توسیعی IoT ڈیوائسز (xIoT) سائبر حملہ آوروں کے لیے ایک بارہماسی پسندیدہ کے طور پر کھڑے ہیں جو انٹرپرائز نیٹ ورکس میں دیر سے آگے بڑھنا اور استقامت قائم کرنا چاہتے ہیں۔ ان کے پاس وہ سب کچھ ہے جو برے لوگوں کو قدم جمانے کے لیے درکار ہے: وہ مکمل طور پر محفوظ ہیں، وہ بڑی تعداد میں موجود ہیں (اور نیٹ ورک کے حساس حصوں میں)، اور، اہم بات یہ ہے کہ ان کی عام طور پر اچھی طرح نگرانی نہیں کی جاتی ہے۔
ایک میں آنے والے سیشن RSA میں، سیکورٹی محقق اور حکمت عملی ساز Brian Contos اپنے سامعین کو ان طریقوں کے بارے میں بتائے گا کہ ان آلات کو انٹرپرائز کے وسائل کے خلاف بہت وسیع حملے کرنے کے لیے استعمال کیا جا سکتا ہے، اس کے ساتھ ساتھ سیکورٹی کے حکمت کاروں کو خطرے کا مقابلہ کرنے کے لیے کیا کرنا چاہیے۔
"میں کچھ xIoT ہیکنگ کے مظاہرے کروں گا، کیونکہ ہر کوئی چیزوں کو ٹوٹا ہوا دیکھنا پسند کرتا ہے،" کونٹوس کہتے ہیں، سیوکو سیکیورٹی کے چیف اسٹریٹجی آفیسر۔ "لیکن xIoT کی دنیا میں سمجھوتہ کرنا کافی آسان ہے، اس لیے میں اس پر توجہ نہیں دوں گا بلکہ اس بات پر توجہ مرکوز کروں گا کہ اسے آن پریم ڈیوائسز، ان کلاؤڈ ڈیوائسز، حساس ڈیٹا چوری کرنے، برقرار رکھنے کے لیے کیسے ایک محور کے طور پر استعمال کیا جا سکتا ہے۔ استقامت، اور پتہ لگانے سے بچنا۔"
اس کا مقصد حملے کے پورے لائف سائیکل کو دکھانا ہے تاکہ ان وزنی لہروں کے اثرات کو ظاہر کیا جا سکے جو انٹرپرائز ماحول میں xIoT آلات کو غیر منظم اور غیر نگرانی کے چھوڑنے سے دور ہیں۔
xIoT عدم تحفظ کا پھیلاؤ
جیسا کہ کونٹس وضاحت کرتا ہے، xIoT آلات عام طور پر تین آلات کے زمرے میں آتے ہیں جو تمام کاروباری ماحول میں نمایاں طور پر پھیلتے ہیں۔ سب سے پہلے انٹرپرائز آئی او ٹی ڈیوائسز ہیں جیسے کیمرے، پرنٹرز، آئی پی فونز، اور دروازے کے تالے. دوسرا آپریشنل ٹکنالوجی کے آلات ہیں جیسے صنعتی روبوٹ، والو کنٹرولرز، اور دیگر ڈیجیٹل آلات جو کہ طبیعیات کو کنٹرول کرتے ہیں۔ صنعتی ترتیبات. تیسرا - اور اکثر کم یاد کیا جاتا ہے - عام نیٹ ورک ڈیوائسز ہیں جیسے سوئچز، نیٹ ورک سے منسلک اسٹوریج، اور گیٹ وے راؤٹرز۔
"ان تمام آلات میں جو چیز مشترک ہے وہ یہ ہے کہ یہ سب مقصد سے بنائے گئے آلات ہیں، جو ایک خاص مقصد کے لیے بنائے گئے ہیں،" وہ نوٹ کرتا ہے۔ "وہ نیٹ ورک سے منسلک ہیں، اور آپ ان پر کوئی اضافی 'چیزیں' انسٹال نہیں کر سکتے۔ لہذا، آپ ان پر فائر وال یا آئی پی ایس، یا اینٹی میل ویئر نہیں لگا سکتے۔ لہذا، ضروری نہیں کہ تمام روایتی آئی ٹی کنٹرولز xIoT کی اس دنیا میں اچھی طرح سے فٹ ہوں۔
وہ کہتے ہیں کہ پچھلے دو سالوں میں ان کی تحقیق سے یہ بات سامنے آئی ہے کہ عام انٹرپرائز نیٹ ورک میں، عام طور پر فی ملازم تین سے پانچ xIoT ڈیوائسز ادھر ادھر تیرتے ہیں۔ کچھ صنعتوں میں - جیسے تیل اور گیس یا مینوفیکچرنگ، یہ تعداد اوپر کی طرف بڑھ سکتی ہے جیسے فی ملازم پانچ سے چھ ڈیوائسز۔ لہذا 10,000 ملازمین کے ساتھ ایک مینوفیکچرنگ کمپنی آسانی سے اپنے نیٹ ورک پر ان میں سے 50,000 ڈیوائسز کو دیکھ سکتی ہے۔
"اور جو آپ تلاش کرنے جا رہے ہیں وہ یہ ہے کہ ان میں سے تقریباً نصف ڈیفالٹ پاس ورڈ چلا رہے ہیں، جو گوگل پر تلاش کرنے میں میرے لیے آدھے سیکنڈ کا وقت لگتا ہے،" وہ کہتے ہیں۔ اگر میں گوگل کرتا ہوں، 'اے پی سی یو پی ایس سسٹم پر ڈیفالٹ پاس ورڈ کیا ہے، تو یہ مجھے بتائے گا کہ ڈیفالٹ یوزر نیم 'apc' ہے اور ڈیفالٹ پاس ورڈ 'apc' ہے۔ اور میں آپ کو تجربے سے بتا سکتا ہوں، میں نے ابھی تک جنگل میں ایسا APC UPS سسٹم نہیں دیکھا ہے جس میں صارف نام اور پاس ورڈ کے طور پر 'apc-apc' نہ ہو۔
اس کے سب سے اوپر، وہ بتاتا ہے کہ آدھے سے زیادہ xIoT آلات بھی اہم سطح کے CVEs چلا رہے ہیں جن کو دور سے فائدہ اٹھانے اور آلات پر جڑوں کی مراعات حاصل کرنے کے لیے بہت کم یا بغیر کسی ہیکنگ کی مہارت کی ضرورت ہوتی ہے۔
"حجم کی وجہ سے، اگر آپ پہلے 1,000 سے 2,000 ڈیوائسز میں نہیں آتے ہیں تو امکان ہے کہ آپ اگلے 1,000 سے 2000 تک پہنچ جائیں گے،" وہ کہتے ہیں۔
سیکھے گئے اسباق
Contos کے ہیکنگ کے مظاہرے اس بات پر غور کریں گے کہ کس طرح xIoT ڈیوائس کے ہر زمرے میں سے ایک مختلف ڈیوائس کو حملے کے متعدد مقاصد کے لیے استعمال کیا جا سکتا ہے، پاور آف کرنے سے لے کر کسی اثاثے کو تباہ کرنے تک، اور حساس ڈیٹا کو پھیلانے سے لے کر نیٹ ورک پر حملے کی رسائی کو بڑھانا۔ وہ xIoT ہیکنگ ٹولز کے بارے میں معلومات کا اشتراک کرے گا جو قومی ریاستی اداکاروں نے بنائے ہیں اور وضاحت کریں گے کہ دھمکی دینے والے اداکار اس قسم کے حملوں میں سرمایہ کاری کے لیے کس طرح سنجیدہ رقم لگا رہے ہیں۔
"میں چاہتا ہوں کہ سامعین یہ سمجھیں کہ یہ کتنا آسان ہے اور یہ ایک خطرہ ہے جس کے لیے ان کی تنظیم میں کچھ توجہ کی ضرورت ہے،" وہ کہتے ہیں۔
بحث کے ایک حصے کے طور پر، Contos جوابی اقدامات پر تبادلہ خیال کرے گا جس میں xIoT کے ارد گرد ٹھوس اثاثہ جات کا انتظام، شناخت کا انتظام، اور پیچ کا انتظام شامل ہے، نیز xIoT حملے کی سطح کو سخت کرنے کے لیے سیگمنٹیشن اور MFA جیسے معاوضے کے کنٹرول۔ وہ یہ بھی کہتے ہیں کہ وہ اس بات کی وضاحت کرنے کی امید کرتے ہیں کہ دفاع کی منصوبہ بندی "بلبلے میں" نہیں کی جانی چاہئے۔ یہ اس قسم کا حفاظتی اقدام نہیں ہے جسے کسی خصوصی ٹاسک فورس کے ذریعہ تیار کیا جانا چاہئے جسے کلاؤڈ سیکیورٹی اور دوسرے سیکیورٹی گروپس سے ہٹا دیا گیا ہو، دوسرے لفظوں میں۔
"یہ سب کو مربوط کیا جانا چاہئے کیونکہ یہ تمام آلات ایک دوسرے کو چھوتے ہیں،" وہ کہتے ہیں۔ "یہ ایک بڑے نقطہ نظر کا حصہ ہونا چاہئے۔"
- SEO سے چلنے والا مواد اور PR کی تقسیم۔ آج ہی بڑھا دیں۔
- پلیٹو بلاک چین۔ Web3 Metaverse Intelligence. علم میں اضافہ۔ یہاں تک رسائی حاصل کریں۔
- ایڈریین ایشلے کے ساتھ مستقبل کا نقشہ بنانا۔ یہاں تک رسائی حاصل کریں۔
- ماخذ: https://www.darkreading.com/ics-ot/why-xiot-devices-are-gateway-drug-lateral-movement
- : ہے
- $UP
- 000
- 1
- 10
- 7
- a
- ہمارے بارے میں
- کے پار
- اداکار
- ایڈیشنل
- کے خلاف
- تمام
- اور
- نقطہ نظر
- کیا
- ارد گرد
- AS
- اثاثے
- اثاثہ جات کے انتظام
- At
- حملہ
- حملے
- سامعین
- برا
- BE
- کیونکہ
- برائن
- وسیع
- ٹوٹ
- بلبلا
- تعمیر
- کاروبار
- by
- کیمروں
- کر سکتے ہیں
- اقسام
- مشکلات
- چیف
- بادل
- کلاؤڈ سیکورٹی
- کامن
- کمپنی کے
- سمجھوتہ
- منسلک
- کنٹرول
- کنٹرول
- سکتا ہے
- مقابلہ
- جوڑے
- تخلیق
- بنائی
- اہم
- سائیکل
- اعداد و شمار
- پہلے سے طے شدہ
- مظاہرہ
- کھوج
- ترقی یافتہ
- آلہ
- کے الات
- مختلف
- ڈیجیٹل
- بات چیت
- بحث
- کر
- منشیات کی
- ہر ایک
- آسانی سے
- اثرات
- ملازم
- ملازمین
- انٹرپرائز
- پوری
- ماحول
- کا سامان
- قائم کرو
- کبھی نہیں
- سب کچھ
- توسیع
- تجربہ
- مہارت
- وضاحت
- بیان کرتا ہے
- گر
- پسندیدہ
- مل
- فائروال
- پہلا
- فٹ
- سچل
- توجہ مرکوز
- کے لئے
- مجبور
- سے
- حاصل کرنا
- گیس
- گیٹ وے
- جنرل
- حاصل
- مقصد
- جا
- گوگل
- گروپ کا
- ہیکنگ
- نصف
- ہے
- امید ہے
- کس طرح
- HTTPS
- i
- شناختی
- شناخت کا انتظام
- in
- دیگر میں
- شامل
- صنعتی
- صنعتوں
- معلومات
- انسٹال
- کے بجائے
- ضم
- سرمایہ کاری
- IOT
- آئی ٹی آلات
- IP
- IT
- بچے
- بڑے
- بڑے
- آخری
- چھوڑ کر
- اسباق
- لیوریج
- زندگی
- کی طرح
- تھوڑا
- دیکھو
- تلاش
- برقرار رکھنے کے
- انتظام
- مینوفیکچرنگ
- پیمائش
- MFA
- قیمت
- نگرانی کی
- زیادہ
- منتقل
- تحریک
- ضروری ہے
- ضرورت ہے
- نیٹ ورک
- نیٹ ورک
- اگلے
- نوٹس
- تعداد
- تعداد
- of
- افسر
- تیل
- تیل اور گیس کی
- on
- ایک
- آپریشنل
- حکم
- تنظیم
- دیگر
- حصہ
- حصے
- پاس ورڈ
- پیچ
- مسلسل
- فونز
- طبعیات
- محور
- منصوبہ بنایا
- پلاٹا
- افلاطون ڈیٹا انٹیلی جنس
- پلیٹو ڈیٹا
- پوائنٹ
- طاقت
- حال (-)
- استحقاق
- مقصد
- مقاصد
- ڈال
- ڈالنا
- RE
- تک پہنچنے
- ہٹا دیا گیا
- کی ضرورت
- کی ضرورت ہے
- تحقیق
- محقق
- وسائل
- ریپل
- رسک
- روبوٹس
- جڑ
- RSA
- rsaconference
- چل رہا ہے
- s
- کا کہنا ہے کہ
- پیمانے
- دوسری
- محفوظ
- سیکورٹی
- کی تلاش
- انقطاع
- حساس
- سنگین
- سیکنڈ اور
- ہونا چاہئے
- دکھائیں
- دکھایا گیا
- نمایاں طور پر
- چھ
- So
- ٹھوس
- کچھ
- خصوصی
- مخصوص
- کھڑے ہیں
- اسٹریٹجسٹ
- حکمت عملی
- اس طرح
- سطح
- کے نظام
- لیتا ہے
- ٹاسک
- ٹاسک فورس
- ٹیکنالوجی
- کہ
- ۔
- ان
- ان
- یہ
- بات
- چیزیں
- تھرڈ
- خطرہ
- دھمکی دینے والے اداکار
- تین
- کے ذریعے
- کرنے کے لئے
- اوزار
- سب سے اوپر
- چھو
- روایتی
- ٹرننگ
- ٹھیٹھ
- عام طور پر
- کے تحت
- سمجھ
- UPS
- اضافہ
- عام طور پر
- والو
- Ve
- حجم
- طریقوں
- اچھا ہے
- کیا
- جس
- وائلڈ
- گے
- ساتھ
- کے اندر
- وون
- الفاظ
- دنیا
- سال
- تم
- زیفیرنیٹ
