छवि: Pexels
एक बिन्दुमा, साइबरसुरक्षा तथ्या .्कहरूले देखायो 80,000०,००० भन्दा बढि साइब्रेट्याक्स दैनिक हुन्छन्, हरेक वर्ष करीव million० करोड। Ransomware घटनाहरु पनि 30 350०% बृद्धि भइरहेको छ।
यी तथ्या alone्कहरूले तपाईंलाई मात्र भन्नु पर्दछ कि वेबसाइटहरू, अनुप्रयोगहरू, र डाटाबेसहरू सुरक्षित गर्न कुनै अनलाइन वा सफ्टवेयर-भरोसा उद्यमको सबैभन्दा महत्त्वपूर्ण चिन्ताको बीचमा हुनुपर्दछ।
दुर्भाग्यवस, सफ्टवेयरको निरन्तर बढ्दो मागको साथ, धेरै कम्पनीहरू र विकासकर्ताहरूले उनीहरूको सिर्जना गर्दा उनीहरूको एप्लिकेसनहरू र साइटहरूको सुरक्षालाई बेवास्ता गर्न सक्दछन्। एक पटक साइबर हाइज्याकर्स द्वारा घुसपैठ गरेपछि यी शोषण गरिएका उपकरणहरू व्यापक घाटा र स्थायी व्यवसाय बन्दको अन्तिम कारण बन्न सक्छन्।
त्यसोभए, तपाईं कसरी उद्यम विकासकर्ताहरूको रूपमा २०२१ मा सफ्टवेयरको सुरक्षा सुनिश्चित गर्न सक्नुहुन्छ? यी पाँच साइबर सुरक्षा रणनीतिहरू जाँच गर्नुहोस्:
१. शुरूबाट साइबर सुरक्षा मानसिकता निर्माण गर्दै
एउटा साइबरसुरक्षा मानसिकता राख्नु तपाईंलाई आफ्नो उत्पादन विकास जीवन चक्र भर मा सुरक्षा उपाय एकीकृत गर्न मद्दत गर्दछ। यदि तपाईं सुरूदेखि नै आफ्नो वेबसाइट वा सफ्टवेयर सुरक्षित राख्न सचेत हुनुहुन्छ भने, तपाईं कोडिंग गर्दा, अपडेट गर्दै, र यसलाई प्रयोग गर्दा यसको सुरक्षा सुनिश्चित गर्न अझ ध्यानपूर्वक काम गर्न सक्नुहुन्छ।
तपाइँको सफ्टवेयरको विकास गर्ने बित्तिकै साइबरसुरक्षा मानसिकता निर्माण गर्ने एउटा तरिका हो MITER ATT & CK म्याट्रिक्स परिचित गर्दै.
यो MITER को अर्थ हो Adversarial रणनीति, प्रविधि, र साझा ज्ञान र एक अन्तर्राष्ट्रिय पहुँचयोग्य, क्युरेट गरिएको ज्ञान आधार र वास्तविक जीवन साइबर आपराधिक गतिविधिहरूको लागि मोडेल हो।
MITER ATT & CK फ्रेमवर्कले तपाईंलाई विशिष्ट adversarial कार्यहरू र प्लेटफार्महरू प्राय: साइब्रेटैक यात्राको प्रत्येक चरणमा लक्षित देखाउँदछ।
विशेष रूपमा, फ्रेमवर्कले प्रकट गर्दछ रणनीति स्तम्भहरूमा (तल तालिका हेर्नुहोस्)। यसले आक्रमणमा छोटो अवधिको, चलाखीपूर्ण विरोधी उद्देश्यलाई प्रतिनिधित्व गर्दछ।
अर्कोतर्फ, प्रविधी व्यक्तिगत कोशिकाहरूमा साइबर क्राइमनलहरूले आफ्नो उद्देश्यहरू कार्यान्वयन गर्न प्रयोग गर्ने भ्रामक विधिहरू चित्रण गर्छन्।
छवि स्रोत: म्याकॅफी।
उदाहरण को लागी, यसमा हेर्नुहोस् पार्श्व आन्दोलन स्तम्भ तपाईं यसको भित्र "सफ्टवेयर डिप्लोयमेन्ट उपकरण" सेल याद गर्नुहुनेछ। मानिलिनुहोस् तपाईंले आफ्नो कम्पनीको लागि त्यस्तै एक उपकरण बनाउनुभएको हो, र यो कमजोर हुन जान्छ र प्रवेश गर्न सकिन्छ। तपाईंको नेटवर्कमा पार्श्व आन्दोलन प्राप्त गर्न साइबर क्राइमले यसको शोषण गर्न सक्दछ र टाढा तपाईंको प्रणालीहरूमा मालिसियस कोड कार्यान्वयन गर्दछ। अन्ततः, यसले तिनीहरूलाई तपाईंको प्रणालीमा कहर नियन्त्रण र विनाश गर्न शक्ति प्रदान गर्दछ - र कम्पनी।
MITER ATT & CK लकहीड मार्टिनले विकास गरेको साइबर किल चेनसँग मिल्दोजुल्दो छ तर अधिक विस्तृत छ। यो क्लाउड-मूल प्राविधिक र युक्तिहरू (जुन साइबर किल चेनको अभाव हो) समावेश भएकोले यसलाई आधुनिकीकरण पनि गरिएको छ।
यसबाहेक, MITER ATT & CK लगातार ईन्डस्ट्री इनपुटको साथ अपडेट हुन्छ, तपाईंलाई नयाँ सायबर अटेंड प्रवृत्तिको साथ सुसज्जित बनाउँदा तपाईंको सफ्टवेयरको निर्माण वा यसलाई मेन्टेनेन्समा तपाईंको रक्षा गर्न।
२. तपाईको उत्पादन सुरक्षा जाँच गर्दै
तपाईंको वेबसाइटको सफ्टवेयरको डिफेन्सको परीक्षण गर्दछ र साइबरटेक्स बिरूद्ध यसको लचिलोपन सुनिश्चित गर्न मद्दत गर्दछ। जब तपाईं अनुप्रयोगहरू वा वेबसाइट अझै संवेदनाशील हुन्छन् जहाँ अंशहरू फेला पार्नुहुन्छ, तपाईं तिनीहरूलाई सुधार्न र अनुकूलन गर्न सक्नुहुनेछ तपाईंको उत्पादनलाई अन्तिम रूप दिँदै र सुरूवात गर्नु अघि।
तपाईं आफ्नो आईटी विभाग र अन्य साइबर सुरक्षा विशेषज्ञहरूसँग काम गर्न सक्नुहुन्छ तपाईंको कम्पनीले तपाईंको सफ्टवेयरको सुरक्षा जाँच गर्नका लागि ल्याउँछ। यसको लागि एक समकालीन र भरपर्दो तरीका हो एउटा आक्रमण सिमुलेशन कार्यान्वयन गर्दै.
ब्रीच र एट्याक सिमुलेसन विशेष गरी नयाँ साइबरसुरक्षा रणनीति हो जुन स्वचालित रूपमा आधुनिक, यथार्थपरक adversarial प्रवेश प्रयासहरूको प्रतिलिपि बनाउँदछ र तपाईंको सफ्टवेयरमा सुरक्षा खामाहरू प्रकट गर्दछ - र साथै तपाईंको सम्पूर्ण आईटी इकोसिस्टम।
यो एक अपग्रेड गरिएको प्रवेश परीक्षण र एक स्वचालित, लगातार लागू गरिएको रातो र निलो टोली विधिहरू (जुन प्राय: म्यानुअल तरिकाले प्रदर्शन गरिन्छ) को संयोजन कार्य जस्तै हो।
एकचोटि तपाईंले यो सिमुलेशन कार्यान्वयन गर्नुभयो र BAS उपकरणले कुनै सुरक्षा कमजोरीहरूलाई उजागर गर्यो, यसले आवश्यक प्राथमिकता सुधारात्मक उपायहरूको सूची गर्दछ।
BAS रणनीति पनि स्वायत्त रूपमा कार्य गर्दछ २///। यसले तपाईंलाई तपाईंको सफ्टवेयर कमजोरीहरूमा तपाईंको दृश्यता बढाउन, तिनीहरूलाई तत्काल ठेगाना, र तपाईंको उत्पाद सुरक्षा बढाउन मद्दत गर्दछ, विशेष गरी यदि तपाईंसँग विकसित उपकरणहरूको लामो लाइनअप छ।
Your. तपाईको कोड सुरक्षित गर्दै
अधिक तपाईंको उद्यम तपाईंको विकसित सफ्टवेयरमा निर्भर गर्दछ, तपाईंलाई जति चाँडो तपाईंले यसलाई र यसको कोड सुरक्षा गर्नुपर्दछ। किन? किनभने तपाईको सफ्टवेयरको कोड तपाईका उपकरणको मात्र तपाईको सम्पूर्ण संस्थाको लाईफब्लड हो। यदि यो ह्याक हुन्छ भने, तपाईले हजारौंदेखि लाखौं डलर गुमाउन सक्नुहुन्छ र तपाईको व्यावसायलाई बन्द पनि गर्न सक्नुहुनेछ।
उत्कृष्ट कोड सुरक्षा रणनीतिले नियमित कोड ब्याकअपहरू कार्यान्वयन गर्दैछ - यदि तपाईं पहिले नै GitHub र GitLab जस्ता भण्डारहरूमा तपाईंको कोड राख्दै हुनुहुन्छ भने।
डेभलपरको रूपमा, जान्नुहोस् कि यी र अन्य भण्डारहरू ह्याकर्सबाट पूर्ण रूपमा सुरक्षित छैनन् किनकि तिनीहरूमा सुरक्षाको कमी पनि हुन्छ। समाचार रिपोर्टहरू यी घटनाहरूसँग पनि अस्पष्ट छन्, जस्तो कि कथित रूपमा मे २०२० मा माईक्रोसफ्ट GitHub खाता ह्याक गरियो.
त्योले भन्यो, तपाईको कोडलाई तेर्सो-पार्टी ब्याकअप उपकरणहरूको साथ सुरक्षित गर्नुहोस्, स्वचालित रूपमा डुप्लिकेट कोड रिपोजिटरीमा विशेषज्ञता। कोडको भोल्यूमहरू प्रतिलिपि गर्नु धेरै बोझिलो र समय खपत गर्ने सम्भावित ब्याकअप लीक र त्रुटिहरूलाई जोखिममा पार्छ। यी बाहिरी उपकरणहरू को साथ, तपाईं कोड ब्याकअप सुचारू गर्न सक्नुहुनेछ र तपाईंको प्राथमिक विकासकर्ता कर्तव्यहरूको साथ अघि बढ्न सक्नुहुन्छ।
सुरक्षित कोडि secureमा पनि आफैलाई शिक्षित गर्नुहोस्, तपाईंको उत्पादन विकासको सुरूमा एक महत्वपूर्ण चरण। प्रत्येक प्रोग्रामि भाषासँग यसको जटिल कमजोरीहरू र अनियमितताको सेट छ - र बाहिर २०२१ मा राम्रो जावा वा अन्य प्रोग्रामर बन्नुहोस्, तिमी पर्छ तिनीहरूसँग परिचित हुनुहोस्। प्रोग्रामिंग भाषाहरूको लागि कमजोरीहरूको उदाहरणहरू:
- C र C ++ (र रुबी र PHP मा लेखिएको वेब अनुप्रयोगहरू) को लागि साझा कमजोरी गणना (CWE) फ्रेमवर्क अन्तर्गत क्रस-साइट स्क्रिप्टि ((XSS) वा CWE-११
- CWE-20 पाइथनको लागि इनपुट मान्यीकरण मुद्दाहरूको कारण
- XSS, जुन जाभास्क्रिप्टको लागि पनि अनुभव गर्न सकिन्छ।
Regular. नियमित अपडेटहरू स्थापना गर्दै
तपाइँको अनुप्रयोग, डेटाबेस, वा वेबसाइटमा प्रवेश गर्न र पहुँच प्राप्त गर्न को लागी साइबर विरोधीहरू सँधै न्यूनतम प्रतिरोधको साथ मार्ग छनौट गर्दछन् - र तपाइँले प्राय जसो असुरक्षित, पुरानो सफ्टवेयरमा पाउनुहुन्छ।
यसले सुरक्षा प्याच र अपडेटहरूको नियमित स्थापनालाई अत्यन्त महत्त्वपूर्ण व्यवसाय बनाउँदछ। इन्टरप्राइज विकासकर्ताहरूले त्यसलाई बेवास्ता गर्न सक्दैन किनकि सानो सफ्टवेयर जोखिमले अज्ञात रूपमा अपहरणकर्ताहरूलाई सम्पूर्ण प्रणाली नियन्त्रण र संक्रमित गर्न निःशुल्क पहुँच दिन सक्दछ।
यसका साथ तपाईले प्रयोग नगरिएको र मिति सकिएको सफ्टवेयर असक्षम पार्नु पर्छ। तपाईंको IT विभागसँग समन्वय गर्नुहोस् र तपाईंको कम्पनीको प्रणालीहरूमा लिंक गरिएको सफ्टवेयर फेला पार्नुहोस् जुन लामो निष्क्रिय भएको छ। बाँकी जाँच नगरिएको यो सफ्टवेयरले ह्याकरहरूलाई तपाईंको IT परिदृश्यमा छिटो र सजिलो मार्गहरू पनि दिन सक्दछ।
Idential. गोपनीय ग्राहक डेटा ईन्क्रिप्ट गर्दै
यदि तपाईंको कम्पनीले निजी प्रयोगकर्ता डेटा भण्डारण गर्दछ, जस्तै तपाईंको ग्राहकहरू, ग्राहकहरू, कर्मचारीहरू, र बोर्ड सदस्यहरू द्वारा, तिनीहरूलाई पर्याप्त ईन्क्रिप्ट गर्न निश्चित गर्नुहोस्।
अनइन्क्रिप्टेड डाटा सम्पत्ति राख्दै, एक पटक साइबर हाइज्याकर्सको सम्पर्कमा पर्दा, तपाईंको उद्यमलाई तातो पानीमा चाँडै ल्याउन सक्छ। संवेदनशील जानकारीको सुरक्षा गर्न असफल हुँदा डाटा गोपनीयता कानूनको उल्ल .्घन हुन्छ र ट्रक भारहरू वित्तीय, प्रतिष्ठित, र ग्राहक घाटा खर्च गर्दछ।
प्रयोगकर्ता डेटा ईन्क्रिप्शन अझ महत्वपूर्ण छ यदि तपाईंको कम्पनीले साझा होस्टिंग वातावरण प्रयोग गर्दछ जहाँ धेरै व्यक्तिले संवेदनशील फाइलहरू र जानकारी पहुँच गर्न सक्दछन्।
विकासकर्ताहरूको लागि यी साइबरसुरक्षा दिशानिर्देशहरूलाई कहिल्यै बेवास्ता नगर्नुहोस्।
२०२१ मा, तपाईंको अनुप्रयोगहरू, वेबसाइटहरू, सफ्टवेयर कोड, र डाटाबेसहरूको लागि साइबर सुरक्षा अब विकल्प छैन। याद गर्नुहोस् कि यसले हैकरहरूको लागि अवैध आईटी आईटी प्रणालीमा पहुँच गर्न र शोषण गर्न सानो सुरक्षा लफोल मात्र लिन्छ। तिनीहरूलाई एक इन्च पनि प्रवेश गर्न नदिनुहोस्!
त्यसोभए, यी साइबरसुरक्षा दिशानिर्देशहरूलाई दिमागमा राख्नुहोस् र तिनीहरूलाई कहिल्यै बेवास्ता नगर्नुहोस्। तपाईको आईटी विभागको साथ तपाईको कडा र बारम्बार कार्यान्वयनको रणनीति बनाउनुहोस्। त्यसो गर्नाले तपाईंको डाटा सम्पत्ति र व्यवसायलाई साइबर क्रिमिनलहरूको लागि सहज लक्ष्य बन्नबाट रोक्न सक्दछ।
