यदि आप अतीत को देखें, तो पैच प्रबंधन कोई साइबर सुरक्षा समस्या नहीं थी; बल्कि, यह एक आईटी मुद्दा था। और यह 2001 में कोड रेड के उद्भव तक नहीं था जब Microsoft ने अपने सॉफ़्टवेयर में सुरक्षा कमजोरियों को प्लग करने के लिए पैच जारी करना शुरू किया था। सुरक्षा के रूप में पैच प्रबंधन 2009, 2011 और 2012 के बड़े पैमाने पर इंटरनेट वर्म्स के साथ फिर से प्रमुखता में आया, जिसमें 2017 में WannaCry भी शामिल है, जो पूरे उद्यम नेटवर्क को झटका देगा। ये घटनाएं उद्यमों के बीच नियमित पैच प्रबंधन चक्रों को व्यापक रूप से अपनाने के लिए मंच तैयार करेंगी। उस समय तक, केवल छिटपुट सुरक्षा घटनाएं थीं, लेकिन बड़े पैमाने पर कुछ भी नहीं था जहां आप वायरस और मैलवेयर को भौगोलिक क्षेत्रों में फैलते हुए देखेंगे।

जैसे-जैसे ये बड़े पैमाने पर हमलों ने भौगोलिक क्षेत्रों में पूरे नेटवर्क को संक्रमित किया, यह अधिक प्रचलित हो गया, उद्योग इन कमजोरियों को सूचीबद्ध करने और ट्रैक करने के लिए एक प्रणाली विकसित करने की ओर बढ़ गया। पहला, 1999 में बनाया गया था, पहली बार अमेरिकी संघीय एजेंसियों द्वारा राष्ट्रीय मानक और प्रौद्योगिकी संस्थान की सिफारिश पर इस्तेमाल किया गया था, जिसने 2002 में “सामान्य कमजोरियों और एक्सपोजर (सीवीई) भेद्यता नामकरण योजना का उपयोग” प्रकाशित किया था और फिर इसे 2011 में अपडेट किया गया। हालाँकि, इसका व्यापक उपयोग 2011 तक नहीं था, पहले के विकास के साथ राष्ट्रीय सुभेद्यता डेटाबेस (एनवीडी).

एनवीडी, जो एक व्यापक साइबर सुरक्षा भेद्यता डेटाबेस के रूप में कार्य करता है जो सभी सार्वजनिक रूप से उपलब्ध अमेरिकी सरकार भेद्यता संसाधनों को एकीकृत करता है, उद्योग संसाधनों के संदर्भ प्रदान करता है। यह सीवीई सूची के साथ समकालिक और आधारित है, जो जोखिम की गंभीरता को रेट करने के लिए स्कोरिंग सिस्टम का उपयोग करता है। एनवीडी सुरक्षा संगठनों के लिए कमजोरियों को ट्रैक करने और यह निर्धारित करने के लिए एक प्रभावी उपकरण बन गया कि उनके जोखिम स्कोर के आधार पर किसे प्राथमिकता दी जाए।

2011 से जब पैच प्रबंधन पूरे उद्योग में एक सुरक्षा सर्वोत्तम अभ्यास के रूप में विकसित होना शुरू हुआ। हालाँकि, जैसे-जैसे डेटाबेस में कमजोरियों की मात्रा बढ़ती रही, और आईटी अवसंरचना की जटिलता बढ़ती गई, पैच प्रबंधन इतना आसान काम नहीं होगा। यह हमेशा सॉफ़्टवेयर के एक टुकड़े को अपडेट करने जितना आसान नहीं होता है। कुछ प्रणालियाँ मिशन-महत्वपूर्ण हैं और व्यवधान को बर्दाश्त नहीं कर सकती हैं। कुछ संगठनों के पास नियमित आधार पर परीक्षण लागू करने, परिनियोजित करने और पैच स्थापित करने के लिए बजट या प्रतिभा में समर्पित संसाधन नहीं होते हैं।

एनवीडी का निर्माण उद्योग के लिए भेद्यता और पैच प्रबंधन में एक बड़ा पहला कदम था। फिर भी दो उभरते मुद्दे उन जटिलताओं को जन्म देंगे जो उद्योग आज पैच प्रबंधन के साथ अनुभव कर रहा है। पहला मुद्दा समय है। हमेशा विलंबता रहेगी। एक बार जब कोई हमलावर, शोधकर्ता या कंपनी भेद्यता की पहचान करती है, तो घड़ी टिकने लगती है। यह समय के खिलाफ एक दौड़ है, जिस क्षण से एक भेद्यता का खुलासा किया जाता है, जब एक पैच जारी किया जाता है और फिर लागू किया जाता है, यह सुनिश्चित करने के लिए कि एक बुरे अभिनेता द्वारा भेद्यता का शोषण नहीं किया जाएगा। 15 से 60 दिन पहले लेटेंसी होती थी। आज, हम कुछ हफ़्ते के लिए नीचे हैं।

लेकिन हर भेद्यता का समाधान नहीं होता है। एक आम गलत धारणा है कि हर भेद्यता को एक पैच द्वारा ठीक किया जा सकता है, लेकिन ऐसा नहीं है। डेटा से पता चलता है कि केवल 10% ज्ञात कमजोरियों को पैच प्रबंधन द्वारा कवर किया जा सकता है। इसका मतलब है कि अन्य 90% ज्ञात कमजोरियों को ठीक नहीं किया जा सकता है, संगठनों को दो विकल्पों के साथ छोड़ दिया जाता है – या तो इसे बदलने के लिए क्षतिपूर्ति नियंत्रण या कोड ठीक करें।

दूसरा मुद्दा यह है कि एनवीडी अनिवार्य रूप से बुरे अभिनेताओं द्वारा हथियार बन गया है। हालांकि इसे संगठनों को खतरे वाले अभिनेताओं से बचाव में मदद करने के लिए डिज़ाइन किया गया था, लेकिन थोड़े समय के भीतर उसी उपकरण का उपयोग आक्रामक हमलों को शुरू करने के लिए किया जाएगा। पिछले पांच वर्षों में, ऑटोमेशन और मशीन लर्निंग के उपयोग के साथ धमकी देने वाले अभिनेताओं ने अपने आक्रामक कौशल को बढ़ाया है। आज, वे एनवीडी में भेद्यता डेटा के आधार पर, बिना पैच वाले सिस्टम के लिए जल्दी और आसानी से स्कैन कर सकते हैं। ऑटोमेशन और मशीन लर्निंग के उदय ने खतरे वाले अभिनेताओं को यह निर्धारित करने में सक्षम बनाया है कि एनवीडी के साथ क्रॉस-चेकिंग द्वारा अभी तक क्या पैच किया जाना है, यह निर्धारित करने के लिए संगठन द्वारा कौन से सॉफ़्टवेयर संस्करणों का उपयोग किया जा रहा है।

अब हमारे पास एक असममित युद्ध है: संगठन यह सुनिश्चित करने के लिए पैच प्रबंधन के शीर्ष पर बने रहने की कोशिश कर रहे हैं कि हर एक भेद्यता तय हो गई है, और बुरे अभिनेता एक भेद्यता की तलाश कर रहे हैं जिसे अभी तक पैच नहीं किया गया है। यह सब एक लापता पैच तक उबाल जाता है। सुरक्षा घटना के लिए बस इतना ही चाहिए। यही कारण है कि पैच प्रबंधन अब एक संगठन में सुरक्षा तह का एक अनिवार्य हिस्सा है, न कि केवल आईटी विभाग की जिम्मेदारी।

आज, सुरक्षा नियमों के अनुपालन को प्रदर्शित करने के लिए पैच प्रबंधन एक अनिवार्य प्रथा है। यह साइबर बीमा के लिए भी एक आवश्यकता है। रैंसमवेयर के बढ़ने के साथ, मिशन-महत्वपूर्ण अस्पताल सिस्टम सहित, जिसका अर्थ जीवन या मृत्यु हो सकता है, पैच प्रबंधन कड़ी जांच के अधीन है, और ठीक ही ऐसा है। फिर भी आईटी और सुरक्षा दल पतले हैं और कार्य को पूरा नहीं कर सकते हैं। यह मानवीय रूप से संभव नहीं है। उद्योग को एक नया दृष्टिकोण खोजने की जरूरत है – पैच प्रबंधन को स्वचालित करना – जिस पर पैच प्रबंधन पर इस श्रृंखला के भाग 2 में चर्चा की जाएगी।

इस श्रृंखला का भाग 2 बुधवार, 12 जनवरी को पोस्ट होने वाला है।


Source link

LEAVE A REPLY

Please enter your comment!
Please enter your name here