COMMENTARY
حالیہ برسوں میں، آسٹریلیا نے ملک کی سلامتی کی حالت کو بہتر بنانے کے لیے کچھ اہم اقدامات کیے ہیں۔ 2020 میں، ملک AUD $1.67 بلین کی سرمایہ کاری کی۔ (US$1.1 بلین) سائبر سیکیورٹی حکمت عملی 2020 کے حصے کے طور پر۔
ان کوششوں کے باوجود آسٹریلوی حکومت کی “سائبر تھریٹ رپورٹ 2022-202358 واقعات کی اطلاع دی گئی جن کو اس نے وسیع سمجھوتوں کے طور پر درجہ بندی کیا، اور 195 واقعات کو اس نے الگ تھلگ سمجھوتوں کے طور پر درجہ بندی کیا۔ پورٹ آپریٹر ڈی پی ورلڈ آسٹریلیا نومبر میں سائبر حملے کی وجہ سے معطل آپریشنز۔ SA صحت, خدمات آسٹریلیا، اور این ٹی ہیلتھ نومبر 2022 کے بعد، صحت کی دیکھ بھال فراہم کرنے والے صرف چند ایسے تھے جن کی گزشتہ سال خلاف ورزی کی گئی تھی۔ میڈی بینک خلاف ورزی جس نے تقریبا 10 ملین افراد کو متاثر کیا۔
جواب میں، آسٹریلیا نے اس کی سطح کو اپ ڈیٹ کیا۔ ضروری آٹھ میچورٹی ماڈل، سائبر حملوں سے خود کو بچانے کی کوشش کرنے والے کاروباروں کے لیے ملک کا جامع گائیڈ۔ سائبر سیکیورٹی کے خطرات سے نمٹنے کے لیے کاروباروں کی مدد کے لیے 2010 میں ایک فریم ورک بنایا گیا، ضروری آٹھ کو کئی بار اپ ڈیٹ کیا گیا، خاص طور پر جب اس نے مختلف سائز کی کمپنیوں کو مناسب حفاظتی اقدامات کا تعین کرنے میں مدد کرنے کے لیے اپنا میچورٹی ماڈل شامل کیا، اور حال ہی میں نومبر 2023 میں۔
تاہم، آسٹریلیا میں سائبر کرائم کے تیزی سے چلتے ہوئے، یہ پوچھنے کا وقت آگیا ہے کہ کیا ضروری آٹھ آسٹریلیائی تنظیموں کے لیے صحیح سمت فراہم کر رہا ہے اور کیا اسے دوسرے ممالک کے لیے ایک ماڈل کے طور پر استعمال کیا جانا چاہیے۔
ضروری آٹھ کے اندر
ضروری آٹھ 2010 میں شائع ہونے کے بعد سے برقرار ہے۔ یہ پیچنگ، بیک اپ اور ایپلیکیشن کنٹرول پر سمت فراہم کرتا ہے۔ دیگر چیزوں کے علاوہ، 2023 کا اپ ڈیٹ مائیکروسافٹ میکرو کو محدود کرنے کی سفارش کرتا ہے اور اس میں صارف کی ایپلیکیشن سختی سے متعلق ہدایات شامل ہیں۔
اگرچہ وہ تمام مسائل اہم ہیں، وہ کلاؤڈ میں منتقلی کو پہچاننے میں ناکام رہتے ہیں اور خاص طور پر، سافٹ ویئر کے طور پر ایک سروس (ساس) ایپلی کیشنز کے استعمال کو۔ ضروری آٹھ میں انتظامی مراعات کو محدود کرنے کا ایک سیکشن شامل ہے، جو SaaS سیکیورٹی کا ایک اہم اصول ہے۔
تاہم، پختگی کی سطحوں کو پڑھنے سے، یہ واضح ہے کہ اس کی رہنمائی آن پریمیسس نیٹ ورکس کے لیے موزوں ہے۔ میچورٹی لیول 2 میں رہنمائی شامل ہے جیسے "سسٹم، ایپلیکیشنز، اور ڈیٹا ریپوزٹریز تک مراعات یافتہ رسائی کی درخواستوں کی توثیق کی جاتی ہے جب پہلی بار درخواست کی جاتی ہے" اور "مراعات یافتہ صارفین علیحدہ مراعات یافتہ اور غیر مراعات یافتہ آپریٹنگ ماحول استعمال کرتے ہیں۔"
انتظامی مراعات سے متعلق تین میچورٹی لیولز میں 29 ایڈمن مراعات کی سفارشات میں سے، صرف ایک آن لائن اکاؤنٹس کو ایڈریس کرتا ہے ("خصوصی طور پر آن لائن سروسز تک رسائی کے لیے مجاز اکاؤنٹس سختی سے صرف ان چیزوں تک محدود ہیں جو صارفین اور خدمات کو اپنے فرائض کی انجام دہی کے لیے درکار ہیں")۔
ضروری آٹھ میں ملٹی فیکٹر تصدیق (MFA) شامل ہے۔ آن لائن خدمات کو محفوظ بنانے میں یہ ایک اہم قدم ہے۔ تاہم، MFA بادل اور SaaS سیکیورٹی کا صرف ایک ٹکڑا ہے۔ رہنمائی کو صرف MFA تک محدود رکھنے سے ان کاروباروں اور حکومتی اداروں کو نقصان پہنچتا ہے جو اپنے پورے ڈیجیٹل فوٹ پرنٹ کو محفوظ کرنے کی سمت کے لیے ضروری آٹھ پر انحصار کرتے ہیں۔
آج کے کام کے ماحول پر ضروری آٹھ مسز
بدقسمتی سے، ضروری آٹھ اور اس کے میچورٹی ماڈلز آج کے کمپیوٹر ماحول سے محروم ہیں۔ اس میں "کلاؤڈ" یا "ساس ایپلیکیشن" کے الفاظ شامل نہیں ہیں۔ بھول جانے سے، یہ آج کی کاروباری دنیا میں SaaS ایپلیکیشنز کے کردار اور کلاؤڈ پر محفوظ کردہ ڈیٹا کو پہچاننے میں ناکام رہتا ہے۔
آج، SaaS ایپلی کیشنز پر مشتمل ہے۔ تمام سافٹ ویئر کا 70٪ کاروبار کی طرف سے استعمال کیا جاتا ہے. ان ایپلی کیشنز میں سے ہر ایک کاروبار کے لیے اہم ڈیٹا پر مشتمل ہے یا ان کارروائیوں میں کردار ادا کرتی ہے جن کو محفوظ کیا جانا چاہیے۔ MFA ایک اہم ٹول ہے جو مجاز صارفین تک رسائی کو محدود کرنے کے لیے استعمال ہوتا ہے، لیکن یہ SaaS اور کلاؤڈ مثالوں کو محفوظ بنانے کے لیے درکار اقدامات سے بہت کم ہے۔
جدید کام کی جگہ کے لیے ضروری آٹھ کو اپ ڈیٹ کرنا
ضروری آٹھ میں چار کلیدی کلاؤڈ سنٹرک سیکیورٹی ہدایات غائب ہیں: کنفیگریشن مینجمنٹ، شناختی سیکیورٹی، تھرڈ پارٹی ایپ انٹیگریشن مینجمنٹ، اور ریسورس کنٹرول۔
-
تشکیل کا انتظام: ایک سیکیورٹی فریم ورک جو غلط کنفیگریشنز کو حل نہیں کرتا ہے اس میں سیکیورٹی رہنمائی کا ایک اہم حصہ غائب ہے۔ اے قابل تحقیق تحقیق رپورٹ میں بتایا گیا کہ 800 میں 2022 ملین ریکارڈ غلط کنفیگریشنز کی وجہ سے سامنے آئے۔ یہ ایک سنگین مسئلہ ہے جس کے لیے خودکار نگرانی کی ضرورت ہوتی ہے تاکہ یہ یقینی بنایا جا سکے کہ ایپ اور کلاؤڈ ایڈمنسٹریٹرز غلطی سے ایسی ترتیب کو ایڈجسٹ نہیں کرتے ہیں جو ڈیٹا کو عوام کے سامنے لاتا ہے۔
-
شناخت کی حفاظت: شناختی حفاظتی کرنسی کا انتظام (ISPM) ضروری آٹھ میں سے ایک اور واضح غلطی ہے۔ SaaS اور کلاؤڈ نے روایتی نیٹ ورک کا دائرہ ختم کر دیا ہے۔ شناخت اپنی جگہ پر کھڑی ہے، درخواست اور دھمکی دینے والے اداکاروں کے درمیان واحد رکاوٹ۔ جبکہ MFA صارف کی توثیق کو ایڈریس کرتا ہے، لیکن یہ غیر فراہم شدہ صارفین، بیرونی صارفین، صارف کی اجازتوں، منتظم کے خطرے، اور صارف پر مبنی دیگر خطرات سے متعلق مسائل کو حل کرنے میں ناکام رہتا ہے۔
-
تھرڈ پارٹی ایپ انٹیگریشن مینجمنٹ: فریق ثالث کی ایپلیکیشنز بنیادی ایپ کی فعالیت کو بہتر بنانے اور ورک فلو کو آسان بنانے میں مدد کرتی ہیں۔ وہ خطرے کی نئی راہیں بھی متعارف کراتے ہیں۔ سادہ OAuth انضمام اکثر مداخلت کرنے والے اسکوپس کے لئے پوچھتا ہے جو درخواست کو تحریری اجازتوں کے ساتھ بااختیار بناتا ہے، جس میں فولڈرز، فائلز، اور پوری ڈرائیوز کو حذف کرنے اور ای میل مراعات کا نظم کرنے کی صلاحیت شامل ہوتی ہے۔
-
وسائل کا کنٹرول: SaaS اور کلاؤڈ ایپلی کیشنز کمپنی کے لاکھوں اثاثوں اور وسائل کو ذخیرہ کرتی ہیں۔ ان میں فائلیں، فولڈرز، پلاننگ بورڈز، ملکیتی سافٹ ویئر کوڈ، اور پروڈکٹ پلانز شامل ہیں۔ ان اثاثوں کو مضبوط حفاظتی اقدامات کے پیچھے محفوظ کیا جانا چاہیے، بجائے اس کے کہ کسی بھی شخص کے لیے لنک ہو یا انٹرنیٹ براؤزر کے ذریعے تلاش کیا جا سکے۔
آج کے خطرات کے لیے کاروبار کی تیاری
آسٹریلیا کے ساتھ ساتھ مشرق وسطیٰ اور افریقہ میں سائبرسیکیوریٹی تنظیمیں جو کہ رہنمائی کے لیے آسٹریلیا کی طرف دیکھتی ہیں، کو جدید نیٹ ورک انفراسٹرکچر سے نمٹنے کے لیے اپنے سیکیورٹی فریم ورک کو اپ ڈیٹ کرنا چاہیے۔
غلط کنفیگریشن مینجمنٹ، ISPM، تھرڈ پارٹی ایپلی کیشنز، اور SaaS ایپلی کیشنز میں محفوظ کمپنی کے اثاثوں کی حفاظت سے متعلق حفاظتی اقدامات کو متعارف کرانا ضروری آٹھ کے لیے اگلا مرحلہ ہونا چاہیے۔
- SEO سے چلنے والا مواد اور PR کی تقسیم۔ آج ہی بڑھا دیں۔
- پلیٹو ڈیٹا ڈاٹ نیٹ ورک ورٹیکل جنریٹو اے آئی۔ اپنے آپ کو بااختیار بنائیں۔ یہاں تک رسائی حاصل کریں۔
- پلیٹوآئ اسٹریم۔ ویب 3 انٹیلی جنس۔ علم میں اضافہ۔ یہاں تک رسائی حاصل کریں۔
- پلیٹو ای ایس جی۔ کاربن، کلین ٹیک، توانائی ، ماحولیات، شمسی، ویسٹ مینجمنٹ یہاں تک رسائی حاصل کریں۔
- پلیٹو ہیلتھ۔ بائیوٹیک اینڈ کلینیکل ٹرائلز انٹیلی جنس۔ یہاں تک رسائی حاصل کریں۔
- ماخذ: https://www.darkreading.com/cybersecurity-operations/missing-cybersecurity-mark-with-essential-eight
