Physical Address

304 North Cardinal St.
Dorchester Center, MA 02124

पहले डेटा गतिविधि ट्रैक करें


एक सुरक्षा विशेषज्ञ चिंता व्यक्त करता है कि असामान्य डेटा गतिविधि की पहचान और ट्रैकिंग की कमी के खतरनाक परिणाम हो सकते हैं।

छवि: शटरस्टॉक / फनटैप

सामान्य डेटा गतिविधि होती है, असामान्य डेटा गतिविधि होती है, और फिर खतरनाक डेटा गतिविधि होती है। कोड42 में पहचान और एक्सेस मैनेजर (IAM) क्रिश्चियन विम्पेलमैन चिंता व्यक्त करते हैं कि कंपनी स्तर पर डेटा गतिविधि पर ध्यान देने पर पर्याप्त जोर नहीं दिया जाता है। लेख में असामान्य डेटा गतिविधि कब खतरनाक डेटा गतिविधि बन जाती है?, विम्पेलमैन प्रत्येक प्रकार की डेटा गतिविधि को देखता है और खतरनाक होने से पहले असामान्य गतिविधि का पता लगाने के लिए सलाह देता है।

सामान्य डेटा गतिविधि

शुरू करने के लिए, विम्पेलमैन सामान्य डेटा गतिविधि को सामान्य व्यावसायिक संचालन के दौरान गतिविधि के रूप में परिभाषित करता है। “परिष्कृत विश्लेषिकी उपकरण डेटा में प्रवृत्तियों और पैटर्न पर घर बनाने का एक बड़ा काम कर सकते हैं,” विम्पेलमैन ने कहा। “वे सुरक्षा टीमों को आधार रेखा प्राप्त करने में मदद करते हैं कि कौन सा डेटा किस वेक्टर के माध्यम से आगे बढ़ रहा है-और किसके द्वारा-रोजाना आधार पर।”

विश्लेषिकी का उपयोग करके, विशेषज्ञ किसी दी गई कार्रवाई की तुलना इनके विरुद्ध कर सकते हैं:

  • उपयोगकर्ताओं के सामान्य गतिविधि पैटर्न
  • किसी विशिष्ट फ़ाइल या डेटा के टुकड़े का सामान्य गतिविधि पैटर्न

विम्पेलमैन ने चेतावनी दी है कि बहुत सी सुरक्षा टीमें पूरी तरह से उपयोगकर्ता पर ध्यान केंद्रित करती हैं, “यह वह डेटा है जिसकी आप परवाह करते हैं, इसलिए असामान्य डेटा गतिविधि की निगरानी के लिए डेटा-केंद्रित दृष्टिकोण अपनाने से जो मायने रखता है उसे बचाने में मदद मिलेगी।”

देख: चेकलिस्ट: डिजिटल जानकारी सुरक्षित करना (टेक रिपब्लिक प्रीमियम)

असामान्य डेटा गतिविधि

असामान्य डेटा गतिविधि एक संसाधन पर डेटा का संदिग्ध संशोधन है। एक उदाहरण डेटा स्टोरेज डिवाइस पर मिशन-महत्वपूर्ण फाइलों को हटाना होगा। “असामान्य डेटा गतिविधि इसका सबसे पहला चेतावनी संकेत है अंदरूनी जोखिम और संभावित रूप से हानिकारक डेटा रिसाव या डेटा उल्लंघन, “विम्पेलमैन ने कहा। “चाहे दुर्भावनापूर्ण या अनजाने में, असामान्य डेटा एक्सेस और असामान्य डेटा ट्रैवर्सिंग नेटवर्क या ऐप अक्सर कर्मचारियों के लिए कुछ ऐसा करने का अग्रदूत होता है जो उन्हें नहीं करना चाहिए या डेटा कहीं अधिक समस्याग्रस्त हो जाता है – पीड़ित संगठन के बाहर।”

असामान्य डेटा गतिविधि के संकेत क्या हैं?

अनुभव के माध्यम से, विम्पेलमैन ने असामान्य डेटा गतिविधियों (अंदरूनी जोखिम संकेतक) की एक सूची बनाई है जो खतरनाक डेटा गतिविधियों में बदल जाती है। नीचे कुछ सबसे सामान्य संकेतक दिए गए हैं:

  • ऑफ-घंटे गतिविधियाँ: जब किसी उपयोगकर्ता की समापन बिंदु फ़ाइल गतिविधि असामान्य समय पर होती है।
  • अविश्वसनीय डोमेन: जब फ़ाइलें ईमेल की जाती हैं या कंपनी द्वारा स्थापित अविश्वसनीय डोमेन और URL पर अपलोड की जाती हैं।
  • संदिग्ध फ़ाइल बेमेल: जब MIME/मीडिया प्रकार की एक उच्च-मूल्य वाली फ़ाइल, जैसे कि एक स्प्रेडशीट, को कम-मूल्य वाली फ़ाइल प्रकार, जैसे JPEG के विस्तार के साथ प्रच्छन्न किया जाता है, तो यह आमतौर पर डेटा एक्सफ़िल्टरेशन को छिपाने के प्रयास को इंगित करता है।
  • दूरस्थ गतिविधियाँ: ऑफ-नेटवर्क होने वाली गतिविधि बढ़े हुए जोखिम का संकेत दे सकती है।
  • फ़ाइल श्रेणियां: फ़ाइल सामग्री और एक्सटेंशन का विश्लेषण करके निर्धारित की गई श्रेणियां, जो फ़ाइल की संवेदनशीलता और मूल्य को दर्शाने में मदद करती हैं।
  • कर्मचारी प्रस्थान: कर्मचारी जो संगठन छोड़ रहे हैं—स्वेच्छा से या अन्यथा।
  • कर्मचारी जोखिम कारक: जोखिम कारकों में अनुबंध कर्मचारी, उच्च प्रभाव वाले कर्मचारी, उड़ान जोखिम, प्रदर्शन संबंधी चिंताओं वाले कर्मचारी और उन्नत पहुंच विशेषाधिकार वाले कर्मचारी शामिल हो सकते हैं।
  • ज़िप/संपीड़ित फ़ाइल आंदोलन: फ़ाइल गतिविधि जिसमें .zip फ़ाइलें शामिल हैं, क्योंकि वे संकेत दे सकती हैं कि कोई कर्मचारी एन्क्रिप्टेड ज़िप फ़ोल्डरों का उपयोग करके कई फ़ाइलें लेने या फ़ाइलों को छिपाने का प्रयास कर रहा है।
  • छाया आईटी ऐप्स: वेब ब्राउज़र, स्लैक, एयरड्रॉप, फाइलज़िला, एफ़टीपी, कर्ल और आमतौर पर अनधिकृत छाया आईटी ऐप जैसे वीचैट, व्हाट्सएप, ज़ूम और अमेज़ॅन चाइम पर होने वाली असामान्य डेटा गतिविधि।
  • सार्वजनिक क्लाउड साझाकरण लिंक: जब फ़ाइलें अविश्वसनीय डोमेन के साथ साझा की जाती हैं या Google डिस्क, वनड्राइव और बॉक्स सिस्टम के माध्यम से सार्वजनिक रूप से उपलब्ध कराई जाती हैं।

देख: पहचान पासवर्ड की जगह ले रही है: सॉफ्टवेयर डेवलपर्स और आईटी पेशेवरों को क्या जानने की जरूरत है (टेक रिपब्लिक)

असामान्य डेटा गतिविधि का पता लगाना इतना कठिन क्यों है?

सीधे शब्दों में कहें, अधिकांश सुरक्षा सॉफ़्टवेयर असामान्य डेटा गतिविधि और अंदरूनी जोखिम का पता लगाने के लिए डिज़ाइन नहीं किए गए हैं। अधिकांश पारंपरिक डेटा सुरक्षा उपकरण, जैसे डेटा हानि निवारण और क्लाउड एक्सेस सुरक्षा ब्रोकर, जोखिमपूर्ण डेटा गतिविधि को अवरुद्ध करने के लिए सुरक्षा टीमों द्वारा परिभाषित नियमों का उपयोग करते हैं। “ये उपकरण डेटा गतिविधि पर एक श्वेत-श्याम दृश्य लेते हैं: एक कार्रवाई की अनुमति है या नहीं – और इससे आगे बहुत अधिक विचार नहीं है,” विम्पेलमैन ने कहा। “लेकिन वास्तविकता यह है कि बहुत सी चीजें ‘अनुमति नहीं’ की श्रेणी में आ सकती हैं जो फिर भी रोजमर्रा के काम में लगातार उपयोग की जाती हैं।”

दूसरी तरफ, बहुत सी चीजें हैं जिन्हें “अनुमति” दी जा सकती है, लेकिन यह काफी जोखिम भरा हो सकता है। जो महत्वपूर्ण हैं, वे सच्चे आउटलेयर हैं – वे नियमों के जिस भी पक्ष में आते हैं।

विश्लेषणात्मक उपकरणों में क्या देखना है

विम्पेलमैन यूईबीए का उपयोग करने का सुझाव देते हैं (उपयोगकर्ता और इकाई व्यवहार विश्लेषण) सामान्य डेटा गतिविधि से असामान्य को अलग करने के लिए उपकरण। फिर वह आगे की सोच वाले सुरक्षा उपकरणों में क्या देखना है, इस पर सुझाव देता है। सुरक्षा उपकरण चाहिए:

  • अंदरूनी जोखिम संकेतकों की अवधारणा का उपयोग करके बनाया गया है
  • वास्तविक जोखिमों का संकेत देने वाले असामान्य डेटा और व्यवहारों की पहचान और सहसंबंध के लिए एक अत्यधिक स्वचालित प्रक्रिया शामिल करें
  • सभी डेटा गतिविधि में जोखिम का पता लगाएं—कंप्यूटर, क्लाउड और ईमेल
  • इस आधार से शुरू करें कि सभी डेटा मायने रखता है, और सभी डेटा गतिविधि में व्यापक दृश्यता का निर्माण करें

और, सबसे महत्वपूर्ण बात, सुरक्षा उपकरण में यह होना चाहिए:

  • घटना की गंभीरता को निर्धारित करने के लिए जोखिम स्कोर जमा करने की क्षमता
  • प्राथमिकता सेटिंग जो जोखिम सहनशीलता के आधार पर आसानी से अनुकूलित हो जाती हैं
  • एक साधारण जोखिम जोखिम डैशबोर्ड

अंतिम विचार

सुरक्षा टीमों को वेक्टर और प्रकार द्वारा संदिग्ध डेटा आंदोलन, साझाकरण और बहिष्करण गतिविधियों के बारे में कंपनी-व्यापी दृष्टिकोण की आवश्यकता है। एक सुरक्षा उपकरण और पर्याप्त रूप से प्रशिक्षित टीम के सदस्य होने से गतिविधि-इन-हाउस और रिमोट-आवश्यक जांच पर ध्यान केंद्रित होता है। विम्पेलमैन ने निष्कर्ष निकाला, “यह सुरक्षा टीमों को नुकसान होने से पहले असामान्य डेटा गतिविधि के लिए तेजी से, सही प्रतिक्रिया निष्पादित करने का अधिकार देता है।”

और देखें



Source link

Leave a Reply