विषय
- एंटरप्राइज़ एर की अनदेखी की कीमत
- एंटरप्राइज़ एर थ्रेट की प्रकृति
- नो बग्स, नो स्ट्रेस - योर स्टेप बाय स्टेप गाइड बाय स्टेप गाइड टू लाइफ-चेंजिंग सॉफ्टवेर विदाउट योर लाइफ
- समाधान
- जो हमने सीखा है
ले जाओ:
इंटरनेट ऑफ थिंग्स (IoT) से जुड़े एंटरप्राइज ers अप्रत्याशित तरीकों से उनकी अव्यक्त सुरक्षा कमजोरियों को उजागर करते हैं।
साइबर सुरक्षा के लिए एंटरप्राइज र्स उत्सुकता से शीर्ष चिंताओं में से एक बन गए हैं। लंबे समय के बाद, कार्यालयों के कोनों पर फिर से आरोपित किया गया, ers को मुश्किल से ध्यान मिला और विशेष रूप से कॉर्पोरेट डेटाबेस की तुलना में साइबर सुरक्षा जोखिमों के लिए अतिसंवेदनशील नहीं लग रहे थे, जहां अधिकारियों और ग्राहकों की पहचान के बारे में संवेदनशील डेटा संग्रहीत हैं।
इंटरनेट ऑफ थिंग्स (IoT) से जुड़े लोग अप्रत्याशित तरीकों से अपनी अव्यक्त सुरक्षा कमजोरियों को उजागर करते हैं। (पढ़ें इम्पैक्ट इंटरनेट ऑफ थिंग्स (IoT) अलग-अलग उद्योगों पर हो रहा है।)
एंटरप्राइज़ एर की अनदेखी की कीमत
Ers में विशेषज्ञता वाली एक मार्केट रिसर्च फर्म Quocirca द्वारा 2019 के एक शोध अध्ययन में पाया गया कि बुनियादी ढांचा शीर्ष पांच चिंताओं में से 66% उत्तरदाताओं का केवल 69% के साथ सार्वजनिक बादल के बगल में है।
कुछ उद्योगों, पेशेवर सेवाओं, वित्तीय और खुदरा क्षेत्र में, यह शीर्ष चिंता का विषय है।
ed जहां संवेदनशील होते हैं, और गोपनीय दस्तावेजों को उनके पेपर संस्करण बनाने के लिए रूट किया जाता है और अक्सर ट्रे में छोड़ दिया जाता है जहां उन्हें तीर्थयात्रा का खतरा होता है। हैकर्स इन दस्तावेज़ों को देखने के लिए दूर से उन्हें रोकते हैं, जब वे कतार में इंतजार कर रहे होते हैं, तो उन्हें कॉपी किए जाने तक रोकते हैं, क्वोकैरा रिपोर्ट के अनुसार संदेह को बढ़ाए बिना आईएनजी को फिर से शुरू करने से पहले। (पढ़ें सुरक्षा अनुसंधान वास्तव में हैकर्स की मदद कर रहा है?)
एंटरप्राइज़ एर थ्रेट की प्रकृति
एनसीसी समूह के एक प्रमुख सुरक्षा सलाहकार फर्म के शोधकर्ताओं ने उद्यम ers में कई शून्य-दिन की कमजोरियों की पहचान की। हैकर्स घुसपैठ हमलों का पता लगाने के लिए उन पर हमला करते हैं, और अन्य सभी सुरक्षा तंत्र, ऐसे हमले शुरू करने के लिए जिनमें कोई हस्ताक्षर नहीं हैं। (कभी सच में पढ़ें: हैकर्स से डिलीट हुए डेटा को कैसे सुरक्षित रखें।)
डैनियल रोमेरो, प्रमुख सुरक्षा सलाहकार और एनसीसी समूह के स्पेन कार्यालय मैड्रिड में वरिष्ठ सुरक्षा सलाहकार, मारियो रिवास ने समझाया: "उद्यम ers में कमजोरियों के जोखिम को कम करने के लिए सॉफ्टवेयर विकास जीवनचक्र में सुरक्षा को जोड़ने के लिए प्रक्रियाओं में सुधार करना आवश्यक है।" । "
तेजी से, डेवलपर्स पहले से ही लिखे गए सॉफ़्टवेयर घटकों का पुन: उपयोग करते हैं, "आवश्यक रूप से उनकी सुरक्षा को मान्य किए बिना, और उस कोड में कई कमजोरियां हो सकती हैं।"
नो बग्स, नो स्ट्रेस - योर स्टेप बाय स्टेप गाइड बाय स्टेप गाइड टू लाइफ-चेंजिंग सॉफ्टवेर विदाउट योर लाइफ
जब कोई भी सॉफ़्टवेयर गुणवत्ता की परवाह नहीं करता है तो आप अपने प्रोग्रामिंग कौशल में सुधार नहीं कर सकते हैं।
अस्थायी मेमोरी से बफर ओवरफ्लो या स्पिलओवर, जब यातायात प्रवाह अपनी क्षमता से अधिक हो जाता है, तो स्थायी मेमोरी या रैम को दूषित कर देता है। एंटरप्राइज़ नेटवर्क में प्रवेश करने के लिए हैकर्स ने गेट खोलने के लिए अपने सॉफ़्टवेयर को इंजेक्ट किया।
रोमेरो और रिवास ने कहा, "एक बार जब किसी हमलावर को एर का पूर्ण नियंत्रण मिल जाता है, तो वे कंपनी के आंतरिक नेटवर्क में प्रवेश कर सकते हैं, और एर को भेजे गए किसी भी संवेदनशील दस्तावेज को चुरा सकते हैं।" नेटवर्क में प्रवेश पाने के बाद, हैकर्स गोपनीय जानकारी के स्रोतों को भेदने के लिए क्रेडेंशियल्स की तलाश करते हैं। "हमलावर संवेदनशील जानकारी प्राप्त करते हैं, जैसे कि डोमेन क्रेडेंशियल्स, जिसका उपयोग एंटरप्राइज़ एर सेवाओं को कॉन्फ़िगर करने और आंतरिक सुरक्षा संसाधनों तक पहुंचने के लिए इसे पार्ले करने के लिए किया जाता है।"
हैकर्स ने लक्ष्य के रूप में ers का पक्ष लिया क्योंकि वे अच्छी तरह से संरक्षित नहीं हैं जो उनके लिए अपने ट्रैक को कवर करने के लिए जगह छोड़ देता है। रोमेरो और रिवास ने कहा, "आईईआर नेटवर्क गतिविधि को छोड़ दिया गया है, और एक हमलावर उदाहरण के लिए, एर की याद में कोड को संशोधित कर सकता है, जो एक रिबूट को पीछे छोड़ देता है।"
समाधान
एंटरप्राइज़ के लिए अपने परिसर में कई ers के साथ अपने नेटवर्क की सुरक्षा के लिए क्या विकल्प हैं?
उपकरणों की बढ़ती संख्या के रूप में उनकी उजागर सतह का विस्तार होता है। एक व्यापक रूप से चर्चा का विकल्प आत्म-चिकित्सा पद्धति है, जो कृत्रिम बुद्धिमत्ता (एआई) (या घुसपैठ का पता लगाने वाले सिस्टम) से लैस है, जो नेटवर्क में फैलने से पहले स्वायत्त रूप से निगरानी और झटके की धमकी देता है।
रोमेरो और रिवासा सिफारिश के बहुत आधार के बारे में उलझन में हैं। "ज्यादातर मामलों में, एक हमलावर" एक कमजोरी "का शोषण करता है, जिसे डेवलपर्स ने अनदेखा कर दिया," रोमेरो और रिवास ने कहा। स्वायत्त पहचान प्रणाली को पहले साइबर सुरक्षा जोखिम को सीखने की जरूरत है, जो कि वे इसके बारे में जागरूक हुए बिना नहीं कर सकते।
रोमेरो और रिवास ने हमलावरों को हाजिर करने की जटिलता को समझाते हुए कहा, "हमलावर अपने द्वारा नियंत्रित एर में शोषण का विकास करेंगे, इसलिए वे किसी भी शोषण शमन या किसी भी पहचान प्रणाली को दरकिनार कर सकते हैं।" (साइबर अटैक के खिलाफ 3 बचाव पढ़ें जो अब तक काम नहीं करते हैं।)
उद्यम एआई सॉफ्टवेयर के विसंगति का पता लगाकर अपने बचाव को मजबूत कर सकता है। इस तरह के सॉफ्टवेयर का पता चलता है कि एर आईटी विभाग से प्रतिक्रिया देने के लिए नेटवर्क के साथ संवाद नहीं कर रहा है। रोमेरो और रिवास ने चेतावनी देते हुए कहा, "विसंगति का पता लगाने वाली प्रणालियां संभावित हैं, और परिष्कृत हमले अभी भी इस प्रकार की प्रणालियों से पता लगा सकते हैं।"
AIOps और IT ऑटोमेशन कंपनी रिजॉल्व सिस्टम के चीफ ऑपरेटिंग ऑफिसर विजय कुरकल ने कहा कि प्रोबेबिलिस्टिक मॉडलिंग में कमजोरियों को डेटा और स्वचालित डायग्नोस्टिक्स के संवर्धन के साथ हटा दिया जाता है।
"डेटा विश्लेषण में सुधार होता है जब इसे शंक्वाकार व्यावसायिक जानकारी, जैसे कि ब्लैक फ्राइडे, के साथ पोषण किया जाता है, जो परिप्रेक्ष्य में यातायात की मात्रा जैसे मैट्रिक्स को समझने में मदद कर सकता है।" (जॉब रोल: डेटा विश्लेषक पढ़ें।)
"आईटी सिस्टम में अन्योन्याश्रितियों को केवल शोर कच्चे डेटा में पैटर्न पर निर्भर होने के बजाय कारण संबंधों को देखने में मदद मिलती है। डेटा का संवर्धन स्वचालित डायग्नोस्टिक्स द्वारा पूरित होता है जो झूठे अलार्म को उन लोगों से अलग करने में मदद करता है जिन्हें तत्काल ध्यान देने की आवश्यकता होती है," कुरकल ने समझाया।
जो हमने सीखा है
हैकर्स को कमजोरियां मिलती हैं जहां पीड़ित कम से कम उनसे उम्मीद करते हैं। कनेक्टेड दुनिया में, कोई भी उपकरण सुरक्षित नहीं है। इससे भी बदतर, हमलावरों के पास अपने ट्रैकों को कवर करने या पहचान से बचने के लिए अपने पैरों को हटाने के लिए परिष्कृत साधन हैं। किसी हमले के जोखिमों को खत्म करने का आदर्श तरीका यह है कि सॉफ्टवेयर के विकास के समय फाटकों को बंद कर दिया जाए। यह ऐसा कुछ संगठन है जो शायद ही कभी होता है।
सॉफ्टवेयर डेवलपमेंट में ढिलाई के लिए रोबॉट एनालिटिक्स एक लंबा रास्ता तय कर सकता है।