کوالٹیٹو بمقابلہ مقدار: تبدیل کرنے کا وقت ہم تیسری پارٹی کے خطرات کی شدت کا اندازہ کیسے لگاتے ہیں؟

ویڈیو: SPSS (9): اوسط موازنہ ٹیسٹ | ٹی ٹیسٹ، انووا اور پوسٹ ہاک ٹیسٹ

مواد

بس حقائق
کوئی کیڑے نہیں ، کوئی تناؤ نہیں - آپ کی زندگی کو تباہ کیے بغیر زندگی کو تبدیل کرنے والے سافٹ ویئر تخلیق کرنے کے لئے مرحلہ وار گائیڈ
اثر کے لئے اکاؤنٹنگ؟
سسٹم کو تبدیل کرنے کا وقت؟

ماخذ: برائن اے جیکسن / آئ اسٹاک فوٹو

ٹیکا وے:

اوپن سورس اجزاء کے ل risk خطرے کا اندازہ لگانے کے بارے میں ہم سوچتے ہیں کہ چیزوں کو متزلزل کرنے کا وقت آگیا ہے۔

سافٹ ویئر ڈویلپمنٹ کمیونٹی کو خطرات کو کس حد تک سنجیدگی سے لینا چاہئے اس کا اندازہ لگانے کے لئے ایک سسٹم تیار کرنا ایک چیلنج ہے ، اسے ہلکے سے ڈالنا۔ کوڈ انسانوں کے ذریعہ لکھا گیا ہے ، اور اس میں ہمیشہ خامیاں ہوں گی۔ تب سوال ، اگر ہم یہ فرض کرلیں کہ کبھی بھی کوئی چیز کامل نہیں ہوگی ، تو کیا ہم ان اجزاء کو ان کے خطرے کے مطابق کس طرح درجہ بندی کریں گے جس سے ہمیں پیداواری کام جاری رکھنے کا موقع ملے؟

بس حقائق

اگرچہ اس مسئلے سے نمٹنے کے ل many بہت سے مختلف طریقے ہیں جن میں سے ہر ایک کو اپنے جائز جواز کے ساتھ سب سے عام طریقہ ایک مقداری ماڈل کی بنیاد پر ظاہر ہوتا ہے۔

ایک طرف ، خطرے کی شدت کی جانچ کرنے کے لئے ایک مقداری نقطہ نظر کو استعمال کرنا مفید ثابت ہوسکتا ہے کیونکہ یہ زیادہ سے زیادہ مقصدی اور پیمائش کی بات ہے ، جس کی بنیاد صرف خطرے سے متعلق عوامل پر ہے۔

یہ طریقہ کار یہ دیکھتا ہے کہ سافٹ ویئر انڈسٹری میں جزو ، لائبریری ، یا پروجیکٹ کو کس طرح بڑے پیمانے پر استعمال کیا جاتا ہے ، اور اسی طرح عوامل جیسے اس سے حملہ آور کو کس طرح تک رسائی حاصل ہوسکتی ہے اس پر غور کرتے ہوئے ، اس خطرے سے کس طرح کا نقصان ہوسکتا ہے۔ تباہ کن تباہی انہیں اپنے ہدف کی خلاف ورزی کے لئے استعمال کریں۔ سکور کو متاثر کرنے میں آسانی سے ممکنہ استحصال جیسے عوامل ایک بڑا کردار ادا کرسکتے ہیں۔ (سیکیورٹی کے بارے میں مزید معلومات کے لئے ، سائبرسیکیوریٹی چیک کریں: نئی پیشرفت نئی دھمکیاں کیسے لاتی ہیں - اور نائب ورسا۔)

اگر ہم میکرو کی سطح پر دیکھنا چاہتے ہیں تو ، مقداری نقطہ نظر یہ دیکھتا ہے کہ کس طرح خطرے سے ریوڑ کو چوٹ پہنچتی ہے ، اور اس نقصان پر کم توجہ مرکوز کی جارہی ہے جو واقعی اس حملے کا شکار ہیں۔

قومی کمزوری کا ڈیٹا بیس (NVD) ، شاید کمزوریوں کا سب سے معروف ڈیٹا بیس ، اس نسخہ کو دونوں ورژن 2 اور 3 کے لئے اپنے مشترکہ کمزوری سکورنگ سسٹم (سی وی ایس) کے ل. لے جاتا ہے۔ خطرات کی جانچ پڑتال کے لئے اپنے پیمائش کی وضاحت کرتے ہوئے ان کے صفحے پر ، وہ اپنے طریقہ کار کے بارے میں لکھتے ہیں کہ:

اس کا مقداری ماڈل تکرار کرنے والی درست پیمائش کو یقینی بناتا ہے جبکہ صارفین کو اسکور پیدا کرنے کے لئے استعمال ہونے والی کمزوری کی بنیادی خصوصیات کو دیکھنے کے قابل بناتا ہے۔ اس طرح ، صنعتوں ، تنظیموں اور حکومتوں کے لئے معیاری پیمائش کے نظام کے طور پر سی وی ایس ایس مناسب طور پر موزوں ہے جس کو درست اور مستحکم خطرے کے اثرات کے اسکور کی ضرورت ہے۔

کھیل میں مقداری عوامل کی بنیاد پر ، NVD اس کے بعد ان کے پیمانے پر ایک بڑی تعداد - 1 سے 10 ، 10 انتہائی شدید ہونے کے ساتھ ساتھ LOW ، MEDIUM اور HIGH کے زمرے بھی ایک شدت کے اسکور کے ساتھ سامنے آسکتی ہے۔ .

کوئی کیڑے نہیں ، کوئی تناؤ نہیں - آپ کی زندگی کو تباہ کیے بغیر زندگی کو تبدیل کرنے والے سافٹ ویئر تخلیق کرنے کے لئے مرحلہ وار گائیڈ

جب آپ سافٹ ویئر کے معیار کی پرواہ نہیں کرتے ہیں تو آپ اپنی پروگرامنگ کی مہارت کو بہتر نہیں کرسکتے ہیں۔

اثر کے لئے اکاؤنٹنگ؟

تاہم ، ایسا لگتا ہے کہ NVD اس بات سے واضح رہنے کی کوشش کر رہا ہے کہ ہم کسی خطرے کی ایک کوالٹی پیمائش کے طور پر کیا تعبیر کرسکتے ہیں ، اس بنیاد پر کہ کسی خاص استحصال کو نقصان پہنچانے میں کتنا اثر انداز ہوا ہے۔ منصفانہ ہونے کے لئے ، وہ رازداری ، سالمیت اور دستیابی کے عوامل کو دیکھتے ہوئے نظام پر پائے جانے والے خطرے کے اثرات کی پیمائش کرنے کے ل impact اثرات کو شامل کرتے ہیں۔ یہ دیکھنے کے ل all یہ سب اہم عناصر ہیں - جیسے آسانی سے ماپنے قابل رسائی ویکٹر ، رسائ پیچیدگی ، اور توثیق کے ساتھ - لیکن جب وہ کسی خطرے سے کسی تنظیم کو حقیقی نقصانات پہنچاتے ہیں تو وہ حقیقی دنیا کے اثرات سے متعلق کام کرنے کو محسوس نہیں کرتے ہیں۔

مثال کے طور پر ، ایکوفیکس کی خلاف ورزی پر غور کریں جس نے تقریبا 14 145 ملین افراد کی ذاتی شناخت سے متعلق معلومات کو بے نقاب کیا ، جس میں ان کے ڈرائیوروں کے لائسنس کی تفصیلات ، سوشل سیکیورٹی نمبر اور دیگر بٹس شامل ہیں جو بےایمان کرداروں کے ذریعہ بڑے پیمانے پر دھوکہ دہی کی کاروائیوں کے لئے استعمال ہوسکتے ہیں۔

یہ کمزوری (CVE-2017-5638) تھی جس کو اپاچی اسٹرٹس 2 پروجیکٹ میں دریافت کیا گیا تھا کہ ایکویفیکس نے اپنے ویب ایپ میں استعمال کیا ہے جس سے حملہ آوروں کو سامنے والے دروازے پر چلنے دیا جاتا ہے اور آخر کار رسیلی ذاتی معلومات سے بھرا ہوا اپنے بازوؤں سے اسے باہر کردیا جاتا ہے۔ .

اگرچہ این وی ڈی نے اس کو بجا طور پر 10 اور ایچ ایچ کی شدت کا اسکور دیا تھا ، لیکن ان کا فیصلہ اس کے امکانی نقصان کے مقداری تشخیص کی وجہ سے ہوا تھا اور اس کے بعد ہونے والے وسیع پیمانے پر ہونے والے نقصان سے متاثر نہیں ہوا تھا جب ایکو فیکس کی خلاف ورزی عام ہوئی تھی۔

یہ NVD کی نگرانی نہیں ہے ، بلکہ ان کی بیان کردہ پالیسی کا ایک حصہ ہے۔

NVD CVSS "بیس اسکور" مہیا کرتا ہے جو ہر خطرے کی فطری خصوصیات کی نمائندگی کرتا ہے۔ ہم فی الحال "عارضی اسکور" (میٹرکس جو خطرے سے باہر کے واقعات کی وجہ سے وقت کے ساتھ بدلتے ہیں) یا "ماحولیاتی اسکور" (اسکورز جو آپ کی تنظیم میں خطرے کے اثرات کو ظاہر کرنے کے لئے تخصیص کردہ ہیں) فراہم نہیں کرتے ہیں۔

فیصلہ سازوں کے ل meas ، پیمائش کے مقداری نظام کو کم اہمیت دینی چاہئے کیونکہ وہ اس امکان کو دیکھ رہا ہے کہ اس سے پوری صنعت میں نقصان پھیل جائے گا۔ اگر آپ کسی بینک کے سی ایس او ہیں تو ، آپ کو اس کے گتاتمک اثرات سے متعلق رہنا چاہئے جو یہ آپ کے صارف کے ڈیٹا ، یا بدتر ، ان کے پیسوں سے نکالنے کے لئے استعمال ہوتا ہے۔ (ٹیک میں 5 خوفناک دھمکیوں میں مختلف قسم کے خطرات کے بارے میں جانیں۔)

سسٹم کو تبدیل کرنے کا وقت؟

تو کیا اپاچی سٹرسٹس 2 میں جو خطرہ مساوات کے معاملے میں استعمال ہوا تھا ، اسے اس کی روشنی میں اعلی درجہ حاصل کرنا چاہئے کہ نقصان کتنا وسیع ہو گیا ، یا NVD جیسے سسٹم کے ل the اس شفٹ کا رخ بہت زیادہ ساپیکش ہوجائے گا۔ جاری رکھنا

ہم یہ تسلیم کرتے ہیں کہ این وی ڈی کے بیان کردہ "ماحولیاتی اسکور" یا "دنیاوی سکور" کے ساتھ آنے کے لئے ضروری اعداد و شمار کے ساتھ آنا انتہائی مشکل ہوگا ، جس سے آزاد سی وی ایس ایس ٹیم کے منتظمین کو نہ ختم ہونے والی تنقید اور ایک ٹن کام تک کھولنا پڑے گا۔ NVD اور دوسروں کے ل as جیسے جیسے نئی معلومات سامنے آئیں اپنے ڈیٹا بیس کو اپ ڈیٹ کریں۔

واقعی یہ سوال موجود ہے کہ اس طرح کے اسکور کو کیسے مرتب کیا جائے گا ، کیوں کہ بہت کم تنظیمیں خلاف ورزی کے اثرات سے متعلق ضروری اعداد و شمار پیش کرنے کا امکان رکھتی ہیں جب تک کہ انھیں کسی انکشافی قانون کی ضرورت نہ ہو۔ ہم نے اوبر کے معاملے سے دیکھا ہے کہ کمپنیاں خلاف ورزی سے متعلق معلومات کو پریس تک پہنچنے سے روکنے کی امید میں جلدی سے ادائیگی کرنے پر آمادہ ہیں تاکہ ایسا نہ ہو کہ انہیں عوامی رد عمل کا سامنا کرنا پڑے۔

شاید جو ضروری ہے وہ ایک نیا نظام ہے جو کمزوری کے ڈیٹا بیس سے اچھی کاوشوں کو شامل کرسکتا ہے ، اور جب معلومات دستیاب ہوجاتا ہے تو اپنا اضافی اسکور شامل کرسکتا ہے۔

اسکورنگ کی اس اضافی پرت کو کیوں اکسایا جائے جب پچھلے ایک نے اپنے سارے سالوں میں اس کام کو بخوبی انجام دیا ہے؟

سچ تو یہ ہے کہ ، یہ انحصار کرتا ہے کہ وہ تنظیموں کو اپنی درخواستوں کی ذمہ داری قبول کریں۔ ایک مثالی دنیا میں ، ہر ایک اپنی انوینٹری میں شامل کرنے سے پہلے اپنی مصنوعات میں استعمال ہونے والے اجزاء کی تعداد کو چیک کرتا تھا ، الرٹ وصول کرتا تھا جب پہلے سے محفوظ سمجھے جانے والے منصوبوں میں نئی کمزوریوں کا پتہ چل جاتا تھا اور ضروری پیچ کو خود ہی نافذ کرتا تھا۔ .

شاید اگر کوئی فہرست موجود ہو جس میں یہ دکھایا گیا ہو کہ ان خطرات میں سے کچھ کو کس طرح تباہ کن ہوسکتا ہے کسی تنظیم کے ل، ، پھر تنظیموں کو زیادہ دباؤ محسوس ہوسکتا ہے کہ وہ خطرناک اجزاء کے ساتھ جکڑے نہ جائیں۔ کم از کم ، وہ ایک حقیقی انوینٹری لینے کے لئے اقدامات کرسکتے ہیں جن میں اوپن سورس لائبریریاں پہلے سے موجود ہیں۔

ایکویفیکس فاسکو کے بعد ، ایک سے زیادہ سی سطح کے ایگزیکٹو اس بات کو یقینی بنانے کے لئے گھوم رہے تھے کہ ان کی مصنوعات میں اسٹرٹس کا کمزور ورژن نہیں ہے۔ یہ بدقسمتی ہے کہ اس نے اس وسعت کا ایک واقعہ اٹھایا تاکہ صنعت کو اپنی اوپن سورس سیکیورٹی کو سنجیدگی سے لینا پڑے۔

امید ہے کہ آپ کی ایپلی کیشنز کے اوپن سورس اجزاء میں پائے جانے والے سبق سے حقیقی دنیا کے بہت سے نتائج برآمد ہوسکتے ہیں ، اس سے یہ فیصلہ ہوگا کہ فیصلہ سازوں نے کس طرح اپنی مصنوعات اور صارفین کے ڈیٹا کو محفوظ رکھنے کے ل tools صحیح ٹولز کا انتخاب کرتے ہوئے سیکیورٹی کو ترجیح دی۔