साइबर सुरक्षा: "उन्होंने नहीं किया लेकिन आप कर सकते हैं!"
पॉल डकलिन और चेस्टर विस्निविस्की के साथ
इंट्रो और आउट्रो म्यूजिक by एडिथ मुडगे.
किसी भी बिंदु पर जाने के लिए नीचे ध्वनि तरंगों पर क्लिक करें और खींचें। आप भी कर सकते हैं सीधे सुनो साउंडक्लाउड पर।
आप हमें इस पर सुन सकते हैं Soundcloud, ऐप्पल पॉडकास्ट्स, Google पॉडकास्ट, Spotify, सीनेवाली मशीन और कहीं भी अच्छे पॉडकास्ट मिल जाते हैं। या बस छोड़ दें हमारे आरएसएस फ़ीड का यूआरएल अपने पसंदीदा पॉडकैचर में।
प्रतिलेख पढ़ें
बत्तख। सभी को नमस्कार।
नग्न सुरक्षा पॉडकास्ट के इस विशेष मिनी-एपिसोड में आपका स्वागत है।
मेरा नाम पॉल डकलिन है, और मैं आज अपने मित्र और सहयोगी चेस्टर विस्निव्स्की से जुड़ रहा हूं।
चेस्टर, मैंने सोचा कि हमें इस बारे में कुछ कहना चाहिए कि सप्ताह की बड़ी कहानी क्या बन गई है... यह शायद महीने की बड़ी कहानी होगी!
मैं अभी आपको पढ़ूंगा शीर्षक मैंने नग्न सुरक्षा पर प्रयोग किया:
"UBER को हैक कर लिया गया है, हैकर को समेटे हुए है - इसे आपके साथ कैसे रोका जाए।"
इसलिए!
इसके बारे में हमें सब बताएं…।
चेत. खैर, मैं पुष्टि कर सकता हूं कि कारें अभी भी चल रही हैं।
मैं वैंकूवर से आपके पास आ रहा हूं, मैं डाउनटाउन हूं, मैं खिड़की से बाहर देख रहा हूं, और वास्तव में खिड़की के बाहर एक उबेर बैठा है ...
बत्तख। यह सारा दिन नहीं रहा?
चेत. नहीं, ऐसा नहीं हुआ। [हंसते हैं]
यदि आप ऐप के अंदर किसी कार की जय-जयकार करने के लिए बटन दबाते हैं, तो निश्चिंत रहें: फिलहाल, ऐसा प्रतीत होता है कि आपके पास वास्तव में कोई आएगा और आपको सवारी देगा।
लेकिन यह जरूरी नहीं है कि अगर आप उबेर में एक कर्मचारी हैं, तो आप अगले कुछ दिनों के लिए कुछ भी करने जा रहे हैं, उनके सिस्टम पर प्रभाव को देखते हुए।
हम बहुत सारे विवरण नहीं जानते हैं, वास्तव में, डक, वास्तव में क्या हुआ था।
लेकिन, बहुत उच्च स्तर पर, आम सहमति यह प्रतीत होती है कि एक उबेर कर्मचारी की कुछ सोशल इंजीनियरिंग थी जिसने किसी को उबर के नेटवर्क के अंदर पैर जमाने की इजाजत दी थी।
और वे बाद में आगे बढ़ने में सक्षम थे, जैसा कि हम कहते हैं, या धुरी, एक बार जब वे अंदर आ गए तो कुछ प्रशासनिक प्रमाण-पत्र खोजने के लिए जो अंततः उन्हें उबेर साम्राज्य की चाबियां मिलीं।
बत्तख। तो यह एक पारंपरिक डेटा चोरी, या राष्ट्र राज्य, या रैंसमवेयर हमले की तरह नहीं दिखता है, है ना?
चेत. नहीं.
इसका मतलब यह नहीं है कि कोई अन्य व्यक्ति भी समान तकनीकों का उपयोग करके अपने नेटवर्क में नहीं रहा होगा - आप वास्तव में कभी नहीं जानते।
वास्तव में, जब हमारी रैपिड रिस्पांस टीम घटनाओं पर प्रतिक्रिया करती है, तो हम अक्सर पाते हैं कि एक नेटवर्क के अंदर एक से अधिक खतरे वाले अभिनेता हैं, क्योंकि उन्होंने पहुंच के समान तरीकों का फायदा उठाया है।
बत्तख। हां... हमारे पास दो रैंसमवेयर बदमाशों की कहानी भी थी, जो मूल रूप से एक-दूसरे से अनजान थे, जो एक ही समय में अंदर आ गए।
इसलिए, कुछ फाइलों को रैंसमवेयर-ए-तब-रैंसमवेयर-बी के साथ एन्क्रिप्ट किया गया था, और कुछ को रैंसमवेयर-बी-फॉलो-बाय-रैंसमवेयर-ए के साथ एन्क्रिप्ट किया गया था।
वह एक अपवित्र गड़बड़ थी ...
चेत. खैर, यह पुरानी खबर है, बतख। [हंसते हैं]
हमने तब से एक और प्रकाशित किया है जहाँ *तीन* अलग-अलग रैंसमवेयर एक ही नेटवर्क पर थे।
बत्तख। ओह प्रिय! [बड़ी हंसी] मैं इस पर हंसता रहता हूं, लेकिन यह गलत है। [हंसते हैं]
चेत. कई खतरे वाले अभिनेताओं का होना असामान्य नहीं है, क्योंकि, जैसा कि आप कहते हैं, यदि एक व्यक्ति आपके नेटवर्क की रक्षा के लिए आपके दृष्टिकोण में एक दोष खोजने में सक्षम है, तो यह सुझाव देने के लिए कुछ भी नहीं है कि अन्य लोगों ने उसी दोष की खोज नहीं की होगी।
लेकिन इस मामले में, मुझे लगता है कि आप सही हैं, अगर आप करेंगे तो यह "लुलज़ के लिए" प्रतीत होता है।
मेरा मतलब है, जिस व्यक्ति ने यह किया वह ज्यादातर ट्राफियां इकट्ठा कर रहा था क्योंकि वे नेटवर्क के माध्यम से बाउंस करते थे - इन सभी विभिन्न उपकरणों और उपयोगिताओं और कार्यक्रमों के स्क्रीनशॉट के रूप में जो उबेर के आसपास उपयोग में थे - और उन्हें सार्वजनिक रूप से पोस्ट करते हुए, मुझे लगता है कि सड़क के लिए साख
बत्तख। अब, किसी ऐसे व्यक्ति द्वारा किए गए हमले में, जो डींग मारने के अधिकार नहीं चाहता था, वह हमलावर एक IAB हो सकता था, एक प्रारंभिक एक्सेस ब्रोकर, है ना?
ऐसे में उन्होंने इसके बारे में कोई बड़ा शोर नहीं मचाया होता।
वे सभी पासवर्ड एकत्र कर लेते और फिर बाहर निकल जाते और कहते, "उन्हें कौन खरीदना चाहेगा?"
चेत. हाँ, यह सुपर-सुपर खतरनाक है!
जितना बुरा यह अभी उबेर लगता है, विशेष रूप से उबेर की पीआर या आंतरिक सुरक्षा टीमों में से कोई, यह वास्तव में सबसे अच्छा संभव परिणाम है ...
... जो कि इसका परिणाम शर्मनाक होने वाला है, शायद संवेदनशील कर्मचारी जानकारी खोने के लिए कुछ जुर्माना, उस तरह की बात।
लेकिन इस मामले की सच्चाई लगभग सभी के लिए है कि इस प्रकार के हमले का शिकार होते हैं, अंतिम परिणाम रैंसमवेयर या कई रैंसमवेयर होते हैं, जो क्रिप्टोमाइनर्स और अन्य प्रकार की डेटा चोरी के साथ संयुक्त होते हैं।
यह केवल शर्मिंदा होने की तुलना में संगठन के लिए कहीं अधिक महंगा है।
बत्तख। तो बदमाशों के अंदर आने और अपनी मर्जी से इधर-उधर भटकने और चुनने और चुनने में सक्षम होने का यह विचार है कि वे कहाँ जाते हैं ...
... दुख की बात है कि असामान्य नहीं है।
चेत. यह वास्तव में सक्रिय रूप से समस्याओं की तलाश करने के महत्व पर जोर देता है, अलर्ट की प्रतीक्षा करने के विपरीत।
स्पष्ट रूप से, यह व्यक्ति शुरू में किसी भी अलर्ट को ट्रिगर किए बिना उबेर सुरक्षा को भंग करने में सक्षम था, जिससे उन्हें घूमने का समय मिल गया।
इसलिए खतरे का शिकार, जैसा कि शब्दावली में कहा जाता है, इन दिनों बहुत महत्वपूर्ण है।
क्योंकि मिनट-शून्य या दिन-शून्य के करीब आप फ़ाइल शेयरों में इधर-उधर घूमने वाले लोगों की संदिग्ध गतिविधि का पता लगा सकते हैं और अचानक एक पंक्ति में सिस्टम के पूरे समूह में लॉग इन कर सकते हैं - उन प्रकार की गतिविधियां, या बहुत सारे आरडीपी कनेक्शन उड़ रहे हैं उन खातों से नेटवर्क के आसपास जो सामान्य रूप से उस गतिविधि से संबद्ध नहीं हैं…
...उन प्रकार की संदिग्ध चीजें आपको उस नुकसान की मात्रा को सीमित करने में मदद कर सकती हैं जो व्यक्ति को नुकसान पहुंचा सकता है, आपके द्वारा की गई किसी भी अन्य सुरक्षा गलतियों को उजागर करने के लिए उन्हें उस समय की मात्रा को सीमित करके जो उन्हें उन प्रशासनिक प्रमाण-पत्रों तक पहुंच प्राप्त करने की इजाजत देता है।
यह एक ऐसी चीज है जिससे बहुत सारी टीमें वास्तव में संघर्ष कर रही हैं: इन वैध साधनों का दुरुपयोग कैसे देखा जाए?
यह यहाँ एक वास्तविक चुनौती है।
क्योंकि, इस उदाहरण में, ऐसा लगता है कि उबेर कर्मचारी को किसी को आमंत्रित करने के लिए धोखा दिया गया था, जो अंत में उनके जैसा दिखता था।
अब आपके पास एक वैध कर्मचारी का खाता है, जिसने गलती से एक अपराधी को अपने कंप्यूटर में आमंत्रित किया है, जो ऐसे काम करने के लिए इधर-उधर भाग रहा है जिससे कर्मचारी आमतौर पर जुड़ा नहीं है।
ताकि वास्तव में आपकी निगरानी और खतरे के शिकार का हिस्सा होना चाहिए: यह जानना कि वास्तव में सामान्य क्या है, ताकि आप "असामान्य सामान्य" का पता लगा सकें।
क्योंकि वे अपने साथ दुर्भावनापूर्ण टूल नहीं लाए थे - वे पहले से मौजूद टूल का उपयोग कर रहे हैं।
हम जानते हैं कि उन्होंने पावरशेल स्क्रिप्ट को देखा, उस तरह की चीज - वह सामान जो आपके पास पहले से है।
क्या असामान्य है यह व्यक्ति उस पावरशेल के साथ इंटरैक्ट कर रहा है, या यह व्यक्ति उस आरडीपी के साथ इंटरैक्ट कर रहा है।
और वे चीजें हैं जिन पर ध्यान देना आपके डैशबोर्ड में केवल अलर्ट के पॉप अप होने की प्रतीक्षा करने से कहीं अधिक कठिन है।
बत्तख। तो, चेस्टर, उन कंपनियों के लिए आपकी क्या सलाह है जो खुद को उबेर की स्थिति में नहीं ढूंढना चाहती हैं?
हालाँकि इस हमले को बड़े पैमाने पर प्रचारित किया गया है, क्योंकि स्क्रीनशॉट जो प्रसारित हो रहे हैं, क्योंकि ऐसा लगता है, "वाह, बदमाश बिल्कुल हर जगह मिल गए" ...
…वास्तव में, यह कोई अनोखी कहानी नहीं है जहां तक डेटा उल्लंघनों की बात है।
चेत. आपने सलाह के बारे में पूछा, मैं किसी संगठन को क्या बताऊंगा?
और मुझे अपने एक अच्छे दोस्त के बारे में सोचना होगा जो लगभग दस साल पहले संयुक्त राज्य अमेरिका के एक प्रमुख विश्वविद्यालय का सीआईएसओ था।
मैंने उनसे पूछा कि उनकी सुरक्षा रणनीति क्या है और उन्होंने कहा: "यह बहुत सरल है। उल्लंघन की धारणा। ”
मुझे लगता है कि मेरा उल्लंघन हुआ है, और लोग मेरे नेटवर्क में हैं जो मैं अपने नेटवर्क में नहीं चाहता।
इसलिए मुझे सब कुछ इस धारणा के साथ बनाना है कि कोई पहले से ही यहाँ है जिसे नहीं होना चाहिए, और पूछना चाहिए, "क्या मेरे पास सुरक्षा है, भले ही घर के अंदर से कॉल आ रही हो?"
आज हमारे पास उसके लिए एक मूलमंत्र है: जीरो ट्रस्ट, जो हम में से अधिकांश पहले से ही कहने के लिए बीमार हैं। [हंसते हैं]
लेकिन वह दृष्टिकोण है: उल्लंघन की धारणा; शून्य विश्वास।
आपको केवल घूमने की स्वतंत्रता नहीं होनी चाहिए क्योंकि आप संगठन के एक कर्मचारी के रूप में एक भेस धारण करते हैं।
बत्तख। और यही वास्तव में जीरो ट्रस्ट की कुंजी है, है ना?
इसका मतलब यह नहीं है, "आपको कभी भी किसी पर कुछ भी करने के लिए भरोसा नहीं करना चाहिए।"
यह कहने के लिए एक रूपक है, "कुछ भी न मानें", और, "लोगों को हाथ में काम के लिए जितना करने की ज़रूरत है उससे अधिक करने के लिए अधिकृत न करें।"
चेत. ठीक।
इस धारणा पर कि आपके हमलावरों को इस तथ्य को उजागर करने से उतना आनंद नहीं मिलता है कि आपको हैक किया गया था जैसा कि इस मामले में हुआ था ...
... आप शायद यह सुनिश्चित करना चाहते हैं कि आपके पास स्टाफ सदस्यों के लिए विसंगतियों की रिपोर्ट करने का एक अच्छा तरीका है जब कुछ सही नहीं लगता है, यह सुनिश्चित करने के लिए कि वे आपकी सुरक्षा टीम को सचेत कर सकते हैं।
क्योंकि डेटा ब्रीच के बारे में बात करने से हमारा सक्रिय विरोधी प्लेबुक, अपराधी अक्सर कम से कम दस दिनों तक आपके नेटवर्क पर होते हैं:
तो आपके पास एक ठोस सप्ताह-से-दस दिन है, आम तौर पर, जहां अगर आपके पास कुछ ईगल आंखें हैं जो चीजों को खोज रही हैं, तो आपको सबसे खराब होने से पहले इसे बंद करने का एक अच्छा मौका मिला है।
बत्तख। वास्तव में, क्योंकि यदि आप सोचते हैं कि एक सामान्य फ़िशिंग हमला कैसे काम करता है, तो यह बहुत कम होता है कि पहले प्रयास में बदमाश सफल होंगे।
और अगर वे पहले प्रयास में सफल नहीं होते हैं, तो वे सिर्फ अपना बैग पैक नहीं करते हैं और भटक जाते हैं।
वे अगले व्यक्ति, और अगले व्यक्ति और अगले व्यक्ति की कोशिश करते हैं।
अगर वे 50वें व्यक्ति पर हमले की कोशिश करने पर ही सफल होने जा रहे हैं, तो अगर पिछले 49 में से किसी ने भी इसे देखा और कुछ कहा, तो आप हस्तक्षेप कर सकते थे और समस्या को ठीक कर सकते थे।
चेत. बिल्कुल - यह महत्वपूर्ण है!
और आपने लोगों को धोखा देकर 2FA टोकन देने की बात की।
यह यहाँ एक महत्वपूर्ण बिंदु है - उबेर में बहु-कारक प्रमाणीकरण था, लेकिन ऐसा लगता है कि व्यक्ति इसे बायपास करने के लिए आश्वस्त हो गया है।
और हम नहीं जानते कि वह पद्धति क्या थी, लेकिन दुर्भाग्य से, अधिकांश बहु-कारक पद्धति में बायपास करने की क्षमता होती है।
हम सभी समय-आधारित टोकन से परिचित हैं, जहां आपको स्क्रीन पर छह अंक मिलते हैं और आपको प्रमाणित करने के लिए उन छह अंकों को ऐप में डालने के लिए कहा जाता है।
बेशक, गलत व्यक्ति को छह अंक देने से आपको कोई रोक नहीं सकता है ताकि वे प्रमाणित कर सकें।
तो, टू फैक्टर ऑथेंटिकेशन एक सर्व-उद्देश्यीय दवा नहीं है जो सभी बीमारियों को ठीक करती है।
यह केवल एक गति टक्कर है जो अधिक सुरक्षित बनने की राह पर एक और कदम है।
बत्तख। एक अच्छी तरह से निर्धारित बदमाश जिसके पास समय है और कोशिश करते रहने का धैर्य अंततः अंदर आ सकता है।
और जैसा कि आप कहते हैं, आपका लक्ष्य उस समय को कम से कम करना है जो उन्हें इस तथ्य पर अधिकतम लाभ प्राप्त करना है कि उन्हें पहले स्थान पर मिला है ...
चेत. और उस निगरानी को हर समय होने की जरूरत है।
उबेर जैसी कंपनियां चीजों की निगरानी के लिए अपने स्वयं के 24/7 सुरक्षा संचालन केंद्र के लिए काफी बड़ी हैं, हालांकि हम पूरी तरह से सुनिश्चित नहीं हैं कि यहां क्या हुआ, और यह व्यक्ति कितने समय से था, और उन्हें क्यों नहीं रोका गया
लेकिन अधिकांश संगठन जरूरी नहीं कि इन-हाउस ऐसा करने में सक्षम हों।
बाहरी संसाधनों का उपलब्ध होना अति-आसान है जो इस दुर्भावनापूर्ण व्यवहार के लिए - *निरंतर* मॉनिटर - निगरानी कर सकते हैं, जिससे दुर्भावनापूर्ण गतिविधि होने वाले समय को और भी कम कर दिया जा सकता है।
उन लोगों के लिए जिनके पास नियमित आईटी जिम्मेदारियां और अन्य काम हो सकते हैं, इन वैध उपकरणों का उपयोग करना काफी कठिन हो सकता है, और उनमें से एक विशेष पैटर्न को दुर्भावनापूर्ण चीज़ के रूप में उपयोग किया जा रहा है ...
बत्तख। आप जिस मूल शब्द के बारे में बात कर रहे हैं, उसे हम एमडीआर के रूप में जानते हैं, जिसका संक्षिप्त रूप है प्रबंधित जांच और प्रतिक्रिया, जहां आपको विशेषज्ञों का एक समूह मिलता है जो या तो यह आपके लिए करते हैं या आपकी मदद करने के लिए।
और मुझे लगता है कि वहाँ अभी भी बहुत सारे लोग हैं जो कल्पना करते हैं, "अगर मुझे ऐसा करते देखा गया, तो क्या ऐसा नहीं लगता कि मैंने अपनी ज़िम्मेदारी को समाप्त कर दिया है? क्या यह स्वीकार नहीं है कि मैं बिल्कुल नहीं जानता कि मैं क्या कर रहा हूँ?"
और यह नहीं है, है ना?
वास्तव में, आप तर्क दे सकते हैं कि यह वास्तव में चीजों को अधिक नियंत्रित तरीके से कर रहा है, क्योंकि आप अपने नेटवर्क की देखभाल करने में मदद करने के लिए लोगों को चुन रहे हैं *जो ऐसा करते हैं और केवल वही* जीने के लिए।
और इसका मतलब यह है कि आपकी नियमित आईटी टीम, और यहां तक कि आपकी अपनी सुरक्षा टीम… किसी आपात स्थिति में, वे वास्तव में अन्य सभी काम कर सकते हैं, जो वैसे भी करने की जरूरत है, भले ही आप पर हमला हो।
चेत. पूर्ण रूप से।
मुझे लगता है कि मेरे पास आखिरी विचार यह है …
उबेर जैसे ब्रांड को हैक होने का अर्थ यह न समझें कि आपके लिए अपना बचाव करना असंभव है।
इस विशेष हैक में शामिल व्यक्ति जैसे लोगों के लिए बड़ी कंपनी के नाम लगभग बड़ी ट्रॉफी शिकार हैं।
और सिर्फ इसलिए कि एक बड़ी कंपनी के पास शायद सुरक्षा नहीं थी, इसका मतलब यह नहीं है कि आप नहीं कर सकते!
पिछले कुछ बड़े हैक्स, जैसे टारगेट, और सोनी, और इनमें से कुछ हैक जो दस साल पहले खबरों में थे, के बाद मैंने जिन संगठनों से बात की, उनमें से कई में हारने वाली बकवास थी।
और लोग इस तरह थे, "आरघ ... अगर लक्ष्य के सभी संसाधनों के साथ वे अपना बचाव नहीं कर सकते, तो मेरे लिए क्या आशा है?"
और मुझे नहीं लगता कि यह बिल्कुल सच है।
इनमें से अधिकांश मामलों में, उन्हें इसलिए निशाना बनाया गया क्योंकि वे बहुत बड़े संगठन थे, और उनके दृष्टिकोण में एक बहुत छोटा छेद था जिससे कोई व्यक्ति अंदर जा सकता था।
इसका मतलब यह नहीं है कि आपके पास अपना बचाव करने का मौका नहीं है।
यह सोशल इंजीनियरिंग थी, जिसके बाद पावरशेल फाइलों में पासवर्ड स्टोर करने की कुछ संदिग्ध प्रथाएं थीं।
ये ऐसी चीज़ें हैं जिन पर आप बहुत आसानी से नज़र रख सकते हैं और अपने कर्मचारियों को शिक्षित कर सकते हैं, ताकि यह सुनिश्चित हो सके कि आप वही गलतियाँ नहीं कर रहे हैं।
सिर्फ इसलिए कि उबेर नहीं कर सकता इसका मतलब यह नहीं है कि आप नहीं कर सकते!
बत्तख। वास्तव में - मुझे लगता है कि यह बहुत अच्छी तरह से रखा गया है, चेस्टर।
क्या आपको बुरा लगता है अगर मैं अपने पारंपरिक क्लिच में से एक के साथ समाप्त करता हूं?
(क्लिच के बारे में बात यह है कि वे आम तौर पर सच्चे और उपयोगी होने के कारण क्लिच बन जाते हैं।)
इस तरह की घटनाओं के बाद: "जो लोग इतिहास को याद नहीं रख सकते, उन्हें इसे दोहराने की निंदा की जाती है - वह व्यक्ति मत बनो!"
चेस्टर, अपने व्यस्त कार्यक्रम में से समय निकालने के लिए आपका बहुत-बहुत धन्यवाद, क्योंकि मुझे पता है कि आज रात आपको वास्तव में एक ऑनलाइन बात करनी है।
तो, इसके लिए आपका बहुत-बहुत धन्यवाद।
और आइए हम अपने प्रथागत तरीके से यह कहकर समाप्त करें, "अगली बार तक, सुरक्षित रहें।"
[संगीत मोडेम]
- blockchain
- कॉइनजीनियस
- क्रिप्टोकुरेंसी वॉलेट्स
- क्रिप्टोकरंसीज
- साइबर सुरक्षा
- साइबर अपराधी
- साइबर सुरक्षा
- डेटा हानि
- घर की भूमि सुरक्षा का विभाग
- डिजिटल पर्स
- फ़ायरवॉल
- Kaspersky
- मैलवेयर
- McAfee
- नग्न सुरक्षा
- नेक्सब्लॉक
- प्लेटो
- प्लेटो एआई
- प्लेटो डेटा इंटेलिजेंस
- प्लेटो गेम
- प्लेटोडाटा
- प्लेटोगेमिंग
- पॉडकास्ट
- सुरक्षा नेतृत्व
- वीपीएन
- वेबसाइट सुरक्षा
- जेफिरनेट
