Hozirgi axborot-kommunikatsiya texnologiyalari hamda kibermakonlardan foydalanish keng rivojlanayotgan davrda ularga xavf soluvchi kiberxavfsizlik tahdidlarining turlari ham koʻpayib bormoqda.
Keling shu oʻrinda bir necha kiberxavfsizlik sohasiga tegishli boʻlgan tushunchalarga oydinlik kiritib olsak.
Birinchi, kibermakon - axborot texnologiyalari yordamida yaratilgan virtual muhit.
Ikkinchi, kibertahdid - kibermakonda shaxs, jamiyat va davlat manfaatlariga tahdid soluvchi shart-sharoitlar va omillar majmui.
Uchinchi, kiberxavfsizlik - kibermakonda shaxs, jamiyat va davlat manfaatlarining tashqi va ichki tahdidlardan himoyalanganlik holati.
Toʻrtinchi, zaiflik – ma’lumotlarni qayta ishlash tizimidagi kamchilik. Undan foydalanish natijasida ma’lumotlarni qayta ishlash tizimi yaxlitligini buzish
va notoʻgʻri ishlashiga olib kelishi mumkin.
Umuman olganda zaiflik paydo boʻlishiga nima sabab boʻladi va nima uchun bugunda ushbu yoʻnalishlarda tadqiqotlar, tahlillar olib borish dolzarb masala?
Zaiflikning paydo boʻlishiga bir qator omillar sabab boʻlishi mumkin, keling bunga maqola mavzusi bilan bogʻlagan holda oydinlik kiritsak.
Barchamizga ayonki, dastavval dasturiy ta’minot loyihasi va texnik hujjatlar tasdiqlangandan soʻng uning dasturiy qismini shakllantirish ishlari boshlanadi, ya’ni dasturiy kodni yozish, shu oʻrinda ta’kidlash joizki hozirgi kunda zaifliklarning aksariyat qismlari aynan dastur kodlarini yozishda yoʻl quyilgan xatoliklar evaziga paydo boʻlmoqda. Xususan, soʻrovlarni qayta ishlashdagi nuqsonlar, nooʻrin ishlatilgan texnologiyalar, kutubxonalar, ma’lumotlarni qayta ishlash va almashinish jarayonlaridagi xatoliklar, autentifikatsiya jarayonlarini muqobillashtirilmaganligi, dastur kodlarini himoyalanmaganligi, kodni ishlashida logik xatoliklar, sozlamalardagi kamchiliklar shulardandir.
Shuningdek, dasturiy kodni yozishda hamda uning asnosida yaratilgan dasturni joriy etishda axborot xavfsizligi talablarini inobatga olinmaganligi va ularga muvofiqligi tekshirilmaganligi tahdidlarning xavflilik darajasini yanada oshiradi. Yuqorida aytilganlardan soʻng, Sizda “Hoʻp dasturda zaifliklar bor ekan, ular bartaraf etilmasa qanday holatlarham yuz berardi?” degan savol paydo boʻlgan boʻlsa, bunga javoban quyidagi keltirishimiz mumkin:
- dasturiy ta’minotdan ruxsatsiz foydalana olish;
- zaifliklardan foydalangan holda dasturiy ta’minot serveriga va undagi barcha ma’lumot va resurslarga ruxsat olish;
- umumiy axborot-kommunikatsiya infratuzilmasiga ta’sir koʻrsatish;
- turli xil maqsadlardagi hujumlarni amalga oshirish va buning natijasida xizmat koʻrsatishni rad etish, ma’lumotlarni oshkor etishni, qoʻlga kiritishni amalga oshirish;
- zararli fayllarni yuklash va boshqalar.
Bugungi kunda, nima sababdan zaifliklarni oʻrganish, tahlil qilish, ular bilan tadqiqotlar olib borish dolzarbligiga toʻxtasak. Har qanday turdagi tahdidga nazar solsak ham u bilan bogʻliq ma’lumotlarga ega boʻlgan holda kurashish osonroqdir va koʻrilayotgan chora-tadbirlar ham samaraliroq boʻladi. Shu sababli, dunyoning turli xil kiberxavfsizlik sohasida faoliyat olib boruvchi tashkilotlar, tadqiqot institutlari, jamoatlar, ommaviy loyihalar va shu kabilar tomonidan kiberxavfsizlik zaifliklarini oʻrganish, ular ustida tahlil ishlarini olib borish, identifikatsiyalash, ularning xavflilik darajalarini baholash, oqibatlarini aniqlash hamda shu turdagi qator tadbirlarni amalga oshirish boʻyicha uzluksiz ishlar olib boriladi.
Xususan, joriy yil ushbu yoʻnalishda faoliyat yurituvchi MITRE notijorat tashkiloti mutaxassislari tomonidan 2022-yil dasturiy ta’minotlarda 25 ta eng xavfli zaifliklar e’lon qilindi.
Ma’lumot oʻrnida: MITRE tashkiloti axborot va kiberxavfsizlik sohasida keng qoʻllanilib kelinayotgan CVE (inglizcha. Common Vulnerabilities and Exposures) — axborot xavfsizligi zaifliklarining ma’lumotlar bazasini rivojlantirishni 1999-yildan amalga oshirib keladi.
MITRE taqdim etgan ma’lumotlarga koʻra, reytinga kiritilgan zaifliklar oʻz CWE-identifikatoriga ega boʻlib, soʻngi 2 yil ichida identifikatsiya qilingan 37 899 ta “CVE” yordamida shakllantirilgan. Shuningdek, ushbu jarayonlarda NVD va KEV bazalaridan ham foydalanilgan.
Ma’lumot oʻrnida:
CWE, inglizcha. Common weaknes Enumeration – Dasturiy va apparat kamchiliklarni/zaifliklarni kategoriyalash tizimi.
NVD, inglizcha. National Vulnerability Database – Zaifliklarning milliy ma’lumotlar bazasi.
KEV, inglizcha. Known Exploited Vulnerabilities – Ekspluatasiya qilinganligi ma’lum kamchiliklar katalogi.
MITRE tashkiloti shakllantirgan reytingi toʻgʻrisida ma’lumotlar bilan quyida tanishishingiz mumkin.
Foydalanilgan materiallar:
1. https://cwe.mitre.org/top25/archive/2022/2022_cwe_top25.html
2. https://xakep.ru/2022/06/30/mitre-top-2022/
“Kiberxavfsizlik markazi” DUK.