MITRE eng xavfli dasturiy zaifliklar top-25 ro‘yxatini yangiladi

MITRE korporatsiyasi o‘zining CWE (Common Weakness Enumeration) Top-25 eng xavfli dasturiy zaifliklar ro‘yxatini yangiladi. Bu ro‘yxat kiberxavfsizlik sohasidagi so‘nggi tahdidlar tendensiyasini aks ettiradi va himoya choralari uchun muhim yo‘riqnoma hisoblanadi.

Mazkur ro‘yxatda keltirilgan zaifliklar kiberjinoyatchilar tomonidan tizimlarni boshqarib olish, maxfiy ma’lumotlarni o‘g‘irlash va buzilishlarga sabab bo‘lish uchun keng qo‘llaniladi. Shu sababli, ro‘yxat dasturiy ta’minot ishlab chiquvchilari va xavfsizlik bo‘yicha mutaxassislar uchun dolzarb yo‘nalishlarni belgilab beradi.

2024-yilgi Ro‘yxatdagi Muhim O‘zgarishlar

Cross-Site Scripting (XSS) zaifligi bu yil birinchi o‘rinni egalladi. Bu zaiflik o‘tgan yili ikkinchi o‘rinda bo‘lgan edi. Shu bilan birga, Out-of-Bounds Write zaifligi birinchi o‘rindan ikkinchi o‘ringa tushdi.

SQL Injection (SQL orqali hujum) zaifligi uchinchi o‘rindagi pozitsiyasini saqlab qoldi. Boshqa zaifliklardan:

Cross-Site Request Forgery (CSRF) besh pog‘ona yuqorilab, oldingi yildagidan yuqori o‘ringa chiqdi.
Path Traversal (fayl yo‘llarini manipulyatsiya qilish) va Out-of-Bounds Read zaifliklari ham mos ravishda uch va bir pog‘ona yuqorilashdi.

Biroq, OS Command Injection va Use-After-Free kabi zaifliklar pastroqqa tushgan. Shu bilan birga, o‘ninchi o‘rinda saqlanib qolgan Unrestricted File Upload va yangi kirgan Missing Authorization (yetishmayotgan ruxsat) zaifligi yuqori darajada xavfli hisoblanadi.

2024-yil Ro‘yxatiga Yangi Kirgan Zaifliklar

2024-yilgi ro‘yxatga yangi kirgan zaifliklar quyidagilardir:

Sensitive Information Exposure (maxfiy ma’lumotlarni oshkor qilish) – 14-o‘rinda (o‘tgan yili 30-o‘rinda edi).
Uncontrolled Resource Consumption (resurslarni boshqara olmaslik) – 24-o‘rinda (o‘tgan yili 37-o‘rinda edi).

Shu bilan birga, Incorrect Default Permissions (noto‘g‘ri standart ruxsatlar) va Race Condition kabi zaifliklar top-25 ro‘yxatidan chiqarib tashlandi.

CISA va MITRE Tavsiyalari

MITRE va AQSh Kiberxavfsizlik va Infratuzilma Xavfsizligi Agentligi (CISA) birgalikda 2024-yilgi CWE Top-25 ro‘yxatini tayyorlashda ishlagan. CISA tashkilotlarga mazkur zaifliklarni inobatga olishni va ularni dasturiy ta’minot ishlab chiqish va xarid qilish jarayonlarida birinchi o‘ringa qo‘yishni tavsiya etadi.

CISA quyidagi choralarni amalga oshirishni tavsiya qiladi:

Secure by Design va Secure by Demand tamoyillarini tatbiq etish.
Zaifliklarni boshqarish va ilovalar xavfsizligini ta’minlashda CWE Top-25 ro‘yxatini yo‘riqnoma sifatida qo‘llash.

MITRE tomonidan taqdim etilgan bu ro‘yxat kiberxavfsizlik sohasidagi xavfli zaifliklarga nisbatan dolzarb choralarning ahamiyatini yana bir bor ko‘rsatadi. Tashkilotlar ushbu zaifliklarni aniqlash va ularni bartaraf etishga e’tibor qaratish orqali kiberxavfsizlikni yangi bosqichga olib chiqishi mumkin.

Secure-by-Design va Secure-by-Default tamoyillari kiberxavfsizlikni ta’minlashda texnologiya mahsulotlarini ishlab chiqish va boshqarishda asosiy strategiya sifatida ko‘riladi. Ushbu tamoyillar texnologiyalarni boshidanoq xavfsizlikni hisobga olgan holda yaratish va ularni ishlatishda qo‘shimcha xavfsizlik choralariga ehtiyojni kamaytirishga qaratilgan.

Secure-by-Design – «Boshidan xavfsizlikni yaratish»

Tasavvur qiling, uy qurayotganingizda uni avvaldan mustahkam qilish uchun kuchli poydevor va qulflar o‘rnatdingiz. Secure-by-Design shuni bildiradi: mahsulot ishlab chiqaruvchilari dastur yoki tizimni yaratish jarayonida xavfsizlikni boshidanoq rejalashtiradi va o‘rnatadi.

Oddiy qilib aytganda:

Xavfsizlik keyinchalik qo‘shiladigan «qo‘shimcha» emas, balki boshidan asosiy qism bo‘ladi.
Masalan, dastur ishlab chiqarilganda, uning ichida virus yoki hujumlardan himoya qilish tizimlari oldindan o‘rnatilgan bo‘ladi.

Secure-by-Default – «Tayyor holda xavfsizlik»

Bu shuni anglatadi: mahsulot yoki tizimni o‘rnatib ishlatishni boshlaganingizdayoq u avtomatik ravishda xavfsiz bo‘ladi. Foydalanuvchilarga xavfsizlik sozlamalarini o‘zlari o‘zgartirish shart emas, hammasi oldindan tayyor bo‘ladi.

Oddiy qilib aytganda:

Siz televizor sotib olib, uni ishga tushirganingizda u avtomatik sozlangan bo‘ladi. Xavfsizlik ham shunday – dastur yoki tizim «tayyor holatda xavfsiz» ishlaydi.
Masalan, parollarni mustahkam qilish yoki ma’lumotlaringizni himoya qilish funksiyalari avtomatik yoqilgan bo‘ladi.

Qisqacha Tushuncha

Secure-by-Design: Mahsulotni yaratish bosqichida xavfsizlikni o‘ylash va qurish.
Secure-by-Default: Mahsulotni foydalanuvchi ishlatishni boshlaganida, xavfsizlik avtomatik ta’minlangan bo‘lishi.

Bularning maqsadi – foydalanuvchilarning xavfsizlik haqida bosh qotirmasdan, texnologiyani xavfsiz ishlatishlarini ta’minlashdir.

Kiberxavfsizlik hodisalariga
chora ko'rish xizmati

Kiberxavfsizlik hodisalariga
chora ko'rish xizmati

MITRE eng xavfli dasturiy zaifliklar top-25 ro‘yxatini yangiladi

2024-yilgi Ro‘yxatdagi Muhim O‘zgarishlar

2024-yil Ro‘yxatiga Yangi Kirgan Zaifliklar

CISA va MITRE Tavsiyalari

Secure-by-Design – «Boshidan xavfsizlikni yaratish»

Secure-by-Default – «Tayyor holda xavfsizlik»

Qisqacha Tushuncha

2024-yilgi Ro‘yxatdagi Muhim O‘zgarishlar

2024-yil Ro‘yxatiga Yangi Kirgan Zaifliklar

CISA va MITRE Tavsiyalari

Secure-by-Design – «Boshidan xavfsizlikni yaratish»

Secure-by-Default – «Tayyor holda xavfsizlik»

Qisqacha Tushuncha

«O‘rtadagi odam» (MITM) hujumi: Tushuncha, turlari va himoya choralari

2024-yilning eng yaxshi top 5 ta tarmoq trafigini tahlil qilish vositalari

2025-yil uchun Oʻzbekistonda asosiy kibertahdidlar prognozi