सुरक्षा जोखिम के लिए अंतिम उपयोगकर्ता को दोष देना बंद करें

साइबर सुरक्षा पेशेवरों के बीच संगठन को सुरक्षित करने में जोखिम के शीर्ष क्षेत्र के रूप में अंतिम उपयोगकर्ता को इंगित करना आम बात है। यह समझ में आता है। सिस्टम और सॉफ्टवेयर हमारे नियंत्रण में हैं, लेकिन उपयोगकर्ता अप्रत्याशित हैं, वह अनियंत्रित चर जो भौगोलिक रूप से फैले प्रत्येक उपयोगकर्ता, व्यक्तिगत डिवाइस और सभी-बहुत-मानव कमजोरियों और खामियों के लिए हमारे खतरे की सतह को फैलाता है।

निश्चित रूप से, खतरे वाले अभिनेता हमारे उपयोगकर्ताओं को काफी सफलतापूर्वक लक्षित करते हैं - मैं यहां इस स्पष्ट सत्य को खारिज करने के लिए नहीं हूं। लेकिन इतना ही निश्चित है कि: Wहम इस समस्या से बाहर निकलने का प्रशिक्षण नहीं ले सकते। उद्यम उपयोगकर्ता सुरक्षा-जागरूकता प्रशिक्षण में महत्वपूर्ण निवेश करते हैं, और फिर भी, उन्हें शर्मनाक, महंगा उल्लंघनों का सामना करना पड़ता है। इसलिए, मुख्य रूप से अंतिम उपयोगकर्ता को सुरक्षित रखने पर ध्यान केंद्रित करना एक अच्छी रणनीति नहीं है।

नई रणनीति को ध्यान में रखते हुए सिक्योर सिस्टम्स

तथ्य: आपके उपयोगकर्ता एक प्रमुख जोखिम कारक हैं। के अनुसार वेरिज़ोन की "2022 डेटा उल्लंघन और जांच रिपोर्टरैंसमवेयर के 35% संक्रमण फ़िशिंग ईमेल से शुरू हुए। तथ्य: यह कई वर्षों से सुरक्षा-जागरूकता प्रशिक्षण में बढ़ते निवेश के बावजूद है। साइबर सुरक्षा जागरूकता प्रशिक्षण बाजार बढ़ने का अनुमान है 1,854.9 में $2022 मिलियन से 12,140 तक $2027 मिलियन। तथ्य: इन सभी निवेशों के साथ भी, रैनसमवेयर (सिर्फ एक हमले के प्रकार के रूप में) भी आक्रामक रूप से बढ़ने की उम्मीद हैप्रशिक्षण सहित कई संगठनात्मक प्रयासों के बावजूद।

दुखद, अपरिहार्य तथ्य: हमारे उपयोगकर्ता अभी भी गलतियाँ करने जा रहे हैं — आखिरकार हम सभी इंसान हैं। एक सर्वेक्षण किया गया अधिक सुरक्षा प्रशिक्षण की आवश्यकता को साबित करने के लिए, मेरे विचार में, यह साबित हुआ साइबर संकट को रोकने में असमर्थता: सर्वेक्षण में शामिल पांच में से चार ने सुरक्षा जागरूकता प्रशिक्षण प्राप्त किया था; 26% और 44% के बीच (उम्र जनसांख्यिकीय के आधार पर) वैसे भी अज्ञात प्रेषकों के लिंक और अटैचमेंट पर क्लिक करना जारी रखा।

केवल उपयोगकर्ता की सुरक्षा पर निर्भर न रहें

हमें यह निष्कर्ष निकालना चाहिए कि संगठनात्मक सुरक्षा को उपयोगकर्ता को सुरक्षित करने पर बहुत अधिक भरोसा नहीं करना चाहिए, कि उन्हें समझौता किया जाएगा, और फिर इस धारणा को ध्यान में रखते हुए सिस्टम को सुरक्षित करना शुरू करना चाहिए। इस प्रकार, भले ही एक अंतिम उपयोगकर्ता का उल्लंघन हो, उस समझौते से होने वाली प्रणालीगत क्षति की मात्रा बड़ी नहीं होनी चाहिए अगर उचित सुरक्षा उपायों को नियोजित किया जाता है और सही ढंग से आयोजित किया जाता है।

क्या हमें अपने अंतिम उपयोगकर्ताओं को प्रशिक्षित करना चाहिए? बिल्कुल, सशक्त रूप से, हाँ। मजबूत सुरक्षा के लिए एक स्तरित दृष्टिकोण की आवश्यकता होती है, और इसका मतलब है कि आपके सिस्टम के हर द्वार को सुरक्षित करके आपकी सुरक्षा को मजबूत करना। लेकिन हमें समीकरण से एंड-यूज़र रिस्क को हटाना शुरू करना चाहिए। इसके लिए कुछ कठिन विकल्पों और महत्वपूर्ण नेतृत्व की आवश्यकता होती है।

हम उपयोगकर्ताओं को एक शीर्ष जोखिम के रूप में कैसे निरस्त्र कर सकते हैं?

संगठनों को बेहतर ढंग से पहुंच को अवरुद्ध करना चाहिए और सुरक्षा नियंत्रण व्यवस्थित करना चाहिए. सिस्टम डिफ़ॉल्ट रूप से बहुत खुले हैं; हमें उन्हें डिफ़ॉल्ट रूप से बंद करना चाहिए, जोखिम के लिए प्रत्येक का मूल्यांकन करना चाहिए, और फिर अपवाद द्वारा और पूरी इच्छा के साथ ओपन एक्सेस करना चाहिए। उपयोगकर्ता उस चीज़ पर क्लिक या ओपन नहीं कर सकते हैं जिसे वे एक्सेस नहीं कर सकते हैं, और जिन संगठनों में हम उल्लंघन के बाद मूल्यांकन या सुधार करते हैं, हम देखते हैं कि कर्मचारियों और सिस्टम के पास काम के दौरान आवश्यकता से कहीं अधिक एक्सेस है। कंपनियों को अपने लोगों, प्रक्रियाओं और प्रौद्योगिकी में मजबूत सुरक्षा ऑर्केस्ट्रेशन पर परत चढ़ानी चाहिए ताकि किसी भी तरह से किसी भी तरह के अनुचित क्लिक के माध्यम से खतरे वाले अभिनेता को पहुंच प्राप्त हो, उनके पार्श्व आंदोलन को रोकने और साख की कटाई / वृद्धि को रोकने के लिए नियंत्रण तैयार किए गए हैं।

उपयोगकर्ता जोखिम को कम करने के लिए संगठन सक्रिय उपाय कर सकते हैं, जिनमें शामिल हैं: व्यक्तिगत ईमेल खातों तक पहुंच को रोकना; डीप-पैकेट निरीक्षण के साथ HTTPS ट्रैफ़िक को फ़िल्टर करना; डिफ़ॉल्ट रूप से गैर-उपयोगकर्ता सबनेट/वीएलएएन तक इंटरनेट पहुंच को अवरुद्ध करना; सभी उपयोगकर्ता ट्रैफ़िक का निरीक्षण और फ़िल्टर करने की आवश्यकता है हर समय — कोई फर्क नहीं पड़ता समापन बिंदु; IT-अनुमोदित फ़ाइल-साझाकरण सिस्टम और पासवर्ड वॉल्ट को छोड़कर सभी को अस्वीकार करना; और फ़ायरवॉल और एंडपॉइंट डिटेक्शन एंड रिस्पॉन्स (EDR) जैसे उपकरणों में सुरक्षा सुविधाओं को सक्षम करना।

यह पहले से ही क्यों नहीं किया जा रहा है? बाधाएं

व्यक्तिगत साइटों और प्लेटफार्मों तक पहुंच को अवरुद्ध करना और फ़िल्टरिंग/निरीक्षण द्वारा किए गए धीमे सिस्टम एक्सेस से उपयोगकर्ता और नेता असंतोष की डिग्री हो सकती है। आवश्यक कुछ उपकरण महंगे भी हैं।

आईटी को एक मजबूत आवाज की जरूरत है, समस्याओं, समाधानों, जोखिमों और विफलता के परिणामों को व्यक्त करने के लिए नेता दोनों सुन और समझ सकते हैं, ताकि उचित नियंत्रण और संबंधित लागतों को आवंटित किया जा सके। उपयोगकर्ताओं को तब ऊपर से नीचे तक शिक्षित किया जा सकता है कि ये नियंत्रण क्यों आवश्यक हैं; इस प्रकार, सुरक्षा जागरूकता शिक्षा "क्लिक न करें और यहां क्यों है" से "हम अधिकांश चीजों को डिफ़ॉल्ट रूप से अवरुद्ध करते हैं, और यहां क्यों है" को शामिल करने के लिए स्थानांतरित हो सकते हैं। नेता जो अभी भी अधिक आक्रामक निवेश नहीं करना चुनते हैं, वे संगठन के लिए स्वीकार करने के लिए जोखिम के स्तर पर खेल में त्वचा रखते हैं।

अक्सर, IT टीमों के पास कर्मचारियों या विशेषज्ञता की कमी होती है: वे उन जोखिमों को कम नहीं कर सकते जिन्हें वे देख नहीं सकते; उन खतरों पर शिक्षित करें जिन्हें वे नहीं जानते; या उन उपकरणों को सक्षम करें जिन पर वे अप्रशिक्षित हैं। इस दृश्यता के बिना टीमों को योग्य विशेषज्ञों से नियंत्रण, कॉन्फ़िगरेशन और ऑर्केस्ट्रेशन के गहन आकलन पर विचार करना चाहिए।

एक बात निश्चित है: हम कितना भी प्रशिक्षण प्रदान करें, उपयोगकर्ता हमेशा गलत होंगे। सबसे पहले क्लिक करने के लिए उपयोगकर्ताओं के विकल्पों को कम करना आवश्यक है, और फिर यह सुनिश्चित करें कि जब वे क्लिक करें, जगह-जगह नियंत्रण हैं हमले की प्रगति को बाधित करने के लिए।

• एसईओ संचालित सामग्री और पीआर वितरण। आज ही प्रवर्धित हो जाओ।
• प्लेटोब्लॉकचैन। Web3 मेटावर्स इंटेलिजेंस। ज्ञान प्रवर्धित। यहां पहुंचें।
• स्रोत: https://www.darkreading.com/risk/stop-blaming-the-end-user-for-security-risk