2023 میں کلاؤڈ سیکیورٹی کے خطرات
جیسا کہ ہم 2023 میں آگے بڑھ رہے ہیں، یہ ضروری ہے کہ بادل کے حفاظتی خطرات سے آگاہ رہیں جو آپ کی تنظیم کو متاثر کر سکتے ہیں۔ 2023 میں، کلاؤڈ سیکیورٹی کے خطرات بڑھتے رہیں گے اور مزید نفیس ہوتے جائیں گے۔
2023 میں غور کرنے والی چیزوں کی فہرست یہ ہے:
1. اپنے بنیادی ڈھانچے کو سخت کرنا
اپنے کلاؤڈ انفراسٹرکچر کی حفاظت کا ایک بہترین طریقہ یہ ہے کہ اسے حملوں کے خلاف سخت کیا جائے۔ اس میں یہ یقینی بنانا شامل ہے کہ آپ کے سرورز اور دیگر اہم اجزاء مناسب طریقے سے تشکیل شدہ اور تازہ ترین ہیں۔
اپنے آپریٹنگ سسٹم کو سخت کرنا ضروری ہے کیونکہ آج کل کلاؤڈ سیکیورٹی کے بہت سے خطرات فرسودہ سافٹ ویئر میں کمزوریوں کا فائدہ اٹھاتے ہیں۔ مثال کے طور پر، 2017 میں WannaCry ransomware حملے نے ونڈوز آپریٹنگ سسٹم میں اس خامی کا فائدہ اٹھایا جس پر پیچ نہیں کیا گیا تھا۔
2021 میں، رینسم ویئر کے حملوں میں 20 فیصد اضافہ ہوا۔ جیسے جیسے مزید کمپنیاں کلاؤڈ پر منتقل ہوتی ہیں، اس قسم کے حملوں سے بچانے کے لیے اپنے بنیادی ڈھانچے کو سخت کرنا ضروری ہے۔
اپنے بنیادی ڈھانچے کو سخت کرنے سے آپ کو بہت سے عام حملوں کو کم کرنے میں مدد مل سکتی ہے، بشمول:
- DDoS حملے
- ایس کیو ایل انجیکشن حملے
- کراس سائٹ اسکرپٹنگ (XSS) حملے
DDoS حملہ کیا ہے؟
DDoS حملہ سائبر حملے کی ایک قسم ہے جو ایک سرور یا نیٹ ورک کو نشانہ بناتا ہے جس میں ٹریفک کا سیلاب ہوتا ہے یا اسے اوور لوڈ کرنے کی درخواست کرتا ہے۔ DDoS حملے بہت خلل ڈالنے والے ہو سکتے ہیں اور کسی ویب سائٹ یا سروس کو صارفین کے لیے غیر دستیاب ہونے کا سبب بن سکتے ہیں۔
DDos حملے کے اعداد و شمار:
– 2018 میں، 300 کے مقابلے DDoS حملوں میں 2017% اضافہ ہوا۔
- DDoS حملے کی اوسط لاگت $2.5 ملین ہے۔
ایس کیو ایل انجیکشن حملہ کیا ہے؟
ایس کیو ایل انجیکشن اٹیک سائبر اٹیک کی ایک قسم ہے جو کسی ایپلیکیشن کے کوڈ میں موجود کمزوریوں کا فائدہ اٹھا کر ڈیٹا بیس میں نقصان دہ ایس کیو ایل کوڈ داخل کرتی ہے۔ اس کوڈ کو پھر حساس ڈیٹا تک رسائی حاصل کرنے یا ڈیٹا بیس کو کنٹرول کرنے کے لیے استعمال کیا جا سکتا ہے۔
SQL انجیکشن حملے ویب پر حملوں کی سب سے عام اقسام میں سے ایک ہیں۔ درحقیقت، وہ اتنے عام ہیں کہ اوپن ویب ایپلیکیشن سیکیورٹی پروجیکٹ (OWASP) انہیں ویب ایپلیکیشن سیکیورٹی کے 10 سرفہرست خطرات میں سے ایک کے طور پر درج کرتا ہے۔
ایس کیو ایل انجیکشن اٹیک کے اعداد و شمار:
- 2017 میں، ایس کیو ایل انجیکشن حملے تقریباً 4,000 ڈیٹا کی خلاف ورزیوں کے لیے ذمہ دار تھے۔
- ایس کیو ایل انجیکشن اٹیک کی اوسط لاگت $1.6 ملین ہے۔
کراس سائٹ اسکرپٹنگ (XSS) کیا ہے؟
کراس سائٹ اسکرپٹنگ (XSS) سائبر حملے کی ایک قسم ہے جس میں کسی ویب صفحہ میں بدنیتی پر مبنی کوڈ داخل کرنا شامل ہے۔ اس کوڈ کو پھر غیر مشکوک صارفین جو صفحہ وزٹ کرتے ہیں اس پر عمل درآمد کیا جاتا ہے، جس کے نتیجے میں ان کے کمپیوٹر سے سمجھوتہ کیا جاتا ہے۔
XSS حملے بہت عام ہیں اور اکثر حساس معلومات جیسے کہ پاس ورڈ اور کریڈٹ کارڈ نمبر چرانے کے لیے استعمال ہوتے ہیں۔ ان کا استعمال متاثرہ کے کمپیوٹر پر میلویئر انسٹال کرنے یا انہیں کسی نقصاندہ ویب سائٹ پر بھیجنے کے لیے بھی کیا جا سکتا ہے۔
کراس سائٹ اسکرپٹنگ (XSS) کے اعداد و شمار:
- 2017 میں، تقریباً 3,000 ڈیٹا کی خلاف ورزیوں کے لیے XSS حملے ذمہ دار تھے۔
- XSS حملے کی اوسط لاگت $1.8 ملین ہے۔
2. کلاؤڈ سیکیورٹی کے خطرات
کلاؤڈ سیکیورٹی کے بہت سے مختلف خطرات ہیں جن سے آپ کو آگاہ ہونے کی ضرورت ہے۔ ان میں سروس سے انکار (DoS) کے حملے، ڈیٹا کی خلاف ورزیاں، اور یہاں تک کہ بدنیتی پر مبنی اندرونی چیزیں شامل ہیں۔
سروس سے انکار (DoS) حملے کیسے کام کرتے ہیں؟
DoS حملے سائبر حملے کی ایک قسم ہیں جہاں حملہ آور کسی سسٹم یا نیٹ ورک کو ٹریفک سے بھر کر اسے دستیاب نہ کرنے کی کوشش کرتا ہے۔ یہ حملے بہت خلل ڈالنے والے ہو سکتے ہیں، اور اہم مالی نقصان کا سبب بن سکتے ہیں۔
سروس اٹیک کے اعدادوشمار سے انکار
- 2019 میں، مجموعی طور پر 34,000 DoS حملے ہوئے۔
- DoS حملے کی اوسط لاگت $2.5 ملین ہے۔
- DoS حملے دنوں یا ہفتوں تک جاری رہ سکتے ہیں۔
ڈیٹا کی خلاف ورزیاں کیسے ہوتی ہیں؟
ڈیٹا کی خلاف ورزی اس وقت ہوتی ہے جب اجازت کے بغیر حساس یا خفیہ ڈیٹا تک رسائی حاصل کی جاتی ہے۔ یہ بہت سے مختلف طریقوں سے ہو سکتا ہے، بشمول ہیکنگ، سوشل انجینئرنگ، اور یہاں تک کہ جسمانی چوری بھی۔
ڈیٹا کی خلاف ورزی کے اعدادوشمار
- 2019 میں، مجموعی طور پر 3,813 ڈیٹا کی خلاف ورزیاں ہوئیں۔
- ڈیٹا کی خلاف ورزی کی اوسط لاگت $3.92 ملین ہے۔
- ڈیٹا کی خلاف ورزی کی نشاندہی کرنے کا اوسط وقت 201 دن ہے۔
بدنیتی پر مبنی اندرونی حملہ کیسے کرتے ہیں؟
نقصان دہ اندرونی ملازمین یا ٹھیکیدار ہیں جو جان بوجھ کر کمپنی کے ڈیٹا تک اپنی رسائی کا غلط استعمال کرتے ہیں۔ یہ متعدد وجوہات کی بناء پر ہو سکتا ہے، بشمول مالی فائدہ، بدلہ، یا محض اس وجہ سے کہ وہ نقصان پہنچانا چاہتے ہیں۔
اندرونی خطرہ کے اعدادوشمار
- 2019 میں، بدنیتی پر مبنی اندرونی 43% ڈیٹا کی خلاف ورزیوں کے ذمہ دار تھے۔
- اندرونی حملے کی اوسط لاگت $8.76 ملین ہے۔
- اندرونی حملے کا پتہ لگانے کا اوسط وقت 190 دن ہے۔
3. آپ اپنے بنیادی ڈھانچے کو کس طرح سخت کرتے ہیں؟
سیکیورٹی کو سخت کرنا آپ کے انفراسٹرکچر کو حملے کے لیے زیادہ مزاحم بنانے کا عمل ہے۔ اس میں سیکیورٹی کنٹرولز کو لاگو کرنے، فائر والز کی تعیناتی، اور خفیہ کاری کا استعمال کرنے جیسی چیزیں شامل ہوسکتی ہیں۔
آپ سیکیورٹی کنٹرولز کو کیسے نافذ کرتے ہیں؟
بہت سے مختلف سیکیورٹی کنٹرولز ہیں جنہیں آپ اپنے بنیادی ڈھانچے کو سخت کرنے کے لیے لاگو کر سکتے ہیں۔ ان میں فائر والز، ایکسیس کنٹرول لسٹ (ACLs)، دخل اندازی کا پتہ لگانے کے نظام (IDS) اور خفیہ کاری جیسی چیزیں شامل ہیں۔
ایکسیس کنٹرول لسٹ کیسے بنائیں:
- ان وسائل کی وضاحت کریں جن کی حفاظت کی ضرورت ہے۔
- ان صارفین اور گروپوں کی شناخت کریں جنہیں ان وسائل تک رسائی حاصل ہونی چاہیے۔
- ہر صارف اور گروپ کے لیے اجازتوں کی فہرست بنائیں۔
- ACLs کو اپنے نیٹ ورک ڈیوائسز پر لاگو کریں۔
مداخلت کا پتہ لگانے کے نظام کیا ہیں؟
مداخلت کا پتہ لگانے کے نظام (IDS) آپ کے نیٹ ورک پر بدنیتی پر مبنی سرگرمی کا پتہ لگانے اور اس کا جواب دینے کے لیے بنائے گئے ہیں۔ ان کا استعمال حملوں کی کوشش، ڈیٹا کی خلاف ورزی، اور یہاں تک کہ اندرونی خطرات جیسی چیزوں کی شناخت کے لیے کیا جا سکتا ہے۔
آپ مداخلت کا پتہ لگانے کے نظام کو کیسے نافذ کرتے ہیں؟
- اپنی ضروریات کے لیے صحیح IDS کا انتخاب کریں۔
- IDS کو اپنے نیٹ ورک میں لگائیں۔
- بدنیتی پر مبنی سرگرمی کا پتہ لگانے کے لیے IDS کو کنفیگر کریں۔
- IDS کے ذریعہ تیار کردہ انتباہات کا جواب دیں۔
فائر وال کیا ہے؟
فائر وال ایک نیٹ ورک سیکیورٹی ڈیوائس ہے جو قوانین کے ایک سیٹ کی بنیاد پر ٹریفک کو فلٹر کرتی ہے۔ فائر والز سیکیورٹی کنٹرول کی ایک قسم ہیں جو آپ کے بنیادی ڈھانچے کو سخت کرنے کے لیے استعمال کی جا سکتی ہیں۔ انہیں کئی مختلف طریقوں سے تعینات کیا جا سکتا ہے، بشمول آن پریمیسس، کلاؤڈ میں، اور بطور سروس۔ فائر وال کو آنے والی ٹریفک، باہر جانے والی ٹریفک، یا دونوں کو روکنے کے لیے استعمال کیا جا سکتا ہے۔
آن پریمیسس فائر وال کیا ہے؟
آن پریمیسس فائر وال فائر وال کی ایک قسم ہے جو آپ کے مقامی نیٹ ورک پر تعینات ہے۔ آن پریمیسس فائر والز کو عام طور پر چھوٹے اور درمیانے درجے کے کاروباروں کی حفاظت کے لیے استعمال کیا جاتا ہے۔
کلاؤڈ فائر وال کیا ہے؟
کلاؤڈ فائر وال فائر وال کی ایک قسم ہے جو کلاؤڈ میں تعینات ہے۔ کلاؤڈ فائر والز کو عام طور پر بڑے اداروں کی حفاظت کے لیے استعمال کیا جاتا ہے۔
کلاؤڈ فائر والز کے فوائد کیا ہیں؟
کلاؤڈ فائر والز متعدد فوائد پیش کرتے ہیں، بشمول:
- بہتر سیکیورٹی
- نیٹ ورک کی سرگرمی میں مرئیت میں اضافہ
- پیچیدگی میں کمی
- بڑی تنظیموں کے لیے کم لاگت
ایک سروس کے طور پر ایک فائر وال کیا ہے؟
فائر وال بطور سروس (FaaS) کلاؤڈ بیسڈ فائر وال کی ایک قسم ہے۔ FaaS فراہم کرنے والے فائر وال پیش کرتے ہیں جو کلاؤڈ میں تعینات کیے جا سکتے ہیں۔ اس قسم کی سروس کو عام طور پر چھوٹے اور درمیانے درجے کے کاروبار استعمال کرتے ہیں۔ اگر آپ کے پاس بڑا یا پیچیدہ نیٹ ورک ہے تو آپ کو فائر وال کو بطور سروس استعمال نہیں کرنا چاہیے۔
ایف اے اے ایس کے فوائد
FaaS بہت سے فوائد پیش کرتا ہے، بشمول:
- پیچیدگی میں کمی
- لچک میں اضافہ
- جیسا کہ آپ جائیں قیمتوں کا تعین کریں۔
آپ فائر وال کو بطور سروس کیسے نافذ کرتے ہیں؟
- ایک FaaS فراہم کنندہ کا انتخاب کریں۔
- فائر وال کو کلاؤڈ میں لگائیں۔
- اپنی ضروریات کو پورا کرنے کے لیے فائر وال کو ترتیب دیں۔
کیا روایتی فائر والز کے متبادل ہیں؟
ہاں، روایتی فائر والز کے کئی متبادل ہیں۔ ان میں اگلی نسل کے فائر والز (NGFWs)، ویب ایپلیکیشن فائر والز (WAFs) اور API گیٹ ویز شامل ہیں۔
اگلی نسل کا فائر وال کیا ہے؟
اگلی نسل کا فائر وال (NGFW) فائر وال کی ایک قسم ہے جو روایتی فائر وال کے مقابلے میں بہتر کارکردگی اور خصوصیات پیش کرتی ہے۔ NGFWs عام طور پر ایپلیکیشن لیول فلٹرنگ، مداخلت کی روک تھام، اور مواد فلٹرنگ جیسی چیزیں پیش کرتے ہیں۔
ایپلیکیشن لیول فلٹرنگ آپ کو استعمال ہونے والی ایپلیکیشن کی بنیاد پر ٹریفک کو کنٹرول کرنے کی اجازت دیتا ہے۔ مثال کے طور پر، آپ HTTP ٹریفک کی اجازت دے سکتے ہیں لیکن دیگر تمام ٹریفک کو روک سکتے ہیں۔
مداخلت کی روک تھام آپ کو حملوں کا پتہ لگانے اور ان کے ہونے سے پہلے روکنے کی اجازت دیتا ہے۔
مواد کی فلٹرنگ آپ کو یہ کنٹرول کرنے کی اجازت دیتا ہے کہ آپ کے نیٹ ورک پر کس قسم کے مواد تک رسائی حاصل کی جا سکتی ہے۔ آپ مواد کی فلٹرنگ کا استعمال نقصان دہ ویب سائٹس، فحش اور جوئے کی سائٹس جیسی چیزوں کو مسدود کرنے کے لیے کر سکتے ہیں۔
ویب ایپلیکیشن فائر وال کیا ہے؟
ویب ایپلیکیشن فائر وال (WAF) فائر وال کی ایک قسم ہے جو ویب ایپلیکیشنز کو حملوں سے بچانے کے لیے بنائی گئی ہے۔ WAFs عام طور پر مداخلت کا پتہ لگانے، ایپلیکیشن کی سطح کی فلٹرنگ، اور مواد کی فلٹرنگ جیسی خصوصیات پیش کرتے ہیں۔
API گیٹ وے کیا ہے؟
API گیٹ وے فائر وال کی ایک قسم ہے جو APIs کو حملوں سے بچانے کے لیے بنائی گئی ہے۔ API گیٹ وے عام طور پر توثیق، اجازت، اور شرح کو محدود کرنے جیسی خصوصیات پیش کرتے ہیں۔
کی توثیق ایک اہم حفاظتی خصوصیت ہے کیونکہ یہ یقینی بناتی ہے کہ صرف مجاز صارفین ہی API تک رسائی حاصل کر سکتے ہیں۔
کا اجازت ایک اہم حفاظتی خصوصیت ہے کیونکہ یہ یقینی بناتی ہے کہ صرف مجاز صارفین ہی کچھ اعمال انجام دے سکتے ہیں۔
شرح کو محدود کرنا ایک اہم حفاظتی خصوصیت ہے کیونکہ یہ سروس حملوں سے انکار کو روکنے میں مدد کرتا ہے۔
آپ خفیہ کاری کا استعمال کیسے کرتے ہیں؟
خفیہ کاری ایک قسم کا حفاظتی اقدام ہے جسے آپ کے بنیادی ڈھانچے کو سخت کرنے کے لیے استعمال کیا جا سکتا ہے۔ اس میں ڈیٹا کو ایک ایسی شکل میں تبدیل کرنا شامل ہے جسے صرف مجاز صارفین ہی پڑھ سکتے ہیں۔
خفیہ کاری کے طریقوں میں شامل ہیں:
- ہم آہنگ کلید کی خفیہ کاری
- غیر متناسب کلیدی خفیہ کاری
- عوامی کلید کی خفیہ کاری
ہم آہنگ کلید کی خفیہ کاری خفیہ کاری کی ایک قسم ہے جہاں ایک ہی کلید کو ڈیٹا کو خفیہ کرنے اور ڈکرپٹ کرنے کے لیے استعمال کیا جاتا ہے۔
غیر متناسب کلیدی خفیہ کاری خفیہ کاری کی ایک قسم ہے جہاں ڈیٹا کو خفیہ کرنے اور ڈکرپٹ کرنے کے لیے مختلف کیز کا استعمال کیا جاتا ہے۔
عوامی کلید کی خفیہ کاری خفیہ کاری کی ایک قسم ہے جہاں کلید ہر کسی کے لیے دستیاب ہوتی ہے۔
4. کلاؤڈ مارکیٹ پلیس سے سخت انفراسٹرکچر کا استعمال کیسے کریں۔
اپنے انفراسٹرکچر کو سخت کرنے کا ایک بہترین طریقہ AWS جیسے فراہم کنندہ سے سخت انفراسٹرکچر خریدنا ہے۔ اس قسم کے انفراسٹرکچر کو حملے کے لیے زیادہ مزاحم بنانے کے لیے ڈیزائن کیا گیا ہے، اور یہ آپ کی سیکیورٹی کی تعمیل کی ضروریات کو پورا کرنے میں مدد کر سکتا ہے۔ تاہم، AWS پر تمام مثالیں برابر نہیں بنتی ہیں۔ AWS غیر سخت تصاویر بھی پیش کرتا ہے جو سخت تصاویر کی طرح حملہ کرنے کے لیے مزاحم نہیں ہیں۔ یہ بتانے کا ایک بہترین طریقہ کہ آیا کوئی AMI حملے کے خلاف زیادہ مزاحم ہے یہ یقینی بنانا ہے کہ ورژن تازہ ترین ہے تاکہ یہ یقینی بنایا جا سکے کہ اس میں جدید ترین حفاظتی خصوصیات موجود ہیں۔
سخت انفراسٹرکچر خریدنا آپ کے اپنے انفراسٹرکچر کو سخت کرنے کے عمل سے گزرنے سے کہیں زیادہ آسان ہے۔ یہ زیادہ سرمایہ کاری بھی ہو سکتا ہے، کیونکہ آپ کو اپنے بنیادی ڈھانچے کو خود سخت کرنے کے لیے درکار آلات اور وسائل میں سرمایہ کاری کرنے کی ضرورت نہیں ہوگی۔
سخت انفراسٹرکچر خریدتے وقت، آپ کو ایسے فراہم کنندہ کو تلاش کرنا چاہیے جو سیکیورٹی کنٹرولز کی وسیع رینج پیش کرتا ہو۔ یہ آپ کو ہر قسم کے حملوں کے خلاف اپنے بنیادی ڈھانچے کو سخت کرنے کا بہترین موقع فراہم کرے گا۔
سخت انفراسٹرکچر خریدنے کے مزید فوائد:
- سیکیورٹی میں اضافہ
- بہتر تعمیل
- کم لاگت
- سادگی میں اضافہ
آپ کے کلاؤڈ انفراسٹرکچر میں بڑھتی ہوئی سادگی کو انتہائی کم درجہ دیا گیا ہے! ایک معروف وینڈر کی طرف سے سخت انفراسٹرکچر کے بارے میں آسان بات یہ ہے کہ موجودہ سیکیورٹی معیارات کو پورا کرنے کے لیے اسے مسلسل اپ ڈیٹ کیا جائے گا۔
کلاؤڈ انفراسٹرکچر جو پرانا ہے حملہ کرنے کا زیادہ خطرہ ہے۔ یہی وجہ ہے کہ اپنے انفراسٹرکچر کو اپ ٹو ڈیٹ رکھنا ضروری ہے۔
فرسودہ سافٹ ویئر آج کی تنظیموں کو درپیش سب سے بڑے سیکورٹی خطرات میں سے ایک ہے۔ سخت انفراسٹرکچر خرید کر، آپ اس مسئلے سے مکمل طور پر بچ سکتے ہیں۔
اپنے بنیادی ڈھانچے کو سخت کرتے وقت، تمام ممکنہ حفاظتی خطرات پر غور کرنا ضروری ہے۔ یہ ایک مشکل کام ہو سکتا ہے، لیکن یہ یقینی بنانا ضروری ہے کہ آپ کی سختی کی کوششیں موثر ہوں۔
5. حفاظتی تعمیل
اپنے بنیادی ڈھانچے کو سخت کرنے سے آپ کو سیکیورٹی کی تعمیل میں بھی مدد مل سکتی ہے۔ اس کی وجہ یہ ہے کہ تعمیل کے بہت سے معیارات کا تقاضا ہے کہ آپ اپنے ڈیٹا اور سسٹمز کو حملے سے بچانے کے لیے اقدامات کریں۔
سب سے اوپر کلاؤڈ سیکورٹی خطرات سے آگاہ ہو کر، آپ اپنی تنظیم کو ان سے بچانے کے لیے اقدامات کر سکتے ہیں۔ اپنے بنیادی ڈھانچے کو سخت کرنے اور حفاظتی خصوصیات کا استعمال کرکے، آپ حملہ آوروں کے لیے اپنے سسٹم سے سمجھوتہ کرنا زیادہ مشکل بنا سکتے ہیں۔
آپ اپنے حفاظتی طریقہ کار کی رہنمائی اور اپنے بنیادی ڈھانچے کو سخت کرنے کے لیے CIS بینچ مارکس کا استعمال کرکے اپنی تعمیل کی پوزیشن کو مضبوط بنا سکتے ہیں۔ آپ اپنے سسٹمز کو سخت کرنے اور ان کے مطابق رکھنے میں مدد کے لیے آٹومیشن کا بھی استعمال کر سکتے ہیں۔
2022 میں آپ کو کس قسم کی تعمیل حفاظتی ضوابط کو ذہن میں رکھنا چاہیے؟
- جی ڈی پی آر
- PCI DSS
- HIPAA
- SOX
- HITRUST
جی ڈی پی آر کے مطابق رہنے کا طریقہ
جنرل ڈیٹا پروٹیکشن ریگولیشن (GDPR) ضابطوں کا ایک مجموعہ ہے جو اس بات پر حکمرانی کرتا ہے کہ کس طرح ذاتی ڈیٹا کو جمع، استعمال اور محفوظ کیا جانا چاہیے۔ وہ تنظیمیں جو EU کے شہریوں کا ذاتی ڈیٹا اکٹھا کرتی ہیں، استعمال کرتی ہیں یا ذخیرہ کرتی ہیں انہیں GDPR کی تعمیل کرنی چاہیے۔
GDPR کے مطابق رہنے کے لیے، آپ کو اپنے بنیادی ڈھانچے کو سخت کرنے اور EU شہریوں کے ذاتی ڈیٹا کی حفاظت کے لیے اقدامات کرنے چاہئیں۔ اس میں ڈیٹا کو خفیہ کرنا، فائر والز کی تعیناتی، اور رسائی کنٹرول فہرستوں کا استعمال جیسی چیزیں شامل ہیں۔
GDPR تعمیل کے اعداد و شمار:
جی ڈی پی آر پر کچھ اعدادوشمار یہ ہیں:
- 92% تنظیموں نے GDPR متعارف ہونے کے بعد سے ذاتی ڈیٹا اکٹھا کرنے اور استعمال کرنے کے طریقے میں تبدیلیاں کی ہیں۔
- 61% تنظیموں کا کہنا ہے کہ GDPR کی تعمیل کرنا مشکل رہا ہے۔
- 58% تنظیموں نے GDPR متعارف ہونے کے بعد سے ڈیٹا کی خلاف ورزی کا تجربہ کیا ہے۔
چیلنجوں کے باوجود، تنظیموں کے لیے یہ ضروری ہے کہ وہ GDPR کی تعمیل کرنے کے لیے اقدامات کریں۔ اس میں ان کے بنیادی ڈھانچے کو سخت کرنا اور یورپی یونین کے شہریوں کے ذاتی ڈیٹا کی حفاظت شامل ہے۔
GDPR کے مطابق رہنے کے لیے، آپ کو اپنے بنیادی ڈھانچے کو سخت کرنے اور EU شہریوں کے ذاتی ڈیٹا کی حفاظت کے لیے اقدامات کرنے چاہئیں۔ اس میں ڈیٹا کو خفیہ کرنا، فائر والز کی تعیناتی، اور رسائی کنٹرول فہرستوں کا استعمال جیسی چیزیں شامل ہیں۔
پی سی آئی ڈی ایس ایس کے مطابق رہنے کا طریقہ
ادائیگی کارڈ انڈسٹری ڈیٹا سیکیورٹی اسٹینڈرڈ (PCI DSS) رہنما خطوط کا ایک مجموعہ ہے جو اس بات کو کنٹرول کرتا ہے کہ کس طرح کریڈٹ کارڈ کی معلومات کو جمع، استعمال اور محفوظ کیا جانا چاہیے۔ وہ تنظیمیں جو کریڈٹ کارڈ کی ادائیگیوں پر کارروائی کرتی ہیں انہیں PCI DSS کی تعمیل کرنی چاہیے۔
PCI DSS کے مطابق رہنے کے لیے، آپ کو اپنے بنیادی ڈھانچے کو سخت کرنے اور کریڈٹ کارڈ کی معلومات کی حفاظت کے لیے اقدامات کرنے چاہئیں۔ اس میں ڈیٹا کو خفیہ کرنا، فائر والز کی تعیناتی، اور رسائی کنٹرول فہرستوں کا استعمال جیسی چیزیں شامل ہیں۔
پی سی آئی ڈی ایس ایس پر اعدادوشمار
پی سی آئی ڈی ایس ایس پر اعدادوشمار:
- PCI DSS متعارف ہونے کے بعد سے 83% تنظیموں نے کریڈٹ کارڈ کی ادائیگیوں کے طریقہ کار میں تبدیلیاں کی ہیں۔
- 61% تنظیموں کا کہنا ہے کہ PCI DSS کی تعمیل مشکل رہی ہے۔
- PCI DSS متعارف ہونے کے بعد سے 58% تنظیموں نے ڈیٹا کی خلاف ورزی کا تجربہ کیا ہے۔
تنظیموں کے لیے یہ ضروری ہے کہ وہ PCI DSS کی تعمیل کرنے کے لیے اقدامات کریں۔ اس میں ان کے بنیادی ڈھانچے کو سخت کرنا اور کریڈٹ کارڈ کی معلومات کی حفاظت شامل ہے۔
HIPAA کے مطابق رہنے کا طریقہ
ہیلتھ انشورنس پورٹیبلٹی اینڈ اکاونٹیبلٹی ایکٹ (HIPAA) ضابطوں کا ایک مجموعہ ہے جو اس بات پر حکمرانی کرتا ہے کہ کس طرح ذاتی صحت کی معلومات کو اکٹھا کرنا، استعمال کرنا اور محفوظ کرنا ضروری ہے۔ وہ تنظیمیں جو مریضوں کی ذاتی صحت کی معلومات اکٹھا کرتی ہیں، استعمال کرتی ہیں یا ذخیرہ کرتی ہیں انہیں HIPAA کی تعمیل کرنی چاہیے۔
HIPAA کے مطابق رہنے کے لیے، آپ کو اپنے بنیادی ڈھانچے کو سخت کرنے اور مریضوں کی ذاتی صحت کی معلومات کی حفاظت کے لیے اقدامات کرنے چاہئیں۔ اس میں ڈیٹا کو خفیہ کرنا، فائر والز کی تعیناتی، اور رسائی کنٹرول فہرستوں کا استعمال جیسی چیزیں شامل ہیں۔
HIPAA کے اعدادوشمار
HIPAA کے اعدادوشمار:
- 91% تنظیموں نے HIPAA کے متعارف ہونے کے بعد سے ذاتی صحت کی معلومات جمع کرنے اور استعمال کرنے کے طریقے میں تبدیلیاں کی ہیں۔
- 63% تنظیموں کا کہنا ہے کہ HIPAA کی تعمیل مشکل رہی ہے۔
- HIPAA کے متعارف ہونے کے بعد سے 60% تنظیموں نے ڈیٹا کی خلاف ورزی کا تجربہ کیا ہے۔
تنظیموں کے لیے یہ ضروری ہے کہ وہ HIPAA کی تعمیل کرنے کے لیے اقدامات کریں۔ اس میں ان کے بنیادی ڈھانچے کو سخت کرنا اور مریضوں کی ذاتی صحت کی معلومات کا تحفظ شامل ہے۔
SOX کے مطابق رہنے کا طریقہ
Sarbanes-Oxley Act (SOX) قواعد و ضوابط کا ایک مجموعہ ہے جو اس بات پر حکمرانی کرتا ہے کہ کس طرح مالی معلومات کو جمع، استعمال اور محفوظ کیا جانا چاہیے۔ وہ تنظیمیں جو مالیاتی معلومات اکٹھا کرتی ہیں، استعمال کرتی ہیں یا ذخیرہ کرتی ہیں انہیں SOX کی تعمیل کرنی چاہیے۔
SOX کے مطابق رہنے کے لیے، آپ کو اپنے بنیادی ڈھانچے کو سخت کرنے اور مالی معلومات کی حفاظت کے لیے اقدامات کرنے چاہئیں۔ اس میں ڈیٹا کو خفیہ کرنا، فائر والز کی تعیناتی، اور رسائی کنٹرول فہرستوں کا استعمال جیسی چیزیں شامل ہیں۔
SOX پر اعدادوشمار
SOX پر اعدادوشمار:
- 94% تنظیموں نے SOX کے متعارف ہونے کے بعد سے مالیاتی معلومات جمع کرنے اور استعمال کرنے کے طریقے میں تبدیلیاں کی ہیں۔
- 65% تنظیموں کا کہنا ہے کہ SOX کی تعمیل مشکل رہی ہے۔
- SOX متعارف ہونے کے بعد سے 61% تنظیموں نے ڈیٹا کی خلاف ورزی کا تجربہ کیا ہے۔
تنظیموں کے لیے یہ ضروری ہے کہ وہ SOX کی تعمیل کرنے کے لیے اقدامات کریں۔ اس میں ان کے بنیادی ڈھانچے کو سخت کرنا اور مالی معلومات کا تحفظ شامل ہے۔
HITRUST سرٹیفیکیشن کیسے حاصل کریں۔
HITRUST سرٹیفیکیشن کا حصول ایک کثیر مرحلہ عمل ہے جس میں خود تشخیص مکمل کرنا، آزادانہ تشخیص سے گزرنا، اور پھر HITRUST سے تصدیق شدہ ہونا شامل ہے۔
خود تشخیص اس عمل کا پہلا قدم ہے اور اسے سرٹیفیکیشن کے لیے تنظیم کی تیاری کا تعین کرنے کے لیے استعمال کیا جاتا ہے۔ اس تشخیص میں تنظیم کے سیکورٹی پروگرام اور دستاویزات کا جائزہ لینے کے ساتھ ساتھ اہم اہلکاروں کے ساتھ سائٹ پر انٹرویوز شامل ہیں۔
خود تشخیص مکمل ہونے کے بعد، ایک آزاد تشخیص کار تنظیم کے سیکورٹی پروگرام کا مزید گہرائی سے جائزہ لے گا۔ اس تشخیص میں تنظیم کے سیکیورٹی کنٹرولز کا جائزہ شامل ہوگا، ساتھ ہی ان کنٹرولز کی تاثیر کی تصدیق کے لیے سائٹ پر ٹیسٹنگ بھی شامل ہوگی۔
ایک بار جب خود مختار تشخیص کنندہ نے تصدیق کر لی کہ تنظیم کا سیکورٹی پروگرام HITRUST CSF کی تمام ضروریات کو پورا کرتا ہے، تنظیم HITRUST کی طرف سے تصدیق کی جائے گی۔ وہ تنظیمیں جو HITRUST CSF سے تصدیق شدہ ہیں حساس ڈیٹا کی حفاظت کے لیے اپنی وابستگی کا مظاہرہ کرنے کے لیے HITRUST مہر کا استعمال کر سکتی ہیں۔
HITRUST پر اعداد و شمار:
- جون 2019 تک، HITRUST CSF سے تصدیق شدہ 2,700 سے زیادہ تنظیمیں ہیں۔
- صحت کی دیکھ بھال کی صنعت میں سب سے زیادہ تصدیق شدہ تنظیمیں ہیں، جن کی تعداد 1,000 سے زیادہ ہے۔
- فنانس اور انشورنس انڈسٹری دوسرے نمبر پر ہے، جس میں 500 سے زیادہ تصدیق شدہ تنظیمیں ہیں۔
- خوردہ صنعت 400 سے زیادہ تصدیق شدہ تنظیموں کے ساتھ تیسرے نمبر پر ہے۔
کیا سیکیورٹی سے متعلق آگاہی کی تربیت سیکیورٹی کی تعمیل میں مدد کرتی ہے؟
جی ہاں، سیکورٹی بیداری تربیت تعمیل میں مدد کر سکتی ہے۔ اس کی وجہ یہ ہے کہ تعمیل کے بہت سے معیارات آپ سے اپنے ڈیٹا اور سسٹمز کو حملے سے بچانے کے لیے اقدامات کرنے کا تقاضا کرتے ہیں۔ کے خطرات سے آگاہ ہو کر سائبر حملوں، آپ اپنی تنظیم کو ان سے بچانے کے لیے اقدامات کر سکتے ہیں۔
میری تنظیم میں حفاظتی آگاہی کی تربیت کو نافذ کرنے کے کچھ طریقے کیا ہیں؟
آپ کی تنظیم میں سیکورٹی سے متعلق آگاہی کی تربیت کو نافذ کرنے کے بہت سے طریقے ہیں۔ ایک طریقہ یہ ہے کہ فریق ثالث کے خدمت فراہم کنندہ کو استعمال کیا جائے جو سیکیورٹی سے متعلق آگاہی کی تربیت فراہم کرتا ہے۔ دوسرا طریقہ یہ ہے کہ آپ خود اپنے حفاظتی بیداری کا تربیتی پروگرام تیار کریں۔
یہ واضح ہو سکتا ہے، لیکن اپنے ڈویلپرز کو ایپلیکیشن سیکیورٹی کے بہترین طریقوں پر تربیت دینا شروع کرنے کے لیے بہترین جگہوں میں سے ایک ہے۔ یقینی بنائیں کہ وہ جانتے ہیں کہ کس طرح مناسب طریقے سے کوڈ کرنا، ڈیزائن کرنا اور ایپلیکیشنز کی جانچ کرنا ہے۔ اس سے آپ کی درخواستوں میں کمزوریوں کی تعداد کو کم کرنے میں مدد ملے گی۔ ایپسیک کی تربیت سے منصوبوں کو مکمل کرنے کی رفتار میں بھی بہتری آئے گی۔
آپ کو سوشل انجینئرنگ جیسی چیزوں پر تربیت بھی فراہم کرنی چاہیے۔ فشنگ حملے یہ عام طریقے ہیں جن سے حملہ آور سسٹم اور ڈیٹا تک رسائی حاصل کرتے ہیں۔ ان حملوں سے آگاہ ہو کر، آپ کے ملازمین اپنی اور آپ کی تنظیم کی حفاظت کے لیے اقدامات کر سکتے ہیں۔
سیکیورٹی سے متعلق آگاہی کی تربیت کی تعیناتی سے تعمیل میں مدد مل سکتی ہے کیونکہ یہ آپ کو اپنے ملازمین کو اس بات کی تعلیم دینے میں مدد کرتا ہے کہ آپ کے ڈیٹا اور سسٹمز کو حملے سے کیسے بچایا جائے۔
کلاؤڈ میں ایک فشنگ سمولیشن سرور تعینات کریں۔
آپ کی حفاظت سے متعلق آگاہی کی تربیت کی تاثیر کو جانچنے کا ایک طریقہ کلاؤڈ میں فشنگ سمولیشن سرور کو تعینات کرنا ہے۔ یہ آپ کو اپنے ملازمین کو نقلی فشنگ ای میلز بھیجنے اور یہ دیکھنے کی اجازت دے گا کہ وہ کیسے جواب دیتے ہیں۔
اگر آپ کو معلوم ہوتا ہے کہ آپ کے ملازمین نقلی فشنگ حملوں کا شکار ہو رہے ہیں، تو آپ جانتے ہیں کہ آپ کو مزید تربیت فراہم کرنے کی ضرورت ہے۔ اس سے آپ کو اپنی تنظیم کو حقیقی فشنگ حملوں کے خلاف سخت کرنے میں مدد ملے گی۔
کلاؤڈ میں مواصلات کے تمام طریقوں کو محفوظ کریں۔
کلاؤڈ میں اپنی سیکیورٹی کو بہتر بنانے کا دوسرا طریقہ مواصلات کے تمام طریقوں کو محفوظ بنانا ہے۔ اس میں ای میل، فوری پیغام رسانی، اور فائل شیئرنگ جیسی چیزیں شامل ہیں۔
ان مواصلات کو محفوظ کرنے کے بہت سے طریقے ہیں، بشمول ڈیٹا کو خفیہ کرنا، ڈیجیٹل دستخطوں کا استعمال، اور فائر والز کو تعینات کرنا۔ یہ اقدامات اٹھا کر، آپ اپنے ڈیٹا اور سسٹم کو حملے سے بچانے میں مدد کر سکتے ہیں۔
کوئی بھی کلاؤڈ مثال جس میں مواصلت شامل ہو استعمال کے لیے سخت ہونا چاہیے۔
سیکیورٹی سے متعلق آگاہی کی تربیت کے لیے فریق ثالث کو استعمال کرنے کے فوائد:
- آپ تربیتی پروگرام کی ترقی اور ترسیل کو آؤٹ سورس کر سکتے ہیں۔
- فراہم کنندہ کے پاس ماہرین کی ایک ٹیم ہوگی جو آپ کی تنظیم کے لیے بہترین ممکنہ تربیتی پروگرام تیار اور فراہم کر سکتی ہے۔
- فراہم کنندہ تعمیل کے تازہ ترین تقاضوں پر تازہ ترین رہے گا۔
سیکیورٹی سے متعلق آگاہی کی تربیت کے لیے فریق ثالث کے استعمال کے نقصانات:
- تیسرے فریق کو استعمال کرنے کی قیمت زیادہ ہو سکتی ہے۔
- آپ کو اپنے ملازمین کو تربیت دینی ہوگی کہ تربیتی پروگرام کا استعمال کیسے کریں۔
- فراہم کنندہ آپ کی تنظیم کی مخصوص ضروریات کو پورا کرنے کے لیے تربیتی پروگرام کو اپنی مرضی کے مطابق نہیں بنا سکتا۔
اپنے تحفظ سے متعلق آگاہی کا تربیتی پروگرام تیار کرنے کے فوائد:
- آپ اپنی تنظیم کی مخصوص ضروریات کو پورا کرنے کے لیے تربیتی پروگرام کو اپنی مرضی کے مطابق بنا سکتے ہیں۔
- تربیتی پروگرام کو تیار کرنے اور اس کی فراہمی کی لاگت فریق ثالث فراہم کنندہ کے استعمال سے کم ہوگی۔
- آپ کو تربیتی پروگرام کے مواد پر زیادہ کنٹرول حاصل ہوگا۔
اپنی حفاظت سے متعلق آگاہی کا تربیتی پروگرام تیار کرنے کے نقصانات:
- تربیتی پروگرام کو تیار کرنے اور اس کی فراہمی میں وقت اور وسائل درکار ہوں گے۔
- آپ کو عملے کے ماہرین کی ضرورت ہوگی جو تربیتی پروگرام کو تیار اور فراہم کرسکیں۔
- ہو سکتا ہے پروگرام تازہ ترین تعمیل کے تقاضوں پر اپ ٹو ڈیٹ نہ ہو۔
