अपने साइबर सुरक्षा अभ्यासों को अग्नि अभ्यासों की तरह व्यवहार करें

जब धुएँ का अलार्म बंद हो जाता है, तो अधिकांश कर्मचारियों को पता होता है कि वास्तव में कहाँ जाना है और कैसे कार्य करना है - आखिरकार, उन्होंने उस परिदृश्य का कई बार अभ्यास किया है।

लेकिन नेटवर्क उल्लंघनों के मामले में, लोग घबरा जाते हैं या समस्या को पूरी तरह से अनदेखा कर देते हैं क्योंकि उन्होंने कभी औपचारिक प्रशिक्षण नहीं लिया है। इसलिए व्यवसायों को साइबर सुरक्षा अभ्यास चलाकर अपने कर्मचारियों को शिक्षित करना चाहिए।

साइबर अपराध बढ़ रहा है

हैकिंग दरों में 2020 में विस्फोट हुआ और तब से लगातार बढ़ रहा है। अकेले 2020 में, एफबीआई ने $ 4.2 बिलियन की सूचना दी साइबर अपराध के कारण कुल कॉर्पोरेट और व्यक्तिगत नुकसान में। यह पिछले वर्ष की तुलना में $ 700 मिलियन अधिक चोरी के बराबर है।

आज, पहले से कहीं अधिक लोग घर से काम कर रहे हैं - उनमें से कई कमजोर सुरक्षा उपायों का उपयोग कर रहे हैं - और सामान्य तौर पर अधिक लोग ऑनलाइन हैं।

यह लोगों का शोषण करने के लिए फ़िशिंग हमलों, सोशल इंजीनियरिंग और अन्य दुर्भावनापूर्ण रणनीतियों का उपयोग करने के लिए खतरे के अभिनेताओं के लिए द्वार खोलता है। हैकर्स कंप्यूटर सिस्टम तक पहुंच सकता है नेटवर्क, एंडपॉइंट, एप्लिकेशन या सर्वर स्तर पर।

साइबर हमला होगा या नहीं, यह महत्वपूर्ण नहीं है, लेकिन कब। 2021 में, 16 महत्वपूर्ण बुनियादी ढांचा क्षेत्रों में से 14 रैंसमवेयर हमलों का शिकार हुए। बुनियादी ढांचे को लक्षित करने वाले हैकर व्यक्तिगत एचवीएसी सिस्टम से लेकर पूरे देश की खाद्य आपूर्ति श्रृंखला तक सब कुछ बाधित कर सकते हैं।

मजबूत नेटवर्क सुरक्षा व्यक्तिगत या वित्तीय डेटा को संभालने वाले संगठनों के लिए सर्वोपरि है।

संवेदनशील डेटाबेस की सुरक्षा के बारे में अपने कर्मचारियों को शिक्षित करके, कंपनियां सुरक्षा भंग से निपटने के लिए बेहतर तैयारी कर सकती हैं और इसे महत्वपूर्ण क्षति होने से रोक सकती हैं।

साइबर सुरक्षा अभ्यास कैसे चलाएँ

सुरक्षा उल्लंघनों से जुड़े विभिन्न परिदृश्यों से निपटने के लिए यहां कुछ अभ्यास दिए गए हैं। उनमें से कुछ सबसे अच्छा काम करते हैं यदि वे निर्धारित हैं, क्योंकि कर्मचारियों को उन पर काम करने के लिए बहुत समय की आवश्यकता होगी और वे कार्यालय के सामान्य कार्यों को बाधित करेंगे। दूसरों को लोगों को अचंभित करने के लिए सहज होना चाहिए।

कर्मचारी दो टीमों में विभाजित हो सकते हैं, एक हैकर खेल रहा है और दूसरा सुरक्षा उल्लंघन को ठीक करने या रोकने की कोशिश कर रहा है।

कवायद पूरी करने के बाद, नियोक्ताओं को अच्छी साइबर सुरक्षा प्रथाओं पर सभी को गति देने के लिए एक प्रशिक्षण सत्र आयोजित करना चाहिए। उन्हें इस बात पर चर्चा करनी चाहिए कि कर्मचारियों ने क्या अच्छा किया और वे क्या अलग तरीके से कर सकते थे।

1. डिनायल ऑफ सर्विस (DoS) अटैक

यह अभ्यास विशेष रूप से आईटी विभाग को लक्षित करता है। एक DoS ड्रिल किसी वेबसाइट, नेटवर्क, या होस्ट पर सिस्टम को नुकसान या डेटा हानि के बिना हमले का अनुकरण कर सकता है।

यह उन स्थितियों की नकल करता है जो वास्तविक DoS हमले के दौरान होती हैं - असहनीय रूप से धीमी या दुर्गम प्रणालियाँ जो बड़े पैमाने पर प्रदर्शन को ख़राब करती हैं।

IT टीम को ड्रिल पर ध्यान देना चाहिए और उसका तुरंत जवाब देना चाहिए। नियोक्ता निगरानी कर सकते हैं कि वे कितनी तेजी से स्थिति को हल करते हैं और भविष्य के परिदृश्यों के लिए सहायक उपकरण प्रदान करते हैं।

2. शारीरिक घुसपैठ

हैकर टीम के पास USB ड्राइव होती है जो कंप्यूटर में डाले जाने पर एक नकली दुर्भावनापूर्ण कोड अपलोड करती है। जब दूसरी टीम के कंप्यूटर का कोई सदस्य उपेक्षित रह जाता है, तो हैकर्स को उस पर सॉफ़्टवेयर अपलोड करने के लिए अपनी पूरी कोशिश करनी चाहिए।

यह केवल तभी काम करेगा जब उपयोगकर्ता के दूर रहने पर कंप्यूटर को खुला छोड़ दिया जाए, इसलिए यह परीक्षण करता है कि लोग अपने कार्यस्थानों की कितनी अच्छी तरह रक्षा करते हैं।

3. टेबलटॉप व्यायाम

यह कवायद सीधी है। कर्मचारी एक मेज के चारों ओर इकट्ठा होते हैं और बस कागज पर सुरक्षा अभ्यास के माध्यम से भागते हैं, यह समझाते हुए कि वे क्या सोचते हैं कि साइबर हमले के दौरान उन्हें क्या करना चाहिए।

फिर, उनके प्रबंधक और आईटी विभाग सर्वश्रेष्ठ प्रोटोकॉल प्रस्तुत कर सकते हैं और हमले में किससे संपर्क करना है। टेबलटॉप अभ्यास में बहुत कम समय लगता है और ऑनलाइन सेवाओं को बाधित नहीं करता है।

4. अनधिकृत डिवाइस जोड़ना

हैकिंग टीम एक बाहरी डिवाइस - जैसे कंप्यूटर या टैबलेट - लाएगी और इसे नेटवर्क में जोड़ेगी। आईटी विभाग को अनाधिकृत डिवाइस को तुरंत नोटिस करना चाहिए और इसे हटाने के लिए काम करना चाहिए। उन्हें भौतिक उपकरण का पता लगाने और उसे अनप्लग करने का भी प्रयास करना चाहिए।

अनधिकृत उपकरण एक दुर्भावनापूर्ण कंप्यूटर का प्रतिनिधित्व करता है जो अस्पष्ट रूप से इमारत के अंदर लाया जाता है, जिससे सुरक्षा को खतरा हो सकता है।

5. फिशिंग एक्सरसाइज

फ़िशिंग हमले में किसी को दुर्भावनापूर्ण लिंक भेजना शामिल होता है। जब बिना सोचे-समझे व्यक्ति लिंक पर क्लिक करता है — जो आमतौर पर हानिरहित दिखता है या किसी ऐसे व्यक्ति से प्रतीत होता है जिसे वह जानता है — तो उसका कंप्यूटर संक्रमित हो सकता है।

या, लिंक एक वैध-दिखने वाले पृष्ठ की ओर ले जाता है जो व्यक्ति की जानकारी मांगता है, जिसे बाद में हैकर चुरा सकता है।

एक साइबर सुरक्षा ड्रिल में कर्मचारियों को एक ईमेल भेजना शामिल हो सकता है जिसमें एक लिंक होता है, फिर देखते हैं कि उनमें से कितने उस पर क्लिक करते हैं - या इससे भी बदतर, लैंडिंग पृष्ठ पर अपनी जानकारी दर्ज करें। जब कोई इसे खोलेगा तो लिंक परीक्षण टीम को सचेत कर देगा।

6. स्पीयरफिशिंग एक्सरसाइज

यह लक्षित फ़िशिंग का एक रूप है। हैकिंग टीम को अपने संदेशों को विशिष्ट लोगों को धोखा देने के लिए तैयार करना चाहिए, जैसे कि किसी के प्रबंधक होने का नाटक करके और ईमेल में कर्मचारी के नाम और व्यक्तिगत विवरण का उपयोग करना।

सामान्य फ़िशिंग अभ्यास के साथ, परीक्षण टीम को यह पता चल जाएगा कि किसने लिंक पर क्लिक किया और क्या वे प्रपत्र पर अपनी साख दर्ज करते हैं।

यदि प्राप्तकर्ताओं को इसके बारे में पता नहीं है तो यह साइबर सुरक्षा अभ्यास सबसे अच्छा काम करता है। शायद बिल्कुल स्पष्ट रूप से, एक निर्धारित समय पर आने वाला ईमेल किसी को मूर्ख बनाने की संभावना नहीं है।

अच्छी सुरक्षा प्रथाएँ

साइबर सुरक्षा अभ्यास चलाने के अलावा, व्यवसायों को हैक होने की संभावनाओं को कम करने के लिए निम्नलिखित रणनीतियों का उपयोग करना चाहिए:

• डेटा का बार-बार बैकअप लें और बैकअप की ऑफ़लाइन प्रतियाँ रखें।
• प्रत्येक खाते के लिए अद्वितीय, अनुमान लगाने में कठिन पासवर्ड का उपयोग करें।
• बार-बार पासवर्ड बदलें।
• नियमित रूप से प्रशासनिक खातों का ऑडिट करें।
• एन्क्रिप्टेड पासवर्ड उत्पन्न करने के लिए एक पासवर्ड मैनेजर का उपयोग करें जिसमें अक्षरों, संख्याओं, प्रतीकों और अपरकेस और लोअरकेस अक्षरों का मिश्रण हो।
• दो-कारक प्रमाणीकरण सक्षम करें।
• दूरस्थ पहुँच और अप्रयुक्त RDP पोर्ट अक्षम करें।
• संगठन के बाहर के ईमेल पतों से हाइपरलिंक अक्षम करें और अज्ञात प्रेषकों के लिए एक बैनर जोड़ें।
• नेटवर्क विभाजन का प्रयोग करें।
• पब्लिक वाई-फाई के बजाय सिक्योर नेटवर्क का इस्तेमाल करें।
• सभी उपकरणों पर एंटीवायरस सॉफ़्टवेयर स्थापित करें और इसे अद्यतित रखें।
• अमल में लाना एक शून्य-भरोसेमंद सुरक्षा मॉडल कम से कम विशेषाधिकार सिद्धांत के साथ।

ये तरीके अचूक नहीं हैं, लेकिन एक साथ लेने पर, वे खतरे के अभिनेताओं के लिए एक बड़ी चुनौती पेश करते हैं।

साइबर हमलों को रोकना

डेटा उल्लंघनों को रोकना केवल आईटी विभाग का काम नहीं है - सभी को सावधान रहना होगा।

मजबूत साइबर सुरक्षा विधियों को लागू करने और अभ्यास अभ्यास का उपयोग करके, साइबर अपराधी द्वारा हमला करने की कोशिश करने की स्थिति में व्यवसाय बेहतर तैयारी कर सकते हैं, और कर्मचारी अपने आईटी कौशल में अधिक आत्मविश्वास महसूस करेंगे।