ज्यादातर कंपनियां साइबर क्राइम के खिलाफ लड़ाई में बाहरी हमलावरों पर फोकस करती हैं। लेकिन एक बढ़ता हुआ खतरा उनके अपने रैंकों के भीतर भी दुबका हुआ है। FireEye Mandiant के आईटी सुरक्षा विशेषज्ञों का अनुमान है कि 33 में सभी सुरक्षा घटनाओं में से 2021 प्रतिशत अंदरूनी खतरों के कारण होंगी। कंपनियां खुद को बचाने के लिए क्या कर सकती हैं?
वैध पहुंच सभी के लिए और सभी के लिए है—कर्मचारियों के पास यह है और हमलावर इसे चाहते हैं। यदि अपराधी पहले से ही अंदर है तो दरवाजे पर सबसे अच्छा सुरक्षा ताला बेकार है। हर अपराधी यह जानता है। स्थिति साइबर हमलों के समान है जो कंपनी के अपने रैंकों के भीतर से आते हैं। वे विशेष रूप से खतरनाक हैं क्योंकि अपराधी वे लोग हैं जिन पर हम वास्तव में भरोसा करते हैं। यह और भी चिंताजनक है कि अंदरूनी खतरों की संख्या में उल्लेखनीय वृद्धि हो रही है। 2019 और 2020 में, Mandiant टीमों ने पहले से कहीं अधिक मामलों को देखा, जिसमें अंदरूनी सूत्र व्यवसाय-महत्वपूर्ण प्रणालियों से समझौता कर रहे थे, गोपनीय डेटा को उजागर कर रहे थे, या अपने नियोक्ताओं को ब्लैकमेल कर रहे थे। ऐसी घटनाएं महत्वपूर्ण वित्तीय क्षति और प्रतिष्ठा को नुकसान पहुंचा सकती हैं।
अंदरूनी हमलों के पीछे कौन है
अधिकांश अंदरूनी खतरों को लापरवाह कर्मचारियों के लिए वापस खोजा जा सकता है जिनके पास कोई बुरा इरादा नहीं है, बल्कि हैकर्स को लापरवाही के माध्यम से एक प्रवेश द्वार प्रदान करते हैं। हालाँकि, अंदरूनी लोगों द्वारा लक्षित हमले भी होते हैं। बाहरी कारकों द्वारा किए गए हमलों की तरह, ये अक्सर लंबी अवधि में होते हैं। हमलावर आमतौर पर किसी का ध्यान नहीं जाने और अपनी गतिविधियों को कवर करने की कोशिश करते हैं। कुछ मामलों में, वे स्वयं से ध्यान हटाने के लिए अन्य कर्मचारियों के खातों का भी उपयोग करते हैं।
अंदरूनी हमलों के पीछे अब केवल असंतुष्ट पूर्व कर्मचारी नहीं है जो अपने पूर्व नियोक्ता से बदला लेना चाहता है या उससे चोरी करना चाहता है। संक्षेप में, नेटवर्क, सिस्टम और डेटा तक पहुंच रखने वाला कोई भी व्यक्ति संभावित जोखिम पैदा करता है। यह आपका अपना कर्मचारी हो सकता है, साथ ही आपका व्यवसाय या आपूर्ति श्रृंखला भागीदार भी हो सकता है। महत्वपूर्ण बौद्धिक संपदा वाले संगठन या कंपनियाँ जो मर्ज हो जाती हैं, अधिग्रहीत हो जाती हैं, या महत्वपूर्ण परिवर्तन और चुनौतियों से गुजरती हैं, दुर्भावनापूर्ण अंदरूनी लोगों के शिकार बनने का जोखिम बढ़ जाता है।
जो अपेक्षा की जा सकती है, उसके विपरीत आज अभिनेता अक्सर अकेले कार्य नहीं करते हैं, लेकिन ऐसे समूहों में जिनमें आईटी प्रशासक और अंदरूनी खतरे वाले टीम के सदस्य शामिल होते हैं जो अलर्ट और जांच को रोकते हैं। इस समूह के आंशिक सदस्य कंपनियों के बाहर हैं, जैसे आपराधिक और यहां तक कि सरकार से संबद्ध संगठन जो डेटा एक्सेस और चोरी को सक्षम करने के लिए तकनीकी गतिविधियों को अंजाम देते हैं।
चार सबसे आम अंदरूनी खतरे
मांडिएंट जांचकर्ताओं ने अभ्यास में विभिन्न प्रकार के अंदरूनी हमलों की जांच की है। चार रुझान उभर रहे हैं:
डिजिटल ब्लैकमेल
दुर्भावनापूर्ण अंदरूनी सूत्र चोरी किए गए डेटा को जारी करने की धमकी देता है और बाहरी हैकर होने का नाटक कर सकता है। अंदरूनी सूत्र आमतौर पर बिटकॉइन जैसी डिजिटल मुद्रा में फिरौती मांगता है।
औद्योगिक जासूसी
इस परिदृश्य में, दुर्भावनापूर्ण अंदरूनी सूत्र बौद्धिक संपदा की चोरी करता है और मुआवजे या नौकरी के अवसर के लिए सरकारी अभिनेताओं सहित तीसरे पक्षों के साथ डेटा साझा करता है।
संपत्ति विनाश
दुर्भावनापूर्ण अंदरूनी सूत्र व्यापार-महत्वपूर्ण प्रणालियों को बाधित करने की कोशिश करता है, परिचालन विफलता का कारण बनता है या महत्वपूर्ण डेटा स्टॉक को नष्ट कर देता है।
पीछा
जॉन फोर्ड, मैनडिएंट में ग्लोबल गवर्नमेंट सर्विसेज एंड इनसाइडर थ्रेट सिक्योरिटी सॉल्यूशंस के प्रबंध निदेशक (इमेज: फायरआई)।
दुर्भावनापूर्ण अंदरूनी सूत्र व्यक्तिगत जानकारी प्राप्त करने के लिए संवेदनशील कर्मचारी डेटा या सहकर्मियों के उपयोगकर्ता खातों तक पहुंच प्राप्त करता है।
जब ब्लैकमेल के प्रयासों की बात आती है, तो कंपनियां भारी दबाव में होती हैं: क्या उन्हें मांगों का पालन करना चाहिए या उन्हें जल्द से जल्द अंदरूनी सूत्र की पहचान करने का प्रयास करना चाहिए? अगर समय रहते ऐसा नहीं हुआ तो क्या होगा? हमले के परिदृश्य को समझना और अपराधियों को ट्रैक करना जटिल है। जबरन वसूली के प्रयास में सुरक्षा टीमों के लिए प्रमुख चुनौतियाँ हैं: 1) यह निर्धारित करना कि क्या वास्तव में डेटा चोरी हो गया है, और 2) एक अंदरूनी घटना और एक दुर्भावनापूर्ण तृतीय पक्ष द्वारा किए गए हमले के बीच अंतर करना। इसके लिए तकनीकी फोरेंसिक, थ्रेट इंटेलिजेंस और पारंपरिक जांच विधियों के संयोजन की आवश्यकता होती है। बाहरी विशेषज्ञ इसके लिए स्वतंत्र विश्लेषण और महत्वपूर्ण विशेषज्ञता प्रदान करते हैं।
इस तरह कंपनियां अंदरूनी जोखिमों से खुद को बचा सकती हैं
संगठनों को प्रौद्योगिकी और सतर्कता को संयोजित करने की आवश्यकता है, और अंदरूनी हमलों का प्रभावी ढंग से पता लगाने के लिए नियमित प्रशिक्षण के माध्यम से अपने कर्मचारियों को अंदरूनी खतरों के खतरों के बारे में शिक्षित करना चाहिए। चीजों को होने से रोकने के लिए, कंपनियों को अंदरूनी खतरों से उत्पन्न खतरे से अवगत होना चाहिए और उचित सुरक्षात्मक उपाय करना चाहिए। जोखिमों को कम करने के लिए पाँच युक्तियाँ:
- एक अंदरूनी खतरे के डेटा हानि निवारण समाधान में निवेश करें। यह दुर्भावनापूर्ण व्यवहार को पहचानता है, अलार्म बजाता है और यदि आवश्यक हो तो कार्रवाई को रोक सकता है। समाधान को इंटरनेट कनेक्शन के साथ और उसके बिना दोनों तरह से काम करना चाहिए।
- अभिगम नियंत्रणों के साथ अपने नेटवर्क में सभी परिवेशों को सुरक्षित रखें। प्रत्येक उपयोगकर्ता, डेवलपर और व्यवस्थापक को केवल वे अधिकार दिए जाने चाहिए जिनकी उन्हें अपने दैनिक कार्य के लिए नितांत आवश्यकता है। उन कर्मचारियों की संख्या सीमित करें जिन्हें ऑन-प्रिमाइसेस और क्लाउड वातावरण में नए खाते बनाने की अनुमति है।
- एक सिएम (सुरक्षा सूचना और घटना प्रबंधन) के लिए लॉग डेटा और घटना एकत्रीकरण भेजें। यह लॉग की प्रामाणिकता सुनिश्चित करता है और हमलावर को उन्हें हटाने या हेरफेर करने से रोकता है।
- नेटवर्क विभाजन लागू करें। सुरक्षा नियंत्रणों के साथ नेटवर्क क्षेत्रों को अलग करके, आप किसी हमलावर को बिना प्रतिबंध के फैलने से रोकते हैं। आपको अत्यधिक संवेदनशील और कम विश्वसनीय परिवेशों के बीच अनावश्यक ट्रैफ़िक को भी सीमित करना चाहिए. सभी प्रणालियाँ जिनका सार्वजनिक रूप से पहुँच योग्य होना आवश्यक नहीं है, उन्हें सार्वजनिक पहुँच से अलग किया जाना चाहिए।
- सुरक्षित ऑफबोर्डिंग सुनिश्चित करें। यदि कोई कर्मचारी कंपनी छोड़ देता है, तो आपको तुरंत उनके नेटवर्क एक्सेस को ब्लॉक कर देना चाहिए। सभी SSH कुंजियाँ, PEM फ़ाइलें और पासवर्ड जिनकी उस व्यक्ति तक पहुँच थी, उन्हें सभी परिवेशों के लिए बदल दिया जाना चाहिए। मल्टी-फैक्टर ऑथेंटिकेशन (MFA) को भी तुरंत डिसेबल कर देना चाहिए।
नियमित आकलन महत्वपूर्ण हैं
अंदरूनी खतरों के जोखिम को कम करने के लिए, संगठनों को डेटा हानि रोकथाम प्रक्रियाओं, सिएम कार्यक्षमता, व्यवहारिक विश्लेषण और एक समर्पित टीम की आवश्यकता होती है। यहां लोगों, प्रक्रियाओं और उपकरणों के तीन प्रमुख क्षेत्रों पर विचार किया जाना चाहिए। अंदरूनी खतरों की जांच सबूतों पर आधारित होनी चाहिए जो प्रोफाइलिंग का खंडन करते हैं और कानूनी जांच के लिए खड़े होते हैं। बाहरी विशेषज्ञ निवेश को अधिकतम करने के लिए मौजूदा क्षमताओं की समीक्षा कर सकते हैं, एक नए अंदरूनी खतरे के कार्यक्रम के निर्माण में तेजी ला सकते हैं, या पूरे उद्योग में सर्वोत्तम प्रथाओं को सूचीबद्ध करने के वर्षों के आधार पर मौजूदा कार्यक्रम को बढ़ा सकते हैं। चूंकि आवश्यकताएँ तेज़ी से बदल सकती हैं, इसलिए नियमित रूप से सुरक्षा आकलन करना महत्वपूर्ण है। वे कमजोरियों को उजागर करना और सुरक्षा स्थिति में लगातार सुधार करना संभव बनाते हैं। इस तरह, कंपनियों को अंदरूनी हमलों और उनके प्रभावों के खिलाफ खुद को प्रभावी ढंग से बचाने के लिए एक व्यक्तिगत रोडमैप प्राप्त होता है।
FireEye.com पर अधिक
Trellix के बारे में ट्रेलिक्स साइबर सुरक्षा के भविष्य को फिर से परिभाषित करने वाली एक वैश्विक कंपनी है। कंपनी का ओपन एंड नेटिव एक्सटेंडेड डिटेक्शन एंड रिस्पांस (एक्सडीआर) प्लेटफॉर्म आज के सबसे उन्नत खतरों का सामना करने वाले संगठनों को यह विश्वास दिलाने में मदद करता है कि उनके संचालन सुरक्षित और लचीले हैं। ट्रेलिक्स सुरक्षा विशेषज्ञ, एक व्यापक भागीदार पारिस्थितिकी तंत्र के साथ, 40.000 से अधिक व्यापार और सरकारी ग्राहकों का समर्थन करने के लिए मशीन लर्निंग और ऑटोमेशन के माध्यम से प्रौद्योगिकी नवाचार में तेजी लाते हैं।