आशेर डी मेट्ज़ एक सुपरमार्केट के सामने के दरवाजों से गुज़रे। एक पुन: प्रयोज्य शॉपिंग टोट के स्थान पर उसकी तरफ लटका हुआ एक अलग लैपटॉप बैग था। डी मेट्ज़ किराने के सामान की खरीदारी नहीं कर रहे थे - यह एक ब्रेक-इन था। लेकिन न तो एवोकाडो -निरीक्षण करने वाले खरीदार और न ही क्रेडिट-कार्ड स्वाइप करने वाले कैशियर को एहसास हुआ कि वे हमले में थे।
डी मेट्ज़ स्टोर के माध्यम से चला गया और कंप्यूटर पर लोगों के साथ एक कमरा मिला। यह एक प्रशिक्षण सत्र था। घुलने-मिलने के लिए बिल्कुल सही जगह। इसलिए, वह बैठ गया और एक मशीन को हाईजैक कर लिया ।
"मैं बस गया और मशीनों में से एक के पीछे से केबल को अनप्लग कर दिया और इसे अपने लैपटॉप में प्लग कर दिया," डी मेट्ज़ कहते हैं। "मैं थोड़ी देर के लिए हैकिंग कर रहा था और उस कमरे से बहुत जल्दी सिस्टम और डेटाबेस तक पहुंच प्राप्त कर ली।"
एक 'हैकर' के गर्म पीछा में
इसके तुरंत बाद, ट्रेनर ने डी मेट्ज़ से संपर्क किया। वह विनम्र थी लेकिन उसके बारे में अनिश्चित थी। "मैं प्रधान कार्यालय से हूँ," डी मेट्ज़ ने समझाया, कुछ अद्यतन स्थापित करने के लिए, उन्होंने उसे बताया। कहानी ने उसे कुछ मिनटों के लिए खुश किया, लेकिन उसने अपने पर्यवेक्षक में लूप करने का फैसला किया।
तभी डी मेट्ज़ को लगा कि यह बाहर निकलने का समय है। "मैंने सब कुछ बंद कर दिया और छोड़ना शुरू कर दिया," डी मेट्ज़ याद करते हैं, लेकिन ट्रेनर उसकी पूंछ पर गर्म था। "मैंने सीढ़ी ली और दुर्भाग्य से, जैसे ही मैंने दरवाजा खोला, अलार्म बंद हो गया।"
सुरक्षा अलार्म बजने के साउंडट्रैक का पीछा करना जारी रखा और एक अंतिम कर्कश अर्धचंद्राकार के रूप में ट्रेनर दुकान के पार चिल्लाया, "वह है! वह आदमी है!" एक अन्य सुपरमार्केट कर्मचारी ने डी मेट्ज़ से संपर्क किया, लेकिन डी मेट्ज़ तैयार था। उसके पास एक मनगढ़ंत वर्क ऑर्डर वाला मनीला फोल्डर था।
उसने उन्हें बताया कि वह कॉर्पोरेट से है और स्टोर के सिस्टम में एक गंभीर हैक हो गया है। "क्या आप जानते हैं कि कल रात आपके नेटवर्क में सेंध लगी थी? लाखों की चोरी हुई थी।" "नहीं," पर्यवेक्षक ने कहा। "मुझे नहीं पता था।" यह जोड़ी गंभीर साइबर सुरक्षा उल्लंघन के कारण किसी भी तरह की गड़बड़ी से बचने के लिए, उस दोपहर बाद में कॉल करने के लिए सहमत हुई।
सुपरमार्केट मैनेजर को दी मेट्ज़ की कहानी का एक हिस्सा सच था; उसे सुपरमार्केट में रहने के लिए किराए पर लिया गया था - सुपरमार्केट के नेतृत्व द्वारा। हालांकि, एकमात्र हैक जो हुआ था वह था एक डी मेट्ज़ ने खुद किया था, और उसने एक पैसा भी नहीं चुराया था। उसे यह देखने के लिए काम पर रखा गया था कि वह सुपरमार्केट के सिस्टम को कितनी दूर तक हैक कर सकता है। और इस मामले में वह काफी आगे निकल गए। अब उनके पास नेतृत्व टीम के साथ साझा करने के लिए कुछ उपयोगी जानकारी थी कि कैसे कर्मचारियों और ग्राहकों के लिए उनकी सुरक्षा को अधिक प्रभावी और सुरक्षित बनाया जाए।
व्यवसाय हैक होने के लिए भुगतान क्यों करते हैं
डी मेट्ज़ वैश्विक आईटी सेवा प्रबंधन कंपनी सनगार्ड उपलब्धता सेवाओं में सुरक्षा परामर्श वरिष्ठ प्रबंधक हैं । उनके पास एक पैठ परीक्षक के रूप में 20 से अधिक वर्षों का अनुभव है - जिसे वे कहते हैं - और उन्होंने पूरे यूके, यूरोप, मध्य पूर्व और उत्तरी अमेरिका में दुनिया की कुछ सबसे बड़ी कंपनियों को अमूल्य सलाह प्रदान की है।
डी मेट्ज़ कहते हैं, "कंपनियों के प्रवेश परीक्षण का कारण यह है कि वे नहीं जानते कि वे क्या नहीं जानते हैं। आपके पास एक महान आंतरिक आईटी या सुरक्षा टीम हो सकती है जो पैकेज स्थापित कर रही है और सिस्टम को सुरक्षित करने की कोशिश कर रही है, लेकिन जब तक आपको वहां एक हैकर मिलता है जो खुदाई कर रहा है और उन चीजों को कर रहा है जो उन्हें करने में सक्षम नहीं होना चाहिए, उन जोखिमों को खोजने के लिए जिन्हें लोगों ने याद किया है, कंपनियों को नहीं पता कि उनके जोखिम क्या हैं।"
डी मेट्ज़ का लक्ष्य बुरे लोगों के सामने कमजोरियों का पता लगाना है - सभी आकारों के व्यवसायों के लिए एक बढ़ता हुआ खतरा। आईबीएम सुरक्षा द्वारा प्रायोजित 2017 कॉस्ट ऑफ डेटा ब्रीच स्टडी के अनुसार , हर साल 60 प्रतिशत छोटे और मध्यम व्यवसायों पर हमला किया जाता है। इससे भी बुरी बात यह है कि उन व्यवसायों में से 60 प्रतिशत ने हमले के छह महीने के भीतर अपने दरवाजे बंद कर लिए। एकल उल्लंघन की औसत वैश्विक लागत $3.62 मिलियन है।
लेकिन खबर बदतर हो जाती है। चेक प्वाइंट सॉफ्टवेयर टेक्नोलॉजीज के शोध के अनुसार, 2021 के पहले छह महीनों में, रैंसमवेयर हमलों से प्रभावित व्यवसायों की संख्या - जहां दुर्भावनापूर्ण सॉफ़्टवेयर स्थापित हैं, जो "फिरौती" का भुगतान करने तक नेटवर्क तक पहुंच को अवरुद्ध करते हैं - 2020 की तुलना में दोगुने से अधिक । . और FireEye की मैंडिएंट एम-ट्रेंड्स 2021 की रिपोर्ट में 800 जबरन वसूली के प्रयास पाए गए, जहां 1 अक्टूबर, 2019 और 30 सितंबर, 2020 के बीच कंपनी का डेटा चुराया गया था।
दांव बहुत ऊंचे हैं
यही कारण है कि अधिक से अधिक संगठन प्रवेश परीक्षकों को काम पर रख रहे हैं, जिन्हें व्हाइट-हैट हैकर्स (20 वीं शताब्दी के मध्य में पश्चिमी फिल्म प्रतीकवाद के लिए एक शाब्दिक टोपी टिप) के रूप में भी जाना जाता है, जैसे डी मेट्ज़ उद्देश्य पर अपने सिस्टम में सेंध लगाने के लिए।
"यह एक बीमा पॉलिसी की तरह है। अगर कंपनियां अब सुरक्षा पर पैसा खर्च करती हैं, तो यह उन्हें $ 10 या $ 100 मिलियन से बचाती है, अगर उनका उल्लंघन होता है तो उन्हें इसकी कीमत चुकानी पड़ेगी," डी मेट्ज़ बताते हैं। "अगर वे अपने रैंसमवेयर का मूल्यांकन करवाते हैं और वे खुद को टीका लगाते हैं, उदाहरण के लिए, यह कंपनियों के महीनों के सिरदर्द और राजस्व को व्यापार करने में सक्षम नहीं होने से बचाता है।"
संगठन हैक होने के लिए भुगतान करने का दूसरा कारण यह सुनिश्चित करना है कि वे मजबूत नियामक मानकों को पूरा करते हैं। स्वास्थ्य देखभाल, वित्तीय संगठनों और सरकारी संस्थानों, दूसरों के बीच, संघीय, राज्य और उद्योग साइबर सुरक्षा नियमों को पूरा करना चाहिए , क्योंकि हैकिंग अधिक सामान्य और अधिक महंगी हो जाती है।
साइबर सुरक्षा शारीरिक और तकनीकी है
जब लोग हैकिंग के बारे में सोचते हैं, तो वे आम तौर पर एक अकेले रेंजर के बारे में सोचते हैं जो अपनी माँ के अंधेरे तहखाने की सुरक्षा से कंपनी के निजी डेटा पर हमला करता है। हालांकि, पैठ परीक्षक किसी संगठन के सुरक्षा कार्यक्रम के भौतिक और तकनीकी दोनों पहलुओं को देखते हैं, इसलिए वे संगठन के अंदर से ही हैक कर लेते हैं।
"कंपनियां मेज पर कुछ भी नहीं छोड़ना चाहती हैं, जो मुद्रा की कमजोरी का हिस्सा हो सकता है," डी मेट्ज़ कहते हैं। "हम भौतिक नियंत्रणों का परीक्षण करते हैं; क्या हम किसी भवन तक पहुंच प्राप्त कर सकते हैं, पिछली सुरक्षा प्राप्त कर सकते हैं, पिछले दरवाजे से जा सकते हैं? क्या हम भौतिक फाइलों तक पहुंच प्राप्त कर सकते हैं? क्या हम उन क्षेत्रों में पहुंच सकते हैं जहां कंपनियां क्रेडिट कार्ड या उपहार कार्ड प्रिंट करती हैं?" ये महत्वपूर्ण, भौतिक चीजें हैं जो डी मेट्ज़ बताते हैं, तकनीकी पक्ष के अलावा, जैसे नेटवर्क या संवेदनशील डेटा तक पहुंचना।
वह सलाह भी प्रदान करता है, जैसे कर्मचारी प्रशिक्षण कार्यक्रमों के लिए सिफारिशें, ताकि पर्यवेक्षक जैसे लोग जो उनसे मिले, वे जानते हैं कि भवन में रहने वाले लोगों को कैसे सत्यापित किया जाए। या, अगर वे किसी को नहीं पहचानते हैं तो क्या करें (भले ही यह एक अच्छी कहानी के लिए एक स्टोर-व्यापी खोज शुरू करने के बजाय)। "हमें ऐसा करने में बहुत मज़ा आता है, लेकिन हम क्लाइंट को बहुत अधिक मूल्य भी प्रदान करते हैं।"
प्रवेश परीक्षण कैसे काम करता है
प्रवेश परीक्षकों को प्रौद्योगिकी का विस्तृत ज्ञान होना चाहिए, और यह अनुभव के साथ आता है, न कि केवल फैंसी उपकरण। "प्रवेश परीक्षण तकनीक के साथ समझ और बातचीत कर रहा है - जिस तरह से तकनीक को काम करना चाहिए। यह एक पद्धति है और शायद इसके लिए एक उपकरण संरेखित कर रहा है, लेकिन यह केवल स्क्रिप्ट या टूल के बारे में नहीं है।"
एक बार जब डी मेट्ज़ एक सिस्टम के अंदर होता है, तो वह तीन चीजों की तलाश करता है: वह कहां लॉग इन कर सकता है, कौन से सॉफ्टवेयर संस्करण उपयोग में हैं और क्या सिस्टम सही तरीके से कॉन्फ़िगर किए गए हैं। "क्या हम पासवर्ड का अनुमान लगा सकते हैं? क्या हम लॉगिन तक पहुंचने का कोई अन्य तरीका ढूंढ सकते हैं? हो सकता है कि सॉफ़्टवेयर पुराना हो और कोई शोषण हो, इसलिए हम इसके खिलाफ कुछ रैंसमवेयर कोड का उपयोग करने की कोशिश करते हैं और सिस्टम तक पहुंच प्राप्त करने का प्रयास करते हैं," वह कहते हैं। "ऑडिट में कुछ चीजें पाई जा सकती हैं, लेकिन हम ऐसी चीजें भी ढूंढ रहे हैं जिनके बारे में [संगठन] ने सोचा नहीं है।"
पेनेट्रेटिंग नेटवर्क ऑडिट की तुलना में अधिक गहरा होता है, और यह एक महत्वपूर्ण अंतर है। एक ऑडिट पूछता है, क्या सुरक्षा कार्यक्रम का पालन किया जा रहा है? प्रवेश परीक्षण पूछता है, क्या कार्यक्रम काम कर रहा है?
प्रवेश परीक्षक इसे सुरक्षा रणनीति के विहंगम दृष्टि से देखते हैं। समस्या पुराने सॉफ़्टवेयर जितनी सरल नहीं हो सकती है, लेकिन एक संपूर्ण सुरक्षा रणनीति है जिसमें सुधार की आवश्यकता है। डी मेट्ज़ को यही पता चलता है।
कई छोटे और मध्यम आकार के व्यवसाय अच्छी तरह से स्थापित सुरक्षा बुनियादी ढांचे को निधि देने के लिए संघर्ष करते हैं। फिर भी, व्यक्तिगत डेटा के लिए जिम्मेदार संगठनों के साथ व्हाइट-हैट हैकिंग अधिक लोकप्रिय हो रही है, जैसे कि फेसबुक, जो अपने सिस्टम में कमजोरियों को खोजने के लिए अपने बग बाउंटी प्रोग्राम के माध्यम से व्हाइट-हैट हैकर्स को प्रोत्साहित करने के लिए जाना जाता है।
डी मेट्ज़ ने प्रवेश परीक्षण की अपनी कुछ सबसे नाटकीय कहानियों के साथ पॉडकास्ट पर भी बात की है। उनका लक्ष्य दुगना है: जंगली कहानियों के साथ श्रोताओं का मनोरंजन करना, लेकिन इससे भी महत्वपूर्ण बात यह है कि पैठ परीक्षण के मूल्य को उजागर करना - और अगर कंपनियां ऐसा नहीं करती हैं तो क्या दांव पर लगा है। आप उन्हें कभी नहीं देख सकते हैं, कभी नहीं जानते कि वे वहां हैं, लेकिन पैठ परीक्षक व्यवसायों को सुरक्षित रखने में मदद करते हैं, और आपके जैसे ग्राहक भी सुरक्षित होते हैं।
अब यह दिलचस्प है
ब्लैक- एंड व्हाइट-हैट हैकर्स केवल बिजनेस सिस्टम को हैक करने वाले नहीं हैं। "ग्रे हैट" हैकर बिना अनुमति के कमजोरियों को प्रकट करने के लिए सिस्टम में सेंध लगाकर "अच्छे और बुरे" हैकिंग के बीच की रेखाओं को धुंधला कर देते हैं, और फिर कभी-कभी समस्याओं को ठीक करने के लिए छोटी फीस का अनुरोध करते हैं।