नया पहचान सुरक्षा दृष्टिकोण रैंसमवेयर के कारण होने वाली महत्वपूर्ण कमजोरियों को रोकता है। हालांकि, लगभग कोई भी संगठन रैंसमवेयर पेलोड के स्वचालित प्रसार को सक्रिय रूप से रोकने में सक्षम नहीं है, क्योंकि इसने वितरण और निष्पादन के बचाव को दरकिनार कर दिया है। सिल्वरफोर्ट में DACH के क्षेत्रीय बिक्री निदेशक मार्टिन कुलेंडिक की एक टिप्पणी।
रैंसमवेयर साइबर एक्सटॉर्शन व्यवसायों के सामने आने वाले शीर्ष सुरक्षा खतरों में से एक है। आज साइबर सुरक्षा में आम चलन इन हमलों के वितरण और निष्पादन चरणों से बचाव करना है। हालांकि, लगभग कोई भी संगठन रैंसमवेयर पेलोड के स्वचालित प्रसार को सक्रिय रूप से रोकने में सक्षम नहीं है, क्योंकि इसने वितरण और निष्पादन के बचाव को दरकिनार कर दिया है। क्योंकि रैनसमवेयर एकल समापन बिंदु को संक्रमित करने और कॉर्पोरेट डेटा को थोक में एन्क्रिप्ट करने के बीच एक बड़ा अंतर बनाता है, इसे रोकने की क्षमता की कमी एक महत्वपूर्ण सुरक्षा भेद्यता है। इसलिए रैंसमवेयर हमले के प्रत्येक चरण के लिए सुरक्षा उपायों को नीचे समझाया गया है - वितरण से, निष्पादन के माध्यम से, स्वचालित वितरण तक।
रैंसमवेयर डिलीवरी से बचाव के उपाय
डिलीवरी के चरण में, हमलावर पीड़ित के कंप्यूटर पर रैंसमवेयर पेलोड डालते हैं। साइबर अपराधियों द्वारा उपयोग किए जाने वाले सबसे आम तरीकों में फ़िशिंग ईमेल, समझौता किए गए RDP (रिमोट डेस्कटॉप प्रोटोकॉल) एक्सेस और वाटरिंग होल हमले शामिल हैं, जहाँ साइबर अपराधी अक्सर कर्मचारियों द्वारा देखी जाने वाली वेबसाइटों को संक्रमित करते हैं।
ईमेल सुरक्षा गेटवे द्वारा सुरक्षा प्रदान की जाती है जो उपयोगकर्ता के संपर्क से पहले जोखिमपूर्ण सामग्री का पता लगाने और हटाने के लिए ईमेल को स्कैन करता है, एंडपॉइंट सुरक्षा प्लेटफ़ॉर्म जो संभावित मैलवेयर को डाउनलोड करने से रोकता है, और RDP कनेक्शन के लिए मल्टी-फैक्टर ऑथेंटिकेशन (MFA), हमलावरों को समझौता किए गए क्रेडेंशियल्स से जुड़ने से रोकता है।
रैंसमवेयर के निष्पादन से बचाव के उपाय
निष्पादन चरण में, रैंसमवेयर पेलोड जिसे वर्कस्टेशन या सर्वर पर सफलतापूर्वक वितरित किया गया है, कंप्यूटर पर डेटा फ़ाइलों को एन्क्रिप्ट करने के इरादे से निष्पादित किया जाता है।
कंपनियां अपने वर्कस्टेशन और सर्वर पर एंडपॉइंट प्रोटेक्शन प्लेटफॉर्म (ईपीपी) का इस्तेमाल कर खुद को इससे बचाती हैं। EPP का उद्देश्य रैंसमवेयर के रूप में पहचानी गई किसी भी प्रक्रिया के निष्पादन को समाप्त करना है, जिससे दुर्भावनापूर्ण एन्क्रिप्शन को पूरी तरह से रोका जा सके।
स्वचालित रैंसमवेयर वितरण से सुरक्षा
प्रसार चरण में, रैंसमवेयर पेलोड को समझौता किए गए क्रेडेंशियल्स के साथ दुर्भावनापूर्ण प्रमाणीकरण के माध्यम से कॉर्पोरेट वातावरण में कई अन्य कंप्यूटरों में कॉपी किया जाता है। सबसे कमजोर हमले की सतहों में से एक साझा (साझा) फ़ोल्डर हैं। कॉर्पोरेट वातावरण में, प्रत्येक उपयोगकर्ता के पास कम से कम कुछ फ़ोल्डरों तक पहुंच होती है। यह रैंसमवेयर के फैलने का मार्ग प्रशस्त करता है।
जैसा कि पहले बताया गया है, यह वह चरण है जहां सबसे अधिक नुकसान होता है। हालाँकि, यह चरण अब उद्यम सुरक्षा सुरक्षा में एक अंधा स्थान है। आज ऐसा कोई सुरक्षा समाधान नहीं है जो वास्तविक समय में रैंसमवेयर के स्वत: प्रसार को रोक सके। व्यवहार में, इसका मतलब यह है कि एक रैंसमवेयर संस्करण जो वितरण और निष्पादन के लिए सुरक्षा उपायों को बायपास करने का प्रबंधन करता है - और इन वेरिएंट का एक निश्चित प्रतिशत हमेशा होता है - कॉर्पोरेट वातावरण में फैल सकता है और हर उस मशीन को एन्क्रिप्ट कर सकता है जिस तक वह पहुंचता है। और भले ही ईपीपी नए मालवेयर स्ट्रेन से बचाने में बेहतर हो गए हैं, खतरे के कारक भी बेहतर चोरी के तरीके और अधिक चोरी-छिपे पेलोड (भार) विकसित कर रहे हैं, जिससे इस तरह की चोरी एक बहुत ही संभावित परिदृश्य बन गया है।
संरक्षण चुनौती
इस भेद्यता के कारण को बेहतर ढंग से समझने के लिए, यहां देखें कि स्वचालित रैंसमवेयर प्रसार कैसे काम करता है।
"रोगी शून्य" नामक एक समापन बिंदु है जहां रैंसमवेयर पेलोड मूल रूप से चलता था। क्षेत्र में अन्य कंप्यूटरों में फैलने के लिए, मैलवेयर समझौता किए गए क्रेडेंशियल्स का उपयोग करता है और दूसरे कंप्यूटर को एक मान्य (लेकिन समझौता किए गए) उपयोगकर्ता नाम और क्रेडेंशियल्स प्रदान करके बुनियादी प्रमाणीकरण करता है। जबकि यह गतिविधि इसके संदर्भ में 100 प्रतिशत दुर्भावनापूर्ण है, यह अनिवार्य रूप से वातावरण में किसी भी वैध प्रमाणीकरण के समान है। इस दुर्भावनापूर्ण संदर्भ का पता लगाने के लिए पहचान प्रदाता - इस मामले में सक्रिय निर्देशिका - के लिए कोई रास्ता नहीं है। इसलिए वह कनेक्शन को मंजूरी देंगे।
तो यहाँ रैंसमवेयर से सुरक्षा का एक अँधा स्थान है: एक ओर, कोई भी सुरक्षा उत्पाद वास्तविक समय में प्रमाणीकरण को अवरुद्ध नहीं कर सकता है, और दूसरी ओर, एकमात्र उत्पाद जो इसे संभव बना सकता है - पहचान प्रदाता - भेद करने में असमर्थ है वैध और दुर्भावनापूर्ण प्रमाणीकरण के बीच।
यूनिफाइड आइडेंटिटी प्रोटेक्शन रैंसमवेयर के स्वचालित प्रसार को रोकता है
यूनिफाइड आइडेंटिटी प्रोटेक्शन एक एजेंट रहित तकनीक है जो मूल रूप से एंटरप्राइज़ वातावरण में पहचान प्रदाताओं के साथ एकीकृत होती है ताकि निरंतर निगरानी, जोखिम विश्लेषण और किसी भी ऑन-प्रिमाइसेस और क्लाउड संसाधन तक पहुंच के हर एक प्रयास का नीति प्रवर्तन किया जा सके। इस तरह, एकीकृत पहचान सुरक्षा समाधान जोखिम-आधारित प्रमाणीकरण और बहु-कारक प्रमाणीकरण को उन संसाधनों और एक्सेस इंटरफेस तक विस्तारित करता है जिन्हें पहले संरक्षित नहीं किया जा सकता था - सक्रिय निर्देशिका कमांड-लाइन रिमोट एक्सेस इंटरफेस सहित, जिस पर स्वचालित रैंसमवेयर प्रसार निर्भर करता है।
सक्रिय रूप से हमलों को रोकें
यह रैंसमवेयर के स्वचालित वितरण सहित कॉर्पोरेट संसाधनों तक पहुँचने के लिए समझौता किए गए क्रेडेंशियल्स का दुरुपयोग करने वाले हमलों को सक्रिय रूप से रोक सकता है। ऐसा इसलिए है क्योंकि साझा किए गए फ़ोल्डरों के लिए एक विशेष शौक के साथ, मैलवेयर लक्षित वातावरण में फैलने के लिए समझौता किए गए क्रेडेंशियल्स प्रमाणीकरण का उपयोग करता है।
स्वचालित रैंसमवेयर वितरण के खिलाफ रीयल-टाइम सुरक्षा लागू करने के लिए, यूनिफाइड आइडेंटिटी प्रोटेक्शन निम्नलिखित क्रियाएं करता है:
1. सतत निगरानी
यूनिफाइड आइडेंटिटी प्रोटेक्शन लगातार यूजर अकाउंट ऑथेंटिकेशन और एक्सेस कोशिशों का विश्लेषण करता है, जिससे सामान्य यूजर और मशीन एक्टिविटी का बेहद सटीक बिहेवियरल प्रोफाइल तैयार होता है।
2. जोखिम विश्लेषण
स्वचालित रैंसमवेयर वितरण के मामले में, एक ही मशीन और उपयोगकर्ता खाते से एक साथ कई लॉगिन प्रयास होते हैं। यूनिफाइड आइडेंटिटी प्रोटेक्शन प्लेटफॉर्म का जोखिम इंजन तुरंत इस असामान्य व्यवहार का पता लगाता है और उपयोगकर्ता खाते और कंप्यूटर दोनों के जोखिम स्कोर को बढ़ाता है।
3. पहुंच नीति प्रवर्तन
यूनिफाइड आइडेंटिटी प्रोटेक्शन उपयोगकर्ताओं को एक्सेस नीतियां बनाने में सक्षम बनाता है जो एक सुरक्षात्मक उपाय को ट्रिगर करने के लिए रीयल-टाइम जोखिम मूल्यांकन का उपयोग करती हैं: जैसे कि एमएफए के साथ प्रमाणीकरण को मजबूत करना या एक्सेस को पूरी तरह से ब्लॉक करना। रैंसमवेयर के स्वचालित वितरण के खिलाफ नीति में एमएफए की आवश्यकता होती है जब भी किसी उपयोगकर्ता खाते की जोखिम रेटिंग या तो "उच्च" या "महत्वपूर्ण" होती है और सभी एक्सेस इंटरफेस पर लागू होती है - पावरशेल, सीएमडी और सीआईएफएस, नेटवर्क फ़ोल्डर पर साझा पहुंच के लिए विशेष (समर्पित) प्रोटोकॉल।
यदि यह नीति सक्षम है, रैंसमवेयर द्वारा किसी अन्य कंप्यूटर में फैलने का कोई भी प्रयास तब तक कनेक्शन की अनुमति नहीं देगा जब तक कि एमएफए सत्यापन उन वास्तविक उपयोगकर्ताओं पर न हो जाए जिनके क्रेडेंशियल्स से समझौता किया गया था। इसका मतलब यह है कि प्रसार को रोका जाता है और हमला शुरू में संक्रमित एकल समापन बिंदु "रोगी शून्य" तक सीमित होता है।
यह विशेष पहचान सुरक्षा दृष्टिकोण इसलिए रैंसमवेयर हमलों के सबसे घातक घटक - स्वचालित प्रसार को रोक सकता है। एक एकीकृत पहचान सुरक्षा समाधान के साथ, कंपनियां अंतत: रक्षा में इस महत्वपूर्ण ब्लाइंड स्पॉट को कवर कर सकती हैं और इस प्रकार रैनसमवेयर हमलों के प्रयास के खिलाफ अपने लचीलेपन को महत्वपूर्ण रूप से बढ़ा सकती हैं।
Silverfort.com पर अधिक
सिल्वरफोर्ट के बारे में सिल्वरफोर्ट पहला एकीकृत पहचान सुरक्षा मंच प्रदान करता है जो पहचान-आधारित हमलों को कम करने के लिए एंटरप्राइज़ नेटवर्क और क्लाउड वातावरण में आईएएम सुरक्षा नियंत्रण को समेकित करता है। अभिनव एजेंट रहित और प्रॉक्सीलेस तकनीक का उपयोग करते हुए, सिल्वरफोर्ट सभी IAM समाधानों के साथ समेकित रूप से एकीकृत होता है, उनके जोखिम विश्लेषण और सुरक्षा नियंत्रणों को एकीकृत करता है और अपने कवरेज को उन संपत्तियों तक बढ़ाता है जिन्हें पहले संरक्षित नहीं किया जा सकता था, जैसे कि घरेलू और विरासत अनुप्रयोग, आईटी अवसंरचना, फाइल सिस्टम, कमांड लाइन उपकरण, मशीन-से-मशीन पहुंच और बहुत कुछ।