आईबीएम सिक्योरिटी एक्स-फोर्स की एक नई रिपोर्ट में पाया गया है कि दो-तिहाई क्लाउड उल्लंघनों का पता गलत एप्लिकेशन प्रोग्रामिंग इंटरफेस से लगाया जा सकता है।

रिपोर्ट, आज जारी किया गया, जून के अंत तक के 12 महीनों के आंकड़ों पर आधारित है। डेटा सेट पर आधारित हैं डार्क वेब विश्लेषण, आईबीएम सुरक्षा एक्स-फोर्स रेड पैठ परीक्षण डेटा, आईबीएम सुरक्षा सेवा मेट्रिक्स, एक्स-फोर्स हादसा प्रतिक्रिया विश्लेषण और एक्स-फोर्स थ्रेट इंटेलिजेंस रिसर्च।

रिपोर्ट में मुख्य खोज यह है कि क्लाउड वातावरण को बेहतर ढंग से सुरक्षित करने की आवश्यकता है।

डार्क वेब पर, रिपोर्ट में पाया गया कि सार्वजनिक क्लाउड एक्सेस के लिए एक संपन्न बाजार मौजूद है, जिसमें हजारों क्लाउड खातों के विज्ञापन और बिक्री के लिए संसाधन हैं। 71% मामलों में, क्लाउड संसाधनों तक रिमोट डेस्कटॉप प्रोटोकॉल एक्सेस को बिक्री के लिए पेश किया गया था। कुछ मामलों में, क्लाउड परिवेशों तक पहुँचने के लिए खाता क्रेडेंशियल केवल कुछ डॉलर में बेचे जा रहे थे।

क्लाउड वातावरण के एक्स-फोर्स रेड प्रवेश परीक्षणों के विशाल बहुमत में पासवर्ड या नीतियों के साथ समस्याएँ पाई गईं। इसके बाद, क्लाउड वातावरण में दो-तिहाई उल्लंघनों को सिस्टम के अधिक मजबूत सख्त होने से रोका जा सकता था।

क्लाउड-परिनियोजित अनुप्रयोगों में भेद्यताएं भी बढ़ी हुई पाई गईं। पिछले 18 महीनों में क्लाउड-परिनियोजित अनुप्रयोगों में 2,500 से अधिक ज्ञात कमजोरियों में से लगभग आधे का खुलासा किया गया था। जबकि कुछ विकास को बेहतर ट्रैकिंग के लिए जिम्मेदार ठहराया जा सकता है, कहा जाता है कि तेज वृद्धि जोखिमों को बारीकी से प्रबंधित करने के महत्व पर जोर देती है।

समझौता करने के लिए एपीआई सबसे आम प्रवेश द्वार थे। दो-तिहाई घटनाओं के विश्लेषण में अनुचित रूप से कॉन्फ़िगर किए गए एपीआई शामिल थे, खतरे वाले अभिनेताओं को ऑन-प्रिमाइसेस वातावरण से क्लाउड वातावरण में पिवट करते हुए पाया गया था।

क्लाउड वातावरण में आधे से अधिक उल्लंघनों के कारण आईबीएम “छाया आईटी” कहता है। ये छाया आईटी हमले सुरक्षा नीतियों के खिलाफ अनधिकृत सिस्टम के माध्यम से उभरे हैं जिनमें भेद्यता और जोखिम आकलन की कमी है, साथ ही कठोर सुरक्षा प्रोटोकॉल भी हैं।

एप्लिकेशन सुरक्षा कंपनी में रणनीति के उपाध्यक्ष सेतु कुलकर्णी, “एपीआई तेजी से बी 2 बी और बी 2 सी व्यापार मॉडल दोनों के लिए तकनीकी आधार बन रहे हैं।” एनटीटी सिक्योरिटी ऐपसेक सॉल्यूशंस इंक।, SiliconANGLE को बताया। “इस तरह, जब एपीआई विकसित और तैनात किए जाते हैं, तो उन सभी संभावित स्थानों का अनुमान लगाने का कोई तरीका नहीं है जो एपीआई का उपयोग करने जा रहे हैं। एपीआई चुपचाप लेकिन तेजी से सॉफ्टवेयर आपूर्ति श्रृंखला के सबसे महत्वपूर्ण टुकड़ों में से एक बन रहे हैं। संगठन अब एक संभावित बड़े उल्लंघन से एक कमजोर एपीआई कॉल दूर हैं।”

कुलकर्णी ने समझाया कि एक अंतर्निहित चुनौती जो अक्सर अस्पष्ट होती है वह यह है कि एपीआई आज विरासत प्रणालियों के सामने हैं जिन्हें कभी भी ऑनलाइन या एकीकृत व्यापार-से-व्यवसाय या व्यवसाय-से-उपभोक्ता सेटिंग में उपयोग करने के लिए डिज़ाइन नहीं किया गया था।

कुलकर्णी ने कहा, “एपीआई परत बनाकर, इन विरासत लेनदेन प्रणालियों को डिजिटल परिवर्तन पहल में भाग लेने में सक्षम बनाया गया है।” “विरासत प्रणालियों के एपीआई सक्षमता का यह पैटर्न सुरक्षा मुद्दों को बनाता है जो अन्यथा नियंत्रित विश्वसनीय क्षेत्रों में समस्या नहीं होती, जिसमें विरासत प्रणाली को संचालित करने के लिए डिज़ाइन किया गया था।”

आईबीएम की रिपोर्ट में यह भी कहा गया है कि क्रिप्टोमिनर्स और रैंसमवेयर के साथ क्लाउड टारगेटिंग में खतरे वाले अभिनेताओं की जांच जारी है, जो क्लाउड वातावरण में शीर्ष गिराए गए मैलवेयर हैं।

रिपोर्ट में कहा गया है, “खतरे वाले अभिनेता अपने मैलवेयर विकास में बादलों का पीछा करना जारी रख रहे हैं, पुराने मैलवेयर के नए वेरिएंट डॉकर कंटेनरों पर ध्यान केंद्रित कर रहे हैं, साथ ही साथ प्रोग्रामिंग भाषाओं में नए मैलवेयर लिखे जा रहे हैं, जैसे गोलंग, जो क्रॉस-प्लेटफ़ॉर्म चलाते हैं।”

फोटो: आईबीएम/यूट्यूब

हमारे क्यूब क्लब और विशेषज्ञों के क्यूब इवेंट समुदाय में शामिल होकर हमारे मिशन के लिए अपना समर्थन दिखाएं। उस समुदाय में शामिल हों जिसमें Amazon वेब सर्विसेज और Amazon.com के सीईओ एंडी जेसी, डेल टेक्नोलॉजीज के संस्थापक और सीईओ माइकल डेल, इंटेल के सीईओ पैट जेल्सिंगर और कई अन्य दिग्गज और विशेषज्ञ शामिल हैं।

हमारी संस्था से जुड़े

हम 22 सितंबर को अपना तीसरा क्लाउड स्टार्टअप शोकेस आयोजित कर रहे हैं। फ्री और ओपन स्टार्टअप शोकेस इवेंट में शामिल होने के लिए यहां क्लिक करें।

“TheCUBE पुन: आविष्कार का हिस्सा है, आप जानते हैं, आप लोग वास्तव में इस आयोजन का हिस्सा हैं और हम वास्तव में आपके यहां आने की सराहना करते हैं और मुझे पता है कि लोग आपके द्वारा बनाई गई सामग्री की भी सराहना करते हैं” – एंडी जेसी

हम वास्तव में आपसे सुनना चाहते हैं, और हम आपको कार्यक्रम में और क्यूब क्लब में देखने के लिए उत्सुक हैं।



Source link

By admin

Leave a Reply

Your email address will not be published. Required fields are marked *