कॉमन वल्नरेबिलिटी स्कोरिंग सिस्टम (CVSS) सॉफ्टवेयर वल्नरेबिलिटी को क्लासिफ़ाई करने और रेटिंग देने के लिए बहुत ज़्यादा इस्तेमाल होने वाला फ़्रेमवर्क है।
इस ओपन फ़्रेमवर्क के ज़रिए, ऑर्गनाइज़ेशन CVSS स्कोर कैलकुलेट कर सकते हैं, जो एक न्यूमेरिकल स्कोर है जो किसी वल्नरेबिलिटी की गंभीरता को दिखाता है। CVSS स्कोर में योगदान देने वाली वल्नरेबिलिटी की खासियतों को टेक्स्ट की एक चेन में दिखाया जाता है जिसे CVSS वेक्टर स्ट्रिंग कहा जाता है।
2005 से CVSS के कई वर्शन आ चुके हैं। सबसे नया वर्शन, CVSS v4.0, 2022 में रिलीज़ हुआ था। नॉन-प्रॉफ़िट ग्रुप FIRST.org, Inc., जिसे फ़ोरम ऑफ़ इंसिडेंट रिस्पॉन्स एंड सिक्योरिटी टीम्स के नाम से भी जाना जाता है, इस फ़्रेमवर्क को मैनेज करता है।
CVSS क्यों ज़रूरी है?
CVSS वल्नरबिलिटी मैनेजमेंट के लिए एक ज़रूरी टूल है, जो किसी ऑर्गनाइज़ेशन के IT इंफ्रास्ट्रक्चर और सॉफ्टवेयर में सिक्योरिटी वल्नरबिलिटीज़ की लगातार खोज, प्रायोरिटी और सॉल्यूशन है। फायरवॉल मिसकॉन्फ़िगरेशन और अनपैच्ड बग्स जैसी गलतियों और साइबर सिक्योरिटी की कमज़ोरियों को पहचानना और उन्हें सॉल्व करना, IT इंफ्रास्ट्रक्चर और सॉफ्टवेयर की पूरी फंक्शनैलिटी पक्का करने के लिए बहुत ज़रूरी है।
सॉल्यूशन के तरीकों में ये शामिल हो सकते हैं:
- रेमेडिएशन: यह पक्का करना कि वल्नरबिलिटी का अब और फ़ायदा न उठाया जा सके।
- मिटिगेशन: वल्नरबिलिटी का फ़ायदा उठाना और मुश्किल बनाना, साथ ही उसके एक्सप्लॉइटेशन के पोटेंशियल असर को कम करना।
- एक्सेप्टेंस: अगर वल्नरबिलिटी का फ़ायदा उठाने की संभावना न हो या इससे बहुत कम नुकसान हो, तो उसे वैसे ही रहने देना।
आज के IT सिस्टम की कॉम्प्लेक्सिटी और उनमें मौजूद वल्नरबिलिटीज़ और साइबरथ्रेट्स की बड़ी संख्या को देखते हुए, यह तय करना कि किन इश्यूज़ को पहले एड्रेस और सॉल्व किया जाए, IT मैनेजर्स के लिए चैलेंजिंग हो सकता है।
यहीं पर CVSS काम का साबित होता है: यह IT मैनेजरों को किसी वल्नरबिलिटी की गंभीरता का अंदाज़ा लगाने के लिए एक सिस्टमैटिक तरीका देता है, जिससे प्रभावित सिस्टम के लिए वल्नरबिलिटी रिज़ॉल्यूशन को प्राथमिकता देने और प्लान करने के बारे में उनके फ़ैसलों में मदद मिलती है।1
FIRST.org के अनुसार, CVSS स्कोर को रिस्क असेसमेंट में शामिल किया जा सकता है, लेकिन सिर्फ़ CVSS असेसमेंट का इस्तेमाल पूरे रिस्क असेसमेंट की जगह नहीं किया जाना चाहिए। CVSS यूज़र गाइड सलाह देते हैं कि पूरे असेसमेंट में CVSS के दायरे से बाहर के फ़ैक्टर भी शामिल होने चाहिए।
 - कॉमन वल्नरेबिलिटी स्कोरिंग सिस्टम (CVSS) क्या है?){kind=link}
0 Comments