दूरस्थ कार्य में वृद्धि के साथ, IT व्यवस्थापक, सुरक्षा दल और नियमित कर्मचारी अब एंटरप्राइज़ सिस्टम, DevOps वातावरण और अनुप्रयोगों के लिए दूरस्थ पहुँच पर बहुत अधिक निर्भर हैं। यह खतरे के अभिनेताओं को एक बहुत बड़ी हमले की सतह देता है: प्रतिरूपण।
डिजिटल पहचान साइबर अपराधियों के पसंदीदा हथियार के रूप में उभरी है। जहां एक संगठन के विशेषाधिकार प्राप्त उपयोगकर्ता नियमित रूप से उपयोग के लिए साझा विशेषाधिकार प्राप्त खातों का उपयोग करते हैं - विशेष रूप से एक वीपीएन पर दूरस्थ रूप से - कोई भी हमलावर जो उन क्रेडेंशियल्स से समझौता करता है, मिशन-महत्वपूर्ण डेटा और संसाधनों तक सबसे खराब, दूरगामी पहुंच है। इसके अलावा, न केवल विशेषाधिकार प्राप्त उपयोगकर्ता जोखिम में हैं। कई साइबर हमले नेटवर्क की खोज के लिए नियमित कर्मचारी खातों को लॉन्च पैड के रूप में उपयोग करने के लिए लक्षित करते हैं।
इसे ध्यान में रखते हुए, संगठनों को एक वितरित कार्यबल, बाहरी ठेकेदारों, और अत्यधिक वितरित आईटी अवसंरचना के बढ़ते हमले की सतह के प्रभाव की समीक्षा करनी चाहिए, और इन नई गतिकी का बेहतर जवाब देने के लिए नई ज़ीरो ट्रस्ट रणनीतियों को लागू करने पर विचार करना चाहिए।
मानव और मशीन की पहचान के लिए जीरो ट्रस्ट रणनीति
जीरो ट्रस्ट मॉडल के साथ, संवेदनशील कॉर्पोरेट डेटा, एप्लिकेशन या बुनियादी ढांचे तक पहुंच का अनुरोध करने वाले किसी भी अभिनेता पर पहले से भरोसा नहीं किया जाता है। हालाँकि, सुरक्षा उपायों को मानव उपयोगकर्ता पहचान पर नहीं रुकना चाहिए। मशीनों, अनुप्रयोगों और अन्य वर्कलोड के लिए गैर-मानवीय पहचान और सेवा खाते कई संगठनों में "उपयोगकर्ताओं" के बहुमत को बढ़ा रहे हैं। यह विशेष रूप से क्लाउड और DevOps वातावरण में सच है जहां डेवलपर टूल, कंटेनरीकृत एप्लिकेशन, माइक्रोसर्विसेज और इलास्टिक वर्कलोड - जिनमें से सभी को एक दूसरे के साथ संवाद करने के लिए पहचान की आवश्यकता होती है - प्रमुख भूमिका निभाते हैं। इसलिए, उनकी पहचान-आधारित सुरक्षा स्थिति में सुधार करने के लिए, संगठनों को शून्य-विश्वास दृष्टिकोण के आधार पर विशेषाधिकार प्राप्त पहुँच अनुमतियों के प्रबंधन पर ध्यान देना चाहिए।
प्रिविलेज एक्सेस मैनेजमेंट (PAM) के माध्यम से जीरो ट्रस्ट सुरक्षा
पारंपरिक नेटवर्क परिधि भंग हो रही है क्योंकि उपयोगकर्ता और आईटी संसाधन भौगोलिक रूप से अधिक वितरित हो गए हैं। नतीजतन, "विश्वसनीय उपयोगकर्ता परिधि के अंदर हैं और अविश्वसनीय उपयोगकर्ता बाहर हैं" जैसी सरल अवधारणाओं पर आधार पहुंच निर्णय लेना अब व्यावहारिक नहीं है और इस अंतर के लिए आईपी पते का उपयोग करें। उद्यमों को यह मान लेना चाहिए कि खतरे के कारक पहले से ही उनके सिस्टम के अंदर हैं। पुराने "भरोसा करो लेकिन सत्यापित करो" दृष्टिकोण को "कभी भरोसा मत करो, हमेशा सत्यापित करो" के साथ बदलने की आवश्यकता है।
"नेवर ट्रस्ट" का अर्थ है कि वैध व्यवस्थापकों के पास विशेषाधिकार प्राप्त खातों तक पहुँचने के लिए अब कार्टे ब्लैंच नहीं है। अर्थात्, रूट और स्थानीय व्यवस्थापक जैसे साझा विशेषाधिकार प्राप्त खातों को अपनी इच्छानुसार करने की अनुमति देने के बजाय, व्यवस्थापक अपने एचआर-वीटेड कॉर्पोरेट खाते का उपयोग करते हैं, जिसमें बुनियादी विशेषाधिकार होते हैं। यह घातक त्रुटियों को रोकता है और यदि हमलावर उस खाते से समझौता करता है तो प्रभाव कम हो जाता है। PAM सुरक्षा नियंत्रण तब केंद्रीकृत भूमिकाओं और नीतियों के आधार पर चुनिंदा रूप से उन्नत विशेषाधिकार प्रदान कर सकते हैं जब स्थिति इसकी मांग करती है। हर समय व्यापक विशेषाधिकार रखने वाली पहचान के बजाय, यह कम से कम-विशेषाधिकार दृष्टिकोण सुरक्षा जोखिम को कम करता है जबकि अभी भी वैध प्रशासकों को केवल पर्याप्त विशेषाधिकारों का अनुरोध करके, समय-समय पर और सीमित समय के लिए अपना काम करने की अनुमति देता है। प्रभावी सुरक्षा सुनिश्चित करने के लिए, कंपनियों को इस दृष्टिकोण को सभी आईटी संसाधनों पर लगातार लागू करना चाहिए, चाहे वह डेटा सेंटर में हो, डिमिलिट्राइज़्ड ज़ोन (DMZ) में, वर्चुअल प्राइवेट क्लाउड या मल्टी-क्लाउड वातावरण में हो।
पीएएम के लिए इस जीरो-ट्रस्ट दृष्टिकोण को कम से कम-विशेषाधिकार पहुंच नियंत्रणों का उपयोग करके, संगठन अपनी हमले की सतह को कम करते हैं, ऑडिट और अनुपालन दृश्यता में सुधार करते हैं, और जोखिम, जटिलता और लागत को कम करते हैं।
अच्छे जीरो ट्रस्ट के रास्ते पर महत्वपूर्ण कदम
पीएएम एक जटिल तकनीक है, लेकिन संगठन केवल कुछ बुनियादी बातों के साथ सुरक्षा में महत्वपूर्ण प्रगति कर सकते हैं और क्रमिक रूप से अधिक उन्नत क्षमताओं को लागू करके अपने जीरो ट्रस्ट परिपक्वता स्तर में सुधार करना जारी रख सकते हैं। पहले महत्वपूर्ण कदम पासवर्ड स्वच्छता में सुधार, साझा विशेषाधिकार प्राप्त खातों को सुरक्षित करना और प्रशासकों के लिए बहु-कारक प्रमाणीकरण (एमएफए) लागू करना है।
1. मानव और मशीन की पहचान के लिए अच्छा पासवर्ड स्वच्छता
एक भी हैक किया गया पासवर्ड संभावित रूप से पूरे संगठन को नुकसान पहुंचा सकता है। उच्च एन्ट्रॉपी पासवर्ड जिन्हें क्रैक करना मुश्किल है, इसलिए आवश्यक हैं। बार-बार पासवर्ड घुमाने से संभावित हमलावरों के लिए अवसर की खिड़की भी कम हो जाती है। यह गैर-मानव खातों के लिए भी महत्वपूर्ण है। किसी एप्लिकेशन या सेवा के टूटने के डर से उन्हें शायद ही कभी बदला जाता है। पीएएम इन खातों को केंद्रीय रूप से प्रबंधित करने की अनुमति देता है और एक बार-बार रोटेशन नीति लागू होती है। ऐसा करने में, ये समाधान यह सुनिश्चित करने के लिए एक बहुसंकेतन खाता सुविधा का लाभ उठा सकते हैं कि आवेदन विफलता के जोखिम को कम करने के लिए रोटेशन से पहले सभी निर्भर कंप्यूटरों पर पासवर्ड सिंक्रनाइज़ किया गया है।
चूंकि मानव अभी भी सुरक्षा श्रृंखला की सबसे कमजोर कड़ी है और इसलिए हमलावरों के लिए प्रमुख लक्ष्यों में से एक है, केवल प्रशासकों के लिए ही नहीं, बल्कि सभी उपयोगकर्ताओं के लिए निरंतर सुरक्षा प्रशिक्षण अनिवार्य होना चाहिए।
2. प्रशासकों के लिए बहु-कारक प्रमाणीकरण
पहचान सुरक्षा को मजबूत करने के लिए एक और ठोस कदम सभी प्रशासकों के लिए बहु-कारक प्रमाणीकरण का कार्यान्वयन है। हमलावरों के लिए भी समय पैसा है। इसलिए, एमएफए जैसी अतिरिक्त सुरक्षा बाधाएं एक हमलावर को अगले संभावित शिकार पर जाने के लिए प्रेरित कर सकती हैं।
दूसरे कारक के रूप में एक भौतिक प्रमाणक (जैसे YubiKey, पुश नोटिफिकेशन या ऐप्पल टच आईडी जैसे एम्बेडेड बायोमेट्रिक्स) का उपयोग करना हमलावरों के लिए बहुत बड़ी बाधा प्रस्तुत करता है। यह उपाय बॉट्स या मैलवेयर को भी रोकता है। मल्टीपल एक्सेस पॉइंट्स पर एमएफए का लगातार उपयोग आवश्यक है।
3. पासवर्ड वॉल्टिंग
स्थायी अनुमति वाली पहचान एक महत्वपूर्ण सुरक्षा जोखिम पैदा करती है। लिनक्स सिस्टम विशेष रूप से स्थानीय विशेषाधिकार प्राप्त खातों का एक बड़ा स्रोत हैं। सबसे अच्छा तरीका यह है कि इनमें से अधिक से अधिक खातों को समाप्त कर दिया जाए। जिन खातों को कोई कंपनी समाप्त नहीं कर सकती उन्हें पासवर्ड वॉल्ट में रखा जाना चाहिए और केवल आपात स्थितियों तक ही सीमित रखा जाना चाहिए। ये दो उपाय पहले ही हमले की सतह को काफी कम कर देते हैं। अगले चरण के रूप में, व्यवस्थापकों को केवल वे अनुमतियाँ दी जानी चाहिए जिनकी उन्हें आवश्यकता है, ठीक समय पर, जब उन्हें उनकी आवश्यकता हो।
सफल साइबर हमलों की बढ़ती संख्या दर्शाती है कि पारंपरिक परिधि-आधारित सुरक्षा अवधारणाएँ अब पर्याप्त नहीं हैं। क्योंकि एक बार जब यह सुरक्षात्मक दीवार पार हो जाती है, तो अपराधियों के लिए आमतौर पर इसका आसान समय होता है। उद्यमों को यह मान लेना चाहिए कि हमलावर पहले से ही उनके नेटवर्क पर हैं और इस धारणा पर अपने सुरक्षा उपायों को आधार बनाते हैं। कंपनी की सभी संपत्तियों और संवेदनशील डेटा की रक्षा करने और बाहरी हमलों और अंदरूनी खतरों से होने वाले नुकसान को कम करने का यही एकमात्र तरीका है।
Sophos.com पर अधिक
थाइकोटिक सेंट्रीफाई के बारे में ThycoticCentrify क्लाउड पहचान सुरक्षा समाधानों का एक अग्रणी प्रदाता है जो बड़े पैमाने पर डिजिटल परिवर्तन को सक्षम बनाता है। ThycoticCentrify के उद्योग-अग्रणी प्रिविलेज्ड एक्सेस मैनेजमेंट (PAM) समाधान क्लाउड, ऑन-प्रिमाइसेस और हाइब्रिड वातावरण में उद्यम डेटा, उपकरणों और कोड की सुरक्षा करते हुए जोखिम, जटिलता और लागत को कम करते हैं। थायकोटिकसेंट्रिफाई पर दुनिया भर की 14.000 से अधिक अग्रणी कंपनियां भरोसा करती हैं, जिनमें फॉर्च्यून 100 के आधे से अधिक शामिल हैं। ग्राहकों में दुनिया के सबसे बड़े वित्तीय संस्थान, खुफिया एजेंसियां और महत्वपूर्ण इंफ्रास्ट्रक्चर कंपनियां शामिल हैं। चाहे मानव हो या मशीन, क्लाउड में हो या ऑन-प्रिमाइसेस - थाइकोटिकसेंट्रिफाई के साथ विशेषाधिकार प्राप्त एक्सेस सुरक्षित है।