വൾനറബിലിറ്റി (കമ്പ്യൂട്ടിംഗ്)

കമ്പ്യൂട്ടർ സുരക്ഷയിൽ, ഒരു വൾനറബിലിറ്റി(vulnerability) എന്നത് ഒരു കമ്പ്യൂട്ടർ സിസ്റ്റത്തിനുള്ളിൽ അനധികൃത പ്രവർത്തനങ്ങൾ നടത്താൻ ആക്രമണകാരിയെപ്പോലുള്ള ഒരു ത്രെഡ് ആക്ടർ ഉപയോഗപ്പെടുത്തുന്ന ഒരു വൾനറബിലിറ്റിയാണ്. ഒരു വൾനറബിലിറ്റി പ്രയോജനപ്പെടുത്തുന്നതിന്, ഒരു സിസ്റ്റം വൾനറബിലിറ്റിയുമായി ബന്ധിപ്പിക്കാൻ കഴിയുന്ന ഒരു ബാധകമായ ഉപകരണമോ സാങ്കേതികതയോ ആക്രമണകാരിക്ക് ഉണ്ടായിരിക്കണം. ഈ ഫ്രെയിമിൽ, വൾനറബിലിറ്റികൾ ആക്രമണ ഉപരിതലം എന്നും അറിയപ്പെടുന്നു.

സിദ്ധാന്തത്തിൽ വ്യത്യാസമുള്ളതും എന്നാൽ പൊതുവായ പ്രക്രിയകൾ ഉൾക്കൊള്ളുന്നതുമായ ചാക്രിക പരിശീലനമാണ് വൾനറബിലിറ്റി മാനേജുമെന്റ്: ഇവയിൽ ഉൾപ്പെടുന്നവ ഇനി പറയുന്നു: എല്ലാ ആസ്തികളും കണ്ടെത്തുക, ആസ്തികൾക്ക് മുൻഗണന നൽകുക, പൂർണ്ണമായ വൾനറബിലിറ്റി സ്കാൻ വിലയിരുത്തുക അല്ലെങ്കിൽ നടത്തുക, ഫലങ്ങളെക്കുറിച്ച് റിപ്പോർട്ട് ചെയ്യുക, കേടുപാടുകൾ പരിഹരിക്കുക, പരിഹാരം പരിശോധിക്കുക - ആവർത്തിക്കുക. ഈ പരിശീലനം സാധാരണയായി കമ്പ്യൂട്ടിംഗ് സിസ്റ്റങ്ങളിലെ സോഫ്റ്റ്വെയർ വൾനറബിലിറ്റികളെ സൂചിപ്പിക്കുന്നു.^[1]

ഒരു സുരക്ഷാ അപകടസാധ്യത പലപ്പോഴും ഒരു വൾനറബിലിറ്റിയായി തെറ്റായി തരംതിരിക്കപ്പെടുന്നു. അപകടസാധ്യതയുടെ അതേ അർത്ഥമുള്ള വൾനറബിലിറ്റിയുടെ ഉപയോഗം ആശയക്കുഴപ്പത്തിലേക്ക് നയിക്കും. വൾനറബിലിറ്റിയുടെ ഫലമായുണ്ടാകുന്ന കാര്യമായ ആഘാതത്തിന്റെ സാധ്യതയാണ് അപകടസാധ്യത. അപ്പോൾ അപകടസാധ്യതയില്ലാതെ വൾനറബിലിറ്റികൾ ഉണ്ട്: ഉദാഹരണത്തിന് ബാധിത അസറ്റിന് മൂല്യമില്ലാത്തപ്പോൾ. ഒന്നോ അതിലധികമോ അറിയപ്പെടുന്ന സംഭവങ്ങളും പൂർണ്ണമായും നടപ്പിലാക്കിയ ആക്രമണങ്ങളുമുള്ള ഒരു വൾനറബിലിറ്റിയെ ചൂഷണം ചെയ്യാവുന്ന വൾനറബിലിറ്റിയായി തരംതിരിക്കുന്നു - ഒരു ചൂഷണം നിലനിൽക്കുന്ന ഒരു വൾനറബിലിറ്റി. സുരക്ഷാ ദ്വാരം അവതരിപ്പിച്ചതോ വിന്യസിച്ച സോഫ്റ്റ്വെയറിൽ പ്രകടമാകുന്നതോ, ആക്സസ് നീക്കം ചെയ്യുമ്പോഴോ, ഒരു സുരക്ഷാ പരിഹാരം ലഭ്യമായിരുന്നു / വിന്യസിച്ചു, അല്ലെങ്കിൽ ആക്രമണകാരി അപ്രാപ്തമാക്കി മുതലായ സമയമാണ് വൾനറബിലിറ്റിയുടെ ജാലകം- സിറോ ഡേ അറ്റാക്ക് കാണുക.

സുരക്ഷാ ബഗ് (സുരക്ഷാ വൈകല്യം) ഒരു സങ്കുചിത ആശയമാണ്: സോഫ്റ്റ്വെയറുമായി ബന്ധമില്ലാത്ത വൾനറബിലിറ്റികൾ ഉണ്ട്: ഹാർഡ്‌വെയർ, സൈറ്റ്, പേഴ്‌സണൽ വൾനറബിലിറ്റികൾ എന്നിവ സോഫ്റ്റ്വെയർ സുരക്ഷാ ബഗുകളല്ലാത്ത വൾനറബിലിറ്റിക്ക് ഉദാഹരണങ്ങളാണ്.

ശരിയായി ഉപയോഗിക്കാൻ ബുദ്ധിമുട്ടുള്ള പ്രോഗ്രാമിംഗ് ഭാഷകളിലെ നിർമ്മിതികൾ‌ വൾനറബിലിറ്റികളുടെ ഒരു വലിയ ഉറവിടമായിരിക്കും.

നിർവചനങ്ങൾ തിരുത്തുക

ഐ‌എസ്ഒ 27005 വൾനറബിലിറ്റിയെ നിർവചിക്കുന്നത്:

ഒന്നോ അതിലധികമോ ഭീഷണികളാൽ ചൂഷണം ചെയ്യാവുന്ന ഒരു അസറ്റിന്റെ അല്ലെങ്കിൽ ഒരു കൂട്ടം ആസ്തികളുടെ വൾനറബിലിറ്റി, ഇവിടെ ഒരു അസറ്റ് എന്നത് ഓർഗനൈസേഷനും അതിന്റെ ബിസിനസ്സ് പ്രവർത്തനങ്ങൾക്കും ഓർഗനൈസേഷന്റെ മൂല്യമുള്ള എന്തും, ഓർഗനൈസേഷന്റെ ദൗത്യത്തെ പിന്തുണയ്ക്കുന്ന വിവര ഉറവിടങ്ങൾ ഉൾപ്പെടെ.^[2]

ഐ‌ഇ‌റ്റി‌എഫ് ആർ‌എഫ്‌സി 4949 വൾനറബിലിറ്റി:^[3] സിസ്റ്റത്തിന്റെ സുരക്ഷാ നയം ലംഘിക്കുന്നതിനായി ഉപയോഗപ്പെടുത്താവുന്ന ഒരു സിസ്റ്റത്തിന്റെ രൂപകൽപ്പന, നടപ്പാക്കൽ, അല്ലെങ്കിൽ പ്രവർത്തനം, മാനേജുമെന്റ് എന്നിവയിലെ ഒരു ന്യൂനത അല്ലെങ്കിൽ ഫ്ളോ(flaw)

അമേരിക്കൻ ഐക്യനാടുകളിലെ നാഷണൽ സെക്യൂരിറ്റി സിസ്റ്റംസ് കമ്മിറ്റി^[4] 2010 ഏപ്രിൽ 26-ൽ സി‌എൻ‌എസ്എസ് ഇൻ‌സ്ട്രക്ഷൻ നമ്പർ 4009-ൽ വൾനറബിലിറ്റിയെ നിർവചിച്ചു:

വെബ് അപ്ലിക്കേഷൻ സുരക്ഷ തിരുത്തുക

വെബ്‌സൈറ്റുകൾ, വെബ് ആപ്ലിക്കേഷനുകൾ, വെബ് സേവനങ്ങൾ എന്നിവയുടെ സുരക്ഷയുമായി പ്രത്യേകമായി ഇടപെടുന്ന വിവര സുരക്ഷയുടെ ഒരു ശാഖയാണ് വെബ് ആപ്ലിക്കേഷൻ സുരക്ഷ. ക്രോസ്-സൈറ്റ് സ്ക്രിപ്റ്റിംഗ് (എക്സ്എസ്എസ്), എസ്‌ക്യുഎൽ ഇഞ്ചക്ഷൻ ആക്രമണങ്ങൾ എന്നിവയിലൂടെയാണ് വെബ് ആപ്ലിക്കേഷൻ ആക്രമണങ്ങളിൽ ഭൂരിഭാഗവും സംഭവിക്കുന്നത്.വെബ് ആപ്ലിക്കേഷൻ സുരക്ഷയ്ക്കായി ഉയർന്നുവരുന്ന സ്റ്റാൻഡേർഡ് ബോഡിയാണ് OWASP. പ്രത്യേകിച്ചും അവർ OWASP ടോപ്പ് 10, പ്രസിദ്ധീകരിച്ചു, ഇത് വെബ് ആപ്ലിക്കേഷനുകൾക്കെതിരായ പ്രധാന ഭീഷണികളെക്കുറിച്ച് വിശദമായി വിവരിക്കുന്നു. വെബ് ആപ്ലിക്കേഷൻ സെക്യൂരിറ്റി കൺസോർഷ്യം (WASC) വെബ് ഹാക്കിംഗ് സംഭവ ഡാറ്റാബേസ് (WHID) സൃഷ്ടിക്കുകയും വെബ് ആപ്ലിക്കേഷൻ സുരക്ഷയെക്കുറിച്ചുള്ള ഓപ്പൺ സോഴ്‌സ് മികച്ച പരിശീലന രേഖകൾ നിർമ്മിക്കുകയും ചെയ്തു.^[5]

അവലംബം തിരുത്തുക

↑ "Vulnerability Management Life Cycle | NPCR | CDC". www.cdc.gov (in അമേരിക്കൻ ഇംഗ്ലീഷ്). 2019-03-12. Retrieved 2020-07-04.
↑ British Standard Institute, Information technology -- Security techniques -- Management of information and communications technology security -- Part 1: Concepts and models for information and communications technology security management BS ISO/IEC 13335-1-2004
↑ Internet Engineering Task Force RFC 4949 Internet Security Glossary, Version 2
↑ "CNSS Instruction No. 4009" (PDF). 26 April 2010. Archived from the original (PDF) on 2013-06-28.
↑ "https://pentesting.company/web-application-security-testing/". {{cite web}}: External link in |title= (help)

[1] "Vulnerability Management Life Cycle | NPCR | CDC". www.cdc.gov (in അമേരിക്കൻ ഇംഗ്ലീഷ്). 2019-03-12. Retrieved 2020-07-04.

[2] British Standard Institute, Information technology -- Security techniques -- Management of information and communications technology security -- Part 1: Concepts and models for information and communications technology security management BS ISO/IEC 13335-1-2004

[rfc4949-3] Internet Engineering Task Force RFC 4949 Internet Security Glossary, Version 2

[CNSSI4009-4] "CNSS Instruction No. 4009" (PDF). 26 April 2010. Archived from the original (PDF) on 2013-06-28.

[5] "https://pentesting.company/web-application-security-testing/". {{cite web}}: External link in |title= (help)

[1]

[2]

[3]

[4]

[5]