टीका
रक्षात्मक सुरक्षा तकनीकें अक्सर आक्रामक हमले की रणनीति में पिछड़ जाती हैं, जिससे कंपनियों को तेजी से विकसित होने वाले खतरों से खतरा बढ़ जाता है। यह अक्सर विनाशकारी उल्लंघनों की आवृत्ति की व्याख्या करता है: सुरक्षा रणनीतियाँ शायद ही कभी नए खतरों के साथ (या उनकी प्रत्याशा में) विकसित होती हैं।
एक चिंताजनक मामला हेल्प डेस्क का है, जो आज के सबसे उजागर संगठनात्मक अकिलीज़ में से एक है। हेल्प डेस्क पर हमले साइबर अपराधियों द्वारा एक स्पष्ट आक्रामक खेल है: दुर्भावनापूर्ण अभिनेता चाहते हैं कि क्रेडेंशियल नेटवर्क में प्रवेश करें और पार्श्व में आगे बढ़ें, और पासवर्ड लॉकआउट, खोए हुए डिवाइस आदि का अनुभव करने वाले उपयोगकर्ताओं को क्रेडेंशियल और आईटी उपकरण देने में डेस्क की मदद करें। हेल्प डेस्क से समझौता करने से हमलावरों को संवेदनशील जानकारी तक पहुंच मिल सकती है जो कंपनी के अतिरिक्त उल्लंघनों को बढ़ावा दे सकती है। तो, इसका कारण यह है कि हेल्प डेस्क हमलों के लिए तैयार है।
जबकि कई कंपनियां नेटवर्क परिधि, अंतिम उपयोगकर्ताओं, ईमेल और जोखिम की लगभग हर सीमा को सुरक्षित करने का सख्ती से प्रयास करती हैं, सहायता डेस्क अक्सर इस मिश्रण में खो जाती है। कई कंपनियों के पास उन कर्मचारियों की पहचान को मान्य करने की कोई प्रक्रिया नहीं है जो अपने उपकरणों और डेटा तक पहुंचने में सहायता के लिए हेल्प डेस्क से संपर्क करते हैं। कई हेल्प डेस्क आउटसोर्स किए गए हैं (और शायद देश में भी नहीं हैं), और कई शायद ही कभी उपयोगकर्ता से उनके नाम के अलावा कोई सत्यापन मांगते हैं। यहां तक कि उपयोगकर्ता सत्यापन प्रक्रियाओं वाले लोगों के पास भी प्रोटोकॉल में बहुत कम मानकीकरण है। कुछ लोग उपयोगकर्ताओं से बुनियादी जानकारी पूछते हैं, जैसे जन्मतिथि या पता; अन्य लोग कार्य ईमेल पते या कार्यालय फ़ोन एक्सटेंशन मांगते हैं। इस प्रकार की जानकारी हैकर्स द्वारा उल्लंघनों या सामान्य हैकिंग तकनीकों के माध्यम से आसानी से प्राप्त की जा सकती है।
हेल्प डेस्क प्रक्रियाएं खतरे की सतह के अन्य क्षेत्रों पर लागू सुरक्षा कठोरता से बच गई हैं। इसलिए, यह अनुमान लगाया जा सकता है कि हेल्प डेस्क खतरे वाले अभिनेताओं का फोकस बन गए हैं। इससे भी बुरी बात यह है कि रक्षात्मक रणनीति में प्रत्याशित प्रगति के मुकाबले हमलावर जनरेटिव आर्टिफिशियल इंटेलिजेंस (एआई) टूल का इस्तेमाल करते हुए इससे एक कदम आगे बढ़ रहे हैं।
एआई-आधारित हेल्प डेस्क हमले की रणनीति सुर्खियों में है
सहायता केंद्र सोशल इंजीनियरिंग हमले एक हैं सामान्य वेक्टर उल्लंघनों और रैंसमवेयर हमलों के लिए जिनके विनाशकारी परिणाम हो सकते हैं। सोशल इंजीनियरिंग पर हमला करने के लिए आवश्यक अधिकांश जानकारी आसानी से उपलब्ध है: लिंक्डइन जैसी सोशल मीडिया साइटें कर्मचारियों के बारे में उनके नाम, पद और कार्यालय स्थान सहित ढेर सारी जानकारी प्रदान करती हैं। उदाहरण के लिए, लैक्स हेल्प-डेस्क सत्यापन प्रक्रियाएं हमलावरों के लिए पासवर्ड रीसेट का अनुरोध करने वाले कर्मचारियों का रूप धारण करना आसान बनाती हैं।
हालाँकि छोटी कंपनियाँ और ऑनसाइट हेल्प डेस्क वाले लोग कर्मचारियों की आवाज़ पहचानने की अधिक संभावना रखते हैं, लेकिन डीपफेक उन्हें परेशान कर सकते हैं। वहाँ हैं ओपन सोर्स टूल उपलब्ध हैं ऑडियो-सत्यापन नियंत्रणों को बायपास करने के लिए लाइव, डीपफेक ऑडियो बनाने के लिए। वे भी हैं एआई-आधारित डीपफेक वीडियो टूल यह उन संगठनों को धोखा दे सकता है जो एक कदम आगे जाकर उपयोगकर्ता के दृश्य सत्यापन का अनुरोध करते हैं। कंपनी के शीर्ष नेता और सार्वजनिक रूप से बोलने वाले अन्य लोग डीपफेक प्रतिरूपण के संभावित लक्ष्य हैं, क्योंकि उनकी आवाज और वीडियो छवियां अक्सर ऑनलाइन उपलब्ध होती हैं।
हेल्प डेस्क को सोशल इंजीनियरिंग से कैसे बचाएं
पासवर्ड रीसेट करने या क्रेडेंशियल जारी करने से पहले किसी कर्मचारी की पहचान को सत्यापित करने के लिए मजबूत हेल्प-डेस्क प्रक्रियाएं बनाना आवश्यक है। कुछ सिफ़ारिशों में शामिल हैं:
-
लेकिन सभी तक पहुंच से इनकार करें कंपनी द्वारा सत्यापित या कंपनी द्वारा जारी किए गए उपकरण कॉर्पोरेट संसाधनों या अनुप्रयोगों के लिए. सुनिश्चित करें कि नेटवर्क तक पहुंच रखने वाला कोई भी उपकरण सुरक्षा के लिए उचित रूप से जांचा गया है और सुरक्षा सर्वोत्तम प्रथाओं का पालन कर रहा है।
-
जब कोई उपयोगकर्ता अनुरोध प्राप्त होता है, तो आईटी को उपयोगकर्ता की पहचान सत्यापित करने के लिए उनके विश्वसनीय, पंजीकृत डिवाइस पर कॉल करना चाहिए।
-
सिम-स्वैपिंग हमलों के जोखिम को कम करने के लिए विश्वसनीय डिवाइस पर मल्टीफैक्टर प्रमाणीकरण (एमएफए) एप्लिकेशन - एसएमएस या ईमेल नहीं - का उपयोग करके प्रमाणीकरण पुश जारी करें; उपयोगकर्ता को कोड को ज़ोर से पढ़ने और "स्वीकार करें" दबाने के लिए कहें।
-
उपयोगकर्ता के डिवाइस के सीरियल नंबर का अनुरोध करें, और नंबर को मान्य करें।
-
स्मार्टफोन प्रतिस्थापन अनुरोधों के लिए, यदि उपयोगकर्ता एक नया स्मार्टफोन खरीद रहा है और इसे अधिकृत या पंजीकृत कराना चाहता है, तो उन्हें आईटी को पहले से सूचित करना चाहिए। जब आईटी को पता चलता है कि यह एक नियोजित घटना है, तो वह परिवर्तन को मान्य करने के लिए चुने हुए एमएफए एप्लिकेशन से प्रमाणीकरण पुश जारी कर सकता है।
-
पासवर्ड रीसेट के लिए, एक बार जब उपयोगकर्ता उपरोक्त चरणों का उपयोग करके मान्य हो जाता है, तो सुझाई गई नीति है:
-
सक्रिय निर्देशिका खाते को समायोजित करें ताकि पासवर्ड अस्थायी रूप से "कभी समाप्त न हो" पर सेट हो जाए।
-
उपयोगकर्ता को अपने अंतिम पासवर्ड का उपयोग करने के लिए निर्देशित करें और फिर निर्धारित पासवर्ड परंपराओं का उपयोग करके एक नए पासवर्ड पर रीसेट करें।
-
सक्रिय निर्देशिका को मानक पासवर्ड समाप्ति नीतियों पर रीसेट करें।
-
आईटी को कभी भी उपयोगकर्ता के पासवर्ड नहीं पता होने चाहिए।
-
-
उन मुद्दों के लिए जहां आप एमएफए पुश नहीं भेज सकते हैं, उपयोगकर्ता को उनकी सरकार द्वारा जारी आईडी और उनके कंप्यूटर और उसके सीरियल नंबर को प्रदर्शित करते हुए एक वीडियो कॉल शुरू करें।
-
सुनिश्चित करें कि पासवर्ड, क्रैश डंप और सत्र टोकन जैसे संवेदनशील डेटा सर्विस डेस्क प्लेटफ़ॉर्म में नहीं बचे हैं।
लड़ने लायक कभी न ख़त्म होने वाली लड़ाई
हेल्प डेस्क हैकर के दृष्टिकोण से भेद्यता की एक स्पष्ट रेखा है। उन्हें उसी फोकस और सुरक्षा की परतों के साथ संरक्षित करना महत्वपूर्ण है जिसे आप उद्यम में किसी अन्य खतरे की सतह पर लागू करेंगे।
- एसईओ संचालित सामग्री और पीआर वितरण। आज ही प्रवर्धित हो जाओ।
- प्लेटोडेटा.नेटवर्क वर्टिकल जेनरेटिव एआई। स्वयं को शक्तिवान बनाएं। यहां पहुंचें।
- प्लेटोआईस्ट्रीम। Web3 इंटेलिजेंस। ज्ञान प्रवर्धित। यहां पहुंचें।
- प्लेटोईएसजी. कार्बन, क्लीनटेक, ऊर्जा, पर्यावरण, सौर, कचरा प्रबंधन। यहां पहुंचें।
- प्लेटोहेल्थ। बायोटेक और क्लिनिकल परीक्षण इंटेलिजेंस। यहां पहुंचें।
- स्रोत: https://www.darkreading.com/cyberattacks-data-breaches/8-strategies-defending-against-help-desk-attacks
- :हैस
- :है
- :नहीं
- :कहाँ
- $यूपी
- 10
- 12
- 7
- 8
- 9
- a
- About
- ऊपर
- स्वीकार करें
- पहुँच
- तक पहुँचने
- लेखा
- सक्रिय
- सक्रिय निर्देशिका
- अभिनेताओं
- अतिरिक्त
- पता
- पतों
- पालन
- उन्नत
- अग्रिमों
- के खिलाफ
- AI
- सब
- लगभग
- an
- और
- प्रत्याशित
- प्रत्याशा
- कोई
- आवेदन
- अनुप्रयोगों
- लागू
- लागू करें
- हैं
- क्षेत्रों के बारे में जानकारी का उपयोग करके ट्रेडिंग कर सकते हैं।
- कृत्रिम
- कृत्रिम बुद्धिमत्ता
- कृत्रिम बुद्धिमत्ता (AI)
- AS
- पूछना
- सहायता
- आक्रमण
- आक्रमण
- ऑडियो
- प्रमाणीकरण
- अधिकृत
- उपलब्ध
- बुनियादी
- लड़ाई
- BE
- बन
- किया गया
- से पहले
- BEST
- सर्वोत्तम प्रथाओं
- परे
- जन्म
- उल्लंघनों
- लेकिन
- by
- उपमार्ग
- कॉल
- कर सकते हैं
- नही सकता
- मामला
- परिवर्तन
- करने के लिए चुना
- चक्र
- कोड
- सामान्य
- कंपनियों
- कंपनी
- समझौता
- कंप्यूटर
- Consequences
- संपर्क करें
- नियंत्रण
- कन्वेंशनों
- कॉर्पोरेट
- देश
- Crash
- बनाना
- साख
- साइबर अपराधी
- तिथि
- तारीख
- deepfakes
- का बचाव
- बचाव
- डेस्क
- डेस्क
- भयानक
- युक्ति
- डिवाइस
- प्रदर्शित
- आसानी
- आसान
- ईमेल
- ईमेल
- कर्मचारी
- कर्मचारियों
- समाप्त
- अभियांत्रिकी
- सुनिश्चित
- उद्यम
- उपकरण
- आवश्यक
- और भी
- कार्यक्रम
- प्रत्येक
- विकसित करना
- उद्विकासी
- उदाहरण
- सामना
- समाप्ति
- बताते हैं
- उजागर
- एक्सटेंशन
- फोकस
- के लिए
- आवृत्ति
- से
- सीमांत
- ईंधन
- आगे
- उत्पादक
- मिल
- देना
- Go
- हैकर
- हैकर्स
- हैकिंग
- है
- बढ़
- मदद
- HTTPS
- नायक
- ID
- पहचान
- पहचान
- if
- छवियों
- महत्वपूर्ण
- in
- शामिल
- सहित
- करें-
- आरंभ
- बुद्धि
- मुद्दा
- मुद्दों
- जारी
- IT
- आईटी इस
- जेपीजी
- जानना
- जानता है
- पिछली बार
- परतों
- नेतृत्व
- नेताओं
- बाएं
- पसंद
- संभावित
- लाइन
- लिंक्डइन
- थोड़ा
- जीना
- स्थानों
- खोया
- बनाना
- दुर्भावनापूर्ण
- बहुत
- मई..
- मीडिया
- एमएफए
- कम से कम
- मिश्रण
- अधिक
- अधिकांश
- चाल
- बहुत
- मल्टीकॉलर प्रमाणीकरण
- नाम
- नामों
- जरूरत
- नेटवर्क
- नेटवर्क
- कभी नहीँ
- नया
- नहीं
- संख्या
- स्पष्ट
- of
- अपमानजनक
- Office
- अक्सर
- on
- एक बार
- ONE
- ऑनलाइन
- उद्घाटन
- or
- संगठनात्मक
- संगठनों
- अन्य
- अन्य
- पासवर्ड
- पासवर्ड
- फ़ोन
- की योजना बनाई
- मंच
- प्लेटो
- प्लेटो डेटा इंटेलिजेंस
- प्लेटोडाटा
- प्ले
- बिन्दु
- पॉइंट ऑफ व्यू
- नीतियाँ
- नीति
- पदों
- प्रथाओं
- उम्मीद के मुताबिक
- प्रक्रिया
- प्रक्रिया
- प्रक्रियाओं
- अच्छी तरह
- रक्षा करना
- सुरक्षा
- प्रोटोकॉल
- प्रदान करना
- सार्वजनिक रूप से
- क्रय
- धक्का
- Ransomware
- रैंसमवेयर अटैक
- तेजी
- शायद ही कभी
- पढ़ना
- कारण
- प्राप्त
- पहचान
- सिफारिशें
- पंजीकृत
- प्रतिस्थापन
- का अनुरोध
- बिनती करना
- अनुरोधों
- उपयुक्त संसाधन चुनें
- जोखिम
- मजबूत
- s
- वही
- सुरक्षित
- सुरक्षा
- भेजें
- संवेदनशील
- धारावाहिक
- सेवा
- सत्र
- सेट
- चाहिए
- साइटें
- छोटे
- स्मार्टफोन
- एसएमएस
- So
- सोशल मीडिया
- सोशल इंजीनियरिंग
- सोशल मीडिया
- कुछ
- स्रोत
- बोलना
- मानक
- मानकीकरण
- खड़ा
- कदम
- कदम
- रणनीतियों
- ऐसा
- सतह
- युक्ति
- ले जा
- अग्रानुक्रम
- लक्ष्य
- तकनीक
- कि
- RSI
- जानकारी
- लेकिन हाल ही
- उन
- फिर
- वहाँ।
- इन
- वे
- इसका
- उन
- हालांकि?
- धमकी
- खतरों के खिलाड़ी
- धमकी
- यहाँ
- सेवा मेरे
- आज
- टोकन
- उपकरण
- ऊपर का
- यात्रा
- विश्वस्त
- कोशिश
- प्रकार
- उपयोग
- उपयोगकर्ता
- उपयोगकर्ताओं
- का उपयोग
- सत्यापित करें
- मान्य
- मान्य
- सत्यापन
- सत्यापित
- इसका निरीक्षण किया
- वीडियो
- देखें
- दृश्य
- आवाज़
- आवाज
- भेद्यता
- वेतन
- करना चाहते हैं
- चाहता है
- धन
- कब
- कौन
- साथ में
- काम
- बदतर
- लायक
- होगा
- इसलिए आप
- जेफिरनेट