سافٹ ویئر سپلائی چین کی سب سے عام کمزوریاں کیا ہیں؟

تنظیموں اور کاروباروں میں ایپلی کیشنز اور ٹیکنالوجیز کے انضمام کی شرح میں اضافہ ہوتا ہے۔ کم از کم، یہاں تک کہ روایتی کاروباروں کو بھی پیشہ ورانہ ای میل سروس کی ضرورت ہوتی ہے۔ بلاشبہ، ایک ایپلیکیشن کاروباروں کی کئی طریقوں سے مدد کرتی ہے، سادہ کاموں جیسے ای میل بھیجنے سے لے کر مارکیٹنگ آٹومیشن جیسے پیچیدہ عمل تک۔ سائبر کرائمین اس سافٹ ویئر سپلائی چین میں خامیاں تلاش کرتے ہیں اور نقصان پہنچانے کے لیے آگے بڑھتے ہیں۔ لہذا، آپ کو سیکھنا چاہئے سافٹ ویئر سپلائی چین کو محفوظ بنانے کے طریقے آپ کے کاروبار یا تنظیم کے ذریعہ استعمال کیا جاتا ہے۔  ذیل میں، ہم سافٹ ویئر سپلائی چین کے معنی، عام کمزوریوں، اور آپ انہیں کیسے محفوظ کر سکتے ہیں اس پر تبادلہ خیال کریں گے۔

سافٹ ویئر سپلائی چین کیا ہے؟

سافٹ ویئر کی فراہمی کا مطلب لوگوں کے خیال سے کہیں زیادہ آسان ہے۔ ہاں، نام ایک پیچیدہ ٹیکنالوجی کی اصطلاح کی طرح لگتا ہے۔ Wمناسب وضاحت کے ساتھ، آپ اپنے کاروبار کے سافٹ ویئر سپلائی چین اور اسے محفوظ کرنے کے طریقے کے بارے میں جاننے میں دلچسپی لیں گے۔ ایک سافٹ ویئر سپلائی چین بہت سے اجزاء پر مشتمل ہوتا ہے، جیسے پلگ ان، ملکیتی اور اوپن سورس بائنریز، لائبریریاں، کوڈ، اور کنفیگریشن۔

اجزاء میں کوڈ تجزیہ کار، کمپائلرز، اسمبلرز، سیکیورٹی، مانیٹرنگ، ریپوزٹریز، اور لاگنگ آپس ٹولز بھی شامل ہیں۔ یہ عمل، برانڈ، اور سافٹ ویئر بنانے میں شامل لوگوں تک پھیلا ہوا ہے۔ ایپل جیسی کمپیوٹر کمپنیاں کچھ پرزے خود بناتی ہیں، اور وہ کچھ پرزے دوسری کمپنیوں سے حاصل کرتی ہیں۔ مثال کے طور پر، ایپل ایم سیریز کی چپ ایپل نے بنائی ہے، جبکہ سام سنگ اپنے OLED پینل فراہم کرتا ہے۔ کچھ سافٹ ویئر کی طرح، یہ متعدد کوڈز، ڈویلپرز، کنفیگریشنز اور بہت سی دوسری چیزوں کا استعمال کرتے ہوئے بنایا گیا ہے۔ سافٹ ویئر کی تیاری اور تقسیم کے لیے درکار تمام عمل اور اجزاء کو سافٹ ویئر سپلائی چین کہا جاتا ہے۔

سافٹ ویئر سپلائی چین سیکیورٹی کیا ہے؟

اب آپ سافٹ ویئر سپلائی چین کا مطلب جانتے ہیں، سائبر کرائمینلز کے زیر اثر ہونے سے سافٹ ویئر کی حفاظت کو سافٹ ویئر سپلائی چین سیکیورٹی کہا جاتا ہے۔

اگر ہیکرز کسی کاروبار یا تنظیم کے ذریعے استعمال ہونے والے سافٹ ویئر تک رسائی حاصل کرتے ہیں تو اس کے نتیجے میں بہت سی چیزوں کو نقصان پہنچ سکتا ہے۔ لہذا، آپ کے سافٹ ویئر کے اجزاء کو سائبر حملوں سے محفوظ رکھنا ضروری ہے۔ حال ہی میں، زیادہ تر سافٹ ویئر شروع سے نہیں بنائے گئے ہیں۔ یہ آپ کے اصل کوڈ کا دیگر سافٹ ویئر نمونے کے ساتھ ایک مجموعہ ہے۔ چونکہ آپ کے پاس فریق ثالث کوڈ یا کنفیگریشن کا زیادہ کنٹرول نہیں ہے، اس لیے کمزوریاں ہو سکتی ہیں۔ لیکن آپ کو سافٹ ویئر کی ضرورت ہے، کیا آپ نہیں؟ لہذا، سافٹ ویئر سپلائی چین سیکیورٹی آپ کے کاروبار کی ایک بہت بنیادی ذمہ داری ہونی چاہیے۔ ڈیٹا کی خلاف ورزیوں اور سائبر حملوں کی ایک طویل تاریخ ہے، جس میں زیادہ تر سافٹ ویئر سپلائی چین میں ایک کمزور لنک شامل ہے۔

2013 میں 40 ملین کریڈٹ کارڈ نمبر اور ہدف پر 70 ملین سے زائد صارفین کی تفصیلات سے سمجھوتہ کیا گیا۔ ہدف کو سائبر حملے کے تصفیے کے طور پر اس واحد ایونٹ کے لیے تقریباً 18.5 ملین ڈالر ادا کرنے پڑے۔ تحقیقات سے پتہ چلتا ہے کہ ہیکرز نے ایک ریفریجریٹر کنٹریکٹر کے لاگ ان اسناد سے رسائی حاصل کی۔ آپ دیکھ سکتے ہیں کہ سائبر کرائمینلز نے جس کمزور لنک کا استحصال کیا وہ ریفریجریٹر کے ٹھیکیدار کے لاگ ان کی اسناد تھے۔ Venafi کی ایک تحقیق کے مطابق، تقریباً 82% CIOs نے کہا کہ ان کی کمپنی اور تنظیموں میں موجود سافٹ ویئر سپلائی چین کمزور ہے۔

ٹیک مانیٹر نے یہ بھی اطلاع دی ہے کہ 650 میں اوپن سورس سافٹ ویئر پیکجوں پر حملوں میں 2021 فیصد اضافہ ہوا ہے۔. اس طرح کے اعدادوشمار آپ کے سافٹ ویئر سپلائی چین کو سائبر جرائم پیشہ افراد کے استحصال سے محفوظ رکھنے کی اہمیت کو ظاہر کرتے ہیں۔

سافٹ ویئر سپلائی چینز سائبر حملوں کا شکار کیوں ہیں؟

ابتدائی طور پر، آپ نے سیکھا کہ کس طرح ایک سافٹ ویئر سپلائی چین کسٹم کوڈز سے لے کر ڈویلپرز تک کے اجزاء پر مشتمل ہوتا ہے۔ ٹیکنالوجیز کے ان باہم مربوط نظاموں کے اندر، سائبر جرائم پیشہ افراد حفاظتی خامیاں تلاش کرتے ہیں۔ جب وہ اجزاء کے اندر ایک خامی تلاش کرتے ہیں، تو وہ اس کا استحصال کرتے ہیں اور ڈیٹا تک رسائی حاصل کرتے ہیں۔ ایکوا سیکیورٹی، ایک کلاؤڈ مقامی سیکیورٹی کمپنی، نے 2021 میں ایک رپورٹ جاری کی جس میں بتایا گیا کہ 90% کاروبار اور تنظیمیں ناقص کلاؤڈ انفراسٹرکچر کی وجہ سے سائبر حملوں کے خطرے میں ہیں۔

کلاؤڈ انفراسٹرکچر ایک ورچوئل سامان ہے جو سافٹ ویئر آپریشن کے لیے استعمال ہوتا ہے۔ یہ ایک سافٹ ویئر سپلائی چین کا حصہ ہے۔ جب ہیکرز کلاؤڈ انفراسٹرکچر تک رسائی حاصل کرتے ہیں، تو وہ اس میں کیڑے اور مالویئر ڈال سکتے ہیں۔ سافٹ ویئر سپلائی چینز کی کمزوری بھی کوڈ بیس سے آتی ہے۔ کوڈ بیس سورس کوڈ کا مکمل ورژن ہوتا ہے جو عام طور پر سورس کنٹرول ریپوزٹری میں محفوظ ہوتا ہے۔ جیسا کہ Synopsys نے رپورٹ کیا ہے، تقریباً 88% تنظیموں کے کوڈ بیسز کمزور اوپن سورس سافٹ ویئر پر مشتمل ہیں۔

سافٹ ویئر سپلائی چین کی سب سے عام کمزوریاں کیا ہیں؟

پرانی ٹیکنالوجی۔

جب ٹیکنالوجی پرانی ہو جاتی ہے، تو حفاظتی خطرات کی تعداد میں اضافہ واضح ہو جاتا ہے۔ آپ کے سافٹ ویئر سپلائی چین پر فرسودہ ٹکنالوجی کے استعمال کا مطلب سائبر جرائم پیشہ افراد کے لیے ڈیٹا تک رسائی حاصل کرنے اور چوری کرنے کے لیے ایک ونڈو ہو سکتا ہے۔ اپ ڈیٹ شدہ ٹیکنالوجی ورژن کے ساتھ سافٹ ویئر سپلائی چین میں حفاظتی خطرات کم ہیں۔

سافٹ ویئر کوڈز میں خامیاں

ڈیٹا کا استحصال اس وقت ہو گا جب سائبر کرائمین آپ کے سافٹ ویئر سپلائی چین میں پروگرامنگ کی غلطی کو دیکھتے ہیں۔ ایک بڑا عنصر جو ہیکرز اور سائبر کرائم ایجنٹوں کو ان کے حملے میں برتری دیتا ہے جب وہ سافٹ ویئر کوڈ میں کوئی خامی دیکھتے ہیں۔

سافٹ ویئر فراہم کرنے والے کی کمزوریاں

بہت سے کاروبار اپنی تنظیم میں سرگرمیاں انجام دینے کے لیے ایک سافٹ ویئر فراہم کنندہ کا استعمال کرتے ہیں۔ مثال کے طور پر، بہت سے کاروبار پاس ورڈز کو ذخیرہ کرنے کے لیے پاس ورڈ مینجمنٹ سروسز پر انحصار کرتے ہیں۔ سائبر جرائم پیشہ افراد آسانی سے ایپلی کیشن میں میلویئر داخل کر سکتے ہیں اور کاروبار کے ذریعے انسٹالیشن کا انتظار کر سکتے ہیں۔ عام طور پر سائبر حملوں کے دوران استعمال کیا جاتا ہے، اس طرح کی خامیاں عموماً پیرنٹ سافٹ ویئر فراہم کرنے والوں کی غلطی ہوتی ہیں۔

وہیلنگ

وہیلنگ فشنگ کی طرح ہے۔ بڑا فرق یہ ہے کہ وہیلنگ میں ملازمین شامل ہوتے ہیں، جب کہ فشنگ بہت زیادہ سامعین کو نشانہ بناتی ہے۔ وہیل حملوں کے عمل میں، سائبر کرائمین کمپنی میں قابل ذکر شخصیات کے طور پر ظاہر ہونے والے ملازمین کو ای میل بھیجتے ہیں۔ اس طرح کی ای میلز کے ذریعے، ایک غیر مشتبہ ملازم آسانی سے اسناد اور معلومات ظاہر کر سکتا ہے جنہیں نجی رکھا جانا چاہیے۔ وہیل کے حملوں کا نشانہ بننے والے ملازمین عام طور پر کسی کمپنی یا تنظیم کی بڑی بندوقیں ہوتے ہیں، جیسے کہ منیجر یا CIO (چیف انفارمیشن آفیسر)۔

ناقص IaC ٹیمپلیٹس

IaC (بطور بنیادی ڈھانچہ) آپ کے بنیادی ڈھانچے کی تفصیلات پر مشتمل کنفیگریشن فائلوں کی تخلیق کی اجازت دیتا ہے۔ تاہم، جب کسی بھی IaC ٹیمپلیٹس میں کوئی خامی ہوتی ہے، تو آپ کے کاروبار یا تنظیم کے سافٹ ویئر سپلائی چین میں سمجھوتہ کرنے کے زیادہ امکانات ہوتے ہیں۔ ناقص IaC ٹیمپلیٹ کے اثرات کی ایک اچھی مثال OpenSSL کا وہ ورژن تھا جو Heartbleed بگ کا باعث بنا۔ ناقص IaC ٹیمپلیٹ کا ایک بہت برا اثر یہ ہے کہ فراہمی کے عمل کے دوران کسی ڈویلپر کے اس کا پتہ لگانے کے امکانات کم ہیں۔

VCSs اور CI/CD کمزوریاں

VCSs (ورژن کنٹرول سسٹم) اور CI / CD سافٹ ویئر سپلائی چین کے اہم اجزاء ہیں۔ تیسری پارٹی کی لائبریریوں اور IaC ماڈیولز کا ذخیرہ، تالیف، اور تعیناتی VCSs اور CI/CDs پر مبنی ہے۔ لہذا اگر ان میں سے کسی میں کوئی غلط کنفیگریشن یا کمزوری ہے تو، سائبر کرائمین اس موقع کو آسانی سے سافٹ ویئر سپلائی چین کی سیکیورٹی سے سمجھوتہ کرنے کے لیے استعمال کر سکتے ہیں۔

سافٹ ویئر سپلائی چین کو کیسے محفوظ بنایا جائے۔

ایک نیٹ ورک ایئر گیپ بنائیں

ایئر گیپنگ کا مطلب ہے کہ آپ کے کمپیوٹر اور سسٹمز کے نیٹ ورک سے منسلک بیرونی آلات منقطع ہیں۔ بعض اوقات، سائبر کرائمین سوفٹ ویئر سپلائی چین پر حملہ کرنے کے لیے بیرونی کنکشن استعمال کرتے ہیں۔ ایئر گیپنگ سے، اس کھڑکی سے حملے کا امکان ختم ہو جاتا ہے۔ 

اپنے سسٹم کو باقاعدگی سے اسکین اور پیچ کریں۔

سافٹ ویئر سپلائی چین کے سمجھوتے اکثر پرانی ٹیکنالوجیز اور ٹوٹے ہوئے کوڈز پر پروان چڑھتے ہیں۔ باقاعدگی سے اپ ڈیٹس اس بات کو یقینی بنائے گی کہ آپ کے سافٹ ویئر سپلائی چین میں کوئی ٹیکنالوجی پرانی نہیں ہے۔

اپنے کاروبار میں استعمال ہونے والے تمام سافٹ ویئر کے بارے میں مکمل معلومات حاصل کریں۔

سافٹ ویئر کے کس سسٹم کو باقاعدگی سے پیچ، اسکین یا اپ ڈیٹ کرنا ہے اس کا واضح اندازہ حاصل کرنے کے لیے، آپ کو اپنی تنظیم کے ذریعے استعمال کی جانے والی ایپلیکیشنز کے بارے میں مکمل معلومات درکار ہیں۔ اس معلومات کے ساتھ، آپ ان ایپلیکیشنز کو شیڈول کر سکتے ہیں جن کو باقاعدگی سے چیک اور اپ ڈیٹ کی ضرورت ہوتی ہے اور جن کو ماہانہ اپ ڈیٹ کی ضرورت ہوتی ہے۔

ملازمین کو حساس بنائیں

ملازمین کسی تنظیم یا کمپنی میں خلاف ورزیوں کے عناصر اور ہدف بھی ہوتے ہیں۔ جب کوئی ملازم اس بارے میں حساس ہوتا ہے کہ کس طرح ملٹی فیکٹر توثیق اور دیگر حفاظتی طریقوں کو استعمال کیا جائے، تو وہ سائبر کرائمینلز کی زد میں نہیں آئیں گے۔

ختم کرو

ایک سافٹ ویئر سپلائی چین ٹیکنالوجیز کا ایک باہم مربوط نظام پر مشتمل ہے، بشمول کسٹم کوڈز اور سافٹ ویئر کے ڈویلپرز۔ متعدد رپورٹس سے، سافٹ ویئر سپلائی چین کی خلاف ورزیوں کی بڑھتی ہوئی شرح رہی ہے۔ اوپر، ہم نے سافٹ ویئر سپلائی چین سیکیورٹی کی وجوہات اور اس طرح کے سمجھوتوں کو کم کرنے کے لیے آپ جن بہترین طریقوں کا اطلاق کر سکتے ہیں، پر تبادلہ خیال کیا۔