कंप्यूटर सुरक्षा

कंप्यूटर सुरक्षा (जिसे साइबर सुरक्षा, डिजिटल सुरक्षा या सूचना प्रौद्योगिकी (आईटी) सुरक्षा भी कहा जाता है) कंप्यूटर सॉफ़्टवेयर, प्रणालियों और नेटवर्क की उन खतरों से रक्षा करने के लिए है, जो अनधिकृत जानकारी के खुलासे, हार्डवेयर, सॉफ़्टवेयर या डेटा की चोरी (या क्षति) के साथ-साथ उनकी सेवाओं में व्यवधान या गलत दिशा में ले जाने का कारण बन सकते हैं।^[1][2]

भौतिक सुरक्षा उपाय का एक उदाहरण: हार्डवेयर से छेड़छाड़ को रोकने के लिए व्यक्तिगत संगणक के पीछे लगा धातु का लॉक।

यह क्षेत्र इसलिए महत्वपूर्ण है क्योंकि कंप्यूटर प्रणालियों, इंटरनेट^[3] और वायरलेस नेटवर्क मानकों पर बढ़ती निर्भरता है। यह स्मार्ट उपकरणों के विकास के कारण भी महत्वपूर्ण है, जिसमें स्मार्टफ़ोन, टेलीविज़न और इंटरनेट ऑफ थिंग्स (IoT) से जुड़े विभिन्न उपकरण शामिल हैं। सूचना प्रणालियों की जटिलता और उनके द्वारा समर्थित समाजों के कारण साइबर सुरक्षा समकालीन दुनिया के सामने सबसे महत्वपूर्ण नई चुनौतियों में से एक है। सुरक्षा उन प्रणालियों के लिए विशेष रूप से महत्वपूर्ण है जो बिजली वितरण, चुनाव और वित्त जैसे बड़े पैमाने पर काम करने वाली प्रणालियों को नियंत्रित करती हैं और जिनका व्यापक भौतिक प्रभाव होता है।^[4][5]

कंप्यूटर सुरक्षा के कई पहलू डिजिटल सुरक्षा से जुड़े होते हैं, जैसे इलेक्ट्रॉनिक पासवर्ड और एन्क्रिप्शन, लेकिन अनधिकृत छेड़छाड़ को रोकने के लिए अभी भी धातु के ताले जैसी भौतिक सुरक्षा उपायों का उपयोग किया जाता है। आईटी सुरक्षा सूचना सुरक्षा का एक सही उपसमुच्चय नहीं है, इसलिए यह सुरक्षा सम्मेलन योजना में पूरी तरह फिट नहीं होती।

कमज़ोरियाँ और हमले

मुख्य लेख: भेद्यता (कंप्यूटिंग)

भेद्यता एक दोष को संदर्भित करती है जो कंप्यूटर या प्रणाली की संरचना, निष्पादन, कार्यप्रणाली या आंतरिक निगरानी में होती है, जिससे उसकी सुरक्षा खतरे में पड़ जाती है। अब तक खोजी गई अधिकांश भेद्यताओं को कॉमन वल्नरेबिलिटीज एंड एक्सपोजर्स (CVE) डेटाबेस में प्रलेखित किया गया है।^[6] एक शोषण योग्य भेद्यता वह होती है, जिसके लिए कम से कम एक प्रभावी हमला या शोषण मौजूद होता है।^[7] जो व्यक्ति या समूह जानबूझकर भेद्यताओं की तलाश करते हैं, उन्हें खतरे के रूप में जाना जाता है। भेद्यताओं पर शोध किया जा सकता है, उन्हें रिवर्स-इंजीनियरिंग, शिकार या स्वचालित उपकरणों या अनुकूलित स्क्रिप्ट का उपयोग करके शोषित किया जा सकता है।^[8][9]

विभिन्न लोग या समूह साइबर हमलों के शिकार हो सकते हैं, लेकिन विभिन्न समूहों को अलग-अलग प्रकार के हमले ज्यादा झेलने पड़ते हैं।^[10]

अप्रैल 2023 में, यूनाइटेड किंगडम के विज्ञान, नवाचार और प्रौद्योगिकी विभाग ने पिछले 12 महीनों में हुए साइबर हमलों पर एक रिपोर्ट जारी की।^[11] इसमें उन्होंने 2,263 यूके व्यवसायों, 1,174 यूके में पंजीकृत चैरिटीज़ और 554 शैक्षणिक संस्थानों का सर्वेक्षण किया। शोध में पाया गया कि "32% व्यवसाय और 24% चैरिटीज़ ने पिछले 12 महीनों में किसी भी प्रकार के उल्लंघन या हमलों का अनुभव किया।" ये आंकड़े "मध्यम व्यवसायों (59%), बड़े व्यवसायों (69%), और उच्च आय वाली चैरिटीज़ जिनकी वार्षिक आय £500,000 या उससे अधिक है (56%)" के लिए अधिक थे।^[11] हालांकि मध्यम और बड़े व्यवसाय अधिकतर शिकार होते हैं, क्योंकि बड़े व्यवसायों ने पिछले दशक में अपनी सुरक्षा में सुधार किया है, लेकिन छोटे और मध्यम आकार के व्यवसाय (SMBs) भी तेजी से अधिक भेद्य होते जा रहे हैं क्योंकि उनके पास व्यापार की रक्षा के लिए उन्नत उपकरण नहीं होते।^[10] SMBs आमतौर पर मैलवेयर, रैंसमवेयर, फ़िशिंग, मैन-इन-द-मिडल अटैक्स, और डिनायल-ऑफ सर्विस (DoS) हमलों से प्रभावित होते हैं।^[10]

साधारण इंटरनेट उपयोगकर्ताओं पर सबसे अधिक अप्रत्यक्ष साइबर हमलों का खतरा होता है।^[12] इन हमलों में हमलावर जितने संभव हो उतने उपकरणों, सेवाओं या उपयोगकर्ताओं को अंधाधुंध रूप से निशाना बनाते हैं। वे इंटरनेट की खुली प्रकृति का लाभ उठाकर यह करते हैं। इन रणनीतियों में मुख्य रूप से फ़िशिंग, रैंसमवेयर, वॉटर होलिंग और स्कैनिंग शामिल होती हैं।^[12]

किसी कंप्यूटर प्रणाली को सुरक्षित करने के लिए, यह समझना महत्वपूर्ण है कि उस पर कौन-कौन से हमले किए जा सकते हैं। आमतौर पर इन खतरों को निम्नलिखित श्रेणियों में वर्गीकृत किया जा सकता है:

बैकडोर

कंप्यूटर सिस्टम, क्रिप्टोसिस्टम, या एल्गोरिदम में एक बैकडोर एक गुप्त तरीका होता है, जो सामान्य प्रमाणीकरण या सुरक्षा नियंत्रणों को दरकिनार करने के लिए इस्तेमाल किया जाता है। यह कमजोरी कई कारणों से हो सकती है, जिसमें मूल डिज़ाइन या खराब कॉन्फ़िगरेशन शामिल है।^[13] बैकडोर की प्रकृति के कारण, ये कंपनियों और डेटाबेस के लिए अधिक चिंता का विषय होते हैं, न कि व्यक्तिगत उपयोगकर्ताओं के लिए।

बैकडोर को किसी अधिकृत पक्ष द्वारा वैध पहुंच की अनुमति देने के लिए जोड़ा जा सकता है, या फिर हमलावर इसे दुर्भावनापूर्ण उद्देश्यों के लिए स्थापित कर सकते हैं। अपराधी अक्सर मैलवेयर का उपयोग करके बैकडोर स्थापित करते हैं, जिससे उन्हें सिस्टम पर रिमोट प्रशासनिक पहुंच मिल जाती है।^[14] एक बार पहुंच प्राप्त करने के बाद, साइबर अपराधी फाइलों को संशोधित कर सकते हैं, व्यक्तिगत जानकारी चुरा सकते हैं, अवांछित सॉफ़्टवेयर स्थापित कर सकते हैं, और यहां तक कि पूरे कंप्यूटर का नियंत्रण भी ले सकते हैं।^[14]

बैकडोर का पता लगाना बहुत कठिन हो सकता है और आमतौर पर इसे वही व्यक्ति खोज सकता है जिसे एप्लिकेशन के स्रोत कोड या कंप्यूटर के ऑपरेटिंग सिस्टम की गहरी जानकारी हो।

डिनायल-ऑफ-सर्विस हमला

डिनायल-ऑफ-सर्विस (DoS) हमले एक मशीन या नेटवर्क संसाधन को उसके इच्छित उपयोगकर्ताओं के लिए अनुपलब्ध बनाने के उद्देश्य से किए जाते हैं।^[15] हमलावर सेवा को व्यक्तिगत पीड़ितों से इनकार कर सकते हैं, जैसे कि जानबूझकर कई बार गलत पासवर्ड दर्ज करना ताकि पीड़ित का खाता लॉक हो जाए, या वे मशीन या नेटवर्क की क्षमताओं को ओवरलोड कर सभी उपयोगकर्ताओं को एक साथ ब्लॉक कर सकते हैं। जबकि एक नेटवर्क हमले को एकल आईपी पते से फायरवॉल नियम जोड़कर ब्लॉक किया जा सकता है, कई प्रकार के वितरित डिनायल-ऑफ-सर्विस (DDoS) हमले संभव हैं, जहां हमला कई बिंदुओं से होता है। इस मामले में, इन हमलों से बचाव करना कहीं अधिक कठिन होता है। ऐसे हमले ज़ॉम्बी कंप्यूटरों की एक बॉटनेट से उत्पन्न हो सकते हैं या अन्य तकनीकों जैसे वितरित रिफ्लेक्टिव डिनायल-ऑफ-सर्विस (DRDoS) से हो सकते हैं, जहां निर्दोष सिस्टमों को धोखा देकर ट्रैफ़िक पीड़ित की ओर भेजा जाता है।^[15] इस तरह के हमलों में वृद्धि कारक हमलावर के लिए हमले को आसान बना देता है क्योंकि उन्हें अपने स्वयं के बैंडविड्थ का कम उपयोग करना पड़ता है। यह समझने के लिए कि हमलावर इन हमलों को क्यों अंजाम देते हैं, 'हमलावर की प्रेरणा' अनुभाग देखें।

डायरेक्ट-एक्सेस हमला

डायरेक्ट-एक्सेस हमला तब होता है जब एक अनधिकृत उपयोगकर्ता (हमलावर) किसी कंप्यूटर तक भौतिक रूप से पहुंच प्राप्त करता है, सबसे अधिक संभावना है कि वह इससे डेटा को सीधे कॉपी कर सके या जानकारी चुरा सके।^[16] हमलावर सुरक्षा से समझौता कर सकते हैं जैसे कि ऑपरेटिंग सिस्टम में बदलाव करना, सॉफ़्टवेयर वर्म्स, कीलॉगर्स, गुप्त सुनने वाले उपकरणों को स्थापित करना या वायरलेस माइक्रोफोन का उपयोग करना। यहां तक कि जब सिस्टम मानक सुरक्षा उपायों से सुरक्षित होता है, तो भी इन उपायों को एक अन्य ऑपरेटिंग सिस्टम या टूल को CD-ROM या अन्य बूटेबल मीडिया से बूट करके बाईपास किया जा सकता है। डिस्क एन्क्रिप्शन और ट्रस्टेड प्लेटफार्म मॉड्यूल (TPM) मानक को इन हमलों को रोकने के लिए डिज़ाइन किया गया है।

डायरेक्ट सर्विस हमलावर का सिद्धांत डायरेक्ट मेमोरी हमलों से संबंधित है, जो हमलावर को कंप्यूटर की मेमोरी तक सीधे पहुंच प्रदान करते हैं।^[17] ये हमले "आधुनिक कंप्यूटरों की एक विशेषता का फायदा उठाते हैं, जो बाहरी हार्ड ड्राइव, ग्राफिक्स कार्ड, या नेटवर्क कार्ड जैसी कुछ डिवाइसों को कंप्यूटर की मेमोरी तक सीधे पहुंचने की अनुमति देती हैं।"^[17]

ईव्सड्रॉपिंग

ईव्सड्रॉपिंग एक निजी कंप्यूटर संवाद (संचार) को चुपके से सुनने का कार्य है, जो आमतौर पर नेटवर्क पर होस्ट्स के बीच होता है। यह तब होता है जब कोई उपयोगकर्ता ऐसे नेटवर्क से जुड़ता है जहां ट्रैफ़िक सुरक्षित या एन्क्रिप्टेड नहीं होता और वह संवेदनशील व्यावसायिक डेटा एक सहकर्मी को भेजता है, जिसे हमलावर द्वारा सुनकर शोषित किया जा सकता है।^[18] "खुले नेटवर्क" के माध्यम से भेजे गए डेटा को हमलावर विभिन्न तरीकों से भेद्यता का फायदा उठाकर इंटरसेप्ट कर सकता है।

मैलवेयर, डायरेक्ट-एक्सेस हमलों या अन्य साइबर हमलों के विपरीत, ईव्सड्रॉपिंग हमले नेटवर्क या उपकरणों के प्रदर्शन को नकारात्मक रूप से प्रभावित करने की संभावना कम रखते हैं, जिससे इन्हें पहचानना मुश्किल हो जाता है।^[18] वास्तव में, "हमलावर को सॉफ़्टवेयर से किसी भी निरंतर कनेक्शन की आवश्यकता नहीं होती। हमलावर सॉफ़्टवेयर को किसी संक्रमित उपकरण पर डाल सकता है, चाहे वह सीधे हो या किसी वायरस या अन्य मैलवेयर के माध्यम से, और फिर बाद में किसी भी डेटा को प्राप्त करने या डेटा भेजने के लिए सॉफ़्टवेयर को सक्रिय करने के लिए वापस आ सकता है।"^[19]

वर्चुअल प्राइवेट नेटवर्क (VPN) का उपयोग करना, जो दो बिंदुओं के बीच डेटा को एन्क्रिप्ट करता है, ईव्सड्रॉपिंग के खिलाफ सुरक्षा का एक सबसे सामान्य रूप है। वायरलेस नेटवर्क के लिए सबसे अच्छी एन्क्रिप्शन विधि का उपयोग करना और एन्क्रिप्टेड HTTP (HTTPS) का उपयोग करना भी एक बेहतरीन तरीका है।^[20]

कानून प्रवर्तन एजेंसियों द्वारा भी ईव्सड्रॉपिंग के लिए कुछ प्रोग्रामों का उपयोग किया जाता है, जैसे कि Carnivore और NarusInSight, जिन्हें FBI और NSA द्वारा इंटरनेट सेवा प्रदाताओं की प्रणालियों की निगरानी के लिए उपयोग किया गया है। यहां तक कि बंद प्रणालियों (जिनका बाहरी दुनिया से कोई संपर्क नहीं होता) को भी ईव्सड्रॉप किया जा सकता है, जो हार्डवेयर द्वारा उत्पन्न सूक्ष्म विद्युतचुंबकीय प्रसारणों की निगरानी करके किया जाता है। TEMPEST एक NSA विनिर्देश है जो इन हमलों का संदर्भ देता है।

मैलवेयर

मैलिशियस सॉफ़्टवेयर (मैलवेयर) किसी भी सॉफ़्टवेयर कोड या कंप्यूटर प्रोग्राम को कहा जाता है, जिसे जानबूझकर कंप्यूटर सिस्टम या उसके उपयोगकर्ताओं को नुकसान पहुँचाने के उद्देश्य से लिखा जाता है।^[21] एक बार कंप्यूटर में मौजूद होने पर, यह संवेदनशील जानकारी जैसे व्यक्तिगत और व्यावसायिक जानकारी, पासवर्ड लीक कर सकता है, सिस्टम का नियंत्रण हमलावर को दे सकता है, और डेटा को भ्रष्ट या स्थायी रूप से हटा सकता है।^[22] मैलवेयर का एक प्रकार रैनसमवेयर होता है, जिसमें मैलवेयर पीड़ित की मशीन पर खुद को इंस्टॉल करता है, उसकी फ़ाइलों को एन्क्रिप्ट करता है, और फिर उस डेटा को वापस देने के लिए फिरौती (आमतौर पर बिटकॉइन में) की मांग करता है।^[23]

मैलवेयर के कुछ प्रकार निम्नलिखित हैं:

• वायरस: यह एक प्रकार का मैलवेयर होता है, जो सॉफ़्टवेयर को हाइजैक करता है और नुकसान पहुँचाने और खुद की प्रतिलिपियाँ फैलाने का इरादा रखता है। यह अन्य प्रोग्रामों में फैलने के लिए कॉपियाँ बनाता है।^[21]

• वर्म्स: वायरस के समान होते हैं, लेकिन वायरस को कार्य करने के लिए उपयोगकर्ता द्वारा एक समझौता किए गए प्रोग्राम को चलाने की आवश्यकता होती है। वर्म्स स्वयं-प्रतिकृति करने वाले मैलवेयर होते हैं, जो बिना मानव हस्तक्षेप के प्रोग्रामों, ऐप्स और डिवाइसों के बीच फैलते हैं।^[21]

• ट्रोजन हॉर्स: ये प्रोग्राम होते हैं, जो उपयोगी या वैध सॉफ़्टवेयर के रूप में छिपे रहते हैं या खुद को दिखाते हैं ताकि उपयोगकर्ताओं को उन्हें इंस्टॉल करने के लिए धोखा दिया जा सके। एक बार इंस्टॉल होने के बाद, रिमोट एक्सेस ट्रोजन (RAT) प्रभावित डिवाइस पर एक गुप्त बैकडोर बना सकता है, जिससे नुकसान पहुँचाया जा सके।^[21]

• स्पाइवेयर: यह एक प्रकार का मैलवेयर होता है, जो संक्रमित कंप्यूटर से जानकारी एकत्र करता है और इसे हमलावर को भेजता है। स्पाइवेयर का एक सामान्य रूप कीलॉगर्स होते हैं, जो उपयोगकर्ता की सभी कीबोर्ड इनपुट/कीस्ट्रोक को रिकॉर्ड करते हैं, जिससे हमलावर यूज़रनेम, पासवर्ड, बैंक खाते और क्रेडिट कार्ड नंबर प्राप्त कर सकते हैं।^[21]

• स्केयरवेयर: जैसा कि नाम से पता चलता है, यह एक प्रकार का मैलवेयर होता है, जो उपयोगकर्ताओं को डराने, झटका देने, चिंता उत्पन्न करने, या खतरे की धारणा का सुझाव देकर उन्हें अवांछित सॉफ़्टवेयर खरीदने या इंस्टॉल करने के लिए धोखा देता है। ये हमले अक्सर एक अचानक पॉप-अप संदेश के साथ शुरू होते हैं, जो उपयोगकर्ता को यह चेतावनी देते हैं कि उन्होंने कानून तोड़ा है या उनके डिवाइस में वायरस है।^[21]

मैन-इन-द-मिडिल हमले

मैन-इन-द-मिडिल (MITM) हमलों में एक दुर्भावनापूर्ण हमलावर, दो पक्षों के बीच संचार को रोकने, निगरानी करने या उसमें परिवर्तन करने की कोशिश करता है। वह दोनों पक्षों की पहचान को स्पूफ करके खुद को बीच में डाल लेता है।^[24] MITM हमलों के कुछ प्रकार निम्नलिखित हैं:

• आईपी एड्रेस स्पूफिंग: इसमें हमलावर रूटिंग प्रोटोकॉल को हाईजैक कर लक्ष्य का ट्रैफिक किसी कमजोर नेटवर्क नोड पर पुनः निर्देशित करता है ताकि ट्रैफिक को इंटरसेप्ट या इंजेक्ट किया जा सके।

• मैसेज स्पूफिंग (ईमेल, एसएमएस, या ओटीटी मैसेजिंग के जरिए): इसमें हमलावर लक्ष्य का इस्तेमाल करते हुए ईमेल, एसएमएस या ओटीटी मैसेजिंग एप्स के माध्यम से किसी की पहचान या सेवा को स्पूफ करता है। हमलावर तब बातचीत की निगरानी कर सकता है, सामाजिक हमले कर सकता है, या और अधिक हमलों के लिए जीरो-डे कमजोरियों का फायदा उठा सकता है।

• वाईफाई SSID स्पूफिंग: इसमें हमलावर एक वाईफाई बेस स्टेशन SSID की नकल करता है ताकि इंटरनेट ट्रैफिक और लेन-देन को कैप्चर और संशोधित किया जा सके। यह स्थानीय नेटवर्क एड्रेसिंग और कमजोर नेटवर्क सुरक्षा का उपयोग करके फ़ायरवॉल में प्रवेश कर सकता है।

• डीएनएस स्पूफिंग: इसमें हमलावर डोमेन नाम असाइनमेंट को हाईजैक करता है ताकि ट्रैफिक को अपने नियंत्रण वाले सिस्टम पर पुनः निर्देशित किया जा सके, जिससे ट्रैफिक की निगरानी की जा सके या अन्य हमलों को अंजाम दिया जा सके।

• एसएसएल हाईजैकिंग: इसमें हमलावर एसएसएल ऑथेंटिकेशन और एन्क्रिप्शन प्रोटोकॉल को सर्टिफिकेट अथॉरिटी इंजेक्शन के माध्यम से स्पूफ करता है ताकि ट्रैफिक को डिक्रिप्ट, मॉनिटर और संशोधित किया जा सके।^[24]

बहु-वेक्टर, बहुरूपी हमले

2017 में उभरने वाला एक नया वर्ग, मल्टी-वेक्टर,^[25] पॉलीमॉर्फिक^[26] साइबर हमलों का होता है, जिसमें कई प्रकार के हमले एक साथ होते हैं और ये हमले फैलते हुए साइबर सुरक्षा नियंत्रणों से बचने के लिए अपना रूप बदल लेते हैं।

मल्टी-वेक्टर पॉलीमॉर्फिक हमले, जैसा कि नाम से स्पष्ट है, दोनों मल्टी-वेक्टर और पॉलीमॉर्फिक होते हैं।^[27] सबसे पहले, यह एक ऐसा हमला है जिसमें कई प्रकार के हमले शामिल होते हैं। इस दृष्टिकोण से, यह "मल्टी-वेक्टर" है, यानी हमला वेब, ईमेल और एप्लिकेशन जैसे कई माध्यमों से फैल सकता है। इसके अलावा, ये हमले मल्टी-स्टेज होते हैं, यानी ये नेटवर्क में घुसपैठ कर सकते हैं और नेटवर्क के अंदर साइड मूवमेंट कर सकते हैं।^[27] ये हमले पॉलीमॉर्फिक भी हो सकते हैं, जिसका मतलब है कि साइबर हमले जैसे वायरस, वर्म या ट्रोजन लगातार अपना रूप बदलते हैं, जिससे सिग्नेचर-आधारित सुरक्षा उपायों से इनका पता लगाना लगभग असंभव हो जाता है।^[27]

फ़िशिंग

एक फ़िशिंग ईमेल का उदाहरण, जो (काल्पनिक) बैंक के आधिकारिक ईमेल के रूप में प्रच्छन्न है। भेजने वाला प्राप्तकर्ता को धोखे से गोपनीय जानकारी उजागर करने के लिए फिशर की वेबसाइट पर पुष्टि करने के लिए प्रेरित करने का प्रयास कर रहा है। "received" और "discrepancy" जैसे शब्दों की गलत वर्तनी को क्रमशः recieved और discrepency के रूप में नोट करें। हालाँकि बैंक के वेबपेज का URL वैध प्रतीत होता है, लेकिन हाइपरलिंक फिशर की वेबसाइट की ओर इशारा करता है।

फ़िशिंग एक ऐसी प्रक्रिया है जिसमें उपयोगकर्ताओं को धोखा देकर उनके संवेदनशील जानकारी जैसे यूज़रनेम, पासवर्ड और क्रेडिट कार्ड की जानकारी हासिल की जाती है।^[28] फ़िशिंग आमतौर पर ईमेल स्पूफिंग, इंस्टेंट मैसेजिंग, टेक्स्ट मैसेज, या फोन कॉल के जरिए की जाती है। इसमें उपयोगकर्ताओं को ऐसे नकली वेबसाइट पर जाने के लिए प्रेरित किया जाता है जो देखने और महसूस करने में असली वेबसाइट के समान होती है।^[29] यह नकली वेबसाइट व्यक्तिगत जानकारी मांगती है, जैसे लॉगिन विवरण और पासवर्ड, जिसे फिर असली वेबसाइट पर उपयोगकर्ता के खाते तक पहुंचने के लिए इस्तेमाल किया जा सकता है।

फ़िशिंग पीड़ित की भरोसे की भावना का शोषण करता है, और इसे सोशल इंजीनियरिंग का एक रूप माना जा सकता है। हमलावर असली खातों तक पहुंचने के लिए रचनात्मक तरीकों का उपयोग कर सकते हैं। एक सामान्य धोखा यह होता है कि हमलावर उपयोगकर्ताओं को नकली इलेक्ट्रॉनिक चालान भेजते हैं,^[30] यह दिखाते हुए कि उन्होंने हाल ही में संगीत, ऐप्स या अन्य चीज़ें खरीदी हैं, और यदि यह खरीदारी अधिकृत नहीं है, तो एक लिंक पर क्लिक करने का निर्देश देते हैं। फ़िशिंग का एक अधिक रणनीतिक प्रकार स्पीयर-फ़िशिंग है, जिसमें व्यक्तिगत या संगठन-विशिष्ट जानकारी का उपयोग किया जाता है ताकि हमलावर को एक विश्वसनीय स्रोत के रूप में प्रस्तुत किया जा सके। स्पीयर-फ़िशिंग हमले विशेष व्यक्तियों को लक्षित करते हैं, जबकि सामान्य फ़िशिंग प्रयासों में अधिक व्यापक समूह को निशाना बनाया जाता है।^[31]

विशेषाधिकार वृद्धि

विशेषाधिकार वृद्धि (प्रिविलेज एस्केलेशन) उस स्थिति को दर्शाता है जहां एक हमलावर, कुछ सीमित पहुंच के साथ, बिना अनुमति के अपने अधिकार या पहुंच स्तर को बढ़ाने में सक्षम हो जाता है।^[32] उदाहरण के लिए, एक साधारण कंप्यूटर उपयोगकर्ता सिस्टम में किसी कमजोरी का फायदा उठाकर प्रतिबंधित डेटा तक पहुंच सकता है, या यहां तक कि रूट (root) उपयोगकर्ता बनकर पूरे सिस्टम पर बिना किसी प्रतिबंध के नियंत्रण प्राप्त कर सकता है। ऐसे हमलों की गंभीरता मामूली अवांछित ईमेल भेजने से लेकर बड़ी मात्रा में डेटा पर रैंसमवेयर हमले तक हो सकती है। प्रिविलेज एस्केलेशन अक्सर सोशल इंजीनियरिंग तकनीकों, विशेष रूप से फ़िशिंग, से शुरू होती है।^[32]

प्रिविलेज एस्केलेशन को दो रणनीतियों में विभाजित किया जा सकता है: क्षैतिज (horizontal) और लंबवत (vertical) प्रिविलेज एस्केलेशन।

• क्षैतिज एस्केलेशन (horizontal escalation): इसमें हमलावर एक सामान्य उपयोगकर्ता खाते की पहुंच प्राप्त करता है, जिसमें अपेक्षाकृत कम स्तर के अधिकार होते हैं। यह आमतौर पर उपयोगकर्ता का यूज़रनेम और पासवर्ड चुराकर किया जाता है। इस "पायदान" पर पहुंचने के बाद, हमलावर इसी तरह के स्तर के अन्य उपयोगकर्ताओं के नेटवर्क में घूम सकता है और समान अधिकार वाले डेटा तक पहुंच प्राप्त कर सकता है।^[32]

• लंबवत एस्केलेशन (vertical escalation): इसमें हमलावर का लक्ष्य किसी कंपनी में उच्च अधिकार वाले व्यक्तियों तक पहुंच प्राप्त करना होता है, जैसे आईटी कर्मचारी जिनके पास अधिक प्रशासनिक अधिकार होते हैं। इस तरह के खाते का उपयोग करके हमलावर अन्य खातों तक पहुंचने में सक्षम हो जाता है।^[32]

साइड-चैनल हमला

मुख्य लेख: साइड-चैनल हमला

किसी भी संगणकीय प्रणाली का उसके परिवेश पर कुछ न कुछ प्रभाव अवश्य पड़ता है। यह प्रभाव विद्युत-चुंबकीय विकिरण से लेकर RAM कोशिकाओं पर बची हुई जानकारी तक हो सकता है, जिससे कोल्ड बूट अटैक संभव हो जाता है, या हार्डवेयर कार्यान्वयन की त्रुटियाँ होती हैं जो सामान्य रूप से अप्राप्य मानों तक पहुँचने या उनका अनुमान लगाने की अनुमति देती हैं। साइड-चैनल अटैक परिदृश्यों में, हमलावर इस प्रकार की जानकारी एकत्र करता है ताकि वह सिस्टम या नेटवर्क की आंतरिक स्थिति का अनुमान लगा सके और परिणामस्वरूप उस जानकारी तक पहुँच सके जिसे पीड़ित सुरक्षित मानता है।

सोशल इंजीनियरिंग

कंप्यूटर सुरक्षा के संदर्भ में सोशल इंजीनियरिंग का उद्देश्य उपयोगकर्ताओं को इस तरह से धोखा देना होता है कि वे अपने पासवर्ड, कार्ड नंबर आदि जैसी गोपनीय जानकारी साझा कर दें, या शारीरिक पहुंच की अनुमति दे दें, जैसे कि किसी वरिष्ठ अधिकारी, बैंक, ठेकेदार या ग्राहक का प्रतिरूपण करके।^[33] यह आमतौर पर लोगों के विश्वास का फायदा उठाता है और उनके संज्ञानात्मक पूर्वाग्रहों पर आधारित होता है। एक सामान्य घोटाला वह होता है जिसमें लेखा और वित्त विभाग के कर्मचारियों को उनके CEO का प्रतिरूपण करते हुए ईमेल भेजा जाता है और तुरंत कुछ कार्रवाई करने का अनुरोध किया जाता है। सोशल इंजीनियरिंग की मुख्य तकनीकों में फ़िशिंग हमले शामिल होते हैं।

2016 की शुरुआत में, FBI ने बताया कि इस प्रकार के बिजनेस ईमेल समझौते (BEC) धोखाधड़ी ने लगभग दो वर्षों में अमेरिकी व्यवसायों को 2 बिलियन डॉलर से अधिक का नुकसान पहुंचाया।^[34]

मई 2016 में, मिलवॉकी बक्स NBA टीम इस प्रकार के साइबर घोटाले का शिकार हुई, जिसमें एक अपराधी ने टीम के अध्यक्ष पीटर फेगिन का प्रतिरूपण किया, जिसके परिणामस्वरूप टीम के सभी कर्मचारियों के 2015 के W-2 कर फॉर्म सौंप दिए गए।^[35]

स्पूफिंग

मुख्य लेख: स्पूफिंग हमला

स्पूफिंग (Spoofing) एक ऐसा कार्य है जिसमें कोई व्यक्ति या प्रणाली, डेटा (जैसे IP पता या उपयोगकर्ता नाम) को झूठा प्रस्तुत करके एक वैध इकाई होने का दिखावा करती है, ताकि वह ऐसी जानकारी या संसाधनों तक पहुँच सके, जिन तक पहुँचने का उसे अधिकार नहीं है। स्पूफिंग का फ़िशिंग से निकट संबंध है।^[36][37] स्पूफिंग के कई प्रकार होते हैं, जिनमें शामिल हैं:

• ईमेल स्पूफिंग: इसमें हमलावर ईमेल के स्रोत पते (From या source) को नकली बनाता है।
• आईपी पता स्पूफिंग: इसमें हमलावर नेटवर्क पैकेट में स्रोत IP पते को बदलता है ताकि उसकी पहचान छिपी रहे या वह किसी अन्य कंप्यूटिंग प्रणाली का प्रतिरूपण कर सके।
• MAC स्पूफिंग: इसमें हमलावर अपने नेटवर्क इंटरफेस नियंत्रक के मीडिया एक्सेस कंट्रोल (MAC) पते को बदलता है ताकि अपनी पहचान छिपा सके या किसी अन्य व्यक्ति का प्रतिरूपण कर सके।
• बायोमेट्रिक स्पूफिंग: इसमें हमलावर नकली बायोमेट्रिक नमूना बनाकर किसी अन्य उपयोगकर्ता के रूप में दिखावा करता है।^[38]
• एड्रेस रिज़ॉल्यूशन प्रोटोकॉल (ARP) स्पूफिंग: इसमें हमलावर स्थानीय क्षेत्र नेटवर्क पर नकली ARP संदेश भेजता है ताकि उसका MAC पता किसी अन्य होस्ट के IP पते से जुड़ जाए, जिससे डेटा उस होस्ट के बजाय हमलावर को भेजा जाता है।

2018 में, साइबर सुरक्षा फर्म ट्रेलिक्स ने हेल्थकेयर उद्योग में स्पूफिंग के जीवन-धमकाने वाले जोखिम पर शोध प्रकाशित किया।^[39]

टैम्परिंग

टैम्परिंग (Tampering) एक दुर्भावनापूर्ण संशोधन या डेटा में बदलाव को दर्शाता है। यह एक जानबूझकर किया गया, लेकिन अवैध कार्य होता है, जिसके परिणामस्वरूप किसी सिस्टम, सिस्टम के घटकों, उसकी निर्धारित कार्यप्रणाली, या डेटा में बदलाव किया जाता है। तथाकथित एविल मेड हमले और सुरक्षा सेवाओं द्वारा राउटर्स में निगरानी क्षमता स्थापित करना इसके उदाहरण हैं।^[40]

एचटीएमएल तस्करी

एचटीएमएल स्मगलिंग हमले में हमलावर किसी विशेष एचटीएमएल या वेब पेज के अंदर दुर्भावनापूर्ण कोड "छुपाने" में सक्षम होता है।^[41] एचटीएमएल फाइलें हानिरहित, निष्क्रिय डेटा के रूप में पेलोड को छुपा सकती हैं ताकि सामग्री फिल्टर को मात दी जा सके। इन पेलोड्स को फिल्टर के दूसरी ओर फिर से संगठित किया जा सकता है।^[42]

जब लक्षित उपयोगकर्ता एचटीएमएल खोलता है, तो दुर्भावनापूर्ण कोड सक्रिय हो जाता है; वेब ब्राउज़र स्क्रिप्ट को "डिकोड" करता है, जो फिर लक्ष्य के डिवाइस पर मैलवेयर को छोड़ देता है।^[41]

सूचना सुरक्षा नियम

कर्मचारी व्यवहार का संगठनों में सूचना सुरक्षा पर बड़ा प्रभाव हो सकता है। सांस्कृतिक अवधारणाएँ संगठन के विभिन्न वर्गों को सूचना सुरक्षा की दिशा में प्रभावी ढंग से काम करने में मदद कर सकती हैं या इसके विपरीत प्रभाव डाल सकती हैं। सूचना सुरक्षा संस्कृति को इस प्रकार परिभाषित किया गया है: "यह संगठन में व्यवहार के उन सभी पैटर्न का योग है, जो सभी प्रकार की सूचनाओं की सुरक्षा में योगदान करते हैं।"^[43]

एंडर्सन और रीमर्स (2014) ने पाया कि कर्मचारी अक्सर खुद को अपनी संगठन की सूचना सुरक्षा प्रयासों का हिस्सा नहीं मानते और अक्सर ऐसे कार्य करते हैं जो संगठनात्मक परिवर्तनों में बाधा डालते हैं।^[44] वास्तव में, वेरिज़ोन डेटा ब्रीच जांच रिपोर्ट 2020, जिसने 3,950 सुरक्षा उल्लंघनों की जांच की, ने पाया कि 30% साइबर सुरक्षा घटनाओं में कंपनी के भीतर आंतरिक कर्मियों का हाथ था।^[45] शोध से पता चलता है कि सूचना सुरक्षा संस्कृति को लगातार बेहतर बनाए रखने की आवश्यकता होती है। "विश्लेषण से परिवर्तन तक सूचना सुरक्षा संस्कृति" में लेखकों ने टिप्पणी की, "यह एक अंतहीन प्रक्रिया है, मूल्यांकन और परिवर्तन या रखरखाव का एक चक्र।" सूचना सुरक्षा संस्कृति का प्रबंधन करने के लिए पाँच कदम उठाए जाने चाहिए: पूर्व-मूल्यांकन, रणनीतिक योजना, क्रियात्मक योजना, कार्यान्वयन, और उत्तर-मूल्यांकन।^[46]

• पूर्व-मूल्यांकन: कर्मचारियों में सूचना सुरक्षा के प्रति जागरूकता की पहचान करना और मौजूदा सुरक्षा नीतियों का विश्लेषण करना।
• रणनीतिक योजना: बेहतर जागरूकता कार्यक्रम तैयार करने के लिए स्पष्ट लक्ष्य निर्धारित किए जाने चाहिए। इसे प्राप्त करने के लिए कुशल पेशेवरों की एक टीम का गठन करना सहायक होता है।
• क्रियात्मक योजना: एक अच्छी सुरक्षा संस्कृति आंतरिक संचार, प्रबंधन की प्रतिबद्धता, सुरक्षा जागरूकता और प्रशिक्षण कार्यक्रम पर आधारित हो सकती है।^[46]
• कार्यान्वयन: सूचना सुरक्षा संस्कृति को लागू करने के लिए चार चरणों का उपयोग किया जाना चाहिए:

1. प्रबंधन की प्रतिबद्धता
2. संगठन के सदस्यों के साथ संचार
3. सभी संगठनात्मक सदस्यों के लिए पाठ्यक्रम
4. कर्मचारियों की प्रतिबद्धता^[46]

• उत्तर-मूल्यांकन: योजना और कार्यान्वयन की सफलता का आकलन करने के लिए, और अनसुलझे चिंताओं के क्षेत्रों की पहचान करने के लिए।

कंप्यूटर सुरक्षा (प्रतिविधान)

कंप्यूटर सुरक्षा में, एक प्रतिविधान (countermeasure) एक क्रिया, उपकरण, प्रक्रिया, या तकनीक होती है जो किसी खतरे, भेद्यता, या हमले को समाप्त करने, रोकने, उससे होने वाले नुकसान को कम करने, या उसे पहचानकर और रिपोर्ट करके उसे ठीक करने के लिए की जाने वाली कार्रवाई को संदर्भित करती है।^[47][48][49]

कुछ सामान्य प्रतिविधानों को निम्नलिखित वर्गों में सूचीबद्ध किया गया है:

डिज़ाइन द्वारा सुरक्षा

मुख्य लेख: डिज़ाइन द्वारा सुरक्षित

डिज़ाइन द्वारा सुरक्षा या सुरक्षित डिज़ाइन का मतलब है कि सॉफ़्टवेयर को शुरू से ही सुरक्षित बनाने के लिए डिज़ाइन किया गया है। इस मामले में, सुरक्षा को एक मुख्य विशेषता के रूप में माना जाता है।

यूके सरकार के नेशनल साइबर सिक्योरिटी सेंटर ने सुरक्षित साइबर डिज़ाइन सिद्धांतों को पाँच भागों में विभाजित किया है:^[50]

1. किसी सुरक्षित सिस्टम के निर्माण या अद्यतन से पहले, कंपनियों को यह सुनिश्चित करना चाहिए कि वे उस सिस्टम के बुनियादी सिद्धांतों और संदर्भ को समझें, जिसे वे बना रहे हैं, और सिस्टम में किसी भी कमजोरियों की पहचान करें।
2. कंपनियों को अपने डेटा या सिस्टम पर हमले को स्वाभाविक रूप से चुनौतीपूर्ण बनाने के लिए सुरक्षा तकनीकों और रक्षा तंत्रों के चारों ओर अपनी डिज़ाइन को केंद्रित करना चाहिए।
3. कंपनियों को यह सुनिश्चित करना चाहिए कि उनके कोर सेवाएँ, जो तकनीक पर निर्भर हैं, संरक्षित रहें ताकि सिस्टम कभी डाउन न हो।
4. हालांकि सिस्टम को कई तरह के हमलों से सुरक्षित बनाया जा सकता है, इसका मतलब यह नहीं है कि हमले नहीं किए जाएंगे। सभी कंपनियों को यह सुनिश्चित करना चाहिए कि वे हमले का पता लगा सकें और जैसे ही हमला हो, तुरंत जवाब दे सकें।
5. कंपनियों को ऐसे सुरक्षित सिस्टम डिज़ाइन करने चाहिए ताकि किसी भी सफल हमले की गंभीरता कम से कम हो।

सुरक्षित डिज़ाइन के इन सिद्धांतों में निम्नलिखित तकनीकें शामिल हो सकती हैं:

• न्यूनतम विशेषाधिकार का सिद्धांत, जहाँ सिस्टम के प्रत्येक भाग के पास केवल वही विशेषाधिकार होते हैं जो उसके कार्य के लिए आवश्यक होते हैं।
• स्वचालित प्रमेय सिद्ध करना, ताकि महत्वपूर्ण सॉफ़्टवेयर उपप्रणालियों की शुद्धता सिद्ध की जा सके।
• कोड समीक्षा और यूनिट परीक्षण, जहाँ औपचारिक शुद्धता प्रमाण संभव नहीं होते हैं, वहां मॉड्यूल को अधिक सुरक्षित बनाने के दृष्टिकोण।
• गहराई में रक्षा (Defense in Depth), जहाँ डिज़ाइन इस तरह से होती है कि सिस्टम की अखंडता को तोड़ने के लिए एक से अधिक उपप्रणालियों का उल्लंघन करना पड़े।
• डिफ़ॉल्ट सुरक्षित सेटिंग्स, और डिज़ाइन को इस तरह बनाना कि विफल होने पर यह सुरक्षित रूप से विफल हो।
• ऑडिट ट्रेल्स, जो सिस्टम की गतिविधियों को ट्रैक करते हैं ताकि किसी सुरक्षा उल्लंघन के मामले में उल्लंघन का तरीका और उसका दायरा निर्धारित किया जा सके।
• सभी कमजोरियों का पूर्ण प्रकटीकरण, ताकि जब बग का पता चले, तो भेद्यता की विंडो को यथासंभव छोटा रखा जा सके।

सुरक्षा वास्तुकला

सुरक्षा आर्किटेक्चर को "कंप्यूटर सिस्टम्स को सुरक्षा लक्ष्यों को प्राप्त करने के लिए डिज़ाइन करने का अभ्यास" के रूप में परिभाषित किया जा सकता है।^[51] ये लक्ष्य "सुरक्षा द्वारा डिज़ाइन" के सिद्धांतों से जुड़े होते हैं, जैसे "सिस्टम के प्रारंभिक समझौते को कठिन बनाना" और "किसी भी समझौते के प्रभाव को सीमित करना।"^[51] व्यवहार में, एक सुरक्षा आर्किटेक्ट की भूमिका यह सुनिश्चित करना होगी कि सिस्टम की संरचना उसकी सुरक्षा को मजबूत करे, और नए परिवर्तन सुरक्षित हों और संगठन की सुरक्षा आवश्यकताओं को पूरा करें।^[52][53]

इसी तरह, टेकोपेडिया सुरक्षा आर्किटेक्चर को "एक एकीकृत सुरक्षा डिज़ाइन के रूप में परिभाषित करता है जो एक विशेष स्थिति या वातावरण में आवश्यकताओं और संभावित खतरों को संबोधित करता है। यह यह भी निर्दिष्ट करता है कि सुरक्षा नियंत्रणों को कब और कहाँ लागू करना है। डिज़ाइन प्रक्रिया सामान्य रूप से पुनरावृत्त होती है।" सुरक्षा आर्किटेक्चर की प्रमुख विशेषताएं हैं:^[54]

• विभिन्न घटकों के बीच संबंध और वे एक-दूसरे पर कैसे निर्भर होते हैं।
• जोखिम आकलन, अच्छे अभ्यास, वित्तीय और कानूनी मामलों के आधार पर नियंत्रण का निर्धारण।
• नियंत्रणों का मानकीकरण।

सुरक्षा आर्किटेक्चर का अभ्यास संगठन में व्यापार, आईटी और सुरक्षा चिंताओं को व्यवस्थित रूप से संबोधित करने के लिए सही नींव प्रदान करता है।

सुरक्षा उपाय

कंप्यूटर सुरक्षा की स्थिति एक वैचारिक आदर्श है, जिसे तीन प्रक्रियाओं के उपयोग से प्राप्त किया जाता है: खतरे की रोकथाम, पहचान और प्रतिक्रिया। ये प्रक्रियाएँ विभिन्न नीतियों और प्रणाली घटकों पर आधारित होती हैं, जिनमें निम्नलिखित शामिल हैं:

• उपयोगकर्ता खाते के एक्सेस नियंत्रण का उपयोग करके व्यक्तियों की पहुंच को सीमित करना और क्रिप्टोग्राफी का उपयोग करके सिस्टम फाइलों और डेटा को सुरक्षित रखना।
• फायरवॉल नेटवर्क सुरक्षा के दृष्टिकोण से सबसे सामान्य रोकथाम प्रणाली हैं, क्योंकि वे (यदि सही तरीके से कॉन्फ़िगर की गई हैं) आंतरिक नेटवर्क सेवाओं तक पहुंच को ढाल सकती हैं और पैकेट फिल्टरिंग के माध्यम से कुछ प्रकार के हमलों को रोक सकती हैं। फायरवॉल हार्डवेयर और सॉफ़्टवेयर दोनों प्रकार के हो सकते हैं। ये कंप्यूटर नेटवर्क के इनकमिंग और आउटगोइंग ट्रैफिक की निगरानी और नियंत्रण करते हैं और विश्वसनीय नेटवर्क और अविश्वसनीय नेटवर्क के बीच एक अवरोध स्थापित करते हैं।^[55]
• इंट्रूज़न डिटेक्शन सिस्टम (IDS) उत्पाद नेटवर्क में प्रगति पर हमलों का पता लगाने और पोस्ट-हमले फॉरेंसिक में सहायता के लिए डिज़ाइन किए गए हैं, जबकि व्यक्तिगत सिस्टम के लिए ऑडिट ट्रेल्स और लॉग समान कार्य करते हैं।
• प्रतिक्रिया को किसी विशिष्ट प्रणाली की आंकी गई सुरक्षा आवश्यकताओं द्वारा परिभाषित किया जाता है और इसमें सुरक्षा उन्नयन से लेकर कानूनी अधिकारियों को सूचित करना, काउंटर-अटैक तक का दायरा हो सकता है। कुछ विशेष मामलों में, समझौता की गई प्रणाली को पूरी तरह से नष्ट कर देना पसंद किया जा सकता है, क्योंकि यह हो सकता है कि सभी समझौता किए गए संसाधनों का पता न चले।
• साइबर खतरों और हमलों से निपटने के लिए साइबर सुरक्षा जागरूकता प्रशिक्षण।^[56]
• फॉरवर्ड वेब प्रॉक्सी समाधान क्लाइंट को दुर्भावनापूर्ण वेब पृष्ठों पर जाने से रोक सकते हैं और क्लाइंट मशीनों पर डाउनलोड करने से पहले सामग्री का निरीक्षण कर सकते हैं।

आज, कंप्यूटर सुरक्षा में मुख्य रूप से रोकथाम के उपाय शामिल हैं, जैसे फायरवॉल या एक्जिट प्रक्रियाएँ। फायरवॉल को नेटवर्क डेटा को फ़िल्टर करने के एक तरीके के रूप में परिभाषित किया जा सकता है, जो एक होस्ट या नेटवर्क और इंटरनेट जैसी किसी अन्य नेटवर्क के बीच होता है। ये मशीन पर चल रहे सॉफ़्टवेयर के रूप में लागू किए जा सकते हैं, नेटवर्क स्टैक में हुकिंग करते हैं (या, अधिकांश यूनिक्स-आधारित ऑपरेटिंग सिस्टम जैसे लिनक्स के मामले में, ऑपरेटिंग सिस्टम कर्नेल में निर्मित होते हैं) ताकि रीयल-टाइम फ़िल्टरिंग और ब्लॉकिंग प्रदान की जा सके।^[55] एक अन्य कार्यान्वयन एक भौतिक फायरवॉल है, जो नेटवर्क ट्रैफ़िक को फ़िल्टर करने वाली एक अलग मशीन से बना होता है। फायरवॉल उन मशीनों के बीच आम हैं जो इंटरनेट से स्थायी रूप से जुड़ी रहती हैं।

कुछ संगठन बड़े डेटा प्लेटफ़ॉर्म, जैसे अपाचे हाडोप, की ओर रुख कर रहे हैं ताकि डेटा तक पहुंच बढ़ाई जा सके और उन्नत स्थायी खतरों का पता लगाने के लिए मशीन लर्निंग का उपयोग किया जा सके।^[57]

पर्याप्त सुरक्षा सुनिश्चित करने के लिए, नेटवर्क की गोपनीयता, अखंडता और उपलब्धता, जिसे सीआईए ट्रायड के रूप में जाना जाता है, की सुरक्षा करना आवश्यक है, और इसे सूचना सुरक्षा की नींव माना जाता है।^[58] इन उद्देश्यों को प्राप्त करने के लिए, प्रशासनिक, भौतिक और तकनीकी सुरक्षा उपायों को लागू किया जाना चाहिए। किसी संपत्ति को प्रदान की गई सुरक्षा की मात्रा केवल तभी निर्धारित की जा सकती है जब उसकी मूल्य ज्ञात हो।^[59]

भेद्यता प्रबंधन

मुख्य लेख: भेद्यता प्रबंधन

कमजोरी प्रबंधन (Vulnerability Management) कमजोरियों की पहचान, सुधार या उन्हें कम करने का एक चक्र है,^[60] विशेष रूप से सॉफ़्टवेयर और फ़र्मवेयर में। यह कंप्यूटर सुरक्षा और नेटवर्क सुरक्षा के लिए अत्यंत महत्वपूर्ण है।

कमजोरियों की पहचान एक वल्नरेबिलिटी स्कैनर के माध्यम से की जा सकती है, जो कंप्यूटर सिस्टम का विश्लेषण करता है ताकि ज्ञात कमजोरियों,^[61] जैसे खुले पोर्ट, असुरक्षित सॉफ़्टवेयर कॉन्फ़िगरेशन और मैलवेयर की संवेदनशीलता का पता लगाया जा सके। इन टूल्स के प्रभावी होने के लिए, इन्हें विक्रेता द्वारा जारी किए गए हर नए अपडेट के साथ अद्यतन रखना आवश्यक होता है। आमतौर पर, ये अपडेट हाल ही में उत्पन्न कमजोरियों का पता लगाने के लिए स्कैन करते हैं।

वल्नरेबिलिटी स्कैनिंग के अलावा, कई संगठन अपने सिस्टम में कमजोरियों की पहचान के लिए बाहरी सुरक्षा ऑडिटर्स को नियमित रूप से पैनीट्रेशन टेस्ट (Penetration Tests) चलाने के लिए अनुबंधित करते हैं। कुछ क्षेत्रों में, यह एक संविदात्मक आवश्यकता होती है।^[62]

कमजोरियों को कम करना

साइबर हमलों की कमजोरियों का आकलन और उन्हें कम करने की प्रक्रिया को आमतौर पर सूचना प्रौद्योगिकी सुरक्षा आकलन (Information Technology Security Assessments) कहा जाता है। इसका उद्देश्य प्रणालियों का जोखिम आकलन करना और उनकी कमजोरियों का पूर्वानुमान और परीक्षण करना होता है। हालांकि कंप्यूटर सिस्टम्स की शुद्धता की औपचारिक पुष्टि करना संभव है,^[63][64] यह अभी तक आम नहीं है। औपचारिक रूप से सत्यापित ऑपरेटिंग सिस्टम में seL4^[65] और SYSGO का PikeOS शामिल हैं,^[66][67] लेकिन इनका बाजार में बहुत कम हिस्सा है।

एक हमलावर की संभावना को कम करना संभव है, जैसे कि सिस्टम को सुरक्षा पैच और अपडेट के साथ अद्यतन रखना और सुरक्षा में विशेषज्ञता रखने वाले लोगों को नियुक्त करना। बड़े खतरे वाले संगठनों के लिए सुरक्षा संचालन केंद्र (SOC) विश्लेषकों को नियुक्त करना एक विकल्प होता है। ये साइबर रक्षा के विशेषज्ञ होते हैं, जिनकी भूमिका खतरे का विश्लेषण करने से लेकर किसी नए मुद्दे की रिपोर्ट की जांच करना और आपदा वसूली योजनाओं की तैयारी और परीक्षण तक होती है।^[68]

हालांकि कोई भी उपाय पूरी तरह से हमले को रोकने की गारंटी नहीं दे सकता, ये उपाय संभावित हमलों से होने वाले नुकसान को कम करने में मदद कर सकते हैं। डेटा की हानि या क्षति के प्रभावों को भी सावधानीपूर्वक बैकअप और बीमा के माध्यम से कम किया जा सकता है।

औपचारिक आकलनों के बाहर, कमजोरियों को कम करने के विभिन्न तरीके होते हैं। दो-चरण प्रमाणीकरण (Two-Factor Authentication) अनधिकृत पहुंच को रोकने का एक तरीका है।^[69] इसमें कुछ ऐसा शामिल होता है जिसे आप जानते हैं: पासवर्ड या पिन, और कुछ ऐसा जो आपके पास होता है: कार्ड, डोंगल, मोबाइल फोन, या कोई अन्य हार्डवेयर। इससे सुरक्षा बढ़ती है क्योंकि एक अनधिकृत व्यक्ति को दोनों की आवश्यकता होती है।

सामाजिक अभियंत्रण (social engineering) और सीधे कंप्यूटर तक पहुंच (भौतिक) के खिलाफ सुरक्षा केवल गैर-कंप्यूटर उपायों द्वारा की जा सकती है, जो जानकारी की संवेदनशीलता के अनुपात में लागू करना मुश्किल हो सकता है। इस जोखिम को कम करने के लिए अक्सर प्रशिक्षण शामिल होता है, जिससे लोगों के सुरक्षा के ज्ञान में सुधार होता है और खतरों के प्रति जागरूकता बढ़ती है।^[70] हालांकि, अत्यधिक अनुशासित वातावरण (जैसे कि सैन्य संगठन) में भी, सामाजिक अभियंत्रण हमलों की पूर्वानुमान और रोकथाम मुश्किल हो सकती है।

टीकाकरण सिद्धांत (Inoculation Theory) से उत्पन्न होने वाला टीकाकरण, सामाजिक अभियंत्रण और अन्य धोखाधड़ी युक्तियों और जालों को रोकने का प्रयास करता है, जो लोगों को समान या संबंधित प्रयासों के संपर्क में लाकर उन्हें प्रतिरोध की क्षमता प्रदान करता है।^[71]

हार्डवेयर सुरक्षा तंत्र

ये भी देखें: हार्डवेयर विफलता के कारण कंप्यूटर सुरक्षा से समझौता किया गया

हार्डवेयर-आधारित या सहायक कंप्यूटर सुरक्षा सॉफ्टवेयर-आधारित सुरक्षा के विकल्प के रूप में एक अन्य विकल्प प्रदान करती है। इसमें डोंगल्स, ट्रस्टेड प्लेटफॉर्म मॉड्यूल्स (TPMs), इंट्रूज़न-अवेयर केस, ड्राइव लॉक, USB पोर्ट्स को अक्षम करना, और मोबाइल-इनेबल्ड एक्सेस जैसे उपकरण और तरीके शामिल होते हैं, जो भौतिक पहुंच या परिष्कृत बैकडोर एक्सेस की आवश्यकता के कारण अधिक सुरक्षित माने जा सकते हैं। इनमें से प्रत्येक को नीचे विस्तार से समझाया गया है।

• USB डोंगल्स का उपयोग आमतौर पर सॉफ़्टवेयर लाइसेंसिंग योजनाओं में सॉफ़्टवेयर क्षमताओं को अनलॉक करने के लिए किया जाता है,^[72] लेकिन इन्हें कंप्यूटर या अन्य उपकरणों के सॉफ़्टवेयर तक अनधिकृत पहुंच को रोकने के तरीके के रूप में भी देखा जा सकता है। डोंगल या कुंजी सॉफ़्टवेयर एप्लिकेशन और कुंजी के बीच एक सुरक्षित एन्क्रिप्टेड सुरंग बनाता है। इसका सिद्धांत यह है कि डोंगल पर एक एन्क्रिप्शन योजना, जैसे एडवांस्ड एन्क्रिप्शन स्टैंडर्ड (AES), मजबूत सुरक्षा प्रदान करती है क्योंकि डोंगल को हैक करना और उसकी नकल करना, मूल सॉफ़्टवेयर की एक प्रति बनाने और इसे दूसरी मशीन पर चलाने की तुलना में कठिन होता है। डोंगल का एक अन्य सुरक्षा अनुप्रयोग यह है कि इसे वेब-आधारित सामग्री, जैसे क्लाउड सॉफ़्टवेयर या वर्चुअल प्राइवेट नेटवर्क (VPNs) तक पहुंचने के लिए उपयोग किया जाए।^[73] इसके अलावा, एक USB डोंगल को कंप्यूटर को लॉक या अनलॉक करने के लिए भी कॉन्फ़िगर किया जा सकता है।^[74]

• ट्रस्टेड प्लेटफॉर्म मॉड्यूल्स (TPMs) क्रिप्टोग्राफ़िक क्षमताओं को एक्सेस डिवाइसों पर एकीकृत करके उपकरणों को सुरक्षित करते हैं, जिसका उपयोग माइक्रोप्रोसेसरों के माध्यम से किया जाता है। सर्वर-साइड सॉफ़्टवेयर के साथ संयोजन में TPMs हार्डवेयर उपकरणों का पता लगाने और प्रमाणीकरण करने का एक तरीका प्रदान करते हैं, जिससे अनधिकृत नेटवर्क और डेटा तक पहुंच को रोका जा सकता है।^[75]

• कंप्यूटर केस इंट्रूज़न डिटेक्शन एक उपकरण को संदर्भित करता है, जो आमतौर पर एक पुश-बटन स्विच होता है, जो कंप्यूटर केस खोले जाने पर इसका पता लगाता है। अगली बार जब कंप्यूटर बूट होता है, तो फर्मवेयर या BIOS ऑपरेटर को एक चेतावनी दिखाने के लिए प्रोग्राम किया जाता है।

• ड्राइव लॉक मूल रूप से हार्ड ड्राइव्स को एन्क्रिप्ट करने के लिए सॉफ़्टवेयर टूल्स होते हैं, जिससे उन्हें चोरों द्वारा एक्सेस नहीं किया जा सकता।^[76] बाहरी ड्राइव्स को एन्क्रिप्ट करने के लिए विशिष्ट उपकरण भी मौजूद हैं।^[77]

• USB पोर्ट्स को अक्षम करना एक सुरक्षा विकल्प है जो एक सुरक्षित कंप्यूटर में अनधिकृत और दुर्भावनापूर्ण पहुंच को रोकता है। नेटवर्क वर्ल्ड पत्रिका के अनुसार, फ़ायरवॉल के अंदर किसी कंप्यूटर से जुड़े संक्रमित USB डोंगल्स कंप्यूटर नेटवर्क्स के सामने सबसे सामान्य हार्डवेयर खतरा हैं।

• उन परिधीय उपकरणों (जैसे कैमरा, GPS, हटाने योग्य भंडारण) को डिस्कनेक्ट करना या अक्षम करना जो उपयोग में नहीं हैं।^[78]

• मोबाइल-इनेबल्ड एक्सेस डिवाइस अपनी सर्वव्यापकता के कारण लोकप्रियता प्राप्त कर रहे हैं।^[79] बिल्ट-इन क्षमताएं जैसे ब्लूटूथ, नया ब्लूटूथ लो एनर्जी (LE), नॉन-iOS डिवाइसों पर नियर-फील्ड कम्युनिकेशन (NFC) और बायोमेट्रिक सत्यापन जैसे अंगूठे के निशान की पहचान, और मोबाइल उपकरणों के लिए डिज़ाइन किया गया QR कोड रीडर सॉफ़्टवेयर, मोबाइल फोन को एक्सेस कंट्रोल सिस्टम्स से जोड़ने के नए और सुरक्षित तरीके प्रदान करते हैं। ये कंट्रोल सिस्टम कंप्यूटर सुरक्षा प्रदान करते हैं और सुरक्षित भवनों तक पहुंच को नियंत्रित करने के लिए भी उपयोग किए जा सकते हैं।^[80]

• IOMMUs मोबाइल और डेस्कटॉप कंप्यूटरों में डायरेक्ट मेमोरी एक्सेस सुरक्षा का उपयोग करके हार्डवेयर-आधारित सैंडबॉक्सिंग की अनुमति देते हैं।^[81][82]

• फिजिकल अनक्लोनेबल फंक्शंस (PUFs) को डिजिटल फ़िंगरप्रिंट या हार्डवेयर के लिए एक अद्वितीय पहचानकर्ता के रूप में इस्तेमाल किया जा सकता है, जो उपयोगकर्ताओं को उनके सिस्टम में जा रहे हार्डवेयर सप्लाई चेन को सुरक्षित करने की क्षमता प्रदान करता है।^[83][84]

सुरक्षित ऑपरेटिंग सिस्टम

मुख्य लेख: सुरक्षा-मूल्यांकित ऑपरेटिंग सिस्टम

कंप्यूटर सुरक्षा शब्द का एक उपयोग उस तकनीक को संदर्भित करता है जिसका उपयोग सुरक्षित ऑपरेटिंग सिस्टम को लागू करने के लिए किया जाता है। सुरक्षित ऑपरेटिंग सिस्टम का उपयोग करना कंप्यूटर सुरक्षा सुनिश्चित करने का एक अच्छा तरीका है। ये ऐसे सिस्टम होते हैं जिन्होंने बाहरी सुरक्षा-ऑडिटिंग संगठन से प्रमाणन प्राप्त किया होता है, और सबसे लोकप्रिय मूल्यांकन कॉमन क्राइटेरिया (CC) होते हैं।^[85]

सुरक्षित कोडिंग

मुख्य लेख: सुरक्षित कोडिंग

सॉफ्टवेयर इंजीनियरिंग में, सुरक्षित कोडिंग का उद्देश्य सुरक्षा कमजोरियों के आकस्मिक रूप से प्रवेश को रोकना होता है। इसके अलावा, ऐसी सॉफ़्टवेयर प्रणाली भी बनाई जा सकती है जो प्रारंभ से ही सुरक्षित हो। ऐसी प्रणालियों को सुरक्षित बाय डिज़ाइन कहा जाता है। इसके अलावा, औपचारिक सत्यापन (formal verification) का उद्देश्य प्रणाली के तहत एल्गोरिदम की शुद्धता को सिद्ध करना होता है,^[86] जो क्रिप्टोग्राफ़िक प्रोटोकॉल के लिए महत्वपूर्ण है।

क्षमताएं और पहुंच नियंत्रण सूचियां

मुख्य लेख: कंट्रोल सूची को खोलो, भूमिका-आधारित पहुँच नियंत्रण, और क्षमता-आधारित सुरक्षा

कंप्यूटर सिस्टम के भीतर, विशेषाधिकार पृथक्करण (privilege separation) को लागू करने वाले दो मुख्य सुरक्षा मॉडल एक्सेस कंट्रोल लिस्ट (ACL) और रोल-आधारित एक्सेस कंट्रोल (RBAC) हैं।

एक्सेस कंट्रोल लिस्ट (ACL), कंप्यूटर फ़ाइल सिस्टम के संदर्भ में, किसी ऑब्जेक्ट से जुड़े अनुमतियों की सूची होती है। ACL यह निर्दिष्ट करता है कि किन उपयोगकर्ताओं या सिस्टम प्रक्रियाओं को ऑब्जेक्ट्स तक पहुंच प्रदान की गई है, साथ ही किन ऑब्जेक्ट्स पर कौन से कार्य किए जा सकते हैं।

रोल-आधारित एक्सेस कंट्रोल (RBAC) एक ऐसा तरीका है जो सिस्टम की पहुंच को अधिकृत उपयोगकर्ताओं तक सीमित करता है,^[87][88][89] जिसका उपयोग 500 से अधिक कर्मचारियों वाले अधिकांश उद्यमों द्वारा किया जाता है।^[90] यह अनिवार्य एक्सेस कंट्रोल (MAC) या स्वैच्छिक एक्सेस कंट्रोल (DAC) को भी लागू कर सकता है।

एक और दृष्टिकोण, क्षमता-आधारित सुरक्षा (capability-based security), ज्यादातर शोध ऑपरेटिंग सिस्टम तक ही सीमित रही है। हालाँकि, क्षमताओं को भाषा स्तर पर भी लागू किया जा सकता है, जिससे प्रोग्रामिंग की एक ऐसी शैली सामने आती है जो अनिवार्य रूप से मानक ऑब्जेक्ट-ओरिएंटेड डिज़ाइन का परिष्करण है। इस क्षेत्र में एक ओपन-सोर्स प्रोजेक्ट "E भाषा" है।

उपयोगकर्ता सुरक्षा प्रशिक्षण

अंतिम उपयोगकर्ता (end-user) को सुरक्षा श्रृंखला की सबसे कमजोर कड़ी के रूप में व्यापक रूप से पहचाना जाता है,^[91] और यह अनुमान लगाया जाता है कि 90% से अधिक सुरक्षा घटनाओं और उल्लंघनों में किसी न किसी प्रकार की मानव त्रुटि शामिल होती है।^[92][93] आमतौर पर दर्ज की गई त्रुटियों और गलत निर्णयों में कमजोर पासवर्ड प्रबंधन, संवेदनशील डेटा और अटैचमेंट वाले ईमेल गलत प्राप्तकर्ता को भेजना, भ्रामक URL को पहचानने में असमर्थता, नकली वेबसाइटों और खतरनाक ईमेल अटैचमेंट की पहचान न कर पाना शामिल हैं। उपयोगकर्ताओं द्वारा की जाने वाली एक सामान्य गलती यह है कि वे बैंकिंग साइटों में लॉगिन को आसान बनाने के लिए अपने ब्राउज़र में यूज़र आईडी/पासवर्ड सहेज लेते हैं। यह उन हमलावरों के लिए एक उपहार साबित होता है, जो किसी तरह से किसी मशीन तक पहुंच हासिल कर चुके होते हैं। इस जोखिम को दो-कारक प्रमाणीकरण (two-factor authentication) के उपयोग से कम किया जा सकता है।^[94]

चूंकि साइबर जोखिम में मानव तत्व विशेष रूप से यह निर्धारित करने में प्रासंगिक है कि किसी संगठन को किस प्रकार के वैश्विक साइबर जोखिम का सामना करना पड़ रहा है,^[95] इसलिए सभी स्तरों पर सुरक्षा जागरूकता प्रशिक्षण न केवल नियामक और उद्योग जनादेशों के साथ औपचारिक अनुपालन प्रदान करता है,^[96] बल्कि साइबर जोखिम को कम करने और व्यक्तियों और कंपनियों को अधिकांश साइबर खतरों से बचाने में भी महत्वपूर्ण माना जाता है।

अंतिम उपयोगकर्ता पर ध्यान केंद्रित करना कई सुरक्षा विशेषज्ञों के लिए एक गहन सांस्कृतिक परिवर्तन का प्रतिनिधित्व करता है, जिन्होंने परंपरागत रूप से साइबर सुरक्षा को केवल एक तकनीकी दृष्टिकोण से देखा है। यह प्रमुख सुरक्षा केंद्रों द्वारा सुझाई गई^[97] पंक्तियों के साथ आगे बढ़ता है, ताकि संगठन के भीतर साइबर जागरूकता की संस्कृति को विकसित किया जा सके, इस बात को मान्यता देते हुए कि सुरक्षा-जागरूक उपयोगकर्ता साइबर हमलों के खिलाफ एक महत्वपूर्ण सुरक्षा पंक्ति प्रदान करता है।

डिजिटल स्वच्छता

एंड-यूज़र प्रशिक्षण से संबंधित, डिजिटल हाइजीन या साइबर हाइजीन सूचना सुरक्षा से जुड़ा एक बुनियादी सिद्धांत है, और जैसा कि व्यक्तिगत स्वच्छता के साथ इसकी तुलना की जाती है, यह साइबर खतरों से जोखिम को कम करने के लिए सरल नियमित उपायों को स्थापित करने के बराबर है। यह मान्यता है कि अच्छी साइबर हाइजीन प्रथाएं नेटवर्क से जुड़े उपयोगकर्ताओं को अतिरिक्त सुरक्षा प्रदान कर सकती हैं, जिससे एक कमजोर नोड का उपयोग हमले करने या किसी अन्य नोड या नेटवर्क को समझौता करने के जोखिम को कम किया जा सकता है, विशेष रूप से सामान्य साइबर हमलों से।^[98] साइबर हाइजीन को सैन्य शब्दावली में इस्तेमाल होने वाले सक्रिय साइबर रक्षा के साथ भ्रमित नहीं करना चाहिए।^[99]

डिजिटल हाइजीन के सबसे सामान्य कार्यों में मैलवेयर सुरक्षा को अपडेट करना, क्लाउड बैकअप, पासवर्ड, और सीमित एडमिन अधिकारों और नेटवर्क फायरवॉल को सुनिश्चित करना शामिल हो सकता है।^[100] साइबर हाइजीन मुख्य रूप से सरल तकनीकी उपायों पर आधारित होता है, जिन्हें लागू करना तकनीकी रूप से आसान होता है और यह अनुशासन^[101] या शिक्षा पर निर्भर होता है।^[102] इसे एक अमूर्त सूची के रूप में देखा जा सकता है, जिसमें उन उपायों का उल्लेख होता है जो व्यक्तिगत या सामूहिक डिजिटल सुरक्षा पर सकारात्मक प्रभाव डालते हैं। इन उपायों को सामान्य लोग भी कर सकते हैं, न कि केवल सुरक्षा विशेषज्ञ।

साइबर हाइजीन का संबंध व्यक्तिगत स्वच्छता से उसी तरह है जैसे कंप्यूटर वायरस का संबंध जैविक वायरस (या रोगाणु) से है। हालाँकि, कंप्यूटर वायरस शब्द का प्रयोग कंप्यूटर वायरस की पहली कार्यशील स्थिति के साथ लगभग एक साथ शुरू हुआ था,^[103] साइबर हाइजीन शब्द बाद में आया, शायद 2000 में^[104] इंटरनेट अग्रणी विंट सर्फ द्वारा। तब से इसे संयुक्त राज्य अमेरिका की कांग्रेस और सीनेट,^[105][106] एफबीआई,^[107] यूरोपीय संघ के संस्थानों^[98] और राज्य प्रमुखों द्वारा अपनाया गया है।^[99]

उल्लंघनों पर प्रतिक्रिया देने में कठिनाई

सुरक्षा उल्लंघनों का जवाब देना कई कारणों से बहुत मुश्किल होता है, जिनमें शामिल हैं:

• हमलावरों की पहचान करना कठिन होता है क्योंकि वे प्रॉक्सी, अस्थायी गुमनाम डायल-अप खाते, वायरलेस कनेक्शन और अन्य गुमनाम प्रक्रियाओं का उपयोग करते हैं, जिससे उनका पता लगाना मुश्किल हो जाता है, और अक्सर वे दूसरे अधिकार क्षेत्र में होते हैं। यदि वे सुरक्षा को सफलतापूर्वक भेदते हैं, तो वे अक्सर पर्याप्त प्रशासनिक पहुंच प्राप्त कर लेते हैं, जिससे वे अपने निशान मिटाने के लिए लॉग्स को हटा सकते हैं।
• स्वचालित वल्नरेबिलिटी स्कैनर और कंप्यूटर वर्म्स द्वारा किए गए हमलों की संख्या इतनी अधिक होती है कि संगठन हर एक का पीछा नहीं कर सकते।
• कानून प्रवर्तन अधिकारियों के पास अक्सर हमलावरों को पकड़ने के लिए आवश्यक कौशल, रुचि या बजट नहीं होता है। इसके अलावा, नेटवर्क पर हमलावरों की पहचान करने के लिए नेटवर्क के कई स्थानों और विभिन्न देशों से लॉग एकत्र करना आवश्यक हो सकता है, जो जटिल और समय लेने वाली प्रक्रिया हो सकती है।
• जहाँ हमले सफल होते हैं और उल्लंघन होता है, वहाँ कई क्षेत्रों में अब अनिवार्य सुरक्षा उल्लंघन अधिसूचना कानून लागू हो चुके हैं।

सुरक्षा और गोपनीयता के प्रकार

• एक्सेस कंट्रोल
• एंटी-कीलॉगर
• एंटी-मैलवेयर
• एंटी-स्पायवेयर
• एंटी-सबवर्जन सॉफ़्टवेयर
• एंटी-टैम्पर सॉफ़्टवेयर
• एंटी-थेफ्ट
• एंटीवायरस सॉफ्टवेयर
• क्रिप्टोग्राफिक सॉफ़्टवेयर
• कंप्यूटर-एडेड डिस्पैच (CAD)
• डेटा लॉस प्रिवेंशन सॉफ़्टवेयर
• फ़ायरवॉल
• इंट्रूज़न डिटेक्शन सिस्टम (IDS)
• इंट्रूज़न प्रिवेंशन सिस्टम (IPS)
• लॉग मैनेजमेंट सॉफ़्टवेयर
• पेरेंटल कंट्रोल
• रिकॉर्ड्स मैनेजमेंट
• सैंडबॉक्स
• सिक्योरिटी इन्फॉर्मेशन मैनेजमेंट
• सिक्योरिटी इन्फॉर्मेशन और इवेंट मैनेजमेंट (SIEM)
• सॉफ़्टवेयर और ऑपरेटिंग सिस्टम अपडेटिंग
• वल्नरेबिलिटी मैनेजमेंट

जोखिम में प्रणालियाँ

कंप्यूटर प्रणालियों की संख्या में वृद्धि और व्यक्तियों, व्यवसायों, उद्योगों, और सरकारों द्वारा उन पर बढ़ती निर्भरता का मतलब है कि जोखिम में आने वाली प्रणालियों की संख्या में भी वृद्धि हो रही है।

वित्तीय प्रणालियाँ

वित्तीय नियामकों और संस्थानों जैसे अमेरिकी प्रतिभूति और विनिमय आयोग (एसईसी), स्विफ्ट, निवेश बैंक, और वाणिज्यिक बैंकों के कंप्यूटर सिस्टम साइबर अपराधियों के प्रमुख हैकिंग लक्ष्यों में शामिल हैं, जो बाजारों में हेरफेर करने और अवैध लाभ प्राप्त करने में रुचि रखते हैं।^[108] जिन वेबसाइटों और ऐप्स में क्रेडिट कार्ड नंबर, ब्रोकरेज खाते, और बैंक खाते की जानकारी संग्रहीत होती है, वे भी प्रमुख लक्ष्य हैं, क्योंकि वहां से धन हस्तांतरण, खरीदारी, या जानकारी को काले बाजार में बेचकर त्वरित वित्तीय लाभ प्राप्त किया जा सकता है।^[109] इन-स्टोर भुगतान प्रणालियों और एटीएम मशीनों में भी ग्राहकों की खाता जानकारी और पिन प्राप्त करने के लिए छेड़छाड़ की गई है।

यूसीएलए इंटरनेट रिपोर्ट: डिजिटल भविष्य का सर्वेक्षण (2000) के अनुसार, व्यक्तिगत डेटा की गोपनीयता ऑनलाइन बिक्री के लिए बाधा उत्पन्न करती है, और 10 में से 9 से अधिक इंटरनेट उपयोगकर्ता क्रेडिट कार्ड सुरक्षा को लेकर चिंतित हैं।^[110]

वेब ब्राउज़रों और वेबसाइटों के बीच सुरक्षा सुधारने के लिए सबसे आम तकनीकें एसएसएल (Secure Sockets Layer) और इसके उत्तराधिकारी टीएलएस (Transport Layer Security) हैं। इन प्रोटोकॉल के साथ पहचान प्रबंधन और प्रमाणीकरण सेवाएँ, और डोमेन नाम सेवाएँ कंपनियों और उपभोक्ताओं को सुरक्षित संचार और व्यापार में सक्षम बनाती हैं। एसएसएल और टीएलएस के कई संस्करण आज वेब ब्राउज़िंग, ई-मेल, इंटरनेट फैक्सिंग, इंस्टेंट मैसेजिंग और VoIP (Voice-over-IP) जैसे अनुप्रयोगों में उपयोग किए जाते हैं। इन तकनीकों के विभिन्न इंटरऑपरेबल कार्यान्वयन मौजूद हैं, जिनमें से कम से कम एक ओपन-सोर्स है, जो किसी को भी ऐप्लिकेशन का सोर्स कोड देखने और कमजोरियों की रिपोर्ट करने की अनुमति देता है।

क्रेडिट कार्ड कंपनियाँ, वीज़ा और मास्टरकार्ड, ने सुरक्षित ईएमवी चिप विकसित की है, जो क्रेडिट कार्ड में एम्बेडेड होती है। इस क्षेत्र में अन्य विकासों में चिप प्रमाणीकरण कार्यक्रम (Chip Authentication Program) शामिल है, जिसमें बैंक ग्राहकों को ऑनलाइन सुरक्षित लेनदेन करने के लिए हैंड-हेल्ड कार्ड रीडर प्रदान करते हैं। अन्य प्रगति में तत्काल जारीकरण जैसी तकनीक का विकास शामिल है, जिसने शॉपिंग मॉल कियोस्क को बैंकों की ओर से ऑन-द-स्पॉट क्रेडिट कार्ड जारी करने में सक्षम बनाया है।

उपयोगिताएँ और औद्योगिक उपकरण

कंप्यूटर कई उपयोगिताओं में महत्वपूर्ण कार्यों को नियंत्रित करते हैं, जिनमें दूरसंचार का समन्वय, पावर ग्रिड, परमाणु ऊर्जा संयंत्र, और जल और गैस नेटवर्क में वाल्व खोलना और बंद करना शामिल हैं। यदि ये मशीनें इंटरनेट से जुड़ी होती हैं, तो इंटरनेट एक संभावित हमले का मार्ग बन सकता है। लेकिन स्टक्सनेट वर्म ने यह दिखाया कि इंटरनेट से न जुड़े कंप्यूटरों द्वारा नियंत्रित उपकरण भी असुरक्षित हो सकते हैं। 2014 में, कंप्यूटर इमरजेंसी रेडीनेस टीम (Computer Emergency Readiness Team), जो कि होमलैंड सिक्योरिटी विभाग की एक शाखा है, ने ऊर्जा कंपनियों में 79 हैकिंग घटनाओं की जांच की।^[111]

विमानन

विमानन उद्योग अत्यधिक जटिल प्रणालियों पर निर्भर करता है, जिन पर हमले किए जा सकते हैं।^[112] एक साधारण बिजली आउटेज भी एक हवाई अड्डे पर वैश्विक स्तर पर परिणाम उत्पन्न कर सकता है।^[113] इन प्रणालियों का अधिकांश हिस्सा रेडियो प्रसारण पर निर्भर करता है, जिसे बाधित किया जा सकता है।^[114] महासागरों के ऊपर विमान नियंत्रण विशेष रूप से खतरनाक है क्योंकि रडार कवरेज समुद्र से 175 से 225 मील तक ही सीमित है।^[115] एक विमान के भीतर से भी हमले की संभावना हो सकती है।^[116]

विमानन प्रणालियों में सुरक्षा सुधार लाना एक अनूठी चुनौती प्रस्तुत करता है, क्योंकि कुशल हवाई परिवहन पर वजन और आकार का गहरा प्रभाव पड़ता है। विमानों में भौतिक सुरक्षा उपकरण जोड़ने से उनके बिना लोड किए वजन में वृद्धि हो सकती है, जिससे माल या यात्री क्षमता में कमी आ सकती है।^[117]

यूरोप में (पैन-यूरोपीय नेटवर्क सेवा)^[118] और न्यूपेन्स,^[119] और अमेरिका में अगली पीढ़ी (NextGen) कार्यक्रम के साथ,^[120] एयर नेविगेशन सेवा प्रदाता अपनी समर्पित नेटवर्क बनाने की दिशा में बढ़ रहे हैं।

कई आधुनिक पासपोर्ट अब बायोमेट्रिक पासपोर्ट हैं, जिनमें एक एम्बेडेड माइक्रोचिप होती है जो एक डिजिटाइज़्ड फ़ोटोग्राफ़ और व्यक्तिगत जानकारी जैसे नाम, लिंग और जन्मतिथि संग्रहीत करती है। इसके अलावा, अधिक देशों में^[कौन?] पहचान से संबंधित धोखाधड़ी को कम करने के लिए चेहरे की पहचान तकनीक को लागू किया जा रहा है। ई-पासपोर्ट की शुरुआत ने पासपोर्ट धारक की पहचान की पुष्टि करने में सीमा अधिकारियों की मदद की है, जिससे यात्री प्रक्रिया तेजी से हो रही है।^[121] अमेरिका, यूके, और ऑस्ट्रेलिया में रेटिना और फिंगरप्रिंट पहचान तकनीक के साथ स्मार्टगेट कियोस्क पेश करने की योजनाएं चल रही हैं।^[122] एयरलाइन उद्योग पारंपरिक कागजी टिकटों की बजाय इलेक्ट्रॉनिक टिकटों (e-tickets) की ओर बढ़ रहा है। यह ऑनलाइन क्रेडिट कार्ड लेन-देन में प्रगति के कारण संभव हुआ है, जो एयरलाइनों के साथ साझेदारी में किया जा रहा है। लंबी दूरी की बस कंपनियां^[कौन?] भी आज ई-टिकट लेन-देन की ओर बढ़ रही हैं।

एक सफल हमले के परिणाम गोपनीयता की हानि से लेकर प्रणाली अखंडता की हानि, हवाई यातायात नियंत्रण आउटेज, विमान की हानि, और यहां तक कि जान की हानि तक हो सकते हैं।

उपभोक्ता उपकरण

डेस्कटॉप कंप्यूटर और लैपटॉप आमतौर पर पासवर्ड या वित्तीय खाता जानकारी जुटाने या किसी अन्य लक्ष्य पर हमला करने के लिए बॉटनेट बनाने के लिए निशाना बनाए जाते हैं। स्मार्टफोन, टैबलेट कंप्यूटर, स्मार्ट घड़ियां, और अन्य मोबाइल डिवाइस जैसे कि गतिविधि ट्रैकर्स के रूप में उपयोग होने वाले उपकरणों में कैमरे, माइक्रोफोन, GPS रिसीवर, कंपास और एक्सेलेरोमीटर जैसे सेंसर होते हैं जिन्हें हैक किया जा सकता है और यह व्यक्तिगत जानकारी, जिसमें संवेदनशील स्वास्थ्य जानकारी भी शामिल है, एकत्र कर सकते हैं। इनमें से किसी भी डिवाइस पर वाई-फ़ाई, ब्लूटूथ और सेल फोन नेटवर्क हमले के लिए उपयोग किए जा सकते हैं, और सेंसर एक सफल ब्रीच के बाद दूरस्थ रूप से सक्रिय किए जा सकते हैं।^[123]

घर के स्वचालन उपकरणों की बढ़ती संख्या, जैसे कि नेस्ट थर्मोस्टेट, भी संभावित लक्ष्यों में शामिल हैं।^[123]

"सुरक्षा केवल ताले और चाबियों से नहीं आती, बल्कि जागरूकता और विवेक से आती है।"

स्वास्थ्य देखभाल

आज कई स्वास्थ्य सेवा प्रदाता और स्वास्थ्य बीमा कंपनियां इंटरनेट का उपयोग करके बेहतर उत्पाद और सेवाएं प्रदान करती हैं, जैसे टेली-हेल्थ का उपयोग करके बेहतर गुणवत्ता और स्वास्थ्य सेवाओं तक पहुंच की संभावना, या फिटनेस ट्रैकर्स का उपयोग करके बीमा प्रीमियम कम करना।

स्वास्थ्य सेवा कंपनी ह्यूमाना, वेबएमडी, ओरेकल कॉर्पोरेशन, ईडीएस और माइक्रोसॉफ्ट के साथ साझेदारी करती है, जिससे उसके सदस्य अपने स्वास्थ्य सेवा रिकॉर्ड तक पहुंच सकते हैं, साथ ही स्वास्थ्य सेवा योजनाओं का अवलोकन प्राप्त कर सकते हैं।^[124] रोगियों के रिकॉर्ड तेजी से सुरक्षित इन-हाउस नेटवर्क पर रखे जा रहे हैं, जिससे अतिरिक्त भंडारण स्थान की आवश्यकता कम हो रही है।^[125]

बड़े निगम

बड़ी कंपनियां सामान्यतः हमलों के निशाने पर होती हैं। कई मामलों में हमलों का उद्देश्य पहचान की चोरी के माध्यम से वित्तीय लाभ प्राप्त करना होता है और इसमें डेटा उल्लंघनों का समावेश होता है। उदाहरणों में होम डिपो,^[126] स्टेपल्स,^[127] टारगेट कॉरपोरेशन,^[128] और इक्विफैक्स^[129] द्वारा लाखों ग्राहकों के क्रेडिट कार्ड और वित्तीय विवरणों का नुकसान शामिल है।

चिकित्सा रिकॉर्ड सामान्य पहचान चोरी, स्वास्थ्य बीमा धोखाधड़ी, और मनोरंजन उद्देश्यों या पुनर्विक्रय के लिए नशीली दवाओं के लिए मरीजों का प्रतिरूपण करने के लिए लक्षित किए गए हैं।^[130] हालांकि साइबर खतरों में लगातार वृद्धि हो रही है, 2015 में सभी संगठनों में से 62% ने अपने व्यवसाय के लिए सुरक्षा प्रशिक्षण नहीं बढ़ाया।^[131]

हालांकि सभी हमले वित्तीय रूप से प्रेरित नहीं होते: सुरक्षा फर्म एचबीगैरी फेडरल को 2011 में हैक्टिविस्ट समूह अनोनिमस द्वारा गंभीर हमलों का सामना करना पड़ा, क्योंकि फर्म के सीईओ ने उनके समूह में घुसपैठ करने का दावा किया था।^[132][133] 2014 में सोनी पिक्चर्स को हैक कर लिया गया, जिसमें कंपनी को डेटा लीक के माध्यम से शर्मिंदा करने और वर्कस्टेशनों और सर्वरों को मिटाकर कंपनी को अपंग बनाने का दोहरा उद्देश्य प्रतीत हुआ।^[134][135]

ऑटोमोबाइल

ये भी देखें: स्वायत्त कार § संभावित नुकसान, स्वचालित ड्राइविंग प्रणाली § जोखिम और देयताएं, और ऑटोमोटिव हैकिंग

वाहन तेजी से कम्प्यूटरीकृत हो रहे हैं, जिसमें कई मॉडलों में इंजन टाइमिंग, क्रूज़ कंट्रोल, एंटी-लॉक ब्रेक्स, सीट बेल्ट टेंशनर्स, डोर लॉक, एयरबैग और उन्नत ड्राइवर-सहायता प्रणाली शामिल हैं। इसके अलावा, कनेक्टेड कारें ऑनबोर्ड उपभोक्ता उपकरणों और सेल फोन नेटवर्क के साथ संचार करने के लिए वाईफाई और ब्लूटूथ का उपयोग कर सकती हैं।^[136] सेल्फ-ड्राइविंग कारें और भी जटिल होने की उम्मीद है। इन सभी प्रणालियों में कुछ सुरक्षा जोखिम होते हैं, और ऐसे मुद्दों ने व्यापक ध्यान आकर्षित किया है।^{[137][138][139]}

जोखिम के सरल उदाहरणों में एक दुर्भावनापूर्ण कॉम्पैक्ट डिस्क का उपयोग अटैक वेक्टर के रूप में किया जाना शामिल है,^[140] और कार के ऑनबोर्ड माइक्रोफोन का उपयोग ईव्सड्रॉपिंग के लिए किया जा सकता है। हालांकि, यदि कार के आंतरिक कंट्रोलर एरिया नेटवर्क तक पहुंच प्राप्त की जाती है, तो खतरा बहुत अधिक हो जाता है^[136] – और 2015 के एक व्यापक रूप से प्रचारित परीक्षण में, हैकर्स ने 10 मील दूर से एक वाहन को रिमोट कंट्रोल करके उसे खाई में गिरा दिया।^[141][142]

निर्माता विभिन्न तरीकों से प्रतिक्रिया दे रहे हैं, जिसमें 2016 में टेस्ला ने अपनी कारों के कंप्यूटर सिस्टम में कुछ सुरक्षा फिक्स को ओवर-द-एयर धकेल दिया।^[143] स्वायत्त वाहनों के क्षेत्र में, सितंबर 2016 में संयुक्त राज्य अमेरिका के परिवहन विभाग ने कुछ प्रारंभिक सुरक्षा मानकों की घोषणा की और राज्यों से एकसमान नीतियां बनाने का आह्वान किया।^{[144][145][146]}

इसके अलावा, e-ड्राइवर्स लाइसेंस भी उसी तकनीक का उपयोग करके विकसित किए जा रहे हैं। उदाहरण के लिए, मैक्सिको के लाइसेंसिंग प्राधिकरण (ICV) ने मोन्टेरी शहर, न्यूवो लियोन राज्य को पहले e-ड्राइवर्स लाइसेंस जारी करने के लिए एक स्मार्ट कार्ड प्लेटफॉर्म का उपयोग किया है।^[147]

शिपिंग

शिपिंग कंपनियों^[148] ने RFID (रेडियो फ़्रीक्वेंसी आइडेंटिफिकेशन) तकनीक को एक कुशल, डिजिटल रूप से सुरक्षित ट्रैकिंग डिवाइस के रूप में अपनाया है। बारकोड के विपरीत, आरएफआईडी को 20 फीट की दूरी से पढ़ा जा सकता है। फेडएक्स^[149] और यूपीएस^[150] द्वारा आरएफआईडी का उपयोग किया जाता है।

सरकार

सरकारी और सैन्य कंप्यूटर प्रणालियों पर आमतौर पर कार्यकर्ताओं^{[151][152][153]} और विदेशी शक्तियों द्वारा हमले किए जाते हैं।^{[154][155][156][157]} स्थानीय और क्षेत्रीय सरकारी बुनियादी ढांचा जैसे ट्रैफिक लाइट नियंत्रण, पुलिस और खुफिया एजेंसी संचार, कर्मियों के रिकॉर्ड, साथ ही छात्र रिकॉर्ड।^[158]

एफबीआई, सीआईए, और पेंटागन सभी अपनी इमारतों के लिए सुरक्षित नियंत्रित पहुंच तकनीक का उपयोग करते हैं। हालांकि, इस प्रकार की तकनीक का उपयोग उद्यमशील दुनिया में भी तेजी से फैल रहा है। अधिक से अधिक कंपनियां डिजिटल रूप से सुरक्षित नियंत्रित पहुंच तकनीक के विकास का लाभ उठा रही हैं। उदाहरण के लिए, जीई का ACUVision एकल पैनल प्लेटफ़ॉर्म प्रदान करता है जो पहुंच नियंत्रण, अलार्म निगरानी और डिजिटल रिकॉर्डिंग के लिए उपयोग होता है।^[159]

इंटरनेट ऑफ थिंग्स और भौतिक सुरक्षा कमज़ोरियाँ

इंटरनेट ऑफ थिंग्स (IoT) ऐसे भौतिक वस्तुओं का नेटवर्क है, जैसे कि उपकरण, वाहन, और इमारतें, जो इलेक्ट्रॉनिक्स, सॉफ़्टवेयर, सेंसर और नेटवर्क कनेक्टिविटी से लैस होते हैं, जिससे वे डेटा एकत्र और आदान-प्रदान कर सकते हैं।^[160] इस विकास के साथ सुरक्षा चुनौतियों पर उचित ध्यान न दिए जाने की चिंताएँ उठाई गई हैं।^[161][162]

जहां IoT भौतिक दुनिया को कंप्यूटर आधारित सिस्टमों में सीधे एकीकृत करने के अवसर प्रदान करता है,^[163][164] वहीं यह दुरुपयोग के अवसर भी प्रदान करता है। विशेष रूप से, जैसे-जैसे IoT का विस्तार हो रहा है, साइबर हमले भौतिक (केवल वर्चुअल नहीं) खतरे के रूप में सामने आ सकते हैं।^[165] यदि एक मुख्य दरवाजे की ताला इंटरनेट से जुड़ी हो और इसे फोन से लॉक/अनलॉक किया जा सकता हो, तो एक अपराधी एक चुराए या हैक किए गए फोन के बटन दबाकर घर में घुस सकता है। IoT-सक्षम उपकरणों द्वारा नियंत्रित दुनिया में लोग अपने क्रेडिट कार्ड नंबर से कहीं ज्यादा खो सकते हैं। चोरों ने गैर-इंटरनेट-संयुक्त होटल दरवाजों की तालों को इलेक्ट्रॉनिक साधनों से बायपास भी किया है।^[166]

एक ऐसा हमला जो भौतिक ढांचे या मानव जीवन को लक्षित करता है, उसे साइबर-किनेटिक हमला कहा जाता है। जैसे-जैसे IoT उपकरण और एप्लायंसेस अधिक व्यापक होते जा रहे हैं, साइबर-किनेटिक हमलों की प्रचलन और संभावित क्षति में काफी वृद्धि हो सकती है।

चिकित्सा प्रणालियाँ

ये भी देखें: चिकित्सा उपकरण अपहरण और चिकित्सा डेटा उल्लंघन

चिकित्सा उपकरणों पर या तो सफलतापूर्वक हमला किया गया है या उनमें संभावित घातक कमजोरियों का प्रदर्शन किया गया है, जिनमें अस्पताल में उपयोग किए जाने वाले निदान उपकरण^[167] और प्रत्यारोपित उपकरण जैसे पेसमेकर^[168] और इंसुलिन पंप शामिल हैं।^[169] अस्पतालों और अस्पताल संगठनों के हैक होने की कई रिपोर्टें हैं, जिनमें रैंसमवेयर हमले,^{[170][171][172][173]} विंडोज़ XP कमजोरियों का शोषण,^[174][175] वायरस^[176][177] और अस्पताल के सर्वरों पर संग्रहीत संवेदनशील डेटा के डेटा उल्लंघन शामिल हैं।^{[178][171][179][180]} 28 दिसंबर 2016 को अमेरिकी खाद्य और औषधि प्रशासन (FDA) ने इंटरनेट से जुड़े उपकरणों की सुरक्षा बनाए रखने के लिए चिकित्सा उपकरण निर्माताओं के लिए अपनी सिफारिशें जारी कीं, लेकिन प्रवर्तन के लिए कोई संरचना नहीं प्रदान की।^[181][182]

ऊर्जा क्षेत्र

डेली एनर्जी इनसाइडर के अनुसार, वितरित उत्पादन प्रणालियों में साइबर हमले का खतरा वास्तविक है। एक हमला एक बड़े क्षेत्र में लंबे समय तक बिजली की हानि का कारण बन सकता है, और ऐसा हमला प्राकृतिक आपदा जितना गंभीर परिणाम ला सकता है। कोलंबिया जिले में एक वितरित ऊर्जा संसाधन (DER) प्राधिकरण बनाने पर विचार किया जा रहा है, जिसका उद्देश्य ग्राहकों को अपनी ऊर्जा खपत के बारे में अधिक जानकारी देना और स्थानीय विद्युत उपयोगिता कंपनी, पेपको, को ऊर्जा मांग का बेहतर अनुमान लगाने का अवसर देना है। हालांकि, डी.सी. का यह प्रस्ताव "तीसरे पक्ष के विक्रेताओं को ऊर्जा वितरण के कई बिंदु बनाने की अनुमति देगा, जिससे साइबर हमलावरों के लिए बिजली ग्रिड को खतरा पहुंचाने के अधिक अवसर पैदा हो सकते हैं।"^[183]

दूरसंचार

शायद सबसे व्यापक रूप से जाना जाने वाला डिजिटल रूप से सुरक्षित दूरसंचार उपकरण सिम (सबसक्राइबर आइडेंटिटी मॉड्यूल) कार्ड है, जो दुनिया के अधिकांश सेलुलर उपकरणों में सेवा प्राप्त करने से पहले एम्बेड किया जाता है। सिम कार्ड डिजिटल रूप से सुरक्षित वातावरण की शुरुआत मात्र है।

स्मार्ट कार्ड वेब सर्वर (SCWS) का ड्राफ्ट मानक एक स्मार्ट कार्ड में HTTP सर्वर के इंटरफेस को परिभाषित करता है।^[184] मोबाइल फोन से और उसके लिए ओवर-द-एयर (OTA) भुगतान और क्रेडिट कार्ड की जानकारी को सुरक्षित करने के लिए परीक्षण किए जा रहे हैं। स्मार्ट वीडियो कार्ड तकनीक के माध्यम से संयोजन सिम/डीवीडी उपकरण विकसित किए जा रहे हैं, जो एक नियमित सिम कार्ड के शरीर में डीवीडी-समर्पित ऑप्टिकल डिस्क को एम्बेड करते हैं।

डिजिटल सुरक्षा से जुड़े अन्य दूरसंचार विकासों में मोबाइल हस्ताक्षर शामिल हैं, जो एक कानूनी रूप से बाध्यकारी इलेक्ट्रॉनिक हस्ताक्षर उत्पन्न करने के लिए एम्बेडेड सिम कार्ड का उपयोग करते हैं।

सुरक्षा उल्लंघनों की लागत और प्रभाव

सुरक्षा उल्लंघनों के कारण गंभीर वित्तीय नुकसान हुए हैं, लेकिन किसी घटना की लागत का अनुमान लगाने के लिए कोई मानक मॉडल नहीं है, इसलिए उपलब्ध डेटा केवल वही है जो संबंधित संगठनों द्वारा सार्वजनिक किया जाता है। "कई कंप्यूटर सुरक्षा परामर्श कंपनियाँ वायरस और वर्म हमलों और सामान्य रूप से शत्रुतापूर्ण डिजिटल कृत्यों के कारण होने वाले विश्वव्यापी नुकसानों का अनुमान लगाती हैं। 2003 में इन कंपनियों द्वारा दिए गए नुकसान के अनुमान $13 बिलियन (केवल वर्म और वायरस) से लेकर $226 बिलियन (सभी प्रकार के गुप्त हमलों के लिए) तक थे। इन अनुमानों की विश्वसनीयता अक्सर चुनौती दी जाती है; इसका आधारभूत तरीका आमतौर पर उपाख्यानात्मक होता है।"^[185]

हालांकि, सुरक्षा उल्लंघनों की वित्तीय लागत का उचित अनुमान लगाने से संगठन तर्कसंगत निवेश निर्णय ले सकते हैं। सूचना सुरक्षा में निवेश के लिए क्लासिक गॉर्डन-लोएब मॉडल के अनुसार, यह निष्कर्ष निकाला जा सकता है कि किसी कंपनी को सूचना की सुरक्षा के लिए किए गए खर्च को अपेक्षित नुकसान के छोटे हिस्से तक ही सीमित रखना चाहिए (अर्थात, साइबर/सूचना सुरक्षा उल्लंघन से होने वाले नुकसान का अपेक्षित मूल्य)।^[186]

हमलावर प्रेरणा

जिस प्रकार शारीरिक सुरक्षा में होता है, कंप्यूटर सुरक्षा उल्लंघनों के लिए भी हमलावरों की प्रेरणाएँ भिन्न होती हैं। कुछ हमलावर केवल रोमांच की तलाश में होते हैं या तोड़फोड़ करना चाहते हैं, कुछ कार्यकर्ता होते हैं, जबकि अन्य अपराधी होते हैं जो आर्थिक लाभ की खोज में होते हैं। राज्य-प्रायोजित हमलावर अब आम हो गए हैं और उनके पास अच्छे संसाधन होते हैं, लेकिन यह शुरुआत शौकिया लोगों से हुई थी, जैसे कि मार्कस हेस, जिसने केजीबी के लिए हैकिंग की, जैसा कि क्लिफोर्ड स्टॉल ने अपनी पुस्तक द कुकूज़ एग में बताया है।

हमलावरों की प्रेरणाएँ हमलों के प्रकार के अनुसार भिन्न हो सकती हैं, जैसे कि आनंद प्राप्त करने से लेकर राजनीतिक उद्देश्यों तक।^[15] उदाहरण के लिए, "हैक्टिविस्ट" किसी कंपनी या संगठन को निशाना बना सकते हैं जो उनके विचारों से मेल नहीं खाता। इसका उद्देश्य कंपनी की वेबसाइट को गिराकर उसे बदनाम करना हो सकता है।

उच्च क्षमता वाले हैकर, जो बड़े वित्तीय समर्थन या राज्य-प्रायोजन के साथ काम करते हैं, अपने वित्तीय समर्थकों की मांगों के अनुसार हमला कर सकते हैं। ऐसे हमले अधिक गंभीर होते हैं, जैसे कि 2015 में यूक्रेन के पावर ग्रिड पर हुआ हमला, जिसमें स्पीयर-फिशिंग, फाइलों का नष्ट होना, और डिनायल-ऑफ-सर्विस (DoS) जैसे तकनीकों का उपयोग किया गया था।^[187][188]

इसके अतिरिक्त, हाल के हमलावरों की प्रेरणाएँ उग्रवादी संगठनों से भी जुड़ी होती हैं, जो राजनीतिक लाभ प्राप्त करने या सामाजिक एजेंडे को बाधित करने के लिए हमले करते हैं।^[189] इंटरनेट, मोबाइल प्रौद्योगिकियों, और सस्ते कंप्यूटिंग उपकरणों के प्रसार ने क्षमताओं को बढ़ाया है, लेकिन साथ ही उन वातावरणों के लिए जोखिम भी बढ़ाया है, जिन्हें संचालन के लिए महत्वपूर्ण माना जाता है। सभी महत्वपूर्ण लक्षित वातावरण समझौतों के प्रति संवेदनशील होते हैं, और इसने विभिन्न प्रकार के हमलावरों की प्रेरणाओं को ध्यान में रखते हुए जोखिम को कम करने के लिए कई अध्ययन किए हैं।^[190]

किसी भी प्रणाली के लिए खतरे की मॉडलिंग का एक महत्वपूर्ण पहलू संभावित हमलों के पीछे की प्रेरणाओं और उन्हें अंजाम देने वाले व्यक्तियों या समूहों की पहचान करना है। सुरक्षा उपायों का स्तर और विवरण उस विशेष प्रणाली के अनुसार भिन्न होंगे जिसे संरक्षित किया जा रहा है। उदाहरण के लिए, एक व्यक्तिगत होम कंप्यूटर, एक बैंक, और एक वर्गीकृत सैन्य नेटवर्क के सामने अलग-अलग खतरे होते हैं, भले ही वे समान तकनीकी आधार का उपयोग करते हों।^[191]

कंप्यूटर सुरक्षा घटना प्रबंधन

कंप्यूटर सुरक्षा घटना प्रबंधन एक संगठित दृष्टिकोण है जिसका उद्देश्य कंप्यूटर सुरक्षा घटना या समझौते के परिणामों का समाधान करना और प्रबंधन करना है, ताकि उल्लंघन को रोका जा सके या साइबर हमले को विफल किया जा सके। यदि किसी घुसपैठ को समय पर पहचाना और प्रबंधित नहीं किया जाता है, तो यह आमतौर पर डेटा उल्लंघन या सिस्टम विफलता जैसी अधिक हानिकारक घटना में बदल जाता है। कंप्यूटर सुरक्षा घटना प्रतिक्रिया योजना का उद्देश्य घटना को नियंत्रित करना, नुकसान को सीमित करना और व्यवसाय को सामान्य स्थिति में पुनर्स्थापित करने में सहायता करना है। समझौतों का तेजी से जवाब देना, कमजोरियों का शोषण कम कर सकता है, सेवाओं और प्रक्रियाओं को पुनर्स्थापित कर सकता है और नुकसान को कम कर सकता है।^[192] घटना प्रतिक्रिया योजना से संगठनों को घुसपैठ को नुकसान पहुँचाने से पहले रोकने के लिए सर्वोत्तम प्रथाओं की एक श्रृंखला स्थापित करने की अनुमति मिलती है। सामान्य घटना प्रतिक्रिया योजनाओं में लिखित निर्देशों का एक सेट होता है, जो साइबर हमले के जवाब में संगठन की प्रक्रिया को रेखांकित करता है। बिना दस्तावेजी योजना के, संगठन किसी घुसपैठ या समझौते का सफलतापूर्वक पता नहीं लगा सकता और हितधारक अपने कर्तव्यों, प्रक्रियाओं और प्रक्रियाओं को समझ नहीं पाते, जिससे संगठन की प्रतिक्रिया और समाधान की गति धीमी हो जाती है।

कंप्यूटर सुरक्षा घटना प्रतिक्रिया योजना के चार प्रमुख घटक होते हैं:

1. तैयारी: कंप्यूटर सुरक्षा घटनाओं या समझौतों को संभालने के लिए प्रक्रियाओं पर हितधारकों को तैयार करना।
2. पता लगाना और विश्लेषण: संदिग्ध गतिविधि की पहचान करना और जांच करना ताकि सुरक्षा घटना की पुष्टि हो सके, प्रभाव के आधार पर प्रतिक्रिया को प्राथमिकता देना और घटना की सूचना के समन्वय में सहायता करना।
3. नियंत्रण, उन्मूलन और पुनर्प्राप्ति: प्रभावित प्रणालियों को अलग करना ताकि वृद्धि को रोका जा सके और प्रभाव को सीमित किया जा सके, घटना के मूल कारण का पता लगाना, मैलवेयर, प्रभावित प्रणालियों और बुरे कारकों को वातावरण से हटाना और जब कोई खतरा न रहे तो प्रणालियों और डेटा को पुनर्स्थापित करना।
4. घटना के बाद की गतिविधि: घटना, उसके मूल कारण और संगठन की प्रतिक्रिया का विश्लेषण ताकि घटना प्रतिक्रिया योजना और भविष्य की प्रतिक्रिया प्रयासों में सुधार किया जा सके।^[193]

इन्हें भी देखें

कंप्यूटर प्रवेशद्वार

अटैक ट्री प्रमाणीकरण प्राधिकरण कॅप्चा (CAPTCHA) सीईआरटी (CERT) क्लाउड कंप्यूटिंग सुरक्षा कंप्यूटर असुरक्षा कंप्यूटर सुरक्षा मॉडल काउंटरमेज़र (कंप्यूटर) कूट-लेखन साइबर सुरक्षा मानक नाचते सूअर डिस्क एन्क्रिप्शन डेटा हानि की रोकथाम के उत्पाद डेटा सुरक्षा विभेदित सुरक्षा शोषण (कंप्यूटर सुरक्षा) दोष सहिष्णुता फायरवॉल पूर्ण प्रकटीकरण उच्च प्रौद्योगिकी अपराध जांच संघ

ह्युमन-कंप्यूटर संपर्क (सुरक्षा) अभिज्ञान प्रबंधन सूचना रिसाव निवारण सूचना सुरक्षा इंटरनेट की गोपनीयता आईटी (IT) जोखिम आईएसओ/आईईसी (ISO/IEC) 15408 नेटवर्क सुरक्षा टूलकिट नेटवर्क सुरक्षा ओडब्ल्यूएएसपी (OWASP) निवेश परीक्षा शारीरिक सूचना सुरक्षा शारीरिक सुरक्षा प्रकल्पित सुरक्षा प्रोएक्टिव साइबर डिफेन्स सैंडबॉक्स (कंप्यूटर सुरक्षा) सुरक्षा वास्तुकला संरक्षण और सुरक्षा के भिन्नता भय (कंप्यूटर) अरक्षितता (कंप्यूटिंग) गोपनीयता सॉफ्टवेयर

सन्दर्भ

1. Schatz, Daniel; Bashroush, Rabih; Wall, Julie (2017). "Towards a More Representative Definition of Cyber Security". Journal of Digital Forensics, Security and Law (अंग्रेज़ी में). 12 (2). आइ॰एस॰एस॰एन॰ 1558-7215.
2. साँचा:Britannica
3. Tate, Nick (7 May 2013). "Reliance spells end of road for ICT amateurs". The Australian.
4. Kianpour, Mazaher; Kowalski, Stewart; Øverby, Harald (2021). "Systematically Understanding Cybersecurity Economics: A Survey". Sustainability. 13 (24): 13677. hdl:11250/2978306. आइ॰एस॰एस॰एन॰ 2071-1050. डीओआइ:10.3390/su132413677.
5. Stevens, Tim (11 June 2018). "Global Cybersecurity: New Directions in Theory and Methods" (PDF). Politics and Governance. 6 (2): 1–4. डीओआइ:10.17645/pag.v6i2.1569. मूल से 2019-09-04 को पुरालेखित (PDF).
6. "About the CVE Program". www.cve.org. अभिगमन तिथि 2023-04-12.
7. Zlatanov, Nikola (3 December 2015). "Computer Security and Mobile Security Challenges". Tech Security Conference At: San Francisco, CA. https://www.researchgate.net/publication/298807979.
8. "Ghidra". nsa.gov. 1 August 2018. मूल से 15 August 2020 को पुरालेखित. अभिगमन तिथि 17 August 2020.
9. Larabel, Michael (2017-12-28). "Syzbot: Google Continuously Fuzzing The Linux Kernel". www.phoronix.com/ (अंग्रेज़ी में). अभिगमन तिथि 2021-03-25.
10. "Cyber attacks on SMBs: Current Stats and How to Prevent Them". crowdstrike.com (अंग्रेज़ी में). अभिगमन तिथि 2023-11-30.
11. "Cyber security breaches survey 2023". GOV.UK (अंग्रेज़ी में). अभिगमन तिथि 2023-11-30.
12. "How cyber attacks work". www.ncsc.gov.uk (अंग्रेज़ी में). अभिगमन तिथि 2023-11-30.
13. "What is a backdoor attack? Definition and prevention | NordVPN". nordvpn.com (अंग्रेज़ी में). 2023-11-30. अभिगमन तिथि 2024-01-03.
14. "What is a backdoor attack?". McAfee. December 4, 2023. अभिगमन तिथि December 4, 2023.
15. "Denial of Service (DoS) guidance". www.ncsc.gov.uk (अंग्रेज़ी में). अभिगमन तिथि 2023-12-04.
16. "Computer Security". www.interelectronix.com. अभिगमन तिथि 2023-11-30.
17. "What Is a DMA Attack? Analysis & Mitigation". Kroll (अंग्रेज़ी में). अभिगमन तिथि 2023-12-04.
18. "What Are Eavesdropping Attacks?". Fortinet (अंग्रेज़ी में). अभिगमन तिथि 2023-12-05.
19. York, Dan (2010-01-01), York, Dan (संपा॰), "Chapter 3 – Eavesdropping and Modification", Seven Deadliest Unified Communications Attacks, Boston: Syngress, पपृ॰ 41–69, आई॰ऍस॰बी॰ऍन॰ 978-1-59749-547-9, अभिगमन तिथि 2023-12-05
20. "What Are Eavesdropping Attacks & How To Prevent Them". Verizon Enterprise (अंग्रेज़ी में). अभिगमन तिथि 2023-12-05.
21. "What is Malware? | IBM". www.ibm.com (अंग्रेज़ी में). 14 April 2022. अभिगमन तिथि 2023-12-06.
22. Bendovschi, Andreea (2015). "Cyber-Attacks – Trends, Patterns and Security Countermeasures". Procedia Economics and Finance. 28: 24–31. डीओआइ:10.1016/S2212-5671(15)01077-1.
23. "What is malware?". McAfee. अभिगमन तिथि 30 November 2023.
24. "What is a man-in-the-middle attack and how can I protect my organization?". verizon.com.
25. "Multi-Vector Attacks Demand Multi-Vector Protection". MSSP Alert. 24 July 2017.
26. Millman, Renee (15 December 2017). "New polymorphic malware evades three-quarters of AV scanners". SC Magazine UK. मूल से 14 जून 2018 को पुरालेखित. अभिगमन तिथि 12 सितंबर 2024.
27. Tounsi, Wiem (2019-05-15), Tounsi, Wiem (संपा॰), "What is Cyber Threat Intelligence and How is it Evolving?", Cyber-Vigilance and Digital Trust (अंग्रेज़ी में) (1 संस्करण), Wiley, पपृ॰ 1–49, S2CID 187294508, आई॰ऍस॰बी॰ऍन॰ 978-1-78630-448-3, डीओआइ:10.1002/9781119618393.ch1, अभिगमन तिथि 2023-12-06
28. "Identifying Phishing Attempts". Case. मूल से 13 September 2015 को पुरालेखित. अभिगमन तिथि 4 July 2016.
29. "Protect yourself from phishing – Microsoft Support". support.microsoft.com. अभिगमन तिथि 2023-12-06.
30. Lazarus, Ari (23 February 2018). "Phishers send fake invoices". Consumer Information (अंग्रेज़ी में). अभिगमन तिथि 17 February 2020.
31. "Email Security". Trellix. 17 May 2022. मूल से 22 May 2022 को पुरालेखित. अभिगमन तिथि 24 October 2022.
32. "What is Privilege Escalation? – CrowdStrike". crowdstrike.com (अंग्रेज़ी में). अभिगमन तिथि 2023-12-07.
33. Arcos Sergio. "Social Engineering" (PDF). upc.edu. मूल से 3 December 2013 को पुरालेखित (PDF). अभिगमन तिथि 2019-04-16.
34. Scannell, Kara (24 February 2016). "CEO email scam costs companies $2bn". Financial Times (25 February 2016). मूल से 23 June 2016 को पुरालेखित. अभिगमन तिथि 7 May 2016.
35. "Bucks leak tax info of players, employees as result of email scam". Associated Press. 20 May 2016. मूल से 20 May 2016 को पुरालेखित. अभिगमन तिथि 20 May 2016.
36. "What is Spoofing? – Definition from Techopedia". techopedia.com. मूल से 30 June 2016 को पुरालेखित. अभिगमन तिथि 2022-01-16.
37. “A Dictionary of Computer Science”।। (21 January 2016)। Oxford University Press। DOI:10.1093/acref/9780199688975.001.0001.
38. Marcel, Sébastien; Nixon, Mark; Li, Stan, संपा॰ (2014). Handbook of Biometric Anti-Spoofing: Trusted Biometrics under Spoofing Attacks. Advances in Computer Vision and Pattern Recognition (अंग्रेज़ी में). London: Springer. LCCN 2014942635. S2CID 27594864. आइ॰एस॰एस॰एन॰ 2191-6594. आई॰ऍस॰बी॰ऍन॰ 978-1447165248. डीओआइ:10.1007/978-1-4471-6524-8.
39. "80 to 0 in Under 5 Seconds: Falsifying a Medical Patient's Vitals". www.trellix.com (अंग्रेज़ी में). अभिगमन तिथि 2023-02-09.
40. Gallagher, Sean (14 May 2014). "Photos of an NSA "upgrade" factory show Cisco router getting implant". Ars Technica. मूल से 4 August 2014 को पुरालेखित. अभिगमन तिथि 3 August 2014.
41. Intelligence, Microsoft Threat (2021-11-11). "HTML smuggling surges: Highly evasive loader technique increasingly used in banking malware, targeted attacks". Microsoft Security Blog (अंग्रेज़ी में). अभिगमन तिथि 2023-12-07.
42. "Obfuscated Files or Information: HTML Smuggling, Sub-technique T1027.006 – Enterprise | MITRE ATT&CK®". attack.mitre.org. अभिगमन तिथि 2023-02-22.
43. Lim, Joo S.; Chang, Shanton; Maynard, Sean; Ahmad, Atif (2009). "Exploring the Relationship between Organizational Culture and Information Security Culture". Proceedings of the 7th Australian Information Security Management Conference. Security Research Institute (SRI), Edith Cowan University. Perth: 1st to 3rd December 2009. डीओआइ:10.4225/75/57B4065130DEF.
44. Reimers, Karl; Andersson, David (2017). "Post-secondary Education Network Security: the End User Challenge and Evolving Threats". 1. ICERI2017 Proceedings. IATED. pp. 1787–1796. doi:10.21125/iceri.2017.0554. आई॰ऍस॰बी॰ऍन॰ 978-84-697-6957-7. https://library.iated.org/view/REIMERS2017POS.
45. Verizon Data Breach Investigations Report 2020. (Report).
46. Schlienger, Thomas; Teufel, Stephanie (2003). "Information security culture-from analysis to change". South African Computer Journal. 31: 46–52. hdl:10520/EJC27949.
47. साँचा:Cite ietf
48. "CNSS Instruction No. 4009" (PDF). 26 April 2010. मूल (PDF) से 27 February 2012 को पुरालेखित.
49. "InfosecToday Glossary" (PDF). मूल से 20 November 2014 को पुरालेखित (PDF).
50. "Cyber security design principles". www.ncsc.gov.uk (अंग्रेज़ी में). अभिगमन तिथि 2023-12-11.
51. "How the NCSC thinks about security architecture". www.ncsc.gov.uk (अंग्रेज़ी में). अभिगमन तिथि 2023-12-18.
52. "Secure System Architecture and Design". UK Cyber Security Council (अंग्रेज़ी में). 2024. अभिगमन तिथि 4 January 2024.
53. "security architecture – Glossary | CSRC". csrc.nist.gov (अंग्रेज़ी में). अभिगमन तिथि 2023-12-18.
54. Jannsen, Cory. "Security Architecture". Techopedia. Janalta Interactive Inc. मूल से 3 October 2014 को पुरालेखित. अभिगमन तिथि 9 October 2014.
55. Oppliger, Rolf (1997-05-01). "Internet security: firewalls and beyond". Communications of the ACM. 40 (5): 92–102. आइ॰एस॰एस॰एन॰ 0001-0782. डीओआइ:10.1145/253769.253802.
56. "How to Increase Cybersecurity Awareness". ISACA. अभिगमन तिथि 2023-02-25.
57. Woodie, Alex (9 May 2016). "Why ONI May Be Our Best Hope for Cyber Security Now". मूल से 20 August 2016 को पुरालेखित. अभिगमन तिथि 13 July 2016.
58. Walkowski, Debbie (9 July 2019). "What Is The CIA Triad?". F5 Labs (अंग्रेज़ी में). अभिगमन तिथि 25 February 2020.
59. "Knowing Value of Data Assets is Crucial to Cybersecurity Risk Management | SecurityWeek.Com". www.securityweek.com. 3 December 2018. अभिगमन तिथि 25 February 2020.
60. Foreman, Park (2009). Vulnerability Management. Boca Raton, Fla.: Auerbach Publications. पृ॰ 1. आई॰ऍस॰बी॰ऍन॰ 978-1-4398-0150-5.
61. Johnson, A. (2018). CCNA Cybersecurity Operations Companion Guide (अंग्रेज़ी में). Cisco Press. आई॰ऍस॰बी॰ऍन॰ 978-0135166246.
62. Calder, Alan; Williams, Geraint (2014). PCI DSS: A Pocket Guide (3rd संस्करण). IT Governance Limited. आई॰ऍस॰बी॰ऍन॰ 978-1849285544. network vulnerability scans at least quarterly and after any significant change in the network
63. Harrison, J. (2003). "Formal verification at Intel". 18th Annual IEEE Symposium of Logic in Computer Science, 2003. Proceedings. pp. 45–54. doi:10.1109/LICS.2003.1210044. आई॰ऍस॰बी॰ऍन॰ 978-0769518848.
64. Umrigar, Zerksis D.; Pitchumani, Vijay (1983). "Formal verification of a real-time hardware design". Proceeding DAC '83 Proceedings of the 20th Design Automation Conference. IEEE Press. pp. 221–227. आई॰ऍस॰बी॰ऍन॰ 978-0818600265. http://portal.acm.org/citation.cfm?id=800667.
65. "Abstract Formal Specification of the seL4/ARMv6 API" (PDF). मूल (PDF) से 21 May 2015 को पुरालेखित. अभिगमन तिथि 19 May 2015.
66. Baumann, Christoph; Beckert, Bernhard; Blasum, Holger; Bormer, Thorsten. "Ingredients of Operating System Correctness? Lessons Learned in the Formal Verification of PikeOS". Embedded World Conference, Nuremberg, Germany. Archived from the original on 19 जुलाई 2011. https://web.archive.org/web/20110719110932/http://www-wjp.cs.uni-saarland.de/publikationen/Ba10EW.pdf. अभिगमन तिथि: 14 सितंबर 2024.
67. Ganssle, Jack. "Getting it Right". मूल से 4 May 2013 को पुरालेखित.
68. "Everything you need for a career as a SOC analyst". www.cybersecurityjobsite.com. अभिगमन तिथि 2023-12-19.
69. "Turn on 2-step verification (2SV)". www.ncsc.gov.uk (अंग्रेज़ी में). अभिगमन तिथि 2023-12-19.
70. "NCSC's cyber security training for staff now available". www.ncsc.gov.uk (अंग्रेज़ी में). अभिगमन तिथि 2023-12-19.
71. Treglia, J.; Delia, M. (2017). "Cyber Security Inoculation". NYS Cyber Security Conference, Empire State Plaza Convention Center, Albany, NY, 3–4 June.
72. "What is a license dongle?". www.revenera.com (अंग्रेज़ी में). अभिगमन तिथि 2024-06-12.
73. "Token-based authentication". SafeNet.com. मूल से 20 March 2014 को पुरालेखित. अभिगमन तिथि 20 March 2014.
74. "Lock and protect your Windows PC". TheWindowsClub.com. 10 February 2010. मूल से 20 March 2014 को पुरालेखित. अभिगमन तिथि 20 March 2014.
75. James Greene (2012). "Intel Trusted Execution Technology: White Paper" (PDF). Intel Corporation. मूल से 11 June 2014 को पुरालेखित (PDF). अभिगमन तिथि 18 December 2013.
76. "SafeNet ProtectDrive 8.4". SCMagazine.com. 4 October 2008. मूल से 20 March 2014 को पुरालेखित. अभिगमन तिथि 20 March 2014.
77. "Secure Hard Drives: Lock Down Your Data". PCMag.com. 11 May 2009. मूल से 21 June 2017 को पुरालेखित.
78. Souppaya, Murugiah P.; Scarfone, Karen (2013). "Guidelines for Managing the Security of Mobile Devices in the Enterprise". National Institute of Standards and Technology. Special Publication (NIST SP). Gaithersburg, MD. डीओआइ:10.6028/NIST.SP.800-124r1.
79. "Access Control Statistics: Trends & Insights" (अंग्रेज़ी में). 2024-02-23. अभिगमन तिथि 2024-04-26.
80. "Forget IDs, use your phone as credentials". Fox Business Network. 4 November 2013. मूल से 20 March 2014 को पुरालेखित. अभिगमन तिथि 20 March 2014.
81. "Direct memory access protections for Mac computers". Apple. अभिगमन तिथि 16 November 2022.
82. "Using IOMMU for DMA Protection in UEFI Firmware" (PDF). Intel Corporation. मूल से 2021-12-09 को पुरालेखित (PDF). अभिगमन तिथि 16 November 2022.
83. Babaei, Armin; Schiele, Gregor; Zohner, Michael (2022-07-26). "Reconfigurable Security Architecture (RESA) Based on PUF for FPGA-Based IoT Devices". Sensors (अंग्रेज़ी में). 22 (15): 5577. PMID 35898079 |pmid= के मान की जाँच करें (मदद). आइ॰एस॰एस॰एन॰ 1424-8220. डीओआइ:10.3390/s22155577. पी॰एम॰सी॰ 9331300 |pmc= के मान की जाँच करें (मदद). बिबकोड:2022Senso..22.5577B.
84. Hassija, Vikas; Chamola, Vinay; Gupta, Vatsal; Jain, Sarthak; Guizani, Nadra (2021-04-15). "A Survey on Supply Chain Security: Application Areas, Security Threats, and Solution Architectures". IEEE Internet of Things Journal. 8 (8): 6222–6246. S2CID 226767829. आइ॰एस॰एस॰एन॰ 2327-4662. डीओआइ:10.1109/JIOT.2020.3025775.
85. "The Most Secure OS: What is the Safest OS Available?". Tech.co (अंग्रेज़ी में). अभिगमन तिथि 2023-12-19.
86. Sanghavi, Alok (21 May 2010). "What is formal verification?". EE Times_Asia.
87. Ferraiolo, D.F.; Kuhn, D.R. (October 1992). "Role-Based Access Control" (PDF). 15th National Computer Security Conference: 554–563. नामालूम प्राचल |name-list-style= की उपेक्षा की गयी (मदद)
88. Sandhu, R; Coyne, EJ; Feinstein, HL; Youman, CE (August 1996). "Role-Based Access Control Models" (PDF). IEEE Computer. 29 (2): 38–47. CiteSeerX 10.1.1.50.7649. S2CID 1958270. डीओआइ:10.1109/2.485845.
89. Abreu, Vilmar; Santin, Altair O.; Viegas, Eduardo K.; Stihler, Maicon (2017). "A multi-domain role activation model". 2017 IEEE International Conference on Communications (ICC). IEEE Press. pp. 1–6. doi:10.1109/ICC.2017.7997247. आई॰ऍस॰बी॰ऍन॰ 978-1467389990. https://secplab.ppgia.pucpr.br/files/papers/2017-1.pdf.
90. A.C. O'Connor; R.J. Loomis (2002). Economic Analysis of Role-Based Access Control (PDF). Research Triangle Institute. पृ॰ 145. नामालूम प्राचल |name-list-style= की उपेक्षा की गयी (मदद)
91. "Studies prove once again that users are the weakest link in the security chain". CSO Online. 22 January 2014. अभिगमन तिथि 8 October 2018.
92. "The Role of Human Error in Successful Security Attacks". IBM Security Intelligence. 2 September 2014. अभिगमन तिथि 8 October 2018.
93. "90% of security incidents trace back to PEBKAC and ID10T errors". Computerworld. 15 April 2015. अभिगमन तिथि 8 October 2018.
94. "Protect your online banking with 2FA". NZ Bankers Association. 7 October 2018. अभिगमन तिथि 7 September 2019.
95. "IBM Security Services 2014 Cyber Security Intelligence Index" (PDF). PcSite. 2014. अभिगमन तिथि 9 October 2020.
96. Caldwell, Tracey (12 February 2013). "Risky business: why security awareness is crucial for employees". The Guardian. अभिगमन तिथि 8 October 2018.
97. "Developing a Security Culture". CPNI – Centre for the Protection of National Infrastructure. मूल से 9 October 2018 को पुरालेखित. अभिगमन तिथि 8 October 2018.
98. "Cyber Hygiene – ENISA" (अंग्रेज़ी में). अभिगमन तिथि 27 September 2018.
99. Kaljulaid, Kersti (16 October 2017). "President of the Republic at the Aftenposten's Technology Conference". अभिगमन तिथि 27 September 2018.
100. "Cyber security breaches survey 2023". GOV.UK (अंग्रेज़ी में). अभिगमन तिथि 2023-12-27.
101. Kuchler, Hannah (27 April 2015). "Security execs call on companies to improve 'cyber hygiene'". Financial Times. मूल से 10 December 2022 को पुरालेखित. अभिगमन तिथि 27 September 2018.
102. "From AI to Russia, Here's How Estonia's President Is Planning for the Future". Wired (अंग्रेज़ी में). अभिगमन तिथि 28 September 2018.
103. "Professor Len Adleman explains how he coined the term "computer virus"". WeLiveSecurity (अंग्रेज़ी में). 1 November 2017. अभिगमन तिथि 28 September 2018.
104. "Statement of Dr. Vinton G. Cerf". www.jec.senate.gov. अभिगमन तिथि 28 September 2018.
105. साँचा:USBill
106. "Analysis | The Cybersecurity 202: Agencies struggling with basic cybersecurity despite Trump's pledge to prioritize it". The Washington Post (अंग्रेज़ी में). अभिगमन तिथि 28 September 2018.
107. "Protected Voices". Federal Bureau of Investigation (अंग्रेज़ी में). अभिगमन तिथि 28 September 2018.
108. Lin, Tom C. W. (3 July 2017). "The New Market Manipulation". Emory Law Journal. 66: 1253. SSRN 2996896.
109. Lin, Tom C. W. (2016). "Financial Weapons of War". Minnesota Law Review. SSRN 2765010.
110. (2000) The UCLA Internet report: Surveying the digital future. (Report). Archived 2003-04-23 at the वेबैक मशीन
111. Pagliery, Jose (18 November 2014). "Hackers attacked the U.S. energy grid 79 times this year". CNN Money. Cable News Network. मूल से 18 February 2015 को पुरालेखित. अभिगमन तिथि 16 April 2015.
112. Neumann, P. G. (1997). "Computer Security in Aviation: Vulnerabilities, Threats, and Risks". International Conference on Aviation Safety and Security in the 21st Century, White House Commission on Safety and Security. https://www.csl.sri.com/~neumann/air.html.
113. Dillingham, Gerald L. (20 September 2001) Aviation security : terrorist acts demonstrate urgent need to improve security at the nation's airports. United States. General Accounting Office. (Report).
114. "Air Traffic Control Systems Vulnerabilities Could Make for Unfriendly Skies [Black Hat] – SecurityWeek.Com". 27 July 2012. मूल से 8 February 2015 को पुरालेखित.
115. "Hacker Says He Can Break into Airplane Systems Using In-Flight Wi-Fi". NPR. 4 August 2014. मूल से 8 February 2015 को पुरालेखित. अभिगमन तिथि 2020-03-19.
116. Jim Finkle (4 August 2014). "Hacker says to show passenger jets at risk of cyber attack". Reuters. मूल से 13 October 2015 को पुरालेखित. अभिगमन तिथि 2021-11-21.
117. Cesar, Alan (15 Dec 2023). "Online course bolsters cybersecurity in aviation". Aerogram. Purdue University School of Aeronautics and Astronautics. अभिगमन तिथि 2024-01-09.
118. "Pan-European Network Services (PENS) – Eurocontrol.int". मूल से 12 December 2016 को पुरालेखित.
119. "Centralised Services: NewPENS moves forward – Eurocontrol.int". 17 January 2016. मूल से 19 March 2017 को पुरालेखित.
120. "NextGen Data Communication". FAA. मूल से 13 March 2015 को पुरालेखित. अभिगमन तिथि 15 June 2017.
121. "e-Passports | Homeland Security". www.dhs.gov. अभिगमन तिथि 2023-02-03.
122. "The Australian ePassport. Australian Government Department of Foreign Affairs and Trade website". मूल से 9 January 2015 को पुरालेखित. अभिगमन तिथि 1 May 2023.
123. "Is Your Watch Or Thermostat A Spy? Cybersecurity Firms Are On It". NPR. 6 August 2014. मूल से 11 February 2015 को पुरालेखित.
124. Humana Inc. (15 November 2000). "Humana Web Site Named Best Interactive Site by eHealthcare Strategy & Trends; re LOUISVILLE, Ky., Nov. 15 PRNewswire". prnewswire.com.
125. Kruse, CB; Smith, B; Vanderlinden, H; Nealand, A (July 21, 2017). "Security Techniques for the Electronic Health Records". Journal of Medical Systems. 41 (8): 127. PMID 28733949. डीओआइ:10.1007/s10916-017-0778-4. पी॰एम॰सी॰ 5522514.
126. Melvin Backman (18 September 2014). "Home Depot: 56 million cards exposed in breach". CNNMoney. मूल से 18 December 2014 को पुरालेखित.
127. "Staples: Breach may have affected 1.16 million customers' cards". Fortune.com. 19 December 2014. मूल से 21 December 2014 को पुरालेखित. अभिगमन तिथि 21 December 2014.
128. "Target: 40 million credit cards compromised". CNN. 19 December 2013. मूल से 1 December 2017 को पुरालेखित. अभिगमन तिथि 29 November 2017.
129. Cowley, Stacy (2 October 2017). "2.5 Million More People Potentially Exposed in Equifax Breach". The New York Times. मूल से 1 December 2017 को पुरालेखित. अभिगमन तिथि 29 November 2017.
130. Jim Finkle (23 April 2014). "Exclusive: FBI warns healthcare sector vulnerable to cyber attacks". Reuters. मूल से 4 June 2016 को पुरालेखित. अभिगमन तिथि 23 May 2016.
131. Seals, Tara (6 November 2015). "Lack of Employee Security Training Plagues US Businesses". Infosecurity Magazine. मूल से 9 November 2017 को पुरालेखित. अभिगमन तिथि 8 November 2017.
132. Bright, Peter (15 February 2011). "Anonymous speaks: the inside story of the HBGary hack". Arstechnica.com. मूल से 27 March 2011 को पुरालेखित. अभिगमन तिथि 29 March 2011.
133. Anderson, Nate (9 February 2011). "How one man tracked down Anonymous – and paid a heavy price". Arstechnica.com. मूल से 29 March 2011 को पुरालेखित. अभिगमन तिथि 29 March 2011.
134. Palilery, Jose (24 December 2014). "What caused Sony hack: What we know now". CNN Money. मूल से 4 January 2015 को पुरालेखित. अभिगमन तिथि 4 January 2015.
135. James Cook (16 December 2014). "Sony Hackers Have Over 100 Terabytes Of Documents. Only Released 200 Gigabytes So Far". Business Insider. मूल से 17 December 2014 को पुरालेखित. अभिगमन तिथि 18 December 2014.
136. Timothy B. Lee (18 January 2015). "The next frontier of hacking: your car". Vox. मूल से 17 March 2017 को पुरालेखित.
137. (6 February 2015) Tracking & Hacking: Security & Privacy Gaps Put American Drivers at Risk. (Report).
138. "Cybersecurity expert: It will take a 'major event' for companies to take this issue seriously". AOL.com (अंग्रेज़ी में). 5 January 2017. मूल से 20 January 2017 को पुरालेखित. अभिगमन तिथि 22 January 2017.
139. "The problem with self-driving cars: who controls the code?". The Guardian. 23 December 2015. मूल से 16 March 2017 को पुरालेखित. अभिगमन तिथि 22 January 2017.
140. Stephen Checkoway; Damon McCoy; Brian Kantor; Danny Anderson; Hovav Shacham; Stefan Savage; Karl Koscher; Alexei Czeskis एवम् अन्य (2011). "Comprehensive Experimental Analyses of Automotive Attack Surfaces". SEC'11 Proceedings of the 20th USENIX conference on Security. Berkeley, California, US: USENIX Association. pp. 6. http://www.autosec.org/pubs/cars-usenixsec2011.pdf.
141. Greenberg, Andy (21 July 2015). "Hackers Remotely Kill a Jeep on the Highway – With Me in It". Wired. मूल से 19 January 2017 को पुरालेखित. अभिगमन तिथि 22 January 2017.
142. "Hackers take control of car, drive it into a ditch". The Independent. 22 July 2015. मूल से 2 February 2017 को पुरालेखित. अभिगमन तिथि 22 January 2017.
143. "Tesla fixes software bug that allowed Chinese hackers to control car remotely". The Telegraph. 21 September 2016. मूल से 2 February 2017 को पुरालेखित. अभिगमन तिथि 22 January 2017.
144. Kang, Cecilia (19 September 2016). "Self-Driving Cars Gain Powerful Ally: The Government". The New York Times. मूल से 14 February 2017 को पुरालेखित. अभिगमन तिथि 22 January 2017.
145. "Federal Automated Vehicles Policy" (PDF). मूल से 21 January 2017 को पुरालेखित (PDF). अभिगमन तिथि 22 January 2017.
146. "Vehicle Cybersecurity". nhtsa.gov (अंग्रेज़ी में). अभिगमन तिथि 2022-11-25.
147. "Thales supplies smart driver license to 4 states in Mexico". Thales Group.
148. "4 Companies Using RFID for Supply Chain Management". atlasRFIDstore (अंग्रेज़ी में). अभिगमन तिथि 2023-02-03.
149. "The Cutting Edge of RFID Technology and Applications for Manufacturing and Distribution". Supply Chain Market.
150. Rahman, Mohammad Anwar; Khadem, Mohammad Miftaur; Sarder, MD.. "Application of RFID in Supply Chain System". Proceedings of the 2010 International Conference on Industrial Engineering and Operations Management Dhaka, Bangladesh, January 9 – 10, 2010.
151. "Gary McKinnon profile: Autistic 'hacker' who started writing computer programs at 14". The Daily Telegraph. London. 23 January 2009. मूल से 2 June 2010 को पुरालेखित.
152. "Gary McKinnon extradition ruling due by 16 October". BBC News. 6 September 2012. मूल से 6 September 2012 को पुरालेखित. अभिगमन तिथि 25 September 2012.
153. Mckinnon V Government of The United States of America and Another, (House of Lords 16 June 2008) (“15. ... alleged to total over $700,000”). Text
154. "Fresh Leak on US Spying: NSA Accessed Mexican President's Email". SPIEGEL ONLINE. 2013-10-20. मूल से 2015-11-06 को पुरालेखित.
155. Sanders, Sam (4 June 2015). "Massive Data Breach Puts 4 Million Federal Employees' Records at Risk". NPR. मूल से 5 June 2015 को पुरालेखित. अभिगमन तिथि 5 June 2015.
156. Liptak, Kevin (4 June 2015). "U.S. government hacked; feds think China is the culprit". CNN. मूल से 6 June 2015 को पुरालेखित. अभिगमन तिथि 5 June 2015.
157. Sean Gallagher. "Encryption "would not have helped" at OPM, says DHS official". मूल से 24 June 2017 को पुरालेखित.
158. Davis, Michelle R. (19 October 2015). "Schools Learn Lessons From Security Breaches". Education Week. मूल से 10 June 2016 को पुरालेखित. अभिगमन तिथि 23 May 2016.
159. "GE's Introduces ACUVision as a Single Panel Solution". www.securityinfowatch.com. Security Info Watch. 11 August 2005. अभिगमन तिथि 24 September 2019.
160. "Internet of Things Global Standards Initiative". ITU. मूल से 26 June 2015 को पुरालेखित. अभिगमन तिथि 26 June 2015.
161. Singh, Jatinder; Pasquier, Thomas; Bacon, Jean; Ko, Hajoon; Eyers, David (2015). "Twenty Cloud Security Considerations for Supporting the Internet of Things" (PDF). IEEE Internet of Things Journal. 3 (3): 269–284. S2CID 4732406. डीओआइ:10.1109/JIOT.2015.2460333.
162. Chris Clearfield. "Why The FTC Can't Regulate The Internet Of Things". Forbes. मूल से 27 June 2015 को पुरालेखित. अभिगमन तिथि 26 June 2015.
163. "Internet of Things: Science Fiction or Business Fact?" (PDF). Harvard Business Review. मूल से 2015-03-17 को पुरालेखित (PDF). अभिगमन तिथि 4 November 2016.
164. Ovidiu Vermesan; Peter Friess. "Internet of Things: Converging Technologies for Smart Environments and Integrated Ecosystems" (PDF). River Publishers. मूल से 12 अक्टूबर 2016 को पुरालेखित (PDF). अभिगमन तिथि 4 नवम्बर 2016.
165. Clearfield, Chris (2013-06-20). "Rethinking Security for the Internet of Things". Harvard Business Review. मूल से 2013-09-20 को पुरालेखित.
166. "Hotel room burglars exploit critical flaw in electronic door locks". Ars Technica. 26 November 2012. मूल से 14 May 2016 को पुरालेखित. अभिगमन तिथि 23 May 2016.
167. "Hospital Medical Devices Used As Weapons in Cyberattacks". Dark Reading. 6 August 2015. मूल से 29 May 2016 को पुरालेखित. अभिगमन तिथि 23 May 2016.
168. Jeremy Kirk (17 October 2012). "Pacemaker hack can deliver deadly 830-volt jolt". Computerworld. मूल से 4 June 2016 को पुरालेखित. अभिगमन तिथि 23 May 2016.
169. "How Your Pacemaker Will Get Hacked". The Daily Beast. Kaiser Health News. 17 November 2014. मूल से 20 May 2016 को पुरालेखित. अभिगमन तिथि 23 May 2016.
170. Leetaru, Kalev. "Hacking Hospitals And Holding Hostages: Cybersecurity In 2016". Forbes. मूल से 29 December 2016 को पुरालेखित. अभिगमन तिथि 29 December 2016.
171. "Cyber-Angriffe: Krankenhäuser rücken ins Visier der Hacker". Wirtschafts Woche. 7 December 2016. मूल से 29 December 2016 को पुरालेखित. अभिगमन तिथि 29 December 2016.
172. "Hospitals keep getting attacked by ransomware – Here's why". Business Insider. मूल से 29 December 2016 को पुरालेखित. अभिगमन तिथि 29 December 2016.
173. "MedStar Hospitals Recovering After 'Ransomware' Hack". NBC News. 31 March 2016. मूल से 29 December 2016 को पुरालेखित. अभिगमन तिथि 29 December 2016.
174. Pauli, Darren. "US hospitals hacked with ancient exploits". The Register. मूल से 16 November 2016 को पुरालेखित. अभिगमन तिथि 29 December 2016.
175. Pauli, Darren. "Zombie OS lurches through Royal Melbourne Hospital spreading virus". The Register. मूल से 29 December 2016 को पुरालेखित. अभिगमन तिथि 29 December 2016.
176. "Hacked Lincolnshire hospital computer systems 'back up'". BBC News. 2 November 2016. मूल से 29 December 2016 को पुरालेखित. अभिगमन तिथि 29 December 2016.
177. "Lincolnshire operations cancelled after network attack". BBC News. 31 October 2016. मूल से 29 December 2016 को पुरालेखित. अभिगमन तिथि 29 December 2016.
178. "Legion cyber-attack: Next dump is sansad.nic.in, say hackers". The Indian Express. 12 December 2016. मूल से 29 December 2016 को पुरालेखित. अभिगमन तिथि 29 December 2016.
179. "Former New Hampshire Psychiatric Hospital Patient Accused Of Data Breach". CBS Boston. 27 December 2016. मूल से 29 September 2017 को पुरालेखित. अभिगमन तिथि 29 December 2016.
180. "Texas Hospital hacked, affects nearly 30,000 patient records". Healthcare IT News. 4 November 2016. मूल से 29 December 2016 को पुरालेखित. अभिगमन तिथि 29 December 2016.
181. Becker, Rachel (27 December 2016). "New cybersecurity guidelines for medical devices tackle evolving threats". The Verge. मूल से 28 December 2016 को पुरालेखित. अभिगमन तिथि 29 December 2016.
182. "Postmarket Management of Cybersecurity in Medical Devices" (PDF). Food and Drug Administration. 28 December 2016. मूल से 29 December 2016 को पुरालेखित (PDF). अभिगमन तिथि 29 December 2016.
183. Brandt, Jaclyn (18 June 2018). "D.C. distributed energy proposal draws concerns of increased cybersecurity risks". Daily Energy Insider (अंग्रेज़ी में). अभिगमन तिथि 4 July 2018.
184. "Current Releases - The Open Mobile Alliance". openmobilealliance.org.
185. (2004) The Economic Impact of Cyber-Attacks. Washington DC: Congressional Research Service, Government, and Finance Division. (Report).
186. Gordon, Lawrence; Loeb, Martin (November 2002). "The Economics of Information Security Investment". ACM Transactions on Information and System Security. 5 (4): 438–457. S2CID 1500788. डीओआइ:10.1145/581271.581274.
187. Sanger, David E.; Barnes, Julian E. (2021-12-20). "U.S. and Britain Help Ukraine Prepare for Potential Russian Cyberassault". The New York Times (अंग्रेज़ी में). आइ॰एस॰एस॰एन॰ 0362-4331. अभिगमन तिथि 2023-12-04.
188. "Cyber-Attack Against Ukrainian Critical Infrastructure | CISA". www.cisa.gov (अंग्रेज़ी में). 2021-07-20. अभिगमन तिथि 2023-12-04.
189. Han, Chen; Dongre, Rituja (2014). "Q&A. What Motivates Cyber-Attackers?". Technology Innovation Management Review (अंग्रेज़ी में). 4 (10): 40–42. आइ॰एस॰एस॰एन॰ 1927-0321. डीओआइ:10.22215/timreview/838.
190. Chermick, Steven; Freilich, Joshua; Holt, Thomas (April 2017). "Exploring the Subculture of Ideologically Motivated Cyber-Attackers". Journal of Contemporary Criminal Justice. 33 (3): 212–233. S2CID 152277480. डीओआइ:10.1177/1043986217699100.
191. Anderson, Ross (2020). Security engineering : a guide to building dependable distributed systems (3rd संस्करण). Indianapolis, IN: John Wiley & Sons. OCLC 1224516855. आई॰ऍस॰बी॰ऍन॰ 978-1119642817.
192. "The Leading Cloud Recruiting Software". iCIMS. अभिगमन तिथि 2021-03-13.
193. Wilcox, S. and Brown, B. (2005) 'Responding to Security Incidents – Sooner or Later Your Systems Will Be Compromised', Journal of Health Care Compliance, 7(2), pp. 41–48

उद्धरण

• रॉस जे. एंडरसन: सिक्युरिटी इंजीनियरिंग: अ गाइड टू बिल्डिंग डिपेंडबल डिस्ट्रिब्यूटेड सिस्टम्स, ISBN 0-471-38922-6
• मोरी गैसर: बिल्डिंग अ सिक्युर कंप्यूटर सिस्टम ISBN 0-442-23022-2 1988
• स्टीफन हाग, मैव कमिंग्स, डॉनल्ड मैककबरी, एलेन पिंसोंनिऔल्ट, रिचर्ड डोनोवन: मैनेजमेंट इन्फॉर्मेशन सिस्टम्स फॉर द इंफॉर्मेशन एज, ISBN 0-07-091120-7
• ई. स्टीवर्ट ली: एसेज़ अबाउट कंप्यूटर सिक्युरिटी कैम्ब्रिज, 1999
• पीटर जी न्यूमैन: प्रिंसिपल्ड अश्योर्डली ट्रस्टवर्दी कौम्पोज़बल आर्किटेकचर्स^{[मृत कड़ियाँ]} 2004
• पॉल ए कर्गेर, रॉजर आर. शेल: थर्टी इयर्स लेटर: लेसंस फ्रॉम द मल्टिक्स सेक्युरिटी एवैल्युएशन^{[मृत कड़ियाँ]}, आईबीएम (IBM) व्हाइट पेपर.
• ब्रूस श्नीडर: सीक्रेट्स एंड लाइज़: डिजिटल सिक्युरिटी इन अ नेटवर्क्ड वर्ल्ड, ISBN 0-471-25311-1
• रॉबर्ट सी. सीकॉर्ड: सिक्युर कोडिंग इन C and C++. एडिसन वेस्ली, सितंबर, 2005. ISBN 0-321-33572-4
• क्लिफर्ड स्टोल: ककुज़ एग: ट्रेकिंग अ स्पाई थ्रू द मेज़ ऑफ़ कंयूटर एस्पिएनेज, पॉकेट बुक्स, ISBN 0-7434-1146-3
• नेटवर्क इंफ्रास्ट्रक्चर सिक्युरिटी , एंगस वोंग और एलन यौंग, स्प्रिंगर, 2009.

बाहरी कड़ियाँ

• ओपन डाइरेक्ट्री प्रोजेक्ट से सिक्युरिटी एडवाइज़रिज़ लिंक्स
• नेटवर्क वर्ल्ड से शीर्ष 5 सिक्युरिटी नो ब्रेनर्स फॉर बिजनीसेज़
• औद्योगिक सुरक्षा घटनाओं के भंडार