आईटी सुरक्षा व्यापार और समाज में शीर्ष मुद्दों में से एक है और रहेगी - 2023 में भी। साइबरअर्क आने वाले वर्ष में सबसे महत्वपूर्ण खतरों और चुनौतियों पर ध्यान देता है - और रक्षकों के लिए नए अवसर भी देखता है।
डेटा सुरक्षा के बारे में जनता की जागरूकता बढ़ी है, लेकिन भले ही कई उपभोक्ता अपने व्यक्तिगत डेटा के बारे में अधिक जागरूक हों, फिर भी उन्हें इसे मज़बूती से सुरक्षित रखना मुश्किल लगता है। व्यक्तिगत डेटा के प्रबंधन में अधिक पारदर्शिता और इसके उपयोग पर अधिक नियंत्रण की इच्छा 2023 में बढ़ती रहेगी।
Web3 अधिक गोपनीयता और बड़े वेतन-दिवस का वादा करता है
परिणामस्वरूप ब्लॉकचैन-आधारित वेब3 को बढ़ावा मिल सकता है। हालांकि, विकेन्द्रीकृत अवसंरचना, जिसके लिए सुरक्षा सर्वोत्तम अभ्यास हमेशा पूरी तरह से विकसित नहीं होते हैं, वित्तीय अनुप्रयोगों के लिए हमले की सतह को बढ़ाते हैं। साइबर अपराधी इसका फायदा उठाएंगे और क्रिप्टो एक्सचेंजों और ब्लॉकचैन के बाहर डिजिटल दुनिया के कमजोर कनेक्शन को लक्षित करेंगे। पेमेंट प्रोसेसर रोनीन की सफल डकैती, जिसने 615 मिलियन डॉलर मूल्य की क्रिप्टोकरेंसियां बटोरी थीं, अभी शुरुआत थी।
शीतकालीन ईंधन ऊर्जा के बुनियादी ढांचे पर हमला करता है
यूक्रेन में युद्ध विकेंद्रीकृत बुनियादी ढाँचे पर और भी अधिक ध्यान केंद्रित कर सकता है, क्योंकि कुछ आपराधिक समूहों ने पहले ही अपने वित्तीय रूप से प्रेरित हमलों को तेज कर दिया है और लगातार नए सार्थक लक्ष्यों की तलाश कर रहे हैं। इस बीच, हालांकि, सर्दी बस कोने के आसपास है और यह माना जा सकता है कि गिरने वाले तापमान ऊर्जा की कीमतों को और बढ़ाने के लिए महत्वपूर्ण बुनियादी ढांचे पर हमले बढ़ाएंगे।
हमलावर सिद्ध चाल पर भरोसा करते हैं
जब से Log4j ने दुनिया को हिलाकर रख दिया है, तब से अनुमान लगाया जा रहा है कि आगे क्या होगा। लेकिन "अगली बड़ी बात" बड़े पैमाने पर शून्य-दिन की भेद्यता होने की संभावना नहीं है, क्योंकि प्रमुख हैकर समूह और राष्ट्र-राज्य प्रतिष्ठित कारनामों के लिए जमकर प्रतिस्पर्धा करते हैं, जो आसानी से डार्क वेब और अंडरग्राउंड मार्केटप्लेस पर लाखों डॉलर और उससे अधिक खर्च करते हैं। . इसलिए अधिकांश हमलावर कंपनियों में घुसपैठ करने के लिए वैकल्पिक मार्गों का उपयोग करेंगे और बुनियादी ढांचे के भीतर वास्तविक लक्ष्य तक अपना काम करेंगे। जब फ़िशिंग, चोरी किए गए क्रेडेंशियल्स, सोशल इंजीनियरिंग, और विरासत कर्नेल और मेमोरी एक्सप्लॉइट्स अभी भी अच्छी तरह से काम करते हैं तो एक नए शोषण पर बड़ी रकम क्यों खर्च करें?
सत्र कुकीज़ अधिक से अधिक आकर्षक होती जा रही हैं
अच्छी खबर यह है कि अधिकांश कंपनियां अब बहु-कारक प्रमाणीकरण को अपने वेब-आधारित व्यावसायिक अनुप्रयोगों के लिए "अच्छा होना" नहीं मानती हैं। आज, सत्र स्थापित करने के लिए उपयोगकर्ताओं को आमतौर पर उपयोगकर्ता नाम और पासवर्ड के अलावा एक और प्रमाणीकरण कारक की आवश्यकता होती है। बुरी खबर यह है कि हमलावर अब सत्र कुकीज़ चुराने में काफी माहिर हैं।
यह उन्हें मल्टी-फैक्टर ऑथेंटिकेशन को बायपास करने, थर्ड-पार्टी एप्लिकेशन तक पहुंच प्राप्त करने और खातों को हाईजैक करने की भी अनुमति देता है। चूंकि कंपनियां सास अनुप्रयोगों का तेजी से उपयोग कर रही हैं और इन्हें ज्यादातर ब्राउज़र के माध्यम से नियंत्रित किया जाता है, सत्र कुकीज़ और भी महत्वपूर्ण और कमजोर होती जा रही हैं। नतीजतन, जेनेसिस स्टोर जैसे मार्केटप्लेस, जो चोरी की सत्र कुकीज़ के विशेषज्ञ हैं, लोकप्रियता में बढ़ रहे हैं। हमलावर आने वाले वर्ष में अपने सत्र अपहरण हमलों को और अधिक लाभदायक बनाने के लिए बड़े पैमाने पर और स्वचालित रूप से देखेंगे।
हमलावर गलती करते हैं - सौभाग्य से
साइबर क्राइम करियर शुरू करने के लिए 2023 एक अच्छा साल है। ऑनलाइन मार्केटप्लेस संभावित हमलावरों के लिए चुराए गए क्रेडेंशियल्स और कुकीज, रेडी-मेड रैंसमवेयर, और फिशिंग और शोषण किट को हासिल करना आसान बना देता है—बिना व्यापक कौशल या समय की आवश्यकता के अपने लक्ष्यों को खोजने के लिए। नतीजतन, कंपनियों को अधिक हमलों का सामना करना पड़ रहा है और दो-कारक या बहु-कारक प्रमाणीकरण पर्याप्त सुरक्षा नहीं है।
लेकिन एक आशा की किरण है: जल्दी-अमीर-बनें योजना की खोज में, कई साइबर अपराधी नई गलतियाँ करेंगे और नेटवर्क पर संदिग्ध व्यवहार करेंगे, जिससे सुरक्षा दल उन्हें पहचान सकेंगे। उदाहरण के लिए, यदि 20 प्राधिकरण अनुरोध त्वरित उत्तराधिकार में आते हैं, तो वे सुरक्षा लॉग में दिखाई देते हैं और एमएफए बमबारी के संकेत के रूप में खतरे की घंटी बजनी चाहिए।
साइबरआर्क लैब्स में सुरक्षा अनुसंधान के प्रमुख लवी लाजारोविट्ज़ कहते हैं, "कंपनियों के लिए साइबर सुरक्षा एक निरंतर चुनौती बनी हुई है क्योंकि जाने-माने अटैक वैक्टर दुर्भाग्य से अभी भी अच्छी तरह से काम करते हैं और नई तकनीकें मल्टी-फैक्टर ऑथेंटिकेशन जैसे आधुनिक सुरक्षा समाधानों को भी बायपास कर सकती हैं।" "कंपनियों को इसलिए सुरक्षा समाधानों की आवश्यकता होती है जो इष्टतम रूप से बातचीत करते हैं और हमलावरों का शीघ्रता से पता लगाने के लिए बहु-स्तरीय सुरक्षा प्रदान करते हैं और उन्हें पैंतरेबाज़ी के लिए यथासंभव कम जगह छोड़ते हैं।"
CyberArk.com पर अधिक
साइबरआर्क के बारे में साइबरआर्क पहचान सुरक्षा में वैश्विक नेता है। मुख्य घटक के रूप में प्रिविलेज्ड एक्सेस मैनेजमेंट के साथ, CyberArk किसी भी पहचान के लिए व्यापक सुरक्षा प्रदान करता है - मानव या गैर-मानव - व्यावसायिक अनुप्रयोगों, वितरित कार्य वातावरण, हाइब्रिड क्लाउड वर्कलोड और DevOps जीवनचक्र में। दुनिया की प्रमुख कंपनियां अपने सबसे महत्वपूर्ण डेटा, बुनियादी ढांचे और अनुप्रयोगों को सुरक्षित करने के लिए साइबरअर्क पर भरोसा करती हैं। Euro Stoxx 30 कंपनियों के DAX 20 और 50 के लगभग एक तिहाई साइबरआर्क के समाधानों का उपयोग करते हैं।