एनएसए के जीरो-ट्रस्ट गाइडेंस से 6 सीआईएसओ टेकअवे

एनएसए के जीरो-ट्रस्ट गाइडेंस से 6 सीआईएसओ टेकअवे

समय टिकट: 15 मार्च, 2024 8:25 पूर्वाह्न

कंपनियों के लिए साइबर सुरक्षा की वास्तविकता यह है कि विरोधी हर समय सिस्टम और नेटवर्क से समझौता करते हैं, और यहां तक ​​​​कि अच्छी तरह से प्रबंधित उल्लंघन-रोकथाम कार्यक्रमों को भी अक्सर अपनी परिधि के भीतर हमलावरों से निपटना पड़ता है।

5 मार्च को, राष्ट्रीय सुरक्षा एजेंसी ने अपने शून्य-विश्वास ढांचे के नेटवर्क और पर्यावरण स्तंभ पर अपनी नवीनतम साइबर सुरक्षा सूचना शीट (सीआईएस) प्रकाशित करते हुए, संघीय एजेंसियों के लिए अपनी सर्वोत्तम अभ्यास अनुशंसा जारी रखी। एनएसए दस्तावेज़ अनुशंसा करता है कि संगठन अनधिकृत उपयोगकर्ताओं को विभाजन के माध्यम से संवेदनशील जानकारी तक पहुंचने से सीमित करने के लिए अपने नेटवर्क को विभाजित करें। ऐसा इसलिए है क्योंकि मजबूत साइबर सुरक्षा उपाय सभी उपयोगकर्ताओं की नेटवर्क के उन क्षेत्रों तक पहुंच को सीमित करके समझौतों को पूर्ण उल्लंघनों में बदलने से रोक सकते हैं जिनमें उनकी कोई वैध भूमिका नहीं है। 

RSI एनएसए से मार्गदर्शन सुरक्षा टीमों को सुरक्षा सुरक्षा के लिए प्रबंधन के लिए एक मजबूत व्यावसायिक मामले बनाने की भी अनुमति मिलती है, लेकिन सीआईएसओ को अपेक्षाएं निर्धारित करने की आवश्यकता होती है क्योंकि कार्यान्वयन एक स्तरीय और जटिल प्रक्रिया है।

इंटरनेट सेवाओं की दिग्गज कंपनी अकामाई के सलाहकार सीआईएसओ स्टीव विंटरफेल्ड कहते हैं, हालांकि दस्तावेज़ रक्षा-संबंधित सरकारी संगठनों और उद्योगों को लक्षित करता है, व्यापक व्यापार जगत शून्य-विश्वास मार्गदर्शन से लाभान्वित हो सकता है।

"वास्तविकता यह नहीं है कि आपके पास अनधिकृत पहुंच की घटनाएं हैं, बल्कि यह है कि क्या आप उन्हें उल्लंघन बनने से पहले पकड़ सकते हैं," वे कहते हैं। "कुंजी 'संदर्भ के साथ दृश्यता' है जो माइक्रोसेगमेंटेशन प्रदान कर सकती है, जो दुर्भावनापूर्ण व्यवहार को तेजी से अलग करने की क्षमता के साथ समर्थित है।"

कंपनियों के पास है शून्य-विश्वास पहल शुरू की ताकि उनके डेटा, सिस्टम और नेटवर्क से समझौता करना कठिन हो जाए और जब उनसे समझौता हो जाए, तो हमलावरों को धीमा कर दिया जाए। डेटा सुरक्षा और शून्य-विश्वास प्रदाता, रुब्रिक में सीआईएसओ, माइक मेस्ट्रोविच कहते हैं, यह ढांचा आगे बढ़ने के लिए दिशानिर्देशों का एक ठोस सेट है, लेकिन इसे लागू करना आसान नहीं है।

वे कहते हैं, "अधिकांश नेटवर्क समय के साथ विकसित हुए हैं और व्यवसाय को चालू रखते हुए वापस जाना और उन्हें दोबारा तैयार करना बहुत मुश्किल है।" "यह करने योग्य है, लेकिन यह समय और धन दोनों के लिहाज से महंगा हो सकता है।"

यहां एनएसए मार्गदर्शन से छह निष्कर्ष दिए गए हैं।

1. शून्य विश्वास के सभी सात स्तंभ जानें

राष्ट्रीय सुरक्षा एजेंसी का नवीनतम दस्तावेज़ शून्य विश्वास के सात स्तंभों में से पांचवें स्तंभ: नेटवर्क और पर्यावरण पर प्रकाश डालता है। फिर भी अन्य छह स्तंभ समान रूप से महत्वपूर्ण हैं और दिखाते हैं कि "सफल होने के लिए शून्य-विश्वास रणनीति कितनी व्यापक और परिवर्तनकारी होनी चाहिए," स्वचालित समापन बिंदु और भेद्यता प्रबंधन फर्म, सिक्ससेंस के सीईओ एशले लियोनार्ड कहते हैं।

एनएसए के शून्य विश्वास के सात स्तंभ

"नेटवर्क और पर्यावरण" राष्ट्रीय सुरक्षा एजेंसी के शून्य विश्वास के सात स्तंभों में पांचवां स्तंभ है। स्रोत: एनएसए

वे कहते हैं, "जो कंपनियां शून्य भरोसे के साथ शुरुआत करना चाहती हैं, मैं उन्हें उपयोगकर्ता और डिवाइस स्तंभों पर एनएसए सूचना शीट की समीक्षा करने के लिए अत्यधिक प्रोत्साहित करूंगा - जो क्रमशः शून्य भरोसे के पहले और दूसरे स्तंभ हैं।" "अगर कोई कंपनी अभी शुरुआत कर रही है, तो इस नेटवर्किंग और पर्यावरण स्तंभ को देखना घोड़े के आगे गाड़ी रखने जैसा है।"

2. अपेक्षा करें कि हमलावर आपकी परिधि का उल्लंघन करेंगे

एनएसए की शून्य-विश्वास योजना का नेटवर्क और पर्यावरण स्तंभ हमलावरों को पहले से ही एक सिस्टम से समझौता करने के बाद उल्लंघन का विस्तार करने से रोकने की कोशिश करने के बारे में है। एनएसए दिशानिर्देश इस ओर इशारा करते हैं 2013 का लक्ष्य उल्लंघन - स्पष्ट रूप से कंपनी का नाम लिए बिना - क्योंकि हमलावरों ने कंपनी के तृतीय-पक्ष एचवीएसी सिस्टम में एक भेद्यता के माध्यम से प्रवेश किया, लेकिन फिर नेटवर्क के माध्यम से आगे बढ़ने और मैलवेयर के साथ पॉइंट-ऑफ-सेल डिवाइस को संक्रमित करने में सक्षम थे।

कंपनियों को यह मान लेना चाहिए कि उनसे समझौता किया जाएगा और हमलावरों को सीमित करने या धीमा करने के तरीके ढूंढने चाहिए, एनएसए साइबर सुरक्षा निदेशक रॉब जॉयस ने एक बयान में कहा एनएसए दस्तावेज़ जारी करने की घोषणा।

उन्होंने कहा, "संगठनों को इस मानसिकता के साथ काम करने की ज़रूरत है कि खतरे उनके सिस्टम की सीमाओं के भीतर मौजूद हैं।" "इस मार्गदर्शन का उद्देश्य नेटवर्क मालिकों और ऑपरेटरों को उन प्रक्रियाओं से लैस करना है, जिनकी उन्हें अपने उद्यम वास्तुकला में कमजोरियों या अंतरालों का फायदा उठाने वाले खतरों का सतर्कता से विरोध करने, पता लगाने और जवाब देने की आवश्यकता है।"

3. शुरू करने के लिए डेटा प्रवाह मैप करें

एनएसए मार्गदर्शन एक स्तरीय मॉडल है, जहां कंपनियों को बुनियादी बातों से शुरुआत करनी चाहिए: यह समझने के लिए कि कौन किस तक पहुंच रहा है, अपने नेटवर्क में डेटा प्रवाह को मैप करना। जबकि अन्य शून्य-भरोसेमंद दृष्टिकोण को प्रलेखित किया गया है, जैसे कि एनआईएसटी का एसपी 800-207 जीरो ट्रस्ट आर्किटेक्चरअकामाई के विंटरफेल्ड का कहना है कि एनएसए के स्तंभ संगठनों को अपने सुरक्षा नियंत्रणों के बारे में सोचने का एक तरीका प्रदान करते हैं।

वे कहते हैं, "डेटा प्रवाह को समझना मुख्य रूप से स्थितिजन्य जागरूकता प्रदान करता है कि संभावित जोखिम कहां और क्या हैं।" "याद रखें, आप उस चीज़ की रक्षा नहीं कर सकते जिसके बारे में आप नहीं जानते।"

4. मैक्रोसेगमेंटेशन की ओर बढ़ें

किसी भी अन्य मूलभूत स्तंभों से निपटने के बाद, कंपनियों को अपने नेटवर्क को खंडित करके नेटवर्क और पर्यावरण स्तंभ में अपना प्रवेश शुरू करना चाहिए - शायद पहले मोटे तौर पर, लेकिन बढ़ती हुई ग्रैन्युलैरिटी के साथ। प्रमुख कार्यात्मक क्षेत्रों में बिजनेस-टू-बिजनेस (बी2बी) सेगमेंट, उपभोक्ता-सामना (बी2सी) सेगमेंट, आईओटी जैसी परिचालन तकनीक, पॉइंट-ऑफ-सेल नेटवर्क और विकास नेटवर्क शामिल हैं।

रुब्रिक के मेस्ट्रोविच का कहना है कि नेटवर्क को उच्च स्तर पर विभाजित करने के बाद, कंपनियों को सेगमेंट को और परिष्कृत करने का लक्ष्य रखना चाहिए।

"यदि आप संचालन के इन कार्यात्मक क्षेत्रों को परिभाषित कर सकते हैं, तो आप नेटवर्क को विभाजित करना शुरू कर सकते हैं ताकि इनमें से किसी भी क्षेत्र में प्रमाणित संस्थाओं को किसी अन्य क्षेत्र में अतिरिक्त प्रमाणीकरण अभ्यास से गुज़रे बिना पहुंच न हो," वे कहते हैं। "कई मामलों में, आप पाएंगे कि यह अत्यधिक संभावना है कि एक क्षेत्र में काम करने वाले उपयोगकर्ताओं, उपकरणों और कार्यभार को वास्तव में अन्य क्षेत्रों में संचालन या संसाधनों के लिए किसी अधिकार की आवश्यकता नहीं है।"

5. सॉफ्टवेयर-परिभाषित नेटवर्किंग के लिए परिपक्व

जीरो-ट्रस्ट नेटवर्किंग के लिए कंपनियों को संभावित हमलों पर तुरंत प्रतिक्रिया करने की क्षमता की आवश्यकता होती है, जिससे सॉफ्टवेयर-परिभाषित नेटवर्किंग (एसडीएन) न केवल माइक्रोसेगमेंटेशन को आगे बढ़ाने के लिए बल्कि संभावित समझौते के दौरान नेटवर्क को लॉक करने के लिए भी एक महत्वपूर्ण दृष्टिकोण बन जाता है।

हालाँकि, अकामाई के विंटरफेल्ड का कहना है कि एसडीएन ही एकमात्र दृष्टिकोण नहीं है।

वे कहते हैं, "एसडीएन संचालन के प्रशासन के इर्द-गिर्द है, लेकिन आपके बुनियादी ढांचे पर निर्भर रहना इष्टतम समाधान नहीं हो सकता है।" "उसने कहा, आपको उन प्रकार के लाभों की आवश्यकता है जो एसडीएन प्रदान करता है, भले ही आप अपने पर्यावरण का निर्माण कैसे करते हों।"

6. महसूस करें कि प्रगति पुनरावृत्तीय होगी

अंत में, कोई भी शून्य-विश्वास पहल एक बार की परियोजना नहीं है बल्कि एक सतत पहल है। न केवल संगठनों को प्रौद्योगिकी को तैनात करने में धैर्य और दृढ़ता रखने की आवश्यकता है, बल्कि सुरक्षा टीमों को योजना पर फिर से विचार करने और चुनौतियों का सामना करने और उन पर काबू पाने के लिए इसे संशोधित करने की आवश्यकता है।

विंटरफेल्ड कहते हैं, "जब शून्य-विश्वास यात्रा शुरू करने के बारे में सोचते हैं तो डेटा प्रवाह की मैपिंग और फिर उन्हें खंडित करने के बारे में उनका मार्गदर्शन हाजिर होता है," लेकिन मैं जोड़ूंगा कि यह अक्सर पुनरावृत्त होता है क्योंकि आपके पास खोज की अवधि होगी जिसके लिए आवश्यकता होगी योजना को अद्यतन करना।"

समय टिकट:

से अधिक डार्क रीडिंग