छवि: sarayut_sy/Adobe Stock साइबर सुरक्षा के लगातार विकसित हो रहे परिदृश्य में, क्लाउड सुरक्षा पिछले कुछ वर्षों से दुनिया भर के संगठनों के लिए एक महत्वपूर्ण चिंता के रूप में उभरी है। फिर भी क्लाउड सुरक्षा को कभी-कभी गलत समझा जाता है या कम करके आंका जाता है। क्लाउड कंप्यूटिंग को व्यापक रूप से अपनाने से यह संभव हुआ कि व्यवसाय बहुत सारी संवेदनशील जानकारी और डेटा को क्लाउड में ऑनलाइन संग्रहीत कर सकें और अपने डेटा को विभिन्न खतरों से बचाने की चुनौती का सामना कर सकें। किसी संगठन के क्लाउड इंफ्रास्ट्रक्चर की सुरक्षा का एक प्रभावी तरीका पैठ परीक्षण के माध्यम से है।
यहां जाएं:
क्लाउड सुरक्षा को समझना क्लाउड प्रवेश परीक्षण कैसे काम करता है? कंपनियों के लिए सबसे आम क्लाउड खतरे क्या हैं? मैलवेयर क्लाउड प्रवेश परीक्षण में उपयोग किए जाने वाले सबसे आम उपकरण क्या हैं? आगे बढ़ना क्लाउड सुरक्षा को समझना क्लाउड कंप्यूटिंग में दूरस्थ सर्वर पर डेटा और एप्लिकेशन का भंडारण, प्रसंस्करण और प्रबंधन शामिल होता है, जो अक्सर तीसरे पक्ष के सेवा प्रदाताओं द्वारा प्रदान किया जाता है। हालाँकि, यह दूरस्थ प्रकृति अद्वितीय कमजोरियों का परिचय देती है, जैसे अनधिकृत पहुंच, डेटा उल्लंघन और गलत कॉन्फ़िगरेशन। पेनेट्रेशन परीक्षण इन कमजोरियों को पहचानने और संबोधित करने के लिए एक सक्रिय दृष्टिकोण के रूप में कार्य करता है।
क्लाउड पेनेट्रेशन परीक्षण कैसे काम करता है? प्रवेश परीक्षण वास्तविक दुनिया के हमलों का अनुकरण करता है। पैठ परीक्षक का लक्ष्य क्लाउड इंफ्रास्ट्रक्चर में कमजोरियों को ढूंढना और उनका फायदा उठाना है और इसे अनुरोध करने वाली इकाई, आमतौर पर मुख्य सूचना सुरक्षा अधिकारी को रिपोर्ट करना है। यह क्लाउड सेवा प्रदाताओं के दिशानिर्देशों के तहत किया जाता है। पाई गई कमजोरियों या कमजोरियों को जल्द से जल्द ठीक किया जाना चाहिए या पैच किया जाना चाहिए, इससे पहले कि कोई हमलावर उन्हें ढूंढ ले और उनका फायदा उठाने का फैसला करे।
प्रक्रिया के दौरान , डेटा उल्लंघनों और अन्य संभावित खतरों का भी पता लगाया जा सकता है और संगठन की क्लाउड सुरक्षा बढ़ाने के लिए सक्रिय उपाय करने की सूचना दी जा सकती है।
सभी क्लाउड घटकों का परीक्षण किया जाता है : नेटवर्क अवसंरचना, प्रमाणीकरण और पहुंच नियंत्रण, डेटा भंडारण, संभावित वर्चुअल मशीन, एप्लिकेशन प्रोग्रामिंग इंटरफेस और एप्लिकेशन सुरक्षा।
प्रवेश परीक्षण “ब्लैक बॉक्स” मोड में किया जा सकता है, जिसका अर्थ है कि परीक्षकों को क्लाउड इंफ्रास्ट्रक्चर का कोई पूर्व ज्ञान नहीं है और उन्हें स्वयं ही सब कुछ खोजना होगा, जैसा कि कोई भी बाहरी हमलावर करेगा।
“व्हाइट बॉक्स” प्रवेश परीक्षण भी मौजूद है, जिसमें परीक्षकों को क्लाउड वातावरण का ज्ञान होता है।
कंपनियों के लिए सबसे आम क्लाउड खतरे क्या हैं? असुरक्षित एपीआई एप्लिकेशन प्रोग्रामिंग इंटरफेस विभिन्न सॉफ्टवेयर घटकों और सेवाओं के बीच बातचीत की अनुमति देते हैं और कभी-कभी असुरक्षित। हो सकता है कि उन एपीआई को सुरक्षा चिंताओं के बिना विकसित किया गया हो और परिणामस्वरूप, वे खतरे का प्रतिनिधित्व करते हों। कुछ अन्य को भी अनुचित तरीके से डिज़ाइन किया गया होगा। असुरक्षित एपीआई से हमलावरों द्वारा अनधिकृत पहुंच हासिल करने या डेटा में हेरफेर करने की संभावना बढ़ जाती है।
अपर्याप्त पहुंच नियंत्रण जब अनधिकृत उपयोगकर्ता संवेदनशील जानकारी या संसाधनों तक पहुंच प्राप्त करते हैं तो खराब तरीके से लागू किए गए पहुंच नियंत्रण का परिणाम हो सकता है . इसमें अपर्याप्त उपयोगकर्ता अनुमति प्रबंधन, कमजोर पासवर्ड नीतियां और उपयोगकर्ता भूमिकाओं का अनुचित प्रबंधन शामिल है।
पुराना सॉफ़्टवेयर क्लाउड पर चलने वाला वह सॉफ़्टवेयर जो नियमित रूप से अपडेट नहीं किया जाता है, संगठन के लिए ख़तरा है, क्योंकि इसमें गंभीर कमजोरियां हो सकती हैं जिनका फायदा अनधिकृत पहुंच हासिल करने या कॉर्पोरेट डेटा में हेरफेर करने के लिए किया जा सकता है।
खाता अपहरण फ़िशिंग, सोशल इंजीनियरिंग या पासवर्ड ब्रूट फ़ोर्सिंग/अनुमान लगाने जैसी तकनीकें सक्षम हो सकती हैं उपयोगकर्ताओं की साख चुराने और उनके खातों से छेड़छाड़ करने के लिए एक हमलावर। एक बार उपयोगकर्ता खाता हाईजैक हो जाने पर, एक हैकर क्लाउड संसाधनों को नियंत्रित कर सकता है और डेटा में हेरफेर या घुसपैठ कर सकता है।
साझा प्रौद्योगिकियों की कमजोरियाँ क्लाउड वातावरण अक्सर साझा बुनियादी ढांचे और प्लेटफार्मों पर निर्भर करते हैं। यदि अंतर्निहित तकनीक में कोई भेद्यता पाई जाती है, तो यह संभावित रूप से कई ग्राहकों को प्रभावित कर सकती है, जिससे सुरक्षा उल्लंघन हो सकता है।
मैलवेयर दुर्भावनापूर्ण सॉफ़्टवेयर जैसे ट्रोजन या बैकडोर को इसके शोषण के माध्यम से क्लाउड वातावरण में पेश किया जा सकता है कमजोरियाँ या सामाजिक इंजीनियरिंग। डेटा और एप्लिकेशन की सुरक्षा से समझौता किया जा सकता है, और हमलावर कॉर्पोरेट बुनियादी ढांचे के अन्य हिस्सों तक पहुंच हासिल करने या वेबसाइट आगंतुकों सहित अधिक उपयोगकर्ताओं को संक्रमित करने के लिए मैलवेयर का उपयोग कर सकते हैं।
डेटा उल्लंघन और डेटा हानि क्लाउड में संग्रहीत संवेदनशील डेटा तक अनधिकृत पहुंच कंपनियों के लिए एक महत्वपूर्ण चिंता का विषय है। यह कमजोर प्रमाणीकरण तंत्र, समझौता किए गए क्रेडेंशियल्स, कमजोरियों या यहां तक कि क्लाउड इंफ्रास्ट्रक्चर में गलत कॉन्फ़िगरेशन के कारण हो सकता है।
क्लाउड प्रवेश परीक्षण में उपयोग किए जाने वाले सबसे आम उपकरण क्या हैं? विभिन्न प्रकार के उपकरण हो सकते हैं लक्ष्य विनिर्देशों, क्लाउड प्लेटफ़ॉर्म और शामिल प्रौद्योगिकियों के आधार पर प्रवेश परीक्षकों द्वारा उपयोग किया जाता है। यह परीक्षक के अनुभव पर भी निर्भर करता है।
पूर्ण प्रवेश परीक्षण ढाँचे मेटास्प्लोइट या कोबाल्ट स्ट्राइक जैसे संपूर्ण ढांचे का उपयोग अक्सर क्लाउड प्रवेश परीक्षण में किया जाता है। इनमें क्लाउड इंफ्रास्ट्रक्चर पर सुरक्षा का आकलन करने के लिए कई विकल्प, कारनामे, पेलोड और सहायक मॉड्यूल शामिल हैं। कई अलग-अलग उपकरणों का उपयोग करने के विपरीत, उन उपकरणों का उपयोग करने वाले अनुभवी परीक्षक परीक्षण में काफी समय बचा सकते हैं।
स्कैनर नेसस या इसके ओपन-सोर्स संस्करण, ओपनवीएएस जैसे भेद्यता स्कैनर, क्लाउड वातावरण में सुरक्षा खामियों की पहचान करने के लिए उपयोग किया जाता है, व्यापक भेद्यता का पता लगाने और रिपोर्टिंग क्षमताओं की पेशकश की जाती है।
एनएमएपी जैसे स्कैनिंग उपकरण भी स्कैन करने के लिए लोकप्रिय हैं और बुनियादी ढांचे पर मेजबानों की खोज करें और कमजोरियों या कमजोरियों की तलाश करें। क्लाउड-होस्टेड अनुप्रयोगों में SQL इंजेक्शन कमजोरियों का पता लगाने और उनका फायदा उठाने के लिए।
नेटवर्क उपकरण वायरशार्क या बर्प सूट जैसे नेटवर्क स्निफर और विश्लेषक उपकरण का उपयोग नेटवर्क संचार में कमजोरियों या कमजोरियों को खोजने के लिए किया जाता है। एक परीक्षक और क्लाउड इंफ्रास्ट्रक्चर। वे क्लाउड वातावरण में अनएन्क्रिप्टेड संचार या संदिग्ध नेटवर्क व्यवहार का पता लगाने में भी मदद करते हैं।
पासवर्ड क्रैकर पासवर्ड क्रैकर्स का उपयोग प्रवेश परीक्षकों द्वारा तब किया जाता है जब उनके हाथ में एन्क्रिप्टेड उपयोगकर्ता पासवर्ड आ जाता है। यदि पासवर्ड काफी कमजोर है, तो परीक्षक इसे तुरंत प्राप्त कर सकता है। एक उल्लेखनीय उदाहरण के रूप में, अक्षरों, संख्याओं और प्रतीकों वाला सात-अक्षर वाला पासवर्ड एक मिनट से भी कम समय में क्रैक किया जा सकता है। उस उद्देश्य के लिए हाइड्रा या हैशकैट जैसे उपकरणों का उपयोग किया जा सकता है।
आगे बढ़ना जैसे-जैसे क्लाउड को अपनाना बढ़ता जा रहा है, क्लाउड सुरक्षा में प्रवेश परीक्षण के महत्व को कम करके नहीं आंका जा सकता। विभिन्न क्लाउड घटकों का व्यापक मूल्यांकन करके, संगठन सक्रिय रूप से कमजोरियों की पहचान कर सकते हैं, कमजोरियों को दूर कर सकते हैं और संभावित हमलों के खिलाफ अपने क्लाउड बुनियादी ढांचे को मजबूत कर सकते हैं। नियमित प्रवेश परीक्षण क्लाउड वातावरण की सुरक्षा और लचीलापन सुनिश्चित करने में एक महत्वपूर्ण उपकरण के रूप में कार्य करता है। पैठ परीक्षण को प्राथमिकता देकर, संगठन क्लाउड कंप्यूटिंग के तेजी से बढ़ते परिदृश्य में अपने डेटा, एप्लिकेशन और प्रतिष्ठा की प्रभावी ढंग से रक्षा कर सकते हैं।
प्रकटीकरण: लेखक ट्रेंड माइक्रो के लिए काम करते हैं, लेकिन इस लेख में व्यक्त विचार उनके हैं।
आगे पढ़ें: 2022संवेदनशीलता स्कैनिंग बनाम प्रवेश परीक्षण : क्या फर्क पड़ता है?
Be First to Comment