पिछले एक दशक में मुख्य सूचना सुरक्षा अधिकारियों (CISOs) के सामने आने वाली चुनौतियाँ नाटकीय रूप से विकसित हुई हैं। आज, उन्हें अपने सुरक्षा प्रयासों - और बजट - को अपने संगठन के व्यावसायिक लक्ष्यों के साथ संरेखित करना चाहिए, जो ग्राहकों के विश्वास को बनाए रखने से लेकर बौद्धिक संपदा को चोरी से बचाने के लिए सुरक्षित हो सकता है।
कार्यकारी प्रबंधन टीम के एक प्रमुख सदस्य के रूप में, CISOs के पास अक्सर बोर्ड-स्तरीय रिपोर्टिंग जिम्मेदारियाँ होती हैं। उन्हें क्लाउड द्वारा पेश की गई तकनीकी जटिलता के एक नए और चुनौतीपूर्ण स्तर का प्रबंधन करना चाहिए, जहां पहचान वस्तुतः रक्षा की पहली और अंतिम पंक्ति होती है। और काम यहीं खत्म नहीं होता। सफल होने के लिए, उन्हें विभिन्न विषयों में कौशल के साथ एक टीम बनाने और सही रक्षात्मक तकनीकों का चयन करने के लिए पर्याप्त प्रयास करना चाहिए।
तकनीकी चुनौती
त्वरित क्लाउड अपनाने के साथ संयुक्त रूप से दूरस्थ या हाइब्रिड कार्य मॉडल के लिए संक्रमण है हमले की सतह का बहुत विस्तार किया सीआईएसओ को सुरक्षा करनी चाहिए। इसके अलावा, उन्हें अक्सर एक से अधिक बादलों से निपटना पड़ता है। प्रमुख प्रदाताओं - Amazon Web Services, Azure, और Google Cloud Platform - सभी की संरचनाएँ, प्रक्रियाएँ, आवश्यकताएँ आदि थोड़ी भिन्न हैं, ये सभी इनके प्रबंधन की जटिलता को और बढ़ाते हैं विशाल वास्तुकला।
डेटा-सेंटर-उन्मुख कंपनियाँ जो क्लाउड में परिवर्तित हो गई हैं, स्पष्ट रूप से सुरक्षा चिंताओं के एक नए सेट का सामना करती हैं जिन्हें पारंपरिक फायरवॉल को संभालने के लिए कभी डिज़ाइन नहीं किया गया था। इसलिए, वेंई अब आम तौर पर सुनाई देने वाली बात है "पहचान नई परिधि है।" यह निश्चित रूप से सच है। जबकि फ़ायरवॉल और अन्य नेटवर्क-आधारित नियंत्रणों को नहीं छोड़ा जाना चाहिए, CISOs को पहचान के मुद्दों पर ध्यान देने की आवश्यकता है। निम्नलिखित तीन चरणों वाली प्रक्रिया इस क्षेत्र में जल्दी और कुशलता से परिणाम दे सकती है।
- अतिरिक्त विशेषाधिकारों पर लगाम. एक के दौरान बादल में प्रवास, वैश्विक विशेषाधिकार अक्सर ट्रांज़िशन टीम में सभी को दिए जाते हैं। इससे बचना सबसे अच्छा है, लेकिन अगर ऐसा होता है, तो संक्रमण के बाद विशेषाधिकारों की समीक्षा की जानी चाहिए और उन्हें सीमित किया जाना चाहिए। ऐसा करने का एक अच्छा तरीका यह निगरानी करना है कि किन व्यक्तियों द्वारा किन संसाधनों तक पहुँचा जा रहा है। यदि कोई व्यक्ति किसी विशेष संसाधन तक नहीं पहुंच रहा है, तो ऐसा करने का अधिकार रद्द कर दिया जाना चाहिए।
-
अतिरिक्त विशेषाधिकारों और गलत कॉन्फ़िगरेशन को सहसंबंधित करें. क्लाउड गलत कॉन्फ़िगरेशन एक और गंभीर जोखिम है। लेकिन जब एक विशेषाधिकार प्राप्त पहचान के पास गलत कॉन्फ़िगर किए गए क्लाउड संसाधन तक पहुंच होती है, तो परिणाम विनाशकारी हो सकते हैं। सौभाग्य से, स्वचालित उपकरण अब गलत कॉन्फ़िगरेशन के साथ-साथ अत्यधिक विशेषाधिकारों का पता लगाने में सहायता के लिए उपलब्ध हैं, और खतरों को खत्म करने के लिए उन्हें दूर करते हैं।
- प्राथमिकता. प्रत्येक गलत कॉन्फ़िगरेशन को ठीक करने के लिए कभी भी पर्याप्त समय या पर्याप्त स्टाफ नहीं होता है, इसलिए उन पर ध्यान देना महत्वपूर्ण है जो सुरक्षा जोखिम का सबसे बड़ा स्रोत हैं। उदाहरण के लिए, डेटा उल्लंघनों को रोकने के लिए क्लाउड स्टोरेज बकेट के लिए पहचान-आधारित पहुंच के खतरों को दूर करना महत्वपूर्ण है। कॉन्फ़िगरेशन त्रुटियों के लिए निगरानी जो अत्यधिक, डिफ़ॉल्ट, आदि के माध्यम से डेटा को उजागर करती है, अनुमतियाँ सर्वोच्च प्राथमिकता होनी चाहिए।
मानव चुनौती
क्लाउड इंफ्रास्ट्रक्चर को सुरक्षित करने के लिए अद्वितीय कौशल की आवश्यकता होती है, और काम करने के लिए योग्य व्यक्तियों को ढूंढना सीआईएसओ की सबसे बड़ी चुनौतियों में से एक है। योग्यता के तीन प्रमुख क्षेत्र हैं जो प्रत्येक क्लाउड सुरक्षा टीम के पास होने चाहिए:
- वास्तु दक्षता। किसी संगठन की सुरक्षा मुद्रा का आकलन करने और समय के साथ इसे परिपक्व करने के लिए एक रोड मैप बनाने के लिए, सुरक्षा टीमों को एक संदर्भ मॉडल की आवश्यकता होती है। सीएसए ढांचा एक उत्कृष्ट संसाधन है, और कई अन्य उपलब्ध हैं। CSA जैसे उद्योग मानक सुरक्षा ढाँचों में प्रस्तुत वास्तुशिल्प अवधारणाओं की स्पष्ट समझ के बिना, क्लाउड हमले की सतह को कम करना और ब्लाइंड स्पॉट्स को नज़रअंदाज़ करना आसान है।
-
क्लाउड इंजीनियरिंग। सुरक्षा दल को क्लाउड सुरक्षा की दिन-प्रतिदिन की आवश्यकताओं को भी संभालने की आवश्यकता होती है, जिसमें प्रबंधन, रखरखाव और बहुत कुछ शामिल हो सकते हैं। सुरक्षा क्षेत्र में "रोशनी चालू रखने" के लिए सक्षम क्लाउड इंजीनियरिंग आवश्यक है।
-
प्रतिक्रियाशील क्षमताएं। विश्व स्तर पर, साइबर हमले की दर से होते हैं 30,000 प्रति दिन. प्रत्येक उद्यम घटनाओं के नियमित आधार पर घटित होने की उम्मीद कर सकता है, और सुरक्षा टीमों को ऐसे विशेषज्ञों की आवश्यकता होती है जो गंभीर परिणामों को सीमित करने के लिए - यदि रोक नहीं सकते - तो तुरंत प्रतिक्रिया कर सकते हैं।
क्लाउड सुरक्षा टीम का आदर्श मेकअप नेटवर्क, क्लाउड और विकास विशेषज्ञों तक फैला हुआ है जो सहयोगी रूप से काम कर सकते हैं। इन क्षमताओं के साथ एक टीम बनाने का कार्य इस तथ्य से जटिल है कि इसमें कमी है 3.4 लाख इस समय साइबर सुरक्षा कार्यकर्ता।
एक दृष्टिकोण जो काम पर रखने के पूरक के रूप में अच्छी तरह से काम करता है, वह है प्रशिक्षण के माध्यम से भीतर से विकास। यह इन-हाउस या तृतीय-पक्ष प्रमाणन कार्यक्रमों के माध्यम से हो सकता है। साथ ही, विक्रेताओं को चुनने में, संगठनों को उन लोगों का पक्ष लेना चाहिए जिनके प्रस्तावों में एक मजबूत प्रशिक्षण घटक शामिल है। यदि संभव हो, तो सीआईएसओ गैर-सुरक्षा कर्मचारियों को कुछ सुरक्षा कार्यों पर काम करने के तरीके खोज सकते हैं।
एक बार इकट्ठे हो जाने के बाद, किसी भी सुरक्षा दल का सामना करने वाली समस्याओं में से एक मल्टी-क्लाउड आर्किटेक्चर से निपटना है, जो हैं आदर्श बन रहा है. बहुत कम लोग सभी तीन प्रमुख क्लाउड प्लेटफॉर्म के उपकरण, नामकरण और सुरक्षा मॉडल से परिचित हैं। इस कारण से, कई कंपनियां क्लाउड नेटिव तकनीकों की ओर रुख कर रही हैं, जो विभिन्न क्लाउड प्लेटफॉर्म को सुरक्षित करने से जुड़ी बारीकियों को समझती हैं और उपयोगकर्ताओं के लिए सुरक्षा कार्यों को आसान बनाती हैं, जिनमें AWS, Azure, GCP, आदि में विशेष प्रशिक्षण की कमी हो सकती है।
संक्षेप में, आज के सीआईएसओ जिन चुनौतियों का सामना कर रहे हैं, वे काफी हद तक क्लाउड द्वारा संचालित हैं, जो एक बहुत विस्तारित हमले की सतह बनाता है जिसे संरक्षित करने की आवश्यकता है। इस बीच, प्रत्येक क्लाउड प्लेटफ़ॉर्म द्वारा उपयोग किए जाने वाले प्रबंधन मॉडल और उपकरणों में महारत हासिल करने के लिए सुरक्षा विशेषज्ञता की आवश्यकता होती है जो बेहद कम आपूर्ति में होती है। समाधान उपलब्ध हैं जो सुरक्षा टीमों को उनके क्लाउड इंफ्रास्ट्रक्चर की सुरक्षा के लिए सर्वोत्तम प्रथाओं को लागू करने में मदद करने के लिए आवश्यक दृश्यता और प्लेटफ़ॉर्म ज्ञान प्रदान करते हैं, जबकि उन्हें प्रक्रिया में अप-कौशल विश्लेषकों की मदद करते हैं।
- एसईओ संचालित सामग्री और पीआर वितरण। आज ही प्रवर्धित हो जाओ।
- प्लेटोब्लॉकचैन। Web3 मेटावर्स इंटेलिजेंस। ज्ञान प्रवर्धित। यहां पहुंचें।
- स्रोत: https://www.darkreading.com/cloud/how-the-cloud-is-shifting-ciso-priorities