Connect with us
https://cybersecuritynews.site/wp-content/uploads/2021/11/zox-leader.png

Published

on

The Ultimate Managed Hosting Platform

टीएल; डीआर: यह सुनने में जितना अजीब लगेगा, सुरक्षा स्कैनर द्वारा रिपोर्ट की गई कुछ झूठी सकारात्मकता को देखना संकेत हो सकता है और निश्चित रूप से किसी को भी देखने से अधिक नहीं है। आइए स्पष्ट करें कि क्यों।

परिचय

झूठी सकारात्मकता ने हाल ही में हमारे जीवन में काफी आश्चर्यजनक रूप से देखा है। वास्तव में, मैं COVID-19 महामारी का जिक्र कर रहा हूं, जिसके लिए वायरस के प्रसार को प्रबंधित करने के उद्देश्य से विशाल परीक्षण अभियानों की आवश्यकता थी। रिपोर्ट के लिए, एक झूठी सकारात्मक एक अंतिम परिणाम है जो सकारात्मक लगता है (हमारे मामले में COVID-19 के लिए), जहां यह वास्तव में हानिकारक है (व्यक्ति संक्रमित नहीं होगा)। अतिरिक्त आम तौर पर, हम झूठे अलार्म के बारे में संवाद करते हैं।

लैपटॉप की सुरक्षा के मामले में भी हम कई बार झूठी सकारात्मकताओं का सामना करते हैं। किसी भी सिएम के पीछे सुरक्षा कर्मचारियों से पूछें कि उनकी सबसे बड़ी परिचालन समस्या क्या है, और संभावना है कि झूठी सकारात्मक बात की जा सकती है। एक लहर रिपोर्ट good अनुमान है कि सुरक्षा पेशेवरों द्वारा प्राप्त किए गए सभी अलर्ट में से 20% झूठे सकारात्मक हैं, जिससे यह थकान का एक बड़ा स्रोत बन गया है।

लेकिन झूठी सकारात्मकता के पीछे की कहानी इतनी सरल नहीं होगी जितनी पहली नज़र में लगती है। इस लेख पर, हम इस बात की वकालत करेंगे कि मूल्यांकन उपकरण का मूल्यांकन करते समय, झूठी सकारात्मकता का उचित मूल्य देखना प्रभावशीलता का अपेक्षाकृत अच्छा संकेत है।

हम किस बारे में सटीक बात कर रहे हैं?

साथ स्थिर विश्लेषण सॉफ़्टवेयर सुरक्षा में, हमारी प्रमुख चिंता सभी को पकड़ना है सच आपूर्ति कोड का विश्लेषण करके कमजोरियां।

स्थिर मूल्यांकन के दो बुनियादी विचारों के बीच उत्कृष्टता को बेहतर ढंग से समझने के लिए यहां एक दृश्य है: सटीक और याद। आवर्धक कांच उस पैटर्न का प्रतिनिधित्व करता है जिसे डिटेक्शन डिवाइस द्वारा पहचाना या चुना गया था। आप के सांख्यिकीय पाठ्यक्रम की दक्षता का आकलन करने के तरीकों के बारे में अतिरिक्त पढ़ाया जा सकेगा यहां.

सुरक्षा में झूठी सकारात्मकता

आइए देखें कि इंजीनियरिंग के दृष्टिकोण से इसका क्या अर्थ है:

  • झूठी सकारात्मकता को कम करके, हम सटीकता को बढ़ाते हैं (पहचाई गई सभी कमजोरियां वास्तव में सुरक्षा चुनौती का प्रतीक हैं)।
  • झूठी नकारात्मकताओं को कम करके, हम याद को बढ़ाते हैं (वर्तमान में सभी कमजोरियों को उचित रूप से पहचाना जाता है)।
  • 100% रिकॉल पर, डिटेक्शन डिवाइस किसी भी तरह से एक भेद्यता को याद नहीं करेगा।
  • 100% सटीकता पर, डिटेक्शन डिवाइस किसी भी तरह से गलत अलर्ट नहीं बढ़ाएगा।

एक और तरीका रखो, एक भेद्यता स्कैनर का लक्ष्य सर्कल (आवर्धक कांच के भीतर) को बाएं आयत (संबंधित भागों) की क्षमता के रूप में बंद करना है।

मुद्दा यह है कि उत्तर कभी भी स्पष्ट नहीं होता है, जिसका अर्थ है कि ट्रेड-ऑफ किया जाना है।

तो, अतिरिक्त आकर्षक क्या है: सटीकता को अधिकतम करना या याद करना?

कौन सा बदतर है, बहुत अधिक झूठी सकारात्मक या बहुत अधिक झूठी नकारात्मक?

यह जानने के लिए, आइए इसे प्रत्येक चरम पर ले जाएं: इस बारे में सोचें कि {कि एक डिटेक्शन डिवाइस केवल अपने ग्राहकों को सचेत करता है जब मौका {कि एक} कोड के टुकड़े में एक भेद्यता शामिल है जो 99.999% से बेहतर है। इतनी अधिक सीमा के साथ, आप लगभग सुनिश्चित हो सकते हैं कि अलर्ट निश्चित रूप से एक वास्तविक आशावादी है। हालाँकि, स्कैनर चयनात्मकता के कारण कितने सुरक्षा मुद्दों पर किसी का ध्यान नहीं जाएगा? ढेर।

अब, इसके बिल्कुल विपरीत, क्या होगा यदि डिवाइस को किसी भी तरह से एक भेद्यता (रिकॉल को अधिकतम करें) से चूकने के लिए ट्यून किया गया था? आपने यह अनुमान लगाया: आप जल्दी से सैकड़ों और यहां तक ​​कि सैकड़ों झूठे अलर्ट का सामना करेंगे। और एक बेहतर खतरा है।

जैसा कि ईसप ने हमें अपनी कहानी में चेतावनी दी थी लड़का है जो भेड़िया सा रोया, जो कोई भी केवल झूठे दावों को दोहराता है, वह खुद को नहीं सुनेगा। हमारी आधुनिक दुनिया में, अविश्वास सुरक्षा सूचनाओं को निष्क्रिय करने और शांति बहाल करने के लिए एक आसान क्लिक के रूप में अमल में आएगा, या निष्क्रियता की अनुमति नहीं होने पर बस उन्हें अनदेखा कर देगा। हालाँकि दंड बहुत कम से कम उतने ही नाटकीय हो सकते हैं जितने कि कल्पित कथा के भीतर हैं।

सुरक्षा में झूठी सकारात्मकता

यह कहना सही है कि सतर्क थकान प्राथमिक उद्देश्य हो सकता है स्थिर मूल्यांकन आमतौर पर विफल रहता है। न केवल झूठे अलार्म पूरे सॉफ्टवेयर सुरक्षा अनुप्रयोगों की विफलता की आपूर्ति हैं, बल्कि वे बर्नआउट और मतदान के समान अधिक गंभीर नुकसान भी पहुंचाते हैं।

और लेकिन, उनके लिए जिम्मेदार सभी बुराइयों की परवाह किए बिना, आपको यह मान लेना गलत होगा कि यदि किसी उपकरण में कोई झूठी सकारात्मकता नहीं है, तो उसे इस नकारात्मक पक्ष का निश्चित उत्तर देना चाहिए।

झूठी सकारात्मकता को स्वीकार करने के लिए सिखाया जाने वाला सही तरीका

केवल झूठी सकारात्मकता को स्वीकार करने के लिए, हमें अब उस मौलिक अंतर्ज्ञान की ओर जाना होगा जो हमें हमेशा शुरुआती निष्कर्षों की दिशा में धकेलता है। एक अन्य विचार प्रयोग इसे स्पष्ट करने में हमारी सहायता कर सकता है।

इस बारे में सोचें कि आपको दो सुरक्षा स्कैनर ए और बी की दक्षता का मूल्यांकन करने का काम सौंपा गया है।

अपने बेंचमार्क में प्रत्येक उपकरण को संचालित करने के बाद, परिणाम अगले हैं: स्कैनर ए ने केवल वैध कमजोरियों का पता लगाया, जबकि स्कैनर बी ने प्रत्येक वैध और अमान्य कमजोरियों की सूचना दी। इस स्तर पर, जल्दी निष्कर्ष निकालने के लिए कौन परीक्षा में नहीं आएगा? निर्णय लेने से पहले अतिरिक्त ज्ञान मांगने के लिए आपको एक चतुर पर्याप्त पर्यवेक्षक होना चाहिए। जानकारी से पता चल सकता है कि बी द्वारा बताए गए कुछ वैध रहस्यों और तकनीकों को ए द्वारा चुपचाप अनदेखा कर दिया गया था।

अब आप इस पाठ के पीछे मूल विचार देख सकते हैं: कोई भी उपकरण, पाठ्यक्रम, या फर्म यह दावा कर रही है कि वे पूरी तरह से हैं नि: शुल्क झूठी सकारात्मक से संदिग्ध लगना चाहिए। यदि वास्तव में ऐसा होता है, तो संभावनाएं बहुत अधिक हो सकती हैं कि कुछ संबंधित भागों को चुपचाप छोड़ दिया गया हो।

सटीकता और रिकॉल के बीच स्थिरता की खोज करना एक नाजुक मामला है और इसके लिए बहुत सारे ट्यूनिंग प्रयासों की आवश्यकता होती है (आप संभवतः सीख सकते हैं कि GitGuardian इंजीनियर कैसे सुधार कर रहे हैं मॉडल परिशुद्धता) इतना ही नहीं, इसे बार-बार विफल होते देखना भी पूरी तरह से सामान्य है। इसलिए आपको कुछ लोगों को देखने की तुलना में झूठी सकारात्मकता के बारे में अधिक चिंतित होने की आवश्यकता है।

हालाँकि, एक और बहाना भी है कि झूठी सकारात्मकता वास्तव में एक आकर्षक संकेत भी हो सकती है: सुरक्षा शायद ही कभी “सभी सफेद या सभी काले” होती है। “हम नहीं जानते”, और . के स्थान पर हर समय एक हाशिया हो सकता है

जहां मानव जांच और ट्राइएज महत्वपूर्ण हो जाते हैं।

“सॉफ्टवेयर प्रोग्राम की प्रकृति के परिणामस्वरूप हम लिखते हैं, आम तौर पर हमें झूठी सकारात्मकता मिलती है। जब ऐसा होता है, तो हमारे निर्माता एक प्रकार भर सकते हैं और कह सकते हैं, “अरे, यह एक झूठी आशावादी हो सकती है। यह मामले पर एक नज़र डालने का एक हिस्सा है। आप इसे अनदेखा कर पाएंगे।” स्रोत.

एक गहरी वास्तविकता है: सुरक्षा शायद ही कभी “सभी सफेद या सभी काले” होती है। “हम नहीं जानते” जगह हर समय एक अंतर हो सकता है, और वह स्थान जहां मानव जांच और परीक्षण महत्वपूर्ण हो जाता है। अलग-अलग वाक्यांशों में, यह लगभग कच्ची संख्या नहीं है, यह भी है कैसे उनका उपयोग होने जा रहा है। उस दृष्टिकोण से झूठी सकारात्मकता सहायक होती है: वे उपकरणों को बढ़ाने और एल्गोरिदम को परिष्कृत करने में सहायता करते हैं ताकि संदर्भ को सबसे अच्छी तरह से समझा और माना जा सके। हालाँकि, एक स्पर्शोन्मुख की तरह, बिल्कुल 0 तक किसी भी तरह से नहीं पहुँचा जा सकता है।

फिर से तैयार करने के लिए एक आवश्यक स्थिति हो सकती है जो ऐसा लगता है जैसे एक शाप एक पुण्य चक्र में सही है। यह संभव बनाने के लिए जरूरी है कि झूठी सकारात्मक को ध्वजांकित किया जा सकता है और पता लगाने वाले एल्गोरिदम के भीतर एकीकृत किया जा सकता है, जैसा कि अंतिम-उपयोगकर्ताओं के लिए संभावित है। यह महसूस करने के लिए महत्वपूर्ण लगातार तरीकों में से एक है स्कैन किए गए परिधि से रिकॉर्ड डेटा, निर्देशिका, या रिपॉजिटरी को बाहर करने का मौका आसानी से प्रदान करना।

GitGuardian में, हम विशेषज्ञ हैं रहस्य का पता लगाना. हमने किसी भी खोज को यथासंभव अधिक संदर्भ के साथ बढ़ावा देने के लिए विचार को आगे बढ़ाया, जिसके परिणामस्वरूप बहुत तेज़ सुझाव चक्र और क्षमता के रूप में बहुत अधिक काम करने के लिए आश्वस्त किया गया।

यदि कोई डेवलपर क्लाइंट-साइड के साथ एक सीक्रेट करने की कोशिश करता है जीजीशील्ड पूर्व-प्रतिबद्ध हुक के रूप में डालें, डेवलपर को छोड़कर प्रतिबद्धता को रोका जा सकता है इसे अनदेखा करने के रहस्य के रूप में चिह्नित करें. वहां से, कुंजी को एक झूठे सकारात्मक के रूप में माना जाता है, और अब कोई अलर्ट सेट नहीं करेगा, लेकिन केवल अपने मूल कार्य केंद्र पर। केवल GitGuardian डैशबोर्ड में प्रवेश के साथ एक सुरक्षा स्टाफ सदस्य पूरे स्टाफ (दुनिया की अनदेखी) के लिए एक झूठे आशावादी को ध्वजांकित करने के लिए तैयार है।

यदि एक लीक रहस्य की सूचना दी जाती है, तो हम सुरक्षा कर्मचारियों को शीघ्र ही उन्हें भेजने में सहायता करने के लिए उपकरण प्रदान करते हैं। उदाहरण के लिए, ऑटो-हीलिंग प्लेबुक कुंजी को समर्पित करने वाले डेवलपर को यांत्रिक रूप से एक मेल भेजता है। प्लेबुक कॉन्फ़िगरेशन पर भरोसा करते हुए, बिल्डरों को सुरक्षा कर्मचारियों के लिए छोड़े गए श्रम की मात्रा को हल्का करते हुए, घटना को स्वयं हल करने या अनदेखा करने की अनुमति दी जा सकती है।

ये केवल कुछ उदाहरण हैं कि कैसे हमने झूठी सकारात्मकता के बारे में पता लगाने और उपचारात्मक प्रक्रियाओं को तैयार करने का एहसास किया, अपेक्षाकृत उन्हें खत्म करने के बारे में जुनूनी होने के बजाय। आंकड़ों में, इस जुनून की एक प्रतिष्ठा भी है: इसे ओवरफिटिंग के रूप में जाना जाता है, और यह दर्शाता है कि आपका पुतला सूचना के एक विशिष्ट सेट पर निर्भर करता है। वास्तविक दुनिया के इनपुट गायब होने से, पुतला निर्माण सेटिंग में मददगार नहीं होगा।

निष्कर्ष

झूठी सकारात्मक चेतावनी थकान को ट्रिगर करती है और सुरक्षा अनुप्रयोगों को पटरी से उतार देती है ताकि आमतौर पर वे अब व्यापक रूप से शुद्ध बुराई के बारे में सोचे। यह सच है कि जब एक डिटेक्शन डिवाइस पर विचार किया जाता है, तो आपको सबसे प्रभावी सटीक क्षमता की आवश्यकता होती है, और बहुत अधिक झूठी सकारात्मक होने से पहली जगह में किसी भी डिवाइस का उपयोग न करने की तुलना में अतिरिक्त समस्याएं होती हैं। कहा जा रहा है कि रिकॉल रेट को कभी नजरअंदाज न करें।

GitGuardian में, हमने का एक बड़ा शस्त्रागार तैयार किया है सामान्य डिटेक्शन फिल्टर हमारे रहस्यों और तकनीकों का पता लगाने वाले इंजन की रिकॉल कीमत को बढ़ाने के लिए।

विशुद्ध रूप से सांख्यिकीय दृष्टिकोण से, झूठी सकारात्मकता की कम कीमत एक अपेक्षाकृत अच्छा संकेत है, जिसका अर्थ है कि कुछ दोष नेटिंग के माध्यम से जाते हैं।

जब प्रबंधन मेंझूठी सकारात्मक नहीं हैं वह अस्वस्थ। वे आपके लाभ के लिए भी उपयोग किए जाएंगे क्योंकि वे बताते हैं कि मूल्यांकन के पहलू पर या उपचार के पहलू पर प्रत्येक स्थान में वृद्धि की जा सकती है।

यह समझना कि सिस्टम द्वारा एक चीज़ को “वैध” क्यों माना गया था और आपके सॉफ़्टवेयर सुरक्षा को बढ़ाने के लिए इसकी कुंजी को अनुकूलित करने के लिए एक विधि है। हम इसके अलावा संतुष्ट हैं कि यह उन क्षेत्रों में से है जहां सुरक्षा और विकास समूहों के बीच सहयोग वास्तव में चमकता है।

समापन शब्द के रूप में, ध्यान रखें: यदि कोई डिटेक्शन डिवाइस रिपोर्ट नहीं करता है कोई झूठी सकारात्मक, भागो। आप बड़ी परेशानी में पड़ सकते हैं।

शब्द – यह पाठ GitGuardian में तकनीकी सामग्री सामग्री लेखक थॉमस सेगुरा द्वारा लिखा और योगदान दिया गया है।


[ad_2]
Source link

Continue Reading

ताज़ा खबर

सुरक्षा में सुधार के लिए छाया एपीआई पर एक स्पॉटलाइट चमकें – साइबर सुरक्षा समाचार में नवीनतम | मैलवेयर अटैक अपडेट

Published

on

CPO Magazine - News, Insights and Resources for Data Protection, Privacy and Cyber Security Leaders

The Ultimate Managed Hosting Platform

महामारी ने ई-कॉमर्स धोखाधड़ी के लिए एक नई अवधि को जन्म दिया, और खतरे और कमजोरियां कभी अधिक नहीं रही हैं। अकेले ज्ञान उल्लंघनों और क्रेडेंशियल फ़िशिंग ने पिछले साल 1.1 बिलियन से अधिक निजी डेटा का खुलासा किया। और इसके परिणामस्वरूप खुदरा विक्रेताओं को चार्जबैक, गलत राजस्व और टूटे हुए खरीदार संबंधों के माध्यम से अरबों {डॉलर} का नुकसान हुआ।

इन तेजी से बढ़ते खतरों को समझने से कंपनियों को अपने ऑनलाइन चैनलों और धोखाधड़ी से उनकी संभावनाओं की रक्षा करने में भी मदद मिल सकती है। बहुत सारी जानकारी उपलब्ध होने के कारण, जालसाजों के पास ऑनलाइन खरीदारी करने के लिए चोरी किए गए कार्ड का उपयोग करने के अलावा कई विकल्प हैं।

राफेल लौरेंको, ईवीपी और सहयोगी, ClearSale

यहीं हमारे नवीनतम आगंतुक पोस्ट में, राफेल लॉरेंसो ई-कॉमर्स कंपनियों को अतिरिक्त धोखाधड़ी-रोधी तरीकों से बातचीत क्यों करनी चाहिए, इस पर चर्चा करता है।

लौरेंको सरकार के उपाध्यक्ष और सहयोगी हैंसाफ़ बिक्रीएक कार्ड-नॉट-प्रेजेंट (सीएनपी) धोखाधड़ी सुरक्षा ऑपरेशन जो खुदरा विक्रेताओं को सकल बिक्री में सुधार करने और चार्जबैक होने से पहले छुटकारा पाने में मदद करता है।

कंपनी की मालिकाना विशेषज्ञता और अनुभवी विश्लेषकों के इन-हाउस कर्मचारी उद्योग-उच्च अनुमोदन शुल्क प्राप्त करने के लिए ऑनलाइन खुदरा विक्रेताओं के लिए एक एंड-टू-एंड आउटसोर्स धोखाधड़ी का पता लगाने का उत्तर प्रस्तुत करते हैं, जबकि केवल झूठी सकारात्मकता को समाप्त करने के बारे में:

ई-कॉमर्स कंपनियों को धोखाधड़ी के बारे में डरने की जरूरत है, वस्तुतः हर समय सीएनपी धोखाधड़ी या रिटर्न धोखाधड़ी के रूप में। अधिक से अधिक, अपराध के विभिन्न रूप ई-कॉमर्स को अतिरिक्त रूप से प्रभावित कर रहे हैं, चार्जबैक, गलत आय, और ग्राहकों के साथ टूटे संबंधों में सीधे या सीधे योगदान नहीं दे रहे हैं। इन तेजी से बढ़ते खतरों को समझने से कंपनियों को अपने ऑनलाइन चैनलों और धोखाधड़ी से उनकी संभावनाओं की रक्षा करने में भी मदद मिल सकती है।

तो, अपराध के कौन से रूप हैं जो धोखेबाजों के लिए ई-कॉमर्स वेबसाइटों पर ध्यान केंद्रित करना आसान बना रहे हैं? प्राथमिक ज्ञान उल्लंघन है। Verizon डेटा उल्लंघन जांच रिपोर्ट (DBIR) क्रू ने पूरे 2021 में दुनिया भर के संगठनों में 5,212 पुष्ट ज्ञान उल्लंघनों का विश्लेषण किया, और ये उल्लंघनों ने 1.1 बिलियन से अधिक व्यक्तिगत रिकॉर्ड उजागर किए. ये डेटा इलेक्ट्रॉनिक मेल पते, पासवर्ड, सामाजिक सुरक्षा या बैंक कार्ड नंबर, या किसी अन्य प्रकार का गैर-सार्वजनिक ज्ञान हो सकता है जो अपराधियों के बीच बाजार में जाएगा।

दूसरे प्रकार का अपराध जो अतिरिक्त ई-कॉमर्स धोखाधड़ी के लिए मंच तैयार करता है, वह है क्रेडेंशियल फ़िशिंग। फ़िशिंग – डेटा साझा करने में प्राप्तकर्ता को धोखा देने वाला एक इलेक्ट्रॉनिक मेल या पाठ्य सामग्री संदेश भेजना – डीबीआईआर के अनुसार, 2021 में 60 प्रतिशत से अधिक सामाजिक रूप से इंजीनियर ज्ञान उल्लंघनों के लिए हमला मोड था।

जब हमलावर क्रेडेंशियल चोरी करने के लिए फ़िशिंग का उपयोग करते हैं, तो वे आमतौर पर पीड़ित के ई-मेल समुदाय में सहकर्मियों, ग्राहकों और वितरकों से अतिरिक्त ज्ञान चुराने के लिए प्रवेश करेंगे। यदि वे इन क्रेडेंशियल्स के साथ फ़ाइल प्रोग्राम दर्ज करने का समाधान खोज लेंगे, तो वे अतिरिक्त रूप से डेटाबेस में डेटा की प्रतिलिपि बनाएंगे – एक अन्य ज्ञान उल्लंघन – या इसे एन्क्रिप्ट करें और इसे फिरौती के लिए बनाए रखें।

जबकि 2021 में कई उल्लंघनों के लिए सिस्टम घुसपैठ का हिसाब था, फ़िशिंग बहुत पीछे नहीं था, और यह धीमा नहीं होता है। एक नवीनतम लक्षण रिपोर्ट में, क्रेडिट स्कोर रिपोर्टिंग कंपनी एक्सपीरियन भविष्यवाणी की थी कि सोशल इंजीनियरिंग (उर्फ फ़िशिंग) ग्राहकों पर ध्यान केंद्रित करने के लिए आगे बढ़ेगा और ‘इसका कारण बन सकता है’ अरबों डॉलर का नुकसान 2022 में।

अतिरिक्त चोरी की जानकारी, अतिरिक्त ई-कॉमर्स धोखाधड़ी विकल्प

बहुत सारी जानकारी उपलब्ध होने के कारण, जालसाजों के पास ऑनलाइन खरीदारी करने के लिए चोरी किए गए कार्ड का उपयोग करने के अलावा कई विकल्प हैं। चुराए गए खाते के क्रेडेंशियल के साथ, वे केवल पीड़ितों के खुदरा, बैंकिंग, या सोशल मीडिया खातों में लॉग इन करेंगे और इन खातों से जुड़ी लागत रणनीतियों का उपयोग करके मुद्दों की खरीदारी शुरू करेंगे।

इस खाता अधिग्रहण (एटीओ) धोखाधड़ी कंपनियों के लिए यह पता लगाना मुश्किल हो सकता है कि वे ऑर्डर प्रदर्शित करने के लिए अधिकृत लिस्टिंग का उपयोग कर रहे हैं, क्योंकि ऑर्डर ऐसा प्रतीत होगा जैसे वे किसी पहचाने गए अच्छे खरीदार से आ रहे हैं।

एटीओ धोखेबाजों को संभावित ग्राहकों के लॉयल्टी खातों में प्रवेश दे सकता है, जिसका उपयोग वे खरीदारी करने या वर्तमान ताश के पत्तों के लिए वैकल्पिक करने के लिए करेंगे। साथ लॉयल्टी पॉइंट मार्केट का अनुमान 2022 में $215बिलियन होने का हैयह आश्चर्यजनक नहीं है कि इस प्रकार की धोखाधड़ी बढ़ रही है।

चोरी किया गया डेटा धोखेबाजों को कृत्रिम पहचान बनाने की अनुमति देता है, एक वास्तविक व्यक्ति का नाम और पता, शायद किसी अन्य व्यक्ति की सामाजिक सुरक्षा राशि या क्रेडिट इतिहास, और चोर से संबंधित एक नया इलेक्ट्रॉनिक मेल खाता।

इस प्रकार की पहचान धोखाधड़ी एक दीर्घकालिक खेल है जिसमें अपराधी अपनी नकली पहचान के साथ वित्तीय संस्थान खाते या क्रेडिट स्कोर के निशान खोलते हैं, जिसके बाद उत्पादों के साथ गायब होने से पहले मुख्य खरीदारी करने के लिए क्रेडिट स्कोर बनाते हैं। इस दौरान जिन लोगों की जानकारी का इस्तेमाल धोखाधड़ी में किया गया, कभी-कभी बच्चों सहितक्रेडिट स्कोर की चोट को सहन कर सकता है जिसे बहाल करने में महीनों या वर्षों का समय लगता है।

अगर ऐसा लगता है कि एक अकेला धोखेबाज के लिए यह बहुत जटिल है, तो आप उपयुक्त हैं। इनमें से कुछ धोखाधड़ी आमतौर पर का काम है संगठित अपराध के छल्ले, जिन्होंने 79 प्रतिशत उल्लंघनों का कारण बना डीबीआईआर क्रू ने 2021 में विश्लेषण किया।

इन टीमों के पास बॉटनेट किराए पर लेने के लिए भी पैसा है, न केवल डेटा उल्लंघन और फ़िशिंग हमले शुरू करने के लिए, बल्कि बड़े पैमाने पर एटीओ और सीएनपी धोखाधड़ी करने के लिए भी। इस प्रकार का हमला शीघ्र ही वेब आधारित रिटेलर की चार्जबैक कीमतों को बढ़ा सकता है। इसकी कीमत दुकान के ग्राहकों को भी लगेगी।

ClearSale के 2021 . में चौरासी प्रतिशत ग्राहक धोखाधड़ी और सीएक्स पर उपभोक्ता दृष्टिकोण की स्थिति सर्वेक्षण में कहा गया है कि वे कभी भी किसी ऐसे रिटेलर या वेबसाइट पर स्टोर नहीं कर सकते, जिसने उनके कार्ड के साथ धोखाधड़ी की अनुमति दी हो।

ई-कॉमर्स कंपनियां अतिरिक्त धोखाधड़ी विरोधी तरीके चाहती हैं

एक नवीनतम एक्सपेरियन सर्वेक्षण ने पाया कि ’65 प्रतिशत कंपनियां योजना बना रही हैं’ उनके धोखाधड़ी का पता लगाने का बजट बढ़ाएं‘ यह 12 महीने, जो उनके सामने आने वाले धोखाधड़ी पैनोरमा की एक प्रतिबिंबित छवि है। खुदरा विक्रेता जो अपने खर्च के साथ रणनीतिक हैं, उन्हें सही परिणाम दिखाई देंगे।

गैस के लिए उपलब्ध बहुत सी विभिन्न धोखाधड़ी तकनीकों के साथ, सीएनपी धोखाधड़ी के लिए स्क्रीनिंग आदेश कंपनियों और संभावनाओं की रक्षा के लिए पर्याप्त नहीं हैं। साथ ही, ई-कॉमर्स कंपनियों को इन धोखाधड़ी-रोधी सर्वोत्तम प्रथाओं को अपनाने पर ध्यान देना चाहिए:

दोहराने की संभावनाओं के लिए कोई अतिरिक्त स्वचालित अनुमोदन नहीं: उत्कृष्ट संभावनाओं की स्वीकृत सूचियों के परिणामस्वरूप धोखाधड़ी हो सकती है यदि इन संभावनाओं के खातों को ले लिया जाता है और ऑर्डर देने के लिए उपयोग किया जाता है। प्रत्येक आदेश को प्रदर्शित करें, यहां तक ​​​​कि इन्हें दोहराने की संभावनाओं से भी।

मुख्य रूप से कई तत्वों पर आधारित आदेशों पर विचार करें, न कि केवल कार्ड ज्ञान पर: व्यवहारिक बायोमेट्रिक्स और खरीदार इतिहास ऑनलाइन भी नकली पहचान और संबंधित लागत खातों का उपयोग करके धोखेबाजों द्वारा बनाए गए नए खरीदार खातों को बाहर निकालने में मदद कर सकते हैं।

आदेशों के बैच मूल्यांकन के बारे में सोचें: प्रतीत होता है असंबंधित आदेशों के यादृच्छिक बैचों का विश्लेषण करके, आप पा सकते हैं कि कई के पास समान वित्तीय संस्थान पहचान मात्रा है, जो कृत्रिम पहचान धोखाधड़ी के लिए एक प्राप्य संकेतक है। फिर वे इन आदेशों का मैन्युअल रूप से मूल्यांकन करेंगे और धोखाधड़ी की स्थिति में उन्हें रद्द कर देंगे।

फ़्लैग किए गए आदेशों का अवलोकन करें: गाइड मूल्यांकन झूठी गिरावट को रोक सकता है और आपकी सिंथेटिक इंटेलिजेंस (एआई) को यह पता लगाने में मदद कर सकता है कि धोखेबाजों के खिलाफ आपके अच्छे ग्राहक कैसे व्यवहार करते हैं।

अपने संगठन की ज्ञान सुरक्षा को सुदृढ़ करें: पैचिंग, अपडेट करना, एंडपॉइंट मॉनिटरिंग और घटना प्रतिक्रिया की योजना बनाना भी आपके संगठन के खरीदार ज्ञान के खतरों को कम करने में मदद कर सकता है। धोखेबाजों को लागत और लॉयल्टी खातों से बाहर रखने के लिए आवश्यक है कि खरीदार खाते मजबूत पासवर्ड या विभिन्न भरोसेमंद प्रमाणीकरण का उपयोग करें।

अंत में, अपने शुल्कवापसी शुल्कों और अपने झूठे अस्वीकृति शुल्कों पर एक विस्तृत नज़र रखें कि वे कैसे रुझान में हैं और वांछित के रूप में उत्तर दें, और अपने मॉडल के शीर्षक के तहत फ़िशिंग हमलों को रोकने के लिए सोशल मीडिया और ऑनलाइन पर अपने मॉडल के उल्लेखों की निगरानी करें।

धोखाधड़ी को रोकना दुखद रूप से उतना आसान नहीं है जितना पहले था, फिर भी अपने व्यवसाय और अपने ग्राहकों की रक्षा करना संभव है।


[ad_2]
Source link

Continue Reading

ताज़ा खबर

ClearSale: डेटा उल्लंघन और पहचान की चोरी ई-कॉमर्स धोखाधड़ी को बढ़ावा दे रही है – साइबर सुरक्षा समाचार में नवीनतम | मैलवेयर अटैक अपडेट

Published

on

E-Commerce Fraud

The Ultimate Managed Hosting Platform

महामारी ने ई-कॉमर्स धोखाधड़ी के लिए एक नई अवधि को जन्म दिया, और खतरे और कमजोरियां कभी अधिक नहीं रही हैं। अकेले ज्ञान उल्लंघनों और क्रेडेंशियल फ़िशिंग ने पिछले साल 1.1 बिलियन से अधिक निजी डेटा का खुलासा किया। और इसके परिणामस्वरूप खुदरा विक्रेताओं को चार्जबैक, गलत राजस्व और टूटे हुए खरीदार संबंधों के माध्यम से अरबों {डॉलर} का नुकसान हुआ।

इन तेजी से बढ़ते खतरों को समझने से कंपनियों को अपने ऑनलाइन चैनलों और धोखाधड़ी से उनकी संभावनाओं की रक्षा करने में भी मदद मिल सकती है। बहुत सारी जानकारी उपलब्ध होने के कारण, जालसाजों के पास ऑनलाइन खरीदारी करने के लिए चोरी किए गए कार्ड का उपयोग करने के अलावा कई विकल्प हैं।

राफेल लौरेंको, ईवीपी और सहयोगी, ClearSale

यहीं हमारे नवीनतम आगंतुक पोस्ट में, राफेल लॉरेंसो ई-कॉमर्स कंपनियों को अतिरिक्त धोखाधड़ी-रोधी तरीकों से बातचीत क्यों करनी चाहिए, इस पर चर्चा करता है।

लौरेंको सरकार के उपाध्यक्ष और सहयोगी हैंसाफ़ बिक्रीएक कार्ड-नॉट-प्रेजेंट (सीएनपी) धोखाधड़ी सुरक्षा ऑपरेशन जो खुदरा विक्रेताओं को सकल बिक्री में सुधार करने और चार्जबैक होने से पहले छुटकारा पाने में मदद करता है।

कंपनी की मालिकाना विशेषज्ञता और अनुभवी विश्लेषकों के इन-हाउस कर्मचारी उद्योग-उच्च अनुमोदन शुल्क प्राप्त करने के लिए ऑनलाइन खुदरा विक्रेताओं के लिए एक एंड-टू-एंड आउटसोर्स धोखाधड़ी का पता लगाने का उत्तर प्रस्तुत करते हैं, जबकि केवल झूठी सकारात्मकता को समाप्त करने के बारे में:

ई-कॉमर्स कंपनियों को धोखाधड़ी के बारे में डरने की जरूरत है, वस्तुतः हर समय सीएनपी धोखाधड़ी या रिटर्न धोखाधड़ी के रूप में। अधिक से अधिक, अपराध के विभिन्न रूप ई-कॉमर्स को अतिरिक्त रूप से प्रभावित कर रहे हैं, चार्जबैक, गलत आय, और ग्राहकों के साथ टूटे संबंधों में सीधे या सीधे योगदान नहीं दे रहे हैं। इन तेजी से बढ़ते खतरों को समझने से कंपनियों को अपने ऑनलाइन चैनलों और धोखाधड़ी से उनकी संभावनाओं की रक्षा करने में भी मदद मिल सकती है।

तो, अपराध के कौन से रूप हैं जो धोखेबाजों के लिए ई-कॉमर्स वेबसाइटों पर ध्यान केंद्रित करना आसान बना रहे हैं? प्राथमिक ज्ञान उल्लंघन है। Verizon डेटा उल्लंघन जांच रिपोर्ट (DBIR) क्रू ने पूरे 2021 में दुनिया भर के संगठनों में 5,212 पुष्ट ज्ञान उल्लंघनों का विश्लेषण किया, और ये उल्लंघनों ने 1.1 बिलियन से अधिक व्यक्तिगत रिकॉर्ड उजागर किए. ये डेटा इलेक्ट्रॉनिक मेल पते, पासवर्ड, सामाजिक सुरक्षा या बैंक कार्ड नंबर, या किसी अन्य प्रकार का गैर-सार्वजनिक ज्ञान हो सकता है जो अपराधियों के बीच बाजार में जाएगा।

दूसरे प्रकार का अपराध जो अतिरिक्त ई-कॉमर्स धोखाधड़ी के लिए मंच तैयार करता है, वह है क्रेडेंशियल फ़िशिंग। फ़िशिंग – डेटा साझा करने में प्राप्तकर्ता को धोखा देने वाला एक इलेक्ट्रॉनिक मेल या पाठ्य सामग्री संदेश भेजना – डीबीआईआर के अनुसार, 2021 में 60 प्रतिशत से अधिक सामाजिक रूप से इंजीनियर ज्ञान उल्लंघनों के लिए हमला मोड था।

जब हमलावर क्रेडेंशियल चोरी करने के लिए फ़िशिंग का उपयोग करते हैं, तो वे आमतौर पर पीड़ित के ई-मेल समुदाय में सहकर्मियों, ग्राहकों और वितरकों से अतिरिक्त ज्ञान चुराने के लिए प्रवेश करेंगे। यदि वे इन क्रेडेंशियल्स के साथ फ़ाइल प्रोग्राम दर्ज करने का समाधान खोज लेंगे, तो वे अतिरिक्त रूप से डेटाबेस में डेटा की प्रतिलिपि बनाएंगे – एक अन्य ज्ञान उल्लंघन – या इसे एन्क्रिप्ट करें और इसे फिरौती के लिए बनाए रखें।

जबकि 2021 में कई उल्लंघनों के लिए सिस्टम घुसपैठ का हिसाब था, फ़िशिंग बहुत पीछे नहीं था, और यह धीमा नहीं होता है। एक नवीनतम लक्षण रिपोर्ट में, क्रेडिट स्कोर रिपोर्टिंग कंपनी एक्सपीरियन भविष्यवाणी की थी कि सोशल इंजीनियरिंग (उर्फ फ़िशिंग) ग्राहकों पर ध्यान केंद्रित करने के लिए आगे बढ़ेगा और ‘इसका कारण बन सकता है’ अरबों डॉलर का नुकसान 2022 में।

अतिरिक्त चोरी की जानकारी, अतिरिक्त ई-कॉमर्स धोखाधड़ी विकल्प

बहुत सारी जानकारी उपलब्ध होने के कारण, जालसाजों के पास ऑनलाइन खरीदारी करने के लिए चोरी किए गए कार्ड का उपयोग करने के अलावा कई विकल्प हैं। चुराए गए खाते के क्रेडेंशियल के साथ, वे केवल पीड़ितों के खुदरा, बैंकिंग, या सोशल मीडिया खातों में लॉग इन करेंगे और इन खातों से जुड़ी लागत रणनीतियों का उपयोग करके मुद्दों की खरीदारी शुरू करेंगे।

इस खाता अधिग्रहण (एटीओ) धोखाधड़ी कंपनियों के लिए यह पता लगाना मुश्किल हो सकता है कि वे ऑर्डर प्रदर्शित करने के लिए अधिकृत लिस्टिंग का उपयोग कर रहे हैं, क्योंकि ऑर्डर ऐसा प्रतीत होगा जैसे वे किसी पहचाने गए अच्छे खरीदार से आ रहे हैं।

एटीओ धोखेबाजों को संभावित ग्राहकों के लॉयल्टी खातों में प्रवेश दे सकता है, जिसका उपयोग वे खरीदारी करने या वर्तमान ताश के पत्तों के लिए वैकल्पिक करने के लिए करेंगे। साथ लॉयल्टी पॉइंट मार्केट का अनुमान 2022 में $215बिलियन होने का हैयह आश्चर्यजनक नहीं है कि इस प्रकार की धोखाधड़ी बढ़ रही है।

चोरी किया गया डेटा धोखेबाजों को कृत्रिम पहचान बनाने की अनुमति देता है, एक वास्तविक व्यक्ति का नाम और पता, शायद किसी अन्य व्यक्ति की सामाजिक सुरक्षा राशि या क्रेडिट इतिहास, और चोर से संबंधित एक नया इलेक्ट्रॉनिक मेल खाता।

इस प्रकार की पहचान धोखाधड़ी एक दीर्घकालिक खेल है जिसमें अपराधी अपनी नकली पहचान के साथ वित्तीय संस्थान खाते या क्रेडिट स्कोर के निशान खोलते हैं, जिसके बाद उत्पादों के साथ गायब होने से पहले मुख्य खरीदारी करने के लिए क्रेडिट स्कोर बनाते हैं। इस दौरान जिन लोगों की जानकारी का इस्तेमाल धोखाधड़ी में किया गया, कभी-कभी बच्चों सहितक्रेडिट स्कोर की चोट को सहन कर सकता है जिसे बहाल करने में महीनों या वर्षों का समय लगता है।

अगर ऐसा लगता है कि एक अकेला धोखेबाज के लिए यह बहुत जटिल है, तो आप उपयुक्त हैं। इनमें से कुछ धोखाधड़ी आमतौर पर का काम है संगठित अपराध के छल्ले, जिन्होंने 79 प्रतिशत उल्लंघनों का कारण बना डीबीआईआर क्रू ने 2021 में विश्लेषण किया।

इन टीमों के पास बॉटनेट किराए पर लेने के लिए भी पैसा है, न केवल डेटा उल्लंघन और फ़िशिंग हमले शुरू करने के लिए, बल्कि बड़े पैमाने पर एटीओ और सीएनपी धोखाधड़ी करने के लिए भी। इस प्रकार का हमला शीघ्र ही वेब आधारित रिटेलर की चार्जबैक कीमतों को बढ़ा सकता है। इसकी कीमत दुकान के ग्राहकों को भी लगेगी।

ClearSale के 2021 . में चौरासी प्रतिशत ग्राहक धोखाधड़ी और सीएक्स पर उपभोक्ता दृष्टिकोण की स्थिति सर्वेक्षण में कहा गया है कि वे कभी भी किसी ऐसे रिटेलर या वेबसाइट पर स्टोर नहीं कर सकते, जिसने उनके कार्ड के साथ धोखाधड़ी की अनुमति दी हो।

ई-कॉमर्स कंपनियां अतिरिक्त धोखाधड़ी विरोधी तरीके चाहती हैं

एक नवीनतम एक्सपेरियन सर्वेक्षण ने पाया कि ’65 प्रतिशत कंपनियां योजना बना रही हैं’ उनके धोखाधड़ी का पता लगाने का बजट बढ़ाएं‘ यह 12 महीने, जो उनके सामने आने वाले धोखाधड़ी पैनोरमा की एक प्रतिबिंबित छवि है। खुदरा विक्रेता जो अपने खर्च के साथ रणनीतिक हैं, उन्हें सही परिणाम दिखाई देंगे।

गैस के लिए उपलब्ध बहुत सी विभिन्न धोखाधड़ी तकनीकों के साथ, सीएनपी धोखाधड़ी के लिए स्क्रीनिंग आदेश कंपनियों और संभावनाओं की रक्षा के लिए पर्याप्त नहीं हैं। साथ ही, ई-कॉमर्स कंपनियों को इन धोखाधड़ी-रोधी सर्वोत्तम प्रथाओं को अपनाने पर ध्यान देना चाहिए:

दोहराने की संभावनाओं के लिए कोई अतिरिक्त स्वचालित अनुमोदन नहीं: उत्कृष्ट संभावनाओं की स्वीकृत सूचियों के परिणामस्वरूप धोखाधड़ी हो सकती है यदि इन संभावनाओं के खातों को ले लिया जाता है और ऑर्डर देने के लिए उपयोग किया जाता है। प्रत्येक आदेश को प्रदर्शित करें, यहां तक ​​​​कि इन्हें दोहराने की संभावनाओं से भी।

मुख्य रूप से कई तत्वों पर आधारित आदेशों पर विचार करें, न कि केवल कार्ड ज्ञान पर: व्यवहारिक बायोमेट्रिक्स और खरीदार इतिहास ऑनलाइन भी नकली पहचान और संबंधित लागत खातों का उपयोग करके धोखेबाजों द्वारा बनाए गए नए खरीदार खातों को बाहर निकालने में मदद कर सकते हैं।

आदेशों के बैच मूल्यांकन के बारे में सोचें: प्रतीत होता है असंबंधित आदेशों के यादृच्छिक बैचों का विश्लेषण करके, आप पा सकते हैं कि कई के पास समान वित्तीय संस्थान पहचान मात्रा है, जो कृत्रिम पहचान धोखाधड़ी के लिए एक प्राप्य संकेतक है। फिर वे इन आदेशों का मैन्युअल रूप से मूल्यांकन करेंगे और धोखाधड़ी की स्थिति में उन्हें रद्द कर देंगे।

फ़्लैग किए गए आदेशों का अवलोकन करें: गाइड मूल्यांकन झूठी गिरावट को रोक सकता है और आपकी सिंथेटिक इंटेलिजेंस (एआई) को यह पता लगाने में मदद कर सकता है कि धोखेबाजों के खिलाफ आपके अच्छे ग्राहक कैसे व्यवहार करते हैं।

अपने संगठन की ज्ञान सुरक्षा को सुदृढ़ करें: पैचिंग, अपडेट करना, एंडपॉइंट मॉनिटरिंग और घटना प्रतिक्रिया की योजना बनाना भी आपके संगठन के खरीदार ज्ञान के खतरों को कम करने में मदद कर सकता है। धोखेबाजों को लागत और लॉयल्टी खातों से बाहर रखने के लिए आवश्यक है कि खरीदार खाते मजबूत पासवर्ड या विभिन्न भरोसेमंद प्रमाणीकरण का उपयोग करें।

अंत में, अपने शुल्कवापसी शुल्कों और अपने झूठे अस्वीकृति शुल्कों पर एक विस्तृत नज़र रखें कि वे कैसे रुझान में हैं और वांछित के रूप में उत्तर दें, और अपने मॉडल के शीर्षक के तहत फ़िशिंग हमलों को रोकने के लिए सोशल मीडिया और ऑनलाइन पर अपने मॉडल के उल्लेखों की निगरानी करें।

धोखाधड़ी को रोकना दुखद रूप से उतना आसान नहीं है जितना पहले था, फिर भी अपने व्यवसाय और अपने ग्राहकों की रक्षा करना संभव है।


[ad_2]
Source link

Continue Reading

ताज़ा खबर

FBI, CISA और NSA ने खुलासा किया कि कैसे हैकर्स ने एक रक्षा औद्योगिक आधार संगठन को निशाना बनाया – साइबर सुरक्षा समाचार में नवीनतम | मैलवेयर अटैक अपडेट

Published

on

Industrial Base Organization

The Ultimate Managed Hosting Platform

कुशल बिल्डरों को सही काम करना चाहिए, लेकिन सुरक्षा की दृष्टि से वे अक्सर उपलब्धि के लिए तैयार नहीं होते हैं। यदि उन्हें नीचे से ऊपर तक सुरक्षित सॉफ्टवेयर प्रोग्राम की आवश्यकता है तो संगठनों को सटीक कोचिंग और प्रोत्साहन के साथ उनके कौशल में मदद करनी चाहिए।

साइबर खतरे का पैनोरमा दिन पर दिन और अधिक जटिल होता जाता है, हमारे ज्ञान के बारे में व्यापक रूप से बेहद आकर्षक “डिजिटल गोल्ड” के बारे में सोचा जाता है। हमलावर लगातार कमजोर कार्यों, अनुप्रयोगों, क्लाउड मामलों के लिए नेटवर्क स्कैन कर रहे हैं, और महीने का सबसे नया स्वाद एपीआई है, गार्टनर के साथ सही भविष्यवाणी कि वे 2022 में सबसे विशिष्ट असॉल्ट वेक्टर बन जाएंगे, और यह उनके आमतौर पर ढीले सुरक्षा नियंत्रणों के कारण कोई छोटा आधा नहीं है।

जोखिम कारक इतने दृढ़ होते हैं कि नए ऐप्स को आमतौर पर परिनियोजन के घंटों के भीतर समझौता और शोषण किया जा सकता है। Verizon 2022 डेटा उल्लंघन जांच रिपोर्ट से पता चलता है कि त्रुटियां और गलत कॉन्फ़िगरेशन 13% उल्लंघनों का कारण थे, मानव घटक के साथ 23,000 विश्लेषण की गई घटनाओं में से 82% के लिए जिम्मेदार है।

यह बहुत स्पष्ट हो रहा है कि बनाए जा रहे सॉफ़्टवेयर प्रोग्राम को वास्तव में मज़बूत करने की एक रणनीति यह सुनिश्चित करना है कि यह सुरक्षित कोड पर बनाया गया है। दूसरे शब्दों में, खतरे अभिनेता आक्रमण को रोकने के सबसे आसान तरीकों में से एक यह है कि उन्हें पहले स्थान पर अपने सॉफ़्टवेयर में पैर जमाने से मना कर दिया जाए। साइबर अपराधियों को अपने आम तौर पर बड़े हमले के मैदान की रक्षा के लिए पांव मार रहे संगठनों के खिलाफ एक निश्चित लाभ होता है, और विकल्प की कोई भी घरेलू खिड़कियां जो काफी हद तक कम होने वाले खतरे के लिए बंद हो सकती हैं।

हम सुरक्षा सितारों को चमकने के लिए इसे कठिन बनाते हैं

कई संगठनों में बिल्डरों के लिए वर्तमान स्थापित आदेश ऐसा है कि उनकी मुख्य स्थिति बेहतर विकल्पों का निर्माण करना और सॉफ्टवेयर प्रोग्राम को गति से तैनात करना है। जितनी जल्दी बिल्डर्स कोड और तैनाती कर सकते हैं, उतना ही उपयोगी वे आमतौर पर उनके दक्षता मूल्यांकन के माध्यम से देखे जाते हैं।

सुरक्षा एक बाद का विचार हो सकता है, अगर किसी भी तरह से सोचा जाता है, और डेवलपर की सफलता के उपाय के रूप में स्पष्ट रूप से अनुपस्थित है। 2022 डेवलपर-संचालित सुरक्षा सर्वेक्षण की स्थिति इवांस इंफॉर्मेशन के साथ इस दृष्टिकोण में मदद करता है, सर्वेक्षण में शामिल 86% बिल्डरों ने खुलासा किया कि वे सॉफ्टवेयर सुरक्षा को एक प्रमुख प्राथमिकता के रूप में नहीं देखते हैं। एक विकल्प के रूप में, इसमें से बहुत कुछ निर्धारित करने के लिए लागू सुरक्षा (AppSec) समूहों पर छोड़ दिया गया है। AppSec समूह आमतौर पर अधिकांश बिल्डरों के लिए निराशा की आपूर्ति होते हैं, क्योंकि वे आमतौर पर सुरक्षा पैच का उपयोग करने के लिए, या कमजोरियों को दूर करने के लिए कोड को फिर से लिखने के लिए फिर से पूरा किए गए कार्यों को फिर से भेज देते हैं। और प्रत्येक घंटे {कि एक} डेवलपर ने एक ऐसे ऐप पर काम किया जो पहले से ही “पूर्ण” था, एक घंटा था जब वे नए ऐप और विकल्प नहीं बना रहे थे, इस प्रकार उनकी दक्षता (और उनकी कीमत, एक बहुत ही दंडात्मक फर्म की नजर में) को कम कर रहे थे। .

फिर भी, आधुनिक खतरे की सेटिंग ने कंपनियों से लेकर सरकारी विभागों तक, सुरक्षा के महत्व और प्राथमिकता पर पुनर्विचार करने के लिए सभी पर दबाव डाला है, और वे इस बात पर विचार करने के लिए अच्छी तरह से तैयार हो सकते हैं कि इवेंट कॉहोर्ट एक रक्षात्मक रणनीति में कैसे मेल खाता है। वर्तमान को ध्यान में रखते हुए 2022 डेटा उल्लंघन रिपोर्ट की लागत आईबीएम और पोनमोन इंस्टीट्यूट से, आम साइबर सुरक्षा उल्लंघन अब प्रति घटना लगभग $ 4.24 मिलियन की कीमत है, हालांकि यह शायद ही उच्च सीमा है। जैसा कि हम बोलते हैं व्यवसायों को DevSecOps द्वारा प्रदान की जाने वाली सुरक्षा की आवश्यकता होती है, हालांकि, दुर्भाग्य से, उस निर्णय का जवाब देने वाले बिल्डरों को पुरस्कृत करने के लिए धीरे-धीरे किया गया है।

केवल घटना समूहों को सुरक्षा के बारे में सोचने से काम नहीं चलेगा, खासकर अगर उन्हें अभी भी केवल गति के आधार पर प्रोत्साहन दिया जा रहा है। सच में, ऐसी प्रणाली के अंदर, बिल्डर्स जो सुरक्षा का अध्ययन करने और अपने कोड को सुरक्षित रखने के लिए समय लेते हैं, वे वास्तव में उच्च दक्षता मूल्यांकन और लाभदायक बोनस से बाहर हो सकते हैं जो उनके कम-सुरक्षा-जागरूक सहयोगी कमाते रहते हैं। यह लगभग वैसा ही है जैसे निगम अनजाने में अपनी सुरक्षा कमियों के लिए सिस्टम में हेराफेरी कर रहे हैं, और यह फिर से घटना कार्यबल की उनकी धारणा पर आता है। यदि वे सुरक्षा के मोर्चे पर उन्हें नहीं देख रहे हैं, तो यह संभव नहीं है कि उनके कार्यबल का अधिकतम लाभ उठाने के लिए एक व्यवहार्य योजना सफल हो।

और यह कोचिंग की कमी के लिए भी जिम्मेदार नहीं है। कुछ बहुत ही विशेषज्ञ बिल्डरों के पास विशेषज्ञता कोडिंग का एक लंबा समय है, हालांकि सुरक्षा के मामले में बहुत कम या नहीं … जब तक कोई संगठन एक बहुत अच्छा प्रशिक्षण कार्यक्रम नहीं देता है, यह शायद ही अपने बिल्डरों से अचानक नई विशेषज्ञता हासिल करने और उन्हें इस तरह से लागू करने की उम्मीद करेगा जो सक्रिय रूप से कमजोरियों को कम करता है।

(दुनिया भर के विभिन्न कुलीन बिल्डरों के खिलाफ प्रतिस्पर्धा करने की आवश्यकता है, या सुरक्षा सुपरस्टार के अपने व्यक्तिगत देव कार्यबल को नामित करें? का भाग हो सुरक्षित कोड योद्धा‘एस 2022 देवलिंपिकहमारा सबसे बड़ा और बेहतरीन अंतरराष्ट्रीय सुरक्षित कोडिंग मैच, और आप संभवतः बड़े पैमाने पर जीत सकते हैं!)

अच्छी सुरक्षा प्रथाओं के लिए बिल्डरों को पुरस्कृत करना

अच्छी खबर यह है कि बिल्डरों का भारी बहुमत अपना काम करता है क्योंकि वे इसे हर मुश्किल और फायदेमंद पाते हैं, और चूंकि वे उस सम्मान से लाभान्वित होते हैं जो उनकी जगह पर पड़ता है। आजीवन सॉफ्टवेयर प्रोग्राम इंजीनियर माइकल शापिल्ट हाल ही में . के बारे में लिखा है वे सभी मुद्दे जो उन्हें और उनके सहयोगियों को उनके सुधार कार्य के लिए प्रोत्साहित करते हैं। ज़रूर, वह इन प्रोत्साहनों के बीच वित्तीय मुआवजे को सूचीबद्ध करता है, फिर भी यह आश्चर्यजनक रूप से सूची से बहुत नीचे है। एक विकल्प के रूप में, वह कुछ नया करने की खुशी, विशेषज्ञता में सुधार, और यह महसूस करने की संतुष्टि को प्राथमिकता देता है कि उसका काम तुरंत दूसरों की सहायता के लिए उपयोग किया जाएगा। वह अपनी कंपनी और समूह के अंदर वास्तव में मूल्यवान महसूस करने के लिए उत्सुक होने की बात भी करता है। संक्षेप में, बिल्डर्स विभिन्न प्रकार के अच्छे व्यक्तियों से बिल्कुल अलग नहीं हैं जो उनके काम का आनंद लेते हैं।

Shpilt जैसे बिल्डर्स नहीं चाहते हैं कि खतरनाक अभिनेता अपने कोड से समझौता करें और इसका इस्तेमाल अपनी कंपनी को नुकसान पहुंचाने के लिए करें, या वे ग्राहक जिनकी वे मदद करने की कोशिश कर रहे हैं। हालांकि, वे बिना मदद के अचानक अपनी प्राथमिकताओं को सुरक्षा में स्थानांतरित नहीं कर सकते।

सुधार समूहों को अपने साइबर सुरक्षा कौशल को बढ़ाने में सहायता करने के लिए, उन्हें पहले अनिवार्य विशेषज्ञता सिखाई जानी चाहिए। अध्ययन के लिए एक स्तरीय रणनीति का उपयोग करना – उन उपकरणों के अलावा, जिन्हें उनके सटीक वर्कफ़्लो में मूल रूप से संयोजित करने के उद्देश्य से बनाया जा सकता है – उचित संदर्भ में वर्तमान जानकारी पर निर्माण करने की सेवा करते हुए इस पाठ्यक्रम को बहुत कम दर्दनाक बना सकता है।

अपस्किलिंग के प्रति समर्पण के साथ केवल गति के आधार पर बिल्डरों का मूल्यांकन करने की पुरानी नीतियों को समाप्त करना होगा। एक विकल्प के रूप में, बिल्डरों को मुख्य रूप से अच्छे, सुरक्षित कोडिंग पैटर्न बनाने की उनकी क्षमता के आधार पर पुरस्कृत करने की आवश्यकता होती है, जिसमें सही उम्मीदवार बदल जाते हैं। सुरक्षा चैंपियन जो बाकी कर्मचारियों को उनकी विशेषज्ञता बढ़ाने में मदद करते हैं। और लोगों के चैंपियन को प्रत्येक फर्म की स्थिति और वित्तीय मुआवजे के साथ पुरस्कृत किया जाना है। यह भी ध्यान रखना आवश्यक है कि बिल्डरों के पास आमतौर पर सुरक्षा के साथ एक रचनात्मक विशेषज्ञता नहीं होती है, और रचनात्मक, मनोरंजक अध्ययन और प्रोत्साहन के साथ उनका उत्थान करना जो उनकी गतिविधियों से बात करते हैं, प्रत्येक सूचना प्रतिधारण और बनाए रखने की आवश्यकता की गारंटी देने के लिए एक विस्तारित रणनीति होगी। विशेषज्ञता का निर्माण।

(दुनिया भर के विभिन्न कुलीन बिल्डरों के खिलाफ प्रतिस्पर्धा करने की आवश्यकता है, या सुरक्षा सुपरस्टार के अपने व्यक्तिगत देव कार्यबल को नामित करें? का भाग हो सुरक्षित कोड योद्धा‘एस 2022 देवलिंपिकऔर आप संभवतः हमारे अंतरराष्ट्रीय टूर्नामेंटों में एक गंभीर धन पुरस्कार ले सकते हैं!)


[ad_2]
Source link

Continue Reading

Trending