جیسے جیسے تعطیلات قریب آ رہی ہیں، صارفین اور خوردہ فروش صرف وہی نہیں ہیں جو سیزن کی تیاری کر رہے ہیں۔ سائبر کرائمین اپنی دم پر ٹھیک ہیں۔ یہ کوئی راز نہیں ہے کہ صارفین کی بڑی تعطیلات - ایمیزون پرائم ڈے سے لے کر سال کے آخر میں چھٹیوں کے سپرنٹ تک - خطرے والے اداکاروں کے لیے بڑے اہداف رکھتی ہیں۔ اس سال کے بلیک فرائیڈے کے تخمینے آن لائن اخراجات کو ظاہر کرتے ہیں۔ ارب 13 ڈالر.
برے اداکاروں کے لیے یہ ایک منافع بخش موقع ہے۔
اس سال، خوردہ فروش پہلے ہی افراط زر، آنے والی کساد بازاری، اور ڈیٹا پرائیویسی قانون سازی کا سامنا کر رہے ہیں۔ وہ صرف ایک برداشت نہیں کر سکتے ہیں 4.35 ڈالر ڈالر خلاف ورزی
اس سال محدود سیکیورٹی ہو-ہو-ہو؟
خوردہ فروشوں کو اپنی حفاظتی کرنسی کو ذہن میں رکھنا چاہیے۔ اس کا مطلب ہے موثر پتہ لگانے اور ردعمل کو نافذ کرنا۔ کمزوریوں کی تلاش اس سے پہلے خوردہ تبدیلی جم جاتی ہے جو سال کے اس وقت کی نشاندہی کرتی ہے۔ تیسرے فریق کے خطرات کا انتظام؛ اور اس بات کو یقینی بنانا کہ ملازمین کو وہ تربیت ملے جس کی انہیں ضرورت ہے۔
پاگل رش سے پہلے کمزور ترین لنک تلاش کرنا
خوردہ فروشوں کے لیے یہ عام بات ہے کہ وہ جنوری کے دوسرے یا تیسرے ہفتے میں تعطیلات کے رش سے ایک سے دو ماہ قبل سخت تبدیلی کو منجمد کر دیں۔ یہ نظام کی کسی بھی بڑی تبدیلی (جو صارفین کے تجربات کو متاثر کرتی ہے) کو سال کے مصروف ترین اور اہم ترین سیلز دنوں کے دوران لاگو ہونے سے روکتا ہے۔
سخت تبدیلی کے منجمد ہونے والے ہفتوں میں، ڈویلپرز اکثر کوڈ یا انفراسٹرکچر کی ایک آخری تبدیلی کو دبانے کی کوشش کر رہے ہوتے ہیں۔ ڈیڈ لائن سے پہلے اس رش میں بعض اوقات غلطیاں بھی شامل ہو سکتی ہیں، جس سے بغیر پیچ شدہ اور بغیر ٹیسٹ کیے گئے سسٹمز کو حملوں کا خطرہ ہو سکتا ہے۔ سائبر جرائم پیشہ افراد ان سخت تبدیلیوں کے منجمد موسموں سے بہت زیادہ واقف ہیں، اور اکثر اس ونڈو کے دوران ان کے حملوں کا وقت ہوتا ہے۔
باقاعدہ ایپ ٹیسٹنگ پروگراموں کے حصے کے طور پر جامد اور متحرک ایپلیکیشن سیکیورٹی ٹیسٹ (SAST اور DAST) چلانا سالانہ کوڈ کے منجمد ہونے سے پہلے کمزوریوں کی نشاندہی کرنے کے بہترین طریقے ہیں۔ یہ دونوں ٹیسٹ مختلف اطراف سے درخواستوں کی جانچ کرتے ہیں۔ SAST سافٹ ویئر کی خامیوں پر توجہ مرکوز کرتا ہے جیسے کہ SQL انجیکشن، جبکہ DAST ایسی کمزوریوں کو تلاش کرتا ہے جن کا برے اداکار فائدہ اٹھا سکتے ہیں۔
خوردہ فروشوں کو اہم اور زیادہ ٹریفک ایپلی کیشنز جیسے کہ ادائیگی کے گیٹ ویز، ان پٹ فیلڈز، اور یہاں تک کہ بنیادی ویب کوڈز پر جانچ پر توجہ دینی چاہیے۔
تھرڈ پارٹی وینڈرز پر نظر رکھنا
اس سال کے شروع میں، گاڑیاں بنانے والی کمپنی ٹویوٹا نے اپنی پیداوار روک دی۔ ایک پلاسٹک اور الیکٹرانکس سپلائر کو سائبر حملے کے بعد نشانہ بنایا گیا۔ معطل پیداوار کی وجہ سے کمپنی کو تقریباً 13,000 کاروں کی لاگت آئی۔ اگرچہ پیداوار کا نقصان مہنگا لگ سکتا ہے، لیکن اصل خلاف ورزی کے مقابلے میں ادا کرنے کے لیے یہ ایک چھوٹی قیمت ہے۔
اس سے ظاہر ہوتا ہے کہ تیسری پارٹی کے خطرے کا انتظام (TPRM) بہت سی تنظیموں کے لیے سیکورٹی کے لحاظ سے ایک زیرسرور علاقہ ہے اور خوردہ فروشوں کو اب بھی TPRM کو ترجیح دینا چاہیے اور کیس اسٹڈی سے سیکھنا چاہیے۔
TPRM اور وینڈر رسک مینجمنٹ سوالنامے شراکت دار تنظیموں کی حفاظتی پوزیشن کا اندازہ لگانے میں مدد کرتے ہیں۔ انٹرپرائز سطح کے بہت سے سروے میں 1,000 سوالات ہوتے ہیں، لیکن جن بنیادی شعبوں پر توجہ دی جانی چاہیے وہ ہیں: انفارمیشن سیکیورٹی، ڈیٹا سینٹر سیکیورٹی، ویب ایپلیکیشن سیکیورٹی، انفراسٹرکچر پروٹیکشن، اور سیکیورٹی کنٹرولز اور ٹیکنالوجی۔
اگرچہ خوردہ فروش باقاعدگی سے اپنے کوڈ پر ٹیسٹ چلاتے ہیں، جس میں فریق ثالث کا انضمام شامل ہوتا ہے، یہ ان کے اپنے نیٹ ورکس کی حدود سے آگے نہیں بڑھتا ہے۔ خوردہ فروشوں کو چاہئے ان کے دکانداروں سے کوڈ میں داخل ہونے کی مکمل جانچ کی ضرورت ہوتی ہے۔ دو سالانہ بنیادوں پر اور رات کے وقت ٹیسٹنگ جب ان کے شراکت دار کوڈز کو اپ ڈیٹ یا تبدیل کرتے ہیں۔
ٹیلنٹ کے گھومتے دروازے کے باوجود سیکیورٹی کی تربیت کو برقرار رکھنا
تربیت بلاشبہ خوردہ فروشوں کے لیے سب سے مشکل حصہ ہے۔ دی بڑا استعفیٰ۔ نے کمپنیوں کو اپنی تربیت اور آن بورڈنگ کے عمل کا دوبارہ جائزہ لینے پر مجبور کیا ہے، سائبر سیکیورٹی اس کا ایک چھوٹا سا جزو ہے۔ تاہم، 82% خلاف ورزیوں کا تجزیہ Verizon کے "ڈیٹا کی خلاف ورزی کی تحقیقاتی رپورٹ ایک انسانی عنصر شامل ہے. یہ ملازمین کی تربیت کو پہلے سے کہیں زیادہ اہم بناتا ہے۔
قائم خوردہ فروشوں کے پاس ممکنہ طور پر سائبر سیکیورٹی سے متعلق آگاہی کا پروگرام موجود ہے۔ لیکن وہ اس پر توسیع کر سکتے ہیں (اور ہونا چاہئے)۔ جب سائبرسیکیوریٹی ٹیمیں دخول کی جانچ سے خالی جگہوں کی نشاندہی کرتی ہیں، تو وہ ان نتائج کو ملازمین کے ساتھ شیئر کر سکتی ہیں اور وضاحت کر سکتی ہیں کہ ان کمزوریوں سے کیسے ہیرا پھیری کی جا سکتی ہے۔ شفافیت کی اس سطح سے ملازمین کو انٹرپرائز اور صارفین کے ڈیٹا کی حفاظت میں ان کے کردار کو سمجھنے میں مدد ملتی ہے۔
پاس ورڈ سیکیورٹی پیراماؤنٹ
اور آخری، لیکن یقینی طور پر کم از کم، ملازم پروگرام میں: پاس ورڈز۔ پاس ورڈ کی حفاظت اب بھی ایک بنیادی مسئلہ ہے۔ آج ہونے والی ڈیٹا کی خلاف ورزیوں کی حیرت انگیز مقدار میں ایک اہم عنصر کی طرف لے جانا یا اس کا کردار ادا کرنا۔ چوری شدہ اسناد معلومات تک رسائی حاصل کرنے کے لیے خطرناک اداکاروں کے لیے سب سے آسان طریقوں میں سے ایک ہیں۔ سمجھوتہ شدہ اسناد اس کی وجہ ہیں۔ 19٪ ڈیٹا کی خلاف ورزی (پی ڈی ایف)۔ افسوسناک حصہ ہے۔ صارفین کے 45٪ پاس ورڈ شیئرنگ کو ایک سنگین مسئلہ کے طور پر نہ دیکھیں۔ خوردہ فروشوں کو اچھے پاس ورڈ حفظان صحت کی ترجیح کو تقویت دینا چاہئے، لیکن اتنا ہی اہم ہے کہ انہیں ہر جگہ اور جہاں بھی ممکن ہو ملٹی فیکٹر تصدیق (MFA) کو نافذ کرنا چاہئے۔
بہت سے خوردہ فروشوں نے مہنگائی اور عملے کی پریشانیوں سے پہلے ہی چھٹیوں کی فروخت شروع کر دی ہے۔ لیکن سال کے اختتام پر اس رش میں انہیں اپنی حفاظتی پوزیشن کو نہیں بھولنا چاہیے۔ تنظیموں کو سائبرسیکیوریٹی کو اپنی ایپ ٹیسٹنگ میں SAST اور DAST کو شامل کرکے ڈرائیونگ سیلز کی طرح ترجیح بنانا چاہیے۔ تیسرے فریق کے خطرات کی نگرانی اور انتظام؛ اور MFA کا استعمال کرتے ہوئے تربیت اور مناسب تصدیق کے ذریعے اسناد کو محفوظ کرنا۔
