Google moves to keep public sector cybersecurity vulnerabilities leashed

Google क्लाउड और द सेंटर फॉर इंटरनेट सिक्योरिटी, इंक। ने सार्वजनिक क्षेत्र में डिजिटल सुरक्षा को आगे बढ़ाने के लक्ष्य के साथ इस सप्ताह Google क्लाउड एलायंस लॉन्च किया। सेंटर फॉर इंटरनेट सिक्योरिटी की स्थापना 2000 में बढ़ते साइबर खतरों से निपटने और साइबर सुरक्षा प्रोटोकॉल और मानकों जैसे CIS क्रिटिकल सिक्योरिटी कंट्रोल और …

Google क्लाउड और द सेंटर फॉर इंटरनेट सिक्योरिटी, इंक। ने सार्वजनिक क्षेत्र में डिजिटल सुरक्षा को आगे बढ़ाने के लक्ष्य के साथ इस सप्ताह Google क्लाउड एलायंस लॉन्च किया।

बढ़ते साइबर खतरों से निपटने के लिए 2000 में स्थापित इंटरनेट सुरक्षा केंद्र और साइबर सुरक्षा प्रोटोकॉल और सीआईएस क्रिटिकल सिक्योरिटी कंट्रोल और सीआईएस बेंचमार्क जैसे मानकों का एक सेट स्थापित करता है, साइबर खतरों में राज्य और स्थानीय सरकारों की सहायता करता है।

करने के लिए कूद:

Google क्लाउड ने कहा कि यह अपनी Google साइबर सुरक्षा एक्शन टीम से सदस्यों और सेवाओं को लाएगा, जिसमें इसकी थ्रेट होराइज़न्स रिपोर्ट और मैंडिएंट वेब इंटेलिजेंस डिवीजन से अंतर्दृष्टि शामिल है, “व्यापक प्रौद्योगिकी पारिस्थितिकी तंत्र को सुरक्षित करने के लिए – विशेष रूप से यह क्लाउड मुद्रा और समग्र साइबर सुरक्षा से संबंधित है। प्रथाओं, “एक संयुक्त बयान के अनुसार।

जैसा कि TechRepublic में बताया गया है, Google ने इस महीने जावा और पायथन इकोसिस्टम के लिए अपनी एश्योर्ड ओपन सोर्स सॉफ्टवेयर (एश्योर्ड OSS) सर्विस भी बिना किसी कीमत पर जारी की। यह कदम राजनीतिक रूप से प्रेरित इनकार-ऑफ़-सर्विस हमलों में बढ़ती प्रवृत्ति के बाद आया है।

खोज इंजन दिग्गज ने अपने प्रोजेक्ट शील्ड को जारी करके सरकारी साइटों, समाचार और स्वतंत्र पत्रकारों के साथ-साथ मतदान और मानवाधिकारों से संबंधित साइटों को DDoS रक्षा वितरित की।

राज्य, स्थानीय, आदिवासी, प्रादेशिक सरकारी संगठनों को सुरक्षित करना

Google क्लाउड, जिसने हाल ही में संघीय, राज्य और स्थानीय सरकारों और शैक्षणिक संस्थानों का समर्थन करने के लिए Google सार्वजनिक क्षेत्र बनाया था, ने अगस्त 2021 में पांच वर्षों में सार्वजनिक क्षेत्र की सुरक्षा के लिए $10 बिलियन की प्रतिबद्धता की घोषणा की थी।

सेंटर फॉर इंटरनेट सिक्योरिटी मल्टी-स्टेट और इलेक्शन इंफ्रास्ट्रक्चर इंफॉर्मेशन शेयरिंग एंड एनालिसिस सेंटर संचालित करता है, जो राज्य, स्थानीय, आदिवासी और क्षेत्रीय सरकारी संगठनों की तेजी से बदलती साइबर सुरक्षा जरूरतों का समर्थन करता है, जिसमें K-12 स्कूल और जैसे महत्वपूर्ण बुनियादी ढांचा उप-क्षेत्र शामिल हैं। चुनाव कार्यालयों।

जीना चैपमैन ने कहा, “सीआईएस और गूगल के बीच यह साझेदारी विशेष रूप से रोमांचक है क्योंकि यह साइबर सुरक्षा पर दो पावरहाउस दृष्टिकोणों को एक साथ ला रही है और उन्हें अमेरिकी राज्य, स्थानीय, आदिवासी और क्षेत्रीय सरकारी संगठनों के अत्यधिक लक्षित और ऐतिहासिक रूप से साइबर से वंचित समुदाय पर लागू कर रही है।” , सीआईएस में कार्यकारी उपाध्यक्ष, बिक्री और व्यापार सेवाएं, एक बयान में। “सार्वजनिक क्षेत्र की साइबर सुरक्षा की ज़रूरतें सर्वश्रेष्ठ-इन-क्लास, लागत प्रभावी समाधान की मांग करती हैं जिसमें कार्यान्वयन और परिचालन समर्थन शामिल है, और हम इस समुदाय का समर्थन करने के लिए एक साथ काम करने के लिए तत्पर हैं।”

कमजोरियों को जंगली से बाहर रखते हुए, एथिकल हैकर्स की रक्षा करना

Google साइबर सुरक्षा नीति और कानून केंद्र के तत्वावधान में इस महीने की शुरुआत में शुरू की गई पहलों के एक अलग सेट का एक संस्थापक सदस्य भी है:

• हैकिंग नीति परिषद, साइबर सुरक्षा नीति और कानून केंद्र (सीसीपीएल) का एक प्रभाग है जो एथिकल हैकिंग गतिविधियों जैसे कलम परीक्षण को प्रतिबंधित करने के उद्देश्य से कानून का सामना करेगा, और सरकारी एजेंसियों या जनता के लिए कमजोरियों के समय से पहले प्रकटीकरण की आवश्यकता है।
• सिक्योरिटी रिसर्च लीगल डिफेंस फंड उन व्यक्तियों के लिए कानूनी प्रतिनिधित्व को निधि देने में मदद करेगा जो सार्वजनिक हित के लिए साइबर सुरक्षा को आगे बढ़ाने वाले मामलों में अच्छे विश्वास सुरक्षा अनुसंधान और भेद्यता प्रकटीकरण के कारण कानूनी समस्याओं का सामना करते हैं।

वेनेबल एलएलपी के वकील हार्ले गीगर ने कहा कि दोनों संगठन डिजिटल मिलेनियम कॉपीराइट एक्ट की धारा 1201 को संबोधित करेंगे।

“इसे उच्च स्तर पर रखने के लिए, धारा 1201 में ऐसे उपकरण उपलब्ध कराने पर प्रतिबंध है जो सॉफ्टवेयर के लिए तकनीकी सुरक्षा उपायों को दरकिनार कर सकते हैं,” उन्होंने समझाया। “मूल रूप से, यदि आप सॉफ़्टवेयर सुरक्षा उपायों को प्राप्त करने के लिए उपकरण उपलब्ध करा रहे हैं, तो उस पर एक विरासत प्रतिबंध है, और यह काफी व्यापक रूप से लागू होता है, लेकिन अक्सर इसे लागू नहीं किया जाता है।”

गीजर ने कहा कि सुधार की आवश्यकता है क्योंकि सॉफ्टवेयर में भेद्यता खोजने के लिए कलम परीक्षक जिन उपकरणों का उपयोग करते हैं, वे अनिवार्य रूप से सॉफ्टवेयर सुरक्षा उपायों को दरकिनार करने के लिए डिज़ाइन किए गए हैं।

“यह नीति का सिर्फ एक पहलू है जिसे सुधारा जाना चाहिए जो कलम परीक्षण को प्रभावित करता है,” उन्होंने कहा।

कमजोरियों की रिहाई को अनिवार्य करने के प्रस्तावों को संबोधित करना

अन्य में कमजोरियों की पहचान के आसपास की आवश्यकताएं शामिल हैं, जो उन्होंने कहा कि कंपनियों के लिए एक उच्च जोखिम है, क्योंकि शून्य भरोसे के युग में, सरकारी संस्थाओं के लिए कमजोरियों को साझा करना कार्यात्मक रूप से इसे जंगल में साझा करने के समान है।

देख: एपीआई में भेद्यता एक बढ़ती हुई चिंता (TechRepublic)

उन्होंने कहा, “भेद्यताओं को निरंतर आधार पर खोजा जा रहा है, इसलिए निश्चित रूप से आप हमले की सतह को कम करना चाहते हैं,” लेकिन हर बार एक नई भेद्यता की खोज की जाने वाली उत्पादन प्रक्रिया को रोकना मुश्किल है।

जो, उन्होंने समझाया, यदि कमजोरियों का जल्द खुलासा किया गया तो यह आवश्यक होगा। विशिष्ट उदाहरण यूरोपीय संघ का प्रस्तावित साइबर लचीलापन अधिनियम है।

“अगर या जब यह पारित हो जाता है, तो ईयू साइबर सुरक्षा के लिए उतना ही प्रभावशाली होगा जितना कि जीडीपीआर गोपनीयता के लिए था,” उन्होंने कहा। “जिस तरह से इसे वर्तमान में तैयार किया गया है, उसके लिए सॉफ़्टवेयर के किसी भी निर्माता को ईयू सरकारी एजेंसी को भेद्यता का खुलासा करने के 24 घंटों के भीतर यह निर्धारित करने की आवश्यकता होगी कि प्राधिकरण के बिना भेद्यता का शोषण किया गया है। इसके साथ चिंता की बात यह है कि 24 घंटों के भीतर भेद्यता को पैच करने या उस बिंदु पर कम करने की संभावना नहीं है। तब आपके पास सॉफ्टवेयर पैकेजों की एक रोलिंग सूची हो सकती है, जिसमें संभावित रूप से दर्जनों यूरोपीय संघ की सरकारी एजेंसियों के साथ साझा की जाने वाली कमजोरियां हैं,” गीगर ने कहा।

दूसरे शब्दों में, उन्होंने समझाया, NISA इसे शामिल सदस्य राज्यों की कंप्यूटर सुरक्षा तत्परता टीमों के साथ-साथ निगरानी अधिकारियों के साथ साझा करेगा।

“यदि यह ईयू व्यापक सॉफ्टवेयर है, तो आप 50 से अधिक सरकारी एजेंसियों को देख रहे हैं जो संभावित रूप से शामिल हो सकते हैं। आने वाली रिपोर्टों की संख्या बहुत अधिक हो सकती है। यह खतरनाक है और उस जानकारी के विरोधियों के सामने आने या खुफिया उद्देश्यों के लिए उपयोग किए जाने के जोखिमों को प्रस्तुत करता है, ”उन्होंने कहा।

CCPL के अनुसार, हैकिंग नीति परिषद:

• भेद्यता प्रकटीकरण और प्रबंधन, बग बाउंटी, सुरक्षा के लिए स्वतंत्र मरम्मत, सद्भावपूर्ण सुरक्षा अनुसंधान और पेन परीक्षण के लिए अधिक अनुकूल कानूनी वातावरण बनाएं।
• सुरक्षा, व्यापार और नीति निर्माण समुदायों के बीच सहयोग बढ़ाएं।
• सुरक्षा अनुसंधान, कलम परीक्षण या भेद्यता प्रकटीकरण और प्रबंधन पर नए कानूनी प्रतिबंधों को रोकें।
• भेद्यता प्रकटीकरण नीतियों और सुरक्षा शोधकर्ता सगाई के प्रभावी अपनाने के माध्यम से संगठनों की लचीलापन को मजबूत करें।

परिषद के अन्य संस्थापक सदस्यों में बगक्राउड, हैकरवन, इंटेल, इंटिग्रिटी और लुटासिक्योरिटी शामिल हैं।

यह भी देखें:

साइबर सिक्योरिटी प्रो कैसे बनें: एक चीट शीट (TechRepublic)

10 सर्वश्रेष्ठ एंटीवायरस उत्पाद जिन्हें आपको अपने व्यवसाय के लिए विचार करना चाहिए (TechRepublic)

सुरक्षा विश्लेषक की भर्ती और किराया कैसे करें (TechRepublic Premium)

साइबर सुरक्षा और साइबर युद्ध: अधिक अवश्य पढ़ें कवरेज (फ्लिपबोर्ड पर)