2016 کی 5 بدترین ہیکس اور خلاف ورزیوں اور 2017 کے لئے ان کا کیا مطلب ہے

سیکیورٹی کے لئے 2016 ء ایک بہترین سال نہیں تھا ، کم از کم جہاں اعلی پروفائلز کی خلاف ورزی ، ہیکس اور ڈیٹا لیک ہونے کا تعلق تھا۔ اس سال میں بڑی نام کی کمپنیوں ، تنظیموں اور ویب سائٹوں کی ایک اور دھلائی کی فہرست دیکھنے میں آئی جو تقسیم شدہ انکار آف سروس (ڈی ڈی او ایس) حملوں ، کسٹمر کے ڈیٹا اور پاس ورڈ کی بڑی تعداد میں موجود ہے جس نے کالے بازار کو سب سے زیادہ بولی لگانے والے کو فروخت کرنے کا نشانہ بنایا ہے۔ میلویئر اور رینسم ویئر مداخلت کا انداز۔

ان خطرات کو کم کرنے کے لئے کاروبار بہت کچھ کرسکتا ہے۔ آپ ، یقینا. ، ایک اختتامی نقطہ حفاظتی حل میں سرمایہ کاری کرسکتے ہیں ، لیکن اعداد و شمار کی حفاظت کے بہترین طریقوں پر عمل کرنا اور دستیاب حفاظتی فریم ورک اور وسائل کا استعمال کرنا بھی ضروری ہے۔

بہر حال ، 2016 نے لنکڈن ، یاہو ، ڈیموکریٹک نیشنل کمیٹی (ڈی این سی) ، اور اندرونی محصولات سروس (آئی آر ایس) نے تباہ کن حملوں اور خلاف ورزیوں کے تناظر میں روشنی ڈالی۔ ہم نے خطرے اور شناخت کے انتظام فراہم کرنے والے پرے ٹرسٹ کے بارے میں ٹیکنالوجی کے نائب صدر ، موری ہابر سے بات کی جس کے بارے میں کمپنی اس سال کے پانچ بدترین ہیکوں کو سمجھا کرتی ہے۔

1. یاہو

گرنے والے انٹرنیٹ دیو کو اپنی تاریخی طور پر ایک خراب سیکیورٹی سال تھا جس نے اس کے ڈھیر سارے مالی معاملات کی تکمیل کی تھی ، جس نے اعلی پروفائل کی خلاف ورزی کے انکشافات کے بعد فتح کے چنگل سے شکست کھینچ لی تھی اور کسٹمر کے ڈیٹا لیک نے ویرزون کو اس کے 8 4.8 بلین ڈالر کے حصول سے باہر نکلنے کا راستہ تلاش کرنے کے لئے کچلا دیا تھا۔ ہیبر نے کہا کہ یاہو کی خلاف ورزیوں سے کاروبار کو تین قیمتی سبق سکھا سکتے ہیں۔

• اپنی سکیورٹی ٹیموں پر اعتماد کریں اور انہیں الگ نہ کریں۔
• اپنے تاج کے تمام جواہرات ایک ڈیٹا بیس میں مت رکھیں۔
• خلاف ورزی کے مناسب انکشاف کے لئے قانون اور اخلاقیات پر عمل کریں۔

ہیبر نے کہا ، "یہ پہلی بار ہے کہ ایک بڑی کارپوریشن ، فروخت کے لئے ، ایک سال میں اس خلاف ورزی پر دو بار ڈوب گئی ، اور کسی ایک کمپنی کے لئے اب تک کی سب سے بڑی خلاف ورزی کا اعزاز حاصل ہے۔ "یہ بات اور بھی مجبوری بناتی ہے کیونکہ 2016 کی بدترین خلاف ورزی یہ ہے کہ یہ خلاف ورزی عوامی انکشاف سے تین سال قبل ہوئی تھی اور دوسری خلاف ورزی صرف پہلی خلاف ورزی کی فرانزک کی وجہ سے پائی گئی تھی۔ مجموعی طور پر ایک ارب سے زیادہ کھاتوں پر سمجھوتہ کیا گیا تھا ، جس میں وہ سب کی نمائندگی کرتے تھے۔ کمپنیاں جو اپنے کاروبار میں سیکیورٹی کے بہترین طریقوں کا انتظام نہیں کرتی ہیں۔ "

2. جمہوری قومی کمیٹی

انتخابی سیزن کی انتہائی بدنام زمانہ سکیورٹی کی خلاف ورزیوں میں ، ڈیموکریٹک نیشنل کمیٹی (ڈی این سی) کو ایک سے زیادہ موقعوں پر ہیک کیا گیا ، جس کے نتیجے میں عہدیداروں کی ای میلز (بشمول ڈی این سی چیئر ڈیبی واسرمین شولٹز اور کلنٹن مہم کے منیجر جان پوڈسٹا) وکی لیکس کے ذریعہ لیک ہوگئیں۔ امریکی عہدے داروں نے روسی حکومت کی طرف جانے کا انکشاف کرتے ہوئے ، ہیبر نے فیڈرل بیورو آف انویسٹی گیشن (ایف بی آئی) ، محکمہ ہوم لینڈ سیکیورٹی (ڈی ایچ ایس) ، اور نیشنل انسٹی ٹیوٹ آف اسٹینڈرڈز اینڈ ٹکنالوجی (این آئی ایس ٹی) کی ہدایتوں اور سفارشات کی طرف اشارہ کیا۔ DNC کی سلامتی سے متعلق خطرات کو کم کیا جاسکتا تھا:

• NIS 800-53v4 جیسے قائم کردہ فریم ورک میں استحقاق ، خطرے کی جانچ ، پیچ اور قلم کی جانچ کے لئے رہنما اصول موجود ہیں۔
• ایجنسیوں کو قائم کردہ فریم ورک (جیسے NIST سائبرسیکیوریٹی فریم ورک) کو نافذ کرنے اور ان کی کامیابی کی پیمائش کرنے کے لئے بہتر کام کرنے کی ضرورت ہے۔

"ایف بی آئی اور ڈی ایچ ایس نے ایک دستاویز جاری کی ہے جس میں بتایا گیا ہے کہ کس طرح دو اعلی درجے کی مستقل دھمکیوں نے امریکی سیاسی نظام میں دخل اندازی کرنے اور امریکی انتخابی عمل میں چھیڑ چھاڑ کرنے کے لئے خفیہ کارروائیوں کو مہی spا کرنے کے ل ph اسپیئر فشنگ اور مالویئر کا استعمال کیا۔" "اس کا الزام پورے طور پر ایک قومی ریاست پر حملہ کرنا ہے اور وہ تجویز کرتا ہے کہ اس قسم کی مداخلت کو روکنے کے لئے تمام سرکاری اور سیاسی ایجنسیوں کو اقدامات اٹھانا چاہئے۔ مسئلہ یہ ہے کہ یہ سفارشات کوئی نئی بات نہیں ہیں ، اور اس سے پہلے ہی قائم کردہ سیکیورٹی رہنما خطوط کی بنیاد تشکیل دیتے ہیں۔ NIST۔ "

3. میرای

2016 ء کا سال تھا کہ ہم آخر کار سائبراٹیک کی شدت کا مشاہدہ کرتے رہے جس میں ایک عالمی بٹ نیٹ قابل ہے۔ لاکھوں غیر محفوظ انٹرنیٹ آف تینگس (IoT) آلات کو میرائی بوٹ نیٹ میں بہایا گیا تھا اور وہ DDoS حملے میں ڈومین نام کے نظام (DNS) فراہم کرنے والے Dyn کو بڑے پیمانے پر اوورلوڈ کرتا تھا۔ اس حملے نے Etsy ، GitHub ، Netflix ، Shopif ، SoundCloud ، Spotif ، Twitter ، اور ایک بڑی تعداد میں دیگر بڑی ویب سائٹوں کو دستک کردیا۔ ہیبر نے حفاظتی اقدامات کے چار سیدھے سبق کی نشاندہی کی جو کاروباری اس واقعے سے لے سکتے ہیں:

• ایسے آلات جن پر ان کے سافٹ ویئر ، پاس ورڈ ، یا فرم ویئر اپ ڈیٹ نہیں ہوسکتے ہیں ان کو کبھی نافذ نہیں کیا جانا چاہئے۔
• انٹرنیٹ پر کسی بھی ڈیوائس کی تنصیب کے لئے پہلے سے طے شدہ صارف نام اور پاس ورڈ کو تبدیل کرنے کی سفارش کی جاتی ہے۔
• IoT آلات کے پاس ورڈ فی آلہ منفرد ہونا چاہئے ، خاص کر جب وہ انٹرنیٹ سے منسلک ہوں۔
• خطرات کو کم کرنے کے لئے ہمیشہ جدید ترین سافٹ ویئر اور فرم ویئر والے آئی او ٹی آلات کو پیچ کریں۔

ہیبر نے کہا ، "چیزوں کے انٹرنیٹ نے لفظی طور پر ہمارے گھر اور کارپوریٹ نیٹ ورک پر قبضہ کر لیا ہے۔ "میرای میلویئر سورس کوڈ کے عوامی اجراء کے ساتھ ، حملہ آوروں نے ایک ایسا بوٹ نیٹ تیار کیا جو پہلے سے طے شدہ پاس ورڈز اور غیر متزلزل خطرہ پیدا کرنے کے ل to ایک ایسا نفیس دنیا بھر میں بٹن نیٹ پیدا کرے گا جو بڑے پیمانے پر ڈی ڈی او ایس حملوں کا سبب بن سکتا ہے۔ یہ 2016 میں امریکہ میں انٹرنیٹ کو خلل میں ڈالنے کے لئے کامیابی کے ساتھ متعدد بار استعمال ہوا۔ DDoS کے ذریعہ Dyn کی طرف سے فرانس میں ٹیلی کام اور روس میں بینکوں کو فراہم کی جانے والی DNS خدمات کے خلاف۔ "

4. لنکڈ

اپنے پاس ورڈ کو کثرت سے تبدیل کرنا ہمیشہ ایک ذہین خیال ہوتا ہے اور یہ آپ کے کاروبار اور ذاتی اکاؤنٹس میں آتا ہے۔ لنکڈین 2012 میں ایک بڑے ہیک کا شکار تھا جس نے پچھلے سال کے آخر میں عام طور پر لیک کیا ، اسی طرح اس کی آن لائن سیکھنے والی ویب سائٹ لنڈا ڈاٹ کام کا ایک حالیہ ہیک جس نے 55،000 صارفین کو متاثر کیا۔ آئی ٹی مینیجرز کے لئے کاروباری تحفظ اور پاس ورڈ کی پالیسیاں مرتب کرتے ہیں ، ہابر نے کہا کہ لنکڈ ہیک بڑی حد تک عقل سے آگاہ ہے۔

• اپنے پاس ورڈ کو کثرت سے تبدیل کریں۔ چار سال پرانا پاس ورڈ شاید پریشانی کے لئے پوچھ رہا ہے۔
• دوسرے ویب سائٹس پر کبھی بھی اپنے پاس ورڈ کا استعمال نہ کریں۔ چار سال کی اس خلاف ورزی کی وجہ سے کسی کو آسانی سے کسی دوسرے سوشل میڈیا ویب سائٹ یا ای میل اکاؤنٹ پر اسی پاس ورڈ کی آزمائش ہوسکتی ہے اور دوسرے اکاؤنٹس سے سمجھوتہ ہوسکتا ہے کیونکہ اسی پاس ورڈ کو متعدد جگہوں پر استعمال کیا جاتا تھا۔

ہیبر نے کہا ، "چار سال قبل ہونے والے ایک حملے کو عوامی سطح پر 2016 کے اوائل میں منظر عام پر لایا گیا تھا۔ "وہ صارفین جنہوں نے اس کے بعد سے اپنا پاس ورڈ تبدیل نہیں کیا تھا انھیں اپنے صارف نام ، ای میل پتے اور پاس ورڈ ڈارک ویب پر عوامی طور پر دستیاب ملے۔ ہیکر کے ل Easy آسان انتخاب۔"

اندرونی محصول کی خدمت (IRS)

آخر میں ، ہابر نے کہا کہ ہم آئی آر ایس ہیکوں کو نہیں بھول سکتے ہیں۔ یہ دو بار ، 2015 میں اور پھر 2016 کے اوائل میں ہوا ، اور اس نے اہم اعداد و شمار کو متاثر کیا جس میں ٹیکس گوشواروں اور سماجی تحفظ کے نمبر شامل ہیں۔

"حملہ کرنے والا ویکٹر 'گیٹ ٹرانسکرپٹ' سروس کے خلاف تھا ، جو کالج کے قرضوں سے لے کر آپ کے ٹیکس گوشواروں کو مجاز تیسرے فریق کے ساتھ بانٹنے تک ہر چیز کے لئے استعمال کیا جاتا تھا۔ سسٹم کی سادگی کی وجہ سے ، معلومات کو بازیافت کرنے اور پھر تخلیق کرنے کے لئے ایک سماجی تحفظ نمبر استعمال کیا جاسکتا ہے جعلی ٹیکس گوشوارے ، رقم کی واپسی میں اور الیکٹرانک طور پر ایک بدمعاش بینک اکاؤنٹ میں ، "ہیبر نے وضاحت کی۔ "یہ قابل ذکر ہے کیوں کہ یاہو کی طرح اس نظام میں بھی دو بار خلاف ورزی کی گئی تھی ، طے کی گئی تھی ، لیکن پھر بھی اس میں سخت خامیاں تھیں جس کی وجہ سے اس کی دوبارہ خلاف ورزی کی اجازت دی گئی۔ اس کے علاوہ ، 100،000 صارفین کے ابتدائی اکاؤنٹس سے لے کر ، اس خلاف ورزی کے دائرہ کار کو حد درجہ کم سمجھا گیا۔ آخر میں 700،000۔ یہ نامعلوم نہیں ہے کہ اگر یہ 2016 کے منافع میں پھر آئے گا۔ "

ہیبر نے دو بنیادی اسباق کی نشاندہی کی جو کاروبار IRS ہیکس سے سیکھ سکتے ہیں:

• دخول جانچنے کی اصلاحات ناگزیر ہیں۔ صرف اس وجہ سے کہ آپ نے ایک خامی کو طے کیا ہے اس کا مطلب یہ نہیں ہے کہ خدمت محفوظ ہے۔
• کسی واقعے یا خلاف ورزی کے بعد فارنزکس اہم ہے۔ متاثرہ اکاؤنٹس کی تعداد پر سات گنا طے شدہ آرڈر کا ہونا اس بات کی نشاندہی کرتا ہے کہ واقعتا کوئی بھی اس مسئلے کی وسعت کو نہیں سمجھتا ہے۔

ہیبر نے کہا ، "2017 کے لئے ، ہم اس سے زیادہ کی توقع کریں گے۔ نیشن اسٹیٹس ، آئی او ٹی ڈیوائسز اور ہائی پروفائل کمپنیاں خلاف ورزی کی اطلاع دہندگی کا مرکز بنیں گی۔" "مجھے یقین ہے کہ آئی او ٹی آلات پر حکمرانی کرنے والے پرائیویسی قوانین اور ان کے اندر موجود معلومات کا تبادلہ کرنے کی کوریج کی ایک تیزی ہوگی۔ اس میں ایمیزون ایکو جیسے آلات سے لے کر ای ایم ای اے ، امریکہ اور ایشیاء پیسیفک کی کمپنیوں کے اندر موجود معلومات تک ہر چیز کا احاطہ کیا جائے گا۔"