शून्य विश्वास का विकास

लगभग 18 महीने पहले, मैं “के बारे में लिख रहा था”शून्य विश्वास की अंतहीन यात्रा”। मैंने “अंतहीन” शब्द का उपयोग किया है क्योंकि जीरो ट्रस्ट एक उत्पाद या गंतव्य के बजाय एक मानसिकता है – यह एक लक्ष्य है। साइबर में कई चीज़ों की तरह, यह निरंतर विकास का मामला है। आपको अपने वातावरण में जीवित रहने और फलने-फूलने के लिए अनुकूलन करना होगा। यहां तक ​​कि जीरो ट्रस्ट के विचार को भी समय के साथ विकसित होना पड़ा है।

समय के साथ बदल रहा हूँ

एक बिल्ली और चूहे का खेल, एक हथियारों की दौड़ – इसे आप जो चाहें कहें – सुरक्षा हमेशा खतरों से आगे रहने के लिए अनुकूलन और विकास के बारे में रही है। बुरे कलाकार अपने लक्ष्य से आगे निकलने के लिए लगातार प्रयोग करते हैं और सुई घुमाते रहते हैं। यह वही है जिसने पहले साइबर हमले के बाद से उद्योग भर में इतने सारे नवाचारों को प्रेरित किया है। यह लगभग कहने की बात नहीं है कि 35 साल पहले जब मैंने अपना करियर शुरू किया था तो जिन सुरक्षा उपकरणों को बेंचमार्क माना जाता था, वे आधुनिक साइबर गिरोह के खिलाफ एक कागजी ढाल होंगे। यह सिर्फ उपकरण ही नहीं हैं जिन्हें विकसित करना है, बल्कि मानसिकता को भी विकसित करना है – हम कैसे हैं सोचना सुरक्षा के बारे में और हमारे पास उपलब्ध उपकरणों के उपयोग को बदलना होगा।

शून्य भरोसा इसका एक प्रमुख उदाहरण है. एक बार, सुरक्षा सिर्फ परिधि के आसपास थी; यह महल के चारों ओर एक खाई थी, लेकिन एक बार जब आप इसमें थे, तो आप अंदर थे। दुनिया भर में अधिक से अधिक उद्यमों ने जीरो ट्रस्ट को सर्वोत्तम अभ्यास के रूप में अपनाया है, यह बदल गया है। सुरक्षा उपायों को अब अंदर और बाहर करने की आवश्यकता है – दरवाजे बंद हैं, पहचान का प्रमाण आवश्यक है, और यदि लोग ऐसा नहीं करते हैं तो उन्हें महल के कुछ हिस्सों तक पहुंचने की अनुमति नहीं है ज़रूरत वहाँ होना।

लेकिन विकास के बारे में बात यह है कि यह वास्तव में कभी नहीं रुकता।

जीरो ट्रस्ट डेटा लचीलेपन का परिचय

यहां तक ​​कि सबसे व्यापक रूप से उपयोग किए जाने वाले जीरो ट्रस्ट मॉडल में भी आधुनिक परिवेश में कुछ घातक खामियां हैं। अर्थात्, उनके पास डेटा बैकअप और रिकवरी जैसे महत्वपूर्ण क्षेत्रों में किसी भी प्रकार के मार्गदर्शन का अभाव है। यह अंतर महत्वपूर्ण है क्योंकि हाल के हमले अक्सर बैकअप रिपॉजिटरी को लक्षित करने का प्रयास करते हैं। उदाहरण के लिए, के अनुसार वीम रैंसमवेयर ट्रेंड्स 2023 रिपोर्ट2022 में कम से कम 93% हमलों में रैंसमवेयर हमलों ने बैकअप रिपॉजिटरी को लक्षित किया।

डेटा बैकअप और रिकवरी सिस्टम एंटरप्राइज़ आईटी के महत्वपूर्ण भाग हैं और इन्हें सुरक्षा चित्र का हिस्सा माना जाना चाहिए। उनके पास हर चीज़ तक पढ़ने की पहुंच है; वे उत्पादन परिवेश में डेटा लिख ​​सकते हैं और व्यवसाय के मिशन-महत्वपूर्ण डेटा की पूरी प्रतियां शामिल कर सकते हैं। सीधे शब्दों में कहें तो, जब बात ‘पारंपरिक’ सुरक्षा की आती है तो आधुनिक जीरो ट्रस्ट सिद्धांतों का अक्षरशः पालन करने से आप काफी सशक्त हो जाते हैं, लेकिन बैकअप और पुनर्प्राप्ति के संबंध में कवच में एक बड़ा अंतर रह जाता है।

लेकिन हम यहीं हैं. जैसे-जैसे खतरे विकसित हुए हैं जीरो ट्रस्ट का दायरा बहुत सीमित हो गया है, यही वजह है कि इसकी अवधारणा ‘शून्य विश्वास डेटा लचीलापन’ पैदा हो गया है. ज़ीरो ट्रस्ट का विकास, जो अनिवार्य रूप से यह सुनिश्चित करने के दायरे को विस्तृत करता है कि बैकअप और रिकवरी समान सिद्धांतों का पालन करें।

बैकअप और रिकवरी को तह में लाना

मूल अवधारणाएँ समान हैं। कम से कम विशेषाधिकार का सिद्धांत और मान लो कि उल्लंघन की मानसिकता अभी भी महत्वपूर्ण है। उदाहरण के लिए, बैकअप प्रबंधन सिस्टम को नेटवर्क पर अलग-थलग किया जाना चाहिए ताकि कोई भी अप्रमाणित उपयोगकर्ता उस तक न पहुंच सके। इसी तरह, बैकअप स्टोरेज सिस्टम को भी अलग किया जाना चाहिए। अपरिवर्तनीयता भी महत्वपूर्ण है. बैकअप डेटा होने से जिसे बदला या छेड़छाड़ नहीं किया जा सकता है, इसका मतलब है कि यदि रिपॉजिटरी रैंसमवेयर जैसे हमलों से पहुंच जाती है, तो वे इसके मैलवेयर से प्रभावित नहीं हो सकते हैं।

उल्लंघन मानने का मतलब यह भी है कि व्यवसायों को किसी हमले के बाद अपने बैकअप पर परोक्ष रूप से ‘भरोसा’ नहीं करना चाहिए। सिस्टम पुनर्प्राप्ति का प्रयास करने से पहले बैकअप को ठीक से सत्यापित करने या उसे ‘साफ़’ करने की प्रक्रियाएँ होना यह सुनिश्चित करने के लिए महत्वपूर्ण है कि आप अभी भी समझौता किए गए वातावरण को पुनर्स्थापित नहीं कर रहे हैं। अविश्वास की अंतिम परत आपके बैकअप की कई प्रतियां रखना है – यदि एक (या अधिक) से छेड़छाड़ की जाती है तो विफल-सुरक्षित। सबसे अच्छा अभ्यास यह है कि आपके बैकअप की तीन प्रतियां हों: दो विभिन्न मीडिया प्रकारों पर संग्रहीत, एक ऑनसाइट संग्रहीत, और एक ऑफ़लाइन रखी गई। लचीलेपन की इन परतों के साथ, आप अपने बैकअप को जीरो ट्रस्ट मानना ​​शुरू कर सकते हैं।

पहला कदम उठाना

ज़ीरो ट्रस्ट डेटा रेजिलिएंस के साथ, ज़ीरो ट्रस्ट की तरह, यह एक यात्रा है। आप इसे एक साथ लागू नहीं कर सकते. इसके बजाय, एक परिपक्वता मॉडल का पालन करें जहां आप धीरे-धीरे नई प्रथाओं को लागू करते हैं और समय के साथ इन्हें परिष्कृत और विकसित करते हैं। उदाहरण के लिए, यदि आप वर्तमान में अपने बैकअप डेटा को सत्यापित नहीं करते हैं, तो मैन्युअल रूप से ऐसा करना शुरू करें और समय के साथ, नियमित सत्यापन प्रक्रियाओं को स्वचालित और शेड्यूल करने के लिए तकनीक लागू करें।

दूसरी महत्वपूर्ण चीज़ जो आपको चाहिए वह है बाय-इन – संगठन में सभी को एक साथ यात्रा पर होना चाहिए। किसी संगठन में किसी भी व्यापक परिवर्तन को लागू करने के लिए वरिष्ठ नेतृत्व महत्वपूर्ण है, लेकिन पूरे व्यवसाय को नई प्रक्रियाओं और उनकी आवश्यकता के बारे में शिक्षित करना भी महत्वपूर्ण है। अंत में, विशेष रूप से जीरो ट्रस्ट डेटा रेजिलिएंस के लिए, सुरक्षा और व्यापक आईटी संचालन टीमों को संरेखित किया जाना चाहिए। बैकअप अक्सर बाद वाले की ज़िम्मेदारी के अंतर्गत आता है, लेकिन जैसे-जैसे यह सुरक्षा के लिए अधिक से अधिक महत्वपूर्ण होता जाता है, सुरक्षा साइलो या अंतराल को रोकने के लिए दोनों को मिलकर काम करने की आवश्यकता होती है।

जीरो ट्रस्ट की यात्रा है अनंत। इतना कि समय के साथ सटीक गंतव्य विकसित हो जाता है। व्यवसायों को मेरी सलाह है कि रोम एक दिन में नहीं बना, फिर भी कदम टालने और पीछे रह जाने के बजाय आज ही कदम उठाना शुरू करना बेहतर है, चाहे वह कितना ही छोटा क्यों न हो।

उद्यम रणनीति के उपाध्यक्ष पर वीम

डेव रसेल वीम सॉफ्टवेयर में एंटरप्राइज स्ट्रैटेजी के उपाध्यक्ष हैं। डेव के पास डेवलपर (आईबीएम), उद्योग विश्लेषक (गार्टनर) और रणनीतिकार (आईबीएम और वीईएम) के रूप में बैकअप/रिकवरी और स्टोरेज प्रबंधन उद्योग में 33 वर्षों का अनुभव है। वीईएम में, डेव रणनीतिक उत्पाद और बाजार में जाने वाले कार्यक्रमों को चलाने, उद्योग की भागीदारी का नेतृत्व करने और दुनिया भर में प्रमुख आयोजनों में एंटरप्राइज में वीईएम के आधुनिक डेटा संरक्षण और वीईएम के दृष्टिकोण को प्रचारित करने के लिए जिम्मेदार है।

डेव रसेल द्वारा नवीनतम पोस्ट (सभी देखें)