिदृश्य में क्या हो रहा है, इसका निरीक्षण करें, अपने संसाधनों को उन्मुख करें और तय करें कि कब कार्य करना है। ”
