Physical Address

304 North Cardinal St.
Dorchester Center, MA 02124

अमेरिकी सरकार ने संघीय एजेंसियों को 100 कमजोरियों को ठीक करने का आदेश दिया


साइबर सुरक्षा और बुनियादी ढांचा सुरक्षा एजेंसी संघीय एजेंसियों और विभागों को उन्हें कैसे और कब पैच करना चाहिए, इस पर विवरण के साथ ज्ञात सुरक्षा खामियों का एक डेटाबेस बनाए हुए है।

iStock/weerapatkiatdumrong

साइबर अपराध और रैंसमवेयर से निपटने के नवीनतम प्रयास में, संघीय एजेंसियों को नवंबर 2021 से मई 2022 तक की नियत तारीखों के साथ सैकड़ों ज्ञात सुरक्षा कमजोरियों को ठीक करने के लिए कहा गया है। बुधवार को जारी निर्देश, साइबर सुरक्षा और अवसंरचना सुरक्षा एजेंसी (CISA) ने सभी संघीय और कार्यकारी शाखा विभागों और एजेंसियों को एक में सूचीबद्ध के रूप में ज्ञात शोषित कमजोरियों की एक श्रृंखला को पैच करने का आदेश दिया। CISA द्वारा प्रबंधित सार्वजनिक वेबसाइट.

देख: पैच प्रबंधन नीति (टेकरिपब्लिक प्रीमियम)

यह निर्देश संघीय एजेंसियों के परिसर में स्थित या किसी एजेंसी की ओर से तीसरे पक्ष द्वारा होस्ट किए गए सभी सॉफ़्टवेयर और हार्डवेयर पर लागू होता है। जिन उत्पादों को छूट दी गई है, वे राष्ट्रीय सुरक्षा प्रणालियों के साथ-साथ रक्षा विभाग या खुफिया समुदाय द्वारा संचालित कुछ प्रणालियों के रूप में परिभाषित हैं।

सभी एजेंसियों को सीआईएसए के कैटलॉग के साथ काम करने के लिए कहा जा रहा है, जो वर्तमान में लगभग 300 ज्ञात सुरक्षा कमजोरियों को सूचीबद्ध करता है, जिसमें उन्हें पैच करने के तरीके और देय तिथियों के बारे में जानकारी के लिंक हैं कि उन्हें कब पैच किया जाना चाहिए।

कैटलॉग में सीवीई नंबर, विक्रेता, उत्पाद का नाम, भेद्यता नाम, जोड़ी गई तिथि, विवरण, कार्रवाई, नियत तारीख और नोट्स के साथ प्रत्येक भेद्यता के लिए एक रिकॉर्ड होता है। सीवीई नंबर एनआईएसटी भेद्यता डेटाबेस से लिंक करता है, जिसमें अधिक विवरण के साथ-साथ दोष को ठीक करने के चरण भी शामिल हैं।

कैटलॉग में विशेष रूप से शोषित कमजोरियां शामिल हैं जो सीआईएसए का मानना ​​​​है कि संघीय सरकार के लिए सुरक्षा जोखिम पैदा करती है। पैचिंग के लिए देय तिथियां अलग-अलग हैं, उनमें से अधिकांश 17 नवंबर, 2021 या 3 मई, 2022 के कारण हैं। 2021 से पहले असाइन किए गए सीवीई के साथ कमजोरियां 3 मई की नियत तारीख को सूचीबद्ध करती हैं, जबकि इस वर्ष असाइन किए गए लोगों में 17 नवंबर की तारीख होती है। कैटलॉग से मैन्युअल रूप से परामर्श करने के अलावा, एजेंसियां ईमेल अपडेट के लिए साइन अप करें उन्हें नई कमजोरियों के प्रति सचेत करना।

पैच प्रबंधन किसी भी संगठन के लिए सबसे चुनौतीपूर्ण सुरक्षा कार्यों में से एक है। प्रत्येक दिन खोजी गई सभी कमजोरियों के साथ बने रहने की कोशिश करना और यह निर्धारित करना कि किन कमजोरियों को ठीक करने की आवश्यकता है और चुनौती का एक बड़ा हिस्सा कैसा है।

अपने स्वयं के कैटलॉग के साथ, सीआईएसए सरकारी एजेंसियों के लिए कुछ जटिलताओं को दूर करने की कोशिश कर रहा है, जिसमें सूचीबद्ध किया गया है कि कौन सी कमजोरियों को महत्वपूर्ण माना जाता है और सक्रिय रूप से शोषण किया जा रहा है, साथ ही उन्हें कैसे और कब तक ठीक किया जा सकता है। चूंकि कैटलॉग वेब पर सार्वजनिक रूप से सुलभ है, इसलिए निजी क्षेत्र भी महत्वपूर्ण कमजोरियों को दूर करने में मदद के लिए इससे परामर्श कर सकता है।

सुरक्षा प्रदाता ट्रिपवायर के लिए उत्पाद प्रबंधन और रणनीति के टिम एर्लिन वीपी ने कहा, “उपचार के लिए लक्षित करने के लिए कमजोरियों की एक आम सूची प्रदान करके, सीआईएसए प्राथमिकता के मामले में एजेंसियों के लिए खेल मैदान को प्रभावी ढंग से समतल कर रहा है।” “यह तय करना व्यक्तिगत एजेंसियों पर निर्भर नहीं है कि कौन सी कमजोरियां पैच करने के लिए सर्वोच्च प्राथमिकता हैं। यहां उम्मीद करने के लिए सकारात्मक परिणाम यह है कि एजेंसियां ​​​​इस मार्गदर्शन के साथ इन कमजोरियों को अधिक प्रभावी ढंग से संबोधित करेंगी। एक जोखिम यह भी है कि यह दृष्टिकोण जिम्मेदार नहीं होगा। प्रत्येक एजेंसी के लिए जोखिम का आकलन कैसे किया जाता है, इसकी बारीकियां हैं, लेकिन इस बात के बहुत सारे सबूत हैं कि इस तरह की बारीकियों का अभी हिसाब नहीं लगाया जा रहा है।”

देख: साइबर सुरक्षा समर्थक कैसे बनें: एक धोखा पत्र (टेक रिपब्लिक)

बेशक, वास्तविक कार्य और जवाबदेही अभी भी प्रत्येक विभाग के भीतर है। उस दिशा में, सीआईएसए को कुछ समय सीमा और डिलिवरेबल्स की आवश्यकता है।

60 दिनों के भीतर, एजेंसियों को अपनी भेद्यता प्रबंधन नीतियों और प्रक्रियाओं की समीक्षा और अद्यतन करना होगा और अनुरोध किए जाने पर उनकी प्रतियां प्रदान करनी होंगी। एजेंसियों को एक ऐसी प्रक्रिया स्थापित करनी चाहिए जिसके द्वारा वह सीआईएसए द्वारा पहचानी गई सुरक्षा खामियों को दूर कर सके, जिसका अर्थ है भूमिकाएं और जिम्मेदारियां सौंपना, आंतरिक ट्रैकिंग स्थापित करना और रिपोर्ट करना और कमजोरियों को ठीक किए जाने पर मान्य करना।

हालांकि, पैच प्रबंधन अभी भी एक मुश्किल प्रक्रिया हो सकती है, जिसमें प्रत्येक पैच का परीक्षण और परिनियोजन करने के लिए उचित समय और लोगों की आवश्यकता होती है। उस क्षेत्र में मदद करने के लिए, संघीय सरकार को नए निर्देश से परे और मार्गदर्शन प्रदान करने की आवश्यकता है।

“यह निर्देश विक्रेताओं द्वारा प्रदान किए गए उन्नयन को पूरा करने के लिए पैचिंग सिस्टम पर केंद्रित है, और हालांकि यह एक साधारण कार्य की तरह लग सकता है, कई सरकारी संगठन आवश्यक पैच प्रबंधन कार्यक्रमों को विकसित करने के लिए संघर्ष करते हैं जो उनके सॉफ़्टवेयर और बुनियादी ढांचे को पूरी तरह से समर्थित और निरंतर जारी रखेंगे। आधार,” भेद्यता प्रबंधन फर्म नेटएसपीआई के प्रबंध निदेशक नबील हन्नान ने कहा।

हन्नान ने कहा, “इसे दूर करने के लिए, बिडेन प्रशासन को इन प्रणालियों के निर्माण और प्रबंधन के साथ-साथ निरंतर आधार पर सुरक्षा मुद्दों के लिए ठीक से परीक्षण करने के निर्देश के बारे में विशिष्ट दिशानिर्देश विकसित करने चाहिए।” “यह अतिरिक्त समर्थन सरकारी नेटवर्क में एक मजबूत सुरक्षा मुद्रा तैयार करेगा जो कि समस्या को तत्काल, अस्थायी रूप से ठीक करने के बजाय, विकसित होने वाले प्रतिकूल खतरों से बचाएगा।”

और देखें



Source link

Leave a Reply