आईटी सुरक्षा का मापन और सुधार अब कई कंपनियों तक पहुंच गया है और इसे आगे बढ़ाया जा रहा है। दूसरी ओर, ओटी सुरक्षा का सवाल अभी भी कई कंपनियों के लिए एक बंद किताब है। OTORIO बताता है कि कैसे आईटी और ओटी सुरक्षा को समान रूप से बढ़ावा दिया जा सकता है और इसमें भेद्यता प्रबंधन और स्कोरिंग की क्या भूमिका है।
सबसे कुशल जोखिम कम करने के उपाय क्या हैं जो किसी विशिष्ट सुविधा, प्रक्रिया या संपूर्ण उत्पादन सुविधा के लिए सबसे प्रभावी जोखिम में कमी लाते हैं? हालांकि, एक बार जब जोखिम कम करने के उपायों को लागू कर दिया जाता है और एक स्वीकार्य अवशिष्ट जोखिम बना रहता है, तो अभी और काम किया जाना बाकी है। ऐसा इसलिए है क्योंकि जोखिम शमन प्रक्रिया अतिरिक्त खतरों और अंतरालों को उजागर करती है जो नए शुरू किए गए "स्वीकार्य" अवशिष्ट जोखिम का हिस्सा हैं।
यह एक सतत प्रक्रिया है क्योंकि यह परिचालन और ओटी सुरक्षा टीमों को उन कमजोरियों पर लगातार ध्यान केंद्रित करने की अनुमति देती है जो हमलावरों द्वारा किसी संगठन को जितना संभव हो उतना नुकसान पहुंचाने के लिए शोषण करने की सबसे अधिक संभावना है। इस जोखिम मूल्यांकन चक्र को दोहराकर ही संगठन सीमित मात्रा में संसाधनों के साथ व्यापार लचीलापन प्राप्त कर सकते हैं।
स्थिति मूल्यांकन के उद्देश्य
मूल्यांकन प्रक्रिया का मुख्य लक्ष्य सही प्राथमिकता के साथ कमजोरियों को दूर करना है। यह पोस्ट कमजोरियों की प्रकृति, उनका मूल्यांकन कैसे किया जाना चाहिए, और ओटी डिजिटल सुरक्षा के लिए उनके आवेदन को देखता है।
राष्ट्रीय मानक और प्रौद्योगिकी संस्थान (एनआईएसटी) भेद्यता को इस प्रकार परिभाषित करता है: "सॉफ्टवेयर और हार्डवेयर घटकों के कम्प्यूटेशनल लॉजिक (जैसे, कोड) में एक भेद्यता, जिसका यदि शोषण किया जाता है, तो गोपनीयता, अखंडता या उपलब्धता पर प्रतिकूल प्रभाव पड़ता है। इस संदर्भ में भेद्यता को ठीक करने में आमतौर पर कोड में परिवर्तन शामिल होते हैं, लेकिन इसमें विनिर्देश में परिवर्तन या विनिर्देश का बहिष्करण भी शामिल हो सकता है (उदाहरण के लिए प्रभावित प्रोटोकॉल या कार्यों को पूरी तरह से हटाना)। ”
संपत्ति सूची और ओटी भेद्यता के बीच संबंध
एक प्रभावी ओटी भेद्यता विश्लेषण प्रक्रिया विकसित करने में पहला कदम संपत्तियों की एक सटीक, प्रासंगिक और विस्तृत सूची बनाना है। सूची में सॉफ़्टवेयर और संस्करण दिनांक, उपकरण कनेक्शन, स्थिति और प्रबंधन जानकारी (जैसे, स्वामी, परिचालन भूमिका, फ़ंक्शन) शामिल होनी चाहिए। एक मौजूदा और सटीक इन्वेंट्री संपत्ति की सेहत के विभिन्न पहलुओं को दर्शाती है।
प्रारंभिक सूची के बाद, कमजोरियों को संबंधित संपत्तियों से जोड़ा जा सकता है। यह मैपिंग एक स्वचालित प्रक्रिया के माध्यम से की जानी चाहिए, विशेष रूप से बड़ी संख्या में संपत्तियों के साथ। इसके लिए एक एल्गोरिथम बनाने और उपयोग करने की आवश्यकता होती है जो अर्ध-संरचित भेद्यता डेटा को नेटवर्क पर संपत्ति के साथ जोड़ सकता है।
एनआईएसटी की सामान्य भेद्यता और एक्सपोजर (सीवीई) डेटाबेस में वर्तमान में लगभग 170.000 ज्ञात आईटी और ओटी भेद्यताएं हैं, जो इसे सूचना का एक महत्वपूर्ण स्रोत बनाती हैं। यह संख्या और नई कमजोरियों का निरंतर परिचय पैमाने को रेखांकित करता है और उनकी पहचान को स्वचालित करने की आवश्यकता है।
भेद्यता परिभाषाओं के स्रोत
भेद्यता का मूल्यांकन करते समय, भेद्यता सूचकांक का उपयोग करके प्रत्येक भेद्यता की गंभीरता को निर्धारित किया जाता है। कमजोरियों का मूल्यांकन करने के लिए एक मानक विधि एनआईएसटी की सामान्य भेद्यता स्कोरिंग सिस्टम (सीवीएसएस) है, एक उद्योग मानक जो आकलन करता है कि भेद्यता का कितनी आसानी से शोषण किया जा सकता है और इसका प्रभाव गोपनीयता, अखंडता और उपलब्धता पर पड़ सकता है। ये तीन कारक ("गोपनीयता, अखंडता और उपलब्धता" के लिए "सीआईए" के रूप में भी जाने जाते हैं) वे भी चर हैं जो खतरे की संभावित गंभीरता को मापते हैं।
हालांकि, सामान्य कमजोरियों पर विचार करना यह निर्धारित करने के लिए पर्याप्त नहीं है कि कोई विशेष संपत्ति कितनी कमजोर है। दृढ़ संकल्प का एक अन्य स्रोत कंपनी की आंतरिक नीति है। उदाहरण के लिए, यदि ऐसी नीति तय करती है कि मध्यम-शक्ति वाले पासवर्ड भेद्यता का गठन करते हैं, तो संपत्ति की भेद्यता की गणना करते समय इसे ध्यान में रखा जाना चाहिए। एंटरप्राइज़-विशिष्ट भेद्यता प्राथमिक तरीका है जिससे चिकित्सक कमजोरियों का मूल्यांकन करने में एक कारक के रूप में नीति पर विचार कर सकते हैं।
उद्योग के मानक और सर्वोत्तम अभ्यास भी कमजोरियों के महत्वपूर्ण स्रोत हैं जो जोखिम में योगदान करते हैं। उद्योग मानकों के उदाहरण यूरोप में ISA/IEC 62443 और उत्तरी अमेरिका में NERC CIP हैं। सर्वोत्तम प्रथाओं का पालन करने में विफलता के परिणामस्वरूप नेटवर्क में आईटी और ओटी क्षेत्रों के बीच स्वीकार्य विभाजन कॉन्फ़िगरेशन, ईडीआर एजेंटों की कमी और अवांछित संचार जैसे मुद्दे हो सकते हैं। इन्हें एक समग्र भेद्यता डेटाबेस में दर्ज करने की आवश्यकता है जहां उन्हें विषय विशेषज्ञों द्वारा संशोधित किया जा सकता है क्योंकि उद्योग मानकों और सर्वोत्तम प्रथाओं का विकास होता है।
कमजोरियों का आकलन
चिकित्सकों को सीवीएसएस प्रणाली का उपयोग करके कंपनी-विशिष्ट कमजोरियों का आकलन करना चाहिए और उन्हें सामान्य कमजोरियों के समान पैमाने पर रखना चाहिए। भेद्यता डेटाबेस पर्याप्त रूप से लचीला होना चाहिए ताकि व्यवसायी कंपनी नीतियों के आधार पर भेद्यता मूल्यांकन को प्रभावित कर सके।
क्योंकि कोई भी संपत्ति स्थिति एक भेद्यता का प्रतिनिधित्व कर सकती है, यह सलाह दी जाती है कि एक एल्गोरिथ्म को तैनात किया जाए जो सभी परिसंपत्ति राज्यों में कॉर्पोरेट नीतियों को लागू करे। इसलिए सुरक्षा स्थिति के बारे में सही निर्णय लेने का आधार भेद्यता डेटाबेस का निरंतर उपयोग है जिसमें सभी कमजोरियों का मूल्यांकन एक मानक पद्धति के अनुसार किया जाता है। यह एक संगठन को जोखिम के आधार पर शमन को प्राथमिकता देने की अनुमति देता है।
Fazit
भेद्यता चार जोखिम घटकों में से एक है और सुरक्षा मुद्रा का विश्लेषण करते समय एक महत्वपूर्ण कारक है। एक बड़ी चुनौती एक भेद्यता डेटाबेस का निर्माण और रखरखाव कर रही है जिसे उपचारात्मक कार्यों को प्राथमिकता देने के बारे में निर्णय लेने के लिए संपत्ति पर लागू किया जा सकता है।
कमजोरियों का आकलन करने का सबसे अच्छा तरीका सीवीएसएस प्रणाली का अनुपालन करना है। परिणामस्वरूप, उद्योग मानकों को बनाए रखते हुए संगठन सभी सामान्य कमजोरियों का पुनर्मूल्यांकन करने से बचते हैं। इस प्रक्रिया के दायरे और पैमाने के कारण इसे स्वचालित करने की आवश्यकता है। इस तरह, एक संगठन नियमित रूप से सुरक्षा मुद्रा का एक सुसंगत और स्केलेबल मूल्यांकन कर सकता है, जिससे समय के साथ आकलन की तुलना करना और सुरक्षा मुद्रा में रुझानों की पहचान करना संभव हो जाता है।
Sophos.com पर अधिक
OTORIO के बारे में
OTORIO ओटी सुरक्षा और डिजिटल जोखिम प्रबंधन समाधानों की अगली पीढ़ी का विकास और विपणन करता है। कंपनी महत्वपूर्ण बुनियादी ढांचे और विनिर्माण उद्योगों के लिए उच्चतम स्तर की सुरक्षा प्रदान करने के लिए अत्याधुनिक डिजिटल जोखिम प्रबंधन तकनीकों के साथ प्रमुख सरकारी साइबर सुरक्षा विशेषज्ञों के अनुभव को जोड़ती है।