Atamalar
Mundarija
Mundarijani ochish
Vulnerability
Vulnerability - bu qurilmalar yoki dasturlarning xavfsizligini zaiflashtiragan tizimdagi kamchiliklardir. Vulnerability dasturiy ta’minot kodidagi nuqson yoki Log4Shell kabi tizimning noto’g’ri konfiguratsiyasi bo’lib, bu orqali tajovuzkorlar tizim yoki tarmoqqa ruxsatsiz kirish huquqiga ega bo’lishi mumkin. Ichkariga kirgandan so’ng, tajovuzkor tizimlar va aktivlarni buzish uchun avtorizatsiya va imtiyozlardan foydalanishi mumkin. Vulnerability = Zaiflik
CVE
Common Vulnerabilities and Exposures - bu barchaga ma’lum bo’lgan kiberxavfsizlik zaifliklarining ochiq ma’lumotlar registrini (CVE List) yurutuvchi xalqaro, hamjamiyatga(community) asoslangan harakat. CVE Identifikatorlari (CVE IDs) - bu zaifliklarga berilgan takrorlanmas identifikator(id). Ushbu id orqali zaiflikni va u haqida ma’lumotlarni tezda aniqlash mumkin bo’ladi. CVE Idlari CVE Numbering Authorities (CNAs) tomonidan belgilanadi. CNAs ko’ngilli tashkilotlar tomonidan boshqariladi. Demak CVE zaifliklarni belgilash uchun xalqaro standartdir. Va belgilangan zaifliklar ro’yxati U.S. National Vulnerability Database (NVD) da saqlanib boriladi. Keling CVE ga birorta misol ko’ramiz. Java dasturchilar orasida juda mashhur Hibernate frameworkida(ORM) 2020 yilda Sql Injection zaifligi aniqlangan va unga CVE-2020-25638 idsi berilgan. CVE haqida to’liq ma’lumotni https://www.cve.org/ dan olishingiz mumkin.
CVSS
Common Vulnerability Scoring System - bu zaifliklarni baholash tizimi. Xullas bu hisoblash mexanizmi bo’lib bir nechta faktorlarga qarab zaiflikka(vulnerability) har bir faktor 0 dan 10 gacha ball beriladi. Ushbu ball xavf o’lchovi emas zaiflik jiddiyligining o’lchovidir. Ya’ni deylik siz qurgan tizimda qandaydir bir zaiflik mavjud va unga 9.9 ball berilgan. Juda yuqori ball ammo bu zaiflik sizning tizimingizga yoki biznesingizga xavf tug’dirmaydi. (shunaqasiyam bo’ladi) CVSSning ham vaqt o’tishi bilan bir qancha versiyalari ishlab chiqilgan: CVSS 1.x, CVSS 2.x, CVSS 3.x va 2023 yil noyabrda CVSS 4.x versiyasi ishlab chiqarildi. Shu o’rinda tushunish kerak bo’lgan yana bir narsa bor. Bir xil zaiflik CSVVning turli versiyalarida turlicha baholanishi mumkin. Misol uchun yuqorida aytib o’tilgan CVE-2020-25638 zaifligiga CSVV 3.x da 7.4 HIGH, CSVV 2.0 da 5.8 MEDIUM ball berilgan. Quyidagi jadvalda versiyalar orasidagi asosiy farqlarni ko’rishingiz mumkin. Batafsil ma’lumot uchun: https://www.first.org/cvss/
| Feature | CVSS v1.0 | CVSS v2.0 | CVSS v3.0 | CVSS v4.0 |
|---|---|---|---|---|
| Release Date | 1999 | 2003 | 2015 | 2023 |
| Score Range | 0-10 | 0-10 | 0-10 | 0-10 |
| Metric Groups | Base | Base | Base, Temporal | Base, Threat |
| Key Improvements | Initial scoring system | New metrics, improved scoring | Temporal and environmental metrics | Enhanced Base metrics, expanded Threat metrics, improved impact scoring |
CWE
Common Weakness Enumeration - bu hamjamiyat tomonidan tuzilgan, (community-developed) dasturlar va qurilmalarda uchraydigan zaiflik kategoriyalaridir. Xo’sh bu nimani anglatadi? Keling bir nechta zaifliklarni ko’rish orqali tushunishga harakat qilamiz. Demak Hibernate frameworkida SQL Injection aniqlangan va u CVE-2020-25638 ko’rinishida belgilangan. 2022 yilda esa Python uchun web framework hisoblangan Django da ham SQL Injection zaifligi aniqlangan va u CVE-2022-34265 kabi belgilangan. Ushbu vulnerability(zaifliklar) SQL Injection CWE siga tegishli va ya’ni SQL Injection bu yerda umumiy bir zaiflikning turi hisoblanadi. CVE va CWE ning asosiy farqi CVE spesifik dastur yoki qurilmadagi zaiflikni belgilash uchun ishlatiladi, CWE esa umumiy holda zaiflikni belgilash uchun ishlatiladi. CWE da ham CVE kabi zaiflik toifalariga idlar berib chiqilgan. Misol uchun SQL Injection (Improper Neutralization of Special Elements used in an SQL Command) uchun CWE-89 idsi berilgan. CWE to’g’risida batafsil ma’lumotni quyidagi linkdan topishingiz mumkin: https://cwe.mitre.org/
Yuqorida atamalar nimaligi haqida batafsil tanishib oldik. Sizdayam shuncha narsani bildik bular o’zi qayerda ishlatiladi degan savol tug’ilgandir. Keling endi shu haqda biroz soddaroq fikrda o’rganamiz. Eng birinchidan bu atamalar zaifliklarni belgilashda va baholashda ishlatiladi. Keyin esa belgilangan zaifliklar dasturchilar yoki kiberxavfsizlik xodimlar tominidan ushbu zaifliklarni o’rganish va bartaraf qilishda, yoki dasturiy ta’minotda aniqlangan zaifliklarni zaiflikning baholariga, biznesga ta’siriga qarab eng birinchi tuzatish keraklagini aniqlashda ishlatilishi mumkin.
Hozircha shu, xato va kamchiliklar bo'lsa Githubda pull request oching!