S3 Ep114: سائبر دھمکیوں کی روک تھام – اس سے پہلے کہ وہ آپ کو روکیں انہیں روکیں! [آڈیو + متن]

کسی بھی مقام پر جانے کے لیے نیچے دی گئی ساؤنڈ ویوز پر کلک کریں اور ڈریگ کریں۔ آپ بھی براہ راست سنیں ساؤنڈ کلاؤڈ پر۔

[مورس کوڈ]

[روبوٹ کی آواز: سوفوس سیکیورٹی ایس او ایس]

---

پال ڈکلن۔  سب کوسلام.

Sophos Security SOS ہفتہ میں خوش آمدید۔

آج کا موضوع ہے: سائبر خطرات کی روک تھام - اس سے پہلے کہ وہ آپ کو روکیں انہیں روکیں!

اور آج ہمارے مہمان کوئی اور نہیں بلکہ SophosLabs کے ڈائریکٹر ریسرچ مسٹر فریزر ہاورڈ ہیں۔

اب، آپ میں سے وہ لوگ جنہوں نے SOS ہفتہ پہلے سنا ہے وہ جان لیں گے کہ میں فریزر کو "ہر چیز میں ماہر" کے طور پر بیان کرنا پسند کرتا ہوں، کیونکہ اس کا علم نہ صرف وسیع ہے، بلکہ یہ ناقابل یقین حد تک گہرا بھی ہے۔

وہ اسپریڈشیٹ کے ہر سیل پر ٹک کرتا ہے، آپ کہہ سکتے ہیں۔

تو، فریزر، SOS ہفتہ میں دوبارہ خوش آمدید۔

میں کسی ایسی چیز پر توجہ مرکوز کرکے شروع کرنا چاہتا تھا جو LOLBIN کے نام سے جاتا ہے، جس کے بارے میں میرے خیال میں "Live-off-the-land binary" کے لیے مختصر ہے، جو کہ پہلے سے موجود سافٹ ویئر کے لیے لفظ ہے جسے باورچی استعمال کرنا پسند کرتے ہیں۔

---

فریزر ہاورڈ۔  بالکل وہی۔

---

بطخ.  اور اس وقت سب سے بڑا مسئلہ یہ لگتا ہے کہ LOLBIN، یا سب سے زیادہ ممکنہ طور پر پہلے سے انسٹال کردہ پروگرام جس پر بدمعاش زیادہ سے زیادہ فقرے کی ضرورت کے لیے کھانا کھا لیں گے، پاور شیل کے علاوہ کچھ نہیں ہے، جو ونڈوز میں بنایا گیا ہے۔ .

جیسے ہی آپ اسے انسٹال کرتے ہیں یہ ونڈوز کے ہر ورژن پر دستیاب ہوتا ہے۔

اور یہ ان دنوں خود ونڈوز کے لیے مینجمنٹ کا ذریعہ ہے۔

تو تم اس کے بغیر کیسے رہو گے؟

---

فریزر۔  بالکل - جیسا کہ آپ نے بیان کیا، حملہ آوروں کے نقطہ نظر سے، LOLBINs شاندار ہیں۔

وہ یا تو لڑائی کے لیے اپنی چاقو لے کر آتے ہیں، اور ان کا چاقو سسٹم میں موجود ہر چیز سے بہت مختلف نظر آتا ہے…

…یا وہ ایک چاقو استعمال کرتے ہیں جو سسٹم میں پہلی جگہ موجود ہوتا ہے۔

اور یہ واضح وجوہات کی بنا پر حملہ آور کے لیے فائدہ مند ہے۔

کوئی بھی سیکیورٹی سافٹ ویئر کچھ بالکل نیا، چمکدار، نامعلوم ایپلیکیشن کو اچانک چلاتے اور حملے کے حصے میں استعمال ہوتے نہیں دیکھے گا۔

لیکن پاور شیل جیسے ٹولز پہلے سے ہی موجود ہیں – یہی ہے جب گیمز کام کرنے کی کوشش کے لحاظ سے شروع ہوتے ہیں، "کیا یہ کچھ اچھا ہے، یا کچھ برا ہے؟"

کاش اس کا ایک سطری جواب ہوتا کہ ہم کس طرح نقصان دہ PowerShell بمقابلہ بے نائن کا پتہ لگاتے ہیں، لیکن حقیقت میں یہ کافی پیچیدہ صورتحال ہے۔

پاور شیل عمل خود کیا کر رہا ہے؟

سپیکٹرم کے ایک سرے پر، آپ ٹیکنالوجی کا استعمال کر سکتے ہیں، مثال کے طور پر، ایپلیکیشن کنٹرول۔

اور بطور منتظم، آپ یہ انتخاب کر سکتے ہیں: "PowerShell، آپ کو میرے ماحول میں چلنے کی اجازت نہیں ہونی چاہیے۔"

یہ ایک طرح کا علاج ہے، اگر آپ چاہیں، اور یہ پاور شیل کے ساتھ بدسلوکی کو روک دے گا، لیکن یہ بہت سی جائز سرگرمیوں کو بھی توڑ دے گا، بشمول آج کی زیادہ تر ونڈوز مشینوں کا بنیادی انتظام۔

---

بطخ.  اچھا تو درخواست کنٹرول کیا سوفوس کا نام اس سافٹ ویئر کا پتہ لگانے اور اختیاری طور پر بلاک کرنے کی صلاحیت کا ہے جو میلویئر نہیں ہے، لیکن ایک باخبر ایڈمنسٹریٹر اپنے ماحول میں سپورٹ نہیں کرنا چاہتا؟

---

فریزر۔  بالکل ٹھیک.

اور یہ صرف منتظمین اور ان کے انتخاب کے بارے میں نہیں ہے کہ "میرے صارفین کو کون سی ایپلیکیشن استعمال کرنے کی اجازت ہونی چاہیے؟"

یہ بنیادی باتوں کے بارے میں ہے۔

اگر آپ سیکورٹی کے بارے میں سوچتے ہیں، تو ان چیزوں میں سے ایک کیا ہے جو ہم لوگوں کو پچھلے 5 یا 10 سالوں سے بتا رہے ہیں؟

"پیچ!"

اگر آپ ایڈمنسٹریٹر ہیں اور آپ کسی کو بھی اپنے براؤزر کے لیے جو بھی ایپلیکیشن چاہیں استعمال کرنے کی اجازت دے رہے ہیں، یہ شاید 5 سے 10 مختلف براؤزرز ہیں جن پر آپ کو پیچ کرنا ہوگا۔

دراصل، منتظمین کے لیے، ایپلیکیشن کنٹرول جیسی ٹیکنالوجیز انہیں اس خطرے کی سطح کو تنگ کرنے دیتی ہیں۔

---

بطخ.  لیکن پاور شیل… کچھ لوگ کہتے ہیں، "اوہ، بس پاور شیل کو بلاک کر دیں۔ سب کو بلاک کریں۔ .PS1 فائلوں. تکمیل ہوئی."

---

فریزر۔  یہ اتنا آسان نہیں ہے جتنا کہ!

---

بطخ.  کیا ایک جدید ونڈوز نیٹ ورک میں پاور شیل کے بغیر سیسڈمین انتظام کر سکتا ہے؟

---

فریزر۔  نہیں

[ہنسی]

میرا مطلب ہے، پالیسی کے ایسے اختیارات ہیں جنہیں وہ صرف چند دستخط شدہ اسکرپٹس کو چلانے کی اجازت دینے کے لیے منتخب کر سکتے ہیں۔

لیکن یہاں بہت ساری تجاویز اور تکنیکیں ہیں جو حملہ آور جانتے ہیں کہ ان میکانزم کو بھی نظرانداز کرنے کی کوشش کرتے ہیں۔

کچھ پرانے اسکرپٹنگ انجن… بہترین مثال ونڈوز اسکرپٹنگ ہوسٹ ہے – زیادہ تر لوگ نہیں جانتے کہ یہ وہاں ہے۔

یہ ایڈمن کے لیے ون اسٹاپ شاپ نہیں ہے جو پاور شیل ہے، لیکن WSCRIPT اور CSCRIPT...

…وہ بائنریز، ایک بار پھر، ہر ایک ونڈوز باکس پر ہیں۔

وہ سیدھے طور پر بلاک کرنے کے لئے بہت زیادہ قابل عمل ہیں، اور مالویئر کے ذریعہ ان کے ساتھ بدسلوکی کی جاتی ہے۔

---

بطخ.  تو ونڈوز اسکرپٹنگ ہوسٹ میں جاوا اسکرپٹ (آپ کے براؤزر میں نہیں چل رہا، آپ کے براؤزر سے باہر) اور اچھی پرانی ویژول بیسک اسکرپٹ جیسی چیزیں شامل ہیں؟

---

فریزر۔  ان کا ایک پورا میزبان ہے۔

---

بطخ.  اب، بصری بنیادی اسکرپٹ کو مائیکروسافٹ نے بند کر دیا ہے، ہے نا؟

لیکن یہ اب بھی تعاون یافتہ ہے اور اب بھی بہت وسیع پیمانے پر استعمال ہوتا ہے؟

---

فریزر۔  یہ برے لوگوں میں بہت مقبول ہے، ہاں۔

اور یہ صرف اسکرپٹنگ انجن نہیں ہے۔

مجھے بالکل یاد نہیں ہے کہ LOLBIN کی کچھ اہم فہرستوں میں کتنی بائنریز موجود ہیں۔

سوئچز کے صحیح امتزاج کے ساتھ، اچانک، ایک بائنری جسے آپ منظم کرنے کے لیے استعمال کر سکتے ہیں، مثال کے طور پر، مقامی طور پر سرٹیفکیٹس…

…دراصل کسی بھی مواد کو ریموٹ سرور سے ڈاؤن لوڈ کرنے اور اسے مقامی طور پر ڈسک میں محفوظ کرنے کے لیے استعمال کیا جا سکتا ہے۔

---

بطخ.  یہ ہے کہ CERTUTIL.EXE?

---

فریزر۔  جی ہاں، CERTUTIL، مثال کے طور پر.

---

بطخ.  کیونکہ اس کا استعمال فائل ہیش کیلکولیٹ جیسی چیزوں کے لیے بھی کیا جا سکتا ہے۔

---

فریزر۔  اسے ڈاؤن لوڈ کرنے کے لیے استعمال کیا جا سکتا ہے، مثال کے طور پر، base64-encoded قابل عمل مواد، اسے مقامی طور پر محفوظ کریں، اور اسے ڈی کوڈ کریں۔

اور پھر اس مواد کو چلایا جا سکتا ہے – مثال کے طور پر آپ کے ویب گیٹ ویز کے ذریعے ممکنہ طور پر حاصل کرنے کے طریقے کے طور پر۔

---

بطخ.  اور یہ PowerShell کے ساتھ اور بھی خراب ہو جاتا ہے، ہے نا؟

کیونکہ آپ بیس 64 انکوڈ شدہ سٹرنگ لے سکتے ہیں اور اسے پاور شیل میں ان پٹ اسکرپٹ کے طور پر فیڈ کر سکتے ہیں، اور یہ آپ کے لیے خاموشی سے اسے ڈی کوڈ کر دے گا۔

اور آپ کمانڈ لائن آپشن بھی ڈال سکتے ہیں، کیا آپ یہ نہیں کہہ سکتے، "ارے، اگر صارف نے کہا کہ 'کمانڈ لائن سے اسکرپٹ کو چلانے کی اجازت نہ دیں'، تو اسے نظر انداز کر دیں - میں اسے اوور رائڈ کرنا چاہتا ہوں"؟

---

فریزر۔  تم نے ذکر کیا .PS1 فائلوں.

یہ ایک فزیکل اسکرپٹ فائل ہے جو ڈسک پر موجود ہو سکتی ہے۔

درحقیقت، پاور شیل فائلوں کے بغیر کام کرنے میں کافی ماہر ہے، اس لیے صرف کمانڈ لائن ہی پاور شیل کمانڈ پر مشتمل ہو سکتی ہے۔

---

بطخ.  اب، میری سمجھ میں سب سے زیادہ نام نہاد "فائل لیس میلویئر" میں فائلیں شامل ہوتی ہیں، شاید اس کے آپریشن میں بہت سی فائلیں…

…لیکن ایک اہم نکتہ ہوگا جس پر آپ کسی چیز کا پتہ لگاسکتے ہیں *صرف میموری میں موجود ہے*۔

لہذا، سیکورٹی سافٹ ویئر جو صرف ڈسک تک رسائی کی نگرانی کرنے کے قابل ہے اس سے محروم ہو جائے گا.

آپ اس قسم کی صورتحال سے کیسے نمٹتے ہیں، جہاں بدمعاشوں کو یہ تمام نیم مشکوک چیزیں مل گئی ہیں، اور پھر انہوں نے اس فائل لیس، صرف میموری کی چال سے واقعی خطرناک چیز کو چھپا لیا ہے؟

آپ اس سے کیسے نمٹتے ہیں؟

---

فریزر۔  اس سے نمٹنے کے طریقوں میں سے ایک، خاص طور پر پاور شیل کے حوالے سے، مائیکروسافٹ ایک انٹرفیس فراہم کرتا ہے جو ہمیں پاور شیل کے رویے میں مرئیت فراہم کرتا ہے۔

لہذا AMSI ایک انٹرفیس ہے جسے وینڈرز، سیکورٹی وینڈرز، میلویئر میں جھانکنے کے لیے استعمال کر سکتے ہیں۔

---

بطخ.  AMSI ہے… اینٹی میلویئر سکیننگ انٹرفیس?

---

فریزر۔  بالکل ٹھیک.

یہ ہمیں کسی بھی وقت PowerShell کے رویے کی ایک ونڈو فراہم کرتا ہے۔

لہذا، جیسا کہ یہ فائلوں کے بغیر کام کر رہا ہے… کوئی بھی روایتی مداخلت پوائنٹس جو ڈسک پر فائلوں کی تلاش میں ہیں، وہ کام میں نہیں آئیں گے۔

لیکن PowerShell کا رویہ خود AMSI انٹرفیس کے اندر، اگر آپ چاہیں، سرگرمی پیدا کرے گا، جو ہمیں مخصوص قسم کی نقصان دہ PowerShell سرگرمی کو پہچاننے اور بلاک کرنے کی صلاحیت فراہم کرتا ہے۔

دوسری بات یہ ہے کہ، اگرچہ "فائل لیس" کو برے لوگوں کے لیے ایک علاج کے طور پر دیکھا جاتا ہے…

…درحقیقت، ان چیزوں میں سے ایک جس کے بعد زیادہ تر حملہ آور کسی وقت ہوتے ہیں وہ ہے جسے ہم کہتے ہیں۔ مسلسل.

ٹھیک ہے، ان کے پاس مشین پر کچھ کوڈ چل رہا ہے… لیکن اگر وہ مشین دوبارہ شروع ہوجائے تو کیا ہوگا؟

اور اس طرح ان کا فائل لیس میلویئر عام طور پر کسی حد تک مستقل مزاجی کو شامل کرنے کی کوشش کرے گا۔

لہذا، زیادہ تر فائل لیس اٹیک جو ہم نے دیکھے ہیں دراصل ان کا تعامل ہوتا ہے، عام طور پر ونڈوز رجسٹری کے ساتھ - وہ رجسٹری کو استقامت حاصل کرنے کے طریقے کے طور پر استعمال کرتے ہیں۔

عام طور پر، وہ رجسٹری میں کچھ قسم کا BLOB [بائنری لارج آبجیکٹ] ڈیٹا ڈالتے ہیں، اور کچھ رجسٹری کیز میں ترمیم کرتے ہیں جیسے کہ جب وہ مشین دوبارہ شروع ہوتی ہے، تو وہ BLOB ڈی کوڈ ہو جاتا ہے اور بدنیتی پر مبنی رویہ دوبارہ جاری رہتا ہے۔

آج کی مصنوعات ٹیکنالوجی کی ایک پوری رینج کے بارے میں ہیں، سادہ سے، بالکل غیر معمولی پیچیدہ تک۔

---

بطخ.  That also helps to explain why people take files that are kind-of the precursors of malware, but not overtly malicious themselves, upload them to an online service like, say, Virus Total…

اور جاؤ، "ارے، کوئی بھی اس کا پتہ نہیں لگاتا ہے۔ تمام حفاظتی مصنوعات بیکار ہیں۔

لیکن اس کا مطلب یہ نہیں ہے کہ فائل زندگی میں آسکتی ہے اور بغیر رکے برا کام کرنا شروع کر سکتی ہے…

---

فریزر۔  یہ بہت اچھی بات ہے۔

میرے خیال میں یہ وہ چیز ہے جس کی سیکیورٹی انڈسٹری نے کوشش کی ہے… لیکن حقیقت یہ ہے کہ ہم اب بھی اس کے بارے میں بات کرتے ہیں – ہم شاید اس نقطہ کو حاصل کرنے میں ناکام رہے ہیں:

تحفظ کیا ہے؟

ہمارا اصل میں کیا مطلب ہے؟

کسی کو خطرے سے بچانے کا عام طور پر کیا مطلب ہے؟

زیادہ تر لوگ اس کے بارے میں اس طرح سوچتے ہیں… ٹھیک ہے، انہیں خطرہ ہے؛ وہ ایک فائل چاہتے ہیں جو "خطرہ" ہو۔ اور وہ دیکھنا چاہتے ہیں کہ آیا اس فائل کا پتہ چلا ہے۔

لیکن وہ خاص حملہ… فرض کریں کہ یہ ایک بوٹ ہے۔

ان فائلوں میں سے 10,000 ہو سکتی ہیں *ہر ایک دن*، کیونکہ برے لوگ اپنا ہینڈل موڑتے ہیں اور بہت سی مختلف نقلیں نکالتے ہیں جو کہ بنیادی طور پر ایک جیسی ہوتی ہیں۔

اور اس طرح حقیقت یہ ہے کہ ان فائلوں میں سے 1، یا 10، یا 100 کا پتہ چل جاتا ہے…

…یہ واقعی آپ کو اس بارے میں زیادہ نہیں بتاتا کہ ایک پروڈکٹ اس خطرے سے کتنی اچھی طرح سے حفاظت کر سکتی ہے۔

---

بطخ.  "بوٹ" کا مطلب ہے۔ سافٹ ویئر روبوٹ?.

بنیادی طور پر، یہ وہ چیز ہے جو آپ کے کمپیوٹر پر باقاعدگی سے بیٹھتی ہے، گھر پر کال کرتی ہے یا کسی بے ترتیب سرور پر پولنگ کرتی ہے؟

---

فریزر۔  بالکل ٹھیک.

---

بطخ.  That server may change from day to day… and the bot will frequently download a list of instructions, such as “Here’s a list of email addresses to spam.”

اگلا، یہ ہو سکتا ہے، "یہ فائل ایکسٹینشنز کی ایک فہرست ہے جسے میں چاہتا ہوں کہ آپ سکریبل کریں"، یا یہ ہو سکتا ہے "کیلاگر کو آن کریں"؟

---

فریزر۔  بالکل ٹھیک.

---

بطخ.  یا "ابھی ایک اسکرین شاٹ لیں، وہ بینکنگ ایپ میں ہیں"۔

یہ بنیادی طور پر ایک فعال بیک ڈور ہے…

---

فریزر۔  یہ * بیک ڈور * ہے، ہاں۔

اور ہم نے 20 سال پہلے پچھلے دروازوں کے بارے میں بات کی تھی… مجھے یاد ہے کہ 20 سال پہلے گاہک پریزنٹیشنز کرتے ہوئے، پچھلے دروازوں کے بارے میں بات کر رہے تھے۔

---

بطخ.  "بیک آرفیس"، اگر آپ کو یاد ہے…

---

فریزر۔  ہاں ہاں!

ہم گاہکوں کو قائل کرنے کی کوشش کر رہے تھے کہ، درحقیقت، وہاں کے بہت سے پچھلے دروازے اس دن کے ہائی پروفائل میلویئر سے زیادہ اہم تھے۔

آپ جس چیز سے متاثر نہیں ہونا چاہتے ہیں وہ بیک ڈور ہیں، جو کسی بدمعاش کو کہیں نہ کہیں آپ کی مشین کو کنٹرول کرنے اور خراب چیزیں کرنے کی اجازت دیتے ہیں، جیسے کہ آپ کے فائل سسٹم کو دیکھیں، یا اپنے سسٹم پر ڈیٹا میں ترمیم کریں۔

یہ اس سے کہیں زیادہ خوفناک خطرہ ہے، مثال کے طور پر، ایک خود ساختہ کیڑا جو صرف کمپیوٹر سے کمپیوٹر میں پھیلتا ہے۔

اس سے پریس مل سکتا ہے، اور یہ اپنے اندر اور اندر مسائل پیدا کر سکتا ہے…

…لیکن، درحقیقت، کسی کو آپ کے سسٹم تک رسائی حاصل ہونا یقیناً ایک بہت بڑا خطرہ ہے۔

---

بطخ.  اور واپسی کے لیے واپسی پر سوچتے ہوئے… یہ 1999 کیا تھا؟ 2000؟

یہ مشہور ہے کہ اس نے پورٹ 13337 پر سنا، ہے نا؟

---

فریزر۔  آپ کی یادداشت اچھی ہے [ہنستے ہوئے]… ہاں، "اشرافیہ"!

---

بطخ.  اور جیسے ہی لوگوں نے گھر پر DSL کنکشن لینا شروع کر دیا، اور گھر کا راؤٹر ہونا شروع ہوا، Back Orifice بیکار تھا کیونکہ ان باؤنڈ کنکشن کام نہیں کرتے تھے۔

اور اس لیے لوگوں نے سوچا، "اوہ، ٹھیک ہے، بیک ڈور ان باؤنڈ نیٹ ورک کنکشنز پر انحصار کرتے ہیں - میں اپنے ISP کے ذریعے بطور ڈیفالٹ محفوظ ہوں، اس لیے مجھے اس کے بارے میں فکر کرنے کی ضرورت نہیں ہے۔"

لیکن آج کے زومبی، آج کے بوٹس – وہ کسی قسم کے خفیہ یا خفیہ چینل کا استعمال کرتے ہوئے گھر کال کرتے ہیں، اور وہ ہدایات کو *ڈاؤن لوڈ* کرتے ہیں…

---

فریزر۔  اور چونکہ یہ HTTPS پر ہے، وہ بنیادی طور پر اس نیٹ ورک کی سرگرمی کو لاکھوں اور ایک دوسرے ویب پیکٹ کے درمیان چھپاتے ہیں جو زیادہ تر گھریلو رابطوں پر ہر منٹ باہر جاتے ہیں۔

---

بطخ.  تو یہ ایک اور وجہ ہے کہ آپ دفاع میں گہرائی یا تہہ دار تحفظ چاہتے ہیں؟

---

فریزر۔  جی ہاں.

---

بطخ.  ظاہر ہے، نئی فائلیں – آپ ان کی جانچ کرنا چاہتے ہیں۔ آپ میلویئر کو کھونا نہیں چاہتے ہیں جس کا آپ کو پتہ چل سکتا تھا۔

لیکن فائل اس وقت بے قصور ہو سکتی ہے، اور لوڈ ہونے کے بعد یہ بدمعاش نکل سکتی ہے۔ یادداشت میں خود کو جوڑ دینے کے بعد؛ اسے کال کرنے اور چیزیں ڈاؤن لوڈ کرنے کے بعد…

---

فریزر۔  اور اس طرح، اصل بات پر واپس جانے کے لیے: آج ہم کس طرح حفاظتی مصنوعات کی پیمائش کرتے ہیں، اس سے کہیں زیادہ پیچیدہ ہے۔

---

بطخ.  کیونکہ کچھ لوگوں کو اب بھی یہ خیال ہے کہ، ٹھیک ہے، اگر آپ واقعی کسی پروڈکٹ کی جانچ کرنا چاہتے ہیں، تو آپ کو میلویئر سے بھری ایک بڑی بالٹی ملتی ہے، یہ سب فائلوں میں ہے…

---

فریزر۔  جسے عام طور پر "ایک چڑیا گھر" کہا جاتا ہے۔

---

بطخ.  …اور آپ نے اسے سرور پر کہیں تنہائی میں ڈال دیا۔

پھر آپ اسے ایک جامد اسکینر سے اسکین کرتے ہیں، اور آپ کو پتہ چلتا ہے کہ یہ کتنے کا پتہ لگاتا ہے، اور یہ آپ کو بتاتا ہے کہ پروڈکٹ کیسا برتاؤ کرتا ہے۔

"وائرس ٹوٹل" نقطہ نظر۔

لیکن یہ کہ: [A] اچھی پروڈکٹس کو کم سمجھے گا، اور [B] بری پروڈکٹس کو زیادہ سمجھ سکتا ہے۔

---

فریزر۔  یا پروڈکٹس جو صرف فائلوں کا پتہ لگانے میں مہارت رکھتے ہیں، بنیادی طور پر چڑیا گھر پر مبنی ٹیسٹوں میں اچھے لگنے کے مقصد سے۔

یہ حقیقی دنیا میں کسی ایسی مصنوع کا ترجمہ نہیں کرتا ہے جو درحقیقت اچھی سطح پر تحفظ فراہم کرے گا!

حقیقت میں، ہم فائلوں کو بلاک کرتے ہیں… یقیناً ہم کرتے ہیں – فائل اب بھی ایک بہت اہم کرنسی ہے، اگر آپ چاہیں، تحفظ کے لحاظ سے۔

لیکن بہت سی دوسری چیزیں ہیں، مثال کے طور پر AMSI انٹرفیس جو ہمیں نقصان دہ PowerShell سرگرمی، اور خود پروگرام کے رویے کو روکنے دیتا ہے۔

لہذا، ہماری مصنوعات کے اندر، رویے کا انجن عمل، نیٹ ورک، ٹریفک، رجسٹری کی سرگرمی کے رویے کو دیکھتا ہے…

…اور وہ مشترکہ تصویر ہمیں ممکنہ طور پر بدنیتی پر مبنی رویے کی نشاندہی کرنے دیتی ہے جس کے مقصد سے ضروری نہیں کہ کسی مخصوص خاندان، یا یہاں تک کہ کسی خاص قسم کے خطرے کو روکا جائے، بلکہ صرف *بدنتی پر مبنی سرگرمی*۔

اگر رویے کی کچھ خاص قسمیں ہیں جن کا ہم تعین کر سکتے ہیں کہ وہ سراسر بدنیتی پر مبنی ہیں، تو ہم اکثر اسے روکنے کی کوشش کریں گے۔

ہم آج ایک خاص قسم کے بدنیتی پر مبنی رویے کو روک سکتے ہیں، اور پھر ایک خطرے والے خاندان کو جو ابھی تک نہیں لکھا گیا ہے - تین ماہ کے عرصے میں، یہ وہی رویہ استعمال کر سکتا ہے، اور ہم اسے فعال طور پر پکڑ لیں گے۔

تو ہم جو کچھ کرتے ہیں اس کا یہ ہولی گریل ہے: فعال تحفظ۔

ہمارے لیے آج کچھ لکھنے کی صلاحیت جو مستقبل میں بدنیتی پر مبنی رویے کو کامیابی سے روکے گی۔

---

بطخ.  مجھے لگتا ہے کہ اس کی ایک اچھی مثال، جس کا ہم نے پہلے ذکر کیا ہے، اس پر واپس جانا ہے۔ CERTUTIL.EXE - وہ سرٹیفکیٹ کی توثیق کی افادیت۔

ہو سکتا ہے کہ آپ اسے اپنی اسکرپٹس میں، آپ کے اپنے سسٹم ایڈمنسٹریشن ٹولز میں استعمال کر رہے ہوں، پھر بھی کچھ ایسے رویے ہیں جن کی آپ توقع نہیں کریں گے، حالانکہ وہ پروگرام ان چیزوں کو کرنے کے لیے بنایا جا سکتا ہے۔

وہ باہر کھڑے ہوں گے۔

---

فریزر۔  وہ بالکل باہر کھڑے ہوں گے۔

---

بطخ.  لہذا آپ یہ نہیں کہہ سکتے، "پروگرام خراب ہے"، لیکن اس کے رویے میں کسی وقت آپ جا سکتے ہیں، "آہ، اب یہ بہت دور چلا گیا ہے!"

---

فریزر۔  اور یہ آج کے منظر نامے کے ایک اور دلچسپ پہلو کو چھوتا ہے۔

تاریخی طور پر، EVIL.EXE رنز ہم فائل کا پتہ لگا سکتے ہیں۔ ہم کچھ بدنیتی پر مبنی رویے کا پتہ لگا سکتے ہیں؛ ہم اسے آپ کے سسٹم سے صاف کرتے ہیں۔

آپ نے LOLBINs کے بارے میں بات کی… ظاہر ہے، جب ہم پاور شیل کو کچھ نقصان دہ کام کرنے کا پتہ لگاتے ہیں، تو ہم اسے نہیں ہٹاتے POWERSHELL.EXE اس نظام سے.

---

بطخ.  "اوہ، میں نے ونڈوز کو کچھ خراب کرتے ہوئے پایا - پورے سسٹم کو صاف کر دو!"

[ہنسی]

---

فریزر۔  ہم بنیادی طور پر اس عمل کو روکتے ہیں۔ ہم اس عمل کو وہ کرنے سے روکتے ہیں جو وہ کرنے والا تھا۔ اور ہم اسے ختم کرتے ہیں.

لیکن پاور شیل ابھی بھی جسمانی نظام پر موجود ہے۔

دراصل، آج کے حملہ آور بھی کل کے حملہ آوروں سے بہت مختلف ہیں۔

آج کے حملہ آور ایک مقصد کے بارے میں ہیں؛ ایک مقصد ہے.

اگر آپ چاہیں تو پرانا ماڈل زیادہ سپرے اور دعا تھا۔

اگر کوئی حملے کو روکتا ہے… بد قسمتی، وہ ہار مان لیتے ہیں – وہاں کوئی انسانی موجودگی نہیں ہے۔

اگر حملہ کام کرتا ہے، ڈیٹا چوری ہو جاتا ہے، ایک مشین سمجھوتہ ہو جاتی ہے، چاہے کچھ بھی ہو، لیکن اگر حملہ بلاک ہو جائے تو سسٹم پر کچھ نہیں ہوتا۔

آج کے حملوں میں، اصل میں ایک انسانی عنصر بہت زیادہ ہے.

لہذا، عام طور پر، آج ہم بہت سارے حملوں میں دیکھ رہے ہیں - یہ رینسم ویئر کے بہت سے حملوں سے ظاہر ہوتا ہے، جہاں بدمعاش خاص طور پر اپنی رینسم ویئر کی تخلیقات سے مخصوص تنظیموں کو نشانہ بنانے کی کوشش کر رہے ہیں…

…جب کوئی چیز مسدود ہوجاتی ہے، وہ دوبارہ کوشش کرتے ہیں، اور وہ دوبارہ کوشش کرتے رہتے ہیں۔

جیسا کہ ہم چیزوں کو مسدود کر رہے ہیں، اور مختلف قسم کے بدنیتی پر مبنی رویے کو روک رہے ہیں، پردے کے پیچھے کچھ ہے؛ پردے کے پیچھے کچھ *شخص*؛ پردے کے پیچھے کچھ خطرہ گروپ، دوبارہ کوشش کر رہا ہے۔

---

بطخ.  تو 10 یا 15 سال پہلے، یہ تھا، "اوہ، ہمیں یہ بالکل نیا، پہلے سے نامعلوم ورڈ میلویئر ملا۔ ہم نے فائل کو حذف کر دیا ہے اور اسے صاف کر دیا ہے، اور ہم نے اسے لاگ میں لکھا ہے۔

اور ہر کوئی میٹنگ میں جاتا ہے، اور اسے ٹک ٹک کرتا ہے، اور ایک دوسرے کی پیٹھ پر تھپکی دیتا ہے، "بہت اچھا! تکمیل ہوئی! اگلے مہینے کے لیے تیار۔"

---

فریزر۔  اب، یہ بہت مختلف ہے.

---

بطخ.  آج، *وہ حملہ نہیں تھا*۔

---

فریزر۔  نہیں!

---

بطخ.  یہ صرف ایک پیش کش تھا، ایک "مجھے حیرت ہے کہ وہ کس برانڈ کے سموک ڈیٹیکٹر استعمال کرتے ہیں؟" ٹیسٹ کی قسم.

---

فریزر۔  بالکل ٹھیک.

---

بطخ.  اور وہ اس میلویئر کو استعمال کرنے کی منصوبہ بندی نہیں کر رہے ہیں۔

وہ صرف یہ اندازہ لگانے کی کوشش کر رہے ہیں کہ آپ کو کیا تحفظ حاصل ہے؟

کیا آن ہے؛ کون سی ڈائریکٹریز شامل ہیں؛ کون سی ڈائریکٹریز آپ کی اسکیننگ سے خارج ہیں؛ آپ کے پاس کون سی محیطی ترتیبات ہیں؟

---

فریزر۔  اور آج ہم جس کے بارے میں بات کرتے ہیں۔ فعال مخالفین.

فعال مخالف… انہیں بہت ساری پریس ملتی ہے۔

یہ پورے MITER ATT&CK فریم ورک کا تصور ہے - یہ بنیادی طور پر ایک بائبل ہے، ایک لغت ہے، اگر آپ چاہیں، حکمت عملی کے امتزاج کا۔

حکمت عملی عمودی ہیں؛ افقی تکنیک ہیں.

I think there are 14 tactics but I don’t know how many techniques… hundreds?

---

بطخ.  یہ تھوڑا سا چکرا سکتا ہے، وہ MITER گرڈ!

---

فریزر۔  یہ بنیادی طور پر چیزوں کی مختلف اقسام، مختلف قسم کی تکنیکوں کی ایک لغت ہے، جو بنیادی طور پر اچھے یا برے کے لیے کسی سسٹم پر استعمال کی جا سکتی ہے۔

لیکن یہ بنیادی طور پر حملہ آوروں اور فعال مخالفین سے منسلک ہے۔

اگر آپ چاہیں تو، یہ ایک درجہ بندی ہے کہ جب ایک فعال مخالف سسٹم پر ہوتا ہے تو وہ کیا کر سکتا ہے۔

---

بطخ.  ٹھیک ہے، کیونکہ پرانے دنوں میں (آپ اور میں یہ یاد رکھیں گے، کیونکہ ہم دونوں نے مالویئر کی جامع وضاحتیں لکھنے میں وقت صرف کیا، اس قسم کی چیزیں جو 15 یا 20 سال پہلے ضروری تھیں - آپ ان کے بارے میں بات کر رہے تھے EVIL.EXE) ...

…کیونکہ اس وقت زیادہ تر خطرات وائرس تھے، دوسرے لفظوں میں وہ خود کو پھیلاتے تھے اور وہ خود پر مشتمل تھے۔

ایک بار جب ہمارے پاس تھا…

---

فریزر۔  …آپ دستاویز کرسکتے ہیں، A-to-Z، بالکل وہی جو اس نے سسٹم پر کیا۔

---

بطخ.  تو ان دنوں میں بہت سارے مالویئر، اگر آپ دیکھیں کہ انہوں نے اپنے آپ کو کیسے چھپا رکھا تھا۔ وہ کیسے یاد میں چلے گئے؛ پولیمورفزم وہ تمام چیزیں - ان میں سے بہت ساری چیزیں آج اس چیز کا تجزیہ کرنے کے لیے بہت زیادہ پیچیدہ تھیں۔

لیکن ایک بار جب آپ جان گئے کہ یہ کیسے کام کرتا ہے، آپ جانتے تھے کہ ہر نسل ممکنہ طور پر کیسی نظر آئے گی، اور آپ مکمل تفصیل لکھ سکتے ہیں۔

---

فریزر۔  جی ہاں.

---

بطخ.  اب، آپ ایسا نہیں کر سکتے۔

"ٹھیک ہے، یہ میلویئر کچھ دوسرے میلویئر کو ڈاؤن لوڈ کرتا ہے۔"

کیا میلویئر؟

"مجھ نہیں پتہ."

---

فریزر۔  For example, consider a simple loader: it runs; it periodically connects out.

The attacker has the ability to fire in some sort of encoded BLOB – for example, let’s suppose it’s a DLL, a dynamic link library, a module… essentially, some executable code.

تو، "وہ دھمکی کیا کرتی ہے؟"

ٹھیک ہے، یہ بالکل اور مکمل طور پر اس بات پر منحصر ہے کہ حملہ آور تار کو کیا بھیجتا ہے۔

---

بطخ.  اور یہ دن بہ دن بدل سکتا ہے۔

یہ سورس آئی پی کے ذریعہ تبدیل ہوسکتا ہے: "کیا آپ جرمنی میں ہیں؟ کیا آپ سویڈن میں ہیں؟ کیا آپ برطانیہ میں ہیں؟"

---

فریزر۔  اوہ، ہاں ہم اسے اکثر دیکھتے ہیں۔

---

بطخ.  یہ یہ بھی کہہ سکتا ہے، "ارے، آپ پہلے سے منسلک ہیں، لہذا ہم آپ کو کھانا کھلائیں گے۔ NOTEPAD یا اگلی بار کوئی معصوم فائل۔

---

فریزر۔  جی ہاں.

حملہ آوروں کے پاس عام طور پر ایسی تکنیکیں ہوں گی جنہیں وہ آزمانے کے لیے استعمال کرتے ہیں جب ہم [یعنی SophosLabs] اپنی تخلیق کو چلانے کی کوشش کرتے ہیں۔

لہذا وہ ہمیں یہ نہیں کھلاتے ہیں کہ حتمی پے لوڈ کیا ہوسکتا ہے۔

وہ نہیں چاہتے کہ ہم پے لوڈ دیکھیں - وہ صرف یہ چاہتے ہیں کہ متاثرین اس پے لوڈ کو دیکھیں۔

کبھی کبھی چیزیں خاموشی سے باہر نکل جاتی ہیں۔ کبھی کبھی وہ صرف چلاتے ہیں CALC، یا NOTEPAD، یا کچھ واضح طور پر احمقانہ؛ کبھی کبھی ہمیں ایک بدتمیز پیغام مل سکتا ہے۔

لیکن عام طور پر وہ کوشش کریں گے اور حتمی پے لوڈ کو واپس رکھیں گے، اور اسے اپنے متاثرین کے لیے محفوظ رکھیں گے۔

---

بطخ.  اور اس کا مطلب یہ بھی ہے کہ…

…میں نے پہلے لفظ "پولیمورفزم" کا استعمال کیا تھا۔ جو کہ اس زمانے میں وائرسوں میں بہت عام تھا، جہاں ہر بار جب وائرس خود کو کسی نئی فائل میں کاپی کرتا ہے تو یہ بنیادی طور پر اپنے کوڈ کو اجازت دیتا ہے، اکثر بہت پیچیدہ طریقے سے، یہاں تک کہ اپنے الگورتھم کو دوبارہ لکھتا ہے۔

لیکن آپ کو وہ انجن مل سکتا ہے جس نے سکرامبلنگ کی۔

---

فریزر۔  جی ہاں.

---

بطخ.  اب، بدمعاش اسے اپنے پاس رکھتے ہیں۔

---

فریزر۔  یہ کہیں اور سرور پر ہے۔

---

بطخ.  اور وہ پس منظر میں ہینڈل موڑ رہے ہیں۔

---

فریزر۔  جی ہاں.

---

بطخ.  اور آپ نے لوڈرز کا بھی تذکرہ کیا - لوگوں نے شاید BuerLoader، BazaarLoader جیسی چیزوں کے بارے میں سنا ہوگا، وہ ایک طرح کے معروف "برانڈ نام" ہیں…

..کچھ معاملات میں، بدمعاشوں کے گروہ ہوتے ہیں، اور وہ بس یہی کرتے ہیں۔

وہ اگلے آنے والے میلویئر کو نہیں لکھتے ہیں۔

وہ صرف یہ کہتے ہیں، "آپ ہم سے کیا لوڈ کرنا چاہیں گے؟ ہمیں یو آر ایل دیں اور ہم اسے آپ کے لیے انجیکشن لگائیں گے۔

---

فریزر۔  15 یا 20 سال پہلے کے اصل بوٹ آپریٹرز - انہوں نے پیسہ کیسے بنایا؟

انہوں نے مشینوں کے نیٹ ورکس سے سمجھوتہ کیا - یہ بنیادی طور پر کیا ہے۔ کی botnet ان کی کمان میں بہت سی مشینیں ہیں - اور پھر وہ بنیادی طور پر اس "نیٹ ورک" کو کرایہ پر لے سکتے ہیں۔

یہ سروس کے تقسیم شدہ انکار کے لیے ہو سکتا ہے - مثال کے طور پر ان تمام متاثرہ مشینوں کو ایک ویب سرور سے ٹکرانے کے لیے حاصل کریں، اور اس ویب سرور کو باہر لے جائیں۔

یہ عام طور پر اسپام کے لیے ہو سکتا ہے، جیسا کہ آپ پہلے ہی بتا چکے ہیں۔

اور اس طرح اس کا فطری ارتقاء، کسی لحاظ سے، آج کا لوڈر ہے۔

اگر کسی کا سسٹم لوڈر سے متاثر ہوا ہے، اور وہ لوڈر گھر بلا رہا ہے، تو آپ کے پاس بنیادی طور پر ایک بوٹ ہے۔

آپ کے پاس اس مشین پر سامان چلانے کی صلاحیت ہے…

…تو، جیسا کہ آپ کہتے ہیں، ان سائبر جرائم پیشہ افراد کو اس بات سے فکر مند ہونے کی ضرورت نہیں ہے کہ حتمی پے لوڈ کیا ہے۔

کیا یہ ransomware ہے؟

کیا یہ ڈیٹا چوری ہے؟

ان کے پاس ایک گاڑی ہے… اور رینسم ویئر تقریباً آخری ادائیگی ہے۔

"ہم نے وہ سب کچھ کیا جو ہم کرنا چاہتے تھے۔" (یا ہم ہر چیز میں ناکام ہو گئے جس کی ہم امید کر رہے تھے۔)

"آئیے صرف ransomware آزماتے ہیں..."

---

بطخ.  "ہم نے اب تمام پاس ورڈ لاگ ان کر لیے ہیں، مزید حاصل کرنے کے لیے کچھ نہیں ہے۔" [ہنسی]

---

فریزر۔  جانے کے لئے کہیں اور نہیں ہے!

---

بطخ.  "ہم نے سارا ڈیٹا چوری کر لیا ہے۔"

---

فریزر۔  بالکل… حتمی کیش آؤٹ رینسم ویئر ہے!

اس وقت، صارف آگاہ ہے، اور منتظمین آگاہ ہیں، ڈیٹا کا نقصان ہے۔

لہذا، آج کا لوڈر کل کے بوٹ کی تقریباً ایک توسیع ہے۔

---

بطخ.  فریزر، میں وقت کا ہوش میں ہوں…

لہذا، یہ دیکھتے ہوئے کہ آپ نے ایک ایسی تصویر پینٹ کی ہے جس میں واضح طور پر کل وقتی کام، کل وقتی سمجھ بوجھ کی ضرورت ہوتی ہے – آپ ایک ماہر محقق ہیں، آپ یہ کام برسوں سے کر رہے ہیں۔

ہر کوئی IT یا نظام انتظامیہ میں اپنی دن کی نوکری نہیں چھوڑ سکتا تاکہ تنظیم میں آپ کی طرح ہونے کے لیے *دوسرے* دن کی نوکری ہو۔

If you had to give three simple tips for what you should do (or what you should not do) today to deal with what is a more complicated, more fragmented way of attacking from the crooks – one that gives us many more planes on which we need to defend…

… وہ تین چیزیں کیا ہوں گی؟

---

فریزر۔  یہ ایک مشکل سوال ہے۔

میرے خیال میں پہلا ہونا ضروری ہے: آپ کی تنظیم میں بیداری اور مرئیت کا ہونا.

یہ آسان لگتا ہے، لیکن ہم اکثر ایسے حملے دیکھتے ہیں جہاں حملے کا نقطہ آغاز ایک غیر محفوظ خانہ تھا۔

تو، آپ کی ایک تنظیم ہے….

…ان کے پاس ایک شاندار آئی ٹی پالیسی ہے؛ ان کے پاس اس نیٹ ورک پر پروڈکٹس تعینات ہیں، مناسب طریقے سے تشکیل شدہ؛ ان کے پاس لوگوں کی ایک ٹیم ہو سکتی ہے جو تمام چھوٹے سینسرز اور ان مصنوعات سے واپس آنے والے تمام ڈیٹا کو دیکھ رہی ہے۔

لیکن ان کے پاس ایک ڈومین کنٹرولر ہے جو غیر محفوظ تھا، اور برے لوگ اس تک پہنچنے میں کامیاب ہو گئے۔

اور پھر، پورے MITER ATT&CK فریم ورک کے اندر، ایک تکنیک ہے جسے کہا جاتا ہے۔ پس منظر کی تحریک...

…ایک بار جب حملے ایک خانے پر ہوں گے، وہ بعد میں وہاں سے پوری تنظیم میں منتقل ہونے کی کوشش جاری رکھیں گے۔

اور اس ابتدائی قسم کے قدم انہیں ایک نقطہ فراہم کرتے ہیں جہاں سے وہ ایسا کر سکتے ہیں۔

لہذا، نمائش پہلا نقطہ ہے.

---

بطخ.  آپ کو یہ بھی جاننا ہوگا کہ آپ کیا نہیں جانتے!

---

فریزر۔  ہاں - آپ کے نیٹ ورک پر موجود تمام آلات میں مرئیت کا ہونا۔

نمبر دو ہے: کنفیگریشن.

یہ تھوڑا سا کانٹے دار ہے، کیونکہ کوئی بھی پالیسیوں اور ترتیب کے بارے میں بات کرنا پسند نہیں کرتا ہے - یہ صاف طور پر کافی مدھم ہے۔

---

بطخ.  یہ ایک قسم کی اہم ہے، اگرچہ!

---

فریزر۔  بالکل اہم۔

---

بطخ.  "اگر آپ اس کی پیمائش نہیں کر سکتے، تو آپ اس کا انتظام نہیں کر سکتے،" جیسا کہ پرانی کہاوت ہے۔

---

فریزر۔  میرے خیال میں اس کے لیے میری ایک سفارش یہ ہوگی: اگر ممکن ہو تو، تجویز کردہ ڈیفالٹس استعمال کریں۔.

جیسے ہی آپ تجویز کردہ ڈیفالٹس سے ہٹ جاتے ہیں، آپ عام طور پر یا تو چیزیں بند کر رہے ہوتے ہیں (خراب!)، یا آپ کچھ چیزوں کو خارج کر رہے ہوتے ہیں۔

---

بطخ.  جی ہاں.

---

فریزر۔  مثال کے طور پر، کسی خاص فولڈر کو چھوڑ کر۔

اب، یہ بالکل قابل قبول ہو سکتا ہے - آپ کے پاس اس میں کچھ حسب ضرورت ایپلیکیشن ہو سکتی ہے، کچھ کسٹم ڈیٹا بیس ایپلیکیشن جہاں آپ کہتے ہیں، "میں اس مخصوص فولڈر میں فائلوں کو اسکین نہیں کرنا چاہتا۔"

اگر آپ مثال کے طور پر ونڈوز فولڈر کو چھوڑ رہے ہیں تو یہ اتنا اچھا نہیں ہے!

---

بطخ.  "خارج کریں۔ C:*.* اور تمام ذیلی ڈائریکٹریز۔" [ہنسی]

---

فریزر۔  یہ ہے.

---

بطخ.  آپ ایک کو شامل کرتے ہیں، آپ دوسرا شامل کرتے ہیں، اور پھر آپ جا کر اس کا جائزہ نہیں لیتے…

…آپ وہاں پہنچ جاتے ہیں جہاں آپ کے پاس بنیادی طور پر تمام دروازے اور تمام کھڑکیاں کھلی ہوتی ہیں۔

---

فریزر۔  یہ تھوڑا سا فائر وال کی طرح ہے۔

آپ ہر چیز کو مسدود کرتے ہیں۔ آپ کچھ سوراخ کرتے ہیں: ٹھیک ہے۔

آپ اگلے تین سالوں تک سوراخ کرتے رہیں، اور اس سے پہلے کہ آپ کو معلوم ہو کہ آپ کہاں ہیں…

…آپ کے پاس آپ کے فائر وال کے طور پر سوئس پنیر ہے۔

[ہنسی]

یہ کام کرنے والا نہیں ہے!

تو ترتیب واقعی اہم ہے، اور، اگر ہر ممکن ہو تو ڈیفالٹس پر قائم رہیں.

---

بطخ.  جی ہاں.

---

فریزر۔  ڈیفالٹس پر قائم رہیں، کیونکہ… وہ تجویز کردہ ڈیفالٹس – وہ ایک وجہ سے تجویز کیے گئے ہیں!

ہماری اپنی مصنوعات کے اندر، مثال کے طور پر، جب آپ ڈیفالٹس سے انحراف کرتے ہیں، تو اکثر آپ کو سرخ بار کی وارننگ ملے گی کہ آپ بنیادی طور پر تحفظ کو غیر فعال کر رہے ہیں۔

---

بطخ.  اگر آپ آف پیسٹ جانے جا رہے ہیں، تو یقینی بنائیں کہ آپ کا مطلب واقعی ہے!

---

فریزر۔  یقینی بنائیں کہ آپ کی نمائش اچھی ہے۔

اور میرا اندازہ ہے کہ تیسرا نکتہ یہ ہے: مطلوبہ مہارت کے سیٹ کو تسلیم کریں۔.

---

بطخ.  مدد کے لیے کال کرنے سے نہیں ڈرتے؟

---

فریزر۔  جی ہاں: مدد کے لیے کال کرنے سے نہ گھبرائیں!

سیکیورٹی پیچیدہ ہے۔

ہم یہ سوچنا پسند کرتے ہیں کہ یہ آسان ہے: "ہم کون سی تین چیزیں کر سکتے ہیں؟ ہم کون سی آسان چیزیں کر سکتے ہیں؟"

دراصل، حقیقت یہ ہے کہ آج کی سیکورٹی بہت پیچیدہ ہے۔

Products might try to package that up in a fairly simple way, and provide good levels of protection and good levels of visibility into different types of behaviour happening in a network.

لیکن اگر آپ کے پاس مہارت کا سیٹ، یا اس معاملے کا وسیلہ نہیں ہے، ان واقعات کے باوجود کام کرنے کے لیے جو آپ کے ڈیش بورڈ میں آ رہے ہیں…

…کسی ایسے شخص کو تلاش کریں جو کرتا ہو!

مثال کے طور پر، ایک منظم سروس کا استعمال آپ کی سیکیورٹی میں بہت بڑا فرق لا سکتا ہے، اور یہ صرف اس سر درد کو دور کر سکتا ہے۔

---

بطخ.  یہ شکست کا اعتراف نہیں ہے، ہے نا؟

آپ یہ نہیں کہہ رہے ہیں، "اوہ، میں یہ خود نہیں کر سکتا۔"

---

فریزر۔  ہم 24 x 7 x 365 بات کر رہے ہیں۔

لہذا، کسی کے لیے اندرون خانہ ایسا کرنا ایک بہت بڑا اقدام ہے۔

اور ہم پیچیدہ اعداد و شمار کے بارے میں بھی بات کر رہے ہیں - اور ہم نے فعال مخالفین اور اس طرح کے حملے کے بارے میں بات کی۔

We know the Bad Guys, even when we block stuff, will continue to retry: they’ll change things up.

ایک اچھی ٹیم جو اس ڈیٹا کو دیکھ رہی ہے وہ اس قسم کے رویے کو پہچانے گی، اور وہ نہ صرف یہ جانیں گے کہ کچھ بلاک کیا جا رہا ہے، وہ لوگ یہ بھی سوچیں گے، "ٹھیک ہے، کوئی اس دروازے سے بار بار اندر جانے کی کوشش کر رہا ہے۔"

یہ ان کے لیے کافی مفید اشارے ہے، اور وہ کارروائی کریں گے، اور وہ حملے کو حل کریں گے۔

[روکنا]

وہاں مشورہ کے تین بہت اچھے ٹکڑے!

---

بطخ.  بہترین، فریزر!

آپ کا بہت بہت شکریہ، اور اپنے تجربے اور اپنی مہارت کو ہمارے ساتھ بانٹنے کے لیے آپ کا شکریہ۔

ہر ایک جو سن رہا ہے، آپ کا بہت شکریہ۔

اور اب صرف میرے لیے یہ کہنا باقی ہے: "اگلی بار تک، محفوظ رہو۔"

[مورس کوڈ]