how to use cve vulnerability | how to check cve vulnerability
|
common vulnerabilities and exposure list |
आज हम vulnerability assessment and penetration testing (VAPT) का एक series शुरू कर रहें है। यह आर्टिकल vapt series का दुसरा part है। इसमें हम आपको common vulnerabilities and exposure के बारे में बताये है। मैं आशा और उम्मीद करता हूँ आपको पसंद आएगा और आप कुछ नया सीखेंगे। इस आर्टिकल में जानेगे की Vulnerability Scoring System and Database in hindi, common vulnerabilities and exposure list, how to use cve vulnerability, how to check cve vulnerability इत्यादि के बारें में।
{tocify} $title={Table of Contents}
भेद्यता स्कोरिंग सिस्टम और डेटाबेस (Vulnerability Scoring System and Database)
साइबर attacks की बढ़ती गंभीरता के कारण, vulnerability research महत्वपूर्ण हो गया है क्योंकि यह attacks की संभावना को कम करने में मदद करता है। Vulnerability research सॉफ्टवेयर में loopholes या flaws की पहचान करने के लिए उन्नत तकनीकों के बारे में जागरूकता प्रदान करता है जिसका attackers द्वारा exploit किया जा सकता है।
Vulnerability scoring systems और vulnerability database का उपयोग security analyst द्वारा information system की vulnerabilities को रैंक करने और पहचान की गई vulnerabilities से जुड़े overall severity और risk का एक overall score प्रदान करने के लिए किया जाता है। Vulnerability database information system में मौजूद विभिन्न vulnerabilities के बारे में जानकारी बनाए रखता है।
कुछ vulnerability scoring system और database निम्नलिखित हैं:
1. सामान्य सुभेद्यता स्कोरिंग प्रणाली Common Vulnerability Scoring System (CVSS)
2. सामान्य भेद्यताएं और जोखिम Common Vulnerabilities and Exposures (CVE)
3. राष्ट्रीय सुभेद्यता डेटाबेस National Vulnerability Database (NVD)
4. सामान्य कमजोरी गणना Common Weakness Enumeration (CWE)
1. सामान्य Vulnerability स्कोरिंग System (CVSS)
स्रोत: https://www.first.org, https://nvd.nist.gov
CVSS (Common Vulnerability Scoring System in hindi) एक प्रकाशित मानक है जो आईटी vulnerabilities की विशेषताओं और प्रभावों को संप्रेषित करने के लिए एक open framework प्रदान करता है।
सिस्टम का quantitative मॉडल दोहराए जाने योग्य, accurate measurements सुनिश्चित करता है जबकि उपयोगकर्ताओं को अंतर्निहित vulnerability विशेषताओं को देखने में सक्षम बनाता है जिनका उपयोग स्कोर generate करने के लिए किया जाता है।
इस प्रकार, CVSS उद्योगों, संगठनों और सरकारों के लिए एक standard measurement system के रूप में अच्छी तरह से अनुकूल है, जिन्हें accurate और consistent vulnerability impact स्कोर की आवश्यकता होती है।
CVSS के दो सामान्य उपयोग vulnerability remediation गतिविधियों को प्राथमिकता देता हैं और किसी के सिस्टम पर खोजी गई vulnerabilities की गंभीरता की गणना कर करता हैं। National Vulnerability Database (NVD) लगभग सभी known vulnerabilities के लिए CVSS स्कोर प्रदान करता है।
CVSS एक vulnerability की प्रमुख विशेषताओं को पकड़ने में मदद करता है और इसकी गंभीरता को दर्शाने के लिए एक संख्यात्मक स्कोर तैयार करता है।
इसके बाद इस संख्यात्मक स्कोर को qualitative representation (जैसे निम्न, मध्यम, उच्च, या critical) में अनुवादित किया जा सकता है ताकि संगठनों को उनकी vulnerability management प्रक्रियाओं का उचित मूल्यांकन और प्राथमिकता दी जा सके।
CVSS assessment में vulnerabilities को मापने के लिए तीन मीट्रिक शामिल हैं:
1. बेस मेट्रिक (Base Metric): vulnerability के inherent qualities का प्रतिनिधित्व करता है
2. अस्थायी मीट्रिक (Temporal Metric): उन विशेषताओं का प्रतिनिधित्व करता है जो vulnerability के lifetime के दौरान बदलती रहती हैं।
3. पर्यावरण मीट्रिक (Environmental Metric): उन vulnerabilities का प्रतिनिधित्व करता है जो किसी विशेष environment या implementation पर आधारित होती हैं।
प्रत्येक मीट्रिक 1 से 10 में से एक अंक निर्धारित करता है, जिसमें 10 सबसे severe है। CVSS स्कोर की गणना एक वेक्टर स्ट्रिंग द्वारा की जाती है और उत्पन्न होती है, जो टेक्स्ट के ब्लॉक के रूप में प्रत्येक समूह के लिए संख्यात्मक स्कोर का प्रतिनिधित्व करती है।
CVSS कैलकुलेटर security vulnerabilities को रैंक करता है और उपयोगकर्ता को vulnerability से संबंधित overall severity और risk के बारे में जानकारी प्रदान करता है।
2. Common Vulnerabilities and Exposures (CVE)
स्रोत: https://cve.mitre.org
CVE (Common Vulnerabilities and Exposures in hindi) एक सार्वजनिक रूप से उपलब्ध और उपयोग में आसान सूची या सामान्य सॉफ्टवेयर vulnerabilities और exposure के लिए मानकीकृत पहचानकर्ताओं (standardized identifiers) का dictionary है।
CVE पहचानकर्ताओं, या "CVE IDs" का उपयोग, जो दुनिया भर से CVE Numbering Authorities (CNAs) द्वारा assign किया गया है, सॉफ्टवेयर या फर्मवेयर vulnerability के बारे में जानकारी पर चर्चा या साझा करते समय पार्टियों के बीच विश्वास सुनिश्चित करता है।
CVE tool मूल्यांकन के लिए baseline प्रदान करता है और cybersecurity automation के लिए डेटा exchange को सक्षम बनाता है। CVE IDs टूल और सेवाओं के कवरेज का मूल्यांकन करने के लिए एक baseline प्रदान करते हैं ताकि उपयोगकर्ता यह निर्धारित कर सकें कि कौन से tools उनके संगठन की जरूरतों के लिए सबसे प्रभावी और उपयुक्त हैं।
संक्षेप में, CVE (common vulnerabilities and exposures list) के साथ उत्पाद और सेवाएं बेहतर कवरेज, आसान इंटरऑपरेबिलिटी और enhanced security प्रदान करती हैं।
CVE क्या है: What is cve in hindi
1. एक vulnerability या exposure के लिए एक पहचानकर्ता (identifier) है
2. प्रत्येक vulnerability या exposure के लिए एक standardized विवरण है
3. यह एक डेटाबेस के बजाय एक dictionary है
4. एक ही language को "बोलने" के लिए अलग-अलग डेटाबेस और टूल के लिए एक method है
5. इंटरऑपरेबिलिटी और बेहतर Security कवरेज का तरीका है
6. सेवाओं, उपकरणों और डेटाबेस के बीच evaluation के लिए एक आधार है
7. जनता के लिए डाउनलोड और उपयोग करने के लिए नि: शुल्क है
8. CVE Numbering Authorities, CVE Board और CVE सहित कई उत्पादों और सेवाओं के माध्यम से उद्योग-समर्थित (Industry-supported) है
3. National Vulnerability Database (NVD)
स्रोत: https://nvd.nist.gov
NVD मानक-आधारित vulnerability management data का यू.एस. सरकार का repository है। यह Security Content Automation Protocol (SCAP) का उपयोग करता है। इस तरह के डेटा vulnerability management, security measurement और compliance के automation को सक्षम करने का काम करता हैं।
NVD में security checklist संदर्भों के डेटाबेस, security से संबंधित सॉफ़्टवेयर flaws, गलत कॉन्फ़िगरेशन, उत्पाद नाम और प्रभाव मीट्रिक शामिल हैं।
NVD CVE डिक्शनरी में प्रकाशित CVE पर एक analysis करता है। NVD staff को descriptions, supplied references और सार्वजनिक रूप से उपलब्ध किसी भी पूरक डेटा से डेटा बिंदुओं को एकत्रित करके CVE के analysis का काम सौंपा जाता है।
इस analysis के परिणामस्वरूप association impact metrics (Common Vulnerability Scoring System - CVSS), vulnerability types (Common Weakness Enumeration - CWE), और applicability statements (Common Platform Enumeration - CPE), साथ ही साथ अन्य प्रासंगिक मेटाडेटा।
NVD सक्रिय रूप से vulnerability testing नहीं करता है; यह इन विशेषताओं को specify करने के लिए उपयोग की जाने वाली जानकारी प्रदान करने के लिए vendors, third-party security researchers और vulnerability coordinators पर निर्भर करता है।
4. Common Weakness Enumeration (CWE)
स्रोत: https://cwe.mitre.org
Common Weakness Enumeration (CWE) सॉफ्टवेयर vulnerabilities और weaknesses के लिए एक system है। यह National Cybersecurity FFRDC द्वारा प्रायोजित है, जो कि MITER Corporation के स्वामित्व में है, US-CERT और U.S. Department of Homeland Security के National Cyber Security Division के समर्थन से है।
CWE standard का latest version 3.2 जनवरी 2019 में जारी किया गया था। इसमें weaknesses की 600 से अधिक श्रेणियां हैं, जो CWE को weakness identification, mitigation और prevention efforts के लिए baseline के रूप में community द्वारा प्रभावी ढंग से नियोजित करने की क्षमता प्रदान करती हैं।
इसमें एक advanced search technique भी है जहां attackers research concepts, development concepts और architectural concepts के आधार पर weaknesses को खोज सकते है और देख सकते हैं।