मौलिक है कि कंपनियां बहु-कारक प्रमाणीकरण करती हैं: माइक्रोसॉफ्ट की मैरी जो श्रेड

30

जबकि पिछले दो वर्षों में महामारी ने वैश्विक स्तर पर डिजिटल तकनीकों को अपनाने में तेजी लाई है, इसने साइबर सुरक्षा के मुद्दों की एक नई मेजबानी भी की है। रैंसमवेयर हमलों, डेटा चोरी, फ़िशिंग प्रयासों आदि की रिपोर्टों ने दिखाया है कि कंपनियां और उपयोगकर्ता इन खतरों के प्रति कितने संवेदनशील हैं। इस साल मार्च में हाई-प्रोफाइल हमलों की सबसे हालिया रिपोर्ट लैप्सस $ समूह द्वारा की गई थी, जो एनवीडिया से लेकर सैमसंग से लेकर माइक्रोसॉफ्ट तक कई शीर्ष कंपनियों के नेटवर्क सिस्टम में घुसपैठ करने में कामयाब रही।

तो आज के समय में खुद को सुरक्षित रखने के लिए उद्यम कौन से सर्वोत्तम डिजिटल अभ्यास अपना सकते हैं? मैरी जो श्रेड, सहायक जनरल काउंसलर और माइक्रोसॉफ्ट डिजिटल क्राइम यूनिट एशिया में क्षेत्रीय प्रमुख ने बात की indianexpress.com साइबर सुरक्षा डोमेन से संबंधित मुद्दों और सुरक्षित रहने के सर्वोत्तम अभ्यासों के बारे में। साक्षात्कार से संपादित अंश:

Q) कोविड के बाद की दुनिया में उद्यमों को किन प्रमुख चुनौतियों का सामना करना पड़ रहा है?

एमजे: महामारी ने दूरस्थ कार्य की अनुमति देने के कदम को तेज कर दिया। आईटी विभागों को अब न केवल अपने बुनियादी ढांचे, बल्कि अन्य चीजों का भी प्रबंधन करने की आवश्यकता है। उदाहरण के लिए, यदि आप अपने सेल फोन पर अपने कार्य ईमेल का उपयोग कर रहे हैं, और यह उनके द्वारा प्रबंधित नहीं किया जाता है, तो यह एक जोखिम है। यहां तक ​​​​कि राउटर जितना सरल जो आप घर पर उपयोग करते हैं, वह आपकी कंपनी के लिए जोखिम पेश कर सकता है यदि आप अपडेट उपलब्ध होने पर राउटर में फर्मवेयर अपडेट नहीं करते हैं। या यदि आप उस एक्सेस पासवर्ड को नहीं बदलते हैं जो प्रारंभ में हो सकता है जैसे कि 1234 अधिक सुरक्षित पासवर्ड के लिए। जब आप अपने नियोक्ता के नेटवर्क का उपयोग कर रहे होते हैं तब आप अपने घर में कमजोरियां पैदा करते हैं।

ऐसी कई जटिलताएँ हैं जिनसे कंपनियों को आज निपटना है। भले ही बड़े उद्यमों में इन मुद्दों को संभालने के लिए एक बड़ा कर्मचारी है, फिर भी जटिलता इतनी बढ़ गई है कि इसे प्रबंधित करना बहुत मुश्किल है। और छोटे व्यवसायों और मध्यम व्यवसायों के लिए और भी अधिक चुनौतीपूर्ण समय होता है जब उनके पास इन मुद्दों से निपटने के लिए अपने स्वयं के कर्मचारी नहीं होते हैं।

प्र) हमने कई बार ऐसे संगठनों के खिलाफ रैंसमवेयर के इस्तेमाल के बारे में सुना है, जहां हमलावर डेटा चुराते हैं और अक्सर उसे साफ कर देते हैं। क्या आप इन मुद्दों के पैमाने के बारे में विस्तार से बता सकते हैं और कंपनियां अपना बचाव कैसे कर सकती हैं?

एमजे: हमने हमलों की संख्या और हमलों के आकार और परिष्कार में वृद्धि देखी है। इस दूरस्थ कार्य ने मूल रूप से हमलावरों के लिए अधिक प्रवेश बिंदु खोले हैं। कभी-कभी ये घटनाएं कंपनी को यह पता चलने से पहले कि किसी ने उनके सिस्टम में घुसपैठ कर ली है, एक विस्तारित अवधि के लिए चली गई है।

हम देख रहे हैं कि लोग आपूर्ति श्रृंखला के हमलों में शामिल होते हैं जहां वे किसी कंपनी के विक्रेता के पास जाते हैं और इस तथ्य का लाभ उठाते हैं कि वे मुख्य कंपनी की तरह दृढ़ता से संरक्षित नहीं हो सकते हैं।

मैरी जो श्रेड, सहायक जनरल काउंसलर और माइक्रोसॉफ्ट डिजिटल क्राइम यूनिट एशिया में क्षेत्रीय प्रमुख। (माइक्रोसॉफ्ट के माध्यम से छवि)

लेकिन जो मौलिक है – हमलों के प्रकारों की परवाह किए बिना – वह यह है कि कंपनियां अपने व्यवसाय के लिए और अपने व्यवसाय में सभी के लिए बहु-कारक प्रमाणीकरण करती हैं। आप केवल वही अनुमति देते हैं जिसे ‘कम से कम विशेषाधिकार प्राप्त पहुंच’ कहा जाता है। इसका मतलब यह है कि यदि आप एक कर्मचारी के रूप में अपने नियोक्ता के डेटा तक पहुंच चाहते हैं, तो हर बार व्यक्तिगत रूप से मूल्यांकन किया जाता है।

आप सुनिश्चित करते हैं कि हर कोई बहु-कारक प्रमाणीकरण का उपयोग करता है, और आप इसका उपयोग उन तरीकों से करते हैं जो सबसे भरोसेमंद हैं। उदाहरण के लिए, आपने अपराधियों के बारे में सुना होगा जो लक्ष्य की ओर से मूल रूप से बहु-कारक प्रमाणीकरण में संलग्न होने के तरीके के रूप में लोगों के सेल फोन से सिम स्वैपिंग का उपयोग करते हैं। यदि आप विभिन्न प्रकार के बहु-कारक प्रमाणीकरण का उपयोग करते हैं, और चेहरे की पहचान, जानकारी की परत, जैसे कि आपका स्थान, और अन्य कारकों सहित बहुत सारे विकल्प हैं, तो आपके पास वास्तव में स्वयं को सुरक्षित रखने का एक प्रभावी तरीका हो सकता है।

अपराधी बेहतर हैं, लेकिन खुद को बचाने के तरीके भी बेहतर हैं, और वे बहुत प्रभावी हैं।

प्र) तो जब आप बहु-कारक प्रमाणीकरण कहते हैं तो इसका वास्तव में क्या अर्थ है और पारंपरिक दो-कारक प्रमाणीकरण कहने पर इसका बढ़त क्यों है?

एमजे: फोन पर टू-फैक्टर ऑथेंटिकेशन सुरक्षा कर सकता है लेकिन सिम स्वैपिंग से भी इसे दरकिनार किया जा सकता है। उदाहरण के लिए, एक साइबर क्रिमिनल सेल फोन कंपनी में हेल्प डेस्क को गुमराह करके या ऐसा कुछ करके नंबर को उनके फोन में बदल देता है।

लेकिन अगर आपके पास अन्य कारक हैं, जिसमें कंप्यूटर का स्थान शामिल है जो कनेक्ट करने का प्रयास कर रहा है, तो इसे बहु कारक प्रमाणीकरण पर हल किया जा सकता है। इसके अलावा, डिवाइस के संदर्भ में किसी भी अन्य विसंगतियों को देखें और डिवाइस आपके सिस्टम पर खुद को कैसे प्रस्तुत करता है। और कभी-कभी यही कारण है कि जब आपके पास एक नया उपकरण होता है, तो आपको कुछ ऐसी साइटों तक पहुंचने में पहली बार मुश्किल हो सकती है, जिन्हें आप सामान्य रूप से एक्सेस करते हैं क्योंकि वे आपके डिवाइस पर भरोसा नहीं करते हैं।

यह सुरक्षा मोड की परतें हैं जो अंततः प्रभावशाली और सुरक्षा प्रदान करती हैं। तो विंडोज हैलो कि हम इसका उपयोग करते हैं जहां यह एक चेहरे की पहचान की बात है। यदि आपके पास फोन या डिवाइस के अलावा किसी और चीज के अलावा, डिवाइस का स्वास्थ्य, प्रमाणीकरण के कई कारकों के लिए उन चीजों का भी उपयोग किया जा सकता है।

प्र) लैप्सस $ हमलों के संदर्भ में, ऐसी रिपोर्टें थीं कि उन्होंने कुछ नेटवर्कों में सेंध लगाने के लिए आंतरिक सहायता का उपयोग किया। तो ऐसे परिदृश्यों में संगठनों के लिए क्या सीख हैं?

एमजे: आप सही कह रहे हैं, उन्हें स्पष्ट रूप से या तो विक्रेताओं के माध्यम से प्रमाण-पत्र मिले या अन्यथा वे विज्ञापन कर रहे थे। यह एक अच्छा उदाहरण होगा जहां वे एक सहयोगी व्यक्ति के माध्यम से बहु-कारक प्रमाणीकरण को दरकिनार करने में सक्षम हो सकते हैं।

फिर से कम से कम विशेषाधिकार प्राप्त पहुंच वह होगी जो आपकी रक्षा करेगी क्योंकि आप हर किसी को हर चीज तक पहुंचने की अनुमति नहीं देंगे। और इस तरह, उनके लिए एक अंदरूनी खतरे के माध्यम से आना और फिर आपके नेटवर्क में घूमना बहुत कठिन होगा क्योंकि जो व्यक्ति उनके साथ सहयोग कर रहा था, उसके पास वह पहुंच नहीं होगी।

प्र) क्लाउड पर जाने से व्यवसायों को बेहतर तरीके से सुरक्षित रखने में कैसे मदद मिलती है?

एमजे: क्लाउड पर जाने का एक कारण वह सुरक्षा है जो वह प्रदान करता है। और यह विशेष रूप से छोटे व्यवसायों के लिए महत्वपूर्ण है। यदि आपके पास अपना स्टाफ नहीं हो सकता है, कम से कम यदि आप क्लाउड पर जाते हैं, तो आप क्लाउड द्वारा आपकी रक्षा करने और विसंगतियों की तलाश करने और चीजों को फ़्लैग करने के लिए आपके कर्मचारियों द्वारा किए जाने वाले कार्यों का एक बड़ा हिस्सा आउटसोर्सिंग कर रहे हैं।

भारत में बहुत सारे छोटे और मध्यम आकार के व्यवसाय हैं, और यह इन सभी चुनौतियों से निपटने का उनका तरीका हो सकता है, जब वे स्वयं विशेषज्ञ नहीं हैं। इसलिए वे क्लाउड पर जा रहे हैं ताकि उन्हें ऐसी कंपनी की सुरक्षा मिल सके जो इन अरबों संकेतों को देख रही है। उदाहरण के लिए, माइक्रोसॉफ्ट में, हम उन संकेतों को देख रहे हैं जिनकी व्याख्या मशीन लर्निंग और एआई के माध्यम से की जा रही है और साइबर सुरक्षा पर काम करने वाले 8500 सुरक्षाकर्मी हैं।

हम जो देखना शुरू कर रहे हैं, वह यह है कि जिन लोगों ने अपने सिस्टम को ऑन-प्रिमाइसेस रखा है, वे महसूस करते हैं कि वे अधिक जोखिम में हैं क्योंकि उनके पास वे स्वचालित अपडेट नहीं हैं जो आ रहे हैं, आदि।

Q) हैकर्स द्वारा उत्पादों के सोर्स कोड तक पहुंचने की भी खबरें आई हैं, जिनमें कुछ माइक्रोसॉफ्ट के लिए हाल के लैप्सस $ हमलों में शामिल हैं। यह कितना गंभीर जोखिम पैदा करता है?

एमजे: इस मामले में कि उनके पास हमारे स्रोत कोड तक पहुंच थी, एक विक्रेता खाता था जिसे स्पष्ट रूप से समझौता किया गया था। और आप कल्पना कर सकते हैं कि स्रोत कोड कैसा दिखना चाहिए? यह कोड की लाखों पंक्तियाँ हैं। प्रत्येक उत्पाद का अपना स्रोत कोड होता है। और इसलिए यदि किसी को स्रोत कोड तक पहुंच प्राप्त करनी है तो वह अकेले उन्हें समझौता करने के लिए कुछ भी करने की अनुमति नहीं देता है।

Microsoft यह मानता है कि जिस तरह से हम अपने ग्राहकों की रक्षा करते हैं, हम स्रोत कोड की गोपनीयता पर भरोसा नहीं कर सकते। वास्तविकता यह है कि भले ही आपके पास किसी विशेष उत्पाद के लिए कंपनी के स्रोत कोड तक पहुंच हो, कंपनी को पता चल जाएगा कि आपके पास क्या है और वे किसी भी लाभ को दूर करने के लिए आवश्यक परिवर्तन करेंगे।

मैं यह भी नहीं सोचता कि यह ऐसा कुछ है जो लोगों के लिए उतना प्रभावशाली होने वाला है जितना कि मल्टी फैक्टर ऑथेंटिकेशन को लागू करना और क्लाउड में रहकर आपके व्यवसाय की सुरक्षा करना। वे चीजें हैं जिनके बारे में लोगों को सबसे ज्यादा सोचना चाहिए। अपने कर्मचारियों को खतरों के बारे में शिक्षित करें, मल्टी फैक्टर ऑथेंटिकेशन आदि स्थापित करें। और कुछ भी मायने नहीं रखता जब तक आप सिद्धांतों के साथ चिपके रहते हैं और आप अपने अपडेट और पैच समय पर करते हैं।

Previous articleOKhatrimaza|Khatrimaza Bollywood Hindi Movies Free Download
Next article‘ईमानदारी से कहूं तो हम अपनी उम्मीदों पर खरे नहीं उतरे’