લખાણ પર જાઓ

કમ્પ્યુટર સુરક્ષા

વિકિપીડિયામાંથી
(Computer security થી અહીં વાળેલું)

કમ્પ્યુટર સુરક્ષા, સાયબર સુરક્ષા અથવા ઇન્ફર્મેશન ટેકનોલોજી સુરક્ષા (આઇટી સુરક્ષા) એ કોમ્પ્યુટરના હાર્ડવેર, સૉફ્ટવેર અથવા ઇલેક્ટ્રોનિક ડેટાની ચોરી અથવા નુકસાનથી કમ્પ્યુટર સિસ્ટમ્સનું રક્ષણ તેમજ તેઓ પ્રદાન કરેલા સેવાઓના વિક્ષેપ અથવા ખોટા નિર્દેશથી સુરક્ષિત કરે છે.

કમ્પ્યુટર સિસ્ટમ્સ, ઇન્ટરનેટ અને બ્લુટુથ અને વાઇ-ફાઇ જેવા વાયરલેસ નેટવર્ક્સ અને સ્માર્ટફોન્સ, ટેલિવિઝન અને વિવિધ નાના ઉપકરણો સહિતના "સ્માર્ટ" ઉપકરણોના વિકાસને કારણે, આ ક્ષેત્રમાં મહત્વપૂર્ણ વધારો થયો છે. રાજકારણ અને તકનીકના સંદર્ભમાં તેની જટીલતાને લીધે, તે સમકાલીન વિશ્વની મુખ્ય પડકારોમાંની એક છે.

નબળાઈઓ અને હુમલા

[ફેરફાર કરો]

સાયબર જગતમા કમ્પ્યુટર અને તેની પ્રણાલીઓમા, ડિઝાઇન, અમલીકરણ, કામગીરી અથવા આંતરિક અંકુશમાં રહેલી ખામીઓ નબળાઈ છે. અત્યાર સુધી શોધવામાં આવેલી ઘણી નબળાઈઓ સામાન્ય નબળાઈઓ અને એક્સપોઝર (CVE) ડેટાબેઝમાં દસ્તાવેજીકૃત થયેલ છે.

શોષણક્ષમ નબળાઈ એ એક છે જેના માટે ઓછામાં ઓછું એક કાર્યકારી હુમલો અથવા "શોષણ" અસ્તિત્વમાં છે. સ્વયંચાલિત સાધનોની સહાયથી અથવા જાતે કસ્ટમાઇઝ સ્ક્રિપ્ટોનો ઉપયોગ કરીને નબળાઈઓનું શિકાર અથવા શોષણ કરવામાં આવે છે.

કમ્પ્યુટર સિસ્ટમ સુરક્ષિત કરવા માટે, તેનાથી બનેલા હુમલાઓને સમજવું મહત્વપૂર્ણ છે, અને આ ધમકીઓને સામાન્ય રીતે નીચેની શ્રેણીઓમાંથી એકમાં વર્ગીકૃત કરી શકાય છે:

બેકડોર

[ફેરફાર કરો]

કમ્પ્યુટર સિસ્ટમમાં બેકડોર એ ક્રિપ્ટોસિસ્ટમ અથવા એલ્ગોરિધમ, સામાન્ય પ્રમાણીકરણ અથવા સુરક્ષા નિયંત્રણોને બાયપાસ કરવાની કોઈપણ ગુપ્ત પદ્ધતિ છે. બેકડોર ના અસ્તિત્વ પાછળ અસલ ડિઝાઇન મા રહેલી ખામીઓ અથવા નબળા રૂપરેખાંકન હોય શકે છે.

ડિનાયલ ઓફ સર્વિસ

[ફેરફાર કરો]

વપરાશકર્તાઓ માટે મશીન અથવા નેટવર્ક સંસાધનને અનુપલબ્ધ બનાવવા માટે ડિનાયલ ઓફ સર્વિસ (DoS) હુમલા હેતુપૂર્વક રચાયેલ છે.

હુમલાખોરો વ્યક્તિગત પીડિતોને સેવાનો ઇનકાર કરી શકે છે, જેમ કે ઇરાદાપૂર્વક પીડિત એકાઉન્ટને લૉક કરવા માટે સતત ખોટા પાસવર્ડને દાખલ કરીને, અથવા મશીન અથવા નેટવર્કની ક્ષમતાઓને ઓવરલોડ કરી શકે છે અને એક જ સમયે બધા વપરાશકર્તાઓને અવરોધિત કરી શકે છે. જ્યારે એક જ IP એડ્રેસથી થયેલા નેટવર્ક હુમલાને નવા ફાયરવોલ નિયમને ઉમેરીને અવરોધિત કરી શકાય છે, ત્યારે ડિસ્ટ્રિબ્યુટેડ ડિનાયલ ઓફ સર્વિસ (DDoS) હુમલાના ઘણા સ્વરૂપો શક્ય છે, જ્યાં હુમલો મોટી સંખ્યામાં આવે છે અને બચાવ કરવો વધુ મુશ્કેલ છે. આવા હુમલાઓ બોટનેટના ઝોમ્બી કમ્પ્યુટર્સમાંથી ઉદ્ભવી શકે છે, પરંતુ અન્ય તકનીકોની સંખ્યા પ્રતિબિંબ અને એમ્પ્લિફિકેશન હુમલાઓ સહિત શક્ય છે, જ્યાં નિર્દોષ સિસ્ટમ્સને ભોગ બનેલા લોકોને ટ્રાફિક મોકલવામાં મૂર્ખ બનાવવામાં આવે છે.

ડાયરેક્ટ-ઍક્સેસ હુમલાઓ

[ફેરફાર કરો]

કોઈ અનધિકૃત વપરાશકર્તા કમ્પ્યુટર પર ભૌતિક ઍક્સેસ મેળવે છે તે સંભવતઃ તેનાથી ડેટાને સીધી કૉપી કરી શકે છે. તેઓ ઑપરેટિંગ સિસ્ટમ ફેરફારો, સૉફ્ટવેર વોર્મ્સ, કીલોગર્સ, માઇક-સ્પિકર જેવા ઉપકરણો, વાયરલેસ ઉંદરનો ઉપયોગ કરીને સુરક્ષાને મરોડી શકે છે. પ્રમાણભૂત સુરક્ષા પગલાં દ્વારા સિસ્ટમ સુરક્ષિત હોવા છતાં પણ, સીડી-રોમ અથવા અન્ય બૂટેબલ મીડિયામાંથી બીજી ઑપરેટિંગ સિસ્ટમ અથવા ટૂલને ચાલુ કરીને સિસ્ટમમા ઘૂસપેઠ કરી શકે છે. ડિસ્ક એન્ક્રિપ્શન અને ટ્રસ્ટેડ પ્લેટફોર્મ મોડ્યુલ આ હુમલાઓને રોકવા માટે રચાયેલ છે.

ઇવ્સડ્રોપ્સ (પારકી વાત છુપાઈને સાંભળવી)

[ફેરફાર કરો]

ઇવ્સડ્રોપીનગ (Eavesdropping) એ ગુપ્ત વાતચીત સાંભળીને, સામાન્ય રીતે નેટવર્ક પરના યજમાનો વચ્ચેની વાત સાંભળવાની ક્રિયા છે. ઉદાહરણ તરીકે, Carnivore અને NarusInSight જેવા કાર્યક્રમોનો ઉપયોગ FBI-USA અને NSA-USA દ્વારા ઇન્ટરનેટ સર્વિસ પ્રોવાઇડર્સની સિસ્ટમ્સ પર નજર રાખવા માટે થયો.

મલ્ટીવેક્ટર, પોલીમોર્ફિક હુમલાઓ

[ફેરફાર કરો]

2017 માં સર્ફિંગ, મલ્ટિ-વેક્ટર, પોલિમૉર્ફિકના નવા વર્ગમાં સાયબર ધમકીઓ સર્જાઈ હતી જેણે વિવિધ પ્રકારનાં હુમલાઓનો સામનો કર્યો હતો અને સાયબર સિક્યુરિટી કંટ્રોલ્સને ફેલાવતા અટકાવવા માટે ફોર્મ બદલ્યો હતો. આ ધમકીઓને પાંચમી પેઢીના સાયબરટેક્સ તરીકે વર્ગીકૃત કરવામાં આવી છે.

ફિશિંગ

[ફેરફાર કરો]

ફિશીંગ વપરાશકર્તાઓ દ્વારા સીધા જ વપરાશકર્તા નામ, પાસવર્ડ્સ અને ક્રેડિટ કાર્ડની વિગતો જેવી સંવેદનશીલ માહિતી પ્રાપ્ત કરવાનો પ્રયાસ છે. ફિશીંગ સામાન્ય રીતે ઇમેઇલ સ્પૂફિંગ અથવા ઇન્સ્ટન્ટ મેસેજિંગ દ્વારા કરવામાં આવે છે, અને તે ઘણીવાર નકલી વેબસાઇટ પર વિગતો દાખલ કરવા માટે દિશામાન કરે છે જે(નક્લી-વેબસાઇટ)નો દેખાવ અને કાર્યશૈલી અસલ-કાયદેસર વેબસાઇટ જેવી જ સમાન હોય છે. આવી નક્લી વેબસાઇટોની મદદથી હુમલાખોર પીડીત પાસેથી સાચી માહિતી લઈ લે છે.

ઉન્ન્ત વિશેષાધિકાર

[ફેરફાર કરો]

ઉન્ન્ત વિશેષાધિકાર (Privilege escalation) એ એવી પરિસ્થિતિનું વર્ણન કરે છે જ્યાં પ્રતિબંધિત સ્તરના કેટલાક સ્તરે હુમલાખોર અધિકૃત કર્યા વિના, તેમના વિશેષાધિકારો અથવા ઍક્સેસ સ્તરને વધારવામાં સક્ષમ છે. ઉદાહરણ તરીકે, માનક કમ્પ્યુટર વપરાશકર્તા સિસ્ટમને પ્રતિબંધિત ડેટાને ઍક્સેસ આપવા માટે મૂર્ખ બની શકે છે; અથવા "Become Root" (Root બનવુ એટલે બધા જ વિશેષાધિકાર મેળવી લેવા.) બની સિસ્ટમમાં સંપૂર્ણ ઍક્સેસ પણ લઈ લીધા હોય.

સોશિયલ એન્જિનિયરિંગ

[ફેરફાર કરો]

સોશિયલ એન્જિનિયરિંગનો હેતુ યુઝરને પાસવર્ડો, કાર્ડ નંબર્સ વગેરે જેવા રહસ્યો જાહેર કરવા માટે સમજાવવાનો છે, દાખલા તરીકે, કોઈ બેંક, કોન્ટ્રાક્ટર અથવા ગ્રાહકની નકલ કરવી.

એક સામાન્ય કૌભાંડમાં એકાઉન્ટિંગ અને ફાઇનાન્સ વિભાગોને મોકલવામાં આવેલ નકલી સીઇઓ ઇમેઇલ્સનો સમાવેશ છે. 2016 ની શરૂઆતમાં, FBIએ અહેવાલ આપ્યો હતો કે કૌભાંડમાં લગભગ બે વર્ષમાં યુ.એસ.ના વ્યવસાયોમાં 2 બિલિયન ડોલરથી વધુનો ખર્ચ થયો છે. ફિશીંગ, પ્રિટેક્સ્ટિંગ, બેટિંગ, ક્વિડ પ્રો ક્વો, ટેઇલગેટિંગ પાંચ પરિચિત સામાજિક ઇજનેરી હુમલાઓ છે.

સ્પૂફિંગ

[ફેરફાર કરો]

સ્પૂફિંગ માહિતી અથવા સંસાધનોની ઍક્સેસ મેળવવા માટે ડેટાના ખોટાકરણ (જેમ કે IP સરનામું અથવા વપરાશકર્તાનામ) દ્વારા માન્ય એન્ટિટી તરીકે માસ્કરેડિંગની ક્રિયા છે જે અનધિકૃત કરવા માટે અનધિકૃત છે. ત્યાં વિવિધ પ્રકારનાં સ્પૂફિંગ છે, જેમાં શામેલ છે:

  • ઇમેઇલ સ્પૂફિંગ, જ્યાં હુમલાખોર ઇમેઇલના પ્રેષિત (પ્રતિ અથવા સ્રોત) સરનામાંને બદલી કરે છે.
  • આઇપી એડ્રેસ સ્પૂફિંગ, જ્યાં હુમલાખોર નેટવર્ક પેકેટમાં સ્રોત આઇપી એડ્રેસને તેમની ઓળખ છુપાવવા અથવા અન્ય કોમ્પ્યુટિંગ સિસ્ટમની નકલ કરવા માટે બદલે છે.
  • મેક સ્પૂફિંગ, જ્યાં હુમલાખોર નેટવર્ક નેટવર્ક પર માન્ય વપરાશકર્તા તરીકે પોઝ કરવા માટે તેમના નેટવર્ક ઇન્ટરફેસના મીડિયા ઍક્સેસ કંટ્રોલ (એમએસી) એડ્રેસને સુધારે છે.
  • બાયોમેટ્રિક સ્પોફિંગ, જ્યાં હુમલાખોર અન્ય વપરાશકર્તા તરીકે પોઝ કરવા માટે બનાવટી બાયોમેટ્રિક નમૂના બનાવે છે.

ચેડા (Tampering)

[ફેરફાર કરો]

માહિતી કે તેને સકળાયેલ સંસાધનોમા દૂષિત ફેરફારોને વર્ણાવી શકાય.

માહિતી સુરક્ષા સંસ્કૃતિ

[ફેરફાર કરો]

કર્મચારીઓની વર્તણૂંક સંસ્થાઓમાં માહિતી સુરક્ષા પર મોટી અસર કરી શકે છે. સાંસ્કૃતિક ખ્યાલ સંસ્થાના વિવિધ વિભાગોને અસરકારક રીતે કામ કરે છે અથવા સંસ્થામાં માહિતી સુરક્ષા તરફ અસરકારકતા સામે કામ કરે છે. "સંગઠનાત્મક સંસ્કૃતિ અને માહિતી સુરક્ષા સંસ્કૃતિ વચ્ચેનો સંબંધ શોધવું" માહિતી સુરક્ષા સંસ્કૃતિની નીચેની વ્યાખ્યા આપે છે: "આઇએસસી એ એવી સંસ્થામાં વર્તનની પેટર્નની સંપૂર્ણતા છે જે તમામ પ્રકારની માહિતીના રક્ષણમાં ફાળો આપે છે."

એન્ડરસન અને રીમર્સ (2014) એ શોધી કાઢ્યું હતું કે કર્મચારીઓ પોતાને સંસ્થાકીય માહિતીના "પ્રયત્નો" ના ભાગ રૂપે જુએ છે અને ઘણીવાર એવી ક્રિયાઓ કરે છે જે સંગઠનાત્મક માહિતી સલામતીની શ્રેષ્ઠ રુચિઓને અવગણે છે. સંશોધન બતાવે છે કે માહિતી સુરક્ષા સંસ્કૃતિમાં સતત સુધારો કરવાની જરૂર છે. "ઇન્ફર્મેશન સિક્યોરિટી કલ્ચર ઑફ એનાલિસિસ ટુ ચેન્જ" માં, લેખકોએ ટિપ્પણી કરી હતી કે, "મૂલ્યાંકન અને ફેરફાર અથવા જાળવણીનો ચક્ર - આ પ્રક્રિયાઓ ક્યારેય સમાપ્ત થતી નથી." માહિતી સુરક્ષા સંસ્કૃતિનું સંચાલન કરવા માટે, પાંચ પગલાં લેવા જોઈએ: પૂર્વ મૂલ્યાંકન, વ્યૂહાત્મક આયોજન, ઓપરેટિવ પ્લાનિંગ, અમલીકરણ અને પોસ્ટ-મૂલ્યાંકન.

  • પૂર્વ મૂલ્યાંકન: કર્મચારીઓની અંદરની માહિતી સુરક્ષા વિશેની જાગરૂકતાને ઓળખવા અને વર્તમાન સુરક્ષા નીતિનું વિશ્લેષણ કરવા.
  • વ્યૂહાત્મક આયોજન: વધુ સારી જાગૃતતા કાર્યક્રમ સાથે આવવા, સ્પષ્ટ લક્ષ્યોને સેટ કરવાની જરૂર છે.
  • ઑપરેટિવ પ્લાનિંગ: આંતરિક સલામતી, મેનેજમેન્ટ-બાય-ઇન અને સુરક્ષા જાગરૂકતા અને તાલીમ કાર્યક્રમના આધારે સારી સુરક્ષા સંસ્કૃતિની સ્થાપના કરી શકાય છે.
  • અમલીકરણ: માહિતી સુરક્ષા સંસ્કૃતિને અમલમાં મૂકવા માટે નીચે દર્શાવેલ ચાર તબક્કાઓનો ઉપયોગ કરવો જોઈએ.
  1. મેનેજમેન્ટની પ્રતિબદ્ધતા
  2. સંસ્થાકીય સભ્યો સાથે સંચાર
  3. બધા સંસ્થાકીય સભ્યો માટે અભ્યાસક્રમો
  4. કર્મચારીઓની પ્રતિબદ્ધતા

વ્યવસ્થા અને તેના જોખમો

[ફેરફાર કરો]

કમ્પ્યુટર સિસ્ટમ્સની સંખ્યામાં વૃદ્ધિ, ઉપરાત વ્યક્તિઓ, ધંધાઓ, ઉદ્યોગો અને સરકારો પર વધતી જતો કમ્પ્યુટરોનો વિશ્વાસ આજે વૈશ્વિક સ્તરે જોખમોમા પોતાની ભાગીદારી વધારી રહ્યુ છે.

નાણાકીય સિસ્ટમો

[ફેરફાર કરો]

નાણાકીય નિયમનકારો અને નાણાકીય સંસ્થાઓ જેવી કે કમ્પ્યુટર સિક્યોરિટીઝ અને એક્સ્ચેન્જ કમિશન, ઇન્વેસ્ટમેન્ટ બેંકો અને વ્યાપારી બેંકો એ સાયબર ક્રિમીનલ્સ માટેના મુખ્ય હેકિંગ લક્ષ્યાંકો છે જે બજારોમાં બદલાવ અને ગેરકાયદેસર લાભો બનાવવા રસ ધરાવે છે. વેબ સાઇટ્સ અને એપ્લિકેશન્સ કે જે ક્રેડિટ કાર્ડ નંબર્સ, બ્રોકરેજ એકાઉન્ટ્સ અને બેંક એકાઉન્ટ માહિતીને સ્વીકારી અથવા સંગ્રહિત કરે છે તે પણ મુખ્ય હેકિંગ લક્ષ્યો છે, કારણ કે પૈસા સ્થાનાંતરિત કરવા, ખરીદી કરવા અથવા બ્લેક માર્કેટ પરની માહિતીને વેચવાથી તાત્કાલિક નાણાકીય લાભની સંભવિતતાને કારણે તેઓ (નાણાકીય પ્રણાલિઓ) પર હુમલાની સમ્ભાવના વધે છે.


સાર્વજનિક/અગત ઉપયોગિતાઓ અને ઔદ્યોગિક સાધનો

[ફેરફાર કરો]

કમ્પ્યુટર ટેલિકોમ્યુનિકેશન્સ, પાવર ગ્રીડ, ન્યુક્લિયર પાવર પ્લાન્ટના સંકલન અને પાણી અને ગેસ નેટવર્ક્સમાં વૉલ્વના ખોલવા અને બંધ થવા સહિત અનેક ઉપયોગીતાઓ પર કાર્યો નિયંત્રિત કરે છે. આવી મશીનો જો ઇન્ટરનેટ સાથે જોડાયેલ હોયતો તેના પર હુમલાની શક્યતા વધી જાય છે.

ઉડ્ડયન

[ફેરફાર કરો]

ઉડ્ડયન ઉદ્યોગ એ જટિલ સિસ્ટમોની શ્રેણી પર ખૂબ નિર્ભર છે જેનો હુમલો થઈ શકે છે. એક એરપોર્ટ પર સરળ પાવર આઉટેજ વિશ્વભરમાં પ્રતિક્રિયા પેદા કરી શકે છે, મોટાભાગની પ્રણાલી રેડિયો ટ્રાન્સમિશન પર આધાર રાખે છે જે અવરોધિત થઈ શકે છે, અને મહાસાગરો ઉપરના વિમાનને નિયંત્રિત કરવું એ ખાસ કરીને જોખમી છે કારણ કે રડાર દેખરેખ માત્ર 175 થી 225 માઇલની ઓફશોર વિસ્તરે છે. વિમાનની અંદર પણ હુમલો સંભવિત છે.

ગ્રાહકોના ઉપકરણો

[ફેરફાર કરો]

ડેસ્કટૉપ કમ્પ્યુટર્સ અને લેપટોપ્સ સામાન્ય રીતે પાસવર્ડ્સ અથવા નાણાકીય એકાઉન્ટ માહિતી એકત્રિત કરવા અથવા અન્ય લક્ષ્ય પર હુમલો કરવા માટે બોટનેટ બનાવવા માટે લક્ષિત હોય છે.સ્માર્ટફોન્સ, ટેબ્લેટ કમ્પ્યુટર્સ, સ્માર્ટ ઘડિયાળો અને અન્ય મોબાઇલ ડિવાઇસેસ જેમ કે ક્વોન્ટિફાઇડ સ્વય સચાલિત્ સાધનો, ગ્રાહકોની રોજની પ્રવૃત્તિ સાથે સકળાયેલ સાધનો જેવા કે કેમેરા, માઇક્રોફોન, જીપીએસ રીસીવર્સ, હોકાયંત્રો અને એક્સિલરોમીટર જેવા સેન્સર્સ હોય છે જેના સાથે ચેડા કરી સંવેદનશીલ આરોગ્ય માહિતી સહિત વ્યક્તિગત માહિતી એકત્રિત કરી શકે છે. આમાંના કોઈપણ ઉપકરણો પર વાઇફાઇ, બ્લૂટૂથ અને સેલ ફોન નેટવર્ક્સનો ઉપયોગ વેક્ટર્સ હુમલામા તરીકે થઈ શકે છે, અને સફળ ઉલ્લંઘન પછી સેન્સર્સને દૂરસ્થ રૂપે સક્રિય કરી શકાય છે. ઘરના ઓટોમેશન ઉપકરણોની વધતી જતી સંખ્યા પણ હુમલાની સભાવના વધારે છે.

મોટા કોર્પોરેશનો

[ફેરફાર કરો]

મોટા કોર્પોરેશનો સામાન્ય લક્ષ્યો છે. ઘણા કિસ્સાઓમાં તેનો હેતુ લાખો ગ્રાહકોની અગત માહિતી, નાણાકિય માહિતી જેમકે ક્રેડિટ કાર્ડ, ડેબિટ કાર્ડની વિગતો, તબીબી નોધો વિગેરે માહિતીની ચોરી દ્વારા નાણાકીય લાભ મેળવવાનો છે.

ઑટોમોબાઇલ્સ

[ફેરફાર કરો]

ઘણા મોડેલો પર એન્જિન ટાઇમિંગ, ક્રૂઝord કંટ્રોલ, એન્ટી-લૉક બ્રેક્સ, સીટ બેલ્ટ ટેન્શનર્સ, બારણું લૉક, એરબેગ્સ અને અદ્યતન ડ્રાઈવર-સહાય સિસ્ટમ્સ સાથે વાહનો વધુ ઝડપથી કમ્પ્યુટરાઇઝ થઈ રહ્યાં છે. વધારામાં, જોડાયેલ કાર વાઇફાઇ અને બ્લુટુથનો ઉપયોગ, ઓનબોર્ડ ગ્રાહક ઉપકરણો અને સેલ ફોન નેટવર્ક સાથે વાતચીત કરવા માટે કરી શકે છે. સ્વ-ડ્રાઇવિંગ કાર વધુ જટિલ હોવાનું અપેક્ષિત છે. આ બધી સિસ્ટમ્સમાં કેટલાક સુરક્ષા જોખમો હોય છે, અને આવી સમસ્યાઓએ વ્યાપક ધ્યાન ખેંચ્યું છે. જોખમના સરળ ઉદાહરણોમાં દુર્ભાવનાપૂર્ણ કોમ્પેક્ટ ડિસ્કનો ઉપયોગ એટેક વેક્ટર તરીકે થાય છે, અને કારના ઓનબોર્ડ માઇક્રોફોનનો ઉપયોગ ઇવેસડ્રોપિંગ માટે થાય છે. જો કે, કારના આંતરિક નિયંત્રક ક્ષેત્ર નેટવર્કમાં ઍક્સેસ પ્રાપ્ત થાય છે, તો ભય ordઘણો વધારે છે

સરકાર અને લશ્કરી કમ્પ્યુટર સિસ્ટમો પર સામાન્ય રીતે ક્રેકર સગઠનો અને વિદેશી સત્તા દ્વારા હુમલો કરવામાં આવે છે. ટ્રાફિક લાઇટ કંટ્રોલ્સ, પોલીસ અને ઇન્ટેલિજન્સ એજન્સી કમ્યુનિકેશન, કર્મચારીઓના રેકોર્ડ્સ, વિદ્યાર્થી રેકોર્ડ્સ અને નાણાકીય સિસ્ટમ્સ જેવા સ્થાનિક અને પ્રાદેશિક સરકારી ઇન્ફ્રાસ્ટ્રક્ચર પણ સંભવિત લક્ષ્યાંક છે કારણ કે તે હવે મોટા પ્રમાણમાં કમ્પ્યુટરાઇઝ્ડ છે. પાસપોર્ટ અને સરકારી ID કાર્ડ્સ જે આરએફઆઇડીનો ઉપયોગ કરતી સુવિધાઓની ઍક્સેસને નિયંત્રિત કરે છે તે ક્લોનીંગ માટે જોખમી હોઈ શકે છે.

વસ્તુઓનુ ઇન્ટરનેટ અને નબળાઈઓ

[ફેરફાર કરો]

વસ્તુઓનુ ઇન્ટરનેટ (IoT) એ ઉપકરણો, વાહનો અને ઇમારતો જેવા ભૌતિક ઑબ્જેક્ટ્સનો નેટવર્ક છે જે ઇલેક્ટ્રોનિક્સ, સૉફ્ટવેર, સેન્સર્સ અને નેટવર્ક કનેક્ટિવિટી સાથે જોડાયેલા છે જે તેમને ડેટા એકત્રિત અને વિનિમય કરવા સક્ષમ કરે છે - અને આ પ્રણાલી તેમા સંકળાયેલી સુરક્ષા પડકારોને યોગ્ય રીતે ધ્યાનમાં લીધા વિના વિકસાવવામાં આવી રહી છે. જ્યારે IOT કમ્પ્યુટર-આધારિત સિસ્ટમ્સમાં ભૌતિક વિશ્વના વધુ સીધા એકીકરણ માટે તકો બનાવે છે,તે દુરૂપયોગ માટે તકો પણ પૂરી પાડે છે. ખાસ કરીને, જેમ જેમ વસ્તુઓનો ઇન્ટરનેટ વ્યાપક રૂપે ફેલાયેલો છે, તેમ સાયબર હુમલા વધુને વધુ સબળા બનવાની સંભાવના છે. જેમકે, જો ફ્રન્ટ બારણુંનો લૉક ઇન્ટરનેટથી કનેક્ટ થાય છે અને ફોનથી લૉક / અનલૉક થઈ શકે છે, તો ચોરી અથવા હેક કરેલા ફોનથી બટન દબાવવા પર ઘરમા દાખલ કરી શકાય છે. આઇઓટી-સક્ષમ ડિવાઇસ દ્વારા નિયંત્રિત વિશ્વમાં લોકો તેમના ક્રેડિટ કાર્ડ નંબર્સ કરતાં ઘણુ વધુ ગુમાવી શકે છે.

તબીબી સિસ્ટમો

[ફેરફાર કરો]

મેડિકલ ઉપકરણો પર ક્યાં તો સફળ રીતે હુમલા કરવામાં આવ્યા છે અથવા સંભવિત રૂપે ઘાતક નબળાઈઓનો દુરાપયોગ કરાયો છે જેમાં ઇનસ્પૉસ્પિટલ ડાયગ્નોસ્ટિક સાધનો અને પેસમેકર અને ઇન્સ્યુલિન પમ્પ્સ સહિત પ્રત્યારોપણવાળા ઉપકરણો શામેલ છે. રૅન્સમવેર હુમલાઓ સહિત, હૉસ્પિટલ અને હૉસ્પિટલ સંસ્થાઓ હેક કરવામાં આવી તેના અનેક અહેવાલો છે,આવી સસ્થાઓના કોમ્પ્યુટરો અને સર્વર્સ પર સંગ્રહિત ડટા તેમા રહેલી ઓપરેટીગ સિસ્ટમની નબળાઇઓનો દુરોપયોગ કરી તેમા વાયરસ અને ડેટાના ભંગાણથી સંવેદનશીલ માહિતીને ચોરી લેવાય છે.

ઊર્જા ક્ષેત્ર

[ફેરફાર કરો]

ડેઇલી એનર્જી ઇન્સાઇડર મુજબ, વિતરિત જનરેશન સિસ્ટમ્સમાં સાયબર હુમલાનું જોખમ વાસ્તવિક છે. લાંબા સમય સુધી હુમલાથી મોટા વિસ્તારમાં સત્તા ગુમાવવાનું કારણ બની શકે છે, અને આ પ્રકારના હુમલામાં કુદરતી આપત્તિ જેવા ગંભીર પરિણામો હોઈ શકે છે.

સુરક્ષા ભંગનો પ્રભાવ

[ફેરફાર કરો]

સુરક્ષાના ભંગને લીધે ગંભીર નાણાકીય નુકસાન થયું છે, પરંતુ ઘટનાની કિંમતના અંદાજ માટે કોઈ માનક મોડેલ નથી, તેથી ફક્ત એક જ ડેટા ઉપલબ્ધ છે જે સંસ્થાઓ દ્વારા જાહેર કરવામાં આવે છે. "કેટલીક કમ્પ્યુટર સુરક્ષા કન્સલ્ટિંગ કંપનીઓ વાયરસ અને કૃમિ હુમલાઓ અને સામાન્ય રીતે પ્રતિકૂળ ડિજિટલ કૃત્યોને આભારી કુલ વૈશ્વિક નુકસાનની અંદાજ બનાવે છે. 2003 ની ખોટ આ કંપનીઓ દ્વારા અંદાજે 13 બિલિયન ડોલર (વોર્મ્સ અને વાયરસ) થી 226 અબજ ડોલર (તમામ સ્વરૂપો માટે) અપ્રગટ હુમલાઓ). આ અંદાજોની વિશ્વસનીયતા ઘણીવાર પડકારવામાં આવે છે.

જો કે, સુરક્ષા ભંગની નાણાકીય કિંમતના વાજબી અંદાજો વાસ્તવમાં સંગઠનોને વ્યાજબી રોકાણ નિર્ણયો લેવામાં સહાય કરી શકે છે. ક્લાસિક ગોર્ડન-લોએબ મોડલ મુજબ માહિતી સલામતીમાં શ્રેષ્ઠ રોકાણ સ્તરનું વિશ્લેષણ કરીને, કોઈ એવું નિષ્કર્ષ આપી શકે છે કે કોઈ કંપની માહિતીની સુરક્ષા કરવા માટે જે રકમ ખર્ચ કરે છે તે સામાન્ય રીતે અપેક્ષિત ખોટનો માત્ર એક નાનો ભાગ હોવો જોઈએ.

હુમલાખોર પ્રેરણા

[ફેરફાર કરો]

હુમલાખોરોની કમ્પ્યુટર સુરક્ષાના ભંગ માટેની પ્રેરણામા વિવિધતા જોવા મળે છે. જેમકે, કેટલાક હુમલાખોરો રોમાંચક શોધકો છે, કેટલાક કાર્યકરો છે, અન્યો ગુનાખોરો નાણાકીય લાભની શોધમાં છે. વધારામાં, તાજેતરના હુમલાખોરોની પ્રેરણા રાજકીય લાભ મેળવવા અથવા સામાજિક એજન્ડાઓમાં વિક્ષેપ મેળવવા માંગતા આતંકવાદી સંગઠનોને શોધવાની છે. ઇન્ટરનેટ, મોબાઇલ ટેક્નોલોજીઓ અને સસ્તા કમ્પ્યુટિંગ ઉપકરણોનો વિકાસ કે જે ક્ષમતાઓમાં વધારો તરફ દોરી જાય છે.

કમ્પ્યુટર સંરક્ષણ (કાઉન્ટરમેઝર્સ)

[ફેરફાર કરો]

કમ્પ્યુટર સુરક્ષામાં કાઉન્ટરમેઝર એ એક ક્રિયા, ઉપકરણ, કાર્યવાહી અથવા તકનીક છે જે જોખમને ઘટાડે છે, નબળાઈ શોધી અથવા તેને દૂર કરીને અથવા અટકાવીને હુમલો ઘટાડે છે, તે નુકસાનને ઘટાડે છે અથવા તેને શોધી અને તેની જાણ કરીને જેથી સુધારણાત્મક ક્રિયા કરી શકાય છે.

કેટલાક સામાન્ય પ્રતિવાદો(કાઉન્ટરમેઝર્સ) નીચે આપેલા વિભાગોમાં સૂચિબદ્ધ છે:

આલેખન દ્વારા સુરક્ષા

[ફેરફાર કરો]

આલેખન દ્વારા સુરક્ષા, અથવા ડિઝાઇન દ્વારા વૈકલ્પિક રૂપે સલામત, તેનો અર્થ એ છે કે સૉફ્ટવેરને ધરાતલથી સુરક્ષિત થવા માટે ડિઝાઇન કરવામાં આવ્યું છે. આ કિસ્સામાં, સુરક્ષા મુખ્ય લક્ષણ તરીકે સ્વીકારવામા આવે છે.

આ અભિગમમાંની કેટલીક તકનીકો શામેલ છે:

  • ઓછામાં ઓછા વિશેષાધિકારનો સિદ્ધાંત, જ્યાં સિસ્ટમના દરેક ભાગમાં તેના કાર્ય માટે જરૂરી વિશેષાધિકાર હોય છે. તે રીતે જો કોઈ હુમલાખોર તે ભાગની ઍક્સેસ મેળવે તો પણ, તેની પાસે સમગ્ર સિસ્ટમની મર્યાદિત ઍક્સેસ હોય છે.
  • કોડ સમીક્ષાઓ અને એકમ પરીક્ષણ, મોડ્યુલોને વધુ સુરક્ષિત બનાવવા માટેના અભિગમો જ્યાં ઔપચારિક શુદ્ધતા પુરાવા શક્ય નથી.
  • ઊંડાણપૂર્વકનુ સંરક્ષણ, જ્યાં ડિઝાઇન એવી છે કે સિસ્ટમની અખંડિતતાની સમાધાન અને તેની પાસે રહેલી માહિતીને સમાધાન કરવા માટે એકથી વધુ ઉપસિસ્ટમનો ભંગ થવો જરૂરી છે.
  • મૂળભૂત સુરક્ષિત સેટિંગ્સ અને ડિઝાઇન "નિષ્ફળ અસુરક્ષિત" ને બદલે "સુરક્ષિત નિષ્ફળ" હોવી જોઈએ.
  • ઓડિટ ટ્રેલ્સ ટ્રેકિંગ સિસ્ટમ પ્રવૃત્તિ, જેથી જ્યારે સુરક્ષા ભંગ થાય ત્યારે, ભંગની પદ્ધતિ અને હદ નક્કી કરી શકાય છે. ઑડિટ ટ્રેઇલને દૂરસ્થ રીતે સ્ટોર કરવું, જ્યાં તેને ફક્ત જોડવામાં આવી શકે છે, ઘૂસણખોરોને તેમના ટ્રેકને આવરી રાખવાથી રાખી શકે છે.
  • જ્યારે નબળાઈ મળે ત્યારે તેનો સપૂર્ણ ખુલાસો હોવો જોઈએ જેથી તેના પર યોગ્ય પગલા લઈ નબળાઈઓનો વ્યાપ ઓછો કરી શકાય.

સુરક્ષા આર્કિટેક્ચર

[ફેરફાર કરો]

ઓપન સિક્યુરિટી આર્કિટેક્ચર સંગઠન આઇટી સુરક્ષા આર્કિટેક્ચરને વ્યાખ્યાયિત કરે છે, "ડિઝાઇન આર્ટિફેક્ટ્સ કે જે સુરક્ષા નિયંત્રણો (સુરક્ષા પ્રતિરૂપ) કેવી રીતે સ્થિત છે તેનું વર્ણન કરે છે અને તે કેવી રીતે સમગ્ર માહિતી તકનીકી આર્કિટેક્ચર સાથે સંબંધિત છે. આ નિયંત્રણો સિસ્ટમના ગુણવત્તાના લક્ષણોને જાળવવા હેતુ પૂરા પાડે છે. ગુપ્તતા, પ્રામાણિકતા, પ્રાપ્યતા, જવાબદારી અને સેવાઓની ખાતરી".

ટેકઓપેડિયા એ સુરક્ષા આર્કિટેક્ચરને "એક એકીકૃત સુરક્ષા ડિઝાઇન તરીકે વ્યાખ્યાયિત કરે છે જે ચોક્કસ દૃશ્ય અથવા પર્યાવરણમાં આવશ્યક આવશ્યકતાઓ અને સંભવિત જોખમોને સંબોધે છે." સુરક્ષા નિયંત્રણો ક્યારે અને ક્યાં લાગુ પડે છે તે પણ સ્પષ્ટ કરે છે. ડિઝાઇનની પ્રક્રિયા સામાન્ય રીતે પુનઃઉત્પાદિત થાય છે. " સુરક્ષા આર્કિટેક્ચરની મુખ્ય લાક્ષણિકતાઓ આ છે:

  • વિવિધ ઘટકોનો સંબંધ અને તેઓ એક બીજા પર કેવી રીતે નિર્ભર છે.
  • જોખમ મૂલ્યાંકન, સારી પ્રેક્ટિસ, નાણાકીય અને કાનૂની બાબતોના આધારે નિયંત્રણોનું નિર્ધારણ.
  • નિયંત્રણોનું માનકકરણ.


સુરક્ષા પગલાં

[ફેરફાર કરો]

કમ્પ્યુટરની સ્થિતિ "સુરક્ષા" એ વૈચારિક આદર્શ છે, જે ત્રણ પ્રક્રિયાઓના ઉપયોગ દ્વારા પ્રાપ્ત થાય છે: ધમકીની રોકથામ, શોધ અને પ્રતિક્રિયા. આ પ્રક્રિયાઓ વિવિધ નીતિઓ અને સિસ્ટમ ઘટકો પર આધારિત છે, જેમાં નીચેના શામેલ છે:

વપરાશકર્તા ખાતા વપરાશ નિયંત્રણો અને ક્રિપ્ટોગ્રાફી અનુક્રમે સિસ્ટમ્સ ફાઇલો અને ડેટાને સુરક્ષિત કરી શકે છે. ફાયરવૉલ્સ નેટવર્ક સલામતી પરિપ્રેક્ષ્યમાંથી અત્યાર સુધીમાં સૌથી સામાન્ય નિવારણ સિસ્ટમ્સ છે કારણ કે તેઓ (જો યોગ્ય રીતે ગોઠવેલા હોય છે) આંતરિક નેટવર્ક સેવાઓ સુધી ઢાલ ઍક્સેસ કરે છે અને પેકેટ ફિલ્ટરિંગ દ્વારા ચોક્કસ પ્રકારના હુમલાને અવરોધિત કરે છે. ફાયરવૉલ્સ બંને હાર્ડવેર- અથવા સૉફ્ટવેર-આધારિત હોઈ શકે છે.

ઇન્ટ્રુઝન ડિટેક્શન સિસ્ટમ (આઇડીએસ) ઉત્પાદનો નેટવર્ક હુમલાઓને પ્રગતિમાં શોધી કાઢવા માટે અને પોસ્ટ-એટેક ફોરેન્સિક્સમાં સહાય કરવા માટે બનાવવામાં આવ્યા છે, જ્યારે ઑડિટ ટ્રેલ્સ અને લૉગ્સ વ્યક્તિગત સિસ્ટમ્સ માટે સમાન કાર્ય કરે છે.

"પ્રતિભાવ" આવશ્યક રૂપે વ્યક્તિગત સિસ્ટમની આકારણી કરેલ સુરક્ષા આવશ્યકતાઓ દ્વારા વ્યાખ્યાયિત કરવામાં આવે છે અને કાનૂની અધિકારીઓની સૂચના, પ્રતિ-હુમલાઓ અને તેના જેવી સૂચનાઓના રક્ષણના સરળ અપગ્રેડથી શ્રેણીને આવરી લે છે. કેટલાક વિશિષ્ટ કિસ્સાઓમાં, સમાધાનિત સિસ્ટમનું સંપૂર્ણ વિનાશ તરફેણ કરવામાં આવે છે, કેમ કે તે બની શકે છે કે તમામ સમાધાન થયેલા સંસાધનો શોધી શકાતા નથી.

આજે, કમ્પ્યુટર સુરક્ષામાં મુખ્યત્વે "નિવારક" પગલાં છે, જેમ કે ફાયરવૉલ્સ અથવા બહાર નીકળવાની પ્રક્રિયા. ફાયરવૉલને યજમાન અથવા નેટવર્ક વચ્ચે નેટવર્ક ડેટા ફિલ્ટર કરવાના માર્ગ તરીકે વ્યાખ્યાયિત કરી શકાય છે અને અન્ય નેટવર્ક, જેમ કે ઇન્ટરનેટ, અને નેટવર્ક પર ચાલતા સૉફ્ટવેર તરીકે નેટવર્ક લાગુ થઈ શકે છે, નેટવર્ક સ્ટૅકમાં (અથવા, કિસ્સામાં) રીઅલ-ટાઇમ ફિલ્ટરિંગ અને અવરોધિત કરવા માટે, લિનક્સ જેવી મોટાભાગની યુનિક્સ-આધારિત ઑપરેટિંગ સિસ્ટમ્સ, ઑપરેટિંગ સિસ્ટમ કર્નલમાં બનેલી છે). અન્ય અમલીકરણ કહેવાતા "ભૌતિક ફાયરવોલ" છે, જેમાં એક અલગ મશીન ફિલ્ટરિંગ નેટવર્ક ટ્રાફિક છે. ફાયરવૉલ્સ એવી મશીનોમાં સામાન્ય છે જે ઇન્ટરનેટથી કાયમી રૂપે જોડાયેલી હોય છે.

કેટલાક સંગઠનો અદ્યતન સતત ધમકીઓને શોધવા માટે ડેટા ઍક્સેસિબિલિટી અને મશીન લર્નિંગ વધારવા માટે અપાચે હડોપ જેવા મોટા ડેટા પ્લેટફોર્મ્સ તરફ વળ્યા છે.

જો કે, પ્રમાણમાં થોડા સંગઠનો અસરકારક શોધ સિસ્ટમો સાથે કમ્પ્યુટર સિસ્ટમ્સને જાળવી રાખે છે, અને હજુ પણ ઓછા સ્થાને પ્રતિભાવ પ્રણાલીઓ છે. પરિણામે, જેમ જેમ રાયટર્સ જણાવે છે: "પ્રથમ વખત કંપનીઓએ જાણ કરી હતી કે તેઓ સંપત્તિની ભૌતિક ચોરી કરતા ડેટાના ઇલેક્ટ્રોનિક ચોરી દ્વારા વધુ ગુમાવતા હોય છે." સાયબર ગુનાને અસરકારક રીતે નાબૂદ કરવામાં પ્રાથમિક અવરોધ ફાયરવૉલ અને અન્ય સ્વયંસંચાલિત "શોધ" સિસ્ટમ્સ પર અતિરિક્ત વિશ્વાસ માટે શોધી શકાય છે. તેમ છતાં, તે પૅકેટ કેપ્ચર ઉપકરણોનો ઉપયોગ કરીને મૂળભૂત પુરાવા એકત્ર કરે છે જે ગુનેગારોને સળિયાની પાછળ રાખે છે.

નબળાઈ વ્યવસ્થાપન

[ફેરફાર કરો]

નબળાઈ વ્યવસ્થાપન નબળાઈઓની ઓળખ, અને ઉપચાર અથવા ઘટાડવાની ચક્ર છે, ખાસ કરીને સૉફ્ટવેર અને ફર્મવેરમાં. નબળાઈ વ્યવસ્થાપન કમ્પ્યુટર સુરક્ષા અને નેટવર્ક સલામતી માટે એકીકૃત છે.નબળાઈઓ સારા સ્કેનરની મદદથી શોધી શકાય છે, જે જાણીતી નબળાઈઓની શોધમાં કમ્પ્યુટર સિસ્ટમનું વિશ્લેષણ કરે છે, જેમ કે ઓપન પોર્ટ્સ, અસુરક્ષિત સૉફ્ટવેર ગોઠવણી અને મૉલવેરની સંવેદનશીલતા વિગેરેનુ વિશ્લેષણ કરી તેની નબળાઈઓ (જો હોય તો) છતી કરે છે.

નબળાઈઓ નિવારણ

[ફેરફાર કરો]

બે પરિબળ પ્રમાણીકરણ સિસ્ટમ અથવા સંવેદનશીલ માહિતીના અનધિકૃત ઍક્સેસને ઘટાડવા માટેની એક પદ્ધતિ છે. તે "તમે જાણો છો તે કંઈક" આવશ્યક છે; પાસવર્ડ અથવા પિન અને "તમારી પાસે કંઈક છે"; કાર્ડ, ડોંગલ, સેલફોન અથવા હાર્ડવેરના અન્ય ભાગ. આનાથી સલામતી વધે છે કારણ કે એક અનધિકૃત વ્યક્તિને બંનેને ઍક્સેસ મેળવવાની જરૂર છે.

સોશિયલ એન્જિનિયરિંગ અને ડાયરેક્ટ કમ્પ્યુટર એક્સેસ હુમલાઓ નોન-કમ્પ્યુટર માધ્યમોથી જ અટકાવી શકાય છે, જે માહિતીની સંવેદનશીલતાને સંબંધિત લાગુ પાડવા માટે મુશ્કેલ હોઈ શકે છે. તાલીમ આ જોખમ ઘટાડવા માટે ઘણીવાર સામેલ છે, પરંતુ અત્યંત શિસ્તબદ્ધ વાતાવરણમાં (દા.ત. સૈન્ય સંગઠનો), સામાજિક ઇજનેરી હુમલાઓ હજી પણ અવગણવા અને અટકાવવા મુશ્કેલ હોઈ શકે છે.

સુરક્ષા સ્કેનર અથવા / અને સલામતી માટે જવાબદાર સક્ષમ લોકોને ભાડે રાખીને સુરક્ષા પેચો અને અપડેટ્સ સાથે સિસ્ટમને અદ્યતન રાખીને હુમલાખોરની તકોને ઘટાડી શકાય છે. સાવચેતી પૂર્વક કરેલુ બેકઅપ અને વીમા દ્વારા ડેટા નુકસાન / નુકસાનની અસરો ઘટાડી શકાય છે.

હાર્ડવેર સુરક્ષા પધ્ધતિઓ

[ફેરફાર કરો]