सीवीई से परे: उच्च जोखिम वाले सुरक्षा जोखिमों को कम करने की कुंजी

सीवीई से परे: उच्च जोखिम वाले सुरक्षा जोखिमों को कम करने की कुंजी

समय टिकट: 18 अप्रैल, 2023 10:00 पूर्वाह्न
सीवीई से परे: उच्च जोखिम वाले सुरक्षा जोखिमों को कम करने की कुंजी प्लेटोब्लॉकचेन डेटा इंटेलिजेंस। लंबवत खोज. ऐ.

2022 में, राष्ट्रीय मानक और प्रौद्योगिकी संस्थान ने रिपोर्ट दी 23,000 से अधिक नई कमजोरियाँ, एक कैलेंडर वर्ष के भीतर अब तक का सबसे बड़ा स्पाइक दर्ज किया गया। चिंताजनक रूप से, यह ऊपर की ओर रुझान जारी रहने का अनुमान है, जैसा कि हालिया शोध से पता चलता है हम 1,900 से अधिक नई सामान्य कमजोरियाँ और जोखिम (सीवीई) देख सकते हैं प्रति माह इस वर्ष औसतन, 270 रेटेड उच्च-गंभीरता और 155 रेटेड गंभीर-गंभीरता शामिल हैं।

चूंकि सीआईएसओ और सुरक्षा दल कम सुरक्षा बजट और साइबर प्रतिभा की निरंतर कमी से जूझ रहे हैं, इसलिए हर साल नई कमजोरियों की इस वास्तविक ज्वारीय लहर को ठीक करना एक अप्राप्य और हास्यास्पद कार्य है।

सैकड़ों-हजारों पंजीकृत सीवीई में से केवल 2% से 7% का जंगल में शोषण देखा गया है. इस प्रकार, बिना सोचे-समझे पैचिंग करना शायद ही कोई फलदायी गतिविधि है। विस्तारित हमले की सतहों के साथ, खतरे का परिदृश्य उतना शांत नहीं है जितना हम अक्सर मानते हैं। हमलावर किसी व्यक्तिगत भेद्यता पर हमले को अंजाम नहीं दे रहे हैं क्योंकि यह लगभग कभी भी महत्वपूर्ण संपत्तियों की ओर नहीं ले जाता है। अधिकांश उदाहरणों में, कमजोरियाँ जोखिम के बराबर नहीं होती हैं और संगठनात्मक प्रणालियों में घुसपैठ करने की चाहत रखने वाले हमलावर के लिए पर्याप्त फायदेमंद नहीं होती हैं।

कमजोरियों पर ध्यान केंद्रित करने के बजाय, दुर्भावनापूर्ण अभिनेता महत्वपूर्ण संपत्तियों पर गुप्त रूप से हमला करने और कंपनी डेटा चुराने के लिए क्रेडेंशियल और गलत कॉन्फ़िगरेशन जैसे जोखिमों के संयोजन का लाभ उठा रहे हैं। आइए इनमें से कुछ प्रमुख, और अक्सर नज़रअंदाज किए गए जोखिमों का पता लगाएं, जिनके बारे में संगठनों को सबसे अधिक चिंतित होना चाहिए।

परित्यक्त पर्यावरण: ऑन-प्रिमाइसेस

हालाँकि हम मजबूत क्लाउड सुरक्षा की आवश्यकता को नकार नहीं सकते हैं, लेकिन पिछले एक दशक में इसके प्रभुत्व के कारण कई लोगों ने प्रभावी और चुस्त ऑन-प्रिमाइसेस नियंत्रण बनाने में अपने निवेश को नजरअंदाज कर दिया है। कोई गलती न करें, दुर्भावनापूर्ण अभिनेता महत्वपूर्ण परिसंपत्तियों और प्रणालियों तक पहुंच प्राप्त करने के लिए ऑन-प्रिमाइसेस एक्सपोज़र का सक्रिय रूप से शोषण करना जारी रखते हैं, भले ही वे क्लाउड वातावरण में हों।

इस साल की शुरुआत में, माइक्रोसॉफ्ट उपयोगकर्ताओं से अपने ऑन-प्रिमाइसेस एक्सचेंज सर्वर को सुरक्षित करने का आग्रह किया कई उदाहरणों के जवाब में जहां सॉफ्टवेयर के भीतर सुरक्षा खामियों को सिस्टम में हैक करने के लिए हथियार बनाया गया था। क्लाउड सुरक्षा पर पूरा ध्यान केंद्रित करने के साथ, कई संगठन हाइब्रिड हमले की सतह के प्रति अंधे हो गए हैं और हमलावर दो वातावरणों के बीच कैसे जा सकते हैं।

अत्यधिक अनुमेय पहचान, विशेषाधिकार प्राप्त पहुंच

सुविधा को ध्यान में रखते हुए, क्लाउड उपयोगकर्ता, भूमिकाएँ और सेवाएँ खाते अत्यधिक अनुमतियाँ देना जारी रखते हैं। इससे चीजों को प्रबंधित करना आसान हो सकता है और यह लगातार विभिन्न वातावरणों तक पहुंच के लिए पूछने वाले कर्मचारियों से निपटने से बचता है, लेकिन यह हमलावरों को रक्षा की पहली परत के माध्यम से सफलतापूर्वक क्रैक करने के बाद अपने पैर जमाने और हमले के रास्ते का विस्तार करने की भी अनुमति देता है।

एक संतुलन बनाना होगा क्योंकि अभी, कई संगठनों में पहचान के संबंध में मजबूत शासन का अभाव है, जिसके परिणामस्वरूप उन लोगों तक अत्यधिक पहुंच हो रही है जिन्हें अपने कार्य करने के लिए ऐसी क्षमताओं की आवश्यकता नहीं है।

जबकि हाइब्रिड और मल्टीक्लाउड वातावरण में पहचान सुरक्षित करना अत्यधिक जटिल है, इस दर्शन पर काम करना कि प्रत्येक उपयोगकर्ता एक विशेषाधिकार प्राप्त उपयोगकर्ता है, पार्श्व प्रसार को रोकना बहुत कठिन बना देता है। यह एक छोटे हमले और क्षति को रोकने की कोशिश करने वाली एक सप्ताह लंबी परियोजना के बीच का अंतर भी हो सकता है। हमारे हालिया शोध से पता चला है कि 73% शीर्ष आक्रमण तकनीकों में कुप्रबंधन या चोरी की गई साख शामिल है।

मानव गड़बड़ी

आइए हम सबसे आम, फिर भी हानिकारक गलतियों में से एक के बारे में न भूलें: सुरक्षा नियंत्रणों की अनुचित तैनाती और उपयोग। आप निवेश करते हैं, लेकिन आपको यह भी सुनिश्चित करना होगा कि आपको लाभ मिले। व्यापक रूप से प्रचारित मुद्दा होने के बावजूद, सुरक्षा नियंत्रण गलत कॉन्फ़िगरेशन अभी भी अत्यधिक प्रचलित हैं. हालांकि कोई भी खतरे का पता लगाने और प्रतिक्रिया या समापन बिंदु समाधान शुरू से ही बुलेटप्रूफ नहीं है, कई गलत तरीके से कॉन्फ़िगर किए गए हैं, पूरे वातावरण में तैनात नहीं हैं, या तैनात होने पर भी निष्क्रिय हैं।

हम हाइपरविजिबिलिटी की दुनिया में काम कर रहे हैं, जहां नैदानिक ​​थकान प्रचलित है और सुरक्षा दल बहुत अधिक सौम्य और असंबंधित कमजोरियों से भरे हुए हैं। सीआईएसओ और सुरक्षा टीमें हर चीज़ को देखने की कोशिश में लगती हैं। लेकिन सीवीएसएस या अन्य स्कोरिंग तंत्रों के आधार पर प्राथमिकता वाले जोखिमों और तकनीकी कमजोरियों की बेहद लंबी सूची उनके संगठनों को सुरक्षित नहीं बनाती है। कुंजी यह देखना है कि क्या महत्वपूर्ण है और सौम्यता के सागर में महत्वपूर्ण को न खोना।

ठीक करने की कोशिश करने के बजाय सब कुछ, संगठनों को अपने चोकपॉइंट्स की पहचान करने के लिए काम करना चाहिए, वे क्षेत्र जहां जोखिम आमतौर पर हमले के रास्ते पर एकत्रित होते हैं। ऐसा करने के लिए आपके एक्सपोज़र परिदृश्य के परिश्रमी मूल्यांकन की आवश्यकता होती है और यह समझने की आवश्यकता होती है कि हमलावर महत्वपूर्ण संपत्तियों तक पहुंचने के लिए आपके वातावरण में कैसे नेविगेट कर सकते हैं। एक बार जब इन अवरोध बिंदुओं की पहचान कर ली जाती है और उनका निवारण कर दिया जाता है, तो यह अन्य जोखिमों को अप्रासंगिक बना देगा, जिससे न केवल समय की भारी बचत होगी, बल्कि संभावित रूप से आपकी सुरक्षा टीम की समझदारी भी बचेगी।

इसके अतिरिक्त, इससे आपकी आईटी टीमों को संगठित करने का अतिरिक्त लाभ हो सकता है क्योंकि यह उन्हें कुछ पैच के महत्व के बारे में स्पष्ट दृष्टिकोण देता है, और उन्हें अब ऐसा महसूस नहीं होता है कि वे अपना समय बर्बाद कर रहे हैं।

खतरे के परिदृश्य से आगे रहते हुए

जैसा कि हेनरी फोर्ड ने एक बार कहा था, "यदि आप हमेशा वही करते हैं जो आप हमेशा से करते आए हैं, तो आपको हमेशा वही मिलेगा जो आपको हमेशा से मिलता आया है।" जबकि अधिकांश संगठनों के पास मजबूत भेद्यता प्रबंधन कार्यक्रम हैं, कमजोरियाँ जोखिम का केवल एक छोटा सा हिस्सा हैं।

अस्थिर खतरे के परिदृश्य से आगे रहने के लिए निरंतर जोखिम प्रबंधन तंत्र की आवश्यकता होती है। यह समझना कि कौन सा जोखिम आपके संगठन और महत्वपूर्ण परिसंपत्तियों के लिए सबसे अधिक जोखिम पैदा करता है - और एक हमलावर हमले के रास्ते पर इन जोखिमों का कैसे लाभ उठा सकता है - महत्वपूर्ण रूप से अंतराल को पाटने और समग्र सुरक्षा स्थिति में सुधार करने में मदद करेगा।

समय टिकट:

से अधिक डार्क रीडिंग