روسی پاور گرڈ حملہ ہر ایک کو پیشہ ورانہ کیا سکھا سکتا ہے

اب تک آپ نے سنا ہے کہ فیڈرل بیورو آف انویسٹی گیشن (ایف بی آئی) اور امریکی محکمہ ہوم لینڈ سیکیورٹی کی مشترکہ تفتیش کے نتیجے میں یہ رپورٹ سامنے آئی ہے کہ روسی آپریٹرز نے ایسی کمپنیوں کو ہیک کیا تھا جو امریکہ میں پاور گرڈ کا حصہ ہیں۔ ان حملوں کی تفصیل امریکی کمپیوٹر ایمرجنسی ریڈنیس ٹیم (یو ایس - سی ای آر ٹی) کی ایک رپورٹ میں بیان کی گئی ہے جس میں بتایا گیا ہے کہ حملہ آور توانائی کی سہولیات کو کس طرح گھسنے میں کامیاب ہوگئے اور انہوں نے چوری کی گئی معلومات سے کیا کیا۔

میڈیا رپورٹس میں جو کچھ نہیں تھا وہ ایک حقیقت تھی جس کی وجہ سے کسی آئی ٹی پروفیشنل کو تشویش لاحق ہونا چاہئے ، چاہے وہ چھوٹے کاروبار کے لئے کام کریں (ایس ایم بی) یا کسی بڑی تنظیم کے لئے۔ یہ حقیقت: حملہ آوروں نے جس راستے کا استحصال کیا وہ حتمی ہدف کے چھوٹے شراکت داروں کے ذریعے ہوا۔ انھوں نے اپنے چھوٹے ساتھیوں کے دفاع کو گھس کر ان کا حملہ شروع کیا کیونکہ ان کے دفاع کے کمزور ہونے کا امکان تھا اور پھر انہوں نے اگلی سہولت پر حملہ کرنے کے لئے وہاں سے حاصل کردہ معلومات اور وسائل کا استعمال کیا۔

اسمارٹ فشینگ اٹیک کی اناٹومی

چھوٹے ساتھی تک رسائی حاصل کرنے کا ایک بنیادی ذریعہ عوامی معلومات کو تلاش کرنا تھا ، جو ، جب دوسری معلومات کے ساتھ مل جاتا ہے تو ، اگلے مرحلے کے لئے درکار تفصیل کی سطح فراہم کرے گا۔ مثال کے طور پر ، حملہ آور کسی کمپنی کی ویب سائٹ کی جانچ کرسکتا ہے جو حتمی ہدف کے ساتھ کاروبار کرتا ہے اور وہاں اسے کسی ساتھی کی کمپنی یا حتمی ہدف پر کسی سینئر ایگزیکٹو کا ای میل پتہ مل سکتا ہے۔ تب حملہ آور دونوں کمپنیوں کی ویب سائٹ سے دوسری معلومات کی جانچ پڑتال کرسکتا ہے کہ یہ دیکھنے کے لئے کہ تعلقات کیا ہے ، کس کے ذریعہ کیا خدمات فراہم کی جارہی ہیں ، اور ہر کمپنی کی ساخت کے بارے میں کچھ ہے۔

اس معلومات سے آراستہ ، حملہ آور ایک ایسے جائز ای میل پتے کی طرح سے انتہائی قائل کن فشنگ ای میلز بھیجنا شروع کرسکتا ہے۔ جن میں کافی تعداد میں تیار کردہ تفصیل موجود ہے جو فائروال یا انتظام شدہ اختتامی نقطہ تحفظ کی سطح پر لگائے گئے کسی بھی فشنگ فلٹرز کو اچھی طرح شکست دے سکتی ہے۔ فشنگ ای میلز کو اس نشانہ بنایا جائے گا کہ جس شخص کو نشانہ بنایا جارہا ہے اس کے لئے لاگ ان کی اسناد حاصل کی جائیں ، اور اگر ان میں سے کوئی بھی کامیاب ہوجاتا ہے تو حملہ آور فوری طور پر شناخت کے انتظام کے ایسے کسی اقدام کو نظرانداز کردیں گے جو ممکنہ طور پر جگہ میں ہوں اور ٹارگٹ نیٹ ورک کے اندر ہوں۔

فیس بک سے صارف کی معلومات حاصل کرنے کے بارے میں انکشافات کے ساتھ ہی ، اس خطرے کی نوعیت وسیع ہوتی ہے۔ 2014 میں شروع ہونے والی تعلیمی تحقیق کی آڑ میں کی گئی خلاف ورزی میں ، ایک روسی محقق نے امریکی فیس بک ممبروں کے تقریبا 50 50 ملین صارف پروفائلز تک رسائی حاصل کی۔ وہ پروفائلز کیمبرج اینالیٹیکا کے حوالے کردی گئیں۔ اس کے بعد کی تحقیقات میں انکشاف ہوا ہے کہ یہ ڈیٹا ان فیس بک صارفین کی اجازت کے بغیر لیا گیا تھا اور پھر غلط استعمال کیا گیا تھا۔

بیرونی مواصلات کا آڈٹ کرنا

اس سے یہ سوال پیدا ہوتا ہے کہ محتاط کاروباروں کو اپنی ویب سائٹوں کے ذریعہ کیا معلومات فراہم کرنا چاہ.۔ اس سے بھی بدتر ، اس سوال کو ممکنہ طور پر تنظیم کے سوشل میڈیا فوقیت ، تھرڈ پارٹی مارکیٹنگ چینلز جیسے یوٹیوب ، اور یہاں تک کہ ہائی پروفائل ملازم سوشل میڈیا پروفائلز تک بھی توسیع کی ضرورت ہے۔

"مجھے لگتا ہے کہ انہیں ان کی کمپنی کی ویب سائٹوں کے بارے میں محتاط رہنا پڑے گا ،" سائیکسٹیرا کے چیف انفارمیشن سیکیورٹی آفیسر (سی آئی ایس او) اور ایف بی آئی کے نیو یارک سٹی فیلڈ آفس کے سائبر ڈویژن کے انچارج سابق اسپیشل ایجنٹ لیو ٹڈڈیو نے کہا۔ "نادانستہ طور پر معلومات کے انکشاف کی بہت بڑی صلاحیت موجود ہے۔"

ٹیڈیو نے کہا کہ اس کی ایک اچھی مثال ملازمت کی پوسٹنگ میں ہے جہاں آپ انکشاف کرسکتے ہیں کہ آپ کون سے اوزار ترقی کے لئے استعمال کر رہے ہیں یا یہاں تک کہ سیکیورٹی کی کون سی خصوصیات آپ تلاش کر رہے ہیں۔ انہوں نے کہا ، "بہت سارے طریقے ہیں جن سے کمپنیاں خود کو بے نقاب کرسکتی ہیں۔ سطح کا ایک بہت بڑا علاقہ ہے۔ نہ صرف ویب سائٹ اور نہ صرف دانستہ مواصلات۔"

"سوشل میڈیا ایک خطرہ ہے ،" ٹیڈیو نے اس کی نشاندہی کرتے ہوئے کہا کہ سوشل میڈیا پر پوسٹ کرنے والا ملازم نادانستہ طور پر کسی بڑے معاملے کا انکشاف کرسکتا ہے۔ انہوں نے نشاندہی کی کہ ملازمین کا کہنا ہے کہ وہ اپنی ملازمت سے خوش نہیں ہیں استحصال کا ایک ہدف ظاہر کرسکتے ہیں۔ "وہ ملازمین جو اپنے کام یا ان کے کارناموں کے بارے میں تفصیل سے بات کرتے ہیں وہ خطرہ ہے۔ مخالفین کے ل Social سوشل میڈیا کان کنی بہت کارآمد ہے۔"

ٹیڈیو نے متنبہ کیا کہ پیشہ ورانہ میڈیا ویب سائٹ ، جیسے لنکڈین ، ان لوگوں کے لئے بھی خطرہ ہیں جو محتاط نہیں ہیں۔ انہوں نے کہا کہ مخالفین ایسی ویب سائٹوں پر جعلی اکاؤنٹ بناتے ہیں جو یہ چھپاتے ہیں کہ وہ واقعتا کون ہیں اور پھر اپنے رابطوں سے معلومات کا استعمال کرتے ہیں۔ انہوں نے کہا ، "جو کچھ بھی وہ سوشل میڈیا سائٹس پر پوسٹ کرتے ہیں وہ ان کے آجر سے سمجھوتہ کرسکتے ہیں۔"

اس حقیقت کو دیکھتے ہوئے کہ جو برے اداکار آپ کو نشانہ بنارہے ہیں وہ آپ کے اعداد و شمار کے بعد ہوسکتے ہیں ، یا کسی ایسی تنظیم کے بعد ہوسکتے ہیں جس کے ساتھ آپ کام کرتے ہیں ، سوال صرف یہ نہیں ہے کہ آپ اپنی حفاظت خود کس طرح کرتے ہیں بلکہ آپ اپنے بزنس پارٹنر کو کیسے بچاتے ہیں؟ یہ اس حقیقت سے پیچیدہ ہے کہ آپ کو معلوم نہیں ہوگا کہ حملہ آور آپ کے اعداد و شمار کے بعد ہوسکتے ہیں یا صرف آپ کو قدم قدم اور پتھر کے طور پر دیکھ سکتے ہیں اور اگلے حملے کے لئے اسٹیجنگ اسٹیج کے طور پر۔

خود کی حفاظت کیسے کریں؟

بہر حال ، کچھ اقدامات ہیں جو آپ اٹھا سکتے ہیں۔ اس تک پہنچنے کا بہترین طریقہ انفارمیشن آڈٹ کی شکل میں ہے۔ بیرونی مواصلات ، یقینی طور پر مارکیٹنگ ، بلکہ دوسروں کے درمیان HR ، PR ، اور سپلائی چین کے ل your آپ کی کمپنی جو چینلز استعمال کررہی ہے اس کا حساب لگائیں۔ اس کے بعد ایک آڈٹ ٹیم بنائیں جس میں تمام متاثرہ چینلز کے اسٹیک ہولڈرز ہوں اور اس کا تجزیہ کرنا شروع کریں کہ وہاں کیا ہو رہا ہے منظم انداز میں اور ایسی معلومات کی طرف نگاہ ڈالیں جو ڈیٹا چوروں کے ل. مفید ہوسکتی ہے۔ پہلے اپنی کمپنی کی ویب سائٹ سے آغاز کریں:

کسی بھی چیز کے ل anything اپنی کمپنی کی ویب سائٹ کی جانچ پڑتال کریں جو آپ کے کام کے بارے میں یا آپ کے استعمال کردہ ٹولز کے بارے میں تفصیلات مہیا کرسکتی ہے۔ مثال کے طور پر ، کسی تصویر میں دکھائے جانے والے کمپیوٹر اسکرین میں اہم معلومات ہوسکتی ہیں۔ پیداواری سامان یا نیٹ ورک کے انفراسٹرکچر کی تصاویر دیکھیں ، جو حملہ آوروں کے لئے مفید اشارے فراہم کرسکتی ہیں۔

عملے کی فہرست دیکھو۔ کیا آپ کے پاس اپنے سینئر عملے کے ل email ای میل پتے درج ہیں؟ یہ پتے کسی حملہ آور کو نہ صرف ممکنہ لاگ ان ایڈریس فراہم کرتے ہیں بلکہ دوسرے ملازمین کو بھیجی گئی ای میلوں کو جعلی بنانے کا ایک طریقہ بھی فراہم کرتے ہیں۔ کسی فارم سے لنک رکھنے والوں کی جگہ لینے پر غور کریں یا عوامی استعمال کے مقابلہ میں داخلہ استعمال کے لئے ایک مختلف ای میل پتہ استعمال کریں۔

کیا آپ کی ویب سائٹ یہ کہتی ہے کہ آپ کے گاہک یا شراکت دار کون ہیں؟ یہ حملہ آور کو آپ کی تنظیم پر حملہ کرنے کا دوسرا طریقہ فراہم کرسکتا ہے اگر انہیں آپ کی سکیورٹی سے گزرنے میں پریشانی ہو رہی ہو۔

اپنی ملازمت کی پوسٹنگ چیک کریں۔ وہ آپ کی کمپنی کے اوزار ، زبانوں ، یا دیگر پہلوؤں کے بارے میں کتنا انکشاف کرتے ہیں؟ خود کو اس معلومات سے الگ کرنے کے لئے کسی بھرتی فرم کے ذریعہ کام کرنے پر غور کریں۔

اپنی سوشل میڈیا کی موجودگی کو دیکھیں ، اس بات کو ذہن میں رکھتے ہوئے کہ آپ کے مخالفین یقینی طور پر اس چینل کے ذریعہ معلومات کو ہٹانے کی کوشش کریں گے۔ یہ بھی دیکھیں کہ آپ کے سینئر عملے کے ذریعہ پوسٹنگ میں آپ کی کمپنی کے بارے میں کتنی معلومات سامنے آتی ہیں۔ آپ سوشل میڈیا پر اپنے ملازمین کی سرگرمیوں کے بارے میں ہر چیز پر قابو نہیں پاسکتے ہیں ، لیکن آپ اس پر نظر رکھ سکتے ہیں۔

اپنے نیٹ ورک فن تعمیر پر غور کریں۔ ٹیڈیو ایک ضرورت کے مطابق نقطہ نظر کی سفارش کرتا ہے جس میں ایڈمنسٹریٹر تک رسائی صرف اس وقت دی جاتی ہے جب اس کی ضرورت ہوتی ہے اور صرف اس نظام کے ل attention جس پر توجہ کی ضرورت ہوتی ہو۔ وہ تجویز کرتا ہے کہ سافٹ ویئر سے تعی .ن کردہ پیرامیٹر (ایس ڈی پی) استعمال کریں ، جو اصل میں امریکی محکمہ دفاع نے تیار کیا تھا۔ انہوں نے کہا ، "بالآخر ، ہر صارف کے رسائی کے اختیارات شناخت ، ڈیوائس ، نیٹ ورک اور اطلاق کی حساسیت کی بنیاد پر متحرک طور پر تبدیل کردیئے جاتے ہیں۔" "یہ آسانی سے تشکیل شدہ پالیسیوں کے ذریعہ کارفرما ہیں۔ ایپلی کیشن تک رسائی کے ساتھ نیٹ ورک تک رسائی سیدھ کرکے ، صارف مکمل طور پر نتیجہ خیز رہتے ہیں جبکہ حملے کی سطح کا رقبہ ڈرامائی طور پر کم ہوجاتا ہے۔"

• اب آپ اسی طرح بادل کی خدمات پر غور کریں۔ مثال کے طور پر آپ کی کمپنی کے گوگل تجزیات یا سیلز فورس اکاؤنٹس جیسی تیسری پارٹی کے کارپوریٹ کلاؤڈ خدمات پر سینئر کمپنی کے ایگزیکٹوز ایڈمنسٹریٹر بنانے کے ل It's یہ اکثر طے شدہ ترتیب ہے۔ اگر انہیں اس سطح تک رسائی کی ضرورت نہیں ہے تو ، انہیں صارف کی حیثیت پر چھوڑنے اور آئی ٹی اہلکاروں کو انتظامی رسائی کی سطح چھوڑنے پر غور کریں جن کے ای میل لاگ ان کو تلاش کرنا مشکل ہوگا۔

آخر میں ، ٹیڈیو نے کہا کہ آئی ٹی کے ذریعہ پیدا کردہ کمزوریوں کو تلاش کریں۔ جب تک آپ اسے تلاش نہیں کرتے ، آپ کو اپنی سخت حفاظتی کام کو نظرانداز کرنا پڑسکتا ہے کیونکہ کسی نے اپنے آفس میں وائرلیس روٹر لگایا ہے تاکہ وہ کام میں اپنے ذاتی رکن کا آسان استعمال کرسکیں۔ نامعلوم تیسری پارٹی کے بادل خدمات بھی اس زمرے میں آتی ہیں۔ بڑی تنظیموں میں ، یہ معمولی بات نہیں ہے کہ محکمہ کے سربراہوں کے لئے آسان کلاؤڈ سروسز کے لئے اپنے محکموں میں محض دستخط کریں جو وہ آئی ٹی کے بطور نظر آتے ہیں۔ "ریڈ ٹیپ۔"

اس میں بنیادی آئی ٹی خدمات شامل ہوسکتی ہیں ، جیسے ڈراپ باکس بزنس کو نیٹ ورک اسٹوریج کے بطور استعمال کرنا یا کسی مختلف مارکیٹنگ آٹومیشن سروس کا استعمال کرنا کیونکہ سرکاری کارپوریٹ حمایت یافتہ ٹول کے لئے سائن اپ کرنا بہت سست ہے اور اس میں بہت ساری فارمیں پُر کرنے کی ضرورت ہوتی ہے۔ ان جیسی سافٹ ویئر خدمات حساس اعداد و شمار کے انباروں کو بے نقاب کرسکتی ہیں جب تک کہ وہ ان کے بارے میں آگاہ نہ ہوں۔ اس بات کو یقینی بنائیں کہ آپ جانتے ہو کہ آپ کی تنظیم میں کون سے ایپس استعمال ہورہی ہیں ، کس کے ذریعہ ، اور یہ کہ آپ کے پاس مکمل طور پر قابو ہے کہ کس کو رسائی حاصل ہے۔

آڈٹ کا کام اس طرح تکلیف دہ اور کبھی کبھی وقت لگتا ہے ، لیکن یہ طویل عرصے میں بڑے حصص کی ادائیگی کرسکتا ہے۔ جب تک کہ آپ کے مخالف آپ کے پیچھے نہیں آ جاتے ہیں ، آپ کو معلوم نہیں ہوتا ہے کہ آپ کے پاس کیا ہے جو چوری کے قابل ہوسکتا ہے۔ لہذا آپ کو سلامتی کے ل approach اس طریقے سے رجوع کرنے کی ضرورت ہے جو لچکدار ہو اور معاملات پر بھی نگاہ رکھیں۔ اور اس کا واحد طریقہ یہ ہے کہ آپ کے نیٹ ورک میں کیا چل رہا ہے اس کے بارے میں پوری طرح آگاہ کیا جائے۔