সুচিপত্র:
ভিডিও: गरà¥?à¤à¤µà¤¸à¥?था के दौरान पेट में लड़का होठ(সেপ্টেম্বর 2024)
সুরক্ষার জন্য 2016টি দুর্দান্ত বছর ছিল না, কমপক্ষে যেখানে হাই-প্রোফাইল লঙ্ঘন, হ্যাকস এবং ডেটা ফাঁসের বিষয়টি ছিল। এই বছরে বিতর্কিত অস্বীকৃতি-পরিষেবা (ডিডিওএস) আক্রমণ, গ্রাহকের ডেটা এবং পাসওয়ার্ডের বিশাল ক্যাশে সর্বাধিক দরদাতাকে বিক্রির জন্য কালো বাজারে আঘাত করে এবং আরও সমস্ত বড় নামী সংস্থাগুলি, সংস্থা এবং ওয়েবসাইটগুলির আরও একটি লন্ড্রি তালিকা দেখা গেছে saw ম্যালওয়্যার এবং ransomware অনুপ্রবেশ পদ্ধতি।
ব্যবসায়গুলি এই ঝুঁকিগুলি হ্রাস করতে পারে এমন অনেক কিছুই রয়েছে। আপনি অবশ্যই একটি এন্ডপয়েন্ট সুরক্ষা সমাধানে বিনিয়োগ করতে পারেন, তবে ডেটা সুরক্ষা সেরা অভ্যাসগুলি অনুসরণ করা এবং উপলভ্য সুরক্ষা কাঠামো এবং সংস্থানগুলি ব্যবহার করাও গুরুত্বপূর্ণ।
তবুও, 2016 লিঙ্কডইন, ইয়াহু, ডেমোক্র্যাটিক ন্যাশনাল কমিটি (ডিএনসি) এবং অভ্যন্তরীণ রাজস্ব পরিষেবা (আইআরএস) প্রলয়ঙ্করী আক্রমণ ও লঙ্ঘনের প্রেক্ষিতে স্পটলাইটে জোর দিয়েছে। আমরা বছরের দু'টি হ্যাক-হ্যাক এবং ব্যবসায়িকদের কাছ থেকে যে সমালোচনামূলক পাঠগুলি শিখতে পারে সে সম্পর্কে সংস্থাটি কী কী দুর্বলতা এবং পরিচয় ব্যবস্থাপনার প্রদানকারী বিয়ানওড ট্রাস্টের প্রযুক্তির ভাইস প্রেসিডেন্ট মোরে হাবরের সাথে কথা বলেছি।
1. ইয়াহু
পতনশীল ইন্টারনেট জায়ান্টটি তার gতিহাসিকভাবে খারাপ সুরক্ষার বছরটি কাটিয়ে উঠেছে যা তার ঝাঁকুনিতে পড়া আর্থিকগুলি পরিপূরক করে, হাই-প্রোফাইল লঙ্ঘনের প্রকাশের পরে এবং গ্রাহকের ডেটা ফাঁসের পরে ভেরিজন তার ৪.৮ বিলিয়ন ডলার অধিগ্রহণের পথ খুঁজে বের করার জন্য হাতছাড়া করে left হ্যাবার বলেছিলেন যে ইয়াহু লঙ্ঘন ব্যবসায়কে তিনটি মূল্যবান শিক্ষা দিতে পারে:
- আপনার সুরক্ষা দলগুলিতে বিশ্বাস করুন এবং এগুলি বিচ্ছিন্ন করবেন না।
- আপনার সমস্ত মুকুট রত্ন একটি ডাটাবেসে রাখবেন না।
- যথাযথ লঙ্ঘন প্রকাশের জন্য আইন ও নীতি অনুসরণ করুন।
"প্রথমবারের মতো কোনও বড় কর্পোরেশন বিক্রি করার জন্য এক বছরে লঙ্ঘনের জন্য ডাবল ডুবিয়েছে এবং একক সংস্থার জন্য এটি সর্বকালের বৃহত্তম লঙ্ঘনের খেতাব অর্জন করেছে, " হাবের বলেছেন। "২০১ 2016 সালের সবচেয়ে ভয়াবহ লঙ্ঘনটি এটিকে আরও জোরালো করে তোলে যা হ'ল লঙ্ঘন জনসাধারণের প্রকাশের তিন বছর পূর্বে ঘটেছিল এবং দ্বিতীয় লঙ্ঘনটি কেবল প্রথম লঙ্ঘনের ফরেনসিকের কারণে আবিষ্কার করা হয়েছিল। মোট এক বিলিয়নের বেশি অ্যাকাউন্টে আপোষ করা হয়েছিল, সকলের প্রতিনিধিত্ব করে আপনার ব্যবসায়ের মধ্যে কীভাবে সুরক্ষা সেরা অনুশীলন পরিচালনা করবেন না সে বিষয়ে সংস্থাগুলি।
২. গণতান্ত্রিক জাতীয় কমিটি
নির্বাচনের মরসুমের সর্বাধিক কুখ্যাত নিরাপত্তা লঙ্ঘনে ডেমোক্র্যাটিক ন্যাশনাল কমিটি (ডিএনসি) একাধিক অনুষ্ঠানে হ্যাক হয়েছিল, এর ফলে কর্মকর্তারা (ডিএনসির চেয়ার ডেবি ওয়াসারম্যান শাল্টজ এবং ক্লিনটন প্রচারের পরিচালক জন পোডেস্টাসহ) ইমেলগুলি উইকিলিকসের মাধ্যমে ফাঁস হয়েছিল। মার্কিন কর্মকর্তারা রাশিয়ান সরকারের কাছে ফিরে এসেছিলেন বলে হাবর ফেডারেল ব্যুরো অফ ইনভেস্টিগেশন (এফবিআই), হোমল্যান্ড সিকিউরিটি ডিপার্টমেন্ট (ডিএইচএস), এবং জাতীয় মান ও প্রযুক্তি ইনস্টিটিউট (এনআইএসটি) এর গাইডলাইন এবং সুপারিশগুলির দিকে ইঙ্গিত করেছিলেন। ডিএনসির সুরক্ষা দুর্বলতাগুলি হ্রাস করতে পারত:
- এনআইএসটি 800-53v4 এর মতো প্রতিষ্ঠিত ফ্রেমওয়ার্কগুলিতে সুবিধাগুলি, দুর্বলতা মূল্যায়ন, প্যাচিং এবং পেন টেস্টিংয়ের গাইডলাইনগুলি বিদ্যমান।
- এজেন্সিগুলিকে প্রতিষ্ঠিত ফ্রেমওয়ার্কগুলি (যেমন এনআইএসটি সাইবারসিকিউরিটি ফ্রেমওয়ার্ক) বাস্তবায়ন এবং তাদের সাফল্য পরিমাপের জন্য আরও ভাল কাজ করা দরকার।
"এফবিআই এবং ডিএইচএস একটি নথি প্রকাশ করেছে যাতে কীভাবে দুই রাজনৈতিক প্যাসিস্ট্যান্ট হুমকি মার্কিন রাজনীতি ব্যবস্থায় অনুপ্রবেশ করতে এবং মার্কিন নির্বাচনী প্রক্রিয়া নিয়ে টানটান করার জন্য গোপনীয় অভিযান সরবরাহ করার জন্য বর্শা ফিশিং এবং ম্যালওয়্যার ব্যবহার করেছিল।" "দোষটি একটি জাতীয়-রাষ্ট্রের আক্রমণকে লক্ষ্য করে মোটামুটিভাবে চিহ্নিত করা হয়েছে এবং এই জাতীয় অনুপ্রবেশ বন্ধ করতে সমস্ত সরকারী ও রাজনৈতিক সংস্থাগুলিকে যে পদক্ষেপ গ্রহণ করা উচিত সে বিষয়ে পরামর্শ দেয়। সমস্যাটি হ'ল, এই সুপারিশগুলি নতুন কিছু নয় এবং ইতিমধ্যে প্রতিষ্ঠিত সুরক্ষা নির্দেশিকাগুলির ভিত্তি গঠন করেছে।, NIST।"
৩.মিরাই
২০১ 2016 সালে এমন এক বছর ছিল যা আমরা অবশেষে সাইবারেটট্যাকের মাত্রা প্রত্যক্ষ করেছি যার মধ্যে একটি বৈশ্বিক বোটনেট সক্ষম। কয়েক মিলিয়ন নিরাপত্তাহীন ইন্টারনেট অফ থিংস (আইওটি) ডিভাইসগুলি মিরাই বোটনেটে প্রবেশ করানো হয়েছিল এবং ডিডোএস আক্রমণে ডোমেন নেম সিস্টেম (ডিএনএস) সরবরাহকারী ডায়নকে ব্যাপকভাবে ওভারলোড করত। আক্রমণটি এটসি, গিটহাব, নেটফ্লিক্স, শপাইফাই, সাউন্ডক্লাউড, স্পটিফাই, টুইটার এবং আরও কয়েকটি বড় ওয়েবসাইটকে ছুঁড়ে ফেলেছে। হ্যাবার ব্যবসায়িকরা এই ঘটনাটি থেকে নেওয়া যেতে পারে এমন চারটি সরল স্পষ্ট সুরক্ষা পাঠকে নির্দেশ করেছিল:
- যে ডিভাইসগুলিতে তাদের সফ্টওয়্যার, পাসওয়ার্ড, বা ফার্মওয়্যার আপডেট করা যায় না সেগুলি কখনই প্রয়োগ করা উচিত নয়।
- ইন্টারনেটে কোনও ডিভাইস ইনস্টল করার জন্য ডিফল্ট ব্যবহারকারী নাম এবং পাসওয়ার্ড পরিবর্তন করার পরামর্শ দেওয়া হচ্ছে।
- আইওটি ডিভাইসের জন্য পাসওয়ার্ডগুলি প্রতি ডিভাইসটিতে অনন্য হওয়া উচিত, বিশেষত যখন তারা ইন্টারনেটে সংযুক্ত থাকে।
- দুর্বলতাগুলি হ্রাস করতে সর্বদা সর্বশেষতম সফ্টওয়্যার এবং ফার্মওয়্যার সহ আইওটি ডিভাইসগুলি প্যাচ করুন।
"ইন্টারনেট অফ থিংস আক্ষরিক অর্থে আমাদের হোম এবং কর্পোরেট নেটওয়ার্কগুলি দখল করে নিয়েছে, " হাবের বলেছেন। "মিরাই ম্যালওয়্যার উত্স কোডটি প্রকাশ্যে প্রকাশের সাথে সাথে আক্রমণকারীরা এমন একটি বোটনেট তৈরি করেছে যা ডিফল্ট পাসওয়ার্ড এবং অত্যাধিক দুর্বলতার জন্য একটি বিশ্বব্যাপী বোটনেট তৈরি করতে পারে যা ব্যাপক ডিডোএস আক্রমণ সৃষ্টি করতে পারে 2016 মার্কিন যুক্তরাষ্ট্রে ইন্টারনেট ব্যাহত করার জন্য এটি ২০১ successfully সালে সফলভাবে একাধিকবার ব্যবহৃত হয়েছিল ফ্রান্সে এবং রাশিয়ায় ব্যাংকগুলিতে টেলিকমগুলিতে ডাইন সরবরাহ করেছেন ডিএনএস পরিষেবাদির বিপরীতে ডিডিওএসের মাধ্যমে।"
4. লিঙ্কডইন
আপনার পাসওয়ার্ড ঘন ঘন পরিবর্তন করা সর্বদা একটি স্মার্ট ধারণা এবং এটি আপনার ব্যবসা এবং ব্যক্তিগত অ্যাকাউন্টের জন্য। লিংকডইন ২০১২ সালে একটি বড় হ্যাকের শিকার হয়েছিল যা গত বছরের শেষের দিকে প্রকাশ্যে প্রকাশ হয়েছিল, পাশাপাশি এটির অনলাইন লার্নিং ওয়েবসাইট লিন্ডা ডটকমের একটি সাম্প্রতিক হ্যাক যা 55, 000 ব্যবহারকারীকে প্রভাবিত করেছে। আইটি পরিচালকদের ব্যবসায়ের সুরক্ষা এবং পাসওয়ার্ড নীতি নির্ধারণের জন্য, হ্যাবার বলেছিলেন যে লিংকডইন হ্যাকটি মূলত সাধারণ জ্ঞানে নেমে আসে:
- আপনার পাসওয়ার্ড ঘন ঘন পরিবর্তন করুন; একটি চার বছরের পুরানো পাসওয়ার্ড সম্ভবত সমস্যা জিজ্ঞাসা করছে।
- অন্য ওয়েবসাইটগুলিতে আপনার পাসওয়ার্ডগুলি পুনরায় ব্যবহার করবেন না। চার বছরের পুরানো এই লঙ্ঘনটি সহজেই অন্য কোনও সামাজিক মিডিয়া ওয়েবসাইট বা ইমেল অ্যাকাউন্টে সেই একই পাসওয়ার্ডটি ব্যবহার করে এমন কাউকে নিয়ে যেতে পারে এবং একাধিক জায়গায় একই পাসওয়ার্ড ব্যবহার করার কারণে অন্য অ্যাকাউন্টগুলিতে আপস করতে পারে।
"চার বছরেরও বেশি আগে একটি আক্রমণ প্রকাশ্যে ২০১ 2016 সালের গোড়ার দিকে ফাঁস হয়েছিল, " হাবের বলেছেন। "যে ব্যবহারকারীরা তখন থেকে তাদের পাসওয়ার্ডগুলি পরিবর্তন করেন নি তারা অন্ধকারের ওয়েবে সর্বজনীনভাবে ব্যবহারকারীর নাম, ইমেল ঠিকানা এবং পাসওয়ার্ড খুঁজে পেয়েছেন a হ্যাকারের জন্য সহজ পিকিং""
৫. অভ্যন্তরীণ রাজস্ব পরিষেবা (আইআরএস)
সবশেষে, হাবের বলেছেন যে আমরা আইআরএস হ্যাকগুলি ভুলতে পারি না। 2015 সালে এবং আবারও 2016 এর শুরুর দিকে এগুলি দুবার হয়েছিল এবং করের রিটার্ন এবং সামাজিক সুরক্ষা নম্বর সহ সমালোচনামূলক ডেটাগুলিকে প্রভাবিত করেছে।
"আক্রমণ ভেক্টরটি 'Getণ ট্রান্সক্রিপ্ট' পরিষেবার বিপক্ষে ছিল, কলেজ loansণ থেকে শুরু করে অনুমোদিত তৃতীয় পক্ষের সাথে আপনার করের রিটার্ন ভাগ করে নেওয়ার জন্য সমস্ত কিছুর জন্য ব্যবহৃত হয়েছিল। সিস্টেমটির সরলতার কারণে তথ্য পুনরুদ্ধার করতে এবং তারপরে তৈরি করতে একটি সামাজিক সুরক্ষা নম্বর ব্যবহার করা যেতে পারে জাল ট্যাক্স রিটার্ন, একটি ফেরত এবং ইলেক্ট্রনিকভাবে একটি দুর্বৃত্ত ব্যাংক অ্যাকাউন্টে পরিমাণ, "হাবর ব্যাখ্যা করেছেন। "এটি লক্ষণীয় যেহেতু ইয়াহুর মতো এই সিস্টেমেও দু'বার লঙ্ঘন করা হয়েছিল, ঠিক করা হয়েছিল, তবে এরপরেও তীব্র ত্রুটি ছিল যা এটি আবার লঙ্ঘন করতে পেরেছিল। এছাড়াও, 100, 000 ব্যবহারকারীর প্রথম দিকের অ্যাকাউন্ট থেকে শুরু করে লঙ্ঘনের পরিধি মারাত্মকভাবেই অবমূল্যায়ন করা হয়েছিল 700, 000 অবশেষে the এটি 2016 সালের রিটার্নের জন্য আবার যদি প্রকাশিত হয় তবে এটি অজানা।"
হ্যাবার দুটি মূল পাঠের দিকে ইঙ্গিত করেছিলেন যা ব্যবসাগুলি আইআরএস হ্যাক থেকে শিখতে পারে:
- অনুপ্রবেশ পরীক্ষার সংশোধনগুলি অত্যন্ত গুরুত্বপূর্ণ; আপনি যে কোনও ত্রুটি ঠিক করেছেন তার অর্থ এই নয় যে পরিষেবাটি নিরাপদ।
- কোনও ঘটনা বা লঙ্ঘনের পরে ফরেনসিক সমালোচিত। ক্ষতিগ্রস্থ অ্যাকাউন্টগুলির সংখ্যার উপর সাত গুন প্রস্থের অর্ডার থাকা ইঙ্গিত দেয় যে সমস্যাটির সুযোগটি সত্যই কেউ বুঝতে পারেনি।
"২০১৩ সালের জন্য, আমি মনে করি আমরা আরও কিছু আশা করব। দেশ-রাজ্য, আইওটি ডিভাইস এবং উচ্চ-প্রোফাইল সংস্থাগুলি লঙ্ঘন প্রতিবেদনের কেন্দ্রবিন্দু হবে, " হাবার বলেছেন। "আমি বিশ্বাস করি আইওটি ডিভাইস পরিচালিত গোপনীয়তা আইন এবং এর মধ্যে থাকা তথ্য ভাগ করে নেওয়ার বিষয়ে একটি কভারেজ থাকবে। এটি অ্যামাজন ইকো-র মতো ডিভাইস থেকে শুরু করে EMEA থেকে মার্কিন যুক্তরাষ্ট্র এবং এশিয়া-প্রশান্ত মহাসাগরীয় সংস্থাগুলির মধ্যে প্রবাহিত তথ্যের সমস্ত বিষয়কে অন্তর্ভুক্ত করবে।"
