वह सॉफ़्टवेयर जो अपने सबसे बुनियादी स्तर पर सुरक्षा को प्राथमिकता देता है, का अर्थ है सिस्टम को एक जटिल सुविधा के बजाय ग्राहक सुरक्षा को एक प्रमुख लक्ष्य के रूप में डिज़ाइन करना। और वह अवधारणा - डिज़ाइन द्वारा सुरक्षित - तेजी से महत्वपूर्ण होती जा रही है क्योंकि हमलावर आपूर्ति श्रृंखलाओं को अधिक बार लक्षित करना शुरू कर देते हैं।
नेटराइज के सीईओ थॉमस पेस कहते हैं, "वे समझते हैं कि आपूर्ति श्रृंखला का सफलतापूर्वक दोहन करके वे बड़ा प्रभाव डाल सकते हैं।" उनका कहना है कि चूंकि ईडीआर, फ़ायरवॉल और स्पैम फ़िल्टर जैसे पारंपरिक सुरक्षा समाधान आमने-सामने के हमलों को रोकने में अच्छे हो गए हैं, इसलिए हमलावरों को श्रृंखला में आगे के लिए खुलेपन की तलाश करनी होगी।
और चिपकाए गए सिस्टम बिल्कुल उसी प्रकार की शुरुआत प्रदान करते हैं। फ़ॉरऑलसिक्योर के सीईओ डेविड ब्रूमली कहते हैं, "जब व्यवसाय और विक्रेता तथ्य के बाद सुरक्षा पर ज़ोर देने की कोशिश करते हैं तो साइबर हमले आसान हो जाते हैं।" "यह आपकी कार में एक आफ्टर-मार्केट स्टीरियो लगाने जैसा है - यह बिल्कुल ठीक से काम नहीं करता है।"
विश्व स्तर पर सॉफ्टवेयर सुरक्षा को बढ़ाने के लिए, साइबर सुरक्षा और बुनियादी ढांचा सुरक्षा एजेंसी (सीआईएसए) ने सॉफ्टवेयर विकास जीवन चक्र में "डिज़ाइन द्वारा सुरक्षित" सिद्धांतों को अपनाकर विकास प्रथाओं में क्रांति लाने के उद्देश्य से एक पहल का प्रस्ताव रखा। यह सक्रिय सुरक्षा उपायों की दिशा में एक महत्वपूर्ण बदलाव को दर्शाता है।
RSI जानकारी के लिए अनुरोध करें बार-बार होने वाली सॉफ़्टवेयर कमजोरियों को दूर करने, परिचालन प्रौद्योगिकी को मजबूत करने और लागत पर सुरक्षित प्रथाओं के प्रभाव का आकलन करने पर ध्यान केंद्रित किया जाता है। टिप्पणी के लिए कॉल, जो 20 फरवरी, 2024 तक खुली है, एक ऐसे भविष्य को बढ़ावा देने में प्रौद्योगिकी निर्माताओं और उपभोक्ताओं की सामूहिक जिम्मेदारी पर भी जोर देती है जहां प्रौद्योगिकी स्वाभाविक रूप से सुरक्षित और संरक्षित है।
ब्रूमली बताते हैं, "डिज़ाइन द्वारा सुरक्षित होने का मतलब है कि सुरक्षा इस बात का हिस्सा है कि आप सॉफ़्टवेयर को शुरुआत से कैसे बनाते हैं।" "इसका मतलब है कि यह हमलों से कहीं अधिक मजबूत है।"
सुरक्षा का एक मूलभूत स्तर
क्वालिस थ्रेट रिसर्च यूनिट के साइबर खतरा निदेशक केन डनहम बताते हैं कि किसी संगठन के क्लाउड पर स्थानांतरित होने या उसका उपयोग शुरू करने से पहले डिजाइन द्वारा सुरक्षित संचालन वास्तुकला और जोखिम प्रबंधन सिद्धांतों से शुरू होता है।
"यह आधुनिक, जटिल हाइब्रिड बुनियादी ढांचे का एक महत्वपूर्ण तत्व है," वे कहते हैं। "साझा जिम्मेदारी की दुनिया में, संगठनों को यह तय करना होगा कि तीसरे पक्ष के साथ किस जोखिम को साझा करना स्वीकार्य है, और संभावित रूप से उच्च जोखिम पर, बनाम जो पूरी तरह से स्वामित्व में है और घर में प्रबंधित है।"
वह बताते हैं कि सॉफ्टवेयर निर्माण का जीवनचक्र तेजी से जटिल होता जा रहा है, जिसमें कई हितधारक शामिल हैं, जिन्हें जोखिम कम करने के लिए सुरक्षित होना चाहिए। डनहम पूछते हैं, "क्या आपके डेवलपर्स, जो कार्यक्षमता और उपयोगकर्ता अनुभवों की परवाह करते हैं, सुरक्षित कोडिंग सिद्धांतों, आधुनिक हमलों, सुरक्षा जवाबी उपायों और SecOps में माहिर हैं?"
संगठनात्मक सुरक्षा अपेक्षाएँ ऑनबोर्डिंग टीम पर व्यावसायिक वास्तुकला के भीतर सॉफ़्टवेयर को ठीक से रोल आउट करने, कॉन्फ़िगर करने और मॉनिटर करने का दबाव डालती हैं। "आपकी घटना प्रतिक्रिया और साइबर खतरे की खुफिया सेवाएं कितनी परिपक्व हैं?" वह पूछता है। "क्या आप हाइब्रिड क्लाउड दुनिया में उन पर भरोसा करते हैं जहां आप पर तीव्र गति से जटिल घुसपैठ का हमला हो सकता है?"
ब्रूमली सहमत हैं, "एक बार जब आपके पास सही लोग हों, तो प्रक्रिया अच्छी तरह से समझ में आ जाती है।" "आप गहराई से रक्षा के साथ उत्पाद का निर्माण करते हैं, सुनिश्चित करते हैं कि आपकी निर्भरताएं और तृतीय-पक्ष सॉफ़्टवेयर अद्यतित हैं, और अज्ञात कमजोरियों को खोजने के लिए फ़ज़िंग जैसी आधुनिक तकनीक का उपयोग करते हैं।"
ब्रूमली के लिए, डिफ़ॉल्ट रूप से सुरक्षित का मतलब सुरक्षा में डिज़ाइन करना है जो लोगों द्वारा सॉफ़्टवेयर का उपयोग करने के तरीके के साथ काम करता है। "ऐसे डिज़ाइन सिद्धांत हैं जो कई सिद्धांतों को फैलाते हैं - ठीक उसी तरह जैसे एक गगनचुंबी इमारत का निर्माण करते समय, आपको संरचनात्मक समर्थन से लेकर एयर कंडीशनिंग तक हर चीज़ के बारे में सोचने की ज़रूरत होती है," वह बताते हैं।
आईटी सुरक्षा में प्रतिमान बदलाव की आवश्यकता
डनहम ने नोट किया कि 2023 था उदाहरणों से भरा हुआ जहां दौर कि शर्ते शून्य दिनों के लिए अस्तित्व में था - कमजोरियों को उलट दिया गया और बुरे अभिनेताओं द्वारा तेजी से हथियार बनाया गया संगठन उन्हें पैच कर सकते हैं.
उन्होंने बताया, "अभी भी कुछ संगठन इतने समय के बाद भी Log4J की कमजोरियों को दूर करने के लिए संघर्ष कर रहे हैं।"
उनका कहना है कि संगठनों को अपने हमले की सतह, आंतरिक और बाहरी की पहचान करनी चाहिए, और उसके अनुसार संपत्ति और जोखिम प्रबंधन को प्राथमिकता देनी चाहिए ताकि भेद्यता से संबंधित शोषण और हमले का जोखिम बढ़ने पर सामने आ सकें।
पेस के दृष्टिकोण से, आईटी सुरक्षा उद्योग को जोखिम पर विचार करने और इसे सर्वोत्तम प्राथमिकता देने के तरीके में एक आदर्श बदलाव से गुजरना होगा - और यह केवल आपूर्ति श्रृंखला में दृश्यता के साथ ही हो सकता है। उन्होंने एक उदाहरण साझा किया जिसमें एक "बहुत बड़े संगठन" को यह नहीं पता था कि उसकी सुरक्षा प्रणाली पर क्या निर्भरता है जब उसने कर्तव्यपूर्वक उस प्रणाली को अद्यतन किया। “अपडेट के बाद इसे एक भेद्यता स्कैनर द्वारा स्कैन किया गया और यह निर्धारित किया गया कि हाल ही में गंभीर अपाचे स्ट्रट्स भेद्यता मौजूद था,'' वह कहते हैं। "अब इस संगठन ने अपने संगठन के लिए एक गंभीर ख़तरा पेश किया है।"
IoT युग में सुरक्षित डिज़ाइन
वियाकू में वियाकू लैब्स के उपाध्यक्ष जॉन गैलाघेर का कहना है कि एक प्रमुख चुनौती इंटरनेट ऑफ थिंग्स (आईओटी) के उन हिस्सों जैसे लंबे समय तक चलने वाले उपकरणों में सुरक्षा डिजाइन करना है, जिनमें शुरुआत में डिजाइन विचार के रूप में सुरक्षा नहीं थी।
"इसके लिए अधिक व्यापक परीक्षण की आवश्यकता है और नए इंजीनियरिंग संसाधनों की आवश्यकता हो सकती है," वे कहते हैं। "इसी तरह, नई सुरक्षा सुविधाओं का निर्माण नई सुरक्षा कमजोरियों को पेश करने का एक तरीका है।"
गैलाघेर का कहना है कि सॉफ्टवेयर निर्माताओं को कमजोरियों को और अधिक तेजी से ढूंढने और उन्हें दूर करने के लिए सामग्री के सॉफ्टवेयर बिल (एसबीओएम) के उपयोग को अपनाना चाहिए। उन्होंने नोट किया कि कंपनियां नए उत्पादों में सुरक्षित डिजाइन प्रथाओं को शामिल कर रही हैं, जो अंततः बाजार में एक प्रतिस्पर्धी कारक होगा।
"एमएफए और प्रतिबंधित पहुंच विशेषाधिकारों के अलावा, डिफ़ॉल्ट पासवर्ड को खत्म करने और फर्मवेयर को अधिक आसानी से और तेज़ी से अपडेट करने के लिए तंत्र प्रदान करने जैसे अन्य उपायों को उत्पादों में डिज़ाइन किया जा रहा है," वे कहते हैं।
गैलाघर बताते हैं कि "अस्पष्टता के माध्यम से सुरक्षा" से बचना डिज़ाइन द्वारा सुरक्षित होने का एक और सिद्धांत है। उदाहरण के लिए, एसबीओएम और ओपन सोर्स सॉफ्टवेयर, सॉफ्टवेयर कोड के आसपास पारदर्शिता प्रदान करके सुरक्षा प्रदान करते हैं।
पेस का कहना है कि वह जिन क्षेत्रों को लेकर सबसे अधिक उत्साहित हैं उनमें से एक डिफ़ॉल्ट रूप से सुरक्षित और डिज़ाइन द्वारा सुरक्षित से संबंधित है, सॉफ्टवेयर आपूर्ति श्रृंखला में काफी बेहतर दृश्यता है। "एक बार जब यह दृश्यता प्राप्त हो जाती है, तो हम वास्तव में यह समझना शुरू कर सकते हैं कि हमारी समस्याएं मूलभूत स्तर पर कहां हैं और फिर उन्हें इस तरह से प्राथमिकता देना शुरू कर सकते हैं जिससे समझ में आए," वे कहते हैं।
- एसईओ संचालित सामग्री और पीआर वितरण। आज ही प्रवर्धित हो जाओ।
- प्लेटोडेटा.नेटवर्क वर्टिकल जेनरेटिव एआई। स्वयं को शक्तिवान बनाएं। यहां पहुंचें।
- प्लेटोआईस्ट्रीम। Web3 इंटेलिजेंस। ज्ञान प्रवर्धित। यहां पहुंचें।
- प्लेटोईएसजी. कार्बन, क्लीनटेक, ऊर्जा, पर्यावरण, सौर, कचरा प्रबंधन। यहां पहुंचें।
- प्लेटोहेल्थ। बायोटेक और क्लिनिकल परीक्षण इंटेलिजेंस। यहां पहुंचें।
- स्रोत: https://www.darkreading.com/application-security/lock-down-the-software-supply-chain-with-secure-by-design
