S3 Ep110: سائبر تھریٹس پر اسپاٹ لائٹ – ایک ماہر بولتا ہے [آڈیو + ٹیکسٹ]

کسی بھی مقام پر جانے کے لیے نیچے دی گئی ساؤنڈ ویوز پر کلک کریں اور ڈریگ کریں۔ آپ بھی براہ راست سنیں ساؤنڈ کلاؤڈ پر۔

[میوزیکل موڈیم]

بطخ.  ہیلو، سب کو - نیکیڈ سیکیورٹی پوڈ کاسٹ میں خوش آمدید۔

جیسا کہ آپ سن سکتے ہیں، میں بتھ ہوں، ڈوگ نہیں۔

ڈوگ چھٹیوں پر ہے… میں "بلیک فرائیڈے" کہنے جا رہا تھا، لیکن تکنیکی طور پر، دراصل، یو ایس تھینکس گیونگ کے لیے۔

میرے ساتھ میرے ٹورنٹو کے دوست اور ساتھی جان شیر نے شمولیت اختیار کی ہے، اور ایسا ہی ہوتا ہے کہ وقت بالکل درست ہے کیونکہ ہم نے ابھی شائع کیا سوفوس 2023 دھمکی کی رپورٹ:

جان، آپ نے اسے دنیا میں جانے کے مقصد سے پڑھا ہے (مجھے یقین ہے کہ اس وقت آپ روم میں ہیں) لوگوں سے اس بارے میں بات کرنے کے لیے کہ ہمیں کیا کرنا چاہیے، کیا کرنا چاہیے، اور بہت سے طریقوں سے یہ کرنے کی *ضرورت* ہے۔ سائبرسیکیوریٹی کے دن۔

تو… ہمیں بتائیں کہ دھمکی کی رپورٹ میں کیا کہا گیا ہے!

---

جان.  ہیلو، بطخ… شکریہ۔

جی ہاں، پورے یورپ کا سفر کرتے ہوئے کافی ہفتہ گزرا ہے، ہمارے بہت سے شراکت داروں اور گاہکوں کو، اور دنیا بھر سے ہمارے ساتھیوں کو دیکھنے کو ملا، اور ان سے اس سال کی دھمکی کی رپورٹ اور کچھ چیزوں کے بارے میں بات کی۔ جو ہمیں مل گیا ہے۔

اس سال کی دھمکی کی رپورٹ واقعی دلچسپ ہے کیونکہ اس میں، شاید، ہمارے پچھلے سالوں کے مقابلے میں کچھ زیادہ تکنیکی گہرائی ہے۔

اس میں بہت ساری معلومات بھی ہیں جو میرے خیال میں واقعی قابل عمل ہے۔

اس میں سے، ہم بنیادی طور پر مڑ سکتے ہیں اور جا سکتے ہیں، "ٹھیک ہے، اس کی بنیاد پر، ہم اپنی حفاظت کے لیے کیا کرتے ہیں؟"

---

بطخ.  تو یہ وہی ہے جسے آپ کا دوست اور میرا چیسٹر "News you can use" کہنا پسند کرتا ہے؟

---

جان.  بالکل… "خبریں جو آپ استعمال کر سکتے ہیں"!

وہ معلومات جو قابل عمل ہوتی ہے، میری رائے میں... خاص طور پر سائبر سیکیورٹی کے تناظر میں، ہمیشہ زیادہ قیمتی ہوتی ہے۔

کیونکہ میں آپ کو ان تمام بری چیزوں کے بارے میں بتا سکتا ہوں جو وہاں ہو رہی ہیں، اور اگر وہ نظریاتی ہیں، تو کیا؟

اس کے علاوہ، اگر میں آپ کو ایسی چیزیں بتا رہا ہوں جو آپ پر لاگو نہیں ہوتی ہیں، تو آپ کے لیے کچھ بھی نہیں ہے۔

لیکن جیسے ہی میں آپ کو معلومات کا ایک ٹکڑا دیتا ہوں جہاں صرف اس معلومات پر عمل کرنا آپ کو زیادہ محفوظ بناتا ہے، تب مجھے لگتا ہے کہ ہم سب مل کر جیتیں گے*، کیونکہ اب سائبر کرائمین کے لیے آپ پر حملہ کرنے کا ایک کم راستہ ہے… اور یہ ہم سب کو بناتا ہے۔ اجتماعی طور پر زیادہ محفوظ۔

---

بطخ.  بالکل.

سائبرسیکیوریٹی میں اس کا ایک عنصر ہے جسے آپ "خود خدمت پرستی" کہہ سکتے ہیں، ہے نا؟

یہ واقعی اہمیت رکھتا ہے کہ آپ باقی سب کی حفاظت کے لحاظ سے محفوظ ہیں یا نہیں... *اور* یہ آپ اپنے لیے کرتے ہیں۔

کیونکہ اگر آپ تحقیقات نہیں کرتے ہیں، اگر آپ صحیح کام کرنے کی پوری کوشش نہیں کرتے ہیں، تو بدمعاش آپ کی تحقیقات کریں گے۔

اور ان دنوں، بہت امکان ہے کہ وہ راستہ تلاش کریں۔

---

جان.  وہ کریں گے، اور وہ کرتے ہیں!

حقیقت یہ ہے کہ ہم نے طویل عرصے سے کہا ہے کہ *ہر کوئی* ایک ہدف ہے، *ہر کوئی* ممکنہ شکار ہے۔

اور جب کسی نیٹ ورک کی خلاف ورزی کی بات آتی ہے، تو ان چیزوں میں سے ایک جو آپ سائبر کرائمین کے طور پر کریں گے نہ صرف یہ معلوم کرنا ہے کہ آپ کس قسم کی کمپنی میں ہیں، آپ کس قسم کے نیٹ ورک میں ہیں، جہاں تمام قیمتی اثاثے ہیں…

…لیکن یہ بھی کہ آپ کو اور کس چیز تک رسائی حاصل ہے، کون سے دوسرے ممکنہ کنکشنز موجود ہیں، متاثرہ شخص اور دیگر ممکنہ متاثرین کے درمیان کون سے B2B [کاروبار سے کاروبار] رابطے موجود ہیں۔

دن کے اختتام پر، یہ ایک منیٹائزیشن گیم ہے، اور اگر میں ایک کی قیمت پر دو شکار حاصل کر سکتا ہوں، تو میں جیت جاتا ہوں۔

ان میں سے بہت سے زیادہ ہنر مند حملہ آوروں کا ان نیٹ ورکس میں کافی گہرا دخل ہے۔

میرا مطلب ہے، ان میں سے اکثر ایکٹو ڈائریکٹری سرورز پر ڈومین ایڈمن کے طور پر ختم ہوتے ہیں۔

وہ بہت ساری معلومات اکٹھا کر سکتے ہیں جو سڑک کے نیچے دوسرے جرائم کے لیے استعمال کی جا سکتی ہیں…

---

بطخ.  لیکن یہ صرف گہرائی کے بارے میں نہیں ہے، یہ چوڑائی کے بارے میں بھی ہے، ہے نا؟

اگر آپ ransomware حملے کا شکار ہیں جہاں آپ کے تمام کمپیوٹرز بشمول آپ کے سرورز پر، آپ کے پورے نیٹ ورک پر موجود تمام مفید ڈیٹا فائلز کو انکرپٹ کیا گیا ہے…

…اس کا مطلب ہے کہ بدمعاشوں کے پاس پہلے ہی ان تمام فائلوں کو پڑھنے اور لکھنے کی رسائی تھی۔

اس لیے وہ سب سے پہلے ان تمام فائلوں کو چوری کر سکتے تھے، اور شاید کر سکتے تھے۔

---

جان.  آپ ٹھیک کہتے ہیں - رینسم ویئر حملے کا آخری مرحلہ ہے۔

یہ حملے کا وہ مقام ہے جہاں وہ *چاہتے ہیں* کہ آپ کو معلوم ہو کہ وہ وہاں تھے۔

وہ آپ کے ڈیسک ٹاپس، اور آپ کے سرورز پر، اور جہاں کہیں بھی وہ انکرپٹ کرنے کا فیصلہ کریں گے، بھڑکتی ہوئی کھوپڑیوں کو رکھ دیں گے، کیونکہ انہیں آپ کو یہ جاننے کی ضرورت ہے کہ کچھ برا ہوا ہے… اور انہیں آپ کو یہ بتانے کی ضرورت ہے کہ آپ ادائیگی کیسے کر سکتے ہیں۔

لیکن حقیقت یہ ہے کہ ransomware، جیسا کہ میں نے کہا، آخری مرحلہ ہے۔

اس آخری مرحلے کے ہونے سے پہلے بہت ساری چیزیں غلط ہو چکی ہیں۔

---

بطخ.  تو جان، مجھے آپ سے جلدی پوچھنے دو…

رینسم ویئر کے حملے کی صورت میں، کیا یہ کہنا درست ہے کہ یہ اس قاعدے کی بجائے مستثنیٰ ہے کہ بدمعاش [بہت تیزی سے بولتے ہوئے] آئیں گے اور فائلوں کو گھسیٹیں گے/پیسے مانگیں گے/اور بس… منٹوں یا گھنٹوں میں ?

یہ عام طور پر ایسا نہیں ہوتا ہے کہ یہ کیسے کام کرتا ہے، ہے نا؟

---

جان.  دایاں!

میں فعال مخالف رپورٹ اس سال کے شروع سے، ہم نے شناخت کیا (یہ 2021 کے سال کے لیے سوفوس کے ریپڈ رسپانس گروپ کی جانب سے واقعے کے ردعمل کی تمام تحقیقات کا مطالعہ ہے)…

ہم نے شناخت کیا کہ درمیانی رہائش کا وقت (یہ وہ وقت ہے جب حملہ آوروں نے پہلے نیٹ ورک کی خلاف ورزی کی اور پھر رینسم ویئر لانچ کیا، یا آخر میں کسی قسم کا مقصد جہاں حملے کا پتہ چلا… اسے رینسم ویئر ہونا ضروری نہیں ہے، یہ ہو سکتا ہے یہ ہو کہ ہم نے ایک کرپٹومائنر کا پتہ لگایا اور پھر ہم نے تحقیقات کی) 15 دن تھے:

اپنے دشمن کو جانیے! جانیں کہ سائبر کرائم کے مخالف کیسے آتے ہیں…

اب، یہ تمام حملوں کا میڈین ہے۔ نان رینسم ویئر طرز کے حملوں کے لیے، یہ 34 دن کا تھا، اور خاص طور پر رینسم ویئر کے لیے، یہ گیارہ دن کا تھا، اس لیے وہ مجموعی میڈین کے مقابلے میں تھوڑی جلدی حرکت کرتے ہیں۔

تو، وہاں بہت وقت ہے.

اور جب میں نے باہر جانے والوں میں سے کچھ کو دیکھا، تو ان میں سے ایک متاثرین کے نیٹ ورک میں 496 دنوں تک کوئی نہ کوئی تھا، اور یہ ممکنہ طور پر ابتدائی رسائی بروکر، یا IAB، کی سرگرمی کی وجہ سے ہے۔

آپ کے پاس کوئی ایسا شخص ہے جو کمزوری کے ذریعے آیا، ایک ویب شیل لگایا، تھوڑی دیر اس پر بیٹھا، اور پھر آخرکار وہ یا تو دوبارہ فروخت ہو گیا…

…یا آزادانہ طور پر، ایک اور سائبر کرائمین نے بھی یہی خطرہ پایا کیونکہ اس پر توجہ نہیں دی گئی تھی، اور وہ سامنے والے دروازے سے گزر کر اپنی سرگرمیاں کرنے کے قابل تھا۔

بہت کچھ ہے جو آگے بڑھ سکتا ہے، اس لیے دفاعی ٹیموں کے لیے بہت سارے مواقع موجود ہیں کہ وہ نیٹ ورک پر ہونے والی سرگرمی کا پتہ لگا سکیں جو کہ بے قاعدہ ہے - ایسی سرگرمی جو سڑک پر ممکنہ طور پر کسی بڑے مسئلے کا اشارہ ہے، جیسے کہ رینسم ویئر۔

---

بطخ.  جان، یہ مجھے یاد دلاتا ہے کہ مجھے آپ سے دھمکی کی رپورٹ میں کسی ایسی چیز کے بارے میں پوچھنے کی ضرورت ہے جسے ہم نے شاید خوش مزاجی سے ڈب کیا ہے۔ شرارتی نو، جو لوگوں کو یاد دلانے کا ایک طریقہ ہے کہ انفرادی سائبر کرائمینلز، یا یہاں تک کہ سائبر کرائمین کے گروہ جو ان دنوں مل کر کام کرتے ہیں، کو سب کچھ جاننے کی ضرورت نہیں ہے:

انہوں نے تقسیم اور فتح کا نقطہ نظر اختیار کیا ہے، جہاں مختلف گروپس پر توجہ مرکوز کرتے ہیں، اور پھر فروخت کرتے ہیں، جو وہ ہر طرح کے مختلف "کاروباری زمروں" میں کرنے کے قابل ہیں۔

کیا یہ ٹھیک ہے؟

---

جان.  ہاں، یہ سائبر کرائم ایکو سسٹم کی ترقی ہے جو کسی حد تک چکراتی معلوم ہوتی ہے۔

اگر ہم گھڑی کو تھوڑا سا پیچھے کرتے ہیں، اور ہم ماضی کے میلویئر کے بارے میں سوچنا شروع کر دیتے ہیں… آپ کو عام طور پر وائرس اور کیڑے تھے۔

وہ اسٹینڈ اکیلے آپریشنز تھے: ایسے لوگ تھے جو وہاں سے باہر جا رہے تھے، اپنا کام کر رہے تھے، اور کمپیوٹروں کے ایک گروپ کو متاثر کر رہے تھے۔

اور پھر آخر کار ہمیں بوٹنیٹس ملے جو پھیلنا شروع ہو گئے، اور مجرموں نے سوچا، "ارے، میں ان بوٹنیٹس کو سپیم کرنے کے لیے کرائے پر لے سکتا ہوں۔"

تو اب آپ کے پاس کچھ مختلف ادارے تھے جو سائبر کرائم میں ملوث تھے…

…اور ہم ایکسپلوئٹ کٹ مرچنٹس کے دنوں کو تیزی سے آگے بڑھاتے رہتے ہیں، جہاں وہ ایکسپلوئٹ کٹ بروکرز، اور ٹریفک ڈائریکشن سروسز، اور مارکیٹ میں ہر طرح کے دیگر کھلاڑیوں کی خدمات استعمال کریں گے۔

ہر بار جب ہم سائیکل سے گزرتے ہیں تو ایسا لگتا ہے کہ یہ پہلے سے زیادہ بڑا اور زیادہ "پیشہ ورانہ" ہو گیا ہے، اور اب ہم ایک ایسے دور میں ہیں جہاں ہم اسے کہتے ہیں "بطور خدمت" اچھی وجوہات کی بناء پر دور، کیونکہ نہ صرف جائز کمپنیاں اس ماڈل پر چلی گئی ہیں، بلکہ سائبر جرائم پیشہ افراد نے بھی اسے اپنا لیا ہے۔

لہذا آپ کے پاس اب ہر طرح کی خدمات ہیں جو خریدی جا سکتی ہیں، اور ان میں سے زیادہ تر مجرمانہ فورمز میں ڈارک ویب پر ہیں، لیکن آپ انہیں صاف ویب پر بھی تلاش کر سکتے ہیں۔

---

بطخ.  آپ نے ایک لمحہ پہلے، IABs کا ذکر کیا: ابتدائی رسائی کے بروکرز، بدمعاش جو رینسم ویئر کی تعیناتی یا بٹ کوائنز جمع کرنے میں درحقیقت دلچسپی نہیں رکھتے؛ وہ اسے کسی اور پر چھوڑ دیں گے۔

ان کا مقصد ایک راستہ تلاش کرنا ہے، اور پھر اسے لیز پر یا فروخت کرنے کی پیش کش کرنا ہے۔

اور یہ نوٹی نائن میں سے صرف *ایک* ہے۔ "X-as-a-service" پہلو، ہے نا؟

شرارتی نائن کے ساتھ، بہت ساری ذیلی تقسیموں کے ساتھ، میرے خیال میں مسئلہ یہ ہے کہ افسوس کی بات یہ ہے کہ [A] ہر ایک کے لیے کافی جگہ اور کشش ہے، اور [B] جتنا زیادہ حصوں کا ٹکڑا، میں تصور کرتا ہوں کہ یہ اتنا ہی پیچیدہ ہوتا جائے گا۔ قانون نافذ کرنے والے.

ضروری نہیں کہ کیا ہو رہا ہے اس کا پتہ لگانا ہو، لیکن حقیقت میں اتنے ثبوت جمع کرنے کے لیے کہ وہ مجرموں کی شناخت کر سکیں، گرفتار کر سکیں اور امید ہے کہ بالآخر مجرموں کو سزا دی جا سکے؟

---

جان.  جی ہاں، یہ تفتیشی عمل کو بہت مشکل بنا دیتا ہے، کیونکہ اب آپ کے پاس بہت سے متحرک حصے اور افراد ہیں جو خاص طور پر حملے میں ملوث ہیں… یا کم از کم اس حملے میں مدد اور حوصلہ افزائی کر رہے ہیں، ہم کہیں گے؛ شاید وہ *براہ راست* ملوث نہیں ہیں، لیکن وہ یقینی طور پر مدد اور حوصلہ افزائی کر رہے ہیں۔

رینسم ویئر کرنے والے سنگل آپریٹرز کے اچھے پرانے دنوں میں، اور ابتدائی خلاف ورزی سے لے کر رینسم ویئر کے آخری مرحلے تک سب کچھ کرتے ہوئے، آپ اپنے مجرم کو حاصل کرنے میں کامیاب ہو سکتے ہیں، وہ شخص جو اس کے پیچھے تھا…

…لیکن اس معاملے میں، اب آپ کو 20 لوگوں کو گرفتار کرنا ہو گا!

جب کہ یہ تفتیش کار اپنے کام میں اچھے ہیں۔ وہ جانتے ہیں کہ کہاں دیکھنا ہے۔ وہ ان لوگوں کو دریافت کرنے کی کوشش کرنے کے لیے انتھک محنت کرتے ہیں، بدقسمتی سے، میں نے جو کئی الزامات پڑھے ہیں، ان میں یہ عام طور پر غریب OpSec (غریب آپریشنل سیکیورٹی) جو جرم میں ملوث افراد میں سے ایک کو بے نقاب کرتا ہے۔

اور اس تھوڑی سی قسمت کے ساتھ، پھر تفتیش کار ان تاروں کو کھینچنے اور باقی کہانی حاصل کرنے میں کامیاب ہو جاتا ہے۔

اگر ہر ایک کی اپنی کہانی سیدھی ہے اور ان کا OpSec تنگ ہے تو یہ بہت زیادہ مشکل ہوسکتا ہے۔

---

بطخ.  جو کچھ ہم نے ابھی کہا ہے اس کی بنیاد پر - حقیقت یہ ہے کہ مزید سائبر کرائمز ہیں، جن میں زیادہ سائبر کرائمین شامل ہیں، وسیع تر درجہ بندی یا تقسیم شدہ مہارتوں کے ساتھ…

…اس سب کو ذہن میں رکھتے ہوئے، اس بلاک پر کون سی نئی تکنیکیں ہیں جنہیں ہم بدمعاشوں کی پہنچ کی بظاہر بڑھتی ہوئی وسعت اور گہرائی کے خلاف جوابی وار کر سکتے ہیں؟

---

جان.  ٹھیک ہے، پہلا جس کے ساتھ میں شروع کروں گا وہ ضروری نہیں کہ نیا ہو – مجھے لگتا ہے کہ ہم تھوڑی دیر سے اس کے بارے میں بات کر رہے ہیں۔ آپ کافی عرصے سے اس کے بارے میں ننگی سیکیورٹی پر لکھ رہے ہیں۔

یہی وجہ ہے کہ شناخت کی سختیخاص طور پر جہاں بھی ممکن ہو ملٹی فیکٹر توثیق کا استعمال کرنا۔

بدقسمتی سے حقیقت یہ ہے کہ جیسا کہ میں پچھلے دو سالوں سے گزرا ہوں، ایکٹو ایڈورسری رپورٹ میں متاثرین کی بہت سی رپورٹس کو پڑھ رہا ہوں، کثیر عنصر کی توثیق کی بنیادی کمی ہے جو مجرموں کو نیٹ ورکس میں آسانی سے گھسنے کی اجازت دے رہی ہے… بہت آسانی سے، اسناد کے ایک درست سیٹ کے ساتھ سامنے کے دروازے سے گزرنا۔

اور اس لیے جب کہ یہ نیا نہیں ہے، میرے خیال میں، کیونکہ یہ کافی حد تک اپنایا نہیں گیا ہے، ہمیں اس مقام تک پہنچنے کی ضرورت ہے۔

---

بطخ.  یہاں تک کہ SMS پر مبنی 2FA پر غور کرنے کے لیے بھی، اگر اس وقت آپ صرف جاتے ہیں، "یہ بہت مشکل ہے، اس لیے میں صرف ایک بہت طویل پاس ورڈ چنوں گا؛ کوئی بھی کبھی اس کا اندازہ نہیں لگائے گا۔"

لیکن یقینا، انہیں اس کا اندازہ لگانے کی ضرورت نہیں ہے، کیا وہ؟

ابتدائی رسائی بروکر کے پاس اسے چوری کرنے کے 20 مختلف طریقے ہیں، اور بعد میں فروخت کے لیے تھوڑا سا ڈیٹا بیس ڈالنا ہے۔

اور اگر آپ کے پاس بالکل بھی 2FA نہیں ہے، تو یہ بعد میں کسی کے لیے بھی سیدھا راستہ ہے…

---

جان.  کسی اور بدمعاش نے پہلے ہی آپ کا پاس ورڈ اچھی طرح سے پوچھا ہے، اور انہیں یہ کہیں مل گیا ہے۔

اب یہ حملے کا صرف دوسرا مرحلہ ہے، جہاں کوئی اور اسے استعمال کر رہا ہے۔

اس سے آگے، مجھے لگتا ہے کہ ہمیں اب اس مقام تک پہنچنے کی ضرورت ہے جہاں ہم اصل میں ہیں۔ نیٹ ورک پر زیادہ سے زیادہ مشکوک سگنلز کی چھان بین کرنا.

لہذا، بہت سی کمپنیوں کے لیے یہ ناممکن ہو سکتا ہے، اگر بہت مشکل نہیں… کیونکہ یہ *مشکل* ہے!

ایسا کرنے کے لیے قابلیت اور مہارت کا ہونا ہر کمپنی کی صلاحیت میں نہیں ہوتا۔

---

بطخ.  اب، آپ یہاں جس کے بارے میں بات کر رہے ہیں، جان، میرے خیال میں، چیسٹر کیا کہنا پسند کرتا ہے، "آپ کے ڈیش بورڈ میں انتباہات کے آنے کے انتظار میں نہیں بیٹھنا، آپ کو ایسی بری باتیں بتانا جو اب یہ جانتا ہے کہ ہوا ہے، لیکن حقیقت میں *ان چیزوں کی تلاش میں باہر نکلنا* جو اس بات کی نشاندہی کرتے ہیں کہ حملہ ہونے والا ہے۔

دوسرے لفظوں میں، جو کچھ آپ نے پہلے کہا اس پر واپس جانے کے لیے، 14 ویں "میڈین ڈے" سے پہلے کے 15 دنوں کا فائدہ اٹھاتے ہوئے، جس پر بدمعاش اس مقام پر پہنچ جاتے ہیں کہ وہ حقیقی بری چیزیں نکالنے کے لیے تیار ہیں۔

---

جان.  ہاں، میں آپ کو کچھ مثالیں دے سکتا ہوں... ایک جو ڈیٹا اور ایکٹیو ایڈورٹائزری رپورٹ سے سپورٹ کرتا ہے، جو دراصل میرے نزدیک ان اہم رجحانات کی حمایت کرتا ہے جو ہم خطرے کی رپورٹ میں دیکھ رہے ہیں۔

اور یہ ہے exfiltration [نیٹ ورک سے ڈیٹا کا غیر قانونی نکالنا]۔

نیٹ ورک پر رینسم ویئر کے ریلیز ہونے کے درمیان ایک وقت ہوتا ہے۔

اکثر، ان دنوں، کچھ ایسی افزائش ہوگی جو خود رینسم ویئر سے پہلے ہوگی، اس لیے کچھ ڈیٹا چوری ہو جائے گا۔

اور ہماری تلاشوں میں ہم نے دیکھا کہ 1.85 دن کا درمیانی حصہ تھا - لہذا آپ نے دوبارہ، رینسم ویئر کے ہٹ ہونے سے تقریباً دو دن پہلے وہاں موجود تھے، جہاں آپ نے سرور پر ایک مشتبہ سگنل دیکھا ہوگا جو عام طور پر بہت زیادہ نظر نہیں آتا۔ آؤٹ باؤنڈ ڈیٹا کا۔

اچانک، "ڈیٹا بھیجنا mega.io” [ایک آن لائن فائل اسٹوریج سروس]… یہ اس بات کا اشارہ ہو سکتا ہے کہ آپ کے نیٹ ورک پر کچھ ہو رہا ہے۔

تو یہ اس کی ایک مثال ہے کہ ہمیں نیٹ ورک پر سگنل کہاں ملے ہیں: ان کا مطلب یہ نہیں ہے کہ "فوری طور پر گھبراہٹ کا بٹن دبائیں"، بلکہ یہ اس خاص واقعہ کا پیش خیمہ ہے۔

---

بطخ.  تو یہ وہ کمپنیاں ہیں جو اس قسم کی چیز کو تلاش کرنے میں نااہل نہیں تھیں، یا جو یہ نہیں سمجھتی تھیں کہ ان کے کاروبار کے لیے ڈیٹا اکٹھا کرنے کا کیا مطلب ہے، وہ نہیں جانتی تھیں کہ ایسا نہیں ہونا تھا۔

یہ واقعی صرف اتنا ہی تھا، کمپنی میں آئی ٹی کو آسانی سے چلانے کے لیے انہیں جو کچھ کرنے کی ضرورت ہے، ان کے پاس واقعی یہ سوچنے کا وقت نہیں تھا، "یہ ہمیں کیا بتاتا ہے؟ آئیے اسے تھوڑا سا مزید کھودتے ہیں۔"

---

جان.  کوئی نہیں دیکھ رہا تھا۔

ایسا نہیں ہے کہ وہ غافل تھے… یہ ہے کہ یا تو وہ دیکھنا نہیں جانتے تھے، یا وہ نہیں جانتے تھے کہ کیا ڈھونڈنا ہے۔

اور اس طرح کے اس قسم کے واقعات – اور ہم یہ بار بار دیکھتے ہیں… ransomware حملوں کے اندر یقینی نشانیاں ہیں جو کہ اعلیٰ مخلصی کے اشارے ہیں جو کہتے ہیں، "آپ کے نیٹ ورک میں کچھ برا ہو رہا ہے۔"

اور یہ چیزوں کا صرف ایک رخ ہے۔ یہ وہ جگہ ہے جہاں ہمارے پاس اصل میں سگنلز ہیں۔

لیکن آپ کی بات پر، ایسے دوسرے شعبے ہیں جہاں ہم XDR ٹول کی صلاحیتوں کو استعمال کر سکتے ہیں، مثال کے طور پر۔

---

بطخ.  اس توسیع کا پتہ لگانے اور جواب?

---

جان.  یہ درست ہے.

---

بطخ.  تو یہ نہیں ہے، "اوہ، دیکھو، یہ میلویئر ہے؛ یہ ایک فائل ہے جسے انکرپٹ کیا جا رہا ہے۔ آئیے اسے بلاک کردیں۔"

XDR وہ جگہ ہے جہاں آپ فعال طور پر سسٹم کو بتاتے ہیں، "باہر جا کر مجھے بتائیں کہ میں نے OpenSSL کے کون سے ورژن انسٹال کیے ہیں"؟

---

جان.  بالکل ٹھیک.

---

بطخ.  "مجھے بتائیں کہ کیا میرے پاس اب بھی کوئی ایکسچینج سرور ہے جس کے بارے میں میں بھول گیا ہوں"… اس قسم کی چیز؟

---

جان.  جی ہاں.

ہم نے گزشتہ سال بہت ساری ProxyShell سرگرمی دیکھی، جب PoC [تصور کا ثبوت] اگست کے وسط میں جاری کیا گیا تھا… اور جیسا کہ آپ نے Naked Security پر لکھا تھا، یہاں تک کہ سسٹم پر پیچ لگانے سے بھی ضروری بچت نہیں ہو رہی تھی۔ آپ، *اگر بدمعاش آپ کے سامنے آ جاتے اور ایک webshell پرتیاروپت*.

سنگین سیکورٹی: ویب شیلز کی وضاحت HAFNIUM حملوں کے بعد کی گئی۔

تو اب، حقیقت کے بعد چھان بین کر کے – اب جب کہ ہم جانتے ہیں کہ پراکسی شیل موجود ہے، کیونکہ ہم نے بلیٹن دیکھے ہیں – ہم جا کر تلاش کر سکتے ہیں: [1] سرورز پر ان پیچوں کا وجود جن کے بارے میں ہم جانتے ہیں۔ [2] کوئی بھی سرور تلاش کریں جس کے بارے میں ہم نہیں جانتے ہیں۔ اور [3] (اگر ہم نے پیچ لگایا ہے) ان ویب شیلوں کے نشانات تلاش کریں۔

وہ تمام سرگرمی بالآخر آپ کو محفوظ تر بنا دے گی، اور ممکنہ طور پر آپ کو یہ دریافت کرنے دیں گے کہ نیٹ ورک پر کوئی مسئلہ ہے جس کے بعد آپ کو اپنی واقعہ کی جوابی ٹیم کو کال کرنے کی ضرورت ہے۔ کال کریں سوفوس ریپڈ رسپانس; ان چیزوں کو ٹھیک کرنے میں آپ کی مدد کے لیے جو بھی ہے اسے کال کریں۔

کیونکہ ان تمام مخففات میں جو ہمارے پاس ہیں، "D"، the کا پتہ لگانے تھوڑا، یہ ٹیکنالوجی ہے.

"R"، the جواب تھوڑا سا، یہ انسان ہیں… وہ وہی ہیں جو اصل میں وہاں جا رہے ہیں اور اس ردعمل کا بہت کچھ کر رہے ہیں۔

ایسے خودکار ٹولز موجود ہیں جو یہ کر سکتے ہیں، لیکن سچ کہوں تو انسان اسے مشینوں سے زیادہ مکمل طریقے سے کرنے میں بہت بہتر ہیں۔

انسان ماحول کو جانتے ہیں؛ انسان چیزوں کی باریکیوں کو کمپیوٹر سے بہتر دیکھ سکتا ہے۔

اور اس لیے ہمیں ان مسائل کو حل کرنے کے لیے انسان اور مشین دونوں کو مل کر کام کرنے کی ضرورت ہے۔

---

بطخ.  لہذا، XDR صرف روایتی، پرانے اسکول کے خطرے کا پتہ لگانے اور روک تھام کے بارے میں نہیں ہے، جتنا کہ یہ باقی ہے۔

آپ کہہ سکتے ہیں کہ یہ اچھی چیزوں کو تلاش کرنے کے بارے میں اتنا ہی ہے جو وہاں ہونا چاہئے، لیکن نہیں ہے…

…کیونکہ یہ خراب چیزوں کو تلاش کرنے کے بارے میں ہے جو وہاں نہیں ہونا چاہئے، لیکن ہے۔

---

جان.  اسے ایک اور طریقے سے بھی استعمال کیا جا سکتا ہے، وہ یہ ہے کہ اگر آپ اپنی اسٹیٹ، اپنے نیٹ ورک، ان تمام آلات سے استفسار کر رہے ہیں جو آپ کو ٹیلی میٹری کی اطلاع دے رہے ہیں… اور آپ کو ان میں سے کچھ کا جواب نہیں ملتا ہے۔

شاید وہ بند ہو گئے ہیں؟

شاید نہیں – ہو سکتا ہے کہ مجرموں نے ان سسٹمز کے تحفظ کو بند کر دیا ہو، اور آپ کو مزید تفتیش کرنے کی ضرورت ہے۔

آپ سسٹم میں شور کی مقدار کو کم کرنا چاہتے ہیں تاکہ آپ سگنل کو قدرے بہتر طور پر دیکھ سکیں، اور یہی روک تھام کرے گی۔

یہ ان تمام کم ہینگنگ، ہائی والیوم کوڑے کے میلویئر سے چھٹکارا حاصل کر لے گا جو ہم پر، ہم سب پر، ہر ایک دن آتا ہے۔

اگر ہم اس سے چھٹکارا حاصل کر سکتے ہیں، اور زیادہ مستحکم سگنل حاصل کر سکتے ہیں، تو میں سمجھتا ہوں کہ اس سے نہ صرف نظام کو مجموعی طور پر مدد ملتی ہے کیونکہ اس عمل میں کم انتباہات ہوتے ہیں، بلکہ یہ انسانوں کو مسائل کو تیزی سے تلاش کرنے میں بھی مدد کرتا ہے۔

---

بطخ.  جان، میں وقت کے بارے میں ہوش میں ہوں، اس لیے میں آپ سے تیسری اور آخری چیز پوچھنا چاہوں گا جو شاید لوگ نہیں کر رہے ہوں گے (یا وہ سمجھتے ہیں کہ انہیں کرنے کی ضرورت پڑ سکتی ہے لیکن وہ ابھی تک اس پر پورا نہیں اترے ہیں)… وہ چیز جو، آپ کی رائے میں، ان کی سائبرسیکیوریٹی کے لیے بہترین بینگ دیتی ہے، تاکہ ان کی سائبر کرائم مخالف لچک کو جلد از جلد بڑھا سکے۔

---

جان.  کچھ جس کے بارے میں میں اپنے بہت سے صارفین اور شراکت داروں سے بات کر رہا ہوں وہ یہ ہے: ہم اب اس دنیا میں ہیں جہاں خطرات زیادہ پیچیدہ ہو گئے ہیں، حجم بڑھ گیا ہے…

…تو مدد کے لئے پوچھنا مت ڈرنا.

میرے نزدیک، یہ مشورہ ہے کہ ہم سب کو دل سے لینا چاہیے، کیونکہ ہم سب یہ سب نہیں کر سکتے۔

پلمبر میں کال کرنے کے بارے میں ریکارڈنگ شروع کرنے سے پہلے آپ نے ایک مثال بنائی، ٹھیک ہے؟

ہر کوئی اپنی پلمبنگ خود کرنے کے قابل نہیں ہوتا… کچھ لوگ ایسے ہوتے ہیں، لیکن دن کے اختتام پر، مدد مانگنے کو منفی، یا ناکامی کے طور پر نہیں دیکھا جانا چاہیے۔

یہ دیکھا جانا چاہئے کہ آپ اپنے آپ کو اچھی حفاظتی بنیادوں پر رکھنے کے لئے ہر ممکن کوشش کر رہے ہیں۔

---

بطخ.  جی ہاں، کیونکہ اس پلمبر نے اس سے پہلے سینکڑوں رستے ہوئے پائپ ٹھیک کیے ہیں… اور سائبرسیکیوریٹی بہت زیادہ اس طرح کی ہے، ہے نا؟

یہی وجہ ہے کہ سوفوس جیسی کمپنیاں پیش کر رہی ہیں۔ منظم کھوج اور جواب [MDR]، جہاں آپ کہہ سکتے ہیں، "آؤ اور میری مدد کرو۔"

اگر اور کچھ نہیں تو، یہ آپ کو وہ تمام IT چیزیں کرنے کے لیے آزاد کر دیتا ہے جو آپ کو بہرحال کرنے کی ضرورت ہے… بشمول روزانہ سائبر سیکیورٹی کی چیزیں، اور ریگولیٹری تعمیل، اور وہ تمام چیزیں۔

---

جان.  مہارت تجربے کے ذریعے حاصل کی جاتی ہے، اور میں واقعی میں نہیں چاہتا کہ ہمارے تمام صارفین اور وہاں موجود ہر شخص کو روزانہ سینکڑوں حملوں کا سامنا کرنا پڑے تاکہ یہ معلوم کرنے کے لیے کہ ان کا بہترین تدارک کیسے کیا جائے۔ جواب دینے کا بہترین طریقہ.

جب کہ ان تمام حملوں کی مجموعی تعداد جو ہم روزانہ دیکھتے ہیں، اور ماہرین جو ہم ان کرسیوں پر بیٹھ کر اس ڈیٹا کو دیکھ رہے ہیں… وہ جانتے ہیں کہ حملہ ہونے پر کیا کرنا ہے؛ وہ جانتے ہیں کہ اٹیک کٹس سے پہلے *کیا کرنا ہے۔

وہ ان اشاروں کو دیکھ سکتے ہیں۔

ہم تدارک کے تکنیکی پہلو میں آپ کی مدد کرنے کے قابل ہونے جا رہے ہیں۔

ہم آپ کو کچھ مشورے بھی دے سکتے ہیں کہ آپ اپنے نیٹ ورک کو مستقبل میں ہونے والے حملوں کے خلاف کیسے تیار کریں، لیکن ساتھ ہی، ہم ردعمل سے کچھ جذبات بھی نکال سکتے ہیں۔

میں نے ان لوگوں سے بات کی ہے جو ان حملوں سے گزرے ہیں اور یہ تکلیف دہ ہے، یہ جذباتی طور پر ٹیکس دینے والا ہے، اور اگر آپ کو وہاں کوئی تجربہ کار ہے، ٹھنڈے دماغ سے، جو غیر جذباتی ہے، جو اس جواب میں آپ کی رہنمائی کرنے میں مدد کر سکتا ہے۔ …

…نتائج اس سے بہتر ہو گا اگر آپ اپنے بالوں کو آگ میں ڈال کر بھاگ رہے ہیں۔

Even if you have a response plan – which every company should, and it should be tested! – you might want to have somebody else along who can walk you through it, and go through that process together, so that at the end you are in a place where you’re confident your business is secure, and that you are also able to mitigate any future attack.

---

بطخ.  آپ کے بارہویں رینسم ویئر حملے کے بعد، مجھے لگتا ہے کہ آپ شاید اتنے ہی اچھے ہوں گے جتنے ہمارے ماہرین "نیٹ ورک ٹائم مشین" چلانے میں، واپس جا رہے ہیں، جو تبدیلیاں کی گئی ہیں ان کا پتہ لگا رہے ہیں، اور سب کچھ ٹھیک کر رہے ہیں۔

لیکن آپ مہارت کی اس سطح تک پہنچنے کے لیے پہلے گیارہ رینسم ویئر حملوں کا شکار نہیں ہونا چاہتے، کیا آپ؟

---

جان.  بالکل ٹھیک.

---

بطخ.  جان، آپ کے وقت اور آپ کے جذبے کے لیے آپ کا بہت شکریہ… نہ صرف سائبر سیکیورٹی کے بارے میں جاننے کے لیے، بلکہ دوسرے لوگوں کی مدد کرنے کے لیے۔

اور نہ صرف اسے اچھی طرح کرنے کے لیے، بلکہ *صحیح چیزیں* اچھی طرح سے کرنے کے لیے، اس لیے ہم ایسے کام کرنے میں وقت ضائع نہیں کر رہے ہیں جن سے کوئی فائدہ نہیں ہوگا۔

تو آئیے، جان، آپ سب کو بتاتے ہیں کہ دھمکی کی رپورٹ کہاں سے حاصل کی جائے، کیونکہ یہ ایک دلچسپ پڑھنا ہے!

---

جان.  جی ہاں، بطخ… مجھے رکھنے کے لیے آپ کا بہت شکریہ۔ میرے خیال میں یہ ایک اچھی گفتگو تھی، اور آپ کے ساتھ دوبارہ پوڈ کاسٹ پر آکر اچھا لگا۔

اور اگر کوئی اپنی تازہ ترین دھمکی کی رپورٹ کی کاپی حاصل کرنا چاہتا ہے، تو آپ یہاں جا سکتے ہیں:

https://sophos.com/threatreport

---

بطخ.  ٹھیک ہے، یہ اچھا اور آسان ہے!

یہ پڑھنا بہت اچھا ہے… بہت زیادہ نیند کی راتیں نہ گزاریں (وہاں کچھ خوفناک چیزیں ہیں)، لیکن اس سے آپ کو اپنا کام بہتر طریقے سے کرنے میں مدد ملے گی۔

تو ایک بار پھر شکریہ، جان، مختصر نوٹس پر قدم بڑھانے کے لیے۔

سننے کے لیے سب کا شکریہ، اور اگلی بار تک…

---

دونوں  محفوظ رہو!

[میوزیکل موڈیم]