ہمارے پاس 4 جولائی کا بڑا دن تھا۔ . آج ہم Qualys سے Andrey Novikov کی تقریر کا ایک ٹرانسکرپٹ شائع کر رہے ہیں۔ وہ آپ کو بتائے گا کہ آپ کو کمزوری کے انتظام کے ورک فلو کو بنانے کے لیے کن مراحل سے گزرنے کی ضرورت ہے۔ سپوئلر: ہم اسکین کرنے سے پہلے صرف آدھے راستے تک پہنچیں گے۔
مرحلہ نمبر 1: اپنے خطرے کے انتظام کے عمل کی پختگی کی سطح کا تعین کریں۔
بالکل شروع میں، آپ کو یہ سمجھنے کی ضرورت ہے کہ آپ کی تنظیم خطرے کے انتظام کے عمل کی پختگی کے لحاظ سے کس مرحلے پر ہے۔ اس کے بعد ہی آپ سمجھ سکیں گے کہ کہاں منتقل ہونا ہے اور کیا اقدامات کرنے کی ضرورت ہے۔ اسکینز اور دیگر سرگرمیاں شروع کرنے سے پہلے، تنظیموں کو یہ سمجھنے کے لیے کچھ اندرونی کام کرنے کی ضرورت ہے کہ آپ کے موجودہ عمل کو IT اور معلوماتی تحفظ کے نقطہ نظر سے کس طرح تشکیل دیا گیا ہے۔
بنیادی سوالات کے جوابات دینے کی کوشش کریں:
- کیا آپ کے پاس انوینٹری اور اثاثوں کی درجہ بندی کا عمل ہے؟
- آئی ٹی انفراسٹرکچر کو کتنی باقاعدگی سے اسکین کیا جاتا ہے اور پورے انفراسٹرکچر کا احاطہ کیا جاتا ہے، کیا آپ پوری تصویر دیکھتے ہیں؛
- کیا آپ کے آئی ٹی وسائل کی نگرانی کی جاتی ہے؟
- کیا آپ کے عمل میں کوئی KPIs نافذ ہیں اور آپ کیسے سمجھتے ہیں کہ ان کی تکمیل ہو رہی ہے؛
- کیا یہ تمام عمل دستاویزی ہیں؟
مرحلہ نمبر 2: مکمل انفراسٹرکچر کوریج کو یقینی بنائیں
آپ جس چیز کے بارے میں نہیں جانتے اس کی حفاظت نہیں کر سکتے۔ اگر آپ کے پاس اس کی مکمل تصویر نہیں ہے کہ آپ کا IT انفراسٹرکچر کس چیز سے بنا ہے، تو آپ اس کی حفاظت نہیں کر پائیں گے۔ جدید بنیادی ڈھانچہ پیچیدہ ہے اور مقداری اور معیاری طور پر مسلسل تبدیل ہوتا رہتا ہے۔
اب آئی ٹی کا بنیادی ڈھانچہ نہ صرف کلاسک ٹیکنالوجیز (ورک سٹیشنز، سرورز، ورچوئل مشینوں) کے ڈھیر پر مبنی ہے، بلکہ نسبتاً نئی ٹیکنالوجیز - کنٹینرز، مائیکرو سروسز پر بھی مبنی ہے۔ انفارمیشن سیکیورٹی سروس مؤخر الذکر سے ہر ممکن طریقے سے بھاگ رہی ہے، کیونکہ اس کے لیے موجودہ ٹول سیٹس کا استعمال کرتے ہوئے ان کے ساتھ کام کرنا بہت مشکل ہے، جو بنیادی طور پر اسکینرز پر مشتمل ہوتا ہے۔ مسئلہ یہ ہے کہ کوئی بھی سکینر پورے انفراسٹرکچر کا احاطہ نہیں کر سکتا۔ انفراسٹرکچر میں کسی بھی نوڈ تک پہنچنے کے لیے سکینر کے لیے، کئی عوامل کا ہونا ضروری ہے۔ اسکیننگ کے وقت اثاثہ تنظیم کے دائرہ کار کے اندر ہونا چاہیے۔ مکمل معلومات جمع کرنے کے لیے اسکینر کے پاس اثاثوں اور ان کے اکاؤنٹس تک نیٹ ورک تک رسائی ہونی چاہیے۔
ہمارے اعداد و شمار کے مطابق، جب درمیانی یا بڑی تنظیموں کی بات آتی ہے، تقریباً 15-20% انفراسٹرکچر کسی نہ کسی وجہ سے سکینر کے ذریعے حاصل نہیں کیا جاتا ہے: اثاثہ دائرہ سے باہر چلا گیا ہے یا دفتر میں کبھی ظاہر نہیں ہوتا ہے۔ مثال کے طور پر، کسی ملازم کا لیپ ٹاپ جو دور سے کام کرتا ہے لیکن پھر بھی کارپوریٹ نیٹ ورک تک رسائی رکھتا ہے، یا اثاثہ بیرونی کلاؤڈ سروسز جیسے ایمیزون میں موجود ہے۔ اور اسکینر، غالباً، ان اثاثوں کے بارے میں کچھ نہیں جان سکے گا، کیونکہ یہ اس کے مرئی زون سے باہر ہیں۔
پورے انفراسٹرکچر کا احاطہ کرنے کے لیے، آپ کو نہ صرف اسکینرز استعمال کرنے ہوں گے، بلکہ سینسرز کا ایک پورا سیٹ، بشمول آپ کے انفراسٹرکچر میں نئے آلات کا پتہ لگانے کے لیے غیر فعال ٹریفک سننے والی ٹیکنالوجیز، معلومات حاصل کرنے کے لیے ایجنٹ ڈیٹا اکٹھا کرنے کا طریقہ - آپ کو آن لائن ڈیٹا حاصل کرنے کی اجازت دیتا ہے، بغیر اسکیننگ کی ضرورت، اسناد کو نمایاں کیے بغیر۔
مرحلہ نمبر 3: اثاثوں کی درجہ بندی کریں۔
تمام اثاثے برابر نہیں بنائے جاتے۔ یہ تعین کرنا آپ کا کام ہے کہ کون سے اثاثے اہم ہیں اور کون سے نہیں۔ کوئی ٹول، جیسا کہ سکینر، آپ کے لیے ایسا نہیں کرے گا۔ مثالی طور پر، انفارمیشن سیکیورٹی، آئی ٹی اور کاروبار مل کر کام کرتے ہیں تاکہ بنیادی ڈھانچے کا تجزیہ کیا جا سکے تاکہ کاروباری اہم نظاموں کی شناخت کی جا سکے۔ ان کے لیے، وہ دستیابی، سالمیت، رازداری، RTO/RPO، وغیرہ کے لیے قابل قبول میٹرکس کا تعین کرتے ہیں۔
اس سے آپ کو اپنے خطرے کے انتظام کے عمل کو ترجیح دینے میں مدد ملے گی۔ جب آپ کے ماہرین کو کمزوریوں سے متعلق ڈیٹا موصول ہوتا ہے، تو یہ پورے انفراسٹرکچر میں ہزاروں کمزوریوں پر مشتمل ایک شیٹ نہیں ہوگی، بلکہ سسٹم کی نازکیت کو مدنظر رکھتے ہوئے دانے دار معلومات ہوگی۔
مرحلہ نمبر 4: انفراسٹرکچر کا جائزہ لیں۔
اور صرف چوتھے مرحلے پر ہم کمزوریوں کے نقطہ نظر سے انفراسٹرکچر کا اندازہ لگاتے ہیں۔ اس مرحلے پر، ہم تجویز کرتے ہیں کہ آپ نہ صرف سافٹ ویئر کی کمزوریوں پر توجہ دیں، بلکہ کنفیگریشن کی خرابیوں پر بھی توجہ دیں، جو کہ ایک خطرہ بھی ہو سکتی ہے۔ یہاں ہم معلومات جمع کرنے کے ایجنٹ کا طریقہ تجویز کرتے ہیں۔ سکینرز کو فریمیٹر سیکیورٹی کا اندازہ لگانے کے لیے استعمال کیا جا سکتا ہے اور کیا جانا چاہیے۔ اگر آپ کلاؤڈ فراہم کنندگان کے وسائل استعمال کرتے ہیں، تو آپ کو وہاں سے اثاثوں اور کنفیگریشنز کے بارے میں بھی معلومات جمع کرنے کی ضرورت ہے۔ ڈوکر کنٹینرز کا استعمال کرتے ہوئے انفراسٹرکچر میں کمزوریوں کا تجزیہ کرنے پر خصوصی توجہ دیں۔
مرحلہ نمبر 5: رپورٹنگ ترتیب دیں۔
یہ خطرے کے انتظام کے عمل کے اندر اہم عناصر میں سے ایک ہے۔
پہلا نکتہ: کوئی بھی متعدد صفحات پر مشتمل رپورٹس کے ساتھ کمزوریوں کی بے ترتیب فہرست اور ان کو ختم کرنے کے طریقہ کی وضاحت کے ساتھ کام نہیں کرے گا۔ سب سے پہلے، آپ کو ساتھیوں کے ساتھ بات چیت کرنے کی ضرورت ہے اور یہ معلوم کرنا ہوگا کہ رپورٹ میں کیا ہونا چاہیے اور ڈیٹا حاصل کرنا ان کے لیے کس طرح زیادہ آسان ہے۔ مثال کے طور پر، کچھ منتظم کو کمزوری کی تفصیلی وضاحت کی ضرورت نہیں ہوتی ہے اور اسے صرف پیچ کے بارے میں معلومات اور اس کے لنک کی ضرورت ہوتی ہے۔ ایک اور ماہر صرف نیٹ ورک کے بنیادی ڈھانچے میں پائی جانے والی کمزوریوں کی پرواہ کرتا ہے۔
دوسرا نکتہ: رپورٹنگ سے میرا مطلب صرف کاغذی رپورٹس نہیں۔ یہ معلومات حاصل کرنے کا ایک پرانا فارمیٹ اور ایک جامد کہانی ہے۔ ایک شخص کو ایک رپورٹ موصول ہوتی ہے اور وہ کسی بھی طرح اس پر اثر انداز نہیں ہو سکتا کہ اس رپورٹ میں ڈیٹا کیسے پیش کیا جائے گا۔ رپورٹ کو مطلوبہ شکل میں حاصل کرنے کے لیے، آئی ٹی ماہر کو معلوماتی تحفظ کے ماہر سے رابطہ کرنا چاہیے اور اس سے رپورٹ کو دوبارہ بنانے کے لیے کہنا چاہیے۔ جیسے جیسے وقت گزرتا ہے، نئی کمزوریاں ظاہر ہوتی ہیں۔ رپورٹوں کو محکمہ سے محکمے تک پہنچانے کے بجائے، دونوں شعبوں کے ماہرین کو آن لائن ڈیٹا کی نگرانی کرنے اور ایک ہی تصویر دیکھنے کے قابل ہونا چاہیے۔ لہذا، ہم اپنے پلیٹ فارم میں متحرک رپورٹس کو حسب ضرورت ڈیش بورڈز کی شکل میں استعمال کرتے ہیں۔
مرحلہ نمبر 6: ترجیح دیں۔
یہاں آپ درج ذیل کام کر سکتے ہیں۔
1. نظاموں کی سنہری تصاویر کے ساتھ ایک ذخیرہ بنانا۔ سنہری امیجز کے ساتھ کام کریں، ان کو کمزوریوں کے لیے چیک کریں اور مستقل بنیادوں پر درست کنفیگریشن کریں۔ یہ ان ایجنٹوں کی مدد سے کیا جا سکتا ہے جو خود بخود ایک نئے اثاثے کے ابھرنے کی اطلاع دیں گے اور اس کی کمزوریوں کے بارے میں معلومات فراہم کریں گے۔
2. ان اثاثوں پر توجہ مرکوز کریں جو کاروبار کے لیے اہم ہیں۔ دنیا میں ایک بھی ایسا ادارہ نہیں جو ایک ہی بار میں کمزوریوں کو ختم کر سکے۔ کمزوریوں کو ختم کرنے کا عمل طویل اور تھکا دینے والا بھی ہے۔
3. حملے کی سطح کو تنگ کرنا۔ اپنے بنیادی ڈھانچے کو غیر ضروری سافٹ ویئر اور خدمات سے صاف کریں، غیر ضروری بندرگاہوں کو بند کریں۔ ہمارے پاس حال ہی میں ایک کمپنی کے ساتھ ایک کیس تھا جس میں 40 ہزار ڈیوائسز پر موزیلا براؤزر کے پرانے ورژن سے متعلق تقریباً 100 ہزار کمزوریاں پائی گئیں۔ جیسا کہ بعد میں پتہ چلا، موزیلا کو کئی سال پہلے سنہری تصویر میں متعارف کرایا گیا تھا، کوئی بھی اسے استعمال نہیں کرتا، لیکن یہ بڑی تعداد میں کمزوریوں کا ذریعہ ہے۔ جب براؤزر کو کمپیوٹرز سے ہٹا دیا گیا (یہ کچھ سرورز پر بھی تھا)، تو یہ دسیوں ہزار خطرات غائب ہو گئے۔
4. خطرے کی انٹیلی جنس کی بنیاد پر کمزوریوں کی درجہ بندی کریں۔ نہ صرف خطرے کی تنقید پر غور کریں، بلکہ عوامی استحصال، مالویئر، پیچ، یا کمزوری کے ساتھ سسٹم تک بیرونی رسائی کی موجودگی پر بھی غور کریں۔ اہم کاروباری نظاموں پر اس خطرے کے اثرات کا اندازہ لگائیں: کیا یہ ڈیٹا کے نقصان، سروس سے انکار، وغیرہ کا باعث بن سکتا ہے۔
مرحلہ #7: KPIs پر متفق ہوں۔
اسکیننگ کی خاطر اسکین نہ کریں۔ اگر پائی جانے والی کمزوریوں سے کچھ نہیں ہوتا ہے، تو یہ سکیننگ ایک بیکار آپریشن میں بدل جاتی ہے۔ کمزوریوں کے ساتھ کام کو ایک رسمی حیثیت بننے سے روکنے کے لیے، اس کے بارے میں سوچیں کہ آپ اس کے نتائج کا کیسے جائزہ لیں گے۔ انفارمیشن سیکیورٹی اور آئی ٹی کو اس بات پر متفق ہونا چاہیے کہ کمزوریوں کو ختم کرنے کے کام کو کس طرح ترتیب دیا جائے گا، کتنی بار اسکین کیے جائیں گے، پیچ نصب کیے جائیں گے، وغیرہ۔
سلائیڈ پر آپ ممکنہ KPIs کی مثالیں دیکھتے ہیں۔ ایک توسیعی فہرست بھی ہے جو ہم اپنے گاہکوں کو تجویز کرتے ہیں۔ اگر آپ دلچسپی رکھتے ہیں تو، براہ کرم مجھ سے رابطہ کریں، میں آپ کے ساتھ یہ معلومات شیئر کروں گا۔
مرحلہ نمبر 8: خودکار
دوبارہ اسکیننگ پر واپس جائیں۔ Qualys میں، ہم سمجھتے ہیں کہ سکیننگ سب سے زیادہ غیر اہم چیز ہے جو آج کے خطرے کے انتظام کے عمل میں ہو سکتی ہے، اور یہ کہ سب سے پہلے اسے زیادہ سے زیادہ خودکار ہونے کی ضرورت ہے تاکہ اسے معلوماتی تحفظ کے ماہر کی شرکت کے بغیر انجام دیا جائے۔ آج بہت سارے ٹولز ہیں جو آپ کو ایسا کرنے کی اجازت دیتے ہیں۔ یہ کافی ہے کہ ان کے پاس ایک کھلا API اور مطلوبہ تعداد میں کنیکٹر ہیں۔
میں جو مثال دینا چاہتا ہوں وہ ہے DevOps۔ اگر آپ وہاں کمزوری اسکینر کو لاگو کرتے ہیں، تو آپ DevOps کو بھول سکتے ہیں۔ پرانی ٹیکنالوجیز کے ساتھ، جو کہ ایک کلاسک اسکینر ہے، آپ کو ان عملوں میں داخل ہونے کی اجازت نہیں ہوگی۔ ڈویلپرز آپ کے اسکین کرنے اور انہیں کثیر صفحات پر مشتمل، تکلیف دہ رپورٹ دینے کا انتظار نہیں کریں گے۔ ڈویلپرز توقع کرتے ہیں کہ کمزوریوں کے بارے میں معلومات بگ کی معلومات کی شکل میں ان کے کوڈ اسمبلی سسٹم میں داخل ہوں گی۔ سیکورٹی کو بغیر کسی رکاوٹ کے ان عملوں میں بنایا جانا چاہئے، اور یہ صرف ایک خصوصیت ہونی چاہئے جو آپ کے ڈویلپرز کے ذریعہ استعمال کردہ سسٹم کے ذریعہ خود بخود کال کی جاتی ہے۔
مرحلہ نمبر 9: ضروری چیزوں پر توجہ دیں۔
اس بات پر توجہ مرکوز کریں کہ آپ کی کمپنی کے لیے حقیقی قدر کیا ہے۔ اسکین خودکار ہو سکتے ہیں، رپورٹیں بھی خود بخود بھیجی جا سکتی ہیں۔
عمل کو بہتر بنانے پر توجہ مرکوز کریں تاکہ ان میں شامل ہر فرد کے لیے انہیں مزید لچکدار اور آسان بنایا جا سکے۔ اس بات کو یقینی بنانے پر توجہ مرکوز کریں کہ سیکیورٹی آپ کے ہم منصبوں کے ساتھ تمام معاہدوں میں شامل ہے، جو، مثال کے طور پر، آپ کے لیے ویب ایپلیکیشنز تیار کرتے ہیں۔
اگر آپ کو اپنی کمپنی میں خطرے کے انتظام کے عمل کو بنانے کے بارے میں مزید تفصیلی معلومات درکار ہیں، تو براہ کرم مجھ سے اور میرے ساتھیوں سے رابطہ کریں۔ مجھے مدد کرنے میں خوشی ہوگی۔
ماخذ: www.habr.com