Biden administration sees dangers in cloud, but users must protect perimeters

राष्ट्रपति जो बिडेन के प्रशासन ने हाल ही में जारी राष्ट्रीय साइबर सुरक्षा रणनीति के हिस्से के रूप में कहा कि दूरसंचार, ऊर्जा और स्वास्थ्य सेवा जैसे महत्वपूर्ण क्षेत्र क्लाउड सेवा प्रदाताओं की साइबर सुरक्षा और लचीलेपन पर निर्भर करते हैं।

फिर भी, हाल की रिपोर्टों से पता चलता है कि प्रशासन को चिंता है कि प्रमुख क्लाउड सेवा प्रदाता बड़े पैमाने पर खतरे की सतह का निर्माण करते हैं – जिसके माध्यम से एक हमलावर सार्वजनिक और निजी बुनियादी ढांचे और सेवाओं को बाधित कर सकता है।

क्षेत्र की अखंड प्रकृति को देखते हुए उस चिंता पर बहस करना कठिन है। रिसर्च फर्म गार्टनर ने दुनिया भर में क्लाउड इन्फ्रास्ट्रक्चर-ए-ए-सर्विस मार्केट शेयर पर अपनी सबसे हालिया नज़र में, अमेज़ॅन को शीर्ष पर रखा, जो 2021 में $35.4 बिलियन के राजस्व के साथ अग्रणी था, बाकी मार्केट शेयर ब्रेकडाउन इस प्रकार है:

• अमेज़न: 38.9%
• माइक्रोसॉफ्ट: 21.1%
• अलीबाबा: 9.5%
• गूगल: 7.1%
• हुवाई: 4.6%

सिनर्जी ग्रुप ने बताया कि 30 सितंबर, 2022 को समाप्त हुए तीन महीनों में Amazon, Microsoft और Google ने मिलकर क्लाउड इंफ्रास्ट्रक्चर राजस्व का दो-तिहाई हिस्सा लिया, जिसमें आठ सबसे बड़े प्रदाता बाजार के 80% से अधिक को नियंत्रित करते हैं, जो तीन-तिमाही में अनुवाद करता है। वेब राजस्व का।

करने के लिए कूद:

क्लाउड सेवा प्रदाताओं पर ध्यान?

प्रशासन की रिपोर्ट में कहा गया है कि खतरे वाले अभिनेता क्लाउड, डोमेन रजिस्ट्रार, होस्टिंग और ईमेल प्रदाताओं के साथ-साथ अन्य सेवाओं का उपयोग शोषण करने, संचालन और जासूसी करने के लिए करते हैं। इसके अतिरिक्त, इसने डिजाइन द्वारा सुरक्षित सिद्धांतों को अपनाने के लिए विनियमों की वकालत की और यह नियम “न्यूनतम अपेक्षित साइबर सुरक्षा प्रथाओं या परिणामों” को परिभाषित करेंगे।

इसके अलावा, यह “क्लाउड कंप्यूटिंग उद्योग में बेहतर साइबर सुरक्षा प्रथाओं को चलाने के लिए और अन्य आवश्यक तृतीय-पक्ष सेवाओं के लिए और उन्हें बंद करने के लिए उद्योग, कांग्रेस और नियामकों के साथ काम करने के लिए अधिकारियों में अंतराल की पहचान करेगा,” प्रशासन की रिपोर्ट के अनुसार।

गार्टनर के वरिष्ठ निदेशक विश्लेषक क्रिस विंकलेस ने कहा कि यदि प्रशासन अपनी सुरक्षा प्रथाओं को विनियमित करने की दृष्टि से वैश्विक वेब के विशाल क्षेत्रों के माध्यम से यातायात को नियंत्रित करने वाले सीएसपी से बात कर रहा है, तो यह विवादास्पद हो सकता है, क्योंकि सीएसपी के पास पहले से ही मजबूत सुरक्षा प्रोटोकॉल हैं।

विंकलेस ने कहा, “क्लाउड प्रदाता जो कुछ भी करते हैं उसमें अत्यधिक सुरक्षित होने के लिए सभी सबूतों से प्रकट होते हैं, लेकिन वे ऐसा कैसे करते हैं, इस पर पारदर्शिता की कमी एक चिंता का विषय है।”

देखना: क्लाउड सुरक्षा, उपकरणों के प्रसार से बाधित, “पेड़ों के लिए जंगल” समस्या है (टेक रिपब्लिक)

हालांकि, विंकलेस ने यह भी कहा कि लचीलापन की सीमाएं हैं, और हिरन अंततः ग्राहक के डेस्क पर उतरता है।

“क्लाउड का उपयोग सुरक्षित नहीं है, या तो अलग-अलग किरायेदारों से, जो अच्छी तरह से कॉन्फ़िगर नहीं करते हैं या लचीलापन के लिए डिज़ाइन नहीं करते हैं, या आपराधिक / राष्ट्र-राज्य अभिनेताओं से, जो गतिशीलता का लाभ उठा सकते हैं और लचीलेपन मॉडल के लिए भुगतान कर सकते हैं ,” उसने जोड़ा।

क्लाउड प्रदाता पहले से ही पर्याप्त पेशकश कर रहे हैं

क्लाउड घटना प्रतिक्रिया फर्म कैडो सिक्योरिटी के मुख्य प्रौद्योगिकी अधिकारी क्रिस डोर्मन ने कहा कि क्लाउड इंफ्रास्ट्रक्चर के प्रबंधन और सुरक्षा में प्रमुख क्लाउड सेवा प्रदाता पहले से ही सर्वश्रेष्ठ हैं।

“उनकी क्षमताओं पर सवाल उठाना और अनुमान लगाना कि अमेरिकी सरकार विनियमन और सुरक्षा मार्गदर्शन के मामले में ‘बेहतर जानती’ होगी, भ्रामक होगा,” डोरमैन ने कहा।

उन्होंने कहा कि क्लाउड प्रदाताओं पर “अपने ग्राहक को जानो” आवश्यकताओं को लागू करने का इरादा अच्छा हो सकता है, लेकिन यह हमलावरों को उन सेवाओं का उपयोग करने के लिए प्रेरित करता है जो कानून प्रवर्तन की पहुंच से दूर हैं।

डोरमैन ने कहा कि क्लाउड इंफ्रास्ट्रक्चर के लिए सबसे बड़ा खतरा भौतिक आपदा है, तकनीकी विफलता नहीं।

डोरमैन ने कहा, “वित्तीय सेवा उद्योग इस बात का एक बड़ा उदाहरण है कि कैसे एक क्षेत्र विफलता के किसी भी बिंदु से बचने के लिए कई क्लाउड प्रदाताओं में गतिविधि में विविधता लाता है।” “क्लाउड की ओर आधुनिकीकरण करने वाली महत्वपूर्ण आधारभूत संरचना संस्थाओं को आपदा वसूली योजनाओं के बारे में सोचने की जरूरत है। अधिकांश महत्वपूर्ण बुनियादी ढाँचे वाली संस्थाएँ पूरी तरह से मल्टीक्लाउड जाने की स्थिति में नहीं हैं, जो जोखिम के बिंदुओं को सीमित करती हैं।

क्लाउड ग्राहकों को सुरक्षा लागू करने की जरूरत है

जबकि बिडेन प्रशासन ने कहा कि यह “अमेरिकी बुनियादी ढांचे के दुर्भावनापूर्ण उपयोग, सरकार के साथ दुर्भावनापूर्ण उपयोग की रिपोर्ट साझा करने” की पहचान करने के लिए क्लाउड और इंटरनेट इंफ्रास्ट्रक्चर प्रदाताओं के साथ काम करेगा और “पीड़ितों के लिए इन प्रणालियों के दुरुपयोग की रिपोर्ट करना आसान बना देगा और … दुर्भावनापूर्ण अभिनेताओं को इन संसाधनों तक पहली जगह पहुंच प्राप्त करने के लिए,” ऐसा करना चुनौतियों का सामना कर सकता है।

प्रोसेस ऑटोमेशन फर्म एपियन के संस्थापक और मुख्य प्रौद्योगिकी अधिकारी माइक बेकले ने कहा कि सरकार सरकारी प्रणालियों की भेद्यता पर अलार्म बजा रही है।

“लेकिन, इसकी एक बड़ी समस्या है, और वह यह है कि इसका अधिकांश सॉफ़्टवेयर हमारे या Microsoft या Salesforce या Palantir से नहीं है, उस मामले के लिए,” बेकले ने कहा। “यह कस्टम अनुबंधों में एक कम लागत वाले बोलीदाता द्वारा लिखा गया है और इसलिए, हम वाणिज्यिक प्रदाताओं द्वारा संचालित अधिकांश नियमों और बाधाओं से छिपते हैं।

“जो कुछ भी सरकार सोचती है कि वह खरीद रही है वह हर दिन बदल रही है, कम से कम अनुभव या कम से कम योग्य, या यहां तक ​​​​कि सबसे दुर्भावनापूर्ण ठेकेदार जिसके पास नए पुस्तकालय और कोड अपलोड करने के अधिकार और अनुमतियां हैं। उन कस्टम-कोड पाइपलाइनों में से हर एक को हर परियोजना के लिए बनाया जाना है और इसलिए यह उतना ही अच्छा है जितना कि टीम कर रही है।

प्रमुख क्लाउड-आधारित खतरों से बचाव करना ग्राहकों पर है

असामान्य सुरक्षा में मुख्य सूचना सुरक्षा अधिकारी माइक ब्रिटन ने कहा कि अमेज़ॅन, Google और माइक्रोसॉफ्ट जैसे सीएसपी के लिए दुर्भावनापूर्ण लोगों की तलाश करना एक बड़ी चुनौती है।

“आखिरकार, क्लाउड बाहरी सर्वरों के लिए सिर्फ एक और फैंसी शब्द है, और वह डिजिटल स्पेस अब एक वस्तु है – मैं डॉलर पर पैसे के लिए पेटाबाइट्स स्टोर कर सकता हूं,” ब्रिटन ने कहा। “अब हम एक ऐसी दुनिया में रहते हैं जहां सब कुछ एपीआई- और इंटरनेट आधारित है, इसलिए पुराने दिनों की तरह कोई बाधा नहीं है।

देखना: शीर्ष 10 ओपन-सोर्स सुरक्षा और परिचालन जोखिम (टेक रिपब्लिक)

“एक साझा जिम्मेदारी मैट्रिक्स है, जहां क्लाउड प्रदाता हार्डवेयर ऑपरेटिंग सिस्टम पैच जैसे मुद्दों को संभालता है, लेकिन यह ग्राहक की जिम्मेदारी है कि वह जानें कि सार्वजनिक क्या सामना कर रहा है और ऑप्ट इन या आउट करें। मुझे लगता है कि यह अच्छा होगा अगर ‘नहीं’ के बराबर कुछ पूछने में विफलता होती है जैसे ‘क्या आप ऐसा करने का मतलब रखते हैं?’ जब स्टोरेज बकेट को सार्वजनिक करने जैसी कार्रवाइयों की बात आती है।

“अपने 50 टेराबाइट्स को एक S3 स्टोरेज बकेट में लेना और गलती से इसे सार्वजनिक रूप से उपलब्ध कराना संभावित रूप से अपने आप को पैर में गोली मार रहा है। तो, क्लाउड सुरक्षा आसन प्रबंधन समाधान उपयोगी हैं। और क्लाउड सेवाओं के उपभोक्ताओं को क्रम में अच्छी प्रक्रियाओं की आवश्यकता होती है।”

आपके क्लाउड ऑपरेशंस के लिए प्रमुख खतरे

चेक प्वाइंट सिक्योरिटी की 2022 क्लाउड सिक्योरिटी रिपोर्ट ने क्लाउड सुरक्षा के प्रमुख खतरों को सूचीबद्ध किया है।

मिस-कॉन्फ़िगरेशन

क्लाउड डेटा उल्लंघनों का एक प्रमुख कारण, संगठनों की क्लाउड सुरक्षा आसन प्रबंधन रणनीतियाँ उनके क्लाउड-आधारित बुनियादी ढाँचे को गलत कॉन्फ़िगरेशन से बचाने के लिए अपर्याप्त हैं।

अनधिकृत पहुंच

नेटवर्क परिधि के बाहर क्लाउड-आधारित परिनियोजन और सार्वजनिक इंटरनेट से सीधे सुलभ होने से अनधिकृत पहुंच आसान हो जाती है।

असुरक्षित इंटरफेस और एपीआई

चेक प्वाइंट के अनुसार, सीएसपी अक्सर अपने ग्राहकों के लिए कई एप्लिकेशन प्रोग्रामिंग इंटरफेस और इंटरफेस प्रदान करते हैं, लेकिन सुरक्षा इस बात पर निर्भर करती है कि ग्राहक ने अपने क्लाउड-आधारित इन्फ्रास्ट्रक्चर के लिए इंटरफेस सुरक्षित किया है या नहीं।

अपहृत खाते

आश्चर्य की बात नहीं, पासवर्ड सुरक्षा एक कमजोर कड़ी है और इसमें अक्सर पासवर्ड का पुन: उपयोग और खराब पासवर्ड का उपयोग करने जैसी खराब प्रथाएं शामिल होती हैं। यह समस्या फ़िशिंग हमलों और डेटा उल्लंघनों के प्रभाव को बढ़ा देती है क्योंकि यह चोरी किए गए एक पासवर्ड को कई अलग-अलग खातों पर उपयोग करने में सक्षम बनाता है।

दृश्यता का अभाव

एक संगठन के क्लाउड संसाधन कॉर्पोरेट नेटवर्क के बाहर स्थित होते हैं और उस बुनियादी ढांचे पर चलते हैं जो कंपनी के पास नहीं है।

“परिणामस्वरूप, नेटवर्क दृश्यता प्राप्त करने के लिए कई पारंपरिक उपकरण क्लाउड वातावरण के लिए प्रभावी नहीं हैं,” चेक प्वाइंट ने कहा। “और कुछ संगठनों में क्लाउड-केंद्रित सुरक्षा उपकरणों की कमी है। यह किसी संगठन की उनके क्लाउड-आधारित संसाधनों की निगरानी करने और उन्हें हमले से बचाने की क्षमता को सीमित कर सकता है।

बाहरी डेटा साझा करना

क्लाउड डेटा साझा करना आसान बनाता है, चाहे किसी सहयोगी को ईमेल आमंत्रण के माध्यम से, या किसी साझा लिंक के माध्यम से। डेटा साझा करने में आसानी से सुरक्षा जोखिम होता है।

दुर्भावनापूर्ण अंदरूनी सूत्र

हालांकि विरोधाभासी है क्योंकि अंदरूनी लोग परिधि के अंदर हैं, बुरे इरादे वाले किसी व्यक्ति के पास संगठन के नेटवर्क और उसमें मौजूद कुछ संवेदनशील संसाधनों तक अधिकृत पहुंच हो सकती है।

चेकप्वाइंट की रिपोर्ट में कहा गया है, “क्लाउड पर दुर्भावनापूर्ण अंदरूनी सूत्र का पता लगाना और भी मुश्किल है।” “क्लाउड परिनियोजन के साथ, कंपनियां अपने अंतर्निहित बुनियादी ढांचे पर नियंत्रण की कमी करती हैं, जिससे कई पारंपरिक सुरक्षा समाधान कम प्रभावी हो जाते हैं।”

बड़े व्यवसाय के रूप में साइबर हमले

साइबर अपराध के लक्ष्य ज्यादातर लाभप्रदता पर आधारित होते हैं। क्लाउड-आधारित अवसंरचना जो इंटरनेट से जनता के लिए सुलभ है, अनुचित रूप से सुरक्षित हो सकती है और इसमें संवेदनशील और मूल्यवान डेटा हो सकता है।

सेवा हमलों का इनकार

कई संगठनों की व्यवसाय करने की क्षमता के लिए क्लाउड आवश्यक है। वे व्यवसाय-महत्वपूर्ण डेटा को संग्रहीत करने और महत्वपूर्ण आंतरिक और ग्राहक-सामना करने वाले अनुप्रयोगों को चलाने के लिए क्लाउड का उपयोग करते हैं।

एथिकल हैकिंग क्लाउड और ऑन-प्रिमाइसेस में संचालन को सुरक्षित कर सकती है

संगठनों के लिए यह महत्वपूर्ण है कि वे अपनी स्वयं की परिधि को सुरक्षित करें और आंतरिक और बाह्य भेद्यताओं पर नियमित रूप से परीक्षण करें।

यदि आप वेब पेन परीक्षण और अधिक के लिए अपने एथिकल हैकिंग कौशल को सुधारना चाहते हैं, तो इस व्यापक TechRepublic Academy एथिकल हैकिंग कोर्स बंडल को देखें।

आगे पढ़िए: सुरक्षा जोखिमों को कम कैसे करें: सफलता के लिए इन सर्वोत्तम प्रथाओं का पालन करें (टेक रिपब्लिक)