घबराहट और असली समस्या

आपकी संस्था में अफरा-तफरी मचने वाली है। सूचना सुरक्षा उद्योग में जीरो-डे, माइक्रो-सेगमेंटेशन और जीरो-ट्रस्ट को लेकर भारी हलचल मची हुई है।.

मुझे पूरा यकीन है कि वे सब इधर-उधर भागने में इतने व्यस्त हैं, और अगर उनकी ईए टीम धीमी गति से काम कर रही है, तो शायद किसी ने इस बारे में सोचा भी नहीं होगा। सहायता मांगी.

सुनामी की चेतावनी इस पैटर्न का एक अच्छा उदाहरण है। ये चेतावनी समय से पहले जारी की जाती हैं—घबराहट पैदा करने के लिए नहीं, बल्कि आपको कार्रवाई करने का समय देने के लिए। जहाँ मैं रहता हूँ विक्टोरिया, बीसी, मैंने इस साल ऐसे तीन अलर्ट देखे हैं, जिनमें से प्रत्येक की सूचना 8-12 घंटे पहले दी गई थी। इसलिए, अगर किसी ने नहीं पूछा है, तो तैयार हो जाइए। हमारे पास ज्यादा समय नहीं है, और आपको इंतजार करने की जरूरत नहीं है। इसमें कई बिंदु हैं। टोगाफ एडम जहां औपचारिक विधि समर्थन करती है वास्तुकला कार्य के लिए स्वयं द्वारा तैयार किया गया अनुरोध. मुझे इसके मूल में निहित व्यावहारिकता पसंद है। टोगाफ.

हमारी कार्यप्रणाली से ही हमें पहली महत्वपूर्ण चुनौती का सामना करना पड़ा—हम जिस समस्या का समाधान कर रहे हैं वह क्या है। एडीएम के चरण ए ने 'मांग' को अलग किया (वास्तुकला कार्य के लिए अनुरोध) वास्तविक वास्तुशिल्प समस्या से (वास्तुशिल्पीय कार्य का विवरण).

आइए एक मिनट निकालकर पहले चरण से प्राप्त ज्ञान को विकसित करें।.

हम वास्तविकता को स्पष्ट रूप से बताकर शुरुआत करते हैं।.

ग्लासविंग एक क्लीन-रूम है। असल में अपराधियों के पास ज़ीरो-डे रोडमैप नहीं है। AI-सक्षम कोड टूल्स अच्छे हैं, लेकिन उन्हें ब्रह्मांड के सोर्स कोड को खंगालने में अभी भी बहुत समय लगता है। खासकर तब जब यह प्रक्रिया LLM-विक्रेता के सिस्टम एडमिन से छिपी रहे और लोकल मोड में चले। हम मान सकते हैं कि मुख्य अपराधी पैच का इंतज़ार कर रहे हैं।.

एक प्रमुख विक्रेता—वह जो कोर लाइब्रेरी और सिस्टम बनाता है जिनका उपयोग हर कोई करता है—एक पैच जारी करता है, और यहीं से खतरा शुरू होता है। एआई-आधारित विकास पैच जारी होने और खतरनाक खामी का फायदा उठाने के बीच के समय को काफी कम कर देता है। खासकर तब जब कई पैच किसी महत्वपूर्ण खामी तक पहुंचने का आसान रास्ता प्रदान करते हों।.

हम सीवीई के बजाय अस्पष्ट "सुरक्षा अपडेट" की उम्मीद कर सकते हैं। कम से कम आलसी लोगों के पास कोई तय योजना नहीं होगी। हालांकि, हम अंधेरे में तीर चलाने की स्थिति में होंगे। हम जोखिम का आकलन या प्राथमिकता तय नहीं कर पाएंगे।.

फिर आते हैं सेकेंडरी वेंडर्स। ये ग्लास विंग के दायरे में नहीं आते, लेकिन प्राइमरी वेंडर्स के प्रोडक्ट्स का इस्तेमाल करके अपने प्रोडक्ट्स बनाते हैं। इनमें कमर्शियल वेंडर्स, प्लेटफॉर्म वेंडर्स, लाइब्रेरी प्रोवाइडर्स और सबसे खतरनाक वेंडर्स शामिल हैं जो आईटी-ऑपरेशन सिस्टम प्रोवाइड करते हैं। हमारे सेकेंडरी वेंडर्स भी प्राइमरी वेंडर्स के साथ ही काम शुरू करते हैं।.

हमारे कम से कम कुछ विक्रेता बैकपोर्ट करने में सक्षम नहीं होंगे, या इच्छुक नहीं होंगे। हमें ऐसे नोटिस का सामना करना पड़ेगा जिनका कुल परिणाम यह होगा कि... पुराना संस्करण पूरी तरह से असुरक्षित है, आपको एक व्यापक अपडेट करने की आवश्यकता है।.

तो हमें अपने पूरे स्टैक में क्रमिक पैच का सामना करना पड़ेगा। क्या आपको Log4J याद है? सभी को Log4J का अपडेट मिला था। चलिए एक साथ 10 Log4J की कल्पना करते हैं। या 100 की।.

हम सहते हैं सिंक्रनाइज़्ड एक्सपोज़र, विलंब की गारंटी, और कैस्केडिंग क्रॉस-स्टैक पैचिंग। भले ही हम किसी विशिष्ट लेगेसी वातावरण में मशीन-स्पीड वाले प्रतिद्वंद्वी को पैचिंग में मात दे सकें, पहली समस्या यह है कि पैच के स्टैक से गुजरने पर हमें गुप्त कमजोरियाँ मिलेंगी। हमारी मुख्य समस्या यह नहीं है पैच को तेजी से कैसे करें. समस्या यह है कि निश्चित रूप से होने वाले विलंब से कैसे निपटा जाए।.

यह अब भेद्यता प्रबंधन की समस्या नहीं रह गई है - यह एक वास्तुकला संबंधी समस्या है जो समय, अंतराल और असममित गति के तहत अस्तित्व द्वारा परिभाषित है।.

कोई झूठे समाधान नहीं

हमें हथियारबंद हमलों से बचने के लिए मार्गदर्शन प्रदान करना होगा। गारंटीकृत विलंब.

चरण बी, चरण सी, और चरण डी सभी की शुरुआत एक ही चरण से होती है—यह पता लगाना कि कौन से आर्किटेक्चर मॉडल और संदर्भ मॉडल आपको समस्या को समझने और उससे बाहर निकलने का रास्ता खोजने में मदद करेंगे।.

सच कहूँ तो, मेरी पहली सुबह का व्हाइट बोर्ड आम बातों से भरा हुआ था। सुरक्षा वास्तुकला मेरे पास NIST, MITRE ATT&CK, OWASP10 से संबंधित सामग्रियां थीं। मेरे पास कुछ उकेरी हुई बातें और नोट्स भी थे।.

फिर मैंने ध्यान से देखा हथियारबंद अंतराल से बचना. मैंने अपना सिर हिलाया। हर हितधारक सहभागिता कार्यशाला मैं अपने ग्राहक से पूछता हूं, 'ऐसा किसने कहा था?' प्राथमिकता'?

मैं उस सनसनीखेज माहौल में बह गया। मैंने मान लिया कि सुनामी को देखते ही हम सबको घबरा जाना चाहिए। मैंने कुछ धारणाएँ, प्राथमिकताएँ और पसंद बना लीं।.

इसलिए मैंने अपनी SABSA सामग्री निकाली और देखा जोखिम. विशेष रूप से, हमने जोखिम उठाने की क्षमता और प्रमुख जोखिम संकेतकों (KRIs) पर ध्यान केंद्रित किया। हमें जोखिम विश्लेषण की उस मूल गलती से आगे बढ़ना था जो हितधारकों की जोखिम उठाने की क्षमता पर आधारित होती है, और KRIs पर ध्यान देना था। KRIs आगे दिखने. हमें उस बिंदु तक पहुंचने की सलाह दें जहां हम होंगे, और हमें आवश्यक कार्रवाई करने के लिए मार्गदर्शन दें। जोखिम उठाने की क्षमता के दायरे में रहें.

सुरक्षित नहीं हो पाओगे। भीतर पहुँच जाओगे। जोखिम उठाने का माद्दा.

यह एक सूक्ष्म बिंदु है, लेकिन इन्हीं सूक्ष्म बिंदुओं में SABSA, DAMA और TOGAF जैसे स्थापित सर्वोत्तम अभ्यास ढांचे अपना परिणाम देते हैं। सर्वश्रेष्ठ प्रणालियां.

हम बहुत जोखिम स्वीकार करते हैं व्यापार करें. हम ग्राहकों को उधार पर सामान बेचते हैं। हम ऐसे लोगों को नौकरी पर रखते हैं जिनसे हम कभी मिले नहीं होते। हम परियोजनाओं का समर्थन करते हैं। मैं हर दिन व्यस्त पर्यटक क्षेत्र में साइकिल चलाता हूँ।.

अधिक सुरक्षित रहना

हम कैसे पता लगा सकते हैं कि हम अधिक सुरक्षित हैं? पढ़ना वेरिज़ोन का डीबीआईआर, मैंडिएंट, और माइक्रोसॉफ्ट डिजिटल डिफेंस रिपोर्ट 2025 हमें तीन टेस्ट में हार का सामना करना पड़ा सुरक्षित. हमने निष्कर्ष निकाला कि निम्नलिखित तरीकों से सुरक्षा में व्यावहारिक सुधार होता है:

1. अनधिकृत पहुंच को कम करना
   गलत इरादे वाले लोग गलत क्रेडेंशियल और गलत कॉन्फ़िगरेशन के माध्यम से घुसपैठ करते हैं।
2. अनधिकृत ठहराव समय को कम करना
   अज्ञात पहुंच और अनधिकृत अधिकार से अप्रत्यक्ष, जटिल जोखिम उत्पन्न होता है।
3. अनधिकृत पहुंच के संभावित प्रभाव क्षेत्र को कम करना।
   अतिरिक्त पहुंच (पार्श्वीय गति) आमतौर पर खोज द्वारा प्रदान की जाती है अधिक पहुंच जबकि आवास.

पहुँच और ठहरने की अवधि जटिल कारक थे। ऐसा प्रतीत होता है कि आईटी संचालन प्रणालियों में गोपनीय प्रमाणपत्रों के उल्लंघन से पार्श्व गति विशेष रूप से प्रभावित होती है।.

हमारी जोखिम लेने की क्षमता

तो हम यहाँ हैं। मैंने जो पहली रिपोर्ट पढ़ी, उसमें कहा गया था कि बिल्कुल भी भरोसा नहीं! अब माइक्रो-सेगमेंटेशन को गंभीरता से लेने का समय आ गया है।. सच में। हमें सुनामी का संकेत मिला है। हमें यह नहीं पता कि लहर कितनी तेज़ होगी, या कब आएगी। सलाह यह है कि हम उस रास्ते पर चलें जिस पर एक दशक के प्रयासों के बावजूद हमने कोई सार्थक प्रगति नहीं की है।.

किसी भी विषय विशेषज्ञ के तीखे भाषण में अच्छे विचार की झलक मिलती है। लेकिन हमें उस अच्छे विचार को वास्तविकता के अनुरूप ढालना होगा।.

सबसे पहले, हमारे वेब-ऐप्स। आप जानते ही हैं, अनगिनत पोर्ट 443/HTTPS कनेक्शन जो अजनबियों को हमारे व्यावसायिक सॉफ़्टवेयर पर कमांड भेजने की अनुमति देने के लिए डिज़ाइन किए गए हैं। या फिर वे ज़्यादा खतरनाक आंतरिक कनेक्शन जहाँ हमारे कर्मचारी अपने लैपटॉप को कनेक्ट करते हैं और हिट करते हैं। आंतरिक वेब-एप्लिकेशन जिनकी एक अंतर्निहित पहचान होती है। हाँ, अंतर्निहित पहचान क्योंकि कंपनी का लैपटॉप इसका इस्तेमाल हो रहा है। आप उस लैपटॉप को जानते ही होंगे, जिसने पूरे हफ्ते वाईफाई हॉटस्पॉट और अलग-अलग वेब ऐप्स पर सर्च किया। Zscalar या फ़िशिंग रिपोर्ट देखें, ये लैपटॉप कई अजनबियों को निशाना बना रहे हैं। फिर भी, ये कॉर्पोरेट पहचान का आधार हैं।.

दूसरा, पुरानी व्यवस्था। 30 साल पुराने, खास तौर पर बनाए गए वे पुराने सिस्टम जिनमें बहुत अधिक बदलाव होते रहते हैं। यह ऐसा ही है जैसे हमारे सुरक्षाकर्मियों को टोक्यो स्टेशन के सीसीटीवी फुटेज देखकर अपराधियों को ढूंढने के लिए कहना। याद रखें, 5,000 लोग बेतरतीब ढंग से किसी से अचानक मुलाकात हो जाए प्रत्येक जेबकतरों के पास के लिए।.

अब, आइए इस कड़वी सच्चाई का सामना करें—मैंने अभी जो वर्णन किया है वह यह है कि... हमारी जोखिम सहनशीलता के दायरे में. । शायद यह है पीला, SABSA के KRI शब्दों में। शायद, यह हरा है!

SABSA गणित और हितधारक निर्णय

पिछले एक दशक से, अधिकांश उद्यमों ने समझौता किया है और उसी स्थिति में जी रहे हैं। नारंगी सुरक्षा और लचीलेपन के लिए। पुरानी प्रणालियाँ पैसा कमाती हैं। सुधार इन नाजुक राजस्व स्रोतों को तोड़ देते हैं। प्रस्तावित सुधार वास्तव में हमें आगे नहीं बढ़ाते। हरा. इसके बजाय, वे हमारी लचीलेपन और जोखिम लेने की क्षमता को बढ़ाते हैं। लाल. कोई भी लाल रंग नहीं चुनता। कोई भी नहीं।.

तो मेरा पहला सवाल यह है: क्या ग्लास विंग के झटके ने हमारी सुरक्षा व्यवस्था को पूरी तरह से उलट-पुलट कर दिया? लालक्या हम अपनी जोखिम उठाने की क्षमता से बाहर जा रहे हैं? मेरी SABSA ट्रेनिंग में यह बात बिल्कुल स्पष्ट है। नियम एकदम अटल है: आप जानबूझकर रेड ज़ोन में नहीं रह सकते। आपको सब कुछ छोड़कर सीधे ग्रीन ज़ोन की ओर भागना होगा।.

आप जोखिम लेने की अपनी क्षमता से बाहर हैं। मैं अपनी बाइक चला सकता हूँ। के माध्यम से विक्टोरिया के पर्यटक क्षेत्र में और एक मुख्य सड़क के नीचे एक रंगी हुई साइकिल लेन. मैं व्यस्त यात्रा समय के दौरान ऐसा नहीं करता। व्यस्त यात्रा समय के दौरान हर दिन कोई न कोई अनजाने में मेरी जान लेने की कोशिश करता है। मैं प्रशांत समय क्षेत्र में रहने और पूर्वी समय क्षेत्र में काम करने का फायदा उठाता हूँ। दोपहर 2:30 बजे (पूर्वी समय के अनुसार शाम 5:30 बजे) घर लौटते समय केवल एक बार मेरी जान लेने की कोशिश हुई। एक सप्ताह में एक बार. । और वह यह है कि मेरी जोखिम लेने की क्षमता के भीतर.

इस बिंदु पर, विश्लेषण का कोई मूल्य नहीं रह जाता — केवल जोखिम उठाने की क्षमता के भीतर दी गई सीमित अनुशंसा ही उपयोगी होती है।.

तो क्या हुआ हमें ग्रीन तक ले जाता है?

हमने तीन कार्रवाइयों की सिफारिश की:

• प्रत्येक वेब-इंटरफ़ेस पर स्वचालित रूप से अपडेट होने वाला WAF सिस्टम लागू करें (पुराने सिस्टम में)।
  कमर्शियल WAF विक्रेता क्लीन-रूम में मौजूद हैं। हमें उम्मीद है कि वे समय-समय पर अपडेट देने का समन्वय करेंगे।.
• हर बिजनेस पार्टनर के सामने आने वाले API को API गेटवे के माध्यम से कनेक्ट करें।
• हर एक के अंदर एक कैनरी रख दो परिधिएक ऐसी प्रणाली जिसका कोई वैध उपयोग संभव नहीं है, लेकिन जो हमें निर्विवाद रूप से कुछ बुरा बताएगी। पहुँच की तलाश में केवल एक्सेस की तलाश करके। भले ही वे किसी समझौता किए गए एडमिन क्रेडेंशियल का उपयोग कर रहे हों, या किसी संदिग्ध लैपटॉप पहचान का इस्तेमाल कर रहे हों, यह निर्विवाद है कि एक बदमाश पुराने सिस्टम में घुसपैठ करने की कोशिश कर रहा है।.

हमने दो कठिन प्रश्न पूछे:

• क्या यह ठीक है अगर पुरानी ऐप्स काम करना बंद कर दें? ज्ञात अवैध हस्ताक्षर क्या इनका उपयोग सामान्य लेनदेन के लिए किया जाता है और ऑटो-अपडेट होने वाला WAF इसे ब्लॉक कर देता है?
• क्या आप किसी भी ऐसे सिस्टम के लिए नेटवर्क प्राधिकरण को तत्काल निलंबित करने की अनुमति देंगे जो खतरे की घंटी बजाता है? हमारा सबसे बुरा मामला यह है कि कोई गुप्त अपराधी चुपके से जासूसी करने से अचानक विनाशकारी रूप धारण कर ले जब उसे लगे कि उसे देख लिया गया है।.

वहां आप हैं ग्रीन में वापस. चुपचाप साइकिल से काम पर जाना और सप्ताह में एक बार होने वाले जानलेवा हमले को स्वीकार करना।.

एक बार जब हम ग्रीन ज़ोन में वापस आ जाएंगे, तो हम अपनी सुरक्षा स्थिति और एप्लिकेशन की मज़बूती बढ़ाने के लिए अन्य चीज़ों पर विचार कर सकते हैं। आख़िरकार, हम चाहते हैं कि हमारे पुराने और कमज़ोर राजस्व स्रोत कंपनी में पैसा लाते रहें। हमारे सामने वास्तविक व्यावसायिक समस्याएं हैं—टैरिफ, प्रतिस्पर्धा, उपभोक्ता विश्वास—और हमें पैसे की ज़रूरत है। कुछ ऐसे बदलाव लंबित हैं जिनसे हमारी प्रतिस्पर्धात्मक और लागत स्थिति में सुधार होगा, और धीरे-धीरे सुरक्षा और मज़बूती भी बढ़ेगी।.

ग्लास विंग शॉक की संरचना का निष्कर्ष

TOGAF के संदर्भ में, हम सीधे यहाँ से आगे बढ़ गए। वास्तुकार यह एक अनुशंसित लक्ष्य. क्लाउड मिथोस की तरह हमारे पास कोई नैतिक निर्णय क्षमता नहीं है। आप मुझे अपने उद्यम का संदर्भ, उद्देश्य, प्रदर्शन की अपेक्षाएं, बाधाएं और अन्य बातें बताएं। जोखिम उठाने का माद्दा और मैं इसे बनाऊंगा आपका सबसे अच्छा लक्ष्य. । वह है सर्वोत्तम अभ्यास ईएहमारे हितधारकों को लाभ और हानि दोनों का लाभ मिलेगा। उद्यम वास्तुकार मैं बेहतरीन सलाह देता हूँ। मैं उन्हें कड़वी सच्चाई भी बताता हूँ। जब वे फैसला कर लेते हैं, तो मैं उनके फैसले को अपना मान लेता हूँ। आखिर, उनका फैसला संगठन का आधिकारिक फैसला है, जो एक अधिकृत निर्णयकर्ता द्वारा लिया गया है।.

आशा है आपको यह यात्रा अच्छी लगी होगी। मेरी टीम ने इसे कुछ ही दिनों में पूरा कर लिया। रास्ते में हमें कई बार पीछे हटना पड़ा। बिना किसी भेदभाव के. जी हां, एक दिन मुझे देर तक काम करना पड़ा और मैंने व्यस्त समय में साइकिल चलाई। मेरे पास साइकिल के डैशकैम की फुटेज है जिसमें मेरी जान पर हुए हमलों के दृश्य कैद हैं। सच में, साइकिल लेन में घुसना खतरनाक है!

तो ये है आपकी चुनौती। मुझे पता है आप सर्वश्रेष्ठ बनना चाहते हैं। उद्यम वास्तुकार आपकी कंपनी में। मुझे पता है कि आप उन बेहतरीन कहानियों को सुनना चाहते हैं जो मैं कंपनी को बदल देने के लिए सुनाता हूँ। सच कहूँ तो, वे कहानियाँ आपके लिए पहले से ही तैयार हैं, बस आपको हमारे पेशे के सर्वोत्तम तरीकों का पालन करना है। आगे बढ़िए, काम कीजिए। अपने हितधारकों को सच बताइए। मुझे पता है कि इसके लिए व्यक्तिगत साहस की आवश्यकता होती है।.

जब आप हिसाब लगाते हैं तो आप एक ही विषय के प्रति जुनूनी विशेषज्ञों को पीछे छोड़ देते हैं और कैसेंड्रास नेता के कार्यालय के बाहर। कचरे के ढेर में लगी आग की ओर इशारा करने वाली कैसेंड्राएं इंटरनेट पर मुफ्त में काम करती हैं। आपका काम है हिसाब-किताब करना और ऐसा सुझाव देना जिससे आपकी कंपनी बेहतर स्थिति में आ सके। हो सकता है वापस हरे रंग में. शायद किसी नए बाजार में प्रवेश कर रहे हैं।.

मेरा विश्वास करो। वे अच्छी सलाह का इंतजार कर रहे हैं।.

अंत में, आइए आगे की ओर देखें। यदि क्लाउड मिथोस है वह कोड पढ़ने और कारगर सिस्टम बनाने में माहिर—अनपेक्षित API को पार करते हुए, बिना किसी नैतिक पूर्वाग्रह के कार्यात्मक कोड लिखना... वाह, मुझे भी ऐसा ही चाहिए! मुझे वो AI-वर्कर चाहिए जो मेरी टीम में हो। मैं उसे कुछ और प्रतिबंध देना चाहता हूँ और उससे सुरक्षा, लचीलापन और मॉड्यूलरिटी का प्रदर्शन करवाना चाहता हूँ। मुझे एक आधुनिक, तीव्र गति वाली, स्वचालित रूप से परीक्षित CI/CD पाइपलाइन चाहिए। AI-सक्षम विकास परीक्षण और लचीलेपन के क्षेत्र में हमेशा के लिए क्रांति ला रहा है। मेरे अगली पीढ़ी के डिजिटल उत्पाद AI-सक्षम होंगे। पुनर्जन्म सुरक्षित.

हिसाब-किताब करो। बदलाव को दिशा दो।.

आपका दिन अच्छा रहे!

सम्मान,

डेव

डेव हॉर्नफोर्ड
कोनेक्सियम

पुनश्च: यदि आप जल्दी में हैं, तो हमारे अन्य विकल्पों पर भी एक नज़र डालें। वास्तुकला शासन कार्यशाला या फिर आइए एक गतिशील कार्ययोजना तैयार करने के बारे में बात करें। स्थिति को नियंत्रण में लाने में लंबा समय लगने की जरूरत नहीं है।.