Apple सुरक्षा परिदृश्य: उद्यम जोखिम की दुनिया में आगे बढ़ना

क्या आप ट्रांसफॉर्म 2022 में शामिल नहीं हो पाए? हमारी ऑन-डिमांड लाइब्रेरी में अभी सभी शिखर सम्मेलन देखें! यहां देखें.


सेब के उपकरण हैकिंग से सुरक्षित नहीं हैं, लेकिन सालों से ऐसा लगता था। जबकि Microsoft जैसे अन्य विक्रेताओं को उद्यम बाजार को लक्षित करने वाले जटिल कारनामों का खामियाजा भुगतना पड़ा, macOS और iOS को उपभोक्ता-केंद्रित विक्रेता के समान दबाव का सामना नहीं करना पड़ा।

फिर भी, यह बदलता दिख रहा है। ऊंचाई के दौरान कोविड-19 महामारी, एटलस वीपीएन ने बताया कि 2021 की दूसरी छमाही में Apple की उत्पाद भेद्यता 467% बढ़कर 380 कारनामे हो गई।

इसी तरह, अकेले इस वर्ष, 8 सार्वजनिक रूप से प्रकट किए गए शून्य-दिन की भेद्यताएं हैं जिनका उपयोग हमलों में किया गया है आई – फ़ोन तथा Mac उपकरण। सबसे हाल ही में, सीवीई-2022-32917एक हमलावर को कर्नेल विशेषाधिकारों के साथ उपयोगकर्ता के डिवाइस पर दुर्भावनापूर्ण कोड चलाने में सक्षम बनाता है।

जबकि कोई भी विक्रेता कमजोरियों से सुरक्षित नहीं है, Apple डिवाइस साइबर अपराधियों के शोषण के लिए एक बड़ा लक्ष्य बन रहे हैं, खासकर जब वे उद्यम वातावरण में प्रवेश करते हैं।

आयोजन

मेटाबीट 2022

मेटाबीट 4 अक्टूबर को सैन फ्रांसिस्को, सीए में सभी उद्योगों के संचार और व्यापार करने के तरीके को कैसे बदल देगा, इस पर मार्गदर्शन देने के लिए विचारशील नेताओं को एक साथ लाएगा।

यहां रजिस्टर करें

Apple के लिए खतरे का परिदृश्य कैसे बदल रहा है

COVID-19 महामारी के दौरान कमजोरियों में वृद्धि उल्लेखनीय है क्योंकि यह लगभग उसी समय हुआ जब Apple उपकरणों को उद्यम नेटवर्क में अधिक से अधिक अपनाया जाने लगा।

उसी वर्ष 2021 में, आईडीसी पाया गया कि 1,000 या अधिक कर्मचारियों के उद्यमों में macOS उपकरणों की औसत पैठ 2019 में 17% की तुलना में 23% तक बढ़ गई थी। यह तब हुआ जब संगठनों ने दूरस्थ कार्य को अपनाया और कर्मचारियों को घर से काम करने के लिए व्यक्तिगत उपकरणों का उपयोग करने में सक्षम बनाया।

यह ध्यान रखना महत्वपूर्ण है कि यह वृद्धि नवंबर 2020 की रिलीज़ के तुरंत बाद भी हुई थी एप्पल M1 चिप – Apple की पहली कंप्यूटर चिप को इन-हाउस डिज़ाइन किया गया है जो उच्च-बैंडविड्थ और कम विलंबता प्रदान करती है – Q2 2021 में $ 9.1 बिलियन का एक सर्वकालिक मैक राजस्व रिकॉर्ड स्थापित किया।

किसी भी मामले में, उद्यम अपनाने में वृद्धि ने Apple के लिए खतरे के परिदृश्य को बदल दिया है, और विक्रेता को खतरे वाले अभिनेताओं के लिए एक बड़ा लक्ष्य बना दिया है जो इन उपकरणों को संरक्षित जानकारी तक पहुंच प्राप्त करने के लिए संभावित प्रवेश बिंदु के रूप में देखते हैं।

फॉरेस्टर के उपाध्यक्ष और प्रमुख विश्लेषक जेफ पोलार्ड ने कहा, “हमलावर वहां जाते हैं जहां उनके लक्ष्य होते हैं, जो उन्हें ऐप्पल तक ले जाएंगे।” “जैसा कि अधिक उद्यम उपयोगकर्ता ऐप्पल हार्डवेयर और सेवाओं को अपनाते हैं, हमलावर उस प्रवृत्ति का पालन करेंगे और तदनुसार प्रतिक्रिया देंगे। Apple सॉफ्टवेयर और हार्डवेयर जारी रहेगा [to] ऐसे हमलों का सामना करना पड़ता है जो अधिक बार-बार हो जाते हैं – और अभिनव – समय के साथ-साथ गोद लेने की दर में वृद्धि होती है। यह उच्च गोद लेने की दर के दुष्प्रभावों में से एक है।”

साथ एप्पल एम2 चिप हाल ही में 6 जून को Apple के WWDC 2022 सम्मेलन में अनावरण किया गया, यह संभावना है कि विक्रेता के समाधानों में उद्यम की रुचि बढ़ेगी।

तो, जोखिम क्या है?

इस स्तर पर, जबकि Apple उपकरणों का शोषण बढ़ रहा है, जोखिम का स्तर किसी अन्य सॉफ़्टवेयर विक्रेता की तुलना में आवश्यक रूप से अधिक नहीं है। Apple से उभरने वाली शून्य-दिन की कमजोरियों की संख्या बढ़ गया हैलेकिन यह अभी भी Microsoft से बहुत नीचे है।

के मुताबिक CISA ज्ञात भेद्यता सूचीMicrosoft के पास 2022 की शुरुआत से 242 ज्ञात शोषित भेद्यताएं हैं, जबकि Apple की 50 और Google की 43 की तुलना में।

हालांकि यह उम्मीद की जा सकती है, बाजार पर सबसे प्रमुख उद्यम विक्रेता के रूप में माइक्रोसॉफ्ट के इतिहास को देखते हुए, माइक्रोसॉफ्ट पारिस्थितिकी तंत्र में उत्पादों को लक्षित और शोषण करने के लिए चौबीसों घंटे काम करने वाले खतरे वाले अभिनेता।

फिर भी, Apple को MIT के शोधकर्ताओं द्वारा Apple M1 चिप में एक अप्राप्य भेद्यता की खोज करने के नतीजों से भी जूझना पड़ा, जिसे इस नाम से जाना जाता है pacman. शोषण एक हैकर को सॉफ्टवेयर बग हमलों का पता लगाने से रोकने के लिए Apple M1 चिप के पॉइंटर प्रमाणीकरण तंत्र को अक्षम करने के लिए एक उपन्यास हार्डवेयर हमला करने में सक्षम बनाता है।

इस भेद्यता की गंभीरता बहस का विषय है, भेद्यता का उपयोग करके कोई हमला दर्ज नहीं किया गया है, और Apple के पास है कहा गया है कि, “यह समस्या हमारे उपयोगकर्ताओं के लिए तत्काल जोखिम पैदा नहीं करती है और ऑपरेटिंग सुरक्षा सुरक्षा को अपने आप बायपास करने के लिए अपर्याप्त है।”

मोटे तौर पर, यह सुझाव देने के लिए शोध है कि मैक में अंतर्निहित सुरक्षा लचीलापन है।

2019 में Apple द्वारा कमीशन किए जाने के बाद, फॉरेस्टर कार्यस्थल पर मैक को तैनात करने के कुल आर्थिक प्रभाव का आकलन करने के लिए अमेरिका, यूके, कनाडा, जर्मनी और ऑस्ट्रेलिया के उद्यमों के 351 सुरक्षा नेताओं का एक ऑनलाइन सर्वेक्षण किया। सर्वेक्षण में पाया गया कि मैक परिनियोजन वास्तव में सुरक्षा बढ़ा सकता है।

रिपोर्ट के प्रमुख निष्कर्षों में से एक यह था कि डेटा उल्लंघन का जोखिम प्रति तैनात मैक पर 50% तक कम हो गया था। सर्वेक्षण के दौरान, साक्षात्कारकर्ताओं ने स्वचालित डेटा एन्क्रिप्शन जैसी अंतर्निहित सुरक्षा सुविधाओं का हवाला दिया, एंटी-मेलवेयर उनकी सुरक्षा स्थिति को बनाए रखने में मदद करने के लिए मोबाइल डिवाइस प्रबंधन (एमडीएम) तकनीक में क्षमताओं, और नामांकन में आसानी।

इसी तरह, संगठन आईओएस 16 में नई सुरक्षा सुविधाओं के साथ अपने लचीलेपन को सख्त करने का लक्ष्य बना रहा है, जो उपयोगकर्ताओं को क्रेडेंशियल चोरी से बचाने के लिए पासकी के रूप में पासवर्ड रहित प्रमाणीकरण विकल्प प्रदान करता है, साथ ही साथ लॉकडाउन मोड, एक नई सुरक्षा सुविधा जिसे “उन उपयोगकर्ताओं को विशेष अतिरिक्त सुरक्षा प्रदान करने के लिए डिज़ाइन किया गया है जो अत्यधिक लक्षित साइबर हमले के जोखिम में हो सकते हैं।”

लॉकडाउन मोड इसे इतना संदेश अनुलग्नक प्रकार बनाता है और फेस टाइम कॉल अवरुद्ध हैं, और लिंक पूर्वावलोकन, जटिल वेब ब्राउज़िंग तकनीकों जैसे जस्ट-इन-टाइम (JIT) जावास्क्रिप्ट संकलन, और वायर्ड कनेक्शन (जब iPhone लॉक हो) को अक्षम कर देता है।

वास्तविक जोखिम: व्यक्तिगत उपकरण और दूरस्थ कार्य

इन उपकरणों के आसपास मुख्य जोखिम इस तथ्य में निहित है कि इन्हें अक्सर व्यक्तिगत उपकरणों के रूप में उपयोग किया जाता है।

समानताएं शोध से पता चलता है कि, उन संगठनों में से जो कार्यस्थल में मैक उपकरणों को अनुमति देते हैं, 26.3% ऐसा करते हैं अपने स्वयं के डिवाइस (बीओओडी) नीति के हिस्से के रूप में करते हैं, जबकि 29.4% अपने स्वयं के चयन के हिस्से के रूप में ऐसा करते हैं। -डिवाइस (CYOD) नीति। इसका मतलब है कि संगठन की व्यापक समापन बिंदु प्रबंधन रणनीति के साथ एकीकरण का स्पष्ट अभाव है।

ऐसे उपकरणों का रखरखाव सीधे सुरक्षा टीमों द्वारा नहीं किया जाता है जो उन्हें पैच करने और प्रबंधित करने की ज़िम्मेदारी ले सकते हैं, लेकिन कर्मचारियों द्वारा, जिन पर संगठनों को नवीनतम पैच डाउनलोड करने और सुरक्षा-सचेत व्यवहार बनाए रखने के लिए भरोसा करना पड़ता है।

नतीजतन, सुरक्षा नेताओं को यह पहचानने की जरूरत है कि ऐप्पल उपकरणों के शोषण में वृद्धि को कार्यस्थल में कौन से व्यक्तिगत उपकरणों की अनुमति है, और उन्हें किन संसाधनों तक पहुंचने की अनुमति है, इस पर मजबूत नियंत्रण के साथ कम किया जाना चाहिए। ऐसा नहीं करने पर खतरा काफी हद तक बढ़ जाएगा।

एक मालवेयरबाइट्स सर्वेक्षण पाया कि 20% संगठनों को एक दूरस्थ कार्यकर्ता के परिणामस्वरूप सुरक्षा उल्लंघन का सामना करना पड़ा; एक उच्च संभावना है कि संभावित प्रवेश बिंदुओं का शोषण किया जा सकता है और किया जाएगा।

Apple व्यक्तिगत उपकरणों के लिए जोखिम कम करना

सामान्य तौर पर, उद्यम स्वचालित अपडेट चालू करके और यह सुनिश्चित करके उपकरणों के लिए खतरों को कम कर सकते हैं कि डिवाइस पैच और अप-टू-डेट रहें। चुनौती यह गारंटी दे रही है कि कर्मचारी इन पैच को स्थापित कर रहे हैं।

नतीजतन, उद्यमों को व्यक्तिगत उपकरणों के उपयोग पर स्पष्ट नीतियों को परिभाषित करने की आवश्यकता है। जबकि घर से काम करने वाले कई कर्मचारियों के साथ व्यक्तिगत उपकरणों पर पूरी तरह से प्रतिबंध लगाना अव्यावहारिक है, डेटा परिसंपत्तियों और संसाधनों के प्रकार पर स्पष्ट सीमाएं परिभाषित होनी चाहिए, जिन तक कर्मचारी पहुंच सकते हैं।

घर से काम करने वाले उपकरणों का उपयोग करने वाले कर्मचारियों के लिए, मोबाइल डिवाइस प्रबंधन (एमडीएम) समाधान जैसे जामफ तथा माइक्रोसॉफ्ट इंट्यून यह सुनिश्चित करने के लिए कि प्रत्येक सिस्टम को पैच किया गया है और समझौता करने के लिए अतिसंवेदनशील नहीं छोड़ा गया है, सुरक्षा टीमों को एक ही स्थान से कई Apple उपकरणों का प्रबंधन करने में मदद कर सकता है।

जैम्फ में पोर्टफोलियो स्ट्रैटेजी के उपाध्यक्ष माइकल कोविंगटन ने कहा, “डिवाइस प्रबंधन वास्तव में मोबाइल कर्मचारियों और उनके द्वारा उपयोग किए जाने वाले संवेदनशील व्यावसायिक डेटा की सुरक्षा के लिए एक स्तरित रक्षा के निर्माण में पहला कदम है।” “एमडीएम समाधान यह सुनिश्चित करने में मदद कर सकते हैं कि डिवाइस सुरक्षित रूप से कॉन्फ़िगर किए गए हैं, कि वे सबसे अद्यतित ऑपरेटिंग सिस्टम चला रहे हैं और नवीनतम सुरक्षा पैच हैं, जबकि सुरक्षित वाई-फाई सेटिंग्स और पासवर्ड आवश्यकताओं को भी कॉन्फ़िगर कर रहे हैं।”

कोविंगटन यह भी नोट करता है कि इन उपकरणों का उपयोग दूरस्थ उपकरणों के लिए समापन बिंदु सुरक्षा समाधान स्थापित करने के लिए किया जा सकता है, और खतरों को कम करने के लिए कार्रवाई करने के लिए एक नीति प्रवर्तन बिंदु प्रदान करता है, जैसे कि समझौता किए गए उपकरणों को संगरोध करना।

वेंचरबीट का मिशन तकनीकी निर्णय निर्माताओं के लिए परिवर्तनकारी उद्यम प्रौद्योगिकी और लेनदेन के बारे में ज्ञान प्राप्त करने के लिए एक डिजिटल टाउन स्क्वायर होना है। हमारे ब्रीफिंग की खोज करें।

amar-bangla-patrika