मैं एक दिन एक ग्राहक के साथ कॉल पर था और वह बहुत अच्छे मूड में थी जब उसने मुझसे साझा किया कि उसकी कंपनी की हाल ही में प्रवेश परीक्षा शून्य निष्कर्ष के साथ वापस आया था। केवल कुछ सिफारिशें थीं जो उन लक्ष्यों के अनुरूप थीं जिन्हें उसने पहले परीक्षण टीम के साथ साझा किया था।
उसने इस टीम पर भरोसा किया क्योंकि उनका उपयोग कुछ वर्षों से किया जा रहा था; वे जानते थे कि जब उसे किया गया परीक्षण पसंद आया, तो उसे प्रलेखित चीजें कैसी लगीं, और वह तेजी से (और सस्ता) परीक्षण कर सकती थी। निश्चित रूप से, इस वार्षिक पेन परीक्षण के साथ अनुपालन बॉक्स की जांच की जा रही थी, लेकिन क्या संगठन का वास्तव में किसी भी हालिया साइबर हमले के खिलाफ परीक्षण या सुरक्षा की गई थी? नहीं, यदि कुछ भी हो, तो संगठन में अब सुरक्षा की झूठी भावना थी।
उन्होंने यह भी बताया कि उनकी हालिया टेबलटॉप व्यायाम (प्रवेश परीक्षण का वह भाग जहां संगठन की सुरक्षा में शामिल प्रमुख हितधारक अपनी भूमिकाओं, जिम्मेदारियों और उनके संबंधित कार्यों और नकली साइबर उल्लंघन के प्रति प्रतिक्रियाओं पर चर्चा करते हैं) घटना प्रतिक्रिया के लिए रैंसमवेयर के लिए था। आप चाहिए रैंसमवेयर पर ध्यान केंद्रित करें यदि यह पहले से ही पिछले परीक्षण में शामिल नहीं किया गया है, लेकिन मानव जोखिम या अंदरूनी खतरे के बारे में क्या? जबकि, हालिया निष्कर्षों के अनुसार, चार में से तीन साइबर खतरे और हमले संगठनों के बाहर से आ रहे हैं, और साझेदारों से जुड़ी घटनाएं बाहरी स्रोतों के कारण होने वाली घटनाओं से कहीं अधिक बड़ी होती हैं। उन्हीं अध्ययनों के अनुसार, विशेषाधिकार प्राप्त पार्टियाँ बाहरी लोगों की तुलना में संगठन को अधिक नुकसान पहुँचा सकती हैं।
तो, जब हम यथार्थवादी खतरों का अनुकरण कर सकते हैं और अधिकतम व्यावसायिक क्षति के लिए सबसे अधिक जोखिम वाले सिस्टम का तनाव-परीक्षण कर सकते हैं, तो हम अभी भी अनौपचारिक प्रवेश परीक्षण क्यों कर रहे हैं? हम यथार्थवादी और प्रभावशाली टेबलटॉप बनाने के लिए आईएसएसी, सीआईएसए और अन्य खतरे की रिपोर्टों से आसानी से उपलब्ध अंतर्दृष्टि का उपयोग करके किसी संगठन के लिए सबसे लगातार खतरों को क्यों नहीं देख रहे हैं? इसके बाद हम पैठ परीक्षण और सिस्टम के तेजी से यथार्थवादी तनाव परीक्षण के माध्यम से एक परिष्कृत एथिकल हैकिंग टीम को मदद करने की अनुमति दे सकते हैं, बनाम भविष्य में किसी बिंदु पर अपरिहार्य उल्लंघन की प्रतीक्षा कर सकते हैं।
ऑडिट संगठन और नियामक कंपनियों से अपेक्षा करते हैं कि वे अपनी तकनीक और सुरक्षा स्टैक पर उचित परिश्रम करें, लेकिन उन्हें अभी भी उस स्तर की कठोरता की आवश्यकता नहीं है जो आज आवश्यक है। दूरंदेशी संगठन अपने परीक्षण के साथ और अधिक परिष्कृत होते जा रहे हैं और अपने प्रवेश परीक्षण और प्रतिकूल सिमुलेशन (जिसे रेड टीम परीक्षण भी कहा जाता है) के साथ अपने खतरे मॉडलिंग टेबलटॉप अभ्यास को शामिल कर रहे हैं। इससे यह सुनिश्चित करने में मदद मिलती है कि वे समग्र रूप से खतरे के प्रकारों का मॉडलिंग कर रहे हैं, उनकी संभावना का प्रयोग कर रहे हैं, और फिर उनके भौतिक और तकनीकी नियंत्रणों की प्रभावकारिता का परीक्षण कर रहे हैं। एथिकल हैकिंग टीमें समय के साथ एक शोर पैठ परीक्षण से एक गुप्त प्रतिद्वंद्वी सिमुलेशन तक प्रगति करने में सक्षम होना चाहिए, वित्तीय सेवाओं के ट्रेडिंग प्लेटफॉर्म या कैसीनो गेमिंग सिस्टम जैसे संवेदनशील और ऑफ-लिमिट उपकरण के आसपास दृष्टिकोण को तैयार करने के लिए ग्राहक के साथ काम करना चाहिए।
रेड टीमें किसी कंपनी के नेटवर्क का परीक्षण करने वाले पेशेवरों का आक्रामक समूह मात्र नहीं हैं; इन दिनों, वे कुछ सबसे अधिक मांग वाले साइबर विशेषज्ञों से बने हैं जो परिष्कृत साइबर हमलों के पीछे की तकनीक को जानते और समझते हैं।
मजबूत आक्रामक सुरक्षा साझेदार मजबूत लाल टीमों की पेशकश करते हैं; संगठनों को यह सुनिश्चित करने पर ध्यान देना चाहिए कि वे आज के खतरनाक साइबर अपराधी या राष्ट्र-राज्य के लिए ख़तरा पैदा करने वाले अभिनेता की सुरक्षा और तैयारी कर सकें। साइबर सुरक्षा भागीदार पर विचार करते समय, कुछ बातों पर विचार करना होगा।
क्या यह भागीदार आपको कुछ बेचने की कोशिश कर रहा है या वह अज्ञेयवादी है?
एक वैध और मजबूत साइबर सुरक्षा कार्यक्रम एक टीम द्वारा बनाया गया है जो आपके संगठन को आपकी परिस्थितियों के लिए सही तकनीक से लैस करना चाहती है। सभी प्रौद्योगिकियां सभी के लिए एक जैसी नहीं होती हैं, और इसलिए, उत्पादों की पहले से अनुशंसा नहीं की जानी चाहिए, बल्कि आपकी कंपनी की जरूरतों और विशिष्ट आवश्यकताओं की गहन समीक्षा के बाद ही सुझाव दिया जाना चाहिए।
रक्षात्मक डेटा से अनुसंधान एवं विकास प्राप्त करना
पता लगाएं कि क्या उनकी टीम नवीनतम एंडपॉइंट पहचान और प्रतिक्रिया और अन्य उन्नत सुरक्षा के आधार पर कस्टम टूल और मैलवेयर पर शोध और विकास करती है। साइबर सुरक्षा के लिए कोई कुकी-कटर दृष्टिकोण नहीं है, न ही कभी होना चाहिए। उन्नत साइबर हमलों के खिलाफ किसी संगठन को तैयार करने और बचाव करने के लिए उपयोग किए जाने वाले उपकरणों को अपराधियों की बढ़ती परिष्कार से निपटने के लिए लगातार उन्नत और परिष्कृत किया जा रहा है।
सर्वोत्तम प्राप्त करना
क्या उनके आक्रामक सुरक्षा इंजीनियर वास्तव में राष्ट्र-राज्य क्षमता वाले हैं जो पहचान से बच सकते हैं और छिपकर रह सकते हैं, या वे अनुपालन-आधारित पेन परीक्षक हैं? सीधे शब्दों में कहें तो, क्या आपके साथ सबसे अच्छी, सबसे अनुभवी टीम काम कर रही है? यदि नहीं, तो कोई अन्य साथी खोजें।
मानसिकता की जाँच करें
क्या टीम अनुपालन मानसिकता या खतरे की तैयारी के साथ नेतृत्व करती है? हालाँकि अनुपालन जाँच सूचियाँ यह सुनिश्चित करने के लिए महत्वपूर्ण हैं कि आपके पास बुनियादी बातें मौजूद हैं, यह बस यही है: एक जाँच सूची। संगठनों को यह समझना चाहिए कि चेकलिस्ट से परे, उन्हें 24/7 सुरक्षित रहने के लिए क्या चाहिए।
अंततः, एक साइबर पार्टनर ढूंढें जो कठिन प्रश्न पूछेगा और किसी कार्यक्रम का विश्लेषण करते समय विचारों के व्यापक दायरे की पहचान करेगा। इसे एक आक्रामक समाधान पेश करना चाहिए जो आपके संगठन को उन साइबर अपराधियों से एक कदम आगे रखेगा जो अधिकतम लचीलेपन के लिए बार उठाना जारी रखते हैं। कलम परीक्षण से आगे बढ़ें!
