इस सप्ताह की शुरुआत में यूक्रेन पर आक्रमण के लिए रूस पर अमेरिका के नेतृत्व वाले प्रतिबंधों ने छिड़ गया है काफी चिंता अमेरिकी संगठनों और अन्य संबद्ध देशों में स्थित लोगों पर क्षेत्र से प्रतिशोधी और स्पिलओवर साइबर हमले के बारे में।
कई लोग उम्मीद करते हैं कि हमले डिस्क-वाइपर और रैनसमवेयर के उपयोग से जुड़े विनाशकारी अभियानों से लेकर वितरित-इनकार-ऑफ-सर्विस हमलों, फ़िशिंग, दुष्प्रचार, गलत सूचना और प्रभाव अभियानों तक चलेंगे। सुरक्षा विशेषज्ञों को उम्मीद है कि कुछ हमलों को राज्य समर्थित रूसी खतरों द्वारा लक्षित और निष्पादित किया जाएगा। दूसरों को रूसी हितों के प्रति सहानुभूति रखने वाले अभिनेताओं द्वारा लॉन्च किए जाने की संभावना है, और फिर भी अन्य संभवतः यूक्रेन से फैलेंगे और उसी तरह संपार्श्विक क्षति का कारण बनेंगे जैसे कि कुछ साल पहले NotPetya मैलवेयर ने किया था।
यहां सात उपाय दिए गए हैं जो सुरक्षा विशेषज्ञों का कहना है कि इन हमलों के लिए तैयार रहने के लिए संगठनों को अभी से कदम उठाने की जरूरत है। अधिकांश सलाह में ऐसे उपाय शामिल हैं जो संगठनों को पहले से ही होने चाहिए। लेकिन अगर वे नहीं करते हैं, तो अब उन्हें लागू करने का एक अच्छा समय है, विशेषज्ञों का कहना है।
1. अपने एक्सपोजर का आकलन करें: सभी को समान जोखिम का सामना नहीं करना पड़ता है
सोफोस के प्रमुख शोध वैज्ञानिक चेस्टर विस्निव्स्की का कहना है कि संगठनों को रूसी साइबर हमलों का सामना करने का जोखिम काफी भिन्न होता है।
जिन कंपनियों ने यूक्रेन में कारोबार किया है या कर रही हैं, उन्हें सबसे खराब स्थिति की उम्मीद करनी चाहिए और यह सुनिश्चित करना चाहिए कि उनके सभी सुरक्षा नियंत्रण यथासंभव अद्यतित हैं। क्रेडेंशियल दुरुपयोग के लिए निगरानी विशेष रूप से महत्वपूर्ण है। विस्निव्स्की कहते हैं, "यदि आप संघर्ष के दौरान संचालन जारी रखने का इरादा रखते हैं, तो आपको संचार के अविश्वसनीय होने की उम्मीद करनी चाहिए और अन्य माध्यमों से संवाद करने के लिए बैकअप योजनाएं होनी चाहिए।"
यूएस साइबर सिक्योरिटी एंड इंफ्रास्ट्रक्चर सिक्योरिटी एजेंसी ने सिफारिश की है कि यूक्रेनी समकक्षों के साथ काम करने वाले संगठन "उन संगठनों से ट्रैफ़िक की निगरानी, निरीक्षण और अलग करने" और उस ट्रैफ़िक के लिए एक्सेस कंट्रोल की समीक्षा करने के लिए विशेष ध्यान रखते हैं। सलाह उन युक्तियों की एक लंबी सूची में से एक है जिसे सीआईएसए ने एक दस्तावेज में इकट्ठा किया है जिसे कहा जाता है ढाल ऊपर.
ऐसे संगठनों की एक उचित संभावना है जो इस क्षेत्र में व्यापार करते हैं, लेकिन विशेष रूप से यूक्रेन नहीं - जैसे पोलैंड, रोमानिया, एस्टोनिया, लातविया, लिथुआनिया, या मोल्दोवा - यूक्रेन को प्रभावित करने के लिए डिज़ाइन किए गए हमलों से संपार्श्विक क्षति के शिकार बन जाते हैं। Wisniewski संकेतकों की ओर इशारा करता है कि सोफोस ने गुरुवार को एक डिस्क-वाइपिंग मैलवेयर टूल का अवलोकन किया, जिसे कहा जाता है हर्मेटिक वाइपर लातविया और लिथुआनिया में कुछ ठेकेदार स्थानों को प्रभावित कर रहा था, हालांकि इसे यूक्रेनी संस्थाओं पर लक्षित किया गया था।
"मुझे उम्मीद नहीं है कि रूस सीधे नाटो के सदस्यों को लक्षित करेगा, लेकिन हमने नोटपेट्या हमलों से इसी तरह के नतीजे देखे, जो ज्यादातर यूक्रेन को प्रभावित करने के इरादे से थे," विस्निव्स्की कहते हैं।
इस क्षेत्र से कोई संबंध नहीं रखने वाले संगठनों को स्वतंत्र रूस-आधारित खतरे वाले अभिनेताओं के शिकार बनने का खतरा बढ़ जाता है, जो पश्चिम को नुकसान पहुंचाते हैं और रूसी राज्य के कथित दुश्मन हैं। "हम संघर्ष शुरू होने से पहले इस परिणाम के बारे में चिंतित थे और देखा कि कोंटी रैंसमवेयर समूह सामने आया है और उन्होंने 'रूसी सरकार के पूर्ण समर्थन' की घोषणा की है," विस्निव्स्की कहते हैं।
2. अपने हमले की सतह को कम करें
संगठनों को जैसे उपकरणों का उपयोग करके उजागर नेटवर्क सीमाओं/डीएमजेड की तलाश करके अपनी सुरक्षा मुद्रा को सत्यापित करना चाहिए search.censys.io और shodan.io, मैथ्यू वार्नर, सीटीओ और ब्लूमिरा के सह-संस्थापक कहते हैं।
वार्नर का कहना है कि पर्यावरण के भीतर Sysmon को तैनात करना भी एक अच्छा विचार है। "Sysmon आपके वातावरण में व्यापक दृश्यता प्रदान कर सकता है जो आपको डिफ़ॉल्ट विंडोज लॉगिंग के साथ नहीं मिलेगा। उस अर्थ में यह अनिवार्य रूप से नकल करता है कि ईडीआर क्या करने की कोशिश कर रहा है, "वे कहते हैं। हालांकि, संगठन अक्सर Sysmon डेटा को देखकर अच्छी निष्ठा और पहचान प्राप्त कर सकते हैं। "अक्सर Sysmon एक समापन बिंदु का पता लगाने और प्रतिक्रिया (EDR) उपकरण से पहले ही व्यवहार का पता लगाता है," वार्नर कहते हैं।
कमांड-एंड-कंट्रोल गंतव्य पर कॉल करने वाले नेटवर्क पर मैलवेयर के संकेतों के लिए आउटबाउंड ट्रैफ़िक की निगरानी करें। हालांकि राष्ट्र-राज्य मैलवेयर का पता लगाना बेहद मुश्किल हो सकता है, ज्यादातर मामलों में मैलवेयर को किसी न किसी तरह से संचार करना पड़ता है, ब्रीचआरएक्स कहा हुआ।
यूक्रेन पर रूसी आक्रमण से एक हफ्ते पहले, राष्ट्रीय सुरक्षा एजेंसी ने संगठनों के उपयोग की आवश्यकता पर एक सलाह जारी की मजबूत पासवर्ड प्रकार सिस्को राउटर पर डिवाइस कॉन्फ़िगरेशन फ़ाइलों में क्रेडेंशियल्स की सुरक्षा के लिए।
"हाल के वर्षों में नेटवर्क इन्फ्रास्ट्रक्चर के समझौता की संख्या में वृद्धि एक अनुस्मारक है कि नेटवर्क उपकरणों के लिए प्रमाणीकरण एक महत्वपूर्ण विचार है," एनएसए ने नोट किया, रूसी हमलों या यूक्रेन में मौजूदा संघर्ष का कोई संदर्भ नहीं देना।
3. मूल बातें निष्पादित करें
वार्नर कहते हैं, रूसी एपीटी अन्य अत्यधिक प्रभावी समूहों के समान प्लेबुक का पालन करते हैं। उन्होंने नोट किया कि उनकी तकनीक, रणनीति और प्रक्रियाएं (टीटीपी) रहस्य नहीं हैं। यह भी महत्वपूर्ण है कि यूक्रेन में रिपोर्ट किए गए कई साइबर हमले - जैसे कि डिस्क-वाइपिंग मैलवेयर जैसे हर्मेटिकवाइपर - में ऐसे सिस्टम शामिल हैं, जिनमें हमलावरों की पहले से ही पहुंच थी।
इसलिए, इन खतरों की तैयारी के लिए सुरक्षा बुनियादी बातों पर ध्यान देने की आवश्यकता है - जैसा कि हमेशा होता है। "दुर्भाग्य से, सलाह बहु-कारक प्रमाणीकरण, आदि का उपयोग करके पैचिंग के आसपास सामान्य से भिन्न नहीं होती है," विस्निव्स्की कहते हैं। "बैकअप पहले से कहीं अधिक महत्वपूर्ण हैं, यह देखते हुए कि हमने हाल ही में वाइपर से अधिक गतिविधि देखी है, यहां तक कि कोंटी जैसे रैंसमवेयर गिरोहों द्वारा भी, जो बदले के रूप में भुगतान नहीं करने पर आपके पर्यावरण को मिटाने का विकल्प चुन सकते हैं।"
वार्नर अनुशंसा करते हैं कि संगठन अपने विंडोज वातावरण पर ध्यान दें, उदाहरण के लिए, Microsoft 365, G Workplace, Okta और अन्य समान वातावरण में MFA को सक्षम करना; विरासत प्रमाणीकरण अक्षम करना; और मैक्रोज़ को Microsoft Office परिवेशों में चलने से रोकना।
सुनिश्चित करें कि आपके राउटर अपडेट हैं, एक सुरक्षित पासवर्ड है, और दुनिया के लिए व्यवस्थापक इंटरफ़ेस को उजागर न करें, कहते हैं जोहान्स उलरिच, SANS प्रौद्योगिकी संस्थान के डीन।
बगक्राउड के संस्थापक और सीटीओ केसी एलिस कहते हैं, "यह उन संस्थाओं के लिए भी एक अच्छा समय है, जो मानते हैं कि उन्हें इस तरह से कार्य करने के लिए लक्षित किया जा सकता है जैसे कि वे पहले से ही किसी न किसी रूप में भंग हो चुके हैं।" यहां तक कि अगर यह सिर्फ एक टेबलटॉप व्यायाम है, तो इसे करें। और सुनिश्चित करें कि घुसपैठिए का पता लगाने और घटना प्रतिक्रिया योजनाएं अद्यतित हैं, एलिस कहते हैं।
सीआईएसए ने सिफारिश की है कि साइबर सुरक्षा घटना या संदिग्ध घटना की स्थिति में संगठन एक संकट-प्रतिक्रिया टीम को संपर्क के मुख्य बिंदुओं के साथ नामित करते हैं।
4. उन बी2बी वीपीएन कनेक्शनों को देखें
संगठनों का सामना करने वाला एक बड़ा जोखिम यूक्रेन में साइबर हमले से संपार्श्विक क्षति का शिकार हो रहा है। एक उदाहरण 2017 NotPetya प्रकोप है जो यूक्रेन को लक्षित रूसी हमलों के रूप में शुरू हुआ लेकिन दुनिया भर में हजारों संगठनों को प्रभावित करने के लिए समाप्त हुआ। "बी2बी वीपीएन कनेक्शन जो सुरक्षा नियंत्रणों जैसे फ़ायरवॉल नियमों द्वारा फ़िल्टर नहीं किए जाते हैं, ऐसे स्पिलओवर के लिए अधिकतर संभावित मार्ग हैं," सैन्स इंस्टीट्यूट में उभरते सुरक्षा रुझानों के निदेशक जॉन पेस्कटोर कहते हैं, जिसने एक स्थापित किया है संसाधन केंद्र यूक्रेन से संबंधित संभावित साइबर खतरों को नेविगेट करने में संगठनों की मदद करने के लिए। SANS अनुशंसा करता है कि संगठन तुरंत वातावरण में सभी B2B VPN कनेक्शन खोजें और उन्हें हमलावरों के लिए एक प्रारंभिक प्रवेश बिंदु होने से रोकने के लिए उपाय करें, वे कहते हैं।
B2B VPN के लिए SANS की सलाह में उन सभी पर उच्च-जोखिम प्रोटोकॉल को अवरुद्ध करना या उच्च-जोखिम प्रोटोकॉल के लिए ट्रैफ़िक गंतव्यों को सीमित करना शामिल है यदि व्यावसायिक आवश्यकताएं B2B वीपीएन पर किसी प्रोटोकॉल को अवरुद्ध करने की अनुमति नहीं देती हैं। यह सभी बी2बी वीपीएन इग्रेशन पॉइंट्स पर नेटफ्लो मॉनिटरिंग की भी सिफारिश करता है और अगर कुछ होता है तो उन्हें जल्दी से डिस्कनेक्ट करने की योजना है।
"कम से कम सुनिश्चित करें कि ज्ञात खतरनाक प्रोटोकॉल अवरुद्ध हैं और आदर्श रूप से केवल न्यूनतम आवश्यक बंदरगाहों, प्रोटोकॉल और अनुप्रयोगों की अनुमति है," पेस्कटोर कहते हैं।
5. संवाद करें
सुरक्षा नियंत्रणों को लागू करने के माध्यम से केवल इतना ही संगठन करने में सक्षम होने जा रहे हैं कि उनके पास संभावित यूक्रेन से संबंधित साइबर हमले की तैयारी के लिए पहले से ही जगह नहीं है। इसलिए, उन्नत फ़िशिंग हमलों, गलत सूचना अभियानों और रूसी साइबर हमलावरों द्वारा कॉर्पोरेट सिस्टम से समझौता करने के प्रयासों की संभावना के बारे में कर्मचारियों को सचेत करना इन वैक्टरों के जोखिम को कम करने के लिए महत्वपूर्ण है। वार्नर कहते हैं, "सभी कर्मचारियों को अधिक जागरूक और सतर्क रहने और किसी भी संबंधित ईमेल या फाइल ASAP की रिपोर्ट करने के लिए सूचित करें।"
"अपनी पूरी कंपनी को एक रिमाइंडर भेजें कि कैसे लोग हमले के सबसे संभावित वेक्टर हैं," ब्राइटआरएक्स एक ब्लॉग में कहा कि संगठनों को संभावित हमलों के लिए कैसे तैयार रहना चाहिए। "उदाहरण के लिए, उन्हें फ़िशिंग हमलों की याद दिलाएं और उन्हें असामान्य गतिविधि की रिपोर्ट करने के लिए कहें।"
सुरक्षा टीमों को राजनीतिक रूप से संवेदनशील विषयों के बारे में कार्यकारी कनेक्शन या संचार की जांच करनी चाहिए - जैसे कि सोशल मीडिया पोस्ट जो रूस की आलोचना करते हैं। "आप उन विचारों के कारण एक लक्ष्य हो सकते हैं, न कि आपके व्यवसाय के कारण," ब्राइटआरएक्स ने कहा। घटना की प्रतिक्रिया और तत्परता फर्म ने कहा कि दुर्भावनापूर्ण अंदरूनी सूत्रों से संभावित सुरक्षा मुद्दों को संबोधित करने के लिए एक अंदरूनी सूत्र प्लेबुक लगाने पर भी विचार करें।
6. परिवर्तन कम से कम करें
पेस्कोटोर का कहना है कि आईटी को परिवर्तनों को कम करना चाहिए और सभी नए सॉफ़्टवेयर / निष्पादन योग्य, स्थापित नए खाते और पर्यावरण में उच्च विशेषाधिकार वाले खातों की जांच करनी चाहिए। साथ ही, वह विशेष रूप से विशेषाधिकार प्राप्त खातों पर मजबूत प्रमाणीकरण के उपयोग को बढ़ाने और परिवर्तन नियंत्रण और परिवर्तन निगरानी को बढ़ाने की सिफारिश करता है।
"यदि यह संघर्ष आपको प्रबंधन का ध्यान देता है, तो बुनियादी सुरक्षा स्वच्छता में लाभ प्राप्त करें, भले ही अस्थायी हो," पेस्कोटोर सलाह देते हैं।
7. उच्च जोखिम वाले संगठनों को आईएसएसी सदस्यता पर विचार करना चाहिए
ABS समूह ने इस सप्ताह कहा था कि तेल, प्राकृतिक गैस और बिजली क्षेत्रों के संगठनों को तेल, गैस और विश्वसनीय बिजली के प्रवाह को बाधित करने पर केंद्रित हमलों का उच्च जोखिम है। इन क्षेत्रों में व्यापार और प्रौद्योगिकी के नेताओं को अपने उपयुक्त उद्योग सूचना साझाकरण और विश्लेषण केंद्रों (आईएसएसी) में सदस्यता सुनिश्चित करने के लिए अपनी सूचना प्रौद्योगिकी (आईटी) और परिचालन प्रौद्योगिकी (ओटी) टीमों के साथ जुड़ना चाहिए। एबीएस समूह कहा। ISAC को महत्वपूर्ण बुनियादी ढांचे के ऑपरेटरों को उद्योग-विशिष्ट साइबर खतरों के बारे में जानकारी रखने और उन्हें तैयार करने, बचाव करने और उन्हें कम करने में मदद करने के लिए डिज़ाइन किया गया है।
एबीएस समूह ने यह भी सिफारिश की है कि इन क्षेत्रों में संगठन प्रतिक्रिया प्रक्रियाओं का अभ्यास करते हैं और तुरंत अपने संबंधित आईएसएसी, संगठन के सुरक्षा प्रमुख, और ऊर्जा विभाग (डीओई) या संघीय जांच ब्यूरो (एफबीआई) को सभी प्रयास या पुष्टि साइबर घुसपैठ की रिपोर्ट करते हैं।
कई संगठन खुद को रूसी साइबर हमले से कम जोखिम में होने की संभावना मानते हैं। लेकिन जब यह सच हो सकता है कि वे विशिष्ट लक्ष्य नहीं हैं, तो वे रूस-सहानुभूति वाले खतरे वाले अभिनेताओं द्वारा अवसरवादी हमलों में फंसने या संपार्श्विक क्षति के शिकार बनने की संभावना के समान ही हैं, जैसा कि नोटपेट्या के मामले में हुआ था।
इसलिए सभी संगठनों के लिए यह एक अच्छा विचार है कि वे समीक्षा करें और अपनी सुरक्षा स्थिति को मजबूत करें, सुरक्षा विशेषज्ञों ने कहा।
- कॉइनस्मार्ट। यूरोप का सर्वश्रेष्ठ बिटकॉइन और क्रिप्टो एक्सचेंज।
- प्लेटोब्लॉकचैन। Web3 मेटावर्स इंटेलिजेंस। ज्ञान प्रवर्धित। नि: शुल्क प्रवेश।
- क्रिप्टोहॉक। Altcoin रडार। मुफ्त परीक्षण।
- स्रोत: https://www.darkreading.com/threat-intelligence/7-steps-to-take-right-now-to-prepare-for-cyberattacks-by-russia
