डार्कसाइड रैंसमवेयर हमलों से 5 टेकअवे

यूएस में औपनिवेशिक पाइपलाइन पर डार्कसाइड रैनसमवेयर हमला कई वैश्विक उदाहरणों में से एक है जो दिखाता है कि सुरक्षा केवल आईटी के लिए ही नहीं बल्कि रणनीतिक योजना और प्रबंधन के लिए भी एक मामला है। सोफोस विशेषज्ञों से 5 अंतर्दृष्टि।

औपनिवेशिक ईंधन पाइपलाइन पर डार्कसाइड रैनसमवेयर हमला, जो ईस्ट कोस्ट के डीजल, गैसोलीन और जेट ईंधन के लगभग 45 प्रतिशत की आपूर्ति करता है, केवल एक उदाहरण है जो अब 60 से अधिक ज्ञात मामलों में शामिल हो गया है। आयरलैंड की स्वास्थ्य सेवा, तोशिबा यूरोप और एसेन स्थित रासायनिक कंपनी ब्रेनटैग भी कथित पीड़ितों में शामिल हैं। बार-बार, घटनाओं के फोरेंसिक आईटी नेटवर्क के भीतर समस्याओं की ओर इशारा करते हैं जो पहले से ही घटना से पहले मौजूद थीं और जिसने हमलों की भेद्यता में योगदान दिया था। नतीजतन, यह सवाल उठता है कि प्रभावित होने वालों ने सभी संभावित सुरक्षा सावधानियों का उपयोग क्यों नहीं किया और क्या रैंसमवेयर हमले के समय संगठन में एक समर्पित साइबर सुरक्षा अधिकारी मौजूद था। जॉन शियर, सोफोस के वरिष्ठ सुरक्षा सलाहकार, मई 2021 के बाद से हुए हमलों के शीर्ष पांच टेकअवे का सार प्रस्तुत करते हैं।

आईटी सुरक्षा प्राथमिकता

आज की जोखिम की स्थिति के साथ, कंपनियों और संगठनों को किसी ऐसे व्यक्ति की आवश्यकता है जो वर्तमान जोखिम की स्थिति पर नज़र रखता हो, जो सुरक्षा से परिचित हो और जो कंपनी के प्रबंधन बोर्ड में बैठता हो: मुख्य सूचना सुरक्षा अधिकारी (CISO)। यहां तक ​​कि अगर एक समर्पित सीआईएसओ को कुछ कंपनियों के लिए उचित ठहराना मुश्किल है, तो एक पर्याप्त व्यक्ति होना चाहिए जो आईटी सुरक्षा के लिए प्राथमिकताओं को सही ढंग से निर्धारित करना जानता हो और जो उन्हें लागू भी करता हो। उदाहरण के लिए, सीनेट के समक्ष औपनिवेशिक सुनवाई में, यह ज्ञात हुआ कि पिछले पांच वर्षों में आईटी में लगभग 200 मिलियन अमेरिकी डॉलर का निवेश किया गया था - बिना सटीक जानकारी के कि आईटी सुरक्षा में वास्तव में कितना प्रवाहित हुआ।

संगठन के भीतर साइबर सुरक्षा को प्राथमिकता देने की क्षमता, पर्याप्त बजट होना और प्राथमिकताओं को लागू करने के लिए आवश्यक अधिकार होना साइबर सुरक्षा के आवश्यक पहलू हैं।

सुरक्षा मानकों का इस्तेमाल किया

सोफोस रैपिड रिस्पांस टीम द्वारा जांच किए गए कई मामलों में, नेटवर्क में प्रवेश का प्रारंभिक बिंदु एक चुराया हुआ पासवर्ड है, जो ज्यादातर दूरस्थ सेवाओं के लिए है। कॉलोनियल के मामले में, हमलावरों ने एक वीपीएन सेवा तक पहुंच प्राप्त करने के लिए चोरी किए गए पासवर्ड का इस्तेमाल किया जिसमें मल्टी-फैक्टर ऑथेंटिकेशन (एमएफए) सक्षम नहीं था। पाइपलाइन ऑपरेटर का मानना ​​था कि यह वीपीएन प्रोफ़ाइल उपयोग में नहीं थी और शायद इस पर कम ध्यान दिया - एक विशिष्ट स्थिति जिसे विशेषज्ञ बार-बार देखते हैं। इस बात की अच्छी संभावना है कि हमलावरों ने पासवर्ड को पहले के ब्रेक-इन के माध्यम से प्राप्त किया, केवल बाद में अपने रैनसमवेयर हमले में इसका उपयोग करने के लिए। इससे दो अत्यंत महत्वपूर्ण निष्कर्ष निकलते हैं: एमएफए जैसी उपलब्ध सुरक्षा तकनीकों को हमेशा सक्रिय किया जाना चाहिए और सुरक्षा विशेषज्ञों को छोटी और पिछली सुरक्षा घटनाओं को गंभीरता से लेना चाहिए, क्योंकि वे बड़े हमलों के अग्रदूत हो सकते हैं।

नेटवर्क घटनाओं की दृश्यता

सोफोस रैपिड रिस्पांस टीम अक्सर पाती है कि पीड़ितों को रैंसमवेयर हमले के बारे में तब तक पता नहीं चलता जब तक कि रैंसमवेयर वास्तव में लॉन्च नहीं हो जाता और डेटा एन्क्रिप्ट नहीं हो जाता। हालांकि, रैंसमवेयर सक्रिय होने से बहुत पहले हमलावर आमतौर पर इंटरनेट पर होते हैं। हमलावरों को अधिकतम नुकसान पहुँचाने या लाभ वसूलने के लिए तैयार होने में कई दिन या महीने भी लग सकते हैं। अपनी एक्टिव एडवरसरी प्लेबुक 2021 में, सोफोस पीड़ित के नेटवर्क में हमलावरों के लिए औसतन ग्यारह दिनों का ठहराव समय मानता है।. कॉलोनियल भी उन कंपनियों में से एक थी, जिनके पास प्रारंभिक चरण में हमलावरों की पहचान करने के लिए आवश्यक पारदर्शिता और दृश्यता नहीं थी। इसलिए, एंडपॉइंट डिटेक्शन एंड रिस्पांस (ईडीआर) उपकरण न केवल हमलों को रोकने के लिए, बल्कि संगठन को गुप्त खतरों की तलाश करने में सक्षम बनाने के लिए भी बहुत महत्वपूर्ण हैं।

आपात स्थिति के लिए योजना

विशेष रूप से, बड़ी कंपनियों या महत्वपूर्ण बुनियादी ढाँचे के संचालकों के पास आमतौर पर उत्पादन की घटनाओं, दोषों, दुर्घटनाओं और अन्य परंपरागत क्लासिक घटनाओं के लिए अच्छी आपातकालीन योजनाएँ होती हैं। हालाँकि, साइबर खतरे अभी भी शायद ही कभी ऐसी योजनाओं में लंगर डाले हुए लगते हैं - यही स्थिति कोलोनियल की भी है। जीवित रहने के लिए आकस्मिक योजनाएँ आवश्यक हैं। सभी आकार के संगठनों को एक सुरक्षा मूल्यांकन करना चाहिए और योजना बनानी चाहिए कि संभावित घटनाओं पर कैसे प्रतिक्रिया दी जाए। कुछ आकलन आंतरिक रूप से किए जा सकते हैं, अन्य बाहरी विशेषज्ञों के साथ। फिर योजनाओं के साथ आओ a) सबसे कमजोर क्षेत्रों को बेहतर ढंग से सुरक्षित करें, b) कुछ गलत होने पर एक प्रक्रिया हो, और c) सुधार और प्रतिक्रिया योजना के खिलाफ शमन का परीक्षण करें।

विशेष रूप से महत्वपूर्ण क्षेत्रों में कंपनियों और संगठनों के लिए सूचना साझाकरण और विश्लेषण केंद्र (ISAC) जैसे स्रोतों से जानकारी भी शामिल की जानी चाहिए। ये संगठन खतरे की जानकारी एकत्र, विश्लेषण और प्रसार करते हैं और जोखिम को कम करने और लचीलेपन में सुधार करने के लिए उपकरण प्रदान करते हैं।

भुगतान करें या न करें

आपातकालीन स्थिति में कंपनियां हमेशा हमलावरों को बड़ी फिरौती देने की इच्छुक होती हैं। ऐसे कई उदाहरण हैं जहां कंपनियों को अनुपालन करने के लिए मजबूर किया गया है क्योंकि उनके बैकअप दूषित या गायब थे। अन्य लोग नेटवर्क को जल्द से जल्द चालू करना चाहते हैं, और फिर भी अन्य भुगतान करना चुनते हैं क्योंकि यह इसे पुनर्स्थापित करने की लागत से सस्ता लगता है। एक अन्य सामान्य कारण चोरी किए गए डेटा को बेचने या सार्वजनिक रूप से उपलब्ध कराने से रोकना है। कॉलोनियल ने भुगतान के औचित्य के रूप में इनमें से एक कारण का भी हवाला दिया।

लेकिन फिरौती के पैसे के भुगतान को केवल कानूनी दृष्टिकोण से ही गंभीर रूप से नहीं देखा जाना चाहिए। इस बात की जानकारी होनी चाहिए कि फिरौती देना किसी भी तरह की गारंटी नहीं है। रैंसमवेयर रिपोर्ट 2021 रिपोर्ट की स्थिति में सोफोस ने पाया कि फिरौती देने के बाद कंपनियां अपने डेटा का औसतन 65 प्रतिशत ही वसूल कर पाईं। केवल 8 प्रतिशत कंपनियाँ अपने सभी डेटा को पुनर्प्राप्त करने में सक्षम थीं, और 29 प्रतिशत भुगतान के माध्यम से आधे से भी कम का निस्तारण करने में सक्षम थीं। फिरौती के अलावा, हमले और व्यापार में रुकावट के कारण हुए नुकसान की मरम्मत के लिए उच्च परिणामी क्षतियों को शामिल किया जाना चाहिए और यह सुनिश्चित करना चाहिए कि ऐसा कुछ फिर से न हो।

मूल्यांकन का सार

हमलावरों की बढ़ती आपराधिक तीव्रता, रचनात्मकता और बुद्धिमत्ता पर अंकुश नहीं लगाया जा सकता, पिछले कुछ वर्षों के घटनाक्रम इसके विपरीत बताते हैं। हालांकि, जोखिम क्षमता को कम करने के लिए कई और अक्सर अप्रयुक्त संभावनाएं हैं।

"साइबर सुरक्षा में मजबूत बनने के लिए किसी कंपनी या संगठन पर हमला नहीं करना चाहिए। अब आपको तुरंत और उच्चतम स्तर की क्षमता के साथ सुरक्षा स्थिति का आकलन करने के लिए समय और संसाधन लेना चाहिए - दोनों आंतरिक रूप से और बाहरी विशेषज्ञों के साथ - जहां भी संभव हो, बेहतर और शुरुआती रक्षा स्थापित करें," जॉन शियर का सारांश है।

Sophos.com पर अधिक

 

---

सोफोस के बारे में

सोफोस पर 100 देशों में 150 मिलियन से अधिक उपयोगकर्ता भरोसा करते हैं। हम जटिल आईटी खतरों और डेटा हानि के विरुद्ध सर्वोत्तम सुरक्षा प्रदान करते हैं। हमारे व्यापक सुरक्षा समाधानों को तैनात करना, उपयोग करना और प्रबंधित करना आसान है। वे उद्योग में स्वामित्व की सबसे कम कुल लागत की पेशकश करते हैं। सोफोस पुरस्कार विजेता एन्क्रिप्शन समाधान, एंडपॉइंट, नेटवर्क, मोबाइल डिवाइस, ईमेल और वेब के लिए सुरक्षा समाधान प्रदान करता है। मालिकाना विश्लेषण केंद्रों के हमारे वैश्विक नेटवर्क सोफोसलैब्स से भी समर्थन प्राप्त है। सोफोस का मुख्यालय बोस्टन, यूएसए और ऑक्सफोर्ड, यूके में है।

---

 

विषय से संबंधित लेख