क्लाउड हमलों से सबक: भारत में संगठनों के लिए क्या दांव पर है?
भारत में अधिक से अधिक व्यवसाय क्लाउड-आधारित समाधानों को अपने दैनिक कार्यों में एकीकृत कर रहे हैं। क्लाउड कंप्यूटिंग जितनी सुविधाजनक है, अगर इसे ठीक से सुरक्षित नहीं किया गया है, तो यह कमजोरियों के प्रति भी संवेदनशील है
अधिक से अधिक संगठनों के हाइब्रिड और मल्टी-क्लाउड वातावरण में जाने के साथ, क्लाउड को सुरक्षित रखना एक विकट चुनौती बनती जा रही है। क्लाउड जटिलता – जिसमें पहचान का फैलाव और नीतियों की परतें शामिल हैं जो अक्सर बदलती रहती हैं – पहुंच जोखिम और अनुमतियों को समझना बेहद कठिन बना देती है।
अगले 12 महीनों में, भारतीय संगठनों ने क्लाउड से संबंधित खतरों के बारे में गहरी चिंता व्यक्त की, जिसमें 52 प्रतिशत साइबर जोखिम के दृष्टिकोण से क्लाउड हमलों के बारे में विशेष रूप से चिंतित थे।
क्लाउड को सुरक्षित करने के लिए प्रौद्योगिकी क्षमताओं से संतुष्टि केवल 50 प्रतिशत है, और 30 प्रतिशत से अधिक साइबर रक्षा में मानक प्रथाओं का लगातार पालन नहीं करते हैं। यह डेटा हमें प्राइसवाटरहाउसकूपर्स इंटरनेशनल द्वारा प्रकाशित 2024 ग्लोबल डिजिटल ट्रस्ट इनसाइट्स से मिला है।
संबंधित आलेख
यहां तक कि बड़े उद्यम भी क्लाउड हमलों से अछूते नहीं हैं। एक उल्लेखनीय उदाहरण 2023 के जून में हुआ जब एक लोकप्रिय जापानी वाहन निर्माता ने खुलासा किया कि गलत कॉन्फ़िगर किए गए क्लाउड वातावरण के कारण लगभग 260,000 ग्राहकों का डेटा ऑनलाइन उजागर हो गया था।
यह उल्लंघन रेखांकित करता है कि क्लाउड में उपयोगकर्ता और सेवा खाता पहचान दोनों की प्रचुरता के साथ मिलकर गलत कॉन्फ़िगरेशन, साइबर अपराधियों के लिए प्रवेश द्वार कैसे प्रदान कर सकता है। यह क्लाउड-आधारित हमलों की पहचान करने की जटिलता पर भी जोर देता है, जिसमें कुबेरनेट्स और कंटेनर जैसी तकनीकों के साथ-साथ डेटाबेस, नेटवर्किंग और वर्चुअलाइजेशन प्लेटफॉर्म जैसे कार्यों के लिए सेवा-आधारित दृष्टिकोण शामिल हैं।
यह घटना कई घटनाओं में से एक है और भारतीय संगठनों के लिए मूल्यवान सबक प्रदान करती है, जो एक मजबूत क्लाउड सुरक्षा कार्यक्रम को लागू करने की अनिवार्यता पर जोर देती है।
पाठ 1: बादल का एक समेकित दृश्य अपरिहार्य है
क्लाउड-नेटिव एप्लिकेशन वर्चुअल मशीन या बेअर मेटल जैसे पारंपरिक प्लेटफार्मों पर तैनाती के लिए नहीं बनाए गए हैं। वे स्केलेबल क्लाउड प्लेटफ़ॉर्म और बुनियादी ढांचे पर चलते हैं और कई क्लाउडों पर तैनात होने के लिए डिज़ाइन किए गए हैं, जो संगठनों को सुरक्षा चुनौतियों के एक नए सेट के लिए उजागर करते हैं।
भारतीय संगठन इन प्लेटफार्मों पर प्रबंधित की जा रही संपत्तियों और अनुप्रयोगों को बेहतर ढंग से सुरक्षित करने के लिए क्लाउड-नेटिव एप्लिकेशन प्रोटेक्शन प्लेटफॉर्म (CNAPP) को अपनाने से लाभ उठा सकते हैं।
चूँकि वे कई अलग-अलग उपकरणों को जोड़ते हैं, CNAPP बेहतर संदर्भ प्रदान करता है, प्राथमिकता वाली, कार्रवाई योग्य बुद्धिमत्ता को सक्षम करता है, समय-समय पर निवारण को कम करता है और संगठनों को सभी क्लाउड-नेटिव जोखिमों, कमजोरियों और गलत कॉन्फ़िगरेशन के दौरान उनकी सुरक्षा स्थिति का एक समेकित दृष्टिकोण देता है। क्लाउड सुरक्षा के लिए बहु-बिंदु उत्पादों का उपयोग करने से भारी मौन विश्लेषण उत्पन्न हो सकता है, जिससे किसी संगठन की सही संदर्भ प्राप्त करने की क्षमता सीमित हो सकती है।
CNAPP समाधान इन साइलो को खत्म करते हैं और अधिक संदर्भ और दृश्यता प्राप्त करने में मदद करते हैं।
पाठ 2: निगरानी और खतरे का पता लगाना एक जटिल प्रक्रिया नहीं होनी चाहिए
अधिकांश संगठन कई सार्वजनिक क्लाउड प्रदाताओं का लाभ उठाते हैं, जिसका अर्थ है कि वे अपने मल्टी-क्लाउड वातावरण में सुरक्षा और अनुपालन को प्रबंधित करने में सहायता के लिए कई बिंदु टूल का उपयोग करते हैं।
हालाँकि, प्रत्येक प्रदाता के लिए अंतर्निहित टूल का लाभ उठाना सुरक्षा स्थिति का एक समेकित दृष्टिकोण प्रदान नहीं करता है और इससे जोखिमों को समझना और उनका समाधान करना अधिक चुनौतीपूर्ण हो जाता है। भले ही कोई संगठन एकल क्लाउड सेवा प्रदाता पर निर्भर हो, उपकरण को समेकित करने से व्यवसाय के लचीलेपन और लचीलेपन की कीमत पर मामूली लाभ मिल सकता है।
हालाँकि, अनुप्रयोगों की संपूर्ण आक्रमण सतह, ऑन-प्रिमाइसेस परिसंपत्तियों, पहचान और अधिकारों और बहुत कुछ में सटीक और निरंतर समर्थन होने में अभी भी एक महत्वपूर्ण अंतर है। यह किसी संगठन के समग्र साइबर जोखिम को बढ़ाता है, जिससे खतरों की निगरानी करना और उनका पता लगाना एक साधारण कार्य बन जाता है।
संगठनों को एक ऑल-इन-वन CNAPP समाधान की आवश्यकता है, जो संभावित क्लाउड सुरक्षा खतरों और कमजोरियों की निगरानी, पहचान और उपचार को सरल और केंद्रीकृत करता है, औसत-समय-से-उपचार (MTTR) को कम करता है और समग्र सुरक्षा में सुधार करता है।
यह इंटेलिजेंस का एक पारिस्थितिकी तंत्र प्रदान करता है जो सभी क्लाउड-नेटिव अनुप्रयोगों और सुरक्षा उपकरणों के आसपास बनाया गया है, जो एक ही मंच पर समेकित है जो कई हाइब्रिड और मल्टी-क्लाउड प्लेटफार्मों पर दृश्यता प्रदान कर सकता है, जो भविष्य में प्रूफ क्लाउड सुरक्षा निवेशों के लिए प्रासंगिक दृश्य प्रदान करता है।
पाठ 3: DevOps और सुरक्षा टीमों को अधिक सहयोग की आवश्यकता है
जब क्लाउड सुरक्षा की बात आती है तो संगठनों के सामने सबसे बड़ी चुनौतियों में से एक विकास, डेवऑप्स, आईटी और सुरक्षा टीमों के बीच सहयोग है। जबकि DevOps और IT को डिलीवरी की गति का काम सौंपा जाता है, सॉफ़्टवेयर विकास और परिनियोजन प्रक्रिया के अंत में सुरक्षा टीमों से अक्सर परामर्श किया जाता है, जिससे साइबर अपराधियों और अन्य सार्वजनिक-सामना करने वाले दुर्भावनापूर्ण अभिनेताओं के संपर्क में आने से पहले ही कमजोरियों और गलत कॉन्फ़िगरेशन को ठीक करना मुश्किल हो जाता है। .
CNAPP समाधान जैसे समेकित उपकरण वर्कफ़्लो में पहले मुद्दों की पहचान करके और संबंधित टीमों को उनके मूल विकास और तैनाती वातावरण में सचेत करके, प्रक्रिया को स्वचालित करते हुए सुरक्षा और DevOps टीमों के बीच सहयोग बढ़ाने में मदद करते हैं, साथ ही उन टीमों को सुरक्षा विशेषज्ञ बनने और सीखने के लिए मजबूर नहीं करते हैं। नए उपकरण.
जब दोनों टीमें पूरे विकास जीवनचक्र में सुरक्षा का प्रबंधन करने के लिए एक ही मंच का उपयोग करती हैं, तो सुरक्षा को उनके संपूर्ण हमले की सतह पर निरंतर जोखिम प्रबंधन प्रदान करने, बाधाओं को दूर करने और बाजार में समय बढ़ाने के लिए DevOps प्रक्रिया में एकीकृत किया जा सकता है।
पाठ 4: जब टीमों के पास कर्मचारियों की कमी हो तो क्लाउड सुरक्षा कार्यभार को कम किया जाना चाहिए
साइबर सुरक्षा प्रतिभा को काम पर रखना और बनाए रखना अब भारतीय संगठनों के लिए सर्वोच्च प्राथमिकता है। भारत में दस में से चार संगठन कम स्टाफ वाली साइबर सुरक्षा टीमों से जूझ रहे हैं और यह समस्या महज स्टाफ की चिंता से परे है। आईएसएसीए की 2023 की वैश्विक साइबर सुरक्षा स्थिति रिपोर्ट के अनुसार, देश में 68 प्रतिशत संगठनों को साइबर सुरक्षा टीमों के भीतर प्रतिभा को बनाए रखने में कठिनाइयों का सामना करना पड़ता है।
एक प्रमुख कौशल अंतर से जूझ रहे उद्योग के रूप में, क्लाउड सुरक्षा से निपटने का अतिरिक्त कार्यभार लागत और जटिलता को बढ़ाता है। CNAPP समाधान स्वचालित दृश्यता और संदर्भ प्रदान करते हैं, समय की बचत करते हैं और क्लाउड-नेटिव अनुप्रयोगों और कार्यभार को सुरक्षित करने की समग्र लागत को कम करते हैं।
प्रतिस्पर्धी बने रहने के लिए, संगठनों को अपने क्लाउड सुरक्षा कार्यभार को कम करना चाहिए और यह सुनिश्चित करना चाहिए कि वे उनकी जोखिम उठाने की क्षमता और नियामक दायित्वों के अनुरूप हैं। कोई भी व्यवसाय अपने डेवलपर का सारा समय सुरक्षा कार्यों पर खर्च नहीं करना चाहता।
सफल संगठनों को सबसे महत्वपूर्ण ग़लतफ़हमियों की पहचान करके और सबसे बड़ा जोखिम पैदा करने वाली ग़लतफ़हमियों को दूर करने को प्राथमिकता देकर व्यावसायिक उत्पादकता बढ़ानी चाहिए।
क्लाउड को सुरक्षित करना 2024 में संगठनों के सामने आने वाली सबसे जटिल चुनौतियों में से एक है। सही CNAPP टूल के साथ, संगठन संपूर्ण हाइब्रिड, मल्टी-क्लाउड अटैक सतह पर सूचित जोखिम प्रबंधन निर्णय ले सकते हैं जो जोखिम को कम करते हैं और उनकी सबसे महत्वपूर्ण संपत्तियों, डेटासेट की रक्षा करते हैं। और बौद्धिक गुण.
आने वाले वर्ष में, संगठनों को सफल होने से पहले हमलों को रोकने और पूरे संगठन के लिए समग्र साइबर जोखिम को कम करने के लिए अपने मुख्य साइबर सुरक्षा कार्यों को स्वचालित और विस्तारित करने में मदद करने के लिए क्लाउड सुरक्षा समाधानों में ठोस निवेश करना चाहिए।
लेखक टेनेबल के लिए मुख्य सुरक्षा रणनीतिकार हैं, जिनके पास दुनिया भर के अधिकारियों और सुरक्षा पेशेवरों के लिए भेद्यता प्रबंधन और साइबर एक्सपोजर में विशेषज्ञता है। लेखक के पास आईटी और सूचना सुरक्षा संगठनों के लिए तकनीकी और गैर-तकनीकी सुरक्षा समाधानों को डिजाइन करने, लागू करने और प्रबंधित करने का दशकों का अनुभव है।