अंदरूनी धमकियां विशेषाधिकार वृद्धि के कारनामों का तेजी से उपयोग कर रही हैं

ए प्रतिवेदन 2023 के अंत में प्रकाशित इस लेख में बताया गया है कि कैसे अंदरूनी लोग अपने संगठनों के नेटवर्क पर अनधिकृत कार्यों को अंजाम देने के लिए विशेषाधिकार वृद्धि के कारनामों का तेजी से उपयोग कर रहे थे।

क्राउडस्ट्राइक की रिपोर्ट के अनुसार, 55% पहचाने गए अंदरूनी खतरों ने विशेषाधिकार वृद्धि के कारनामों का इस्तेमाल किया या उनका उपयोग करने का प्रयास किया। ऐसे मामलों में जहां अंदरूनी सूत्र दुर्भावनापूर्ण था, उन्हें मेटास्प्लोइट, कोबाल्ट स्ट्राइक और सिस्टम के शोषण के लिए बने अन्य उपकरणों जैसे अतिरिक्त किटों का उपयोग करने के लिए अपने उन्नत विशेषाधिकारों का उपयोग करते हुए देखा गया था।

यह ध्यान देने योग्य है कि अनुसंधान ऑन-प्रिमाइसेस सिस्टम पर केंद्रित था और संभवतः इसमें क्लाउड अनुप्रयोगों के दुरुपयोग से एकत्र किया गया डेटा शामिल नहीं था।

उनकी रिपोर्ट को ध्यान से देखने पर पता चलता है कि अधिकांश हिट विंडोज़ और लिनक्स सिस्टम पर हैं। जैसा कि कहा गया है, दिए गए मापदंडों के भीतर, ये अभी भी कुछ महत्वपूर्ण निष्कर्ष हैं जो सुरक्षा टीमों के लिए ध्यान देने योग्य हैं क्योंकि हम 2024 में आगे बढ़ रहे हैं। यह संकेत दे सकता है कि अंदरूनी खतरे महत्वपूर्ण नियंत्रणों को दरकिनार करते हुए कोर सिस्टम पर हमला करने के लिए नए अभिनव तरीके ढूंढ रहे हैं।

विशेषाधिकार वृद्धि क्यों मायने रखती है?

यदि हम अपना काम सही ढंग से करते हैं, तो हम यह परिभाषित करने के लिए नियंत्रण स्थापित करते हैं कि हमारे लोग क्या करने में सक्षम हैं, वे किन प्रणालियों या संपत्तियों तक पहुंच सकते हैं। एक कदम और गहराई में जाने पर, हम न केवल यह नियंत्रित कर सकते हैं कि क्या एक्सेस किया जा सकता है, बल्कि यह भी नियंत्रित कर सकते हैं कि कोई उस संपत्ति के साथ क्या कर सकता है।

क्या वे किसी संपत्ति को पढ़, लिख, संपादित या हटा सकते हैं? क्या वे अपने या दूसरों के लिए विशेषाधिकार बदल सकते हैं? विशेषाधिकारों का जाल बहुत दूर तक जा सकता है, लेकिन यह आपकी डेटा सुरक्षा के लिए वास्तव में महत्वपूर्ण हो सकता है।

आदर्श दुनिया में, प्रत्येक उपयोगकर्ता के पास अपना काम करने के लिए आवश्यक न्यूनतम स्तर की पहुंच और विशेषाधिकार होता है। इसे न्यूनतम विशेषाधिकार के सिद्धांत के रूप में जाना जाता है। इसे बिल्कुल सही तरीके से प्राप्त करना लगभग असंभव है, लेकिन लक्ष्य यही है।

यह तब मुश्किल हो जाता है जब कोई उपयोगकर्ता अपने विशेषाधिकारों को उनके प्रावधान से आगे बढ़ाने के तरीके ढूंढता है।

यदि वे सफल होते हैं, तो वे हमारे सिस्टम के साथ जो करने में सक्षम माने जाते हैं उसकी परिभाषित सीमाओं को तोड़ चुके हैं। हम नियंत्रण का एक स्तर खो देते हैं, और अंदरूनी ख़तरे वाले अभिनेता के मामले में, हमें एक कठिन प्रतिद्वंद्वी का सामना करना पड़ता है, जिसे हमारी संपत्तियों का गहरा ज्ञान है और उन्हें कैसे ढूंढना है।

अंदरूनी धमकियों से उत्पन्न चुनौतियाँ

पिछले कई वर्षों में अंदरूनी घटनाएं लगातार बढ़ रही हैं, और 2024 में इस प्रवृत्ति में बदलाव की उम्मीद नहीं है। यह बेहद चिंताजनक है क्योंकि कई मायनों में अंदरूनी धमकियां बाहरी हमलावर की तुलना में कहीं अधिक कठिनाइयां पैदा करती हैं।

किसी संगठन पर उनके नकारात्मक प्रभाव, ग्राहकों, साझेदारों और आंतरिक हितधारकों के विश्वास को कम करने के अलावा, उनका पता लगाना बेहद मुश्किल हो सकता है।

अंदरूनी खतरे के साथ चुनौतियों में से एक यह है कि यह उपयोगकर्ता गेम को विशेषाधिकारों के एक सेट के साथ शुरू करता है जो उन्हें संगठन के भीतर पैर जमाने की अनुमति देता है। प्रथम दृष्टया, यह समझ में आता है। यदि व्यक्ति एक कर्मचारी है, तो आपको उसे अपना काम करने की क्षमता देनी होगी। इसका मतलब एक प्रभावी कर्मचारी बनने के लिए उपयुक्त सिस्टम और डेटा तक पहुंच बनाना है।

दूसरी चुनौती यह है कि संगठन के सिस्टम के भीतर कर्मचारी के आंदोलन को सामान्य माना जाएगा और जब तक वे आरक्षण से बहुत दूर नहीं जाते, तब तक कोई चेतावनी की घंटी बजने की संभावना नहीं है। व्यावहारिक रूप से, संभावना बहुत कम है कि अंदरूनी सूत्र आपके किसी हनीपोट को छूएगा क्योंकि वे पहले से ही जानते हैं कि वे वास्तव में क्या एक्सेस करना चाहते हैं और वह कहाँ स्थित है।

तो इनमें से कुछ चुनौतियों को देखते हुए, हमारे पास आपके अंदरूनी सूत्रों से विशेषाधिकार वृद्धि के खतरे का मुकाबला करने के लिए नीचे कुछ युक्तियां हैं।

बढ़ते विशेषाधिकारों के अंदरूनी खतरों से आपके जोखिम को कम करने के लिए 3 रणनीतियाँ

1. पैच, पैच, और जल्दी और बार-बार पैच करना सुनिश्चित करें

जब साइबर सुरक्षा की बात आती है, तो सबसे लंबे समय तक चलने वाली सलाह में से एक, यहां तक कि मल्टी-फैक्टर प्रमाणीकरण (एमएफए) को लागू करने से पहले, आपके सॉफ़्टवेयर सिस्टम को पैच करने की गंभीरता है।

जबकि ईरानी परमाणु सुविधाओं को नुकसान पहुंचाने या आईफ़ोन को हैक करने के लिए उपयोग की जाने वाली शून्य दिवस की कमजोरियों को सभी प्रेस में मिल सकता है, अधिकांश हैकर ज्ञात कमजोरियों का उपयोग करते हैं जो अपने हमलों को सफलतापूर्वक करने के लिए जनता के लिए जारी की जाती हैं।

हैकर्स को आमतौर पर दो तरीकों में से एक में इन कमजोरियों का सामना करना पड़ता है। पहला यह कि वे सार्वजनिक रूप से उपलब्ध कमजोरियों (सीवीई) को देखने में सक्षम हैं जो जनता के लाभ के लिए एमआईटीईआर कॉर्पोरेशन द्वारा प्रकाशित की जाती हैं। दूसरा, और अधिक कष्टप्रद बात यह है कि वे सॉफ़्टवेयर अपडेट को देख सकते हैं और यह पता लगाने की कोशिश कर सकते हैं कि क्या ठीक किया गया है, और फिर देखें कि इसका फायदा कैसे उठाया जाए। इन और अन्य कारणों से, नए संस्करण उपलब्ध होने के तुरंत बाद पैच करना सुनिश्चित करें।

भेद्यता रिपोर्टिंग और प्रकाशन प्रक्रिया के हिस्से के रूप में, जिन कंपनियों के पास सॉफ़्टवेयर है, या ओपन सोर्स सॉफ़्टवेयर के मामले में प्रोजेक्ट प्रबंधकों को जानकारी सार्वजनिक होने से पहले अपने उत्पादों में समस्याओं को ठीक करने के लिए आमतौर पर 90 दिनों की अवधि दी जाती है। यह इन सॉफ़्टवेयर मालिकों को बग के लिए समाधान विकसित करने के लिए आवश्यक स्थान के साथ कार्रवाई करने के लिए प्रेरित करने की आवश्यकता के बीच संतुलन बनाता है।

हालाँकि, यदि हम उनके द्वारा जारी किए गए पैच का उपयोग नहीं करते हैं तो उनकी सारी मेहनत बेकार हो जाती है। इसका मतलब है सीवीई के लिए पैच लागू करना, पैच मंगलवार की आवश्यकताओं से गुजरना, और आम तौर पर यह सुनिश्चित करना कि हमारे सिस्टम नवीनतम संस्करणों के साथ अद्यतित हैं।

पैचिंग एक बड़ा दर्द हो सकता है, और कोई भी संगठन वास्तव में उस स्थिति में नहीं है जहां उसे होना चाहिए। हमेशा कुछ कदम पीछे रहते हुए, यह आशा करते हुए कि उन्होंने अपनी सबसे महत्वपूर्ण प्रणालियों में सुधार कर लिया है।

उम्मीद यह है कि क्लाउड पर जाने से अंतिम उपयोगकर्ताओं से पैचिंग की ज़िम्मेदारी खत्म हो जाएगी और इसे SaaS समाधान प्रदान करने वाले विक्रेताओं को सौंप दिया जाएगा। हालाँकि ध्यान दें कि जब AWS, Azure और GCP जैसे क्लाउड इंफ्रास्ट्रक्चर (IaaS) की बात आती है तो ऐसा नहीं है, इसलिए आने वाले कुछ समय तक इन सिस्टमों पर अपडेट रहने के लिए आपकी IT और सुरक्षा टीमों को अभी भी सक्रिय रहने की आवश्यकता होगी। .

2. असंगत व्यवहार की निगरानी करें

यदि कोई अंदरूनी सूत्र, या ऐसा होने का दिखावा करने वाला कोई व्यक्ति, विभिन्न प्रणालियों तक पहुंचने के लिए अपने विशेषाधिकारों को सामान्य से अधिक बढ़ाने का प्रबंधन करता है, तो इससे प्रमुख झंडे खड़े होने चाहिए। यदि आपके पास इसे पकड़ने के लिए निश्चित रूप से निगरानी है।

उपयोगकर्ता व्यवहार विश्लेषण टूल के साथ सामान्य गतिविधि की आधार रेखा को कैप्चर करना यह पता लगाने के लिए आवश्यक है कि संदिग्ध व्यवहार कब हो रहा है।

यहां लाभ यह है कि आपके व्यवहार की निगरानी पृष्ठभूमि में चलती है और उनके विशेषाधिकारों में अवैध परिवर्तनों से प्रभावित नहीं होगी। वे जिन प्रणालियों को छूते हैं या अन्य कार्रवाई करते हैं, उन्हें उठाया जाएगा, लॉग किया जाएगा और यदि वे आपके द्वारा उनके लिए सामान्य रूप से परिभाषित की गई सीमा से भटकते हैं तो उन्हें सतर्क किया जाएगा।

चेतावनी सुविधा के अलावा, आपके परिवेश की निगरानी का अन्य लाभ किसी घटना के बाद जांच में उपयोग करना है। घटना की प्रतिक्रिया में सबसे बड़ी चुनौतियों में से एक यह समझना है कि कौन सी प्रणालियाँ प्रभावित हुईं और उनमें सुधार की आवश्यकता हो सकती है। किसी विशिष्ट उपयोगकर्ता से जुड़ी संवेदनशील प्रणालियों में गतिविधि की सत्र रिकॉर्डिंग होने से जांच पर खर्च होने वाले समय में काफी कटौती हो सकती है।

3. नियमों का पालन करने के बारे में अपने कार्यबल को शिक्षित करें

फेसबुक के मार्क जुकरबर्ग ने स्टार्टअप लोकाचार के हिस्से के रूप में "तेजी से आगे बढ़ें और चीजों को तोड़ें" के विचार को लोकप्रिय बनाया जिसने कंपनियों को सफलता की ओर अग्रसर किया। जब नवप्रवर्तन की बात आती है तो घिसी-पिटी कॉरपोरेट मानसिकता से बाहर निकलने से बहुत फायदा हो सकता है, लेकिन कम से कम कुछ दिशानिर्देशों के भीतर बने रहने के कुछ फायदे भी हैं।

व्यवसाय की मशीनों में किस प्रकार के सॉफ़्टवेयर डाउनलोड किए जा सकते हैं और अनुमोदन की प्रक्रिया के बारे में कंपनी की नीतियां एक कारण से हैं। यहां तक कि कोई भी नीति पूरी तरह से अर्थपूर्ण होने की बजाय एक बाधा के रूप में अधिक प्रतीत होती है।

अपने लोगों को अपने नियमों का पालन करने के लिए प्रेरित करने का सबसे अच्छा तरीका लाठी-डंडों के बारे में कम और उन्हें यह समझाकर कि नियम तोड़ने के संभावित प्रभाव क्या हो सकते हैं, उन्हें अपने साथ शामिल करने के बारे में अधिक है।

आदर्श रूप से पावरपॉइंट द्वारा मृत्यु से बचें और सत्रों को थोड़ा अधिक इंटरैक्टिव बनाएं। एक तरीका जो अधिक प्रभावी साबित हुआ है, वह है नीतियों के टूटने के विभिन्न मामलों को सौंपना और उनके समूह को यह बताना कि यह कैसे हुआ।

यह वही पद्धति है जिसका उपयोग सेना में जीवन और मृत्यु सुरक्षा सामग्री सिखाने के लिए किया जाता है और यह वास्तव में आपकी स्मृति में बनी रहती है।

अनजाने में लापरवाह लेकिन दुर्भावनापूर्ण नहीं

रिपोर्ट को पढ़ने पर पता चलता है कि यह खबर उतनी बुरी नहीं है जितनी लगती है।

लेखकों का कहना है कि 45% घटनाएं दुर्भावनापूर्ण अंदरूनी लोगों के कारण नहीं होती हैं जो धमकी देने का इरादा रखते हैं। कुछ घटनाओं में अंदरूनी लोग नियमों को तोड़ते हैं ताकि वे संगठन की मशीनों पर सॉफ़्टवेयर डाउनलोड कर सकें जो उन्हें नहीं करना चाहिए, लेकिन अपने नियोक्ता को नुकसान पहुंचाने के अलावा अन्य कारणों से।

उन कर्मचारियों के बारे में सोचें जो नियंत्रण के इर्द-गिर्द घूम रहे हैं ताकि वे अपनी कार्य मशीनों पर टोरेंट या अन्य अवैध सॉफ़्टवेयर डाउनलोड कर सकें।

शायद इस तरह की सबसे महान कहानियों में से एक है श्रमिकों के बारे में पुरानी और हमेशा अच्छी बातें यूक्रेनी परमाणु ऊर्जा संयंत्र जिन्होंने क्रिप्टोकरेंसी खनन के उद्देश्य से अपने जानबूझकर ऑफ़लाइन सिस्टम को इंटरनेट से जोड़ा। यह युद्ध के फैलने से पहले था, लेकिन रूसी हैकरों द्वारा यूक्रेनी महत्वपूर्ण बुनियादी ढांचे को लक्षित करने के अभियान में, इसलिए यह अभी भी एक असाधारण बुरा विचार था।

दूसरी ओर, सिर्फ इसलिए कि किसी का इरादा नुकसान पहुंचाने का नहीं है, इसका मतलब यह नहीं है कि कोई बेईमानी नहीं है। के अनुसार 2023 के लिए वेरिज़ोन डेटा उल्लंघन जांच रिपोर्ट , विविध त्रुटियां वार्षिक डेटा उल्लंघन आंकड़ों का एक महत्वपूर्ण हिस्सा बनी हुई हैं। और जब नियामकों द्वारा ग्राहक पीआईआई जैसे नियंत्रित डेटा को उजागर करने के लिए कंपनियों की जांच करने की बात आती है, तो उन्हें इस बात की ज्यादा परवाह नहीं होती है कि कार्रवाई दुर्भावनापूर्ण थी या नहीं। बस यही हुआ.

उम्मीद है कि सर्वोत्तम प्रथाओं का पालन करके और अपनी टीम को शिक्षित करके, आप किसी बुरी घटना को बुरे निर्णय के क्षण बनाम पूरी तरह से बुरे विश्वास के कार्य के रूप में समझाने से बच सकते हैं।