क्लाउड ने नियमित सुरक्षा आख्यान को कैसे पलट दिया है? – कंप्यूटर की दुनिया

by

जब इंफ्रास्ट्रक्चर ही लक्ष्य बन जाए

2024 की शुरुआत में, स्नोफ्लेक, इंक. से जुड़े एक उल्लंघन ने सभी उद्योगों के बोर्डरूम में एक शांत सदमे की लहर पैदा कर दी। हमलावरों ने परिधि सुरक्षा को पूरी तरह से दरकिनार कर दिया; कोई मैलवेयर नहीं, कोई शोषण किट नहीं, कोई शून्य-दिन नहीं। वे बस एक पहचान अंतर से गुज़रे: कमज़ोर साख और अत्यधिक अनुमतियाँ।

हमलावर पार्श्व में अंदर की ओर घूम गए एकाधिक ग्राहक वातावरण (एटी एंड टी, सेंटेंडर बैंक, टिकटमास्टर, आदि) और बड़ी मात्रा में संवेदनशील डेटा को बाहर निकाला। उस उल्लंघन को सामने आते देख रहे कई सीआईएसओ के लिए, सबक स्पष्ट था: बादल में, पहचान है नया बुनियादी ढांचा – और एक बार जब इससे समझौता हो जाता है, तो इस पर निर्भर हर चीज अचानक काम में आ जाती है।

कुछ हमलों का व्यापक प्रभाव होता है

स्नोफ्लेक डेटा उल्लंघन से प्रभावित कई ग्राहकों में से एक टिकटमास्टर था, जो मार्केटिंग और एनालिटिक्स के लिए स्नोफ्लेक सिस्टम का उपयोग कर रहा था। हैकर्स ने एक्सेस करने के लिए एक समझौता किए गए स्नोफ्लेक खाते का उपयोग किया टिकटमास्टर डेटाबेसजिसके परिणामस्वरूप 560 मिलियन व्यक्तियों के 1.3 टेराबाइट डेटा का उल्लंघन हुआ, जिससे ग्राहकों की ओर से कई मुकदमे शुरू हो गए।

इस उल्लंघन ने प्रदर्शित किया कि क्लाउड इकोसिस्टम में, तृतीय-पक्ष डेटा प्लेटफ़ॉर्म आपके हमले की सतह का विस्तार बन जाते हैं, और जब संरक्षित नहीं होते हैं, तो वे विनाश का कारण बन सकते हैं।

डेटासेंटर को सुरक्षा उल्लंघन से बचाने के लिए साइबर सुरक्षा संचालन केंद्र एसओसी में काम करने वाली साइबर सुरक्षा टीम

शटरस्टॉक/केजेटिल कोल्बजॉर्नसरुड

क्लाउड सुरक्षा एक वैश्विक समस्या है

यह एक वैश्विक पैटर्न है. पिछले 18 महीनों में 83% संगठनों को क्लाउड सुरक्षा उल्लंघन का सामना करना पड़ा है। 25% संगठन हाल ही में बिना जाने-समझे किसी उल्लंघन का सामना करने का डर। अधिकांश क्लाउड सुरक्षा घटनाओं का पता गलत कॉन्फ़िगरेशन, अति-विशेषाधिकार प्राप्त पहचान, या उजागर एपीआई के संयोजन से लगाया जाता है। क्लाउड अपनाने में वृद्धि ने हजारों प्रवेश बिंदु बनाए हैं, जिनमें से प्रत्येक गतिशील, अल्पकालिक और चूकने में आसान है।

हमलों में वृद्धि अवसरवादी नहीं बल्कि संरचनात्मक है। बादल का वातावरण जितनी तेजी से नियंत्रित किया जा सकता है, उससे अधिक तेजी से फैलता है। आधुनिक एप्लिकेशन डिज़ाइन द्वारा एपीआई-संचालित होते हैं, जिसका अर्थ है कि प्रत्येक सेवा इंटरैक्शन प्रभावी रूप से एक मिनी-परिधि है जो परीक्षण की प्रतीक्षा कर रही है। मल्टी-क्लाउड वास्तुशिल्प जटिलता लाता है जिसे पारंपरिक टूलींग सहसंबंधित नहीं कर सकता है। सुरक्षा दल लगातार व्यावसायिक गति से दौड़ रहे हैं, लेकिन विरोधियों को संगठन से आगे निकलने की ज़रूरत नहीं है; उन्हें केवल इसके नियंत्रण से आगे निकलने की जरूरत है।

सुरक्षा-दर-डिज़ाइन दृष्टिकोण

परिणामस्वरूप, “क्लाउड को तैनात करें, फिर उसे सुरक्षित करें” का पुराना मॉडल टूटने लगा है। आज उल्लंघन इसलिए नहीं होते क्योंकि सीआईएसओ जोखिमों से अनजान हैं, वे इसलिए होते हैं क्योंकि दृश्यता और प्रवर्तन ने गति और विखंडन नहीं पकड़ लिया है। उद्यमों को किसी अन्य बिंदु समाधान की आवश्यकता नहीं है, उन्हें जोखिम को देखने के लिए एक एकीकृत तरीके की आवश्यकता है जिस तरह से एक हमलावर इसे देखता है: मुद्रा, पहचान, रनटाइम व्यवहार और उजागर सेवाओं के पार।

यही कारण है कि आधुनिक सुरक्षा आर्किटेक्चर क्लाउड डिफेंस की रीढ़ के रूप में क्लाउड नेटिव एप्लिकेशन प्रोटेक्शन प्लेटफॉर्म (CNAPP) के आसपास समेकित हो रहे हैं, जो टीमों से मैन्युअल रूप से अंतर्दृष्टि सिलाई करने की अपेक्षा करने के बजाय आसन, कार्यभार और पहचान विश्लेषण को एक साथ ला रहे हैं।

मुद्रा मूल्यांकन अब केवल कॉन्फ़िगरेशन बहाव के बारे में नहीं है

यह कार्रवाई योग्य होने से पहले हमले के रास्ते का अनुमान लगाने के बारे में है। एपीआई रक्षा अब एक विशिष्ट विस्तार नहीं है, यह नई सीमा रेखा है। और शून्य भरोसाजिसे कभी रणनीति बयानबाजी के रूप में माना जाता था, अब क्रेडेंशियल या टोकन के अपरिहार्य समझौते के बाद पार्श्व आंदोलन को रोकने का एकमात्र तर्कसंगत तरीका है।

साथ ही, नियामक दबाव ने चुपचाप क्लाउड गवर्नेंस को फिर से तैयार कर दिया है। बोर्ड और बीमाकर्ता अब यह नहीं पूछ रहे हैं कि “क्या आप अनुपालन कर रहे हैं?” वे पूछ रहे हैं, “क्या आप इसे लगातार साबित कर सकते हैं?” साक्ष्य नियंत्रण जितना ही महत्वपूर्ण होता जा रहा है।

संगठनों को क्लाउड नियंत्रण लागू करने से कहीं अधिक की आवश्यकता है

संगठनों को सुरक्षा को एक आश्वासन परत के रूप में संचालित करने की आवश्यकता है; CNAPP में, आसन प्रबंधन, एपीआई दृश्यता, शून्य विश्वास प्रवर्तन, माइक्रोसेगमेंटेशन और निरंतर अनुपालन। जहां इन-हाउस टीमें स्केल और सिग्नल-टू-शोर के साथ संघर्ष करती हैं, एक सुरक्षा भागीदार निरंतर दृश्यता और प्रबंधित लचीलापन ला सकता है। यह क्लाउड जोखिम को एक नियंत्रणीय चर में बदल देता है और क्लाउड इनोवेशन को कुछ सुरक्षा में बदल देता है, जिसे अब धीमा नहीं होना चाहिए।

2025 में, असली सवाल यह है कि क्या आपका संगठन लगातार उद्यम पैमाने पर अपनी क्लाउड स्थिति का बचाव और साबित कर सकता है। जो कर सकते हैं, वे तेजी लाएंगे। जो लोग ऐसा नहीं कर सकते, वे वास्तुशिल्प ब्लाइंड स्पॉट की लागत को वहन करना जारी रखेंगे। टी सिस्टम यह सुनिश्चित करने में मदद करता है कि आप पहली श्रेणी में हैं।

एआई पर दोहरी मार लेकिन सुरक्षा को लेकर चिंतित हैं? आज यह ई-पुस्तक पढ़ें- अपनी प्रति यहां प्राप्त करें.