साइबर हमले का शिकार होने वाली कंपनियों के प्लेबुक 2021 केस स्टडी से क्या सीखा जा सकता है? लेखों की एक श्रृंखला में, सोफोस विशेषज्ञ भविष्य में वापस यात्रा करते हैं और आईटी सुरक्षा के विभिन्न विशिष्ट पहलुओं को संबोधित करते हैं ताकि सभी के द्वारा लागू की जा सकने वाली सिफारिशों को प्राप्त किया जा सके।
जैसा कि सोफोस एक्टिव एडवरसरी प्लेबुक 2021 में विस्तार से बताया गया है, हमलावर संदिग्ध कार्यों का पता लगाने को कठिन बनाने के लिए आईटी प्रशासकों और सुरक्षा पेशेवरों द्वारा उपयोग किए जाने वाले टूल का उपयोग करना पसंद करते हैं। इनमें से कई उपकरण सुरक्षा उत्पादों द्वारा "संभावित रूप से अवांछित एप्लिकेशन" या पीयूए (या रिस्कवेयर या रिस्कटूल) के रूप में पहचाने जाते हैं, लेकिन आईटी टीमों के दैनिक आधार पर उपयोग करने के लिए आवश्यक हैं। इससे निपटने के लिए, प्रशासकों को कंपनी की आईटी नीति के संबंध में खुद से दो प्रमुख प्रश्न पूछने चाहिए: क्या सभी उपयोगकर्ताओं को इन उपयोगिताओं का उपयोग करने में सक्षम होने की आवश्यकता है और क्या इन उपयोगिताओं को हर डिवाइस पर चलने में सक्षम होने की आवश्यकता है?
PUAs क्या हैं?
PUAs एक ऑपरेटिंग सिस्टम (जैसे PowerShell) के साथ बंडल किए गए व्यवस्थापक उपकरण हैं और नेटवर्क पर उपकरणों को स्वचालित और प्रबंधित करने के तरीके प्रदान करते हैं। इसके अतिरिक्त, अतिरिक्त तृतीय-पक्ष उपकरण हैं जो आमतौर पर पोर्ट स्कैनिंग, पैकेट कैप्चर, स्क्रिप्टिंग, मॉनिटरिंग, सुरक्षा उपकरण, संपीड़न और संग्रह, एन्क्रिप्शन, डिबगिंग, पैठ परीक्षण, नेटवर्क प्रबंधन और रिमोट एक्सेस जैसी कार्यक्षमता बढ़ाने के लिए उपयोग किए जाते हैं। इनमें से अधिकतर एप्लिकेशन सिस्टम या रूट एक्सेस के साथ चलते हैं।
आईटी की बहिष्करण सूची समस्याग्रस्त क्यों है
यदि व्यवस्थापक उपकरण आपकी स्वयं की आईटी टीम द्वारा आंतरिक रूप से स्थापित और उपयोग किए जाते हैं, तो ये एप्लिकेशन उपयोगी उपकरण हैं। हालाँकि, यदि यह अन्य उपयोगकर्ताओं द्वारा किया जाता है, तो उन्हें PUAs माना जाता है और अक्सर अंत उपकरणों के लिए सम्मानित सुरक्षा समाधानों द्वारा इस तरह चिह्नित किया जाता है। उन्हें इन उपकरणों का मुफ्त उपयोग करने की अनुमति देने के लिए, कई व्यवस्थापक केवल उन उपकरणों को जोड़ते हैं जिनका उपयोग वे अपने समापन बिंदु सुरक्षा कॉन्फ़िगरेशन में वैश्विक बहिष्करण या अनुमति सूची में करते हैं। दुर्भाग्य से, यह विधि अनधिकृत व्यक्तियों को उपकरण स्थापित करने और उपयोग करने की अनुमति देती है, अक्सर बिना किसी निगरानी, अलर्ट या सूचना के।
साइबर अपराधी PUAs का उपयोग कैसे करते हैं?
सुरक्षा नीतियां जो PUAs को अनुमति देती हैं इसलिए उन्हें सावधानी से कॉन्फ़िगर किया जाना चाहिए। क्योंकि इस तरह का मुफ्त टिकट साइबर अपराधियों के लिए सोने के वजन के बराबर है और उपकरण के उपयोग, इरादे और संदर्भ में कोई अंतर्दृष्टि नहीं है।
एक बार एक उपकरण को बाहर करने के बाद, एक खतरा अभिनेता अभी भी इसे स्थापित करने और उपयोग करने का प्रयास कर सकता है, भले ही यह किसी दिए गए डिवाइस पर पहले से स्थापित न हो। हालांकि, "जमीन से दूर रहने" के रूप में जानी जाने वाली हमले की तकनीक के लिए आवश्यक है कि हमलावर यथासंभव लंबे समय तक पहचान से बचने के लिए मौजूदा कार्यों और उपकरणों का उपयोग करें। वे अभिनेताओं को एक भी लाल झंडा लहराए बिना डिटेक्शन, क्रेडेंशियल एक्सेस, विशेषाधिकार वृद्धि, रक्षा चोरी, दृढ़ता, साइड-टू-साइड नेटवर्क मूवमेंट, हार्वेस्टिंग और एक्सफिल्ट्रेशन करने की अनुमति देते हैं।
कंपनी में PUAs को केवल नियंत्रित मोड में अनुमति देना
पहला कदम कंपनी में मौजूदा वैश्विक अपवादों की जांच करना है:
- क्या वे आवश्यक हैं?
- क्या बहिष्करण के लिए कोई कारण दिया गया है - या यह "हमेशा वहाँ" था? जिम्मेदार लोगों को जांच करनी चाहिए कि सुरक्षा समाधान ने पहली बार पीयूए का पता क्यों लगाया - क्या इसे पहले से ही दुर्भावनापूर्ण तरीके से इस्तेमाल किया जा सकता है?
- क्या बहिष्करण वास्तव में सभी सर्वरों और अंतिम उपकरणों पर लागू होते हैं?
- क्या व्यवस्थापक उपकरण अभी भी आवश्यक है, या इसे एक अंतर्निहित सुविधा में वापस लाया जा सकता है?
- क्या आपको समान परिणाम प्राप्त करने के लिए एक से अधिक टूल की आवश्यकता है?
कई मामलों के अध्ययन के आधार पर, सोफोस केवल अत्यधिक नियंत्रित आधार पर पीयूएएस की अनुमति देने की सिफारिश करता है: विशिष्ट अनुप्रयोग, विशिष्ट मशीनें, सटीक समय और चयनित उपयोगकर्ता। यह आवश्यक बहिष्करण वाली नीति के माध्यम से प्राप्त किया जा सकता है, जिसे आवश्यक होने पर फिर से हटाया भी जा सकता है। पीयूए के किसी भी ज्ञात उपयोग की जांच की जानी चाहिए, क्योंकि यह संकेत दे सकता है कि एक साइबर अपराधी ने पहले ही सिस्टम तक पहुंच प्राप्त कर ली है।
Sophos.com पर अधिक
सोफोस के बारे में सोफोस पर 100 देशों में 150 मिलियन से अधिक उपयोगकर्ता भरोसा करते हैं। हम जटिल आईटी खतरों और डेटा हानि के विरुद्ध सर्वोत्तम सुरक्षा प्रदान करते हैं। हमारे व्यापक सुरक्षा समाधानों को तैनात करना, उपयोग करना और प्रबंधित करना आसान है। वे उद्योग में स्वामित्व की सबसे कम कुल लागत की पेशकश करते हैं। सोफोस पुरस्कार विजेता एन्क्रिप्शन समाधान, एंडपॉइंट, नेटवर्क, मोबाइल डिवाइस, ईमेल और वेब के लिए सुरक्षा समाधान प्रदान करता है। मालिकाना विश्लेषण केंद्रों के हमारे वैश्विक नेटवर्क सोफोसलैब्स से भी समर्थन प्राप्त है। सोफोस का मुख्यालय बोस्टन, यूएसए और ऑक्सफोर्ड, यूके में है।