बड़े संगठनों द्वारा वर्षों से उपयोग की जा रही उन्नत एंटी-साइबर क्राइम तकनीक अब छोटे व्यवसायों की पहुंच के भीतर है: नेटवर्क डिटेक्शन और रिस्पांस।
छोटे और मध्यम आकार के व्यवसायों के लिए, अक्सर सीमित बजट और संसाधनों के साथ, मौजूदा साइबर क्राइम तूफ़ान में खुद को सुरक्षित रखना एक चुनौती है। मौजूदा साइबर सुरक्षा समाधानों की तुलना में खतरे तेजी से विकसित हो रहे हैं, और छोटे आईटी विभाग इसे बनाए नहीं रख सकते हैं।
रैंसमवेयर किसी को भी चपेट में ले सकता है
रैंसमवेयर के हमले सर्वव्यापी हैं, लेकिन खतरे का परिदृश्य वहाँ नहीं रुकता है: उन्नत लगातार खतरे, अंदरूनी खतरे और आपूर्ति श्रृंखला के हमले रोज़मर्रा के कई खतरों में से हैं। हमलावर साइबर सुरक्षा विक्रेताओं के समान अत्याधुनिक तकनीकों का उपयोग करते हैं, जैसे कि कृत्रिम बुद्धिमत्ता (एआई), एन्क्रिप्शन और भेद्यता स्कैनिंग। आप एक सेवा के रूप में मैलवेयर और रैनसमवेयर के परिपक्व ब्लैक मार्केट से लाभान्वित होते हैं। वे लगातार बढ़ते हमले की सतह से लाभान्वित होते हैं, जो क्लाउड समाधान, आईओटी और आइडेंटिटी फेडरेशन के तेजी से अपनाने के कारण बढ़ रहा है। उदाहरण के लिए, हाल ही में आपूर्ति श्रृंखला के हमले जैसे कि सोलरविंड्स और कस्या पर पारंपरिक सुरक्षा उपकरणों के लिए पूरी तरह से वैध दिखाई देते हैं। IoT डिवाइस, अप्रबंधित या व्यक्तिगत डिवाइस, और भूली हुई वर्चुअल मशीन या कंटेनर सुरक्षा ब्लाइंड स्पॉट बनाते हैं।
संसाधन एक डैशबोर्ड पर बंडल किए गए
जब छोटे व्यवसाय सुरक्षा विश्लेषकों के लिए पर्याप्त भाग्यशाली होते हैं, तो उन संसाधनों को एक जटिल खतरे या हमले का पता लगाने और समझने के लिए कई डैशबोर्ड से परामर्श करने की आवश्यकता होती है। ये विशिष्ट वाक्य हैं जो छोटी कंपनियों में आईटी सुरक्षा के लिए जिम्मेदार लोगों से सुनते हैं: "मैं अच्छी तरह से जानता हूं कि हमारे नेटवर्क में ब्लाइंड स्पॉट हैं और हमारे सुरक्षा आर्किटेक्चर में बड़े अंतराल हैं। हम केवल नेटवर्क और उपकरणों का हिस्सा देखते हैं"। इतने सारे सुरक्षा उपकरणों के साथ, वे नहीं जानते कि अलर्ट को कैसे प्राथमिकता दी जाए: "मुझे पहले क्या करना चाहिए और मुझे क्या अनदेखा करना चाहिए?" और खतरों का जवाब देते समय, उन्हें एक सार्थक परिणाम के साथ आने के लिए अलग-अलग सिस्टम और लॉग को मैन्युअल रूप से खोदना पड़ता है। "यह इतना अक्षम है और सुरक्षा घटना के मूल कारण की जांच करने में बहुत लंबा समय लेता है।"
नेटवर्क में खतरों का पता लगाना
पिछले कुछ वर्षों में एक बात समान रही है: प्रत्येक प्रमुख सुरक्षा उल्लंघन में नेटवर्क ट्रैफ़िक शामिल होता है। उदाहरण के लिए, यदि हैकर्स डेटा चोरी करना चाहते हैं, तो उन्हें अपनी लूट को एक विशिष्ट स्थान पर ले जाने की आवश्यकता होती है। आपूर्ति श्रृंखला पर "सनबर्स्ट" हमले जैसे हाल के हमलों का पता केवल (ए) यह पहचानने से लगाया जा सकता है कि नेटवर्क ट्रैफ़िक में कुछ गड़बड़ है और (बी) उस गतिविधि पर तुरंत प्रतिक्रिया करने और इसे रोकने में सक्षम होने के कारण।
इसके लिए नेटवर्क स्तर पर पहचान और स्वचालित प्रतिक्रिया की आवश्यकता होती है, जिसे आज बहुत कम संगठनों, आमतौर पर बड़े उद्यमों ने लागू किया है। गार्टनर नेटवर्क डिटेक्शन एंड रिस्पांस (एनडीआर) को समाधान के रूप में परिभाषित करता है जो "मुख्य रूप से गैर-हस्ताक्षर-आधारित तकनीकों का उपयोग करता है ... एंटरप्राइज़ नेटवर्क पर संदिग्ध ट्रैफ़िक का पता लगाने के लिए।" विश्लेषकों के अनुसार, एनडीआर उपकरण "सामान्य नेटवर्क व्यवहार को दर्शाने वाले मॉडल बनाने के लिए कच्चे ट्रैफ़िक और/या स्ट्रीम की रिकॉर्डिंग का लगातार विश्लेषण करते हैं," और सिस्टम अलर्ट जारी करता है "जब यह संदिग्ध ट्रैफ़िक पैटर्न का पता लगाता है।" एनडीआर समाधान के अन्य प्रमुख कार्य स्वचालित या मैन्युअल प्रतिक्रियाएं हैं (11 जून, 2020 को प्रकाशित गार्टनर, "नेटवर्क डिटेक्शन एंड रिस्पांस के लिए मार्केट गाइड" देखें)।
एनडीआर समाधान नेटवर्क पर संपत्ति की पहचान करता है
दूसरे शब्दों में, एक NDR समाधान IoT उपकरणों और अप्रबंधित उपकरणों सहित नेटवर्क पर सभी संपत्तियों की पहचान करता है। यह संपूर्ण नेटवर्क मेटाडेटा और नेटवर्क ट्रैफ़िक का विश्लेषण करता है - पूर्व/पश्चिम और उत्तर/दक्षिण ट्रैफ़िक दोनों (यानी आंतरिक ट्रैफ़िक और नेटवर्क परिधि को पार करने वाला ट्रैफ़िक)। नेटवर्क पर लगे सेंसर का उपयोग करते हुए, यह ट्रैफ़िक पर नज़र रखता है, सभी नेटवर्क मेटाडेटा का ट्रैक रखता है और इस डेटा को अन्य मौजूदा सुरक्षा समाधानों जैसे एंडपॉइंट सुरक्षा, EDR, फ़ायरवॉल, सिएम और SOAR समाधानों से लॉग के साथ एकीकृत करता है। चूंकि एनडीआर इस डेटा की प्रतियों के साथ काम करता है, इसलिए नेटवर्क में किसी एजेंट या अन्य परिवर्तन की आवश्यकता नहीं होती है।
नेटवर्क का 360 डिग्री व्यू
नतीजतन, बाहरी या आंतरिक खतरों को समझने के लिए संगठनों को 360 डिग्री का दृश्य मिलता है। वे देखते हैं कि कब डेटा उनके नेटवर्क को विदेश में किसी संदिग्ध स्थान पर छोड़ देता है। वे नोटिस करते हैं जब कोई पीसी दुर्भावनापूर्ण डोमेन या यूआरएल तक पहुंचता है। आप नोटिस करते हैं जब मैलवेयर नेटवर्क पर डेटा की एन्क्रिप्टेड प्रतियां रखता है। जब आईपी कैम का वेब सर्वर कमजोर पाया जाता है तो वे सुरक्षा विश्लेषकों को सूचित करते हैं। और वे स्वचालित प्रतिक्रिया क्षमताओं के साथ इनमें से कई खतरों को तुरंत रोक सकते हैं और कम कर सकते हैं।
थॉमस क्रूस, फोरनोवा टेक्नोलॉजीज में क्षेत्रीय निदेशक डीएसीएच-एनएल (छवि: फोरनोवा)।
एनडीआर नया नहीं है और पहले ही कुछ बदलावों से गुजर चुका है। इसे NTA (नेटवर्क ट्रैफ़िक विश्लेषण) या NTSA (नेटवर्क ट्रैफ़िक सुरक्षा विश्लेषण) कहा जाता था। दृष्टिकोण अब परिपक्व हो गया है और इसमें अधिक परिष्कृत प्रतिक्रिया तत्व है। फिर भी, यह अभी भी एक दुर्लभ उपकरण है जो अब लगभग विशेष रूप से बहुत बड़ी कंपनियों में उपयोग किया जाता है। ऐसा क्यों?
बड़ी मात्रा में डेटा झूठी सकारात्मकता उत्पन्न कर सकता है
मुख्य बिंदु यह है कि ये बड़ी कंपनियां जानती हैं कि वास्तव में क्या दांव पर लगा है। अपने व्यवसाय के अस्तित्वगत जोखिम और अंतहीन हमले की सतह से अवगत होने के कारण, वे वास्तव में मदद करने वाले समाधान के लिए कोई भी कीमत चुकाने को तैयार नहीं हैं। उन्हें चलाने वाले विशेषज्ञों को रखने के लिए आवश्यक जनशक्ति भी वे प्रदान करते हैं। एक बड़ी चुनौती यह है कि बड़ी मात्रा में डेटा की जांच करने के कारण एनडीआर उपकरण कई झूठी सकारात्मकता लौटाते हैं। इसलिए अब तक, यदि आप एनडीआर से लाभ प्राप्त करना चाहते हैं, तो झूठी सकारात्मकता के प्रसार से निपटने के लिए एक टीम को निधि देने के लिए, आपको पर्याप्त साइबर सुरक्षा बजट की आवश्यकता होगी। इसके अलावा, केवल बड़ी कंपनियाँ ही झूठी सकारात्मकता के इस प्रलय से निपटने के लिए इच्छुक और सक्षम थीं।
एसएमई के लिए एनडीआर को प्रबंधनीय और वहनीय बनाना
हाल की प्रगति एनडीआर को छोटी कंपनियों के लिए अधिक प्रबंधनीय बनाती है। संक्षेप में, निम्नलिखित सात एनडीआर नवाचार गेम-चेंजिंग हैं:
- आर्टिफिशियल इंटेलिजेंस: पारंपरिक एनडीआर उपकरणों ने मॉडल किए गए नेटवर्क व्यवहार से कई विचलनों का पता लगाया है। लेकिन इनमें से सभी वास्तविक खतरे नहीं थे। वास्तव में, उनमें से अधिकांश झूठे अलार्म थे। इन झूठे अलार्मों की देखभाल के लिए बहुत से विशेषज्ञों की आवश्यकता थी। कृत्रिम बुद्धिमत्ता का उपयोग करते हुए, आधुनिक एनडीआर उपकरण अब एसएमबी के लिए उन घटनाओं के लिए अलर्ट को कम करके काम कर सकते हैं जिन्हें वास्तव में स्वचालित रूप से कार्य करने की आवश्यकता होती है या जिनकी मानव विशेषज्ञ द्वारा जांच की आवश्यकता होती है।
- मशीन लर्निंग: आज की मशीन लर्निंग पिछली पीढ़ियों की तुलना में नेटवर्क ट्रैफ़िक के सामान्य व्यवहार को अधिक सटीक रूप से मॉडल कर सकती है। अलग-अलग शिक्षण एल्गोरिदम नेटवर्क डेटा में सैकड़ों कारकों की पहचान और सहसंबंध करते हैं, जिससे बहुत अधिक दानेदार मॉडल बनते हैं।
- अत्यधिक विज़ुअलाइज्ड यूजर इंटरफेस: एक साफ और विज़ुअलाइज्ड यूजर इंटरफेस की तुलना में सुरक्षा विश्लेषकों को अधिक समय नहीं बचाता है। आपके लिए क्या महत्वपूर्ण है और क्या करने की आवश्यकता है, इसका अवलोकन करना आपके लिए बहुत आसान है। साथ ही, उनके लिए प्रबंधन को यह समझाना बहुत आसान हो जाता है कि जब उन्हें स्पष्ट, विज़ुअलाइज़्ड रिपोर्ट मिलती हैं तो क्या हुआ।
- नेटवर्क में सभी संपत्तियों का स्वत: पता लगाना: नेटवर्क में ब्लाइंड स्पॉट हैकर्स और मैलवेयर के लिए एकदम सही प्रवेश बिंदु हैं। आप जो नहीं देख सकते उसकी रक्षा नहीं कर सकते। स्वचालित पहचान की मदद से, आधुनिक एनडीआर उपकरण ब्लाइंड स्पॉट को जल्दी खत्म कर देते हैं और सुरक्षा विश्लेषकों को नेटवर्क में वास्तविक समय की जानकारी देते हैं।
- समापन बिंदु सुरक्षा, फ़ायरवॉल, सिएम, ईडीआर और अन्य उपकरणों के साथ एकीकरण: एकीकरण दो तरह से काम करता है। एक ओर, मौजूदा सुरक्षा तकनीकों से लॉग फ़ाइलों का एकत्रीकरण सामान्य स्थिति को मॉडल करने में मदद करता है। दूसरी ओर, यह प्रतिक्रिया को तेज कर सकता है। उदाहरण के लिए, पूर्वनिर्धारित प्लेबुक एक संक्रमित समापन बिंदु या फ़ायरवॉल पर आउटबाउंड ट्रैफ़िक के व्यवधान के लिए एक तत्काल क्वारंटाइन को स्वचालित कर सकती है। यदि आप हैक हो जाते हैं, तो प्रभावों को कम करने में समय सार है। और अन्य सुरक्षा प्रणालियों के साथ एकीकरण से समय की बचत हो सकती है।
- घटनाओं की स्वचालित जांच और घटनाओं का सहसंबंध: एक परिष्कृत हमले में हमेशा एक जटिल हमले की श्रृंखला होती है। जब उनकी प्रणाली का उल्लंघन किया गया है या कुछ संदिग्ध लगता है, तो सुरक्षा विश्लेषकों को यह पता लगाने की जरूरत है कि घड़ी की टिक-टिक के दौरान खतरा कहां से आ रहा है। आधुनिक सहसंबंध इंजनों के साथ, वे किसी भी घटना को उसके मूल कारण तक आसानी से ट्रेस कर सकते हैं और किसी भी भेद्यता या अंतर को बंद कर सकते हैं।
- मानक प्रतिक्रिया उपाय: चूंकि आईटी सुरक्षा संसाधन सीमित हैं, जो लगभग सभी छोटे और मध्यम आकार के व्यवसायों के मामले में है, कंपनियों को जितना संभव हो सके खतरे की प्रतिक्रिया को स्वचालित करने की आवश्यकता है। पूर्व-निर्धारित डिफ़ॉल्ट प्रतिक्रियाओं का उपयोग करना, जैसे संक्रमित नेटवर्क संसाधनों को क्वारंटाइन करना, वास्तविक समय में हमलों को कम कर सकता है। एनडीआर उपकरण प्लेबुक को परिभाषित कर सकते हैं जो एक साथ कई कार्रवाइयों को ट्रिगर करते हैं, ईमेल और एसएमएस से लेकर टीम के सदस्यों को पासवर्ड रीसेट करने और फ़ायरवॉल नियमों को अपडेट करने तक।
हाल के एनडीआर विकास के लिए धन्यवाद, कई और छोटे व्यवसाय अब अपने बढ़ते हमले की सतह पर तेजी से परिष्कृत खतरों का पता लगाने में सक्षम हैं। एनडीआर समाधानों के लिए कम संसाधनों की आवश्यकता होती है क्योंकि वे वास्तविक खतरों और झूठी सकारात्मकताओं के बीच अंतर करते हैं, कार्यों को प्राथमिकता देते हैं, और खतरे के निवारण को स्वचालित करते हैं। यह अभी भी एकदम सही तूफान है, लेकिन एनडीआर की मदद से, एसएमई अपनी पकड़ बनाने के लिए बेहतर तरीके से सुसज्जित हैं।
ForeNova.com पर अधिक
ForeNova के बारे में ForeNova एक यूएस-आधारित साइबर सुरक्षा विशेषज्ञ है जो मध्यम आकार की कंपनियों को सस्ती और व्यापक नेटवर्क डिटेक्शन एंड रिस्पॉन्स (NDR) प्रदान करता है ताकि साइबर खतरों से होने वाले नुकसान को कुशलता से कम किया जा सके और व्यावसायिक जोखिमों को कम किया जा सके। ForeNova फ्रैंकफर्ट में यूरोपीय ग्राहकों के लिए डाटा सेंटर का संचालन करता है। एम. और जीडीपीआर-अनुरूप सभी समाधानों को डिजाइन करता है। यूरोपीय मुख्यालय एम्स्टर्डम में हैं।