सॉफ्टवेयर आपूर्ति श्रृंखला सबसे आम कमजोरियां क्या हैं?

संगठनों और व्यवसायों में अनुप्रयोगों और प्रौद्योगिकियों की बढ़ती एकीकरण दर है। कम से कम, पारंपरिक व्यवसायों को भी एक पेशेवर ईमेल सेवा की आवश्यकता होती है। बेशक, एक एप्लिकेशन ईमेल भेजने जैसे सरल कार्यों से लेकर मार्केटिंग ऑटोमेशन जैसी जटिल प्रक्रियाओं तक व्यवसायों की कई तरह से मदद करता है। साइबर अपराधी इस सॉफ्टवेयर सप्लाई चेन में खामियां ढूंढते हैं और नुकसान पहुंचाते रहते हैं। तो, आपको सीखना चाहिए सॉफ्टवेयर आपूर्ति श्रृंखला को सुरक्षित करने के तरीके आपके व्यवसाय या संगठन द्वारा उपयोग किया जाता है।  नीचे, हम एक सॉफ्टवेयर आपूर्ति श्रृंखला के अर्थ, सामान्य कमजोरियों और आप उन्हें कैसे सुरक्षित कर सकते हैं, इस पर चर्चा करेंगे।

एक सॉफ्टवेयर आपूर्ति श्रृंखला क्या है?

एक सॉफ़्टवेयर आपूर्ति का अर्थ लोगों द्वारा समझे जाने की तुलना में काफी सरल है। हां, नाम एक जटिल तकनीकी शब्द की तरह लगता है। Wएक उचित स्पष्टीकरण के साथ, आप अपने व्यवसाय की सॉफ़्टवेयर आपूर्ति श्रृंखला और इसे सुरक्षित करने के तरीके के बारे में जानने में रुचि लेंगे। एक सॉफ्टवेयर आपूर्ति श्रृंखला में कई घटक होते हैं, जैसे प्लगइन्स, मालिकाना और ओपन-सोर्स बायनेरिज़, लाइब्रेरी, कोड और कॉन्फ़िगरेशन।

घटकों में कोड विश्लेषक, कंपाइलर, असेंबलर, सुरक्षा, निगरानी, ​​​​रिपॉजिटरी और लॉगिंग ऑप्स टूल भी शामिल हैं। यह प्रक्रियाओं, ब्रांड और सॉफ्टवेयर बनाने में शामिल लोगों तक फैली हुई है। Apple जैसी कंप्यूटर कंपनियां कुछ हिस्से खुद बनाती हैं, और कुछ हिस्से उन्हें दूसरी कंपनियों से मिलते हैं। उदाहरण के लिए, ऐप्पल एम-सीरीज़ चिप ऐप्पल द्वारा बनाई गई है, जबकि सैमसंग अपने ओएलईडी पैनल की आपूर्ति करता है। कुछ सॉफ्टवेयर की तरह, इसे कई कोड, डेवलपर्स, कॉन्फ़िगरेशन और कई अन्य चीजों का उपयोग करके बनाया गया है। सॉफ़्टवेयर के उत्पादन और वितरण के लिए आवश्यक सभी प्रक्रियाओं और घटकों को सॉफ़्टवेयर आपूर्ति श्रृंखला कहा जाता है।

सॉफ्टवेयर आपूर्ति श्रृंखला सुरक्षा क्या है?

अब आप सॉफ़्टवेयर आपूर्ति श्रृंखला का अर्थ जानते हैं, साइबर अपराधियों द्वारा सॉफ़्टवेयर की सुरक्षा को सॉफ़्टवेयर आपूर्ति श्रृंखला सुरक्षा के रूप में जाना जाता है।

यदि हैकर्स किसी व्यवसाय या संगठन द्वारा उपयोग किए गए सॉफ़्टवेयर तक पहुँच प्राप्त करते हैं, तो परिणामस्वरूप कई चीज़ें क्षतिग्रस्त हो सकती हैं। इसलिए, अपने सॉफ़्टवेयर के घटकों को साइबर हमलों से सुरक्षित रखना आवश्यक है। हाल ही में, अधिकांश सॉफ़्टवेयर खरोंच से नहीं बनाए गए हैं। यह अन्य सॉफ़्टवेयर कलाकृतियों के साथ आपके मूल कोड का संयोजन है। चूंकि आपके पास किसी तृतीय-पक्ष कोड या कॉन्फ़िगरेशन का अधिक नियंत्रण नहीं है, इसलिए भेद्यताएं हो सकती हैं। लेकिन आपको सॉफ्टवेयर की जरूरत है, है ना? इसलिए, सॉफ्टवेयर आपूर्ति श्रृंखला सुरक्षा आपके व्यवसाय की एक बहुत ही मौलिक जिम्मेदारी होनी चाहिए। डेटा उल्लंघनों और साइबर हमलों का एक लंबा इतिहास रहा है, जिसमें ज्यादातर सॉफ्टवेयर आपूर्ति श्रृंखला में एक कमजोर कड़ी शामिल है।

2013 में, 40 मिलियन क्रेडिट कार्ड नंबर और लक्ष्य पर 70 मिलियन से अधिक ग्राहकों के विवरण से समझौता किया गया था। साइबर हमले के निपटारे के रूप में इस एकल घटना के लिए लक्ष्य को लगभग 18.5 मिलियन डॉलर का भुगतान करना पड़ा। जांच से पता चला है कि हैकर्स ने एक रेफ्रिजरेटर ठेकेदार के लॉगिन क्रेडेंशियल के साथ पहुंच हासिल की। आप देख सकते हैं कि साइबर अपराधियों ने जिस कमजोर कड़ी का फायदा उठाया वह रेफ्रिजरेटर ठेकेदार के लॉगिन क्रेडेंशियल थे। वेनाफी के एक अध्ययन के अनुसार, लगभग 82 प्रतिशत सीआईओ ने कहा कि उनकी कंपनी और संगठनों में सॉफ्टवेयर आपूर्ति श्रृंखला कमजोर थी।

Techmonitor ने यह भी बताया कि 650 में ओपन-सोर्स सॉफ़्टवेयर पैकेज पर हमलों में 2021% की वृद्धि हुई. इस तरह के आँकड़े आपकी सॉफ़्टवेयर आपूर्ति श्रृंखला को साइबर अपराधियों द्वारा शोषण से सुरक्षित रखने के महत्व को दर्शाते हैं।

सॉफ्टवेयर आपूर्ति श्रृंखला साइबर हमलों की चपेट में क्यों हैं?

प्रारंभ में, आपने सीखा कि कैसे एक सॉफ्टवेयर आपूर्ति श्रृंखला में कस्टम कोड से लेकर डेवलपर्स तक के घटक होते हैं। प्रौद्योगिकियों की इन परस्पर जुड़ी प्रणालियों के भीतर, साइबर अपराधी सुरक्षा खामियों की तलाश करते हैं। जब वे घटकों के भीतर एक खामी पाते हैं, तो वे इसका फायदा उठाते हैं और डेटा तक पहुंच प्राप्त करते हैं। क्लाउड-देशी सुरक्षा कंपनी, एक्वा सिक्योरिटी ने 2021 में एक रिपोर्ट जारी की, जिसमें दिखाया गया कि 90% व्यवसायों और संगठनों को दोषपूर्ण क्लाउड इन्फ्रास्ट्रक्चर के कारण साइबर हमलों का खतरा था।

क्लाउड इन्फ्रास्ट्रक्चर वर्चुअल उपकरण है जिसका उपयोग सॉफ्टवेयर संचालन के लिए किया जाता है; यह एक सॉफ्टवेयर आपूर्ति श्रृंखला का हिस्सा है। जब हैकर्स क्लाउड इन्फ्रास्ट्रक्चर तक पहुंच प्राप्त करते हैं, तो वे इसमें बग और मैलवेयर इंजेक्ट कर सकते हैं। सॉफ़्टवेयर आपूर्ति श्रृंखलाओं की भेद्यता भी कोड आधारों से आती है। एक कोड बेस स्रोत कोड का एक पूर्ण संस्करण है जो आमतौर पर स्रोत नियंत्रण भंडार में संग्रहीत होता है। जैसा कि Synopsys द्वारा रिपोर्ट किया गया है, लगभग 88% संगठनों के कोड बेस में कमजोर ओपन-सोर्स सॉफ़्टवेयर होते हैं।

सॉफ्टवेयर आपूर्ति श्रृंखला की सबसे आम कमजोरियां क्या हैं?

पुरानी तकनीक

जब तकनीक पुरानी हो जाती है, तो सुरक्षा कमजोरियों की संख्या में वृद्धि स्पष्ट हो जाती है। आपकी सॉफ़्टवेयर आपूर्ति श्रृंखला पर पुरानी तकनीक का उपयोग करने का मतलब साइबर अपराधियों के लिए डेटा तक पहुंच प्राप्त करने और चोरी करने के लिए एक खिड़की हो सकती है। एक अद्यतन प्रौद्योगिकी संस्करण के साथ एक सॉफ्टवेयर आपूर्ति श्रृंखला में कम सुरक्षा कमजोरियां होती हैं।

सॉफ्टवेयर कोड में खामियां

डेटा का शोषण तब होगा जब साइबर अपराधी आपकी सॉफ़्टवेयर आपूर्ति श्रृंखला में प्रोग्रामिंग गलती देखेंगे। एक प्रमुख कारक जो हैकर्स और साइबर क्राइम एजेंटों को उनके हमले में बढ़त देता है, वह है जब उन्हें एक सॉफ्टवेयर कोड में कोई दोष दिखाई देता है।

सॉफ्टवेयर प्रदाता कमजोरियां

कई व्यवसाय अपने संगठन में गतिविधियों को करने के लिए एक सॉफ्टवेयर प्रदाता का उपयोग करते हैं। उदाहरण के लिए, कई व्यवसाय पासवर्ड स्टोर करने के लिए पासवर्ड प्रबंधन सेवाओं पर निर्भर करते हैं। साइबर अपराधी आसानी से एप्लिकेशन में मैलवेयर इंजेक्ट कर सकते हैं और किसी व्यवसाय द्वारा इंस्टॉलेशन की प्रतीक्षा कर सकते हैं। आमतौर पर साइबर हमले के दौरान उपयोग की जाने वाली ऐसी खामियां आमतौर पर पैरेंट सॉफ्टवेयर प्रदाताओं की गलती होती हैं।

whaling

व्हेलिंग फ़िशिंग के समान है। मुख्य अंतर यह है कि व्हेलिंग में कर्मचारी शामिल होते हैं, जबकि फ़िशिंग बहुत बड़े दर्शकों को लक्षित करता है। व्हेलिंग के हमलों की प्रक्रिया में, साइबर अपराधी कंपनी में उल्लेखनीय व्यक्तित्व के रूप में कर्मचारियों को ईमेल भेजते हैं। इस तरह के ईमेल के साथ, एक पहले से न सोचा कर्मचारी आसानी से क्रेडेंशियल और जानकारी प्रकट कर सकता है जिसे निजी रखा जाना चाहिए। व्हेलिंग हमलों के लिए लक्षित कर्मचारी आमतौर पर किसी कंपनी या संगठन की बड़ी बंदूकें होते हैं, जैसे प्रबंधक या सीआईओ (मुख्य सूचना अधिकारी)।

त्रुटिपूर्ण IaC टेम्प्लेट

IaC (कोड के रूप में अवसंरचना) आपके बुनियादी ढांचे के विनिर्देशों वाली कॉन्फ़िगरेशन फ़ाइलों के निर्माण की अनुमति देता है। हालांकि, जब किसी भी IaC टेम्प्लेट में कोई दोष होता है, तो आपके व्यवसाय या संगठन के एक समझौता किए गए सॉफ़्टवेयर आपूर्ति श्रृंखला होने की संभावना अधिक होती है। त्रुटिपूर्ण IaC टेम्पलेट के प्रभावों का एक अच्छा उदाहरण ओपनएसएसएल का संस्करण था जिसके कारण हार्टब्लिड बग हुआ। एक त्रुटिपूर्ण IaC टेम्पलेट का एक बहुत बुरा प्रभाव यह है कि प्रोविज़निंग प्रक्रिया के दौरान एक डेवलपर द्वारा इसका पता लगाने की संभावना कम होती है।

वीसीएस और सीआई/सीडी कमजोरियां

वीसीएस (संस्करण नियंत्रण प्रणाली) और सीआई / सीडी एक सॉफ्टवेयर आपूर्ति श्रृंखला के प्रमुख घटक हैं। तृतीय-पक्ष पुस्तकालयों और IaC मॉड्यूल का भंडारण, संकलन और परिनियोजन VCS और CI/CD पर आधारित है। इसलिए यदि उनमें से किसी में कोई गलत कॉन्फ़िगरेशन या कमजोरियां हैं, तो साइबर अपराधी उस अवसर का उपयोग सॉफ़्टवेयर आपूर्ति श्रृंखला सुरक्षा से समझौता करने के लिए आसानी से कर सकते हैं।

सॉफ़्टवेयर आपूर्ति श्रृंखला को कैसे सुरक्षित करें

एक नेटवर्क एयर-गैप बनाएं

एयर-गैपिंग का मतलब है कि आपके कंप्यूटर और सिस्टम के नेटवर्क से जुड़े बाहरी उपकरण डिस्कनेक्ट हो गए हैं। कभी-कभी, साइबर अपराधी किसी सॉफ़्टवेयर आपूर्ति श्रृंखला पर हमला करने के लिए बाहरी कनेक्शन का उपयोग करते हैं। एयर-गैपिंग से उस खिड़की से हमले की संभावना समाप्त हो जाती है। 

अपने सिस्टम को नियमित रूप से स्कैन और पैच करें

सॉफ़्टवेयर आपूर्ति श्रृंखला समझौता अक्सर पुरानी तकनीकों और टूटे हुए कोड पर पनपती है। नियमित अपडेट यह सुनिश्चित करेंगे कि आपकी सॉफ़्टवेयर आपूर्ति श्रृंखला में कोई भी तकनीक पुरानी नहीं है।

आपके व्यवसाय द्वारा उपयोग किए जाने वाले सभी सॉफ़्टवेयर के बारे में पूरी जानकारी रखें

सॉफ्टवेयर के किस सिस्टम को नियमित रूप से पैच, स्कैन या अपडेट करना है, इसका स्पष्ट विचार रखने के लिए, आपको अपने संगठन द्वारा उपयोग किए जाने वाले एप्लिकेशन के बारे में पूरी जानकारी की आवश्यकता है। इस जानकारी के साथ, आप उन एप्लिकेशन को शेड्यूल कर सकते हैं जिन्हें नियमित जांच और अपडेट की आवश्यकता होती है और जिन्हें मासिक अपडेट की आवश्यकता होती है।

कर्मचारियों को संवेदनशील बनाएं

कर्मचारी किसी संगठन या कंपनी के भीतर उल्लंघनों के तत्व और लक्ष्य भी होते हैं। जब कोई कर्मचारी मल्टी-फैक्टर ऑथेंटिकेशन और अन्य सुरक्षा प्रथाओं का उपयोग करने के लिए संवेदनशील होता है, तो वे साइबर अपराधियों के झांसे में नहीं आएंगे।

लपेटकर

एक सॉफ्टवेयर आपूर्ति श्रृंखला में कस्टम कोड और सॉफ्टवेयर के डेवलपर्स सहित प्रौद्योगिकियों की एक इंटरकनेक्टेड प्रणाली होती है। कई रिपोर्टों से, सॉफ़्टवेयर आपूर्ति श्रृंखला उल्लंघनों की दर में वृद्धि हुई है। ऊपर, हमने सॉफ़्टवेयर आपूर्ति श्रृंखला सुरक्षा के कारणों और ऐसे समझौतों को कम करने के लिए आपके द्वारा लागू किए जा सकने वाले सर्वोत्तम अभ्यासों पर चर्चा की।