مائیکروسافٹ، کلاؤڈ فراہم کرنے والے بنیادی توثیق پر پابندی لگاتے ہیں۔

ٹائم سٹیمپ: 9 ستمبر 2022 صبح 10:29 بجے
ماخذ نوڈ: 1690559

مائیکروسافٹ اور بڑے کلاؤڈ فراہم کنندگان اپنے کاروباری صارفین کو تصدیق کی زیادہ محفوظ شکلوں اور بنیادی حفاظتی کمزوریوں کے خاتمے کی طرف لے جانے کے لیے اقدامات کرنا شروع کر رہے ہیں — جیسے کہ کلاؤڈ سروسز تک رسائی کے لیے غیر انکرپٹڈ چینلز پر صارف نام اور پاس ورڈ استعمال کرنا۔

مائیکروسافٹ، مثال کے طور پر، 1 اکتوبر سے اپنی ایکسچینج آن لائن سروس کے لیے بنیادی توثیق کے استعمال کی اہلیت کو ہٹا دے گا، جس کے لیے اس کے صارفین کو ٹوکن پر مبنی توثیق کا استعمال کرنے کی ضرورت ہوگی۔ اس دوران گوگل نے اپنے دو قدمی توثیق کے عمل میں 150 ملین لوگوں کو خود بخود اندراج کیا ہے، اور آن لائن کلاؤڈ فراہم کنندہ Rackspace سال کے آخر تک کلیئر ٹیکسٹ ای میل پروٹوکول کو بند کرنے کا ارادہ رکھتا ہے۔

ڈیڈ لائن کمپنیوں کے لیے ایک انتباہ ہے کہ کلاؤڈ سروسز تک ان کی رسائی کو محفوظ بنانے کی کوششوں کو مزید روکا نہیں جا سکتا، میلویئر بائٹس کے میلویئر انٹیلی جنس محقق پیٹر آرنٹز کا کہنا ہے کہ ایک حالیہ بلاگ پوسٹ لکھی۔ مائیکروسافٹ ایکسچینج آن لائن صارفین کے لیے آنے والی آخری تاریخ کو اجاگر کرنا۔

"میرے خیال میں توازن اس مقام پر منتقل ہو رہا ہے جہاں وہ محسوس کرتے ہیں کہ وہ صارفین کو اس بات پر قائل کر سکتے ہیں کہ اضافی سیکیورٹی ان کے بہترین مفاد میں ہے، جبکہ ایسے حل پیش کرنے کی کوشش کر رہے ہیں جو اب بھی استعمال میں نسبتاً آسان ہیں،" وہ کہتے ہیں۔ "مائیکروسافٹ اکثر ایک رجحان ساز ہوتا ہے اور اس نے ان منصوبوں کا برسوں پہلے اعلان کیا تھا، لیکن آپ پھر بھی تنظیموں کو مناسب اقدامات کرنے کے لیے لڑتے ہوئے اور جدوجہد کرتے ہوئے پائیں گے۔"

شناخت سے متعلقہ خلاف ورزیاں عروج پر ہیں۔

جب کہ کچھ سیکورٹی کے بارے میں شعور رکھنے والی کمپنیوں نے کلاؤڈ سروسز تک رسائی کو محفوظ بنانے کے لیے پہل کی ہے، دوسروں کو آگے بڑھانا ہوگا - جو کہ کلاؤڈ فراہم کرنے والے، جیسے مائیکروسافٹ, تیزی سے کرنے کو تیار ہیں، خاص طور پر جب کمپنیاں شناخت سے متعلق مزید خلاف ورزیوں کے ساتھ جدوجہد کر رہی ہیں۔ 2022 میں، 84 فیصد کمپنیوں کو شناخت سے متعلق خلاف ورزی کا سامنا کرنا پڑا، جو پچھلے دو سالوں میں 79 فیصد سے زیادہ ہے۔ آئیڈینٹی ڈیفائنڈ سیکیورٹی الائنسکی "2022 کے رجحانات ڈیجیٹل شناخت کو محفوظ بنانے میں" رپورٹ۔

توثیق کی بنیادی شکلوں کو بند کرنا حملہ آوروں کو روکنے کا ایک آسان طریقہ ہے، جو متاثرین سے سمجھوتہ کرنے کے پہلے قدم کے طور پر کریڈینشل اسٹفنگ اور دیگر بڑے پیمانے پر رسائی کی کوششوں کو تیزی سے استعمال کر رہے ہیں۔ کمزور تصدیق والی کمپنیاں خود کو وحشیانہ حملوں، دوبارہ استعمال شدہ پاس ورڈز کے غلط استعمال، فشنگ کے ذریعے چوری ہونے والی اسناد اور ہائی جیک سیشنز کے لیے کھلا چھوڑ دیتی ہیں۔

اور ایک بار جب حملہ آوروں کو کارپوریٹ ای میل سروسز تک رسائی حاصل ہو جاتی ہے، تو وہ حساس معلومات کو نکال سکتے ہیں یا نقصان دہ حملے کر سکتے ہیں، جیسے کہ بزنس ای میل کمپرومائز (بی ای سی) اور رینسم ویئر حملے، ایگل گوفمین کہتے ہیں، ایرمیٹک کے ریسرچ کے سربراہ، جو کلاؤڈ کے لیے شناختی تحفظ فراہم کرنے والے ہیں۔ خدمات

"کمزور تصدیقی پروٹوکولز کا استعمال، خاص طور پر کلاؤڈ میں، بہت خطرناک ہو سکتا ہے اور بڑے ڈیٹا لیک ہونے کا باعث بن سکتا ہے،" وہ کہتے ہیں۔ "قومی ریاستیں اور سائبر کرائمین کلاؤڈ سروسز کے خلاف مختلف قسم کے وحشیانہ حملوں کو انجام دے کر کمزور تصدیقی پروٹوکول کا مسلسل غلط استعمال کر رہے ہیں۔"

تصدیق کی حفاظت کو کم کرنے کے فوائد فوری طور پر حاصل کر سکتے ہیں۔ گوگل کو پتہ چلا ہے کہ اس کے دو قدمی تصدیقی عمل میں لوگوں کو خود بخود اندراج کیا جا رہا ہے۔ اکاؤنٹ کے سمجھوتوں میں 50% کمی کے نتیجے میں. آئی ڈی ایس اے کی "43 کے ٹرینڈز ان سیکیورنگ ڈیجیٹل آئیڈینٹیٹیز" رپورٹ کے مطابق، کمپنیوں کا ایک اہم حصہ جنھیں خلاف ورزی کا سامنا کرنا پڑا (2022%) کا خیال ہے کہ ملٹی فیکٹر توثیق ہونے سے حملہ آوروں کو روکا جا سکتا تھا۔

زیرو ٹرسٹ آرکیٹیکچرز کی طرف کنارہ

اس کے علاوہ، بادل اور صفر اعتماد کے اقدامات ڈارک ریڈنگ کو ایک ای میل میں IDSA کے ٹیکنیکل ورکنگ گروپ کے مطابق، ان اقدامات کے حصے کے طور پر شناخت کی حفاظت میں سرمایہ کاری کرنے والی نصف سے زیادہ کمپنیوں کے ساتھ، زیادہ محفوظ شناختوں کے حصول کو آگے بڑھایا ہے۔

بہت سی کمپنیوں کے لیے، سادہ توثیق کے طریقہ کار سے ہٹنا جو کہ محض صارف کی اسناد پر انحصار کرتے ہیں، رینسم ویئر اور دیگر خطرات کی وجہ سے حوصلہ افزائی کی گئی ہے، جس کی وجہ سے کمپنیاں اپنے حملے کی سطح کو کم سے کم کرنے اور دفاع کو سخت کرنے پر غور کر رہی ہیں جہاں وہ کر سکتے ہیں، IDSA کی تکنیکی ورکنگ گروپ نے لکھا۔

"چونکہ کمپنیوں کی اکثریت اپنے زیرو ٹرسٹ اقدامات کو تیز کرتی ہے، وہ جہاں ممکن ہو، مضبوط توثیق کو بھی نافذ کر رہی ہیں - حالانکہ، یہ حیرت کی بات ہے کہ اب بھی کچھ کمپنیاں بنیادی باتوں کے ساتھ جدوجہد کر رہی ہیں، یا [وہ] ابھی تک صفر اعتماد کو قبول نہیں کر پائے ہیں، انہیں بے نقاب چھوڑ کر،" وہاں کے محققین نے لکھا۔

محفوظ شناخت کی راہ میں رکاوٹیں باقی ہیں۔

ہر بڑا کلاؤڈ فراہم کنندہ محفوظ چینلز پر اور محفوظ ٹوکنز، جیسے OAuth 2.0 کا استعمال کرتے ہوئے ملٹی فیکٹر تصدیق پیش کرتا ہے۔ اگرچہ فیچر کو آن کرنا آسان ہو سکتا ہے، لیکن محفوظ رسائی کا انتظام IT ڈیپارٹمنٹ کے لیے کام میں اضافے کا باعث بن سکتا ہے - جس کے لیے کاروبار کو تیار رہنے کی ضرورت ہے، Malwarebytes' Arntz کا کہنا ہے۔

وہ کہتے ہیں کہ کمپنیاں "بعض اوقات اس بات کا انتظام کرنے میں ناکام ہو جاتی ہیں کہ کس کے پاس سروس تک رسائی ہے اور انہیں کن اجازتوں کی ضرورت ہے۔" "یہ آئی ٹی کے عملے کے لیے کام کی اضافی رقم ہے جو تصدیق کی اعلی سطح کے ساتھ آتی ہے - یہی رکاوٹ ہے۔"

IDSA کے تکنیکی ورکنگ گروپ کے محققین نے وضاحت کی کہ میراثی بنیادی ڈھانچہ بھی ایک رکاوٹ ہے۔  

"جب کہ مائیکروسافٹ کچھ عرصے سے اپنے تصدیقی پروٹوکول کو آگے بڑھانے کے عمل میں ہے، لیکن میراثی ایپس، پروٹوکولز اور آلات کے لیے نقل مکانی اور پسماندہ مطابقت کے چیلنج نے ان کو اپنانے میں تاخیر کی ہے،" انہوں نے نوٹ کیا۔ "یہ اچھی خبر ہے کہ بنیادی تصنیف کا اختتام نظر میں ہے۔"

صارفین پر مرکوز خدمات بھی توثیق کے لیے زیادہ محفوظ طریقے اپنانے میں سست ہیں۔ جب کہ گوگل کے اس اقدام سے بہت سے صارفین کے لیے سیکیورٹی میں بہتری آئی ہے، اور ایپل نے اپنے 95 فیصد سے زیادہ صارفین کے لیے دو عنصری تصدیق کو فعال کر دیا ہے، زیادہ تر صارفین صرف چند خدمات کے لیے ملٹی فیکٹر توثیق کا استعمال کرتے رہتے ہیں۔

IDSA کی رپورٹ کے مطابق، اگرچہ تقریباً دو تہائی کمپنیوں (64%) نے 2022 میں اپنی پہلی تین ترجیحات میں سے ایک کے طور پر ڈیجیٹل شناخت کو محفوظ بنانے کے اقدامات کی نشاندہی کی ہے، صرف 12% تنظیموں نے اپنے صارفین کے لیے ملٹی فیکٹر تصدیق کو لاگو کیا ہے۔ تاہم، فرمیں یہ اختیار فراہم کرنے کی کوشش کر رہی ہیں، 29% صارفین پر مرکوز کلاؤڈ فراہم کنندگان فی الحال بہتر تصدیق کو نافذ کر رہے ہیں اور 21% مستقبل کے لیے اس پر منصوبہ بندی کر رہے ہیں۔

ٹائم اسٹیمپ:

سے زیادہ گہرا پڑھنا