उल्लंघन जिसने महल को तोड़ दिया
जब पिछले वसंत में एक मध्यम आकार के अस्पताल के शेड्यूलिंग सिस्टम पर रैंसमवेयर का हमला हुआ, तो चिकित्सकों ने कलम और कागज़ का सहारा लिया। हमलावरों ने विदेशी मैलवेयर का इस्तेमाल नहीं किया था—उन्होंने दोबारा इस्तेमाल किए गए लॉगिन क्रेडेंशियल का इस्तेमाल किया, और नेटवर्क में तब तक इधर-उधर घूमते रहे जब तक कि मुख्य सिस्टम लॉक नहीं हो गए। स्वास्थ्य सेवा क्षेत्र में ऐसी घटनाएँ आम हैं, जहाँ चोरी किए गए क्रेडेंशियल रैंसमवेयर अभियानों को बढ़ावा देते हैं और कम संसाधनों वाली आईटी टीमों पर भारी बोझ डालते हैं (वायर्ड).
- उल्लंघन जिसने महल को तोड़ दिया
- पुराना मॉडल और यह क्यों विफल हुआ
- व्यवसाय के लिए साइबर सुरक्षा
- शून्य विश्वास की परिभाषा
- शून्य विश्वास का वास्तव में क्या अर्थ है?
- एनआईएसटी ब्लूप्रिंट
- गलत धारणाएँ जो बनी रहती हैं
- यह कहां फिट बैठता है
- एक सांस्कृतिक बदलाव
- इसकी जड़ें क्यों जमीं?
- एंटरप्राइज़ के अंदर
- गूगल और बियॉन्डकॉर्प प्रयोग
- माइक्रोसॉफ्ट और एंटरप्राइज़ मुख्यधारा
- संघीय सरकार का प्रयास
- वित्तीय सेवाएँ: जोखिम और विनियमन का मेल
- व्यवसाय के लिए साइबर सुरक्षा
- स्वास्थ्य सेवा: विरासत प्रणालियों के साथ संघर्ष
- उद्योगों में सामान्य सूत्र
- सबसे कठिन परत के रूप में संस्कृति
- एक शांत बेंचमार्क
- कठिन हिस्सा
- व्यवसाय के लिए साइबर सुरक्षा
- जीरो ट्रस्ट का भविष्य
- एआई और मशीन लर्निंग: अनुकूली प्रवर्तन की ओर
- नीति-जैसा-कोड: गार्डरेलिंग को स्वचालित करना
- IoT और OT तक शून्य विश्वास का विस्तार
- क्लाउड-नेटिव ज़ीरो ट्रस्ट
- क्वांटम युग की तैयारी
- भविष्य की दृष्टि की सीमाएँ
- बिग पिक्चर
- व्यवसाय के लिए साइबर सुरक्षा
- शासन और जवाबदेही
- सत्यापन की नैतिकता
- विश्वास की भूराजनीति
- सांस्कृतिक बदलाव जो चर्चा से परे है
- लीड पर लौटना
- द किकर
- उल्लंघन जिसने महल को तोड़ दिया
- परिधि ढह गई
- पुराना मॉडल और यह क्यों विफल हुआ
- व्यवसाय के लिए साइबर सुरक्षा
- निष्कर्ष: विश्वास, पुनर्विचार
वह अस्पताल ही एकमात्र निशाना नहीं था। मई 2021 में, एक रैंसमवेयर हमले ने औपनिवेशिक पाइपलाइन, जो अमेरिका के पूर्वी तट पर खपत होने वाले ईंधन का लगभग आधा हिस्सा आपूर्ति करता है, को परिचालन बंद करने के लिए मजबूर किया गया। हमलावरों ने एक ऐसे वीपीएन खाते का उपयोग करके पहुँच प्राप्त की थी जिसमें बहु-कारक प्रमाणीकरण का अभाव था (विकिपीडिया) इस व्यवधान के कारण ईंधन की कमी, घबराहट में खरीदारी, तथा संघीय आपातकालीन उपाय लागू हो गए।
इससे पहले, दिसंबर 2020 में, ओरियन आपूर्ति-श्रृंखला में सेंध ने व्यापक रूप से इस्तेमाल किए जाने वाले सॉफ़्टवेयर में विश्वास को कमज़ोर कर दिया। दुर्भावनापूर्ण अपडेट—जिनके बारे में माना जाता है कि उन्हें किसी राष्ट्र-राज्य समूह द्वारा संचालित किया गया था—वैध पैच की आड़ में वितरित किए गए, जिससे हमलावरों को पता लगने से पहले महीनों तक अमेरिकी सरकारी एजेंसियों तक पहुँच मिल गई (सीआईएसए).
इन घटनाओं से एक महत्वपूर्ण सबक मिलता है: हमलावरों को डिजिटल परिधि में घुसने की ज़रूरत शायद ही कभी पड़ती है। दीवार के पीछे की हर चीज़ को विश्वसनीय माना जाता हैजिससे उल्लंघन में तेजी से वृद्धि होगी और विनाशकारी भी।
पुराना मॉडल और यह क्यों विफल हुआ
इंटरनेट के इतिहास में अधिकांश समय सुरक्षा संबंधी सोच इसी के इर्द-गिर्द घूमती रही है। महल और खाई रूपक। ऊँची दीवारें खड़ी करें—फ़ायरवॉल, घुसपैठ निरोधक प्रणालियाँ, एंटीवायरस सॉफ़्टवेयर—और आप दुश्मन को बाहर रख सकते हैं। दीवारों के अंदर, भरोसेमंद उपयोगकर्ता और मशीनें आज़ादी से घूम सकती हैं।
परिधि सुरक्षा का उदय
1990 और 2000 के दशक के शुरुआती सालों में, यह मॉडल समझ में आता था। ज़्यादातर कॉर्पोरेट सिस्टम ऑन-प्रिमाइसेस डेटा सेंटर में काम करते थे। कर्मचारी ऑफिस नेटवर्क के अंदर डेस्क पर बैठते थे। "एज" एक परिभाषित सीमा होती थी, जो आमतौर पर संगठन द्वारा नियंत्रित आईपी रेंज का एक समूह होता था।
फायरवॉल फ़िल्टर किया गया ट्रैफ़िक. VPN का यात्रा करने वाले कर्मचारियों के लिए एन्क्रिप्टेड सुरंगें बनाई गईं। एंटीवायरस सूट ज्ञात खतरों से सुरक्षा प्रदान की गई। सुरक्षा उद्योग ने इन्हें अभेद्य सुरक्षा के रूप में प्रचारित किया, और कुछ समय तक ये कारगर भी रहे।
लेकिन दरारें दिखने लगीं।
- कोड रेड और स्लैमर जैसे कीड़े 2000 के दशक के आरम्भ में ये कम्पनियां तेजी से कॉर्पोरेट नेटवर्क में फैल गईं, तथा एक बार अंदर पहुंच जाने पर बिना पैच वाली मशीनों का शोषण करने लगीं।
- टारगेट का 2013 का उल्लंघन, जिसमें हमलावर तीसरे पक्ष के एचवीएसी विक्रेता के माध्यम से प्रवेश करते हैं और पॉइंट-ऑफ-सेल सिस्टम तक पहुंच जाते हैं, यह दर्शाता है कि "विश्वसनीय" क्षेत्र कितने छिद्रपूर्ण हो सकते हैं।
- एडवर्ड स्नोडेन के 2013 के खुलासे अंदरूनी जोखिम पर प्रकाश डाला गया: एक बार जब उपयोगकर्ता को विशेषाधिकार प्राप्त हो जाता है, तो परिधि सुरक्षा डेटा एक्सफ़िलट्रेशन को रोकने में बहुत कम काम करती है।
यह अंतर्निहित धारणा - कि खतरे बाहर से आते हैं - अब सत्य नहीं रही।
वीपीएन अड़चन
वर्चुअल प्राइवेट नेटवर्क, जिन्हें लंबे समय से सुरक्षा का एक अहम हिस्सा माना जाता था, एक बड़ी कमज़ोरी बन गए। 2020 तक, जब कोविड-19 महामारी ने पूरे कर्मचारियों को घर भेज दिया, तो वीपीएन सर्वर पर भी बोझ बढ़ गया। कर्मचारियों ने सारा ट्रैफ़िक इन्हीं के ज़रिए भेजा, जिससे प्रदर्शन में रुकावटें पैदा हुईं और इससे भी बदतर, विफलता के एकल बिंदु पैदा हुए।
हमलावरों ने नोटिस किया। एफबीआई के अनुसार, वीपीएन कमज़ोरियाँ 2020-2021 में सबसे ज़्यादा शोषित श्रेणियों में से एक बन गईं, और हमलावरों ने कॉर्पोरेट वातावरण में कदम रखने के लिए इनका इस्तेमाल किया (एफबीआई).
वीपीएन, जो कभी एक विश्वसनीय सेतु था, अब एक दायित्व बन गया है।
व्यवसाय के लिए साइबर सुरक्षा
आपका व्यवसाय लगातार विकसित हो रहे साइबर खतरों का सामना कर रहा है जो संवेदनशील डेटा को खतरे में डाल सकते हैं, संचालन को बाधित कर सकते हैं और आपकी प्रतिष्ठा को नुकसान पहुंचा सकते हैं। व्यावसायिक समाधान के लिए साइबर सुरक्षा सभी आकार की कंपनियों की अनूठी चुनौतियों का सामना करने के लिए तैयार किए गए हैं, जो मैलवेयर, फ़िशिंग, रैनसमवेयर और अन्य के खिलाफ मजबूत सुरक्षा प्रदान करते हैं।
चाहे आप एक छोटा स्टार्टअप हों या एक बड़ा उद्यम, हम मल्टी-लाइसेंस साइबर सुरक्षा पैकेज प्रदान करते हैं जो आपकी पूरी टीम के लिए सभी डिवाइस पर निर्बाध सुरक्षा सुनिश्चित करते हैं। रीयल-टाइम खतरे की निगरानी, एंडपॉइंट सुरक्षा और सुरक्षित डेटा एन्क्रिप्शन जैसी उन्नत सुविधाओं के साथ, आप अपने व्यवसाय को बढ़ाने पर ध्यान केंद्रित कर सकते हैं जबकि हम आपकी डिजिटल सुरक्षा आवश्यकताओं को संभालते हैं।
आज एक निःशुल्क उद्धरण पाएं! अपने व्यवसाय को किफ़ायती और स्केलेबल समाधानों से सुरक्षित रखें। अनुरोध करने के लिए अभी हमसे संपर्क करें मुक्त बोली आपकी कंपनी को सुरक्षित और अनुपालन योग्य बनाए रखने के लिए डिज़ाइन किए गए बहु-लाइसेंस साइबर सुरक्षा पैकेज के लिए। इंतज़ार न करें - खतरों के आने से पहले अपने व्यवसाय की सुरक्षा करें!
शैडो आईटी और SaaS
इस बीच, व्यावसायिक इकाइयों ने केंद्रीय आईटी निगरानी के बिना ही SaaS प्लेटफ़ॉर्म—Salesforce, Slack, Microsoft 365—को अपना लिया। संवेदनशील डेटा तृतीय-पक्ष सेवाओं के माध्यम से प्रवाहित होता रहा, जिसे अक्सर कमज़ोर या दोबारा इस्तेमाल किए गए पासवर्ड से एक्सेस किया जाता रहा।
इस “छाया आईटी” हमले की सतह को इस तरह से बढ़ाया कि परिधि सुरक्षा तंत्र उसे संभालने के लिए तैयार नहीं था। गार्टनर ने अनुमान लगाया कि 2019 तक, बड़े उद्यमों में आईटी खर्च का 30 से 40 प्रतिशत हिस्सा शैडो आईटी पर खर्च होता था—जो पारंपरिक सुरक्षा टीमों के लिए एक अस्पष्ट क्षेत्र था।
अंतर्निहित विश्वास की संस्कृति
परिधि मॉडल का शायद सबसे ख़तरनाक दोष सांस्कृतिक था। सुरक्षा दल "अंदर" को सुरक्षित मानते थे। डेवलपर्स ने बिना किसी नियंत्रण के परीक्षण प्रणालियाँ बनाईं। एडमिन खातों ने विशेषाधिकार जमा कर लिए। पार्श्व गतिविधियों पर ज़्यादातर निगरानी नहीं रखी गई।
जैसा कि गूगल क्लाउड के फिल वेनेबल्स ने कहा, "परिधि अभी खत्म नहीं हुई है। बस अब यह आपको ज़्यादा कुछ नहीं बताती।" इस अहसास ने ज़ीरो ट्रस्ट की नींव रखी: एक ऐसा ढाँचा जो मानता है उल्लंघन अपरिहार्य है और इसके प्रभाव को न्यूनतम करने पर ध्यान केन्द्रित करता है।
शून्य विश्वास की परिभाषा
2010 के दशक के मध्य तक, परिधि सुरक्षा की कमियाँ स्पष्ट हो गई थीं। चुनौती एक व्यावहारिक विकल्प खोजने की थी। वह विकल्प सामने आया जीरो ट्रस्ट, एक मॉडल जो एक्सेस नियंत्रण के संपूर्ण आधार पर पुनर्विचार करता है।
शून्य विश्वास का वास्तव में क्या अर्थ है?
"ज़ीरो ट्रस्ट" वाक्यांश को अक्सर एक नारे में बदल दिया जाता है: कभी भरोसा मत करो, हमेशा सत्यापित करो। लेकिन व्यवहार में, यह व्यामोह के बारे में कम और निरंतर आश्वासनकिसी सिस्टम के लिए प्रत्येक अनुरोध - चाहे वह मानव उपयोगकर्ता, डिवाइस या एप्लिकेशन से हो - को तब तक अविश्वसनीय माना जाता है जब तक कि अन्यथा साबित न हो जाए।
यह दृष्टिकोण कई मूल सिद्धांतों पर आधारित है:
- सतत पहचान सत्यापन. प्रमाणीकरण लॉगिन के समय एक बार होने वाली घटना नहीं है। बल्कि, यह पूरे सत्र के दौरान बार-बार होता है, और स्थान, डिवाइस की स्थिति और उपयोगकर्ता के व्यवहार जैसे संदर्भों के अनुसार बदलता रहता है।
- डिवाइस अखंडता. पहुँच न केवल पर निर्भर करती है कौन जुड़ रहा है लेकिन क्या वे किससे कनेक्ट हो रहे हैं। किसी क्षतिग्रस्त या पैच न किए गए डिवाइस को प्रवेश से वंचित किया जा सकता है, भले ही क्रेडेंशियल वैध हों।
- न्यूनतम विशेषाधिकार पहुंच. अनुमतियाँ न्यूनतम कर दी जाती हैं, और केवल वही अनुमतियाँ दी जाती हैं जो किसी कार्य के लिए आवश्यक हैं। इससे किसी खाते के ख़तरे में पड़ने पर विस्फोट का दायरा तेज़ी से कम हो जाता है।
- Microsegmentation। नेटवर्क को बारीक़ क्षेत्रों में विभाजित किया जाता है, जिससे पार्श्व गति सीमित हो जाती है। किसी एक क्षेत्र में समझौता स्वतः नहीं फैलता।
- सतत निगरानी. लॉग और एनालिटिक्स कोई बाद की बात नहीं हैं—वे केंद्रीय हैं। हर लेन-देन रिकॉर्ड किया जाता है और विसंगतियों के लिए उसका मूल्यांकन किया जाता है।
संक्षेप में, ज़ीरो ट्रस्ट एक उत्पाद कम और एक संशयवाद का अनुशासन.
एनआईएसटी ब्लूप्रिंट
सालों तक, विक्रेता इस शब्द का इस्तेमाल ढीले-ढाले ढंग से करते रहे। समय के साथ यह बदल गया राष्ट्रीय मानक एवं प्रौद्योगिकी संस्थान (एनआईएसटी) विशेष प्रकाशन 800-207, 2020 में जारी किया गया। दस्तावेज़ ने ज़ीरो ट्रस्ट को एक औपचारिक संघीय ढांचे में संहिताबद्ध किया: पहचान, डिवाइस, नेटवर्क, एप्लिकेशन और डेटा सभी नीति प्रवर्तन बिंदु हैं, जिसमें एक केंद्रीय नीति इंजन पहुंच का निर्णय लेता है (NIST).
एनआईएसटी मार्गदर्शन ने शून्य ट्रस्ट को इस रूप में पुनः परिभाषित किया स्थापत्य एक टूलसेट के बजाय। एजेंसियों से आग्रह किया गया कि वे इसे एक तात्कालिक समाधान के रूप में न अपनाएँ, बल्कि पहुँच प्रबंधन के क्रमिक पुनर्निर्माण के रूप में अपनाएँ। यह संघीय अधिदेशों और निजी क्षेत्र दोनों के लिए अपनाने का एक आदर्श उदाहरण बन गया।
गलत धारणाएँ जो बनी रहती हैं
जैसे-जैसे यह शब्द फैला, वैसे-वैसे भ्रम भी बढ़ता गया। खास तौर पर तीन गलतफहमियाँ अब भी बनी हुई हैं:
- शून्य विश्वास = कोई भरोसा नहीं। यह मुहावरा भ्रामक है। शून्य विश्वास विश्वास को ख़त्म नहीं करता; बल्कि उसे और मज़बूत बनाता है। सशर्त और प्रासंगिकपर्याप्त साक्ष्य मौजूद होने पर ही प्रवेश की अनुमति दी जाती है।
- शून्य विश्वास एक उत्पाद है. कई विक्रेता "ज़ीरो ट्रस्ट समाधान" का विपणन करते हैं। वास्तव में, यह कोई एकल उपकरण नहीं, बल्कि परस्पर जुड़ी प्रथाओं का एक समूह है।
- शून्य विश्वास सब कुछ हल कर देता है। इससे जोखिम कम तो होता है, लेकिन पूरी तरह खत्म नहीं होता। फ़िशिंग, अंदरूनी दुरुपयोग और सप्लाई-चेन हमले अभी भी ख़तरे बने हुए हैं।
ल्यूटा सिक्योरिटी की सीईओ केटी मौसूरिस ने 2021 में एक साक्षात्कार में कहा, "ज़ीरो ट्रस्ट को अक्सर एक सर्व-समाधान के रूप में प्रस्तुत किया जाता है। व्यवहार में, यह सुरक्षा की एक और परत मात्र है। यह तब सबसे अच्छा काम करता है जब यह एक व्यापक, अनुशासित सुरक्षा संस्कृति का हिस्सा हो।"
यह कहां फिट बैठता है
ज़ीरो ट्रस्ट कोई चीर-फाड़ कर बदलने का आदेश नहीं है। यह मौजूदा प्रणालियों के साथ-साथ चलता है। संगठन आमतौर पर पहचान प्रबंधन से शुरुआत करते हैं—जैसे बहु-कारक प्रमाणीकरण, एकल साइन-ऑन और सशर्त पहुँच नीतियाँ—और फिर नेटवर्क विभाजन और निरंतर निगरानी की ओर बढ़ते हैं।
कार्यों का क्रम अलग-अलग होता है, लेकिन सिद्धांत एक ही है: कभी भी कोई अंतर्निहित विश्वास नहीं। प्रत्येक लेन-देन को स्वयं को सिद्ध करना होगा।
एक सांस्कृतिक बदलाव
शायद तकनीक से ज़्यादा महत्वपूर्ण है मानसिकता। पारंपरिक मॉडल एक द्विआधारी रेखा खींचते थे: बाहर बनाम अंदर, सुरक्षित बनाम असुरक्षित। ज़ीरो ट्रस्ट उस द्विआधारी रेखा को ध्वस्त कर देता है। हर कनेक्शन, यहाँ तक कि आंतरिक कनेक्शन भी, सत्यापित होना चाहिए।
आईटी नेताओं के लिए, यह एक ऐसी संस्कृति की मांग करता है जहां पहुँच निरंतर अर्जित की जाती है, स्थायी रूप से ग्रहण नहीं की जातीइससे टकराव पैदा हो सकता है - उपयोगकर्ता बार-बार सत्यापन से कतरा सकते हैं - लेकिन यह लचीलेपन की ओर बदलाव का प्रतिनिधित्व करता है।
इसकी जड़ें क्यों जमीं?
ज़ीरो ट्रस्ट का उदय अपरिहार्य नहीं था। यह मुख्यधारा इसलिए बना क्योंकि यह दोनों के साथ जुड़ा था व्यावहारिक सुरक्षा आवश्यकताओं और रणनीतिक आख्यानउद्यमों को क्लाउड अपनाने को सुरक्षित करने के तरीके चाहिए थे। सरकारों को महत्वपूर्ण बुनियादी ढाँचे को मज़बूत करने की ज़रूरत थी। विक्रेताओं को पहचान, पहुँच और निगरानी उत्पादों के लिए एक एकीकृत बैनर मिल गया।
2020 के दशक की शुरुआत तक, ज़ीरो ट्रस्ट की भाषा न केवल तकनीकी दस्तावेज़ों में, बल्कि बोर्डरूम, ऑडिट रिपोर्ट और यहाँ तक कि कांग्रेस की सुनवाई में भी दिखाई देने लगी थी। यह मॉडल सिद्धांत से नीति तक पहुँच गया था।
एंटरप्राइज़ के अंदर
ज़ीरो ट्रस्ट कोई ऐसा उत्पाद नहीं है जिसे आप इंस्टॉल करते हैं। यह किसी संगठन के अंदर पहुँच के काम करने के तरीके को फिर से डिज़ाइन करने की एक लंबी, असमान प्रक्रिया है। ज़्यादातर उद्यमों के लिए, इसका मतलब है पुराने सिस्टम पर नए नियंत्रणों की परतें चढ़ाना, विभाग-दर-विभाग बदलाव चरणबद्ध तरीके से करना। नतीजा एक ऐसा पैचवर्क है जो हर उद्योग में अलग दिखता है, लेकिन कुछ पैटर्न उभर रहे हैं।
गूगल और बियॉन्डकॉर्प प्रयोग
शायद शून्य विश्वास की क्रिया का सबसे अधिक उद्धृत उदाहरण है गूगल का बियॉन्डकॉर्प. 2011 में एक साइबर जासूसी अभियान के बाद शुरू किया गया, जिसे ऑपरेशन ऑरोरा गूगल और सिलिकॉन वैली की अन्य कंपनियों को निशाना बनाने के बाद, कंपनी ने विश्वसनीय आंतरिक नेटवर्क के विचार को त्याग दिया। इसके बजाय, प्रत्येक कर्मचारी और डिवाइस को, चाहे वह कहीं भी स्थित हो, संसाधनों तक पहुँचने से पहले पहचान-जागरूक प्रॉक्सी के माध्यम से प्रमाणीकरण करना पड़ता था (गूगल).
बियॉन्डकॉर्प ने इंजीनियरों को वीपीएन पर निर्भर हुए बिना, अविश्वसनीय वाई-फाई नेटवर्क से ऐसे काम करने की अनुमति दी जैसे वे ऑफिस में हों। इसने एक मिसाल भी कायम की: अगर 100,000 से ज़्यादा कर्मचारियों वाली एक कंपनी ज़ीरो ट्रस्ट सिद्धांतों के आधार पर अपने बुनियादी ढांचे को फिर से तैयार कर सकती है, तो दूसरी कंपनियाँ भी ऐसा कर सकती हैं।
माइक्रोसॉफ्ट और एंटरप्राइज़ मुख्यधारा
माइक्रोसॉफ्ट ने एक अलग दृष्टिकोण अपनाया। किसी एक पहल के बजाय, उसने ज़ीरो ट्रस्ट सिद्धांतों को ऐसे उत्पादों में शामिल किया जैसे Azure सक्रिय निर्देशिका और माइक्रोसॉफ्ट के डिफेंडरकंपनी ने अपने मार्गदर्शन को तीन अनिवार्यताओं के इर्द-गिर्द तैयार किया: स्पष्ट रूप से सत्यापित करें, न्यूनतम विशेषाधिकार का उपयोग करें, और उल्लंघन की आशंका करें।
यह भाषा उन कॉर्पोरेट ग्राहकों के साथ भी लोकप्रिय हुई जो पहले से ही माइक्रोसॉफ्ट के क्लाउड इकोसिस्टम में माइग्रेट कर रहे थे। 2021 तक, माइक्रोसॉफ्ट ने बताया कि उसके 96 प्रतिशत एंटरप्राइज़ ग्राहकों ने किसी न किसी रूप में मल्टी-फैक्टर ऑथेंटिकेशन को सक्षम कर लिया था, जो ज़ीरो ट्रस्ट () का एक बुनियादी आधार है।माइक्रोसॉफ्ट).
संघीय सरकार का प्रयास
हालाँकि तकनीकी दिग्गज पहले आगे आए, लेकिन अमेरिकी सरकार ने सबसे स्पष्ट आदेश दिया। कोलोनियल पाइपलाइन और सोलरविंड्स की घटनाओं के बाद, व्हाइट हाउस ने संघीय एजेंसियों को ज़ीरो ट्रस्ट रोडमैप अपनाने का आदेश दिया। प्रबंधन एवं बजट कार्यालय (OMB) ने कई महत्वपूर्ण कदम उठाए: 2024 तक पहचान सत्यापन, डिफ़ॉल्ट रूप से सभी ट्रैफ़िक का एन्क्रिप्शन, और सभी एजेंसियों में केंद्रीकृत पहुँच नीति का प्रवर्तन (ओएमबी).
एजेंसियों को असमान प्रगति से जूझना पड़ा है। आधुनिक बुनियादी ढाँचे वाले कुछ विभागों ने तेज़ी से काम किया, जबकि दशकों पुरानी प्रणालियों पर निर्भर कुछ अन्य विभाग पिछड़ गए। फिर भी, इस आदेश ने साइबर सुरक्षा के आधुनिकीकरण को उस पैमाने पर मजबूर किया जिसकी बराबरी कुछ ही निजी कंपनियाँ कर सकीं।
वित्तीय सेवाएँ: जोखिम और विनियमन का मेल
बैंकों और बीमा कंपनियों ने, जो लंबे समय से नियामक निगरानी के आदी रहे हैं, अपनी लचीलापन रणनीतियों के हिस्से के रूप में ज़ीरो ट्रस्ट को अपनाया है। 2022 में, वित्तीय उद्योग नियामक प्राधिकरण (FINRA) ने फर्मों को पहचान-केंद्रित सुरक्षा मॉडल अपनाने के लिए प्रोत्साहित करते हुए दिशानिर्देश जारी किए।
एक बड़ी बीमा कंपनी ने सेवा पहचानों की सूची तैयार करने के बाद विशेषाधिकार प्राप्त खातों में एक तिहाई से ज़्यादा की कमी आने की सूचना दी। एक अन्य बैंक ने बताया कि डेटा केंद्रों में माइक्रोसेगमेंटेशन लागू करने के बाद, घुसपैठ का पता लगाने में लगने वाला औसत समय लगभग 30 प्रतिशत कम हो गया। ये आँकड़े स्व-रिपोर्ट किए गए हैं, लेकिन ये इस बात पर प्रकाश डालते हैं कि ज़ीरो ट्रस्ट वित्तीय संस्थानों के जोखिम न्यूनीकरण पर ज़ोर देने के साथ कैसे मेल खाता है।
व्यवसाय के लिए साइबर सुरक्षा
आपका व्यवसाय लगातार विकसित हो रहे साइबर खतरों का सामना कर रहा है जो संवेदनशील डेटा को खतरे में डाल सकते हैं, संचालन को बाधित कर सकते हैं और आपकी प्रतिष्ठा को नुकसान पहुंचा सकते हैं। व्यावसायिक समाधान के लिए साइबर सुरक्षा सभी आकार की कंपनियों की अनूठी चुनौतियों का सामना करने के लिए तैयार किए गए हैं, जो मैलवेयर, फ़िशिंग, रैनसमवेयर और अन्य के खिलाफ मजबूत सुरक्षा प्रदान करते हैं।
चाहे आप एक छोटा स्टार्टअप हों या एक बड़ा उद्यम, हम मल्टी-लाइसेंस साइबर सुरक्षा पैकेज प्रदान करते हैं जो आपकी पूरी टीम के लिए सभी डिवाइस पर निर्बाध सुरक्षा सुनिश्चित करते हैं। रीयल-टाइम खतरे की निगरानी, एंडपॉइंट सुरक्षा और सुरक्षित डेटा एन्क्रिप्शन जैसी उन्नत सुविधाओं के साथ, आप अपने व्यवसाय को बढ़ाने पर ध्यान केंद्रित कर सकते हैं जबकि हम आपकी डिजिटल सुरक्षा आवश्यकताओं को संभालते हैं।
आज एक निःशुल्क उद्धरण पाएं! अपने व्यवसाय को किफ़ायती और स्केलेबल समाधानों से सुरक्षित रखें। अनुरोध करने के लिए अभी हमसे संपर्क करें मुक्त बोली आपकी कंपनी को सुरक्षित और अनुपालन योग्य बनाए रखने के लिए डिज़ाइन किए गए बहु-लाइसेंस साइबर सुरक्षा पैकेज के लिए। इंतज़ार न करें - खतरों के आने से पहले अपने व्यवसाय की सुरक्षा करें!
स्वास्थ्य सेवा: विरासत प्रणालियों के साथ संघर्ष
अस्पतालों को एक अलग चुनौती का सामना करना पड़ता है। इलेक्ट्रॉनिक स्वास्थ्य रिकॉर्ड (ईएचआर) सिस्टम और कनेक्टेड मेडिकल डिवाइस अक्सर पुराने सॉफ़्टवेयर पर चलते हैं, जिससे सेगमेंटेशन और पहचान लागू करना मुश्किल हो जाता है। साथ ही, यह उद्योग रैंसमवेयर का एक प्रमुख लक्ष्य है।
कुछ अस्पतालों ने मरीज़ों और चिकित्सकों के लिए नए क्लाउड-आधारित पोर्टलों पर ज़ीरो ट्रस्ट सिद्धांतों को लागू किया है, भले ही मुख्य प्रणालियाँ पीछे छूट गई हों। स्वास्थ्य एवं मानव सेवा विभाग ने स्वास्थ्य सेवा प्रदाताओं से आग्रह किया है कि वे ज़ीरो ट्रस्ट को सभी समस्याओं के समाधान के बजाय उल्लंघनों को रोकने के एक तरीके के रूप में देखें। एक अधिकारी ने कहा, "सभी पुराने उपकरणों को हटाना व्यावहारिक नहीं है। लेकिन आप अभी भी उन उपकरणों के नेटवर्क के बाकी हिस्सों से संपर्क करने के तरीके को प्रतिबंधित कर सकते हैं।"
उद्योगों में सामान्य सूत्र
अलग-अलग प्रारंभिक बिंदुओं के बावजूद, जीरो ट्रस्ट को अपनाने वाले उद्यम अक्सर समान प्रारंभिक प्राथमिकताओं पर केंद्रित होते हैं:
- पहचान पहले. सशक्त प्रमाणीकरण, एकल साइन-ऑन और सशर्त पहुंच लागू करें।
- दृश्यता। प्रत्येक लेनदेन को लॉग करें और विश्लेषण को केंद्रीकृत करें।
- नेटवर्क नियंत्रण. सूक्ष्म विभाजन का चरण, विशेष रूप से संवेदनशील कार्यभार के आसपास।
- क्रमिक विस्तार. मॉडल को आईटी प्रणालियों से परिचालन प्रौद्योगिकी, IoT और तृतीय-पक्ष पहुंच तक विस्तारित करें।
जो बात उन्हें एकजुट करती है वह एकरूपता नहीं बल्कि इरादा है: जहां कहीं भी अंतर्निहित विश्वास मौजूद है, उसे खत्म करना।
सबसे कठिन परत के रूप में संस्कृति
तकनीक हासिल की जा सकती है, संस्कृति नहीं। उद्यमों की रिपोर्ट है कि सबसे बड़ी बाधा कर्मचारियों और डेवलपर्स को यह समझाना है कि अतिरिक्त सत्यापन के लिए संघर्ष करना उचित है।
गूगल में, इंजीनियरों ने शुरुआत में बियॉन्डकॉर्प का विरोध किया था, धीमी पहुँच की शिकायत करते हुए। एक वित्तीय सेवा फर्म में, डेवलपर्स ने सेगमेंटेशन नियमों का विरोध किया, जिससे परीक्षण वातावरण धीमा हो गया। ये कहानियाँ एक सुसंगत विषय को रेखांकित करती हैं: ज़ीरो ट्रस्ट एक तकनीकी परियोजना होने के साथ-साथ एक प्रबंधन परियोजना भी है।
एक शांत बेंचमार्क
2020 के दशक की शुरुआत तक, ज़ीरो ट्रस्ट को अपनाना साइबर सुरक्षा की परिपक्वता का एक मानक बन गया था। विश्लेषकों ने यह नहीं पूछा कि क्या संगठन "ज़ीरो ट्रस्ट का उपयोग" कर रहे थे, बल्कि यह पूछा कि वे यात्रा में कितनी दूर थेमॉडल आकांक्षात्मक स्लाइडों से ऑडिट चेकलिस्टों की ओर बढ़ गया।
और जबकि कोई भी दो कार्यान्वयन एक जैसे नहीं दिखते, आम कहानी यह है दबाव में वृद्धिशील गोद लेनाचाहे विनियमन, लचीलापन, या प्रतिष्ठा द्वारा प्रेरित हो, शून्य विश्वास सुरक्षा वास्तुकला बन गया है जिसे उद्यम अनदेखा नहीं कर सकते हैं।
कठिन हिस्सा
अपनी तमाम अपील के बावजूद, ज़ीरो ट्रस्ट को लागू करना आसान नहीं है। इसके लिए दशकों पुरानी मान्यताओं पर पुनर्विचार करना होगा, जड़ जमाए हुए तौर-तरीकों को बदलना होगा, और उन विक्रेताओं से बातचीत करनी होगी जो इस लेबल को एक मार्केटिंग अवसर के रूप में देखते हैं। बाधाएँ तीन व्यापक श्रेणियों में आती हैं: तकनीक, संस्कृति और लागत।
विरासत प्रणालियाँ जो फिट नहीं बैठतीं
सबसे बड़ी बाधाओं में से एक बुनियादी ढाँचा है जो ज़ीरो ट्रस्ट से दशकों पुराना है। अस्पताल अक्सर जीवन-महत्वपूर्ण चिकित्सा उपकरणों को विंडोज़ एक्सपी पर चलाते हैं। निर्माता ऐसे प्लांट सिस्टम चलाते हैं जो एन्क्रिप्शन के मानक बनने से बहुत पहले डिज़ाइन किए गए थे। यहाँ तक कि कुछ सरकारी एजेंसियाँ भी अभी भी COBOL कोड वाले मेनफ्रेम पर निर्भर हैं।
इन प्रणालियों को फिर से तैयार करना मुश्किल है। ये अक्सर आधुनिक पहचान जाँच या विस्तृत विभाजन का समर्थन नहीं कर पातीं। इन्हें बदलने में लाखों खर्च हो सकते हैं, और अगर इससे संचालन में बाधा आती है तो पैचिंग जोखिम भरा हो सकता है।
स्वास्थ्य एवं मानव सेवा विभाग की 2022 की एक रिपोर्ट में चेतावनी दी गई है कि अस्पतालों में पुरानी तकनीक ज़ीरो ट्रस्ट को अपनाने में एक बड़ी बाधा बनी हुई है। रिपोर्ट में "नियंत्रण रणनीतियों" का आग्रह किया गया है - पुरानी प्रणालियों से आधुनिक मानकों को पूरा करने की अपेक्षा करने के बजाय उन्हें सुरक्षात्मक परतों में लपेटना (HHS).
उपयोगकर्ता घर्षण और पुशबैक
ज़ीरो ट्रस्ट की माँग है कि उपयोगकर्ता ज़्यादा बार सत्यापन करें और कभी-कभी अनुमोदन के लिए ज़्यादा समय तक प्रतीक्षा करें। इंजीनियर बार-बार प्रमाणीकरण अनुरोधों की शिकायत करते हैं। दूरस्थ कर्मचारी अतिरिक्त लॉगिन चरणों को नापसंद करते हैं। डेवलपर्स का तर्क है कि विभाजन उनके वर्कफ़्लो को धीमा कर देता है।
गूगल में, बियॉन्डकॉर्प का शुरुआती विरोध इतना ज़बरदस्त था कि सुरक्षा टीम को आंतरिक चैंपियन बनाने पड़े - सम्मानित इंजीनियर जिन्होंने समझाया कि असुविधा सुरक्षा के लायक क्यों थी। विभिन्न उद्योगों में ऐसी ही कहानियाँ सामने आती हैं: सफलता अक्सर रोलआउट से पहले सांस्कृतिक सहमति पर निर्भर करती है।
यहीं नेतृत्व मायने रखता है। जो सीआईएसओ ज़ीरो ट्रस्ट को विशुद्ध रूप से तकनीकी परियोजना मानते हैं, वे अक्सर असफल हो जाते हैं। जो इसे व्यावसायिक लचीलेपन का हिस्सा मानते हैं—सुरक्षित क्लाउड अपनाने, सुचारू ऑडिट और प्रतिष्ठा की सुरक्षा को सक्षम बनाते हैं—वे ज़्यादा सफल होते हैं।
व्यवसाय के लिए साइबर सुरक्षा
आपका व्यवसाय लगातार विकसित हो रहे साइबर खतरों का सामना कर रहा है जो संवेदनशील डेटा को खतरे में डाल सकते हैं, संचालन को बाधित कर सकते हैं और आपकी प्रतिष्ठा को नुकसान पहुंचा सकते हैं। व्यावसायिक समाधान के लिए साइबर सुरक्षा सभी आकार की कंपनियों की अनूठी चुनौतियों का सामना करने के लिए तैयार किए गए हैं, जो मैलवेयर, फ़िशिंग, रैनसमवेयर और अन्य के खिलाफ मजबूत सुरक्षा प्रदान करते हैं।
चाहे आप एक छोटा स्टार्टअप हों या एक बड़ा उद्यम, हम मल्टी-लाइसेंस साइबर सुरक्षा पैकेज प्रदान करते हैं जो आपकी पूरी टीम के लिए सभी डिवाइस पर निर्बाध सुरक्षा सुनिश्चित करते हैं। रीयल-टाइम खतरे की निगरानी, एंडपॉइंट सुरक्षा और सुरक्षित डेटा एन्क्रिप्शन जैसी उन्नत सुविधाओं के साथ, आप अपने व्यवसाय को बढ़ाने पर ध्यान केंद्रित कर सकते हैं जबकि हम आपकी डिजिटल सुरक्षा आवश्यकताओं को संभालते हैं।
आज एक निःशुल्क उद्धरण पाएं! अपने व्यवसाय को किफ़ायती और स्केलेबल समाधानों से सुरक्षित रखें। अनुरोध करने के लिए अभी हमसे संपर्क करें मुक्त बोली आपकी कंपनी को सुरक्षित और अनुपालन योग्य बनाए रखने के लिए डिज़ाइन किए गए बहु-लाइसेंस साइबर सुरक्षा पैकेज के लिए। इंतज़ार न करें - खतरों के आने से पहले अपने व्यवसाय की सुरक्षा करें!
परिवर्तन की लागत
ज़ीरो ट्रस्ट को लागू करना सस्ता नहीं है। संगठनों को हर डिवाइस और उपयोगकर्ता की सूची बनानी होगी, नई पहचान प्रणालियाँ लागू करनी होंगी, नेटवर्क को विभाजित करना होगा और निगरानी को केंद्रीकृत करना होगा। बड़े उद्यमों के लिए, इसकी कीमत करोड़ों डॉलर तक हो सकती है।
छोटी कंपनियों के सामने और भी मुश्किल विकल्प हैं। बहुत कम कंपनियां इसे पूरी तरह से अपना पाती हैं। इसके बजाय, वे "ज़ीरो ट्रस्ट लाइट" लागू करती हैं, जिसमें बहु-कारक प्रमाणीकरण और क्लाउड एक्सेस नीतियों पर ध्यान केंद्रित किया जाता है, जबकि आंतरिक नेटवर्क को ज़्यादातर अछूता छोड़ दिया जाता है।
विश्लेषकों ने चेतावनी दी है कि यह असमानता सुरक्षा में खाई पैदा कर सकती है। अमीर कंपनियाँ स्तरीकृत सुरक्षा व्यवस्था बनाती हैं, जबकि छोटी कंपनियाँ उसी पार्श्विक गति के प्रति संवेदनशील बनी रहती हैं जिसका दशकों से हमलावर फायदा उठाते आए हैं।
विक्रेता प्रचार और भ्रम
एक और बाधा तो खुद उद्योग ही है। सुरक्षा विक्रेता हर उत्पाद को "ज़ीरो ट्रस्ट" के नाम से ब्रांड करने में जुट गए हैं। फ़ायरवॉल, एंडपॉइंट एजेंट और क्लाउड गेटवे, सभी इसी बैनर तले बेचे जाते हैं। इससे भ्रम की स्थिति पैदा हो गई है, और अधिकारियों को लग रहा है कि वे ज़ीरो ट्रस्ट को बिना किसी तैयारी के खरीद सकते हैं।
गार्टनर के विश्लेषक चेतावनी देते हैं कि ज़ीरो ट्रस्ट "एक रणनीति है, उत्पाद नहीं।" इस ढाँचे के लिए पहचान, उपकरणों, नेटवर्क और अनुप्रयोगों में समन्वय की आवश्यकता होती है। कोई भी एक विक्रेता यह सब प्रदान नहीं कर सकता। फिर भी, विपणन का शोर अक्सर इस वास्तविकता को अस्पष्ट कर देता है।
2022 में, अमेरिकी साइबर सुरक्षा और अवसंरचना सुरक्षा एजेंसी (CISA) ने संगठनों की प्रगति का आकलन करने में मदद के लिए एक ज़ीरो ट्रस्ट मैच्योरिटी मॉडल जारी किया। इसका उद्देश्य आंशिक रूप से विक्रेता संदेशों को कम करना और एक ऐसा रोडमैप प्रदान करना था जो एकमुश्त खरीदारी की तुलना में वृद्धिशील प्रगति पर ज़ोर देता हो (सीआईएसए).
मापने की सफलता
जब संगठन ज़ीरो ट्रस्ट को अपना लेते हैं, तब भी इसकी प्रभावशीलता को मापना मुश्किल होता है। नहीं था क्या होता है, इसका अंदाज़ा लगाना मुश्किल है। इसके बजाय, कंपनियाँ प्रॉक्सी पर भरोसा करती हैं:
- विशेषाधिकार प्राप्त खातों में कटौती.
- पहुँच नीतियों में कम अपवाद।
- असामान्य व्यवहार का तेजी से पता लगाना।
ये मापदंड अपूर्ण हैं, लेकिन ये बोर्डों और नियामकों को प्रगति दिखाने में मदद करते हैं। फिर भी, मानकीकृत माप के अभाव का मतलब है कि कुछ कंपनियाँ अपनी परिपक्वता को बढ़ा-चढ़ाकर पेश करती हैं, जबकि अन्य अपनी प्रगति को कम करके आंकती हैं।
थकान बदलें
अंत में, थकान भी है। सुरक्षा टीमें पहले से ही पैचिंग, अनुपालन और घटना प्रतिक्रिया के बोझ तले दबी हुई हैं। इसके ऊपर दीर्घकालिक ज़ीरो ट्रस्ट परिवर्तन को जोड़ना भारी पड़ सकता है।
कुछ संगठन टुकड़ों में काम करने का तरीका अपनाते हैं: पहले पहचान नियंत्रण, फिर विभाजन, और अंत में निरंतर निगरानी। कुछ अन्य व्यापक रूप से लागू करने का प्रयास करते हैं और फिर रुक जाते हैं। उद्योग के दिग्गज चेतावनी देते हैं कि ज़ीरो ट्रस्ट को एक बहु-वर्षीय कार्यक्रम त्वरित समाधान के बजाय.
Takeaway
ज़ीरो ट्रस्ट जितना फ़ायरवॉल या प्रॉक्सी से जुड़ा है, उतना ही राजनीति, बजट और मनोविज्ञान से भी जुड़ा है। तकनीकी दृष्टि स्पष्ट हो सकती है, लेकिन क्रियान्वयन में पुरानी प्रणालियों, अनिच्छुक उपयोगकर्ताओं, सीमित बजट और अवसरवादी विक्रेताओं का टकराव होता है।
यह वास्तविकता इस मॉडल को अमान्य नहीं करती। बल्कि यह दर्शाती है कि इस शब्द में स्थायी शक्ति क्यों है। ज़ीरो ट्रस्ट कोई अंतिम रेखा नहीं है। यह सुरक्षा आकांक्षाओं और परिचालन संबंधी बाधाओं के बीच एक सतत बातचीत है।
जीरो ट्रस्ट का भविष्य
ज़ीरो ट्रस्ट अब एक सीमांत अवधारणा नहीं रही। यह सरकारी एजेंसियों और वैश्विक उद्यमों के लिए एक डिफ़ॉल्ट ब्लूप्रिंट बन गई है। लेकिन आगे जो आता है वह सिद्धांतों से कम और बड़े पैमाने पर क्रियान्वयन से ज़्यादा जुड़ा है। जैसे-जैसे संगठन ज़ीरो ट्रस्ट को आईटी सिस्टम से आगे बढ़ाते हैं, परिचालन प्रौद्योगिकी, क्लाउड-नेटिव स्टैक और एआई-संचालित प्रवर्तन, मॉडल स्वयं विकसित हो रहा है।
एआई और मशीन लर्निंग: अनुकूली प्रवर्तन की ओर
सबसे आशाजनक विकासों में से एक है एकीकरण यंत्र अधिगम पहुँच निर्णयों में। स्थिर नियमों—निश्चित विशेषताओं के आधार पर अनुमति देने या अस्वीकार करने—के बजाय, AI-संचालित प्रणालियाँ वास्तविक समय में व्यवहार का विश्लेषण करती हैं।
उदाहरण के लिए, अगर कोई उपयोगकर्ता किसी नए स्थान से असामान्य समय पर लॉग इन करता है, तो सिस्टम प्रमाणीकरण बढ़ा सकता है या गतिविधि को समीक्षा के लिए चिह्नित कर सकता है। समय के साथ, ये मॉडल प्रत्येक उपयोगकर्ता और डिवाइस के लिए "सामान्य" व्यवहार की आधार रेखाएँ बनाते हैं।
माइक्रोसॉफ्ट और गूगल पहले ही अनुकूली प्रमाणीकरण सुविधाएँ शुरू कर चुके हैं जो व्यवहारिक संकेतों को शामिल करती हैं। माइक्रोसॉफ्ट के अनुसार, जोखिम-आधारित सशर्त पहुँच नीतियों का उपयोग करने वाले संगठनों ने फ़िशिंग से संबंधित सफल उल्लंघनों में कमी दर्ज की है, क्योंकि हमलावरों के लॉगिन अक्सर सीखे गए पैटर्न से अलग होते हैं (माइक्रोसॉफ्ट).
चुनौती विश्वसनीयता की है। मशीन लर्निंग सिस्टम में गलत सकारात्मकता का खतरा रहता है, और बहुत ज़्यादा गलत अलार्म अलर्ट थकान पैदा कर सकते हैं। उद्यमों को कम से कम निकट भविष्य में, स्वचालन और मानवीय निगरानी के बीच संतुलन बनाना होगा।
नीति-जैसा-कोड: गार्डरेलिंग को स्वचालित करना
एक और चलन है नीति-जैसा-कोड, जो एक्सेस नियमों को प्रोग्रामिंग भाषाओं में लिखने और सभी प्रणालियों में स्वचालित रूप से लागू करने की अनुमति देता है।
दर्जनों अनुप्रयोगों में अनुमतियों को मैन्युअल रूप से कॉन्फ़िगर करने के बजाय, संगठन केंद्रीय रूप से नीतियां परिभाषित कर सकते हैं - जैसे कि "सभी व्यवस्थापकों को MFA का उपयोग करना होगा, और किसी भी क्रेडेंशियल का पुन: उपयोग नहीं किया जा सकता है" - और स्वचालन को उन्हें लागू करने दें।
यह तरीका DevSecOps पाइपलाइनों में लोकप्रिय हो रहा है। डेवलपर्स एप्लिकेशन कोड के साथ सुरक्षा नीतियों को एम्बेड कर सकते हैं, जिससे यह सुनिश्चित होता है कि नए परिनियोजन शुरू से ही ज़ीरो ट्रस्ट सिद्धांतों का पालन करते हैं। ओपन पॉलिसी एजेंट (OPA), एक ओपन-सोर्स प्रोजेक्ट, इस उद्देश्य के लिए एक लोकप्रिय फ्रेमवर्क बन गया है।
कोड के रूप में नीति मापनीयता का वादा करती है। यह कुछ सवाल भी खड़े करती है: नीतियाँ कौन लिखता है? उनका ऑडिट कौन करता है? अगर कोड में कोई बग आ जाए, तो वह मशीन की गति से गलत नियम लागू कर सकता है। अपनी पूरी क्षमता के बावजूद, यह एक उभरता हुआ क्षेत्र बना हुआ है।
IoT और OT तक शून्य विश्वास का विस्तार
ज़ीरो ट्रस्ट का जन्म उद्यम आईटी की दुनिया में हुआ था, लेकिन इसका तेजी से उपयोग किया जा रहा है परिचालन प्रौद्योगिकी (ओटी) और हालात का इंटरनेट (IOT).
कारखानों, बिजलीघरों और अस्पतालों में ऐसे उपकरण भरे पड़े हैं जिन्हें बार-बार दोबारा प्रमाणित करने के लिए डिज़ाइन ही नहीं किया गया। कई उपकरण पुराने ऑपरेटिंग सिस्टम पर चलते हैं, उनमें पैचिंग की व्यवस्था नहीं है, और इन्हें सुरक्षा के लिए नहीं, बल्कि उपलब्धता के लिए बनाया गया था।
फिर भी, ये वातावरण अब प्रमुख लक्ष्य हैं। 2021 के कोलोनियल पाइपलाइन हमले ने इस बात को रेखांकित किया कि कैसे आईटी उल्लंघन महत्वपूर्ण बुनियादी ढाँचे तक पहुँच सकते हैं। इसके जवाब में, अमेरिकी साइबर सुरक्षा और बुनियादी ढाँचा सुरक्षा एजेंसी (CISA) ने पाइपलाइनों, उपयोगिताओं और परिवहन नेटवर्क के संचालकों से आग्रह किया है कि जहाँ तक संभव हो, वे ज़ीरो ट्रस्ट सिद्धांतों को अपनाएँ (सीआईएसए).
कुछ रणनीतियों में पुराने उपकरणों को "प्रॉक्सी" में लपेटना शामिल है जो उनकी ओर से पहुँच नियम लागू करते हैं, या नेटवर्क को इस तरह विभाजित करना शामिल है कि संवेदनशील उपकरण संवेदनशील प्रणालियों के साथ स्वतंत्र रूप से संचार न कर सकें। प्रगति असमान है, लेकिन दिशा स्पष्ट है: महत्वपूर्ण बुनियादी ढाँचे के लिए परिधि मानसिकता अस्वीकार्य है।
क्लाउड-नेटिव ज़ीरो ट्रस्ट
क्लाउड अपनाने ने ज़ीरो ट्रस्ट को सॉफ़्टवेयर में और गहराई से स्थापित कर दिया है। कुबेरनेट्स जैसे कंटेनरीकृत वातावरण में, माइक्रोसर्विसेज़ एपीआई के माध्यम से लगातार एक-दूसरे से संवाद करते रहते हैं। इस संदर्भ में ज़ीरो ट्रस्ट का अर्थ है, केवल मानव लॉगिन ही नहीं, बल्कि प्रत्येक सेवा-से-सेवा कॉल का सत्यापन।
सेवा जाल जैसे Istio और लिंकरड माइक्रोसर्विसेज के बीच "पारस्परिक टीएलएस" को सक्षम करें, यह सुनिश्चित करते हुए कि एक ही क्लस्टर के भीतर भी, विश्वास अर्जित किया जाता है, न कि माना जाता है।
यह सूक्ष्म प्रवर्तन समझौता किए गए कार्यभार के प्रभाव को कम करता है। लेकिन यह जटिलता भी लाता है, क्योंकि संचालन टीमों को हज़ारों अस्थायी प्रमाणपत्रों का प्रबंधन करना होता है। अनुप्रयोगों को बाधित किए बिना इस प्रक्रिया को स्वचालित करना नवाचार का एक प्रमुख क्षेत्र बनता जा रहा है।
क्वांटम युग की तैयारी
आगे की ओर देखते हुए, ज़ीरो ट्रस्ट आने वाली वास्तविकता से टकरा सकता है क्वांटम कम्प्यूटिंगआज की सार्वजनिक-कुंजी क्रिप्टोग्राफी अधिकांश प्रमाणीकरण और एन्क्रिप्शन का आधार है। एक पर्याप्त शक्तिशाली क्वांटम कंप्यूटर कुछ ही घंटों में इन एल्गोरिदम को तोड़ सकता है।
हालाँकि व्यावहारिक क्वांटम हमले अभी वर्षों दूर हैं, सरकारें और उद्यम पहले से ही तैयारी कर रहे हैं। राष्ट्रीय मानक एवं प्रौद्योगिकी संस्थान (NIST) मानकीकरण कर रहा है। पोस्ट-क्वांटम क्रिप्टोग्राफ़िक एल्गोरिदम कमजोर लोगों को बदलने के लिए (NIST).
ज़ीरो ट्रस्ट के लिए, इसका मतलब है भविष्य-सुरक्षित पहचान और एन्क्रिप्शन परतें। नीतियों को अंततः यह ध्यान रखना पड़ सकता है कि कौन से एल्गोरिदम क्वांटम-सुरक्षित माने जाते हैं और मानकों के विकसित होने के साथ-साथ कनेक्शनों को स्वचालित रूप से स्थानांतरित करना होगा।
भविष्य की दृष्टि की सीमाएँ
भले ही ज़ीरो ट्रस्ट एआई, कोड और पोस्ट-क्वांटम सुरक्षा को एकीकृत करता है, फिर भी सीमाएँ बनी रहती हैं। अगर सावधानी से काम न किया जाए तो स्वचालन उल्टा पड़ सकता है। पुराने उपकरण आसान एकीकरण का विरोध करते रहेंगे। और अगर संगठन ज़ीरो ट्रस्ट शब्दावली को बिना किसी जटिल सांस्कृतिक बदलाव के लागू करते हैं, तो उन्हें "सुरक्षा संकट" का सामना करना पड़ सकता है।
असली भविष्य शायद उतना आकर्षक न हो। यह एक निरंतर चलने वाली प्रक्रिया होगी: जोखिम का आकलन, नीतियों का पुनर्लेखन, प्रणालियों का उन्नयन, और लोगों को आदतें बदलने के लिए राजी करना। ज़ीरो ट्रस्ट एक प्रचलित शब्द से कम और एक आधारभूत धारणा बन सकता है—जैसे कारों में सीटबेल्ट।
बिग पिक्चर
ज़ीरो ट्रस्ट की शुरुआत एक तकनीकी ढाँचे के रूप में हुई थी, लेकिन इसके निहितार्थ फ़ायरवॉल और लॉगिन से कहीं आगे तक फैले हुए हैं। जैसे-जैसे सरकारें, निगम और पूरे उद्योग इसे अपना रहे हैं, यह मॉडल न केवल साइबर सुरक्षा रणनीतियों को आकार दे रहा है, बल्कि शासन, नैतिकता और भू-राजनीति के प्रश्न.
व्यवसाय के लिए साइबर सुरक्षा
आपका व्यवसाय लगातार विकसित हो रहे साइबर खतरों का सामना कर रहा है जो संवेदनशील डेटा को खतरे में डाल सकते हैं, संचालन को बाधित कर सकते हैं और आपकी प्रतिष्ठा को नुकसान पहुंचा सकते हैं। व्यावसायिक समाधान के लिए साइबर सुरक्षा सभी आकार की कंपनियों की अनूठी चुनौतियों का सामना करने के लिए तैयार किए गए हैं, जो मैलवेयर, फ़िशिंग, रैनसमवेयर और अन्य के खिलाफ मजबूत सुरक्षा प्रदान करते हैं।
चाहे आप एक छोटा स्टार्टअप हों या एक बड़ा उद्यम, हम मल्टी-लाइसेंस साइबर सुरक्षा पैकेज प्रदान करते हैं जो आपकी पूरी टीम के लिए सभी डिवाइस पर निर्बाध सुरक्षा सुनिश्चित करते हैं। रीयल-टाइम खतरे की निगरानी, एंडपॉइंट सुरक्षा और सुरक्षित डेटा एन्क्रिप्शन जैसी उन्नत सुविधाओं के साथ, आप अपने व्यवसाय को बढ़ाने पर ध्यान केंद्रित कर सकते हैं जबकि हम आपकी डिजिटल सुरक्षा आवश्यकताओं को संभालते हैं।
आज एक निःशुल्क उद्धरण पाएं! अपने व्यवसाय को किफ़ायती और स्केलेबल समाधानों से सुरक्षित रखें। अनुरोध करने के लिए अभी हमसे संपर्क करें मुक्त बोली आपकी कंपनी को सुरक्षित और अनुपालन योग्य बनाए रखने के लिए डिज़ाइन किए गए बहु-लाइसेंस साइबर सुरक्षा पैकेज के लिए। इंतज़ार न करें - खतरों के आने से पहले अपने व्यवसाय की सुरक्षा करें!
शासन और जवाबदेही
पारंपरिक सुरक्षा मॉडल अक्सर ज़िम्मेदारी को धुंधला कर देते थे। अगर परिधि विफल हो जाती, तो यह स्पष्ट नहीं होता था कि चूक आईटी, अनुपालन या उपयोगकर्ता व्यवहार के कारण हुई थी। ज़ीरो ट्रस्ट स्पष्टता को बल देता है। हर पहुँच अनुरोध लॉग किया जाता है, हर निर्णय नीति से जुड़ा होता है, और हर अपवाद दिखाई देता है।
यह स्पष्टता जवाबदेही को नया रूप देती है। बोर्ड और नियामक विशेषाधिकार प्राप्त खातों, पार्श्व गतिविधियों का पता लगाने और नीतिगत अपवादों पर मेट्रिक्स की अपेक्षा करते हैं। यूरोप में, नियामकों ने संकेत दिया है कि शून्य विश्वास सिद्धांतों को अपनाने में विफल रहने वाली फर्मों को इसके तहत कड़ी जाँच का सामना करना पड़ सकता है। General Data Protection Regulation (GDPR), जिसके लिए व्यक्तिगत डेटा की सुरक्षा के लिए "उचित तकनीकी और संगठनात्मक उपायों" की आवश्यकता होती है (यूरोपीय आयोग).
संगठनों के लिए, इसका मतलब है कि ज़ीरो ट्रस्ट सिर्फ़ एक सुरक्षा तंत्र नहीं है। यह एक अनुपालन साधन भी है।
सत्यापन की नैतिकता
निरंतर सत्यापन से नैतिक प्रश्न उठते हैं। अगर हर गतिविधि रिकॉर्ड की जाती है, तो क्या इससे कर्मचारी की गोपनीयता भंग होती है? अगर एआई-संचालित प्रणालियाँ उपयोगकर्ताओं को "जोखिम" के आधार पर अंक देती हैं, तो क्या ये अंक भौगोलिक स्थिति, कार्य पैटर्न या डिवाइस के प्रकार के आधार पर पक्षपाती हो सकते हैं?
गोपनीयता के पक्षधरों ने चेतावनी दी है कि शून्य विश्वास का अर्थ बदल सकता है डिफ़ॉल्ट रूप से निगरानी अगर सावधानीपूर्वक नियंत्रित न किया जाए। निगरानी प्रौद्योगिकी निरीक्षण परियोजना के निदेशक अल्बर्ट फॉक्स काहन ने 2022 के एक साक्षात्कार में कहा, "सत्यापन आवश्यक है, लेकिन कार्यस्थल पर आप जो कुछ भी करते हैं उसकी दृश्यता एक सीमा पार कर सकती है।"
संगठनों के लिए चुनौती संतुलन बनाने की होगी सम्मान के साथ सुरक्षापारदर्शी नीतियां, न्यूनतम डेटा संग्रहण और स्वतंत्र ऑडिट आवश्यक हो सकते हैं ताकि यह सुनिश्चित किया जा सके कि जीरो ट्रस्ट एक अनियंत्रित निगरानी व्यवस्था न बन जाए।
विश्वास की भूराजनीति
ज़ीरो ट्रस्ट का एक भू-राजनीतिक आयाम भी है। चूँकि साइबर हमलों में सरकारी कर्ता-धर्ता तेज़ी से शामिल हो रहे हैं, इसलिए इस मॉडल को न केवल कंपनियाँ, बल्कि सरकारें भी अपना रही हैं।
संयुक्त राज्य अमेरिका, यूरोपीय संघ और सहयोगी देश महत्वपूर्ण बुनियादी ढाँचे की सुरक्षा के लिए ज़ीरो ट्रस्ट को आधार मानकर चल रहे हैं। वहीं, विरोधी देश अपने नेटवर्क के लिए भी इसी तरह के मॉडल अपना रहे हैं, और अक्सर उन्हें निगरानी-प्रधान नीतियों के साथ मिला रहे हैं।
इस तरह, ज़ीरो ट्रस्ट का हिस्सा बन सकता है वैश्विक साइबर मानदंड बहस। जो देश इसे प्रभावी ढंग से लागू कर सकते हैं, वे न केवल हमलों के प्रति, बल्कि उल्लंघनों के कूटनीतिक और आर्थिक नतीजों के प्रति भी खुद को अधिक लचीला पा सकते हैं।
हालाँकि, विकासशील देशों के लिए, इसे अपनाने की लागत डिजिटल खाई को और चौड़ा कर सकती है। अमीर देश अपने बुनियादी ढाँचे को ज़ीरो ट्रस्ट सिद्धांतों के साथ सुरक्षित करेंगे, जबकि गरीब देश पुराने परिधि मॉडल पर निर्भर रह सकते हैं—जो स्वास्थ्य सेवा, बैंकिंग और उपयोगिताओं को बाधित करने वाले हमलों के प्रति अधिक संवेदनशील होंगे।
सांस्कृतिक बदलाव जो चर्चा से परे है
भले ही ज़ीरो ट्रस्ट विनियमन और भू-राजनीति में प्रवेश कर रहा हो, लेकिन इसका दीर्घकालिक प्रभाव सांस्कृतिक हो सकता है। यह मॉडल डिजिटल ट्रस्ट के बारे में संगठनों की सोच को नए सिरे से परिभाषित करता है: इसे किनारे पर एक बार के हाथ मिलाने के रूप में नहीं, बल्कि एक गतिशील संबंध के रूप में, जिसे निरंतर अर्जित किया जाना चाहिए।
यह सांस्कृतिक बदलाव तकनीकी क्षेत्र के व्यापक रुझानों को दर्शाता है। जिस तरह निरंतर परिनियोजन ने वार्षिक सॉफ़्टवेयर रिलीज़ की जगह ले ली, उसी तरह निरंतर सत्यापन स्थैतिक लॉगिन की जगह ले रहा है। दोनों ही उन प्रणालियों की वास्तविकता को दर्शाते हैं जो हमेशा बदलते रहते हैं, हमेशा उजागर रहते हैं, हमेशा परीक्षण के अधीन रहते हैं.
लीड पर लौटना
जब रैनसमवेयर ने एक अस्पताल की शेड्यूलिंग प्रणाली को बंद कर दिया, तो विफलता कोई अनोखी नहीं थी। यह सामान्य थी: दोबारा इस्तेमाल किया गया पासवर्ड, अनियंत्रित पार्श्व गतिविधि, अंतर्निहित विश्वास।
ज़ीरो ट्रस्ट, अपनी तमाम जटिलताओं और विवादों के बावजूद, सामान्य को ठीक करने का एक प्रयास है। यह हर सेंधमारी को नहीं रोक पाएगा। यह अंदरूनी दुरुपयोग को खत्म नहीं कर सकता। अगर इसका गलत इस्तेमाल किया गया तो यह नए जोखिम भी पैदा कर सकता है। लेकिन यह समीकरण बदल देता है: एक चुराया हुआ पासवर्ड अब पूरे नेटवर्क को अनलॉक करने के लिए पर्याप्त नहीं होना चाहिए।
द किकर
परिधियाँ अब भी मौजूद हैं। बस अब ये तय नहीं करतीं कि कौन अंदर आएगा। आने वाले दशकों में, जो संगठन अनुकूलन करेंगे, वे ऊँची दीवारें खड़ी करने वाले नहीं होंगे, बल्कि वे होंगे जो विश्वास को गतिशील, प्रासंगिक और सशर्त मानेंगे।
शून्य विश्वास, मूल शब्दों से अलग, बस इसी तथ्य की मान्यता है।
उल्लंघन जिसने महल को तोड़ दिया
जब पिछले वसंत में एक मध्यम आकार के अस्पताल के शेड्यूलिंग सिस्टम पर रैंसमवेयर का हमला हुआ, तो चिकित्सकों ने कलम और कागज़ का सहारा लिया। हमलावरों ने विदेशी मैलवेयर का इस्तेमाल नहीं किया था—उन्होंने दोबारा इस्तेमाल किए गए लॉगिन क्रेडेंशियल का इस्तेमाल किया, और नेटवर्क में तब तक इधर-उधर घूमते रहे जब तक कि मुख्य सिस्टम लॉक नहीं हो गए। स्वास्थ्य सेवा क्षेत्र में ऐसी घटनाएँ आम हैं, जहाँ चोरी किए गए क्रेडेंशियल रैंसमवेयर अभियानों को बढ़ावा देते हैं और कम संसाधनों वाली आईटी टीमों पर भारी बोझ डालते हैं (वायर्ड).
वह अस्पताल ही एकमात्र निशाना नहीं था। मई 2021 में, एक रैंसमवेयर हमले ने औपनिवेशिक पाइपलाइन, जो अमेरिका के पूर्वी तट पर खपत होने वाले ईंधन का लगभग आधा हिस्सा आपूर्ति करता है, को परिचालन बंद करने के लिए मजबूर किया गया। हमलावरों ने एक ऐसे वीपीएन खाते का उपयोग करके पहुँच प्राप्त की थी जिसमें बहु-कारक प्रमाणीकरण का अभाव था (विकिपीडिया) इस व्यवधान के कारण ईंधन की कमी, घबराहट में खरीदारी, तथा संघीय आपातकालीन उपाय लागू हो गए।
इससे पहले, दिसंबर 2020 में, ओरियन आपूर्ति-श्रृंखला में सेंध ने व्यापक रूप से इस्तेमाल किए जाने वाले सॉफ़्टवेयर में विश्वास को कमज़ोर कर दिया। दुर्भावनापूर्ण अपडेट—जिनके बारे में माना जाता है कि उन्हें किसी राष्ट्र-राज्य समूह द्वारा संचालित किया गया था—वैध पैच की आड़ में वितरित किए गए, जिससे हमलावरों को पता लगने से पहले महीनों तक अमेरिकी सरकारी एजेंसियों तक पहुँच मिल गई (सीआईएसए).
इन घटनाओं से एक महत्वपूर्ण सबक मिलता है: हमलावरों को डिजिटल परिधि में घुसने की ज़रूरत शायद ही कभी पड़ती है। दीवार के पीछे की हर चीज़ को विश्वसनीय माना जाता हैजिससे उल्लंघन में तेजी से वृद्धि होगी और विनाशकारी भी।
परिधि ढह गई
दशकों से, संगठन एक पर निर्भर थे महल और खाई मॉडल: परिधि को सुदृढ़ करें - फायरवॉल, वीपीएन और घुसपैठ प्रणालियों के रूप में - और अंदर की हर चीज को सुरक्षित माना जाए।
जैसे-जैसे प्रौद्योगिकी विकसित हुई, यह ढांचा ध्वस्त होता गया:
- क्लाउड माइग्रेशन. संवेदनशील कार्यभार को AWS, Azure और Google Cloud पर स्थानांतरित कर दिया गया।
- दूरस्थ एवं मोबाइल पहुंच। महामारी ने कॉर्पोरेट दीवारों से परे काम का विस्तार किया, वीपीएन को बढ़ाया।
- एपीआई और SaaS. डेटा अब छिद्रपूर्ण सीमाओं के पार प्रवाहित होता है।
गूगल क्लाउड के मुख्य सूचना सुरक्षा अधिकारी फिल वेनेबल्स ने 2022 में दिए एक साक्षात्कार में कहा, "परिधि अभी ख़त्म नहीं हुई है। बस अब यह आपको ज़्यादा कुछ नहीं बताती। 'अंदर' होने का मतलब सुरक्षित होना नहीं है।"
पुराना मॉडल और यह क्यों विफल हुआ
इंटरनेट के इतिहास में सुरक्षा संबंधी सोच में महल और खाई का रूपक ज़्यादातर समय तक हावी रहा। ऊँची दीवारें खड़ी करें—फ़ायरवॉल, घुसपैठ निरोधक प्रणालियाँ, एंटीवायरस सॉफ़्टवेयर—और आप दुश्मन को बाहर रख सकते हैं। दीवारों के अंदर, विश्वसनीय उपयोगकर्ता और मशीनें आज़ादी से घूम सकती हैं।
परिधि सुरक्षा का उदय
1990 और 2000 के दशक के शुरुआती सालों में, यह मॉडल समझ में आता था। ज़्यादातर कॉर्पोरेट सिस्टम ऑन-प्रिमाइसेस डेटा सेंटर में काम करते थे। कर्मचारी ऑफिस नेटवर्क के अंदर डेस्क पर बैठते थे। "एज" एक परिभाषित सीमा होती थी, जो आमतौर पर संगठन द्वारा नियंत्रित आईपी रेंज का एक समूह होता था।
फायरवॉल फ़िल्टर किया गया ट्रैफ़िक. VPN का यात्रा करने वाले कर्मचारियों के लिए एन्क्रिप्टेड सुरंगें बनाई गईं। एंटीवायरस सूट ज्ञात खतरों से बचाव के लिए कुछ समय तक ये सुरक्षा उपाय कारगर रहे।
लेकिन दरारें दिखने लगीं।
- कोड रेड और स्लैमर जैसे कीड़े 2000 के दशक के आरम्भ में ये कम्पनियां तेजी से कॉर्पोरेट नेटवर्क में फैल गईं, तथा एक बार अंदर पहुंच जाने पर बिना पैच वाली मशीनों का शोषण करने लगीं।
- टारगेट का 2013 का उल्लंघन, जिसमें हमलावर तीसरे पक्ष के एचवीएसी विक्रेता के माध्यम से प्रवेश करते हैं और पॉइंट-ऑफ-सेल सिस्टम तक पहुंच जाते हैं, यह दर्शाता है कि "विश्वसनीय" क्षेत्र कितने छिद्रपूर्ण हो सकते हैं।
- एडवर्ड स्नोडेन के 2013 के खुलासे अंदरूनी जोखिम पर प्रकाश डाला गया: एक बार जब उपयोगकर्ता को विशेषाधिकार प्राप्त हो जाता है, तो परिधि सुरक्षा डेटा एक्सफ़िलट्रेशन को रोकने में बहुत कम काम करती है।
यह अंतर्निहित धारणा - कि खतरे बाहर से आते हैं - अब सत्य नहीं रही।
वीपीएन अड़चन
वर्चुअल प्राइवेट नेटवर्क, जिन्हें लंबे समय से सुरक्षित दूरस्थ कार्य का एक अभिन्न अंग माना जाता था, एक बड़ी कमज़ोरी बन गए। 2020 तक, जब कोविड-19 महामारी ने पूरे कार्यबल को घर पर ही रहने पर मजबूर कर दिया, तो वीपीएन सर्वर पर भी बोझ बढ़ गया। कर्मचारियों ने सारा ट्रैफ़िक इन्हीं के ज़रिए भेजा, जिससे प्रदर्शन में रुकावटें पैदा हुईं और इससे भी बदतर, विफलता के एकल बिंदु पैदा हुए।
हमलावरों ने नोटिस किया। एफबीआई के अनुसार, 2020-2021 में वीपीएन कमज़ोरियाँ सबसे ज़्यादा शोषित श्रेणियों में से थीं, जिससे हमलावरों को कॉर्पोरेट वातावरण में सीधे प्रवेश का मौका मिला (एफबीआई).
वीपीएन, जो कभी एक विश्वसनीय सेतु था, अब एक दायित्व बन गया है।
व्यवसाय के लिए साइबर सुरक्षा
आपका व्यवसाय लगातार विकसित हो रहे साइबर खतरों का सामना कर रहा है जो संवेदनशील डेटा को खतरे में डाल सकते हैं, संचालन को बाधित कर सकते हैं और आपकी प्रतिष्ठा को नुकसान पहुंचा सकते हैं। व्यावसायिक समाधान के लिए साइबर सुरक्षा सभी आकार की कंपनियों की अनूठी चुनौतियों का सामना करने के लिए तैयार किए गए हैं, जो मैलवेयर, फ़िशिंग, रैनसमवेयर और अन्य के खिलाफ मजबूत सुरक्षा प्रदान करते हैं।
चाहे आप एक छोटा स्टार्टअप हों या एक बड़ा उद्यम, हम मल्टी-लाइसेंस साइबर सुरक्षा पैकेज प्रदान करते हैं जो आपकी पूरी टीम के लिए सभी डिवाइस पर निर्बाध सुरक्षा सुनिश्चित करते हैं। रीयल-टाइम खतरे की निगरानी, एंडपॉइंट सुरक्षा और सुरक्षित डेटा एन्क्रिप्शन जैसी उन्नत सुविधाओं के साथ, आप अपने व्यवसाय को बढ़ाने पर ध्यान केंद्रित कर सकते हैं जबकि हम आपकी डिजिटल सुरक्षा आवश्यकताओं को संभालते हैं।
आज एक निःशुल्क उद्धरण पाएं! अपने व्यवसाय को किफ़ायती और स्केलेबल समाधानों से सुरक्षित रखें। अनुरोध करने के लिए अभी हमसे संपर्क करें मुक्त बोली आपकी कंपनी को सुरक्षित और अनुपालन योग्य बनाए रखने के लिए डिज़ाइन किए गए बहु-लाइसेंस साइबर सुरक्षा पैकेज के लिए। इंतज़ार न करें - खतरों के आने से पहले अपने व्यवसाय की सुरक्षा करें!
शैडो आईटी और SaaS
इस बीच, व्यावसायिक इकाइयों ने केंद्रीय आईटी निगरानी के बिना ही SaaS प्लेटफ़ॉर्म—Salesforce, Slack, Microsoft 365—को अपना लिया। संवेदनशील डेटा तृतीय-पक्ष सेवाओं के माध्यम से प्रवाहित होता रहा, जिसे अक्सर कमज़ोर या दोबारा इस्तेमाल किए गए पासवर्ड से एक्सेस किया जाता रहा।
इस “छाया आईटी” हमले की सतह को इस तरह से बढ़ाया कि परिधि सुरक्षा तंत्र उसे संभालने के लिए तैयार नहीं था। गार्टनर ने अनुमान लगाया कि 2019 तक, बड़े उद्यमों में आईटी खर्च का 30 से 40 प्रतिशत हिस्सा शैडो आईटी पर खर्च होता था—जो पारंपरिक सुरक्षा टीमों के लिए एक अस्पष्ट क्षेत्र था।
अंतर्निहित विश्वास की संस्कृति
परिधि मॉडल का शायद सबसे ख़तरनाक दोष सांस्कृतिक था। सुरक्षा दल "अंदर" को सुरक्षित मानते थे। डेवलपर्स ने बिना किसी नियंत्रण के परीक्षण प्रणालियाँ बनाईं। एडमिन खातों ने विशेषाधिकार जमा कर लिए। पार्श्व गतिविधियों पर ज़्यादातर निगरानी नहीं रखी गई।
जैसा कि वेनेबल्स ने कहा, "परिधि अभी खत्म नहीं हुई है। बस अब यह आपको ज़्यादा कुछ नहीं बताती।" इस अहसास ने ज़ीरो ट्रस्ट की नींव रखी: एक ऐसा ढाँचा जो मानता है उल्लंघन अपरिहार्य है और इसके प्रभाव को न्यूनतम करने पर ध्यान केन्द्रित करता है।
निष्कर्ष: विश्वास, पुनर्विचार
ज़ीरो ट्रस्ट को कभी-कभी एक प्रचलित शब्द मानकर खारिज कर दिया जाता है, जो सुरक्षा उद्योग के संक्षिप्त शब्दों के अंतहीन परेड का एक और चक्र है। फिर भी, इसकी स्थायी शक्ति कुछ और गहरी बात दर्शाती है। जो एक विश्लेषक के मुहावरे के रूप में शुरू हुआ था, वह संघीय आदेश, विक्रेताओं का नारा, और धीरे-धीरे संगठनात्मक मानदंड बन गया है। इसकी स्थायित्व नवीनता से नहीं, बल्कि आवश्यकता से आती है।
परिधि ढह गई। क्लाउड, मोबाइल कार्य और आपस में जुड़ी आपूर्ति श्रृंखलाओं ने अंदर और बाहर के बीच की सीमा को मिटा दिया। हमलावरों ने इस पर ध्यान दिया। उन्होंने वीपीएन का फायदा उठाया, विश्वसनीय सॉफ़्टवेयर अपडेट का दुरुपयोग किया और चुराए गए पासवर्ड को फिरौती के नोटों में बदल दिया। ये विफलताएँ सामान्य थीं, असाधारण नहीं—और यही बात उन्हें विनाशकारी बनाती थी।
ज़ीरो ट्रस्ट उस साधारणता का सामना करने का एक प्रयास है। यह पूर्ण सुरक्षा या किसी घटना पर वीरतापूर्ण प्रतिक्रिया पर निर्भर नहीं करता। इसके बजाय, यह कमज़ोरी को स्वीकार करता है, समझौते की आशंका करता है, और नुकसान को सीमित करता है। चोरी हुआ क्रेडेंशियल मास्टर कुंजी नहीं होना चाहिए। एक अनपैच्ड सर्वर पूरे उद्यम को उजागर नहीं करना चाहिए। पहुँच अस्थायी, प्रासंगिक और किसी भी समय रद्द करने योग्य होनी चाहिए।
यह बदलाव न तो सस्ता है और न ही आसान। संगठनों को ऐसी पुरानी प्रणालियों का सामना करना पड़ता है जिनका आधुनिकीकरण नहीं किया जा सकता, ऐसे कर्मचारी जो बार-बार सत्यापन से चिढ़ जाते हैं, और विक्रेता इस शब्द को तब तक खींचते रहते हैं जब तक कि इसका अर्थ ही न रह जाए। फिर भी, तमाम बाधाओं के बावजूद, यह मॉडल पायलट कार्यक्रमों से आगे बढ़कर बोर्ड-स्तरीय रणनीति तक पहुँच गया है। अस्पताल, बैंक, संघीय एजेंसियाँ और तकनीकी दिग्गज अलग-अलग चरणों में हैं, लेकिन सभी एक ही दिशा में आगे बढ़ रहे हैं।
ज़ीरो ट्रस्ट को महत्वपूर्ण बनाने वाली बात यह नहीं है कि यह उल्लंघनों को समाप्त करता है। ऐसा नहीं हो सकता। अंदरूनी दुरुपयोग, जटिल आपूर्ति-श्रृंखला समझौते और मानवीय त्रुटियाँ बनी रहेंगी। यह विफलता की ज्यामिति को बदल देता है। एक कोने में उल्लंघन अब अनियंत्रित रूप से नहीं फैलता। घुसपैठिए की प्रगति धीमी हो जाती है, दृश्यता बढ़ जाती है, और हमलावर के लिए समझौते की लागत बढ़ जाती है।
कुछ सांस्कृतिक पहलू भी दांव पर लगे हैं। ज़ीरो ट्रस्ट डिजिटल ट्रस्ट के बारे में हमारी सोच को ही बदल देता है। दशकों तक, ट्रस्ट एक स्थिर गुण था: एक बार मिल जाने पर, वह बना रहता था। अब, यह गतिशील है, बार-बार अर्जित किया जाता है, निरंतर मापा जाता है। यह बदलाव तकनीकी क्षेत्र में व्यापक बदलावों को दर्शाता है, जहाँ सिस्टम लगातार अपडेट होते रहते हैं, उपयोगकर्ता लगातार मोबाइल रहते हैं, और खतरे लगातार बदलते रहते हैं।
आने वाले वर्षों में, ज़ीरो ट्रस्ट का विकास होगा। मशीन लर्निंग ज़्यादा निर्णयों को स्वचालित करेगी। पॉलिसी-एज़-कोड इसे बुनियादी ढाँचे में और गहराई तक ले जाएगा। पोस्ट-क्वांटम क्रिप्टोग्राफी इसे नए खतरों के लिए तैयार करेगी। लेकिन इसका सार वही रहेगा: विश्वास कभी भी स्थायी स्थिति नहीं होती, केवल वर्तमान साक्ष्यों पर आधारित एक अस्थायी निर्णय होता है।
परिधियाँ अब भी मौजूद हैं, लेकिन वे अब सुरक्षा को परिभाषित नहीं करतीं। इस अर्थ में, शून्य विश्वास एक तकनीकी ढाँचा कम और वास्तविकता की पहचान ज़्यादा है। यह व्यामोह का मामला नहीं है। यह विनम्रता का मामला है—यह स्वीकार करने की विनम्रता कि कोई भी व्यवस्था दोषरहित नहीं है, कोई भी दीवार अटूट नहीं है, कोई भी हिसाब संदेह से परे नहीं है।
जिन उल्लंघनों के कारण यह हिसाब-किताब ज़रूरी हुआ, वे महँगे, विघटनकारी और कुछ मामलों में खतरनाक थे। लेकिन उन्होंने एक नए दर्शन का मार्ग भी प्रशस्त किया: एक ऐसा दर्शन जो सुरक्षा को एक खाई के रूप में नहीं, बल्कि एक सुरक्षा घेरे के रूप में देखता है, जो हर बातचीत, हर अनुरोध, हर डेटा प्रवाह का मार्गदर्शन करता है।
ज़ीरो ट्रस्ट एक दिन एक मुहावरा बनकर रह जाएगा। इसके मूल सिद्धांत कभी नहीं मिटेंगे। ये उस दुनिया में लचीलेपन का एक शांत ढाँचा बन जाएँगे जहाँ समझौता करना ज़रूरी है। और अगर यह सफल होता है, तो इसकी सफलता का सबसे बड़ा पैमाना इसकी अदृश्यता होगी—यह तथ्य कि साधारण उल्लंघन अब असाधारण संकटों में नहीं बदलेंगे।
