कंप्यूटर सुरक्षा
विकिपीडिया से, मुक्त विश्वकोश
कंप्यूटर सुरक्षा (जिसे साइबर सुरक्षा, डिजिटल सुरक्षा या सूचना प्रौद्योगिकी (आईटी) सुरक्षा भी कहा जाता है) कंप्यूटर सॉफ़्टवेयर, प्रणालियों और नेटवर्क की उन खतरों से रक्षा करने के लिए है, जो अनधिकृत जानकारी के खुलासे, हार्डवेयर, सॉफ़्टवेयर या डेटा की चोरी (या क्षति) के साथ-साथ उनकी सेवाओं में व्यवधान या गलत दिशा में ले जाने का कारण बन सकते हैं।[1][2]

यह क्षेत्र इसलिए महत्वपूर्ण है क्योंकि कंप्यूटर प्रणालियों, इंटरनेट[3] और वायरलेस नेटवर्क मानकों पर बढ़ती निर्भरता है। यह स्मार्ट उपकरणों के विकास के कारण भी महत्वपूर्ण है, जिसमें स्मार्टफ़ोन, टेलीविज़न और इंटरनेट ऑफ थिंग्स (IoT) से जुड़े विभिन्न उपकरण शामिल हैं। सूचना प्रणालियों की जटिलता और उनके द्वारा समर्थित समाजों के कारण साइबर सुरक्षा समकालीन दुनिया के सामने सबसे महत्वपूर्ण नई चुनौतियों में से एक है। सुरक्षा उन प्रणालियों के लिए विशेष रूप से महत्वपूर्ण है जो बिजली वितरण, चुनाव और वित्त जैसे बड़े पैमाने पर काम करने वाली प्रणालियों को नियंत्रित करती हैं और जिनका व्यापक भौतिक प्रभाव होता है।[4][5]
कंप्यूटर सुरक्षा के कई पहलू डिजिटल सुरक्षा से जुड़े होते हैं, जैसे इलेक्ट्रॉनिक पासवर्ड और एन्क्रिप्शन, लेकिन अनधिकृत छेड़छाड़ को रोकने के लिए अभी भी धातु के ताले जैसी भौतिक सुरक्षा उपायों का उपयोग किया जाता है। आईटी सुरक्षा सूचना सुरक्षा का एक सही उपसमुच्चय नहीं है, इसलिए यह सुरक्षा सम्मेलन योजना में पूरी तरह फिट नहीं होती।
कमज़ोरियाँ और हमले
सारांश
परिप्रेक्ष्य
भेद्यता एक दोष को संदर्भित करती है जो कंप्यूटर या प्रणाली की संरचना, निष्पादन, कार्यप्रणाली या आंतरिक निगरानी में होती है, जिससे उसकी सुरक्षा खतरे में पड़ जाती है। अब तक खोजी गई अधिकांश भेद्यताओं को कॉमन वल्नरेबिलिटीज एंड एक्सपोजर्स (CVE) डेटाबेस में प्रलेखित किया गया है।[6] एक शोषण योग्य भेद्यता वह होती है, जिसके लिए कम से कम एक प्रभावी हमला या शोषण मौजूद होता है।[7] जो व्यक्ति या समूह जानबूझकर भेद्यताओं की तलाश करते हैं, उन्हें खतरे के रूप में जाना जाता है। भेद्यताओं पर शोध किया जा सकता है, उन्हें रिवर्स-इंजीनियरिंग, शिकार या स्वचालित उपकरणों या अनुकूलित स्क्रिप्ट का उपयोग करके शोषित किया जा सकता है।[8][9]
विभिन्न लोग या समूह साइबर हमलों के शिकार हो सकते हैं, लेकिन विभिन्न समूहों को अलग-अलग प्रकार के हमले ज्यादा झेलने पड़ते हैं।[10]
अप्रैल 2023 में, यूनाइटेड किंगडम के विज्ञान, नवाचार और प्रौद्योगिकी विभाग ने पिछले 12 महीनों में हुए साइबर हमलों पर एक रिपोर्ट जारी की।[11] इसमें उन्होंने 2,263 यूके व्यवसायों, 1,174 यूके में पंजीकृत चैरिटीज़ और 554 शैक्षणिक संस्थानों का सर्वेक्षण किया। शोध में पाया गया कि "32% व्यवसाय और 24% चैरिटीज़ ने पिछले 12 महीनों में किसी भी प्रकार के उल्लंघन या हमलों का अनुभव किया।" ये आंकड़े "मध्यम व्यवसायों (59%), बड़े व्यवसायों (69%), और उच्च आय वाली चैरिटीज़ जिनकी वार्षिक आय £500,000 या उससे अधिक है (56%)" के लिए अधिक थे।[11] हालांकि मध्यम और बड़े व्यवसाय अधिकतर शिकार होते हैं, क्योंकि बड़े व्यवसायों ने पिछले दशक में अपनी सुरक्षा में सुधार किया है, लेकिन छोटे और मध्यम आकार के व्यवसाय (SMBs) भी तेजी से अधिक भेद्य होते जा रहे हैं क्योंकि उनके पास व्यापार की रक्षा के लिए उन्नत उपकरण नहीं होते।[10] SMBs आमतौर पर मैलवेयर, रैंसमवेयर, फ़िशिंग, मैन-इन-द-मिडल अटैक्स, और डिनायल-ऑफ सर्विस (DoS) हमलों से प्रभावित होते हैं।[10]
साधारण इंटरनेट उपयोगकर्ताओं पर सबसे अधिक अप्रत्यक्ष साइबर हमलों का खतरा होता है।[12] इन हमलों में हमलावर जितने संभव हो उतने उपकरणों, सेवाओं या उपयोगकर्ताओं को अंधाधुंध रूप से निशाना बनाते हैं। वे इंटरनेट की खुली प्रकृति का लाभ उठाकर यह करते हैं। इन रणनीतियों में मुख्य रूप से फ़िशिंग, रैंसमवेयर, वॉटर होलिंग और स्कैनिंग शामिल होती हैं।[12]
किसी कंप्यूटर प्रणाली को सुरक्षित करने के लिए, यह समझना महत्वपूर्ण है कि उस पर कौन-कौन से हमले किए जा सकते हैं। आमतौर पर इन खतरों को निम्नलिखित श्रेणियों में वर्गीकृत किया जा सकता है:
बैकडोर
कंप्यूटर सिस्टम, क्रिप्टोसिस्टम, या एल्गोरिदम में एक बैकडोर एक गुप्त तरीका होता है, जो सामान्य प्रमाणीकरण या सुरक्षा नियंत्रणों को दरकिनार करने के लिए इस्तेमाल किया जाता है। यह कमजोरी कई कारणों से हो सकती है, जिसमें मूल डिज़ाइन या खराब कॉन्फ़िगरेशन शामिल है।[13] बैकडोर की प्रकृति के कारण, ये कंपनियों और डेटाबेस के लिए अधिक चिंता का विषय होते हैं, न कि व्यक्तिगत उपयोगकर्ताओं के लिए।
बैकडोर को किसी अधिकृत पक्ष द्वारा वैध पहुंच की अनुमति देने के लिए जोड़ा जा सकता है, या फिर हमलावर इसे दुर्भावनापूर्ण उद्देश्यों के लिए स्थापित कर सकते हैं। अपराधी अक्सर मैलवेयर का उपयोग करके बैकडोर स्थापित करते हैं, जिससे उन्हें सिस्टम पर रिमोट प्रशासनिक पहुंच मिल जाती है।[14] एक बार पहुंच प्राप्त करने के बाद, साइबर अपराधी फाइलों को संशोधित कर सकते हैं, व्यक्तिगत जानकारी चुरा सकते हैं, अवांछित सॉफ़्टवेयर स्थापित कर सकते हैं, और यहां तक कि पूरे कंप्यूटर का नियंत्रण भी ले सकते हैं।[14]
बैकडोर का पता लगाना बहुत कठिन हो सकता है और आमतौर पर इसे वही व्यक्ति खोज सकता है जिसे एप्लिकेशन के स्रोत कोड या कंप्यूटर के ऑपरेटिंग सिस्टम की गहरी जानकारी हो।
डिनायल-ऑफ-सर्विस हमला
डिनायल-ऑफ-सर्विस (DoS) हमले एक मशीन या नेटवर्क संसाधन को उसके इच्छित उपयोगकर्ताओं के लिए अनुपलब्ध बनाने के उद्देश्य से किए जाते हैं।[15] हमलावर सेवा को व्यक्तिगत पीड़ितों से इनकार कर सकते हैं, जैसे कि जानबूझकर कई बार गलत पासवर्ड दर्ज करना ताकि पीड़ित का खाता लॉक हो जाए, या वे मशीन या नेटवर्क की क्षमताओं को ओवरलोड कर सभी उपयोगकर्ताओं को एक साथ ब्लॉक कर सकते हैं। जबकि एक नेटवर्क हमले को एकल आईपी पते से फायरवॉल नियम जोड़कर ब्लॉक किया जा सकता है, कई प्रकार के वितरित डिनायल-ऑफ-सर्विस (DDoS) हमले संभव हैं, जहां हमला कई बिंदुओं से होता है। इस मामले में, इन हमलों से बचाव करना कहीं अधिक कठिन होता है। ऐसे हमले ज़ॉम्बी कंप्यूटरों की एक बॉटनेट से उत्पन्न हो सकते हैं या अन्य तकनीकों जैसे वितरित रिफ्लेक्टिव डिनायल-ऑफ-सर्विस (DRDoS) से हो सकते हैं, जहां निर्दोष सिस्टमों को धोखा देकर ट्रैफ़िक पीड़ित की ओर भेजा जाता है।[15] इस तरह के हमलों में वृद्धि कारक हमलावर के लिए हमले को आसान बना देता है क्योंकि उन्हें अपने स्वयं के बैंडविड्थ का कम उपयोग करना पड़ता है। यह समझने के लिए कि हमलावर इन हमलों को क्यों अंजाम देते हैं, 'हमलावर की प्रेरणा' अनुभाग देखें।
डायरेक्ट-एक्सेस हमला
डायरेक्ट-एक्सेस हमला तब होता है जब एक अनधिकृत उपयोगकर्ता (हमलावर) किसी कंप्यूटर तक भौतिक रूप से पहुंच प्राप्त करता है, सबसे अधिक संभावना है कि वह इससे डेटा को सीधे कॉपी कर सके या जानकारी चुरा सके।[16] हमलावर सुरक्षा से समझौता कर सकते हैं जैसे कि ऑपरेटिंग सिस्टम में बदलाव करना, सॉफ़्टवेयर वर्म्स, कीलॉगर्स, गुप्त सुनने वाले उपकरणों को स्थापित करना या वायरलेस माइक्रोफोन का उपयोग करना। यहां तक कि जब सिस्टम मानक सुरक्षा उपायों से सुरक्षित होता है, तो भी इन उपायों को एक अन्य ऑपरेटिंग सिस्टम या टूल को CD-ROM या अन्य बूटेबल मीडिया से बूट करके बाईपास किया जा सकता है। डिस्क एन्क्रिप्शन और ट्रस्टेड प्लेटफार्म मॉड्यूल (TPM) मानक को इन हमलों को रोकने के लिए डिज़ाइन किया गया है।
डायरेक्ट सर्विस हमलावर का सिद्धांत डायरेक्ट मेमोरी हमलों से संबंधित है, जो हमलावर को कंप्यूटर की मेमोरी तक सीधे पहुंच प्रदान करते हैं।[17] ये हमले "आधुनिक कंप्यूटरों की एक विशेषता का फायदा उठाते हैं, जो बाहरी हार्ड ड्राइव, ग्राफिक्स कार्ड, या नेटवर्क कार्ड जैसी कुछ डिवाइसों को कंप्यूटर की मेमोरी तक सीधे पहुंचने की अनुमति देती हैं।"[17]
ईव्सड्रॉपिंग
ईव्सड्रॉपिंग एक निजी कंप्यूटर संवाद (संचार) को चुपके से सुनने का कार्य है, जो आमतौर पर नेटवर्क पर होस्ट्स के बीच होता है। यह तब होता है जब कोई उपयोगकर्ता ऐसे नेटवर्क से जुड़ता है जहां ट्रैफ़िक सुरक्षित या एन्क्रिप्टेड नहीं होता और वह संवेदनशील व्यावसायिक डेटा एक सहकर्मी को भेजता है, जिसे हमलावर द्वारा सुनकर शोषित किया जा सकता है।[18] "खुले नेटवर्क" के माध्यम से भेजे गए डेटा को हमलावर विभिन्न तरीकों से भेद्यता का फायदा उठाकर इंटरसेप्ट कर सकता है।
मैलवेयर, डायरेक्ट-एक्सेस हमलों या अन्य साइबर हमलों के विपरीत, ईव्सड्रॉपिंग हमले नेटवर्क या उपकरणों के प्रदर्शन को नकारात्मक रूप से प्रभावित करने की संभावना कम रखते हैं, जिससे इन्हें पहचानना मुश्किल हो जाता है।[18] वास्तव में, "हमलावर को सॉफ़्टवेयर से किसी भी निरंतर कनेक्शन की आवश्यकता नहीं होती। हमलावर सॉफ़्टवेयर को किसी संक्रमित उपकरण पर डाल सकता है, चाहे वह सीधे हो या किसी वायरस या अन्य मैलवेयर के माध्यम से, और फिर बाद में किसी भी डेटा को प्राप्त करने या डेटा भेजने के लिए सॉफ़्टवेयर को सक्रिय करने के लिए वापस आ सकता है।"[19]
वर्चुअल प्राइवेट नेटवर्क (VPN) का उपयोग करना, जो दो बिंदुओं के बीच डेटा को एन्क्रिप्ट करता है, ईव्सड्रॉपिंग के खिलाफ सुरक्षा का एक सबसे सामान्य रूप है। वायरलेस नेटवर्क के लिए सबसे अच्छी एन्क्रिप्शन विधि का उपयोग करना और एन्क्रिप्टेड HTTP (HTTPS) का उपयोग करना भी एक बेहतरीन तरीका है।[20]
कानून प्रवर्तन एजेंसियों द्वारा भी ईव्सड्रॉपिंग के लिए कुछ प्रोग्रामों का उपयोग किया जाता है, जैसे कि Carnivore और NarusInSight, जिन्हें FBI और NSA द्वारा इंटरनेट सेवा प्रदाताओं की प्रणालियों की निगरानी के लिए उपयोग किया गया है। यहां तक कि बंद प्रणालियों (जिनका बाहरी दुनिया से कोई संपर्क नहीं होता) को भी ईव्सड्रॉप किया जा सकता है, जो हार्डवेयर द्वारा उत्पन्न सूक्ष्म विद्युतचुंबकीय प्रसारणों की निगरानी करके किया जाता है। TEMPEST एक NSA विनिर्देश है जो इन हमलों का संदर्भ देता है।
मैलवेयर
मैलिशियस सॉफ़्टवेयर (मैलवेयर) किसी भी सॉफ़्टवेयर कोड या कंप्यूटर प्रोग्राम को कहा जाता है, जिसे जानबूझकर कंप्यूटर सिस्टम या उसके उपयोगकर्ताओं को नुकसान पहुँचाने के उद्देश्य से लिखा जाता है।[21] एक बार कंप्यूटर में मौजूद होने पर, यह संवेदनशील जानकारी जैसे व्यक्तिगत और व्यावसायिक जानकारी, पासवर्ड लीक कर सकता है, सिस्टम का नियंत्रण हमलावर को दे सकता है, और डेटा को भ्रष्ट या स्थायी रूप से हटा सकता है।[22] मैलवेयर का एक प्रकार रैनसमवेयर होता है, जिसमें मैलवेयर पीड़ित की मशीन पर खुद को इंस्टॉल करता है, उसकी फ़ाइलों को एन्क्रिप्ट करता है, और फिर उस डेटा को वापस देने के लिए फिरौती (आमतौर पर बिटकॉइन में) की मांग करता है।[23]
मैलवेयर के कुछ प्रकार निम्नलिखित हैं:
- वायरस: यह एक प्रकार का मैलवेयर होता है, जो सॉफ़्टवेयर को हाइजैक करता है और नुकसान पहुँचाने और खुद की प्रतिलिपियाँ फैलाने का इरादा रखता है। यह अन्य प्रोग्रामों में फैलने के लिए कॉपियाँ बनाता है।[21]
- वर्म्स: वायरस के समान होते हैं, लेकिन वायरस को कार्य करने के लिए उपयोगकर्ता द्वारा एक समझौता किए गए प्रोग्राम को चलाने की आवश्यकता होती है। वर्म्स स्वयं-प्रतिकृति करने वाले मैलवेयर होते हैं, जो बिना मानव हस्तक्षेप के प्रोग्रामों, ऐप्स और डिवाइसों के बीच फैलते हैं।[21]
- ट्रोजन हॉर्स: ये प्रोग्राम होते हैं, जो उपयोगी या वैध सॉफ़्टवेयर के रूप में छिपे रहते हैं या खुद को दिखाते हैं ताकि उपयोगकर्ताओं को उन्हें इंस्टॉल करने के लिए धोखा दिया जा सके। एक बार इंस्टॉल होने के बाद, रिमोट एक्सेस ट्रोजन (RAT) प्रभावित डिवाइस पर एक गुप्त बैकडोर बना सकता है, जिससे नुकसान पहुँचाया जा सके।[21]
- स्पाइवेयर: यह एक प्रकार का मैलवेयर होता है, जो संक्रमित कंप्यूटर से जानकारी एकत्र करता है और इसे हमलावर को भेजता है। स्पाइवेयर का एक सामान्य रूप कीलॉगर्स होते हैं, जो उपयोगकर्ता की सभी कीबोर्ड इनपुट/कीस्ट्रोक को रिकॉर्ड करते हैं, जिससे हमलावर यूज़रनेम, पासवर्ड, बैंक खाते और क्रेडिट कार्ड नंबर प्राप्त कर सकते हैं।[21]
- स्केयरवेयर: जैसा कि नाम से पता चलता है, यह एक प्रकार का मैलवेयर होता है, जो उपयोगकर्ताओं को डराने, झटका देने, चिंता उत्पन्न करने, या खतरे की धारणा का सुझाव देकर उन्हें अवांछित सॉफ़्टवेयर खरीदने या इंस्टॉल करने के लिए धोखा देता है। ये हमले अक्सर एक अचानक पॉप-अप संदेश के साथ शुरू होते हैं, जो उपयोगकर्ता को यह चेतावनी देते हैं कि उन्होंने कानून तोड़ा है या उनके डिवाइस में वायरस है।[21]
मैन-इन-द-मिडिल हमले
मैन-इन-द-मिडिल (MITM) हमलों में एक दुर्भावनापूर्ण हमलावर, दो पक्षों के बीच संचार को रोकने, निगरानी करने या उसमें परिवर्तन करने की कोशिश करता है। वह दोनों पक्षों की पहचान को स्पूफ करके खुद को बीच में डाल लेता है।[24] MITM हमलों के कुछ प्रकार निम्नलिखित हैं:
- आईपी एड्रेस स्पूफिंग: इसमें हमलावर रूटिंग प्रोटोकॉल को हाईजैक कर लक्ष्य का ट्रैफिक किसी कमजोर नेटवर्क नोड पर पुनः निर्देशित करता है ताकि ट्रैफिक को इंटरसेप्ट या इंजेक्ट किया जा सके।
- मैसेज स्पूफिंग (ईमेल, एसएमएस, या ओटीटी मैसेजिंग के जरिए): इसमें हमलावर लक्ष्य का इस्तेमाल करते हुए ईमेल, एसएमएस या ओटीटी मैसेजिंग एप्स के माध्यम से किसी की पहचान या सेवा को स्पूफ करता है। हमलावर तब बातचीत की निगरानी कर सकता है, सामाजिक हमले कर सकता है, या और अधिक हमलों के लिए जीरो-डे कमजोरियों का फायदा उठा सकता है।
- वाईफाई SSID स्पूफिंग: इसमें हमलावर एक वाईफाई बेस स्टेशन SSID की नकल करता है ताकि इंटरनेट ट्रैफिक और लेन-देन को कैप्चर और संशोधित किया जा सके। यह स्थानीय नेटवर्क एड्रेसिंग और कमजोर नेटवर्क सुरक्षा का उपयोग करके फ़ायरवॉल में प्रवेश कर सकता है।
- डीएनएस स्पूफिंग: इसमें हमलावर डोमेन नाम असाइनमेंट को हाईजैक करता है ताकि ट्रैफिक को अपने नियंत्रण वाले सिस्टम पर पुनः निर्देशित किया जा सके, जिससे ट्रैफिक की निगरानी की जा सके या अन्य हमलों को अंजाम दिया जा सके।
- एसएसएल हाईजैकिंग: इसमें हमलावर एसएसएल ऑथेंटिकेशन और एन्क्रिप्शन प्रोटोकॉल को सर्टिफिकेट अथॉरिटी इंजेक्शन के माध्यम से स्पूफ करता है ताकि ट्रैफिक को डिक्रिप्ट, मॉनिटर और संशोधित किया जा सके।[24]
बहु-वेक्टर, बहुरूपी हमले
2017 में उभरने वाला एक नया वर्ग, मल्टी-वेक्टर,[25] पॉलीमॉर्फिक[26] साइबर हमलों का होता है, जिसमें कई प्रकार के हमले एक साथ होते हैं और ये हमले फैलते हुए साइबर सुरक्षा नियंत्रणों से बचने के लिए अपना रूप बदल लेते हैं।
मल्टी-वेक्टर पॉलीमॉर्फिक हमले, जैसा कि नाम से स्पष्ट है, दोनों मल्टी-वेक्टर और पॉलीमॉर्फिक होते हैं।[27] सबसे पहले, यह एक ऐसा हमला है जिसमें कई प्रकार के हमले शामिल होते हैं। इस दृष्टिकोण से, यह "मल्टी-वेक्टर" है, यानी हमला वेब, ईमेल और एप्लिकेशन जैसे कई माध्यमों से फैल सकता है। इसके अलावा, ये हमले मल्टी-स्टेज होते हैं, यानी ये नेटवर्क में घुसपैठ कर सकते हैं और नेटवर्क के अंदर साइड मूवमेंट कर सकते हैं।[27] ये हमले पॉलीमॉर्फिक भी हो सकते हैं, जिसका मतलब है कि साइबर हमले जैसे वायरस, वर्म या ट्रोजन लगातार अपना रूप बदलते हैं, जिससे सिग्नेचर-आधारित सुरक्षा उपायों से इनका पता लगाना लगभग असंभव हो जाता है।[27]
फ़िशिंग

फ़िशिंग एक ऐसी प्रक्रिया है जिसमें उपयोगकर्ताओं को धोखा देकर उनके संवेदनशील जानकारी जैसे यूज़रनेम, पासवर्ड और क्रेडिट कार्ड की जानकारी हासिल की जाती है।[28] फ़िशिंग आमतौर पर ईमेल स्पूफिंग, इंस्टेंट मैसेजिंग, टेक्स्ट मैसेज, या फोन कॉल के जरिए की जाती है। इसमें उपयोगकर्ताओं को ऐसे नकली वेबसाइट पर जाने के लिए प्रेरित किया जाता है जो देखने और महसूस करने में असली वेबसाइट के समान होती है।[29] यह नकली वेबसाइट व्यक्तिगत जानकारी मांगती है, जैसे लॉगिन विवरण और पासवर्ड, जिसे फिर असली वेबसाइट पर उपयोगकर्ता के खाते तक पहुंचने के लिए इस्तेमाल किया जा सकता है।
फ़िशिंग पीड़ित की भरोसे की भावना का शोषण करता है, और इसे सोशल इंजीनियरिंग का एक रूप माना जा सकता है। हमलावर असली खातों तक पहुंचने के लिए रचनात्मक तरीकों का उपयोग कर सकते हैं। एक सामान्य धोखा यह होता है कि हमलावर उपयोगकर्ताओं को नकली इलेक्ट्रॉनिक चालान भेजते हैं,[30] यह दिखाते हुए कि उन्होंने हाल ही में संगीत, ऐप्स या अन्य चीज़ें खरीदी हैं, और यदि यह खरीदारी अधिकृत नहीं है, तो एक लिंक पर क्लिक करने का निर्देश देते हैं। फ़िशिंग का एक अधिक रणनीतिक प्रकार स्पीयर-फ़िशिंग है, जिसमें व्यक्तिगत या संगठन-विशिष्ट जानकारी का उपयोग किया जाता है ताकि हमलावर को एक विश्वसनीय स्रोत के रूप में प्रस्तुत किया जा सके। स्पीयर-फ़िशिंग हमले विशेष व्यक्तियों को लक्षित करते हैं, जबकि सामान्य फ़िशिंग प्रयासों में अधिक व्यापक समूह को निशाना बनाया जाता है।[31]
विशेषाधिकार वृद्धि
विशेषाधिकार वृद्धि (प्रिविलेज एस्केलेशन) उस स्थिति को दर्शाता है जहां एक हमलावर, कुछ सीमित पहुंच के साथ, बिना अनुमति के अपने अधिकार या पहुंच स्तर को बढ़ाने में सक्षम हो जाता है।[32] उदाहरण के लिए, एक साधारण कंप्यूटर उपयोगकर्ता सिस्टम में किसी कमजोरी का फायदा उठाकर प्रतिबंधित डेटा तक पहुंच सकता है, या यहां तक कि रूट (root) उपयोगकर्ता बनकर पूरे सिस्टम पर बिना किसी प्रतिबंध के नियंत्रण प्राप्त कर सकता है। ऐसे हमलों की गंभीरता मामूली अवांछित ईमेल भेजने से लेकर बड़ी मात्रा में डेटा पर रैंसमवेयर हमले तक हो सकती है। प्रिविलेज एस्केलेशन अक्सर सोशल इंजीनियरिंग तकनीकों, विशेष रूप से फ़िशिंग, से शुरू होती है।[32]
प्रिविलेज एस्केलेशन को दो रणनीतियों में विभाजित किया जा सकता है: क्षैतिज (horizontal) और लंबवत (vertical) प्रिविलेज एस्केलेशन।
- क्षैतिज एस्केलेशन (horizontal escalation): इसमें हमलावर एक सामान्य उपयोगकर्ता खाते की पहुंच प्राप्त करता है, जिसमें अपेक्षाकृत कम स्तर के अधिकार होते हैं। यह आमतौर पर उपयोगकर्ता का यूज़रनेम और पासवर्ड चुराकर किया जाता है। इस "पायदान" पर पहुंचने के बाद, हमलावर इसी तरह के स्तर के अन्य उपयोगकर्ताओं के नेटवर्क में घूम सकता है और समान अधिकार वाले डेटा तक पहुंच प्राप्त कर सकता है।[32]
- लंबवत एस्केलेशन (vertical escalation): इसमें हमलावर का लक्ष्य किसी कंपनी में उच्च अधिकार वाले व्यक्तियों तक पहुंच प्राप्त करना होता है, जैसे आईटी कर्मचारी जिनके पास अधिक प्रशासनिक अधिकार होते हैं। इस तरह के खाते का उपयोग करके हमलावर अन्य खातों तक पहुंचने में सक्षम हो जाता है।[32]
साइड-चैनल हमला
किसी भी संगणकीय प्रणाली का उसके परिवेश पर कुछ न कुछ प्रभाव अवश्य पड़ता है। यह प्रभाव विद्युत-चुंबकीय विकिरण से लेकर RAM कोशिकाओं पर बची हुई जानकारी तक हो सकता है, जिससे कोल्ड बूट अटैक संभव हो जाता है, या हार्डवेयर कार्यान्वयन की त्रुटियाँ होती हैं जो सामान्य रूप से अप्राप्य मानों तक पहुँचने या उनका अनुमान लगाने की अनुमति देती हैं। साइड-चैनल अटैक परिदृश्यों में, हमलावर इस प्रकार की जानकारी एकत्र करता है ताकि वह सिस्टम या नेटवर्क की आंतरिक स्थिति का अनुमान लगा सके और परिणामस्वरूप उस जानकारी तक पहुँच सके जिसे पीड़ित सुरक्षित मानता है।
सोशल इंजीनियरिंग
कंप्यूटर सुरक्षा के संदर्भ में सोशल इंजीनियरिंग का उद्देश्य उपयोगकर्ताओं को इस तरह से धोखा देना होता है कि वे अपने पासवर्ड, कार्ड नंबर आदि जैसी गोपनीय जानकारी साझा कर दें, या शारीरिक पहुंच की अनुमति दे दें, जैसे कि किसी वरिष्ठ अधिकारी, बैंक, ठेकेदार या ग्राहक का प्रतिरूपण करके।[33] यह आमतौर पर लोगों के विश्वास का फायदा उठाता है और उनके संज्ञानात्मक पूर्वाग्रहों पर आधारित होता है। एक सामान्य घोटाला वह होता है जिसमें लेखा और वित्त विभाग के कर्मचारियों को उनके CEO का प्रतिरूपण करते हुए ईमेल भेजा जाता है और तुरंत कुछ कार्रवाई करने का अनुरोध किया जाता है। सोशल इंजीनियरिंग की मुख्य तकनीकों में फ़िशिंग हमले शामिल होते हैं।
2016 की शुरुआत में, FBI ने बताया कि इस प्रकार के बिजनेस ईमेल समझौते (BEC) धोखाधड़ी ने लगभग दो वर्षों में अमेरिकी व्यवसायों को 2 बिलियन डॉलर से अधिक का नुकसान पहुंचाया।[34]
मई 2016 में, मिलवॉकी बक्स NBA टीम इस प्रकार के साइबर घोटाले का शिकार हुई, जिसमें एक अपराधी ने टीम के अध्यक्ष पीटर फेगिन का प्रतिरूपण किया, जिसके परिणामस्वरूप टीम के सभी कर्मचारियों के 2015 के W-2 कर फॉर्म सौंप दिए गए।[35]
स्पूफिंग
स्पूफिंग (Spoofing) एक ऐसा कार्य है जिसमें कोई व्यक्ति या प्रणाली, डेटा (जैसे IP पता या उपयोगकर्ता नाम) को झूठा प्रस्तुत करके एक वैध इकाई होने का दिखावा करती है, ताकि वह ऐसी जानकारी या संसाधनों तक पहुँच सके, जिन तक पहुँचने का उसे अधिकार नहीं है। स्पूफिंग का फ़िशिंग से निकट संबंध है।[36][37] स्पूफिंग के कई प्रकार होते हैं, जिनमें शामिल हैं:
- ईमेल स्पूफिंग: इसमें हमलावर ईमेल के स्रोत पते (From या source) को नकली बनाता है।
- आईपी पता स्पूफिंग: इसमें हमलावर नेटवर्क पैकेट में स्रोत IP पते को बदलता है ताकि उसकी पहचान छिपी रहे या वह किसी अन्य कंप्यूटिंग प्रणाली का प्रतिरूपण कर सके।
- MAC स्पूफिंग: इसमें हमलावर अपने नेटवर्क इंटरफेस नियंत्रक के मीडिया एक्सेस कंट्रोल (MAC) पते को बदलता है ताकि अपनी पहचान छिपा सके या किसी अन्य व्यक्ति का प्रतिरूपण कर सके।
- बायोमेट्रिक स्पूफिंग: इसमें हमलावर नकली बायोमेट्रिक नमूना बनाकर किसी अन्य उपयोगकर्ता के रूप में दिखावा करता है।[38]
- एड्रेस रिज़ॉल्यूशन प्रोटोकॉल (ARP) स्पूफिंग: इसमें हमलावर स्थानीय क्षेत्र नेटवर्क पर नकली ARP संदेश भेजता है ताकि उसका MAC पता किसी अन्य होस्ट के IP पते से जुड़ जाए, जिससे डेटा उस होस्ट के बजाय हमलावर को भेजा जाता है।
2018 में, साइबर सुरक्षा फर्म ट्रेलिक्स ने हेल्थकेयर उद्योग में स्पूफिंग के जीवन-धमकाने वाले जोखिम पर शोध प्रकाशित किया।[39]
टैम्परिंग
टैम्परिंग (Tampering) एक दुर्भावनापूर्ण संशोधन या डेटा में बदलाव को दर्शाता है। यह एक जानबूझकर किया गया, लेकिन अवैध कार्य होता है, जिसके परिणामस्वरूप किसी सिस्टम, सिस्टम के घटकों, उसकी निर्धारित कार्यप्रणाली, या डेटा में बदलाव किया जाता है। तथाकथित एविल मेड हमले और सुरक्षा सेवाओं द्वारा राउटर्स में निगरानी क्षमता स्थापित करना इसके उदाहरण हैं।[40]
एचटीएमएल तस्करी
एचटीएमएल स्मगलिंग हमले में हमलावर किसी विशेष एचटीएमएल या वेब पेज के अंदर दुर्भावनापूर्ण कोड "छुपाने" में सक्षम होता है।[41] एचटीएमएल फाइलें हानिरहित, निष्क्रिय डेटा के रूप में पेलोड को छुपा सकती हैं ताकि सामग्री फिल्टर को मात दी जा सके। इन पेलोड्स को फिल्टर के दूसरी ओर फिर से संगठित किया जा सकता है।[42]
जब लक्षित उपयोगकर्ता एचटीएमएल खोलता है, तो दुर्भावनापूर्ण कोड सक्रिय हो जाता है; वेब ब्राउज़र स्क्रिप्ट को "डिकोड" करता है, जो फिर लक्ष्य के डिवाइस पर मैलवेयर को छोड़ देता है।[41]
सूचना सुरक्षा नियम
सारांश
परिप्रेक्ष्य
कर्मचारी व्यवहार का संगठनों में सूचना सुरक्षा पर बड़ा प्रभाव हो सकता है। सांस्कृतिक अवधारणाएँ संगठन के विभिन्न वर्गों को सूचना सुरक्षा की दिशा में प्रभावी ढंग से काम करने में मदद कर सकती हैं या इसके विपरीत प्रभाव डाल सकती हैं। सूचना सुरक्षा संस्कृति को इस प्रकार परिभाषित किया गया है: "यह संगठन में व्यवहार के उन सभी पैटर्न का योग है, जो सभी प्रकार की सूचनाओं की सुरक्षा में योगदान करते हैं।"[43]
एंडर्सन और रीमर्स (2014) ने पाया कि कर्मचारी अक्सर खुद को अपनी संगठन की सूचना सुरक्षा प्रयासों का हिस्सा नहीं मानते और अक्सर ऐसे कार्य करते हैं जो संगठनात्मक परिवर्तनों में बाधा डालते हैं।[44] वास्तव में, वेरिज़ोन डेटा ब्रीच जांच रिपोर्ट 2020, जिसने 3,950 सुरक्षा उल्लंघनों की जांच की, ने पाया कि 30% साइबर सुरक्षा घटनाओं में कंपनी के भीतर आंतरिक कर्मियों का हाथ था।[45] शोध से पता चलता है कि सूचना सुरक्षा संस्कृति को लगातार बेहतर बनाए रखने की आवश्यकता होती है। "विश्लेषण से परिवर्तन तक सूचना सुरक्षा संस्कृति" में लेखकों ने टिप्पणी की, "यह एक अंतहीन प्रक्रिया है, मूल्यांकन और परिवर्तन या रखरखाव का एक चक्र।" सूचना सुरक्षा संस्कृति का प्रबंधन करने के लिए पाँच कदम उठाए जाने चाहिए: पूर्व-मूल्यांकन, रणनीतिक योजना, क्रियात्मक योजना, कार्यान्वयन, और उत्तर-मूल्यांकन।[46]
- पूर्व-मूल्यांकन: कर्मचारियों में सूचना सुरक्षा के प्रति जागरूकता की पहचान करना और मौजूदा सुरक्षा नीतियों का विश्लेषण करना।
- रणनीतिक योजना: बेहतर जागरूकता कार्यक्रम तैयार करने के लिए स्पष्ट लक्ष्य निर्धारित किए जाने चाहिए। इसे प्राप्त करने के लिए कुशल पेशेवरों की एक टीम का गठन करना सहायक होता है।
- क्रियात्मक योजना: एक अच्छी सुरक्षा संस्कृति आंतरिक संचार, प्रबंधन की प्रतिबद्धता, सुरक्षा जागरूकता और प्रशिक्षण कार्यक्रम पर आधारित हो सकती है।[46]
- कार्यान्वयन: सूचना सुरक्षा संस्कृति को लागू करने के लिए चार चरणों का उपयोग किया जाना चाहिए:
- प्रबंधन की प्रतिबद्धता
- संगठन के सदस्यों के साथ संचार
- सभी संगठनात्मक सदस्यों के लिए पाठ्यक्रम
- कर्मचारियों की प्रतिबद्धता[46]
- उत्तर-मूल्यांकन: योजना और कार्यान्वयन की सफलता का आकलन करने के लिए, और अनसुलझे चिंताओं के क्षेत्रों की पहचान करने के लिए।
कंप्यूटर सुरक्षा (प्रतिविधान)
सारांश
परिप्रेक्ष्य
कंप्यूटर सुरक्षा में, एक प्रतिविधान (countermeasure) एक क्रिया, उपकरण, प्रक्रिया, या तकनीक होती है जो किसी खतरे, भेद्यता, या हमले को समाप्त करने, रोकने, उससे होने वाले नुकसान को कम करने, या उसे पहचानकर और रिपोर्ट करके उसे ठीक करने के लिए की जाने वाली कार्रवाई को संदर्भित करती है।[47][48][49]
कुछ सामान्य प्रतिविधानों को निम्नलिखित वर्गों में सूचीबद्ध किया गया है:
डिज़ाइन द्वारा सुरक्षा
डिज़ाइन द्वारा सुरक्षा या सुरक्षित डिज़ाइन का मतलब है कि सॉफ़्टवेयर को शुरू से ही सुरक्षित बनाने के लिए डिज़ाइन किया गया है। इस मामले में, सुरक्षा को एक मुख्य विशेषता के रूप में माना जाता है।
यूके सरकार के नेशनल साइबर सिक्योरिटी सेंटर ने सुरक्षित साइबर डिज़ाइन सिद्धांतों को पाँच भागों में विभाजित किया है:[50]
- किसी सुरक्षित सिस्टम के निर्माण या अद्यतन से पहले, कंपनियों को यह सुनिश्चित करना चाहिए कि वे उस सिस्टम के बुनियादी सिद्धांतों और संदर्भ को समझें, जिसे वे बना रहे हैं, और सिस्टम में किसी भी कमजोरियों की पहचान करें।
- कंपनियों को अपने डेटा या सिस्टम पर हमले को स्वाभाविक रूप से चुनौतीपूर्ण बनाने के लिए सुरक्षा तकनीकों और रक्षा तंत्रों के चारों ओर अपनी डिज़ाइन को केंद्रित करना चाहिए।
- कंपनियों को यह सुनिश्चित करना चाहिए कि उनके कोर सेवाएँ, जो तकनीक पर निर्भर हैं, संरक्षित रहें ताकि सिस्टम कभी डाउन न हो।
- हालांकि सिस्टम को कई तरह के हमलों से सुरक्षित बनाया जा सकता है, इसका मतलब यह नहीं है कि हमले नहीं किए जाएंगे। सभी कंपनियों को यह सुनिश्चित करना चाहिए कि वे हमले का पता लगा सकें और जैसे ही हमला हो, तुरंत जवाब दे सकें।
- कंपनियों को ऐसे सुरक्षित सिस्टम डिज़ाइन करने चाहिए ताकि किसी भी सफल हमले की गंभीरता कम से कम हो।
सुरक्षित डिज़ाइन के इन सिद्धांतों में निम्नलिखित तकनीकें शामिल हो सकती हैं:
- न्यूनतम विशेषाधिकार का सिद्धांत, जहाँ सिस्टम के प्रत्येक भाग के पास केवल वही विशेषाधिकार होते हैं जो उसके कार्य के लिए आवश्यक होते हैं।
- स्वचालित प्रमेय सिद्ध करना, ताकि महत्वपूर्ण सॉफ़्टवेयर उपप्रणालियों की शुद्धता सिद्ध की जा सके।
- कोड समीक्षा और यूनिट परीक्षण, जहाँ औपचारिक शुद्धता प्रमाण संभव नहीं होते हैं, वहां मॉड्यूल को अधिक सुरक्षित बनाने के दृष्टिकोण।
- गहराई में रक्षा (Defense in Depth), जहाँ डिज़ाइन इस तरह से होती है कि सिस्टम की अखंडता को तोड़ने के लिए एक से अधिक उपप्रणालियों का उल्लंघन करना पड़े।
- डिफ़ॉल्ट सुरक्षित सेटिंग्स, और डिज़ाइन को इस तरह बनाना कि विफल होने पर यह सुरक्षित रूप से विफल हो।
- ऑडिट ट्रेल्स, जो सिस्टम की गतिविधियों को ट्रैक करते हैं ताकि किसी सुरक्षा उल्लंघन के मामले में उल्लंघन का तरीका और उसका दायरा निर्धारित किया जा सके।
- सभी कमजोरियों का पूर्ण प्रकटीकरण, ताकि जब बग का पता चले, तो भेद्यता की विंडो को यथासंभव छोटा रखा जा सके।
सुरक्षा वास्तुकला
सुरक्षा आर्किटेक्चर को "कंप्यूटर सिस्टम्स को सुरक्षा लक्ष्यों को प्राप्त करने के लिए डिज़ाइन करने का अभ्यास" के रूप में परिभाषित किया जा सकता है।[51] ये लक्ष्य "सुरक्षा द्वारा डिज़ाइन" के सिद्धांतों से जुड़े होते हैं, जैसे "सिस्टम के प्रारंभिक समझौते को कठिन बनाना" और "किसी भी समझौते के प्रभाव को सीमित करना।"[51] व्यवहार में, एक सुरक्षा आर्किटेक्ट की भूमिका यह सुनिश्चित करना होगी कि सिस्टम की संरचना उसकी सुरक्षा को मजबूत करे, और नए परिवर्तन सुरक्षित हों और संगठन की सुरक्षा आवश्यकताओं को पूरा करें।[52][53]
इसी तरह, टेकोपेडिया सुरक्षा आर्किटेक्चर को "एक एकीकृत सुरक्षा डिज़ाइन के रूप में परिभाषित करता है जो एक विशेष स्थिति या वातावरण में आवश्यकताओं और संभावित खतरों को संबोधित करता है। यह यह भी निर्दिष्ट करता है कि सुरक्षा नियंत्रणों को कब और कहाँ लागू करना है। डिज़ाइन प्रक्रिया सामान्य रूप से पुनरावृत्त होती है।" सुरक्षा आर्किटेक्चर की प्रमुख विशेषताएं हैं:[54]
- विभिन्न घटकों के बीच संबंध और वे एक-दूसरे पर कैसे निर्भर होते हैं।
- जोखिम आकलन, अच्छे अभ्यास, वित्तीय और कानूनी मामलों के आधार पर नियंत्रण का निर्धारण।
- नियंत्रणों का मानकीकरण।
सुरक्षा आर्किटेक्चर का अभ्यास संगठन में व्यापार, आईटी और सुरक्षा चिंताओं को व्यवस्थित रूप से संबोधित करने के लिए सही नींव प्रदान करता है।
सुरक्षा उपाय
कंप्यूटर सुरक्षा की स्थिति एक वैचारिक आदर्श है, जिसे तीन प्रक्रियाओं के उपयोग से प्राप्त किया जाता है: खतरे की रोकथाम, पहचान और प्रतिक्रिया। ये प्रक्रियाएँ विभिन्न नीतियों और प्रणाली घटकों पर आधारित होती हैं, जिनमें निम्नलिखित शामिल हैं:
- उपयोगकर्ता खाते के एक्सेस नियंत्रण का उपयोग करके व्यक्तियों की पहुंच को सीमित करना और क्रिप्टोग्राफी का उपयोग करके सिस्टम फाइलों और डेटा को सुरक्षित रखना।
- फायरवॉल नेटवर्क सुरक्षा के दृष्टिकोण से सबसे सामान्य रोकथाम प्रणाली हैं, क्योंकि वे (यदि सही तरीके से कॉन्फ़िगर की गई हैं) आंतरिक नेटवर्क सेवाओं तक पहुंच को ढाल सकती हैं और पैकेट फिल्टरिंग के माध्यम से कुछ प्रकार के हमलों को रोक सकती हैं। फायरवॉल हार्डवेयर और सॉफ़्टवेयर दोनों प्रकार के हो सकते हैं। ये कंप्यूटर नेटवर्क के इनकमिंग और आउटगोइंग ट्रैफिक की निगरानी और नियंत्रण करते हैं और विश्वसनीय नेटवर्क और अविश्वसनीय नेटवर्क के बीच एक अवरोध स्थापित करते हैं।[55]
- इंट्रूज़न डिटेक्शन सिस्टम (IDS) उत्पाद नेटवर्क में प्रगति पर हमलों का पता लगाने और पोस्ट-हमले फॉरेंसिक में सहायता के लिए डिज़ाइन किए गए हैं, जबकि व्यक्तिगत सिस्टम के लिए ऑडिट ट्रेल्स और लॉग समान कार्य करते हैं।
- प्रतिक्रिया को किसी विशिष्ट प्रणाली की आंकी गई सुरक्षा आवश्यकताओं द्वारा परिभाषित किया जाता है और इसमें सुरक्षा उन्नयन से लेकर कानूनी अधिकारियों को सूचित करना, काउंटर-अटैक तक का दायरा हो सकता है। कुछ विशेष मामलों में, समझौता की गई प्रणाली को पूरी तरह से नष्ट कर देना पसंद किया जा सकता है, क्योंकि यह हो सकता है कि सभी समझौता किए गए संसाधनों का पता न चले।
- साइबर खतरों और हमलों से निपटने के लिए साइबर सुरक्षा जागरूकता प्रशिक्षण।[56]
- फॉरवर्ड वेब प्रॉक्सी समाधान क्लाइंट को दुर्भावनापूर्ण वेब पृष्ठों पर जाने से रोक सकते हैं और क्लाइंट मशीनों पर डाउनलोड करने से पहले सामग्री का निरीक्षण कर सकते हैं।
आज, कंप्यूटर सुरक्षा में मुख्य रूप से रोकथाम के उपाय शामिल हैं, जैसे फायरवॉल या एक्जिट प्रक्रियाएँ। फायरवॉल को नेटवर्क डेटा को फ़िल्टर करने के एक तरीके के रूप में परिभाषित किया जा सकता है, जो एक होस्ट या नेटवर्क और इंटरनेट जैसी किसी अन्य नेटवर्क के बीच होता है। ये मशीन पर चल रहे सॉफ़्टवेयर के रूप में लागू किए जा सकते हैं, नेटवर्क स्टैक में हुकिंग करते हैं (या, अधिकांश यूनिक्स-आधारित ऑपरेटिंग सिस्टम जैसे लिनक्स के मामले में, ऑपरेटिंग सिस्टम कर्नेल में निर्मित होते हैं) ताकि रीयल-टाइम फ़िल्टरिंग और ब्लॉकिंग प्रदान की जा सके।[55] एक अन्य कार्यान्वयन एक भौतिक फायरवॉल है, जो नेटवर्क ट्रैफ़िक को फ़िल्टर करने वाली एक अलग मशीन से बना होता है। फायरवॉल उन मशीनों के बीच आम हैं जो इंटरनेट से स्थायी रूप से जुड़ी रहती हैं।
कुछ संगठन बड़े डेटा प्लेटफ़ॉर्म, जैसे अपाचे हाडोप, की ओर रुख कर रहे हैं ताकि डेटा तक पहुंच बढ़ाई जा सके और उन्नत स्थायी खतरों का पता लगाने के लिए मशीन लर्निंग का उपयोग किया जा सके।[57]
पर्याप्त सुरक्षा सुनिश्चित करने के लिए, नेटवर्क की गोपनीयता, अखंडता और उपलब्धता, जिसे सीआईए ट्रायड के रूप में जाना जाता है, की सुरक्षा करना आवश्यक है, और इसे सूचना सुरक्षा की नींव माना जाता है।[58] इन उद्देश्यों को प्राप्त करने के लिए, प्रशासनिक, भौतिक और तकनीकी सुरक्षा उपायों को लागू किया जाना चाहिए। किसी संपत्ति को प्रदान की गई सुरक्षा की मात्रा केवल तभी निर्धारित की जा सकती है जब उसकी मूल्य ज्ञात हो।[59]
भेद्यता प्रबंधन
कमजोरी प्रबंधन (Vulnerability Management) कमजोरियों की पहचान, सुधार या उन्हें कम करने का एक चक्र है,[60] विशेष रूप से सॉफ़्टवेयर और फ़र्मवेयर में। यह कंप्यूटर सुरक्षा और नेटवर्क सुरक्षा के लिए अत्यंत महत्वपूर्ण है।
कमजोरियों की पहचान एक वल्नरेबिलिटी स्कैनर के माध्यम से की जा सकती है, जो कंप्यूटर सिस्टम का विश्लेषण करता है ताकि ज्ञात कमजोरियों,[61] जैसे खुले पोर्ट, असुरक्षित सॉफ़्टवेयर कॉन्फ़िगरेशन और मैलवेयर की संवेदनशीलता का पता लगाया जा सके। इन टूल्स के प्रभावी होने के लिए, इन्हें विक्रेता द्वारा जारी किए गए हर नए अपडेट के साथ अद्यतन रखना आवश्यक होता है। आमतौर पर, ये अपडेट हाल ही में उत्पन्न कमजोरियों का पता लगाने के लिए स्कैन करते हैं।
वल्नरेबिलिटी स्कैनिंग के अलावा, कई संगठन अपने सिस्टम में कमजोरियों की पहचान के लिए बाहरी सुरक्षा ऑडिटर्स को नियमित रूप से पैनीट्रेशन टेस्ट (Penetration Tests) चलाने के लिए अनुबंधित करते हैं। कुछ क्षेत्रों में, यह एक संविदात्मक आवश्यकता होती है।[62]
कमजोरियों को कम करना
साइबर हमलों की कमजोरियों का आकलन और उन्हें कम करने की प्रक्रिया को आमतौर पर सूचना प्रौद्योगिकी सुरक्षा आकलन (Information Technology Security Assessments) कहा जाता है। इसका उद्देश्य प्रणालियों का जोखिम आकलन करना और उनकी कमजोरियों का पूर्वानुमान और परीक्षण करना होता है। हालांकि कंप्यूटर सिस्टम्स की शुद्धता की औपचारिक पुष्टि करना संभव है,[63][64] यह अभी तक आम नहीं है। औपचारिक रूप से सत्यापित ऑपरेटिंग सिस्टम में seL4[65] और SYSGO का PikeOS शामिल हैं,[66][67] लेकिन इनका बाजार में बहुत कम हिस्सा है।
एक हमलावर की संभावना को कम करना संभव है, जैसे कि सिस्टम को सुरक्षा पैच और अपडेट के साथ अद्यतन रखना और सुरक्षा में विशेषज्ञता रखने वाले लोगों को नियुक्त करना। बड़े खतरे वाले संगठनों के लिए सुरक्षा संचालन केंद्र (SOC) विश्लेषकों को नियुक्त करना एक विकल्प होता है। ये साइबर रक्षा के विशेषज्ञ होते हैं, जिनकी भूमिका खतरे का विश्लेषण करने से लेकर किसी नए मुद्दे की रिपोर्ट की जांच करना और आपदा वसूली योजनाओं की तैयारी और परीक्षण तक होती है।[68]
हालांकि कोई भी उपाय पूरी तरह से हमले को रोकने की गारंटी नहीं दे सकता, ये उपाय संभावित हमलों से होने वाले नुकसान को कम करने में मदद कर सकते हैं। डेटा की हानि या क्षति के प्रभावों को भी सावधानीपूर्वक बैकअप और बीमा के माध्यम से कम किया जा सकता है।
औपचारिक आकलनों के बाहर, कमजोरियों को कम करने के विभिन्न तरीके होते हैं। दो-चरण प्रमाणीकरण (Two-Factor Authentication) अनधिकृत पहुंच को रोकने का एक तरीका है।[69] इसमें कुछ ऐसा शामिल होता है जिसे आप जानते हैं: पासवर्ड या पिन, और कुछ ऐसा जो आपके पास होता है: कार्ड, डोंगल, मोबाइल फोन, या कोई अन्य हार्डवेयर। इससे सुरक्षा बढ़ती है क्योंकि एक अनधिकृत व्यक्ति को दोनों की आवश्यकता होती है।
सामाजिक अभियंत्रण (social engineering) और सीधे कंप्यूटर तक पहुंच (भौतिक) के खिलाफ सुरक्षा केवल गैर-कंप्यूटर उपायों द्वारा की जा सकती है, जो जानकारी की संवेदनशीलता के अनुपात में लागू करना मुश्किल हो सकता है। इस जोखिम को कम करने के लिए अक्सर प्रशिक्षण शामिल होता है, जिससे लोगों के सुरक्षा के ज्ञान में सुधार होता है और खतरों के प्रति जागरूकता बढ़ती है।[70] हालांकि, अत्यधिक अनुशासित वातावरण (जैसे कि सैन्य संगठन) में भी, सामाजिक अभियंत्रण हमलों की पूर्वानुमान और रोकथाम मुश्किल हो सकती है।
टीकाकरण सिद्धांत (Inoculation Theory) से उत्पन्न होने वाला टीकाकरण, सामाजिक अभियंत्रण और अन्य धोखाधड़ी युक्तियों और जालों को रोकने का प्रयास करता है, जो लोगों को समान या संबंधित प्रयासों के संपर्क में लाकर उन्हें प्रतिरोध की क्षमता प्रदान करता है।[71]
हार्डवेयर सुरक्षा तंत्र
हार्डवेयर-आधारित या सहायक कंप्यूटर सुरक्षा सॉफ्टवेयर-आधारित सुरक्षा के विकल्प के रूप में एक अन्य विकल्प प्रदान करती है। इसमें डोंगल्स, ट्रस्टेड प्लेटफॉर्म मॉड्यूल्स (TPMs), इंट्रूज़न-अवेयर केस, ड्राइव लॉक, USB पोर्ट्स को अक्षम करना, और मोबाइल-इनेबल्ड एक्सेस जैसे उपकरण और तरीके शामिल होते हैं, जो भौतिक पहुंच या परिष्कृत बैकडोर एक्सेस की आवश्यकता के कारण अधिक सुरक्षित माने जा सकते हैं। इनमें से प्रत्येक को नीचे विस्तार से समझाया गया है।
- USB डोंगल्स का उपयोग आमतौर पर सॉफ़्टवेयर लाइसेंसिंग योजनाओं में सॉफ़्टवेयर क्षमताओं को अनलॉक करने के लिए किया जाता है,[72] लेकिन इन्हें कंप्यूटर या अन्य उपकरणों के सॉफ़्टवेयर तक अनधिकृत पहुंच को रोकने के तरीके के रूप में भी देखा जा सकता है। डोंगल या कुंजी सॉफ़्टवेयर एप्लिकेशन और कुंजी के बीच एक सुरक्षित एन्क्रिप्टेड सुरंग बनाता है। इसका सिद्धांत यह है कि डोंगल पर एक एन्क्रिप्शन योजना, जैसे एडवांस्ड एन्क्रिप्शन स्टैंडर्ड (AES), मजबूत सुरक्षा प्रदान करती है क्योंकि डोंगल को हैक करना और उसकी नकल करना, मूल सॉफ़्टवेयर की एक प्रति बनाने और इसे दूसरी मशीन पर चलाने की तुलना में कठिन होता है। डोंगल का एक अन्य सुरक्षा अनुप्रयोग यह है कि इसे वेब-आधारित सामग्री, जैसे क्लाउड सॉफ़्टवेयर या वर्चुअल प्राइवेट नेटवर्क (VPNs) तक पहुंचने के लिए उपयोग किया जाए।[73] इसके अलावा, एक USB डोंगल को कंप्यूटर को लॉक या अनलॉक करने के लिए भी कॉन्फ़िगर किया जा सकता है।[74]
- ट्रस्टेड प्लेटफॉर्म मॉड्यूल्स (TPMs) क्रिप्टोग्राफ़िक क्षमताओं को एक्सेस डिवाइसों पर एकीकृत करके उपकरणों को सुरक्षित करते हैं, जिसका उपयोग माइक्रोप्रोसेसरों के माध्यम से किया जाता है। सर्वर-साइड सॉफ़्टवेयर के साथ संयोजन में TPMs हार्डवेयर उपकरणों का पता लगाने और प्रमाणीकरण करने का एक तरीका प्रदान करते हैं, जिससे अनधिकृत नेटवर्क और डेटा तक पहुंच को रोका जा सकता है।[75]
- कंप्यूटर केस इंट्रूज़न डिटेक्शन एक उपकरण को संदर्भित करता है, जो आमतौर पर एक पुश-बटन स्विच होता है, जो कंप्यूटर केस खोले जाने पर इसका पता लगाता है। अगली बार जब कंप्यूटर बूट होता है, तो फर्मवेयर या BIOS ऑपरेटर को एक चेतावनी दिखाने के लिए प्रोग्राम किया जाता है।
- ड्राइव लॉक मूल रूप से हार्ड ड्राइव्स को एन्क्रिप्ट करने के लिए सॉफ़्टवेयर टूल्स होते हैं, जिससे उन्हें चोरों द्वारा एक्सेस नहीं किया जा सकता।[76] बाहरी ड्राइव्स को एन्क्रिप्ट करने के लिए विशिष्ट उपकरण भी मौजूद हैं।[77]
- USB पोर्ट्स को अक्षम करना एक सुरक्षा विकल्प है जो एक सुरक्षित कंप्यूटर में अनधिकृत और दुर्भावनापूर्ण पहुंच को रोकता है। नेटवर्क वर्ल्ड पत्रिका के अनुसार, फ़ायरवॉल के अंदर किसी कंप्यूटर से जुड़े संक्रमित USB डोंगल्स कंप्यूटर नेटवर्क्स के सामने सबसे सामान्य हार्डवेयर खतरा हैं।
- उन परिधीय उपकरणों (जैसे कैमरा, GPS, हटाने योग्य भंडारण) को डिस्कनेक्ट करना या अक्षम करना जो उपयोग में नहीं हैं।[78]
- मोबाइल-इनेबल्ड एक्सेस डिवाइस अपनी सर्वव्यापकता के कारण लोकप्रियता प्राप्त कर रहे हैं।[79] बिल्ट-इन क्षमताएं जैसे ब्लूटूथ, नया ब्लूटूथ लो एनर्जी (LE), नॉन-iOS डिवाइसों पर नियर-फील्ड कम्युनिकेशन (NFC) और बायोमेट्रिक सत्यापन जैसे अंगूठे के निशान की पहचान, और मोबाइल उपकरणों के लिए डिज़ाइन किया गया QR कोड रीडर सॉफ़्टवेयर, मोबाइल फोन को एक्सेस कंट्रोल सिस्टम्स से जोड़ने के नए और सुरक्षित तरीके प्रदान करते हैं। ये कंट्रोल सिस्टम कंप्यूटर सुरक्षा प्रदान करते हैं और सुरक्षित भवनों तक पहुंच को नियंत्रित करने के लिए भी उपयोग किए जा सकते हैं।[80]
सुरक्षित ऑपरेटिंग सिस्टम
कंप्यूटर सुरक्षा शब्द का एक उपयोग उस तकनीक को संदर्भित करता है जिसका उपयोग सुरक्षित ऑपरेटिंग सिस्टम को लागू करने के लिए किया जाता है। सुरक्षित ऑपरेटिंग सिस्टम का उपयोग करना कंप्यूटर सुरक्षा सुनिश्चित करने का एक अच्छा तरीका है। ये ऐसे सिस्टम होते हैं जिन्होंने बाहरी सुरक्षा-ऑडिटिंग संगठन से प्रमाणन प्राप्त किया होता है, और सबसे लोकप्रिय मूल्यांकन कॉमन क्राइटेरिया (CC) होते हैं।[85]
सुरक्षित कोडिंग
सॉफ्टवेयर इंजीनियरिंग में, सुरक्षित कोडिंग का उद्देश्य सुरक्षा कमजोरियों के आकस्मिक रूप से प्रवेश को रोकना होता है। इसके अलावा, ऐसी सॉफ़्टवेयर प्रणाली भी बनाई जा सकती है जो प्रारंभ से ही सुरक्षित हो। ऐसी प्रणालियों को सुरक्षित बाय डिज़ाइन कहा जाता है। इसके अलावा, औपचारिक सत्यापन (formal verification) का उद्देश्य प्रणाली के तहत एल्गोरिदम की शुद्धता को सिद्ध करना होता है,[86] जो क्रिप्टोग्राफ़िक प्रोटोकॉल के लिए महत्वपूर्ण है।
क्षमताएं और पहुंच नियंत्रण सूचियां
कंप्यूटर सिस्टम के भीतर, विशेषाधिकार पृथक्करण (privilege separation) को लागू करने वाले दो मुख्य सुरक्षा मॉडल एक्सेस कंट्रोल लिस्ट (ACL) और रोल-आधारित एक्सेस कंट्रोल (RBAC) हैं।
एक्सेस कंट्रोल लिस्ट (ACL), कंप्यूटर फ़ाइल सिस्टम के संदर्भ में, किसी ऑब्जेक्ट से जुड़े अनुमतियों की सूची होती है। ACL यह निर्दिष्ट करता है कि किन उपयोगकर्ताओं या सिस्टम प्रक्रियाओं को ऑब्जेक्ट्स तक पहुंच प्रदान की गई है, साथ ही किन ऑब्जेक्ट्स पर कौन से कार्य किए जा सकते हैं।
रोल-आधारित एक्सेस कंट्रोल (RBAC) एक ऐसा तरीका है जो सिस्टम की पहुंच को अधिकृत उपयोगकर्ताओं तक सीमित करता है,[87][88][89] जिसका उपयोग 500 से अधिक कर्मचारियों वाले अधिकांश उद्यमों द्वारा किया जाता है।[90] यह अनिवार्य एक्सेस कंट्रोल (MAC) या स्वैच्छिक एक्सेस कंट्रोल (DAC) को भी लागू कर सकता है।
एक और दृष्टिकोण, क्षमता-आधारित सुरक्षा (capability-based security), ज्यादातर शोध ऑपरेटिंग सिस्टम तक ही सीमित रही है। हालाँकि, क्षमताओं को भाषा स्तर पर भी लागू किया जा सकता है, जिससे प्रोग्रामिंग की एक ऐसी शैली सामने आती है जो अनिवार्य रूप से मानक ऑब्जेक्ट-ओरिएंटेड डिज़ाइन का परिष्करण है। इस क्षेत्र में एक ओपन-सोर्स प्रोजेक्ट "E भाषा" है।
उपयोगकर्ता सुरक्षा प्रशिक्षण
अंतिम उपयोगकर्ता (end-user) को सुरक्षा श्रृंखला की सबसे कमजोर कड़ी के रूप में व्यापक रूप से पहचाना जाता है,[91] और यह अनुमान लगाया जाता है कि 90% से अधिक सुरक्षा घटनाओं और उल्लंघनों में किसी न किसी प्रकार की मानव त्रुटि शामिल होती है।[92][93] आमतौर पर दर्ज की गई त्रुटियों और गलत निर्णयों में कमजोर पासवर्ड प्रबंधन, संवेदनशील डेटा और अटैचमेंट वाले ईमेल गलत प्राप्तकर्ता को भेजना, भ्रामक URL को पहचानने में असमर्थता, नकली वेबसाइटों और खतरनाक ईमेल अटैचमेंट की पहचान न कर पाना शामिल हैं। उपयोगकर्ताओं द्वारा की जाने वाली एक सामान्य गलती यह है कि वे बैंकिंग साइटों में लॉगिन को आसान बनाने के लिए अपने ब्राउज़र में यूज़र आईडी/पासवर्ड सहेज लेते हैं। यह उन हमलावरों के लिए एक उपहार साबित होता है, जो किसी तरह से किसी मशीन तक पहुंच हासिल कर चुके होते हैं। इस जोखिम को दो-कारक प्रमाणीकरण (two-factor authentication) के उपयोग से कम किया जा सकता है।[94]
चूंकि साइबर जोखिम में मानव तत्व विशेष रूप से यह निर्धारित करने में प्रासंगिक है कि किसी संगठन को किस प्रकार के वैश्विक साइबर जोखिम का सामना करना पड़ रहा है,[95] इसलिए सभी स्तरों पर सुरक्षा जागरूकता प्रशिक्षण न केवल नियामक और उद्योग जनादेशों के साथ औपचारिक अनुपालन प्रदान करता है,[96] बल्कि साइबर जोखिम को कम करने और व्यक्तियों और कंपनियों को अधिकांश साइबर खतरों से बचाने में भी महत्वपूर्ण माना जाता है।
अंतिम उपयोगकर्ता पर ध्यान केंद्रित करना कई सुरक्षा विशेषज्ञों के लिए एक गहन सांस्कृतिक परिवर्तन का प्रतिनिधित्व करता है, जिन्होंने परंपरागत रूप से साइबर सुरक्षा को केवल एक तकनीकी दृष्टिकोण से देखा है। यह प्रमुख सुरक्षा केंद्रों द्वारा सुझाई गई[97] पंक्तियों के साथ आगे बढ़ता है, ताकि संगठन के भीतर साइबर जागरूकता की संस्कृति को विकसित किया जा सके, इस बात को मान्यता देते हुए कि सुरक्षा-जागरूक उपयोगकर्ता साइबर हमलों के खिलाफ एक महत्वपूर्ण सुरक्षा पंक्ति प्रदान करता है।
डिजिटल स्वच्छता
एंड-यूज़र प्रशिक्षण से संबंधित, डिजिटल हाइजीन या साइबर हाइजीन सूचना सुरक्षा से जुड़ा एक बुनियादी सिद्धांत है, और जैसा कि व्यक्तिगत स्वच्छता के साथ इसकी तुलना की जाती है, यह साइबर खतरों से जोखिम को कम करने के लिए सरल नियमित उपायों को स्थापित करने के बराबर है। यह मान्यता है कि अच्छी साइबर हाइजीन प्रथाएं नेटवर्क से जुड़े उपयोगकर्ताओं को अतिरिक्त सुरक्षा प्रदान कर सकती हैं, जिससे एक कमजोर नोड का उपयोग हमले करने या किसी अन्य नोड या नेटवर्क को समझौता करने के जोखिम को कम किया जा सकता है, विशेष रूप से सामान्य साइबर हमलों से।[98] साइबर हाइजीन को सैन्य शब्दावली में इस्तेमाल होने वाले सक्रिय साइबर रक्षा के साथ भ्रमित नहीं करना चाहिए।[99]
डिजिटल हाइजीन के सबसे सामान्य कार्यों में मैलवेयर सुरक्षा को अपडेट करना, क्लाउड बैकअप, पासवर्ड, और सीमित एडमिन अधिकारों और नेटवर्क फायरवॉल को सुनिश्चित करना शामिल हो सकता है।[100] साइबर हाइजीन मुख्य रूप से सरल तकनीकी उपायों पर आधारित होता है, जिन्हें लागू करना तकनीकी रूप से आसान होता है और यह अनुशासन[101] या शिक्षा पर निर्भर होता है।[102] इसे एक अमूर्त सूची के रूप में देखा जा सकता है, जिसमें उन उपायों का उल्लेख होता है जो व्यक्तिगत या सामूहिक डिजिटल सुरक्षा पर सकारात्मक प्रभाव डालते हैं। इन उपायों को सामान्य लोग भी कर सकते हैं, न कि केवल सुरक्षा विशेषज्ञ।
साइबर हाइजीन का संबंध व्यक्तिगत स्वच्छता से उसी तरह है जैसे कंप्यूटर वायरस का संबंध जैविक वायरस (या रोगाणु) से है। हालाँकि, कंप्यूटर वायरस शब्द का प्रयोग कंप्यूटर वायरस की पहली कार्यशील स्थिति के साथ लगभग एक साथ शुरू हुआ था,[103] साइबर हाइजीन शब्द बाद में आया, शायद 2000 में[104] इंटरनेट अग्रणी विंट सर्फ द्वारा। तब से इसे संयुक्त राज्य अमेरिका की कांग्रेस और सीनेट,[105][106] एफबीआई,[107] यूरोपीय संघ के संस्थानों[98] और राज्य प्रमुखों द्वारा अपनाया गया है।[99]
उल्लंघनों पर प्रतिक्रिया देने में कठिनाई
सुरक्षा उल्लंघनों का जवाब देना कई कारणों से बहुत मुश्किल होता है, जिनमें शामिल हैं:
- हमलावरों की पहचान करना कठिन होता है क्योंकि वे प्रॉक्सी, अस्थायी गुमनाम डायल-अप खाते, वायरलेस कनेक्शन और अन्य गुमनाम प्रक्रियाओं का उपयोग करते हैं, जिससे उनका पता लगाना मुश्किल हो जाता है, और अक्सर वे दूसरे अधिकार क्षेत्र में होते हैं। यदि वे सुरक्षा को सफलतापूर्वक भेदते हैं, तो वे अक्सर पर्याप्त प्रशासनिक पहुंच प्राप्त कर लेते हैं, जिससे वे अपने निशान मिटाने के लिए लॉग्स को हटा सकते हैं।
- स्वचालित वल्नरेबिलिटी स्कैनर और कंप्यूटर वर्म्स द्वारा किए गए हमलों की संख्या इतनी अधिक होती है कि संगठन हर एक का पीछा नहीं कर सकते।
- कानून प्रवर्तन अधिकारियों के पास अक्सर हमलावरों को पकड़ने के लिए आवश्यक कौशल, रुचि या बजट नहीं होता है। इसके अलावा, नेटवर्क पर हमलावरों की पहचान करने के लिए नेटवर्क के कई स्थानों और विभिन्न देशों से लॉग एकत्र करना आवश्यक हो सकता है, जो जटिल और समय लेने वाली प्रक्रिया हो सकती है।
- जहाँ हमले सफल होते हैं और उल्लंघन होता है, वहाँ कई क्षेत्रों में अब अनिवार्य सुरक्षा उल्लंघन अधिसूचना कानून लागू हो चुके हैं।
सुरक्षा और गोपनीयता के प्रकार
- एक्सेस कंट्रोल
- एंटी-कीलॉगर
- एंटी-मैलवेयर
- एंटी-स्पायवेयर
- एंटी-सबवर्जन सॉफ़्टवेयर
- एंटी-टैम्पर सॉफ़्टवेयर
- एंटी-थेफ्ट
- एंटीवायरस सॉफ्टवेयर
- क्रिप्टोग्राफिक सॉफ़्टवेयर
- कंप्यूटर-एडेड डिस्पैच (CAD)
- डेटा लॉस प्रिवेंशन सॉफ़्टवेयर
- फ़ायरवॉल
- इंट्रूज़न डिटेक्शन सिस्टम (IDS)
- इंट्रूज़न प्रिवेंशन सिस्टम (IPS)
- लॉग मैनेजमेंट सॉफ़्टवेयर
- पेरेंटल कंट्रोल
- रिकॉर्ड्स मैनेजमेंट
- सैंडबॉक्स
- सिक्योरिटी इन्फॉर्मेशन मैनेजमेंट
- सिक्योरिटी इन्फॉर्मेशन और इवेंट मैनेजमेंट (SIEM)
- सॉफ़्टवेयर और ऑपरेटिंग सिस्टम अपडेटिंग
- वल्नरेबिलिटी मैनेजमेंट
जोखिम में प्रणालियाँ
सारांश
परिप्रेक्ष्य
कंप्यूटर प्रणालियों की संख्या में वृद्धि और व्यक्तियों, व्यवसायों, उद्योगों, और सरकारों द्वारा उन पर बढ़ती निर्भरता का मतलब है कि जोखिम में आने वाली प्रणालियों की संख्या में भी वृद्धि हो रही है।
वित्तीय प्रणालियाँ
वित्तीय नियामकों और संस्थानों जैसे अमेरिकी प्रतिभूति और विनिमय आयोग (एसईसी), स्विफ्ट, निवेश बैंक, और वाणिज्यिक बैंकों के कंप्यूटर सिस्टम साइबर अपराधियों के प्रमुख हैकिंग लक्ष्यों में शामिल हैं, जो बाजारों में हेरफेर करने और अवैध लाभ प्राप्त करने में रुचि रखते हैं।[108] जिन वेबसाइटों और ऐप्स में क्रेडिट कार्ड नंबर, ब्रोकरेज खाते, और बैंक खाते की जानकारी संग्रहीत होती है, वे भी प्रमुख लक्ष्य हैं, क्योंकि वहां से धन हस्तांतरण, खरीदारी, या जानकारी को काले बाजार में बेचकर त्वरित वित्तीय लाभ प्राप्त किया जा सकता है।[109] इन-स्टोर भुगतान प्रणालियों और एटीएम मशीनों में भी ग्राहकों की खाता जानकारी और पिन प्राप्त करने के लिए छेड़छाड़ की गई है।
यूसीएलए इंटरनेट रिपोर्ट: डिजिटल भविष्य का सर्वेक्षण (2000) के अनुसार, व्यक्तिगत डेटा की गोपनीयता ऑनलाइन बिक्री के लिए बाधा उत्पन्न करती है, और 10 में से 9 से अधिक इंटरनेट उपयोगकर्ता क्रेडिट कार्ड सुरक्षा को लेकर चिंतित हैं।[110]
वेब ब्राउज़रों और वेबसाइटों के बीच सुरक्षा सुधारने के लिए सबसे आम तकनीकें एसएसएल (Secure Sockets Layer) और इसके उत्तराधिकारी टीएलएस (Transport Layer Security) हैं। इन प्रोटोकॉल के साथ पहचान प्रबंधन और प्रमाणीकरण सेवाएँ, और डोमेन नाम सेवाएँ कंपनियों और उपभोक्ताओं को सुरक्षित संचार और व्यापार में सक्षम बनाती हैं। एसएसएल और टीएलएस के कई संस्करण आज वेब ब्राउज़िंग, ई-मेल, इंटरनेट फैक्सिंग, इंस्टेंट मैसेजिंग और VoIP (Voice-over-IP) जैसे अनुप्रयोगों में उपयोग किए जाते हैं। इन तकनीकों के विभिन्न इंटरऑपरेबल कार्यान्वयन मौजूद हैं, जिनमें से कम से कम एक ओपन-सोर्स है, जो किसी को भी ऐप्लिकेशन का सोर्स कोड देखने और कमजोरियों की रिपोर्ट करने की अनुमति देता है।
क्रेडिट कार्ड कंपनियाँ, वीज़ा और मास्टरकार्ड, ने सुरक्षित ईएमवी चिप विकसित की है, जो क्रेडिट कार्ड में एम्बेडेड होती है। इस क्षेत्र में अन्य विकासों में चिप प्रमाणीकरण कार्यक्रम (Chip Authentication Program) शामिल है, जिसमें बैंक ग्राहकों को ऑनलाइन सुरक्षित लेनदेन करने के लिए हैंड-हेल्ड कार्ड रीडर प्रदान करते हैं। अन्य प्रगति में तत्काल जारीकरण जैसी तकनीक का विकास शामिल है, जिसने शॉपिंग मॉल कियोस्क को बैंकों की ओर से ऑन-द-स्पॉट क्रेडिट कार्ड जारी करने में सक्षम बनाया है।
उपयोगिताएँ और औद्योगिक उपकरण
कंप्यूटर कई उपयोगिताओं में महत्वपूर्ण कार्यों को नियंत्रित करते हैं, जिनमें दूरसंचार का समन्वय, पावर ग्रिड, परमाणु ऊर्जा संयंत्र, और जल और गैस नेटवर्क में वाल्व खोलना और बंद करना शामिल हैं। यदि ये मशीनें इंटरनेट से जुड़ी होती हैं, तो इंटरनेट एक संभावित हमले का मार्ग बन सकता है। लेकिन स्टक्सनेट वर्म ने यह दिखाया कि इंटरनेट से न जुड़े कंप्यूटरों द्वारा नियंत्रित उपकरण भी असुरक्षित हो सकते हैं। 2014 में, कंप्यूटर इमरजेंसी रेडीनेस टीम (Computer Emergency Readiness Team), जो कि होमलैंड सिक्योरिटी विभाग की एक शाखा है, ने ऊर्जा कंपनियों में 79 हैकिंग घटनाओं की जांच की।[111]
विमानन
विमानन उद्योग अत्यधिक जटिल प्रणालियों पर निर्भर करता है, जिन पर हमले किए जा सकते हैं।[112] एक साधारण बिजली आउटेज भी एक हवाई अड्डे पर वैश्विक स्तर पर परिणाम उत्पन्न कर सकता है।[113] इन प्रणालियों का अधिकांश हिस्सा रेडियो प्रसारण पर निर्भर करता है, जिसे बाधित किया जा सकता है।[114] महासागरों के ऊपर विमान नियंत्रण विशेष रूप से खतरनाक है क्योंकि रडार कवरेज समुद्र से 175 से 225 मील तक ही सीमित है।[115] एक विमान के भीतर से भी हमले की संभावना हो सकती है।[116]
विमानन प्रणालियों में सुरक्षा सुधार लाना एक अनूठी चुनौती प्रस्तुत करता है, क्योंकि कुशल हवाई परिवहन पर वजन और आकार का गहरा प्रभाव पड़ता है। विमानों में भौतिक सुरक्षा उपकरण जोड़ने से उनके बिना लोड किए वजन में वृद्धि हो सकती है, जिससे माल या यात्री क्षमता में कमी आ सकती है।[117]
यूरोप में (पैन-यूरोपीय नेटवर्क सेवा)[118] और न्यूपेन्स,[119] और अमेरिका में अगली पीढ़ी (NextGen) कार्यक्रम के साथ,[120] एयर नेविगेशन सेवा प्रदाता अपनी समर्पित नेटवर्क बनाने की दिशा में बढ़ रहे हैं।
कई आधुनिक पासपोर्ट अब बायोमेट्रिक पासपोर्ट हैं, जिनमें एक एम्बेडेड माइक्रोचिप होती है जो एक डिजिटाइज़्ड फ़ोटोग्राफ़ और व्यक्तिगत जानकारी जैसे नाम, लिंग और जन्मतिथि संग्रहीत करती है। इसके अलावा, अधिक देशों में[कौन?] पहचान से संबंधित धोखाधड़ी को कम करने के लिए चेहरे की पहचान तकनीक को लागू किया जा रहा है। ई-पासपोर्ट की शुरुआत ने पासपोर्ट धारक की पहचान की पुष्टि करने में सीमा अधिकारियों की मदद की है, जिससे यात्री प्रक्रिया तेजी से हो रही है।[121] अमेरिका, यूके, और ऑस्ट्रेलिया में रेटिना और फिंगरप्रिंट पहचान तकनीक के साथ स्मार्टगेट कियोस्क पेश करने की योजनाएं चल रही हैं।[122] एयरलाइन उद्योग पारंपरिक कागजी टिकटों की बजाय इलेक्ट्रॉनिक टिकटों (e-tickets) की ओर बढ़ रहा है। यह ऑनलाइन क्रेडिट कार्ड लेन-देन में प्रगति के कारण संभव हुआ है, जो एयरलाइनों के साथ साझेदारी में किया जा रहा है। लंबी दूरी की बस कंपनियां[कौन?] भी आज ई-टिकट लेन-देन की ओर बढ़ रही हैं।
एक सफल हमले के परिणाम गोपनीयता की हानि से लेकर प्रणाली अखंडता की हानि, हवाई यातायात नियंत्रण आउटेज, विमान की हानि, और यहां तक कि जान की हानि तक हो सकते हैं।
उपभोक्ता उपकरण
डेस्कटॉप कंप्यूटर और लैपटॉप आमतौर पर पासवर्ड या वित्तीय खाता जानकारी जुटाने या किसी अन्य लक्ष्य पर हमला करने के लिए बॉटनेट बनाने के लिए निशाना बनाए जाते हैं। स्मार्टफोन, टैबलेट कंप्यूटर, स्मार्ट घड़ियां, और अन्य मोबाइल डिवाइस जैसे कि गतिविधि ट्रैकर्स के रूप में उपयोग होने वाले उपकरणों में कैमरे, माइक्रोफोन, GPS रिसीवर, कंपास और एक्सेलेरोमीटर जैसे सेंसर होते हैं जिन्हें हैक किया जा सकता है और यह व्यक्तिगत जानकारी, जिसमें संवेदनशील स्वास्थ्य जानकारी भी शामिल है, एकत्र कर सकते हैं। इनमें से किसी भी डिवाइस पर वाई-फ़ाई, ब्लूटूथ और सेल फोन नेटवर्क हमले के लिए उपयोग किए जा सकते हैं, और सेंसर एक सफल ब्रीच के बाद दूरस्थ रूप से सक्रिय किए जा सकते हैं।[123]
घर के स्वचालन उपकरणों की बढ़ती संख्या, जैसे कि नेस्ट थर्मोस्टेट, भी संभावित लक्ष्यों में शामिल हैं।[123]
"सुरक्षा केवल ताले और चाबियों से नहीं आती, बल्कि जागरूकता और विवेक से आती है।"
स्वास्थ्य देखभाल
आज कई स्वास्थ्य सेवा प्रदाता और स्वास्थ्य बीमा कंपनियां इंटरनेट का उपयोग करके बेहतर उत्पाद और सेवाएं प्रदान करती हैं, जैसे टेली-हेल्थ का उपयोग करके बेहतर गुणवत्ता और स्वास्थ्य सेवाओं तक पहुंच की संभावना, या फिटनेस ट्रैकर्स का उपयोग करके बीमा प्रीमियम कम करना।
स्वास्थ्य सेवा कंपनी ह्यूमाना, वेबएमडी, ओरेकल कॉर्पोरेशन, ईडीएस और माइक्रोसॉफ्ट के साथ साझेदारी करती है, जिससे उसके सदस्य अपने स्वास्थ्य सेवा रिकॉर्ड तक पहुंच सकते हैं, साथ ही स्वास्थ्य सेवा योजनाओं का अवलोकन प्राप्त कर सकते हैं।[124] रोगियों के रिकॉर्ड तेजी से सुरक्षित इन-हाउस नेटवर्क पर रखे जा रहे हैं, जिससे अतिरिक्त भंडारण स्थान की आवश्यकता कम हो रही है।[125]
बड़े निगम
बड़ी कंपनियां सामान्यतः हमलों के निशाने पर होती हैं। कई मामलों में हमलों का उद्देश्य पहचान की चोरी के माध्यम से वित्तीय लाभ प्राप्त करना होता है और इसमें डेटा उल्लंघनों का समावेश होता है। उदाहरणों में होम डिपो,[126] स्टेपल्स,[127] टारगेट कॉरपोरेशन,[128] और इक्विफैक्स[129] द्वारा लाखों ग्राहकों के क्रेडिट कार्ड और वित्तीय विवरणों का नुकसान शामिल है।
चिकित्सा रिकॉर्ड सामान्य पहचान चोरी, स्वास्थ्य बीमा धोखाधड़ी, और मनोरंजन उद्देश्यों या पुनर्विक्रय के लिए नशीली दवाओं के लिए मरीजों का प्रतिरूपण करने के लिए लक्षित किए गए हैं।[130] हालांकि साइबर खतरों में लगातार वृद्धि हो रही है, 2015 में सभी संगठनों में से 62% ने अपने व्यवसाय के लिए सुरक्षा प्रशिक्षण नहीं बढ़ाया।[131]
हालांकि सभी हमले वित्तीय रूप से प्रेरित नहीं होते: सुरक्षा फर्म एचबीगैरी फेडरल को 2011 में हैक्टिविस्ट समूह अनोनिमस द्वारा गंभीर हमलों का सामना करना पड़ा, क्योंकि फर्म के सीईओ ने उनके समूह में घुसपैठ करने का दावा किया था।[132][133] 2014 में सोनी पिक्चर्स को हैक कर लिया गया, जिसमें कंपनी को डेटा लीक के माध्यम से शर्मिंदा करने और वर्कस्टेशनों और सर्वरों को मिटाकर कंपनी को अपंग बनाने का दोहरा उद्देश्य प्रतीत हुआ।[134][135]
ऑटोमोबाइल
वाहन तेजी से कम्प्यूटरीकृत हो रहे हैं, जिसमें कई मॉडलों में इंजन टाइमिंग, क्रूज़ कंट्रोल, एंटी-लॉक ब्रेक्स, सीट बेल्ट टेंशनर्स, डोर लॉक, एयरबैग और उन्नत ड्राइवर-सहायता प्रणाली शामिल हैं। इसके अलावा, कनेक्टेड कारें ऑनबोर्ड उपभोक्ता उपकरणों और सेल फोन नेटवर्क के साथ संचार करने के लिए वाईफाई और ब्लूटूथ का उपयोग कर सकती हैं।[136] सेल्फ-ड्राइविंग कारें और भी जटिल होने की उम्मीद है। इन सभी प्रणालियों में कुछ सुरक्षा जोखिम होते हैं, और ऐसे मुद्दों ने व्यापक ध्यान आकर्षित किया है।[137][138][139]
जोखिम के सरल उदाहरणों में एक दुर्भावनापूर्ण कॉम्पैक्ट डिस्क का उपयोग अटैक वेक्टर के रूप में किया जाना शामिल है,[140] और कार के ऑनबोर्ड माइक्रोफोन का उपयोग ईव्सड्रॉपिंग के लिए किया जा सकता है। हालांकि, यदि कार के आंतरिक कंट्रोलर एरिया नेटवर्क तक पहुंच प्राप्त की जाती है, तो खतरा बहुत अधिक हो जाता है[136] – और 2015 के एक व्यापक रूप से प्रचारित परीक्षण में, हैकर्स ने 10 मील दूर से एक वाहन को रिमोट कंट्रोल करके उसे खाई में गिरा दिया।[141][142]
निर्माता विभिन्न तरीकों से प्रतिक्रिया दे रहे हैं, जिसमें 2016 में टेस्ला ने अपनी कारों के कंप्यूटर सिस्टम में कुछ सुरक्षा फिक्स को ओवर-द-एयर धकेल दिया।[143] स्वायत्त वाहनों के क्षेत्र में, सितंबर 2016 में संयुक्त राज्य अमेरिका के परिवहन विभाग ने कुछ प्रारंभिक सुरक्षा मानकों की घोषणा की और राज्यों से एकसमान नीतियां बनाने का आह्वान किया।[144][145][146]
इसके अलावा, e-ड्राइवर्स लाइसेंस भी उसी तकनीक का उपयोग करके विकसित किए जा रहे हैं। उदाहरण के लिए, मैक्सिको के लाइसेंसिंग प्राधिकरण (ICV) ने मोन्टेरी शहर, न्यूवो लियोन राज्य को पहले e-ड्राइवर्स लाइसेंस जारी करने के लिए एक स्मार्ट कार्ड प्लेटफॉर्म का उपयोग किया है।[147]
शिपिंग
शिपिंग कंपनियों[148] ने RFID (रेडियो फ़्रीक्वेंसी आइडेंटिफिकेशन) तकनीक को एक कुशल, डिजिटल रूप से सुरक्षित ट्रैकिंग डिवाइस के रूप में अपनाया है। बारकोड के विपरीत, आरएफआईडी को 20 फीट की दूरी से पढ़ा जा सकता है। फेडएक्स[149] और यूपीएस[150] द्वारा आरएफआईडी का उपयोग किया जाता है।
सरकार
सरकारी और सैन्य कंप्यूटर प्रणालियों पर आमतौर पर कार्यकर्ताओं[151][152][153] और विदेशी शक्तियों द्वारा हमले किए जाते हैं।[154][155][156][157] स्थानीय और क्षेत्रीय सरकारी बुनियादी ढांचा जैसे ट्रैफिक लाइट नियंत्रण, पुलिस और खुफिया एजेंसी संचार, कर्मियों के रिकॉर्ड, साथ ही छात्र रिकॉर्ड।[158]
एफबीआई, सीआईए, और पेंटागन सभी अपनी इमारतों के लिए सुरक्षित नियंत्रित पहुंच तकनीक का उपयोग करते हैं। हालांकि, इस प्रकार की तकनीक का उपयोग उद्यमशील दुनिया में भी तेजी से फैल रहा है। अधिक से अधिक कंपनियां डिजिटल रूप से सुरक्षित नियंत्रित पहुंच तकनीक के विकास का लाभ उठा रही हैं। उदाहरण के लिए, जीई का ACUVision एकल पैनल प्लेटफ़ॉर्म प्रदान करता है जो पहुंच नियंत्रण, अलार्म निगरानी और डिजिटल रिकॉर्डिंग के लिए उपयोग होता है।[159]
इंटरनेट ऑफ थिंग्स और भौतिक सुरक्षा कमज़ोरियाँ
इंटरनेट ऑफ थिंग्स (IoT) ऐसे भौतिक वस्तुओं का नेटवर्क है, जैसे कि उपकरण, वाहन, और इमारतें, जो इलेक्ट्रॉनिक्स, सॉफ़्टवेयर, सेंसर और नेटवर्क कनेक्टिविटी से लैस होते हैं, जिससे वे डेटा एकत्र और आदान-प्रदान कर सकते हैं।[160] इस विकास के साथ सुरक्षा चुनौतियों पर उचित ध्यान न दिए जाने की चिंताएँ उठाई गई हैं।[161][162]
जहां IoT भौतिक दुनिया को कंप्यूटर आधारित सिस्टमों में सीधे एकीकृत करने के अवसर प्रदान करता है,[163][164] वहीं यह दुरुपयोग के अवसर भी प्रदान करता है। विशेष रूप से, जैसे-जैसे IoT का विस्तार हो रहा है, साइबर हमले भौतिक (केवल वर्चुअल नहीं) खतरे के रूप में सामने आ सकते हैं।[165] यदि एक मुख्य दरवाजे की ताला इंटरनेट से जुड़ी हो और इसे फोन से लॉक/अनलॉक किया जा सकता हो, तो एक अपराधी एक चुराए या हैक किए गए फोन के बटन दबाकर घर में घुस सकता है। IoT-सक्षम उपकरणों द्वारा नियंत्रित दुनिया में लोग अपने क्रेडिट कार्ड नंबर से कहीं ज्यादा खो सकते हैं। चोरों ने गैर-इंटरनेट-संयुक्त होटल दरवाजों की तालों को इलेक्ट्रॉनिक साधनों से बायपास भी किया है।[166]
एक ऐसा हमला जो भौतिक ढांचे या मानव जीवन को लक्षित करता है, उसे साइबर-किनेटिक हमला कहा जाता है। जैसे-जैसे IoT उपकरण और एप्लायंसेस अधिक व्यापक होते जा रहे हैं, साइबर-किनेटिक हमलों की प्रचलन और संभावित क्षति में काफी वृद्धि हो सकती है।
चिकित्सा प्रणालियाँ
चिकित्सा उपकरणों पर या तो सफलतापूर्वक हमला किया गया है या उनमें संभावित घातक कमजोरियों का प्रदर्शन किया गया है, जिनमें अस्पताल में उपयोग किए जाने वाले निदान उपकरण[167] और प्रत्यारोपित उपकरण जैसे पेसमेकर[168] और इंसुलिन पंप शामिल हैं।[169] अस्पतालों और अस्पताल संगठनों के हैक होने की कई रिपोर्टें हैं, जिनमें रैंसमवेयर हमले,[170][171][172][173] विंडोज़ XP कमजोरियों का शोषण,[174][175] वायरस[176][177] और अस्पताल के सर्वरों पर संग्रहीत संवेदनशील डेटा के डेटा उल्लंघन शामिल हैं।[178][171][179][180] 28 दिसंबर 2016 को अमेरिकी खाद्य और औषधि प्रशासन (FDA) ने इंटरनेट से जुड़े उपकरणों की सुरक्षा बनाए रखने के लिए चिकित्सा उपकरण निर्माताओं के लिए अपनी सिफारिशें जारी कीं, लेकिन प्रवर्तन के लिए कोई संरचना नहीं प्रदान की।[181][182]
ऊर्जा क्षेत्र
डेली एनर्जी इनसाइडर के अनुसार, वितरित उत्पादन प्रणालियों में साइबर हमले का खतरा वास्तविक है। एक हमला एक बड़े क्षेत्र में लंबे समय तक बिजली की हानि का कारण बन सकता है, और ऐसा हमला प्राकृतिक आपदा जितना गंभीर परिणाम ला सकता है। कोलंबिया जिले में एक वितरित ऊर्जा संसाधन (DER) प्राधिकरण बनाने पर विचार किया जा रहा है, जिसका उद्देश्य ग्राहकों को अपनी ऊर्जा खपत के बारे में अधिक जानकारी देना और स्थानीय विद्युत उपयोगिता कंपनी, पेपको, को ऊर्जा मांग का बेहतर अनुमान लगाने का अवसर देना है। हालांकि, डी.सी. का यह प्रस्ताव "तीसरे पक्ष के विक्रेताओं को ऊर्जा वितरण के कई बिंदु बनाने की अनुमति देगा, जिससे साइबर हमलावरों के लिए बिजली ग्रिड को खतरा पहुंचाने के अधिक अवसर पैदा हो सकते हैं।"[183]
दूरसंचार
शायद सबसे व्यापक रूप से जाना जाने वाला डिजिटल रूप से सुरक्षित दूरसंचार उपकरण सिम (सबसक्राइबर आइडेंटिटी मॉड्यूल) कार्ड है, जो दुनिया के अधिकांश सेलुलर उपकरणों में सेवा प्राप्त करने से पहले एम्बेड किया जाता है। सिम कार्ड डिजिटल रूप से सुरक्षित वातावरण की शुरुआत मात्र है।
स्मार्ट कार्ड वेब सर्वर (SCWS) का ड्राफ्ट मानक एक स्मार्ट कार्ड में HTTP सर्वर के इंटरफेस को परिभाषित करता है।[184] मोबाइल फोन से और उसके लिए ओवर-द-एयर (OTA) भुगतान और क्रेडिट कार्ड की जानकारी को सुरक्षित करने के लिए परीक्षण किए जा रहे हैं। स्मार्ट वीडियो कार्ड तकनीक के माध्यम से संयोजन सिम/डीवीडी उपकरण विकसित किए जा रहे हैं, जो एक नियमित सिम कार्ड के शरीर में डीवीडी-समर्पित ऑप्टिकल डिस्क को एम्बेड करते हैं।
डिजिटल सुरक्षा से जुड़े अन्य दूरसंचार विकासों में मोबाइल हस्ताक्षर शामिल हैं, जो एक कानूनी रूप से बाध्यकारी इलेक्ट्रॉनिक हस्ताक्षर उत्पन्न करने के लिए एम्बेडेड सिम कार्ड का उपयोग करते हैं।
सुरक्षा उल्लंघनों की लागत और प्रभाव
सुरक्षा उल्लंघनों के कारण गंभीर वित्तीय नुकसान हुए हैं, लेकिन किसी घटना की लागत का अनुमान लगाने के लिए कोई मानक मॉडल नहीं है, इसलिए उपलब्ध डेटा केवल वही है जो संबंधित संगठनों द्वारा सार्वजनिक किया जाता है। "कई कंप्यूटर सुरक्षा परामर्श कंपनियाँ वायरस और वर्म हमलों और सामान्य रूप से शत्रुतापूर्ण डिजिटल कृत्यों के कारण होने वाले विश्वव्यापी नुकसानों का अनुमान लगाती हैं। 2003 में इन कंपनियों द्वारा दिए गए नुकसान के अनुमान $13 बिलियन (केवल वर्म और वायरस) से लेकर $226 बिलियन (सभी प्रकार के गुप्त हमलों के लिए) तक थे। इन अनुमानों की विश्वसनीयता अक्सर चुनौती दी जाती है; इसका आधारभूत तरीका आमतौर पर उपाख्यानात्मक होता है।"[185]
हालांकि, सुरक्षा उल्लंघनों की वित्तीय लागत का उचित अनुमान लगाने से संगठन तर्कसंगत निवेश निर्णय ले सकते हैं। सूचना सुरक्षा में निवेश के लिए क्लासिक गॉर्डन-लोएब मॉडल के अनुसार, यह निष्कर्ष निकाला जा सकता है कि किसी कंपनी को सूचना की सुरक्षा के लिए किए गए खर्च को अपेक्षित नुकसान के छोटे हिस्से तक ही सीमित रखना चाहिए (अर्थात, साइबर/सूचना सुरक्षा उल्लंघन से होने वाले नुकसान का अपेक्षित मूल्य)।[186]
हमलावर प्रेरणा
सारांश
परिप्रेक्ष्य
जिस प्रकार शारीरिक सुरक्षा में होता है, कंप्यूटर सुरक्षा उल्लंघनों के लिए भी हमलावरों की प्रेरणाएँ भिन्न होती हैं। कुछ हमलावर केवल रोमांच की तलाश में होते हैं या तोड़फोड़ करना चाहते हैं, कुछ कार्यकर्ता होते हैं, जबकि अन्य अपराधी होते हैं जो आर्थिक लाभ की खोज में होते हैं। राज्य-प्रायोजित हमलावर अब आम हो गए हैं और उनके पास अच्छे संसाधन होते हैं, लेकिन यह शुरुआत शौकिया लोगों से हुई थी, जैसे कि मार्कस हेस, जिसने केजीबी के लिए हैकिंग की, जैसा कि क्लिफोर्ड स्टॉल ने अपनी पुस्तक द कुकूज़ एग में बताया है।
हमलावरों की प्रेरणाएँ हमलों के प्रकार के अनुसार भिन्न हो सकती हैं, जैसे कि आनंद प्राप्त करने से लेकर राजनीतिक उद्देश्यों तक।[15] उदाहरण के लिए, "हैक्टिविस्ट" किसी कंपनी या संगठन को निशाना बना सकते हैं जो उनके विचारों से मेल नहीं खाता। इसका उद्देश्य कंपनी की वेबसाइट को गिराकर उसे बदनाम करना हो सकता है।
उच्च क्षमता वाले हैकर, जो बड़े वित्तीय समर्थन या राज्य-प्रायोजन के साथ काम करते हैं, अपने वित्तीय समर्थकों की मांगों के अनुसार हमला कर सकते हैं। ऐसे हमले अधिक गंभीर होते हैं, जैसे कि 2015 में यूक्रेन के पावर ग्रिड पर हुआ हमला, जिसमें स्पीयर-फिशिंग, फाइलों का नष्ट होना, और डिनायल-ऑफ-सर्विस (DoS) जैसे तकनीकों का उपयोग किया गया था।[187][188]
इसके अतिरिक्त, हाल के हमलावरों की प्रेरणाएँ उग्रवादी संगठनों से भी जुड़ी होती हैं, जो राजनीतिक लाभ प्राप्त करने या सामाजिक एजेंडे को बाधित करने के लिए हमले करते हैं।[189] इंटरनेट, मोबाइल प्रौद्योगिकियों, और सस्ते कंप्यूटिंग उपकरणों के प्रसार ने क्षमताओं को बढ़ाया है, लेकिन साथ ही उन वातावरणों के लिए जोखिम भी बढ़ाया है, जिन्हें संचालन के लिए महत्वपूर्ण माना जाता है। सभी महत्वपूर्ण लक्षित वातावरण समझौतों के प्रति संवेदनशील होते हैं, और इसने विभिन्न प्रकार के हमलावरों की प्रेरणाओं को ध्यान में रखते हुए जोखिम को कम करने के लिए कई अध्ययन किए हैं।[190]
किसी भी प्रणाली के लिए खतरे की मॉडलिंग का एक महत्वपूर्ण पहलू संभावित हमलों के पीछे की प्रेरणाओं और उन्हें अंजाम देने वाले व्यक्तियों या समूहों की पहचान करना है। सुरक्षा उपायों का स्तर और विवरण उस विशेष प्रणाली के अनुसार भिन्न होंगे जिसे संरक्षित किया जा रहा है। उदाहरण के लिए, एक व्यक्तिगत होम कंप्यूटर, एक बैंक, और एक वर्गीकृत सैन्य नेटवर्क के सामने अलग-अलग खतरे होते हैं, भले ही वे समान तकनीकी आधार का उपयोग करते हों।[191]
कंप्यूटर सुरक्षा घटना प्रबंधन
सारांश
परिप्रेक्ष्य
कंप्यूटर सुरक्षा घटना प्रबंधन एक संगठित दृष्टिकोण है जिसका उद्देश्य कंप्यूटर सुरक्षा घटना या समझौते के परिणामों का समाधान करना और प्रबंधन करना है, ताकि उल्लंघन को रोका जा सके या साइबर हमले को विफल किया जा सके। यदि किसी घुसपैठ को समय पर पहचाना और प्रबंधित नहीं किया जाता है, तो यह आमतौर पर डेटा उल्लंघन या सिस्टम विफलता जैसी अधिक हानिकारक घटना में बदल जाता है। कंप्यूटर सुरक्षा घटना प्रतिक्रिया योजना का उद्देश्य घटना को नियंत्रित करना, नुकसान को सीमित करना और व्यवसाय को सामान्य स्थिति में पुनर्स्थापित करने में सहायता करना है। समझौतों का तेजी से जवाब देना, कमजोरियों का शोषण कम कर सकता है, सेवाओं और प्रक्रियाओं को पुनर्स्थापित कर सकता है और नुकसान को कम कर सकता है।[192] घटना प्रतिक्रिया योजना से संगठनों को घुसपैठ को नुकसान पहुँचाने से पहले रोकने के लिए सर्वोत्तम प्रथाओं की एक श्रृंखला स्थापित करने की अनुमति मिलती है। सामान्य घटना प्रतिक्रिया योजनाओं में लिखित निर्देशों का एक सेट होता है, जो साइबर हमले के जवाब में संगठन की प्रक्रिया को रेखांकित करता है। बिना दस्तावेजी योजना के, संगठन किसी घुसपैठ या समझौते का सफलतापूर्वक पता नहीं लगा सकता और हितधारक अपने कर्तव्यों, प्रक्रियाओं और प्रक्रियाओं को समझ नहीं पाते, जिससे संगठन की प्रतिक्रिया और समाधान की गति धीमी हो जाती है।
कंप्यूटर सुरक्षा घटना प्रतिक्रिया योजना के चार प्रमुख घटक होते हैं:
- तैयारी: कंप्यूटर सुरक्षा घटनाओं या समझौतों को संभालने के लिए प्रक्रियाओं पर हितधारकों को तैयार करना।
- पता लगाना और विश्लेषण: संदिग्ध गतिविधि की पहचान करना और जांच करना ताकि सुरक्षा घटना की पुष्टि हो सके, प्रभाव के आधार पर प्रतिक्रिया को प्राथमिकता देना और घटना की सूचना के समन्वय में सहायता करना।
- नियंत्रण, उन्मूलन और पुनर्प्राप्ति: प्रभावित प्रणालियों को अलग करना ताकि वृद्धि को रोका जा सके और प्रभाव को सीमित किया जा सके, घटना के मूल कारण का पता लगाना, मैलवेयर, प्रभावित प्रणालियों और बुरे कारकों को वातावरण से हटाना और जब कोई खतरा न रहे तो प्रणालियों और डेटा को पुनर्स्थापित करना।
- घटना के बाद की गतिविधि: घटना, उसके मूल कारण और संगठन की प्रतिक्रिया का विश्लेषण ताकि घटना प्रतिक्रिया योजना और भविष्य की प्रतिक्रिया प्रयासों में सुधार किया जा सके।[193]
इन्हें भी देखें
कंप्यूटर प्रवेशद्वार |
|
|
सन्दर्भ
बाहरी कड़ियाँ
Wikiwand - on
Seamless Wikipedia browsing. On steroids.