आइडेंटिटी एश्योरेंस के साथ अपने डिजिटल ऑपरेशंस को सुरक्षित करना- बेसिल फिलिप्स के साथ साक्षात्कार

CASQUE एक अगली पीढ़ी की तकनीक है जो लोगों और चीजों दोनों के लिए पहचान आश्वासन प्रदान करती है, और सुरक्षा उत्पादों, सुरक्षा, लचीलापन, और प्रयोज्य के संबंध में मौजूदा उत्पादों पर महत्वपूर्ण फायदे हैं, जिसमें अंदरूनी हमलों के खिलाफ रक्षा भी शामिल है। COVID-19 के कारण दूरस्थ कार्य और सहयोग प्लेटफार्मों पर बढ़ती निर्भरता को देखते हुए, मैंने Casque के प्रबंध निदेशक बेसिल फिलिप्स से चर्चा करने के लिए आमंत्रित किया कि कैसे संगठन अपने बचाव को मजबूत कर सकते हैं और अपनी ऑनलाइन संपत्ति को सुरक्षित रख सकते हैं।.


कृपया CASQUE के पीछे की पृष्ठभूमि और उसके विकास के बारे में बताएं. 

हमने एक सॉफ्टवेयर कंपनी के रूप में शुरुआत की, जो सुरक्षा के इर्द-गिर्द छोटे-छोटे प्रोजेक्ट करती है। जीवन का विचार तब आया जब हमें पोर्ट में डोवर से एक बड़ा कॉन्ट्रैक्ट मिला, ताकि बंदरगाह में पहुंच सुरक्षित हो सके। पोर्ट ऑफ डोवर लगभग 10,000 लोगों के साथ एक बहुत व्यस्त बंदरगाह है जो विभिन्न कार्यों में काम करता है: सीमा शुल्क, माल ढुलाई, पट्टे, भंडारण और आगे। इसलिए हमारी परियोजना एक ऐसा सॉफ्टवेयर लिखने की थी जो यह सुनिश्चित करे कि भौतिक पहुंच सुरक्षित थी, और हमने ऐसा किया कि शारीरिक बाधाओं और टर्नस्टाइल के साथ कर्मचारियों को एक पहचानकर्ता के रूप में काम करने के लिए एक चुंबकीय कार्ड का उपयोग करना आवश्यक था।.

कंप्यूटर भवनों पर डेटा संसाधनों तक पहुँच के बारे में सोचने की शुरुआत हम में से थी, जो कि कार्यालय भवनों में भौतिक पहुँच के विपरीत थी। इसने हमें प्रमाणीकरण की सामान्य समस्या के बारे में सोचने पर मजबूर कर दिया, जिससे हमें यह देखने को मिला कि क्या उपलब्ध था। यह स्पष्ट था कि उपलब्ध समाधानों में से प्रत्येक में कुछ कमजोरी थी.

उत्पाद मौलिक रूप से कमजोर थे इसका कारण यह है कि जब आप प्रत्येक प्रमाणीकरण पद्धति को करीब से देखते हैं, तो वे एक निश्चित रहस्य रखने पर भरोसा करते हैं। स्पष्ट एक पासवर्ड है, लेकिन यह एक जैविक टेम्पलेट भी हो सकता है या यह एक SecurID टोकन में एम्बेडेड कुंजी हो सकता है। यह एक PKI बुनियादी ढांचे में निजी कुंजी हो सकती है। इन सभी तरीकों के साथ समस्या यह है कि अगर कोई निश्चित रहस्य का पता लगाता है तो सुरक्षा में सेंध लग जाती है.

तो हमने सोचा, हम एक ऐसी प्रणाली को कैसे डिजाइन कर सकते हैं जहां हम महत्वपूर्ण रूप से और तुरंत, पारदर्शी तरीके से महत्वपूर्ण कुंजियों को बदल सकते हैं? यही चुनौती थी जो हमने खुद को निर्धारित की। इस चुनौती को हल करने में हमें बहुत लंबा समय लगा और हमें पता चला कि लोगों ने केवल निश्चित कुंजियों का उपयोग क्यों किया!.

इसे बहुत सरल शब्दों में समझाने के लिए, डायनेमिक रूप से कुंजियों को बदलना बहुत मुश्किल है और लोग ऐसा क्यों नहीं करते हैं, इसके तीन कारण हैं।.

  1.   पहली और सबसे महत्वपूर्ण कठिनाई यह है कि यदि आप एक कुंजी बदलने के लिए एक निर्देश भेजते हैं और आपको कोई उत्तर नहीं मिलता है, तो आपको एक अनिश्चित स्थिति में छोड़ दिया जाता है। आपको पता नहीं है कि चाबियाँ बदली गई थीं या नहीं.
  2.   दूसरी समस्या यह है कि जब आप चाबियाँ बदलने और यह सत्यापित करने के लिए बातचीत में हैं कि वे कर ली गई हैं। यदि उस बातचीत के दौरान दोनों तरफ से विफलता या समय-सीमा होती है, तो आप कैसे ठीक होते हैं और कैसे बहाल होते हैं? यह गतिशील अपडेट की एक शास्त्रीय समस्या है.
  3.   तीसरी श्रेणी की समस्याएं खतरे के अवसर की चिंता करती हैं। तो मान लें कि एक हमलावर यह देख रहा था कि यह संवाद क्या हो रहा है, और कुंजी को बदलने के लिए निर्देशों की प्रतिलिपि प्राप्त कर रहा है। क्या होता है, कुछ भविष्य की तारीख में, वह हमलावर खुद को सर्वर और क्लाइंट के बीच में रखेगा और उस पुराने रिकॉर्ड किए गए कमांड को फिर से करेगा। पूरी चीज़ अनसंकटेड हो जाएगी, इसलिए आपको सेवा से वंचित कर दिया जाएगा.

इन समस्याओं को हल करने के लिए, हमें चार अलग-अलग आविष्कारों की आवश्यकता थी। उन आविष्कारों में से एक ने अमेरिकी और यूरोपीय संघ के पेटेंट को मंजूरी दी है। तो इसका मतलब है कि कोर कार्यप्रणाली पेटेंट द्वारा संरक्षित है। लेकिन अन्य तीन आविष्कार हम निजी जानकारियों के रूप में रखते हैं। पेटेंट पढ़ने वाले किसी व्यक्ति को कार्यप्रणाली की समझ मिल सकती है, लेकिन वे यह नहीं जान पाएंगे कि वास्तव में इसे कैसे लागू किया जाए. 

इसके अलावा, लोगों को यह दिखाने के लिए कि हमारे पास एक विश्वसनीय समाधान था, हम अपने उत्पाद को पाने के लिए यूके जीसीएचक्यू, यूके सरकार के सुरक्षा विशेषज्ञों के साथ एक प्रमाणन प्रक्रिया से गुजरे, जो सीक्रेट का उपयोग करने के लिए प्रमाणित है। इसके परिणामस्वरूप, हमने यूके के रक्षा मंत्रालय में कई bespoke प्रोजेक्ट्स को लागू किया है जो CASQUE क्षमताओं का उपयोग करते हैं.

अगला चरण इस बीस्पोक प्रकार के काम से दूर जाना था, और एक व्यावसायिक उत्पाद का निर्माण करना था जिसे ग्राहक “बॉक्स से बाहर” इस्तेमाल कर सकते थे। यह मुख्य नेटवर्क गेटवे निर्माताओं के साथ एकीकरण की आवश्यकता है। CASQUE ने CISCO ASA, Fortinet Fortigate, Pulse Connect के साथ इंटरफेस सिद्ध किया है.

सबसे हाल ही में हमने जो एकीकरण किया है वह डब्ल्यूएसओ 2 द्वारा निर्मित ओपन-सोर्स, आइडेंटिटी प्लेटफॉर्म के लिए है। अभी हाल ही में कुप्पिंगरकोले द्वारा सकारात्मक प्रशंसा की गई है, जिन्होंने इस बाजार खंड में नेताओं में से एक के रूप में डब्ल्यूएसओ 2 पहचान मंच का दर्जा दिया है।.

यहाँ कैसे कैस्के वास्तव में काम करता है इसका एक त्वरित पूर्वावलोकन है:

एक कंपनी या संगठन अपनी संपत्ति को सुरक्षित करने के लिए आपकी तकनीक को कैसे लागू कर सकते हैं?

प्रौद्योगिकी में सॉफ्टवेयर और हार्डवेयर घटक हैं। इसलिए सॉफ्टवेयर के संदर्भ में, हम दो लाइसेंस प्रदान करते हैं। पहला सॉफ़्टवेयर उत्पाद ग्राहक को शुरू में एक कुंजी सेट के साथ हमारे टोकन को आबाद करने की अनुमति देता है। ये टोकन हार्डवेयर तत्व हैं। हम उन्हें प्रभावी रूप से “रिक्त” के रूप में आपूर्ति करते हैं, इसलिए ग्राहक अपनी कुंजी सेट कर सकते हैं और इसलिए, हम निर्माता के रूप में चाबियों के साथ कुछ भी नहीं करना चाहते हैं, जिसका अर्थ है कि कोई तीसरा पक्ष जोखिम नहीं है। टोकन में एक सुरक्षित चिप होती है और इसे संपर्क रहित स्मार्टकार्ड के रूप में महसूस किया जा सकता है.

अन्य सॉफ्टवेयर उत्पाद जो हम प्रदान करते हैं, वह प्रमाणीकरण सर्वर है। सॉफ्टवेयर का यह टुकड़ा विंडोज या लिनक्स प्लेटफॉर्म पर चलता है, और निश्चित रूप से इसे क्लाउड सेटिंग में वर्चुअल मशीन पर चलाया जा सकता है. 

विशिष्ट गेटवे से जुड़ने के अलावा, CASQUE को एक ओपन आईडी कनेक्ट फ्रेमवर्क में भी जोड़ा जा सकता है। ओपन आईडी कनेक्ट एक संघबद्ध आधार पर पहचान प्रबंधन करने का एक तरीका है। इसके बारे में अच्छी बात यह है कि अमेज़ॅन वेब सेवाएं, Google क्लाउड, Microsoft Azure ने मल्टी-फैक्टर प्रमाणीकरण को बढ़ाने के लिए इंटरफ़ेस के रूप में ओपन आईडी कनेक्ट को अपनाया है। तो मूल रूप से क्या होता है:

  • आप कोशिश करते हैं और अमेज़न वेब सेवा पर एक संसाधन पर जाते हैं.
  • विशेष पहचान प्रमाणीकरण की आवश्यकता के रूप में आप कुछ प्रमाणों को चिह्नित करते हैं.
  • अमेज़ॅन वेब सेवाएँ तब हमारे पास अनुरोध को छोड़ देती हैं.
  • हम ब्राउज़र को संभालते हैं और हम क्लाइंट से बात करते हैं.
  • CASQUE संवाद के बाद, यदि यह ठीक है, तो हम अमेज़न से कहते हैं कि इस उपयोगकर्ता को अनुरोधित संसाधन में अनुमति दी जानी चाहिए.
  • इसके अतिरिक्त हम और अधिक सुव्यवस्थित पहुंच की अनुमति देने के लिए और अधिक जानकारी प्रदान कर सकते हैं.

उपयोग के मामलों के संदर्भ में, यह स्पष्ट है कि इस हाल के कोरोनावायरस ने लोगों को अधिक घर कार्य करने के लिए प्रेरित किया है। यह होमवर्क करने के लिए बहुत अच्छा है, यह आपको लचीलापन देता है, यह लोगों के निजी सामाजिक जीवन को उनके कार्य जीवन के साथ बेहतर स्थिति में मदद करता है। लेकिन उन सभी प्लसस के साथ, दुर्व्यवहार और हमले के जोखिम हैं.

ऐसे हमले होते रहते हैं। उदाहरण के लिए, नवीनतम आंकड़े कहते हैं कि मार्च 2020 में दुनिया भर में 800 मिलियन से अधिक डेटा रिकॉर्ड्स टूट गए थे। यह एक मौजूदा और चल रही समस्या है। मुद्दा यह है कि वे डेटा उल्लंघनों क्यों कर रहे हैं? कुछ स्पष्ट उत्तर हैं। उनमें से एक यह है कि ये ऑथेंटिकेशन तकनीक जिसे मैंने संदर्भित किया है, असुरक्षित हैं। अंतर्निहित भेद्यता के परिणामस्वरूप, यह हमलावरों को प्रोत्साहित करता है, जैसा कि हमने हाल ही में चीनी हैकिंग आरएसए सॉफ्ट टोकन के मामले में खोजा था। यह उल्लंघनों का एक अच्छी तरह से प्रचारित सेट था जिसे नीदरलैंड साइबर कंसल्टेंसी ने पहचान लिया है, और मैंने अपने वरिष्ठ पदों में इसके बारे में लिखा है।.

इन प्रमाणीकरण विधियों की अंतर्निहित भेद्यता का एक और अप्रत्यक्ष जोखिम है क्योंकि क्या होता है कि अंदरूनी लोग जानकारी लीक करने में आत्मविश्वास महसूस करते हैं क्योंकि वे हमेशा किसी और को दोष दे सकते हैं। क्योंकि हमारे CASQUE उत्पाद के पास कोई निश्चित कुंजी नहीं है, इसलिए हैकर को खोजने के लिए या एक अंदरूनी सूत्र का खुलासा करने के लिए कुछ भी नहीं है। इसलिए हमारे पास एक महान निवारक है, हम पहुंच से इनकार करने और पहुंच को अस्वीकार करने का बहाना निकालते हैं.

मान लीजिए कि कोई ब्रांड या कंपनी अपनी साइबर सुरक्षा रणनीति की योजना बनाना चाहती है। वे किन चीजों पर विचार कर रहे हैं?

हमें लगता है कि एक अच्छी रणनीति यह निर्धारित करना है कि कंपनी के पास कितनी महत्वपूर्ण डेटा परिसंपत्तियाँ हैं। यह एक आसान सवाल नहीं है। आप केवल यह नहीं कह सकते हैं, ओह, ठीक है, यह सब वित्तीय है या यह हमारे सभी आईपी है क्योंकि यह वास्तव में आपकी कंपनी की महत्वपूर्ण संपत्ति नहीं है। सवाल यह है कि अगर आपके पास किसी विशेष डेटा संसाधन तक पहुंच नहीं है, तो नकारात्मक जोखिम क्या है? क्या प्रतिष्ठा के लिए जोखिम है? क्या परिचालन कठिनाइयों और निरंतरता के लिए जोखिम है? इसे कितनी जल्दी पुनर्प्राप्त किया जा सकता है? उन सवालों को पूछना और प्राथमिकता देना है। यदि आप उन प्रश्नों को पर्याप्त रूप से पूछते हैं, तो आपको जल्द ही पता चल जाएगा कि क्या डेटा आपको खो जाने पर सबसे अधिक दर्द देता है.

आपको यह स्पष्ट क्यों नहीं है, इसका एक उदाहरण देने के लिए, हमने एक बड़ी फार्मास्युटिकल कंपनी में C सूट के कार्यकारी से बात की। उन्होंने हमसे कहा कि जब उन्होंने यह अभ्यास किया, तो यह पता चला कि डेटा का केवल एक छोटा सा उपसमुच्चय था जो उन्होंने सोचा था कि प्रासंगिक था क्योंकि उनकी सभी दवाएं पेटेंट में थीं और पेटेंट या जेनेरिक से संरक्षित या बाहर थीं। केवल एक चीज जिसके बारे में वे पागल थे, वह उनके वर्तमान ड्रग ट्रायल के परीक्षा परिणाम थे क्योंकि यदि उन्हें लीक किया गया था, तो प्रतियोगियों को पता चल जाएगा और वे बाहर निकलने की कोशिश करेंगे। इसलिए तुरंत वे कह सकते थे, ये संसाधन हैं जिन्हें सुरक्षा की आवश्यकता है और हमें उन पर सबसे मजबूत सुरक्षा प्राप्त करने की आवश्यकता है.

आपको यह भी निर्धारित करने की आवश्यकता है कि डेटा क्राउन ज्वेल्स का उपयोग कौन करना चाहिए। यह एक स्पष्ट सवाल लग सकता है, लेकिन यह वास्तव में देखने की जरूरत है। क्योंकि बहुत से मामलों में, यह व्यक्तिगत डेटा नहीं है जो मायने रखता है या जिनके पास उस व्यक्तिगत डेटा तक पहुंच है, जो समग्र डेटा तक पहुंच के मामले हैं, क्योंकि वास्तविक मूल्य निहित है.

एक बार जब आप उन चीजों को स्थापित कर लेते हैं, तो आप उचित समाधान देखना शुरू कर सकते हैं। इसलिए आपको सिर्फ यह नहीं कहना चाहिए कि हम पूरे संगठन में सुरक्षा उपाय के साथ जा रहे हैं, क्योंकि जैसा कि मैंने अभी समझाया है, विभिन्न परिसंपत्तियों और विभिन्न लोगों को सुरक्षा के विभिन्न स्तरों की आवश्यकता होती है। लेकिन यह आपको क्या करने के लिए मजबूर करता है यह निर्धारित करने के लिए कि कौन सी सुरक्षा विधि उपयोगकर्ताओं के किस वर्ग के लिए उपयुक्त है। और यह आपको अपने मौजूदा आईटी ढांचे और परिचालन विशेषाधिकारों की समीक्षा करने के लिए मिलता है। यह अच्छी तरह से हो सकता है कि आपके मौजूदा आईटी आर्किटेक्चर को संशोधन की आवश्यकता है.

आपको कैसे लगता है कि COVID-19 आपके उद्योग को प्रभावित करने वाला है?

हालांकि भविष्य की भविष्यवाणी करना मुश्किल है, मुझे लगता है कि वर्तमान संकट अंततः लोगों के काम करने के तरीके को बदल देगा क्योंकि यह स्पष्ट हो गया है कि काम का एक बड़ा अनुपात लचीले ढंग से अलग-अलग समय पर और घर पर किया जा सकता है। इसलिए कर्मचारी अपने नियोक्ताओं के पास वापस जाने में सक्षम हो सकते हैं और कह सकते हैं कि देखो, जब हमारे पास यह महामारी थी, तो यह अच्छी तरह से काम कर रहा था, तो हमारे पास और अधिक लचीले तरीके से काम करने की अनुमति देने के लिए कुछ नियम क्यों नहीं हो सकते। इसलिए मुझे लगता है कि इस संकट के परिणामस्वरूप लचीले और दूरदराज के काम करने के लिए एक बड़ी ड्राइव होगी.

नियोक्ताओं द्वारा इसका जवाब कैसे दिया जाता है, यह अलग बात है। वे कह सकते हैं कि हमें वास्तव में आपको वापस करने की आवश्यकता है, उचित घंटे काम करना, क्योंकि अन्यथा, हम वास्तव में चीजों का प्रबंधन नहीं कर सकते। या वे कह सकते हैं, ठीक है, यह उपयोगी साबित हुआ है। हम एक अलग संरचना या विभिन्न कार्य प्रथाओं के सेट का निर्माण कर सकते हैं.

इसलिए मुझे लगता है कि एक प्रभाव होगा, और इसके लिए सुरक्षा उपायों की अधिक समीक्षा की आवश्यकता होगी। जैसा कि मैंने उल्लेख किया है, लचीले ढंग से काम करना जोखिम है। सॉफ़्टवेयर का बढ़ा हुआ उपयोग, चाहे वह सहयोग का सॉफ़्टवेयर हो या दूरस्थ कार्य करने वाला सॉफ़्टवेयर, बौद्धिक संपदा की चोरी करने के इच्छुक लोगों के लिए अधिक से अधिक आक्रमण क्षेत्र प्रदान करेगा.

 कुछ दिलचस्प रुझान या प्रौद्योगिकियां हैं जो आप आने वाले वर्षों में अधिक देखने की उम्मीद करते हैं?

खैर, मुझे लगता है कि मेरे द्वारा बताए गए स्पष्ट कारक हैं, जो कि आइडेंटिटी प्रबंधन के साथ और क्या उपयुक्त है और क्या वास्तव में सुरक्षित हैं, की समस्याओं के साथ है। और यह वह जगह है जहाँ हम समाधान पेश कर सकते हैं.

मुझे लगता है कि एक बड़ा जोखिम यह है कि लोग सहकर्मी से सहकर्मी को काम करने के लिए प्रोत्साहित महसूस कर सकते हैं, इसलिए यदि आप अपने सहयोगियों से बात करना चाहते हैं, तो आप सीधे अंदर जा सकते हैं और सीधे उनके साथ एक सत्र कर सकते हैं। अब, यह संगठन के लिए एक खतरा है, क्योंकि यदि संगठन के पास इन सहकर्मी से सहकर्मी एक्सचेंजों के लिए बहुत कुछ है, तो संगठन ने खुद पर नियंत्रण खो दिया है क्योंकि यह नहीं जानता कि क्या हो रहा है। और अगर यह नहीं पता कि क्या हो रहा है, तो यह इसे नियंत्रित नहीं कर सकता है। इसलिए यह सिद्धांत होना चाहिए कि यदि यह कॉर्पोरेट डेटा है जिस पर आप काम कर रहे हैं, तो आपको कंपनी के सर्वर के माध्यम से आना होगा। आप केवल सहकर्मी से सहकर्मी संचार नहीं कर सकते क्योंकि हम नहीं जानते कि यह क्या है जो आप कर रहे हैं। हमें एक रिकॉर्ड नहीं मिला। अगर कोई मुक़दमा होगा तो हम आसानी से जवाब नहीं दे पाएंगे.

इसलिए एक बार आपने यह निर्धारित कर लिया कि वह महत्वपूर्ण डेटा सबसेट क्या है, उन्हें कॉर्पोरेट डेटा सेंटर के माध्यम से इसे प्रबंधित करने के बारे में सोचना होगा। तो फिर सवालों का अगला सेट होगा, हम किस प्लेटफॉर्म का उपयोग करते हैं? वहाँ कई सहयोग प्लेटफ़ॉर्म और प्रोजेक्ट प्रबंधन प्रकार प्लेटफ़ॉर्म हैं, और वे हाल ही में बढ़ रहे हैं। इन प्लेटफार्मों के साथ समस्या यह है कि उनमें आपको अपने मालिकाना स्थान में फंसाने की प्रवृत्ति होती है क्योंकि एक बार जब आप साइन अप कर लेते हैं, तो हर किसी को उस विशेष चुने हुए सॉफ़्टवेयर प्लेटफ़ॉर्म के लिए साइन अप करना पड़ता है। तो आपूर्ति श्रृंखला शुरू करने की क्षमता मुश्किल साबित हो सकती है.

इसलिए आपको कंपनी के बाहर उन प्लेटफार्मों को विस्तारित करने में सक्षम करने के लिए संगत डेटा प्रारूपों और एपीआई के साथ काम करने के कुछ और सामान्य साझा तरीके होने की आवश्यकता हो सकती है, उदाहरण के लिए, प्राथमिक आपूर्ति श्रृंखला चैनलों के माध्यम से। महत्वपूर्ण रूप से, आपको यह नियंत्रित करने की आवश्यकता है कि आप प्रतिभागियों को कैसे अधिकृत और पहचानें; हमें लगता है कि हमारी स्वतंत्र, संघबद्ध पहचान की क्षमता को इस क्षेत्र में मदद करनी चाहिए.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map