2023 දී Cloud Security Threats
අපි 2023 හරහා ගමන් කරන විට, ඔබේ සංවිධානයට බලපෑම් කළ හැකි ඉහළම වලාකුළු ආරක්ෂණ තර්ජන පිළිබඳව දැනුවත් වීම වැදගත් වේ. 2023 දී, වලාකුළු ආරක්ෂණ තර්ජන අඛණ්ඩව පරිණාමය වී වඩාත් සංකීර්ණ වනු ඇත.
2023 දී සලකා බැලිය යුතු දේවල් ලැයිස්තුවක් මෙන්න:
1. ඔබේ යටිතල පහසුකම් දැඩි කිරීම
ඔබේ වලාකුළු යටිතල ව්යුහය ආරක්ෂා කිරීමට ඇති හොඳම ක්රමයක් නම් ප්රහාරවලට එරෙහිව එය දැඩි කිරීමයි. ඔබගේ සේවාදායකයන් සහ අනෙකුත් තීරණාත්මක සංරචක නිසි ලෙස වින්යාස කර ඇති බව සහ යාවත්කාලීනව ඇති බවට වග බලා ගැනීම මෙයට ඇතුළත් වේ.
ඔබගේ මෙහෙයුම් පද්ධතිය දැඩි කිරීම වැදගත් වන්නේ අද බොහෝ ක්ලවුඩ් ආරක්ෂණ තර්ජන යල් පැන ගිය මෘදුකාංග වල ඇති දුර්වලතා ගසාකන බැවිනි. උදාහරණයක් ලෙස, 2017 දී WannaCry ransomware ප්රහාරය වින්ඩෝස් මෙහෙයුම් පද්ධතියේ පැච් කර නොතිබූ දෝෂයක් ප්රයෝජනයට ගත්තේය.
2021 දී, ransomware ප්රහාර 20% කින් වැඩි විය. තවත් සමාගම් ක්ලවුඩ් වෙත ගමන් කරන විට, මෙවැනි ප්රහාර වලින් ආරක්ෂා වීමට ඔබගේ යටිතල පහසුකම් දැඩි කිරීම වැදගත් වේ.
ඔබේ යටිතල පහසුකම් දැඩි කිරීම ඔබට බොහෝ පොදු ප්රහාර අවම කර ගැනීමට උපකාරී වේ, ඒවා ඇතුළුව:
- DDoS ප්රහාර
- SQL එන්නත් ප්රහාර
– Cross-site scripting (XSS) ප්රහාර
DDoS ප්රහාරයක් යනු කුමක්ද?
DDoS ප්රහාරයක් යනු අධික තදබදයක් ඇති සේවාදායකයක් හෝ ජාලයක් ඉලක්ක කර එය අධික ලෙස පැටවීම සඳහා ඉල්ලීම් කරන සයිබර් ප්රහාරයකි. DDoS ප්රහාර ඉතා කඩාකප්පල්කාරී විය හැකි අතර පරිශීලකයින් සඳහා වෙබ් අඩවියක් හෝ සේවාවක් නොමැති වීමට හේතු විය හැක.
DDos ප්රහාර සංඛ්යාලේඛන:
- 2018 ට සාපේක්ෂව 300 දී DDoS ප්රහාරවල 2017% වැඩි වීමක් සිදු විය.
– DDoS ප්රහාරයක සාමාන්ය පිරිවැය ඩොලර් මිලියන 2.5 කි.
SQL එන්නත් ප්රහාරයක් යනු කුමක්ද?
SQL එන්නත් ප්රහාර යනු දත්ත සමුදායකට අනිෂ්ට SQL කේතය ඇතුළු කිරීමට යෙදුමක කේතයේ ඇති දුර්වලතා වලින් ප්රයෝජන ගන්නා සයිබර් ප්රහාර වර්ගයකි. මෙම කේතය පසුව සංවේදී දත්ත වෙත ප්රවේශ වීමට හෝ දත්ත සමුදාය පාලනය කිරීමට පවා භාවිතා කළ හැක.
SQL එන්නත් ප්රහාර යනු වෙබයේ බහුලවම සිදුවන ප්රහාර වලින් එකකි. ඇත්ත වශයෙන්ම, ඒවා කෙතරම් සුලභද යත්, විවෘත වෙබ් යෙදුම් ආරක්ෂණ ව්යාපෘතිය (OWASP) ඒවා ඉහළම 10 වෙබ් යෙදුම් ආරක්ෂණ අවදානම් වලින් එකක් ලෙස ලැයිස්තුගත කරයි.
SQL එන්නත් ප්රහාර සංඛ්යාලේඛන:
- 2017 දී, SQL එන්නත් ප්රහාර 4,000 කට ආසන්න දත්ත කඩ කිරීම් සඳහා වගකිව යුතු විය.
- SQL එන්නත් ප්රහාරයක සාමාන්ය පිරිවැය ඩොලර් මිලියන 1.6 කි.
Cross-Site Scripting (XSS) යනු කුමක්ද?
Cross-site scripting (XSS) යනු වෙබ් පිටුවකට අනිෂ්ට කේත එන්නත් කිරීම ඇතුළත් වන සයිබර් ප්රහාරයකි. මෙම කේතය පසුව පිටුවට පැමිණෙන සැක සහිත පරිශීලකයින් විසින් ක්රියාත්මක කරනු ලබන අතර, එහි ප්රතිඵලයක් ලෙස ඔවුන්ගේ පරිගණක අවදානමට ලක්වේ.
XSS ප්රහාර ඉතා සුලභ වන අතර බොහෝ විට මුරපද සහ ක්රෙඩිට් කාඩ් අංක වැනි සංවේදී තොරතුරු සොරකම් කිරීමට භාවිතා කරයි. වින්දිතයෙකුගේ පරිගණකයේ අනිෂ්ට මෘදුකාංග ස්ථාපනය කිරීමට හෝ ඒවා අනිෂ්ට වෙබ් අඩවියකට හරවා යැවීමට ද ඒවා භාවිතා කළ හැකිය.
Cross-Site Scripting (XSS) සංඛ්යාලේඛන:
- 2017 දී, XSS ප්රහාර 3,000 කට ආසන්න දත්ත කඩ කිරීම් සඳහා වගකිව යුතු විය.
– XSS ප්රහාරයක සාමාන්ය පිරිවැය ඩොලර් මිලියන 1.8 කි.
2. Cloud Security Threats
ඔබ දැනුවත් විය යුතු විවිධ වලාකුළු ආරක්ෂණ තර්ජන ගණනාවක් තිබේ. සේවා ප්රතික්ෂේප කිරීම (DoS) ප්රහාර, දත්ත කඩකිරීම් සහ අනිෂ්ට අභ්යන්තරිකයින් වැනි දේවල් මේවාට ඇතුළත් වේ.
සේවා ප්රතික්ෂේප කිරීම (DoS) ප්රහාර ක්රියා කරන්නේ කෙසේද?
DoS ප්රහාර යනු සයිබර් ප්රහාර වර්ගයකි, එහිදී ප්රහාරකයා මාර්ග තදබදයෙන් පද්ධතියක් හෝ ජාලයක් ලබා ගත නොහැකි කිරීමට උත්සාහ කරයි. මෙම ප්රහාර ඉතා කඩාකප්පල්කාරී විය හැකි අතර, සැලකිය යුතු මූල්ය හානියක් සිදු කළ හැකිය.
සේවා ප්රතික්ෂේප කිරීම ප්රහාර සංඛ්යාලේඛන
- 2019 දී, DoS ප්රහාර 34,000 ක් විය.
– DoS ප්රහාරයක සාමාන්ය පිරිවැය ඩොලර් මිලියන 2.5 කි.
- DoS ප්රහාර දින කිහිපයක් හෝ සති ගණනක් පැවතිය හැක.
දත්ත කඩවීම් සිදු වන්නේ කෙසේද?
අවසරයකින් තොරව සංවේදී හෝ රහස්ය දත්ත වෙත ප්රවේශ වූ විට දත්ත කඩ කිරීම් සිදුවේ. අනවසරයෙන් ඇතුළුවීම, සමාජ ඉංජිනේරු විද්යාව සහ භෞතික සොරකම් ඇතුළු විවිධ ක්රම ගණනාවක් හරහා මෙය සිදුවිය හැකිය.
දත්ත කඩකිරීමේ සංඛ්යාලේඛන
- 2019 දී, මුළු දත්ත කඩ කිරීම් 3,813 ක් විය.
- දත්ත කඩකිරීමක සාමාන්ය පිරිවැය ඩොලර් මිලියන 3.92 කි.
- දත්ත කඩවීමක් හඳුනා ගැනීමට සාමාන්ය කාලය දින 201 කි.
අනිෂ්ට අභ්යන්තරිකයින් පහර දෙන්නේ කෙසේද?
අනිෂ්ට අභ්යන්තරිකයින් යනු සමාගම් දත්ත වෙත ප්රවේශ වීම හිතාමතාම අනිසි ලෙස භාවිතා කරන සේවකයින් හෝ කොන්ත්රාත්කරුවන් වේ. මෙය මූල්යමය වාසි, පළිගැනීම්, හෝ ඔවුන්ට හානි කිරීමට අවශ්ය නිසා වැනි හේතු ගණනාවක් නිසා සිදු විය හැක.
අභ්යන්තර තර්ජන සංඛ්යාලේඛන
- 2019 දී, දත්ත කඩ කිරීම්වලින් 43% ක් සඳහා අනිෂ්ට අභ්යන්තරිකයින් වගකිව යුතුය.
- අභ්යන්තර ප්රහාරයක සාමාන්ය පිරිවැය ඩොලර් මිලියන 8.76 කි.
- අභ්යන්තර ප්රහාරයක් හඳුනා ගැනීමට සාමාන්ය කාලය දින 190 කි.
3. ඔබ ඔබේ යටිතල පහසුකම් දැඩි කරන්නේ කෙසේද?
ආරක්ෂක දැඩි කිරීම යනු ඔබේ යටිතල ව්යුහය ප්රහාරයට වඩා ප්රතිරෝධී කිරීමේ ක්රියාවලියයි. ආරක්ෂක පාලන ක්රියාත්මක කිරීම, ෆයර්වෝල් යෙදවීම සහ සංකේතනය භාවිතා කිරීම වැනි දේ මෙයට ඇතුළත් විය හැක.
ඔබ ආරක්ෂක පාලන ක්රියාත්මක කරන්නේ කෙසේද?
ඔබේ යටිතල පහසුකම් දැඩි කිරීමට ඔබට ක්රියාත්මක කළ හැකි විවිධ ආරක්ෂක පාලන ගණනාවක් තිබේ. මේවාට ෆයර්වෝල්, ප්රවේශ පාලන ලැයිස්තු (ACL), ආක්රමණය හඳුනාගැනීමේ පද්ධති (IDS) සහ සංකේතනය වැනි දේ ඇතුළත් වේ.
ප්රවේශ පාලන ලැයිස්තුවක් සාදා ගන්නේ කෙසේද:
- ආරක්ෂා කළ යුතු සම්පත් නිර්වචනය කරන්න.
- එම සම්පත් වෙත ප්රවේශ විය යුතු පරිශීලකයින් සහ කණ්ඩායම් හඳුනා ගන්න.
- එක් එක් පරිශීලකයා සහ කණ්ඩායම සඳහා අවසර ලැයිස්තුවක් සාදන්න.
- ඔබගේ ජාල උපාංග මත ACL ක්රියාත්මක කරන්න.
ආක්රමණය හඳුනාගැනීමේ පද්ධති මොනවාද?
ආක්රමණය හඳුනාගැනීමේ පද්ධති (IDS) නිර්මාණය කර ඇත්තේ ඔබේ ජාලයේ අනිෂ්ට ක්රියාකාරකම් හඳුනා ගැනීමට සහ ඒවාට ප්රතිචාර දැක්වීමටය. උත්සාහ කළ ප්රහාර, දත්ත කඩකිරීම් සහ අභ්යන්තර තර්ජන වැනි දේ හඳුනා ගැනීමට ඒවා භාවිත කළ හැක.
ඔබ ආක්රමණය හඳුනාගැනීමේ පද්ධතියක් ක්රියාත්මක කරන්නේ කෙසේද?
- ඔබගේ අවශ්යතා සඳහා නිවැරදි IDS තෝරන්න.
- ඔබගේ ජාලයේ IDS යොදවන්න.
- අනිෂ්ට ක්රියාකාරකම් හඳුනා ගැනීමට IDS වින්යාස කරන්න.
- IDS මගින් ජනනය කරන ලද ඇඟවීම් වලට ප්රතිචාර දක්වන්න.
ෆයර්වෝල් යනු කුමක්ද?
ෆයර්වෝල් යනු නීති මාලාවක් මත රථවාහන පෙරහන් කරන ජාල ආරක්ෂණ උපාංගයකි. ෆයර්වෝල් යනු ඔබේ යටිතල පහසුකම් දැඩි කිරීමට භාවිතා කළ හැකි ආරක්ෂක පාලන වර්ගයකි. ඒවා පරිශ්රයේ, වලාකුළෙහි සහ සේවාවක් ලෙස ඇතුළුව විවිධ ආකාර කිහිපයකින් යෙදවිය හැක. එන ගමනාගමනය, පිටතට යන ගමනාගමනය හෝ දෙකම අවහිර කිරීමට ෆයර්වෝල් භාවිතා කළ හැක.
පරිශ්රයේ ගිනි පවුරක් යනු කුමක්ද?
පරිශ්රයේ ෆයර්වෝලයක් යනු ඔබේ ප්රාදේශීය ජාලයේ යොදවා ඇති ෆයර්වෝල් වර්ගයකි. පරිශ්රයේ ෆයර්වෝල් සාමාන්යයෙන් කුඩා හා මධ්යම ප්රමාණයේ ව්යාපාර ආරක්ෂා කිරීමට භාවිතා කරයි.
Cloud Firewall යනු කුමක්ද?
වලාකුළු ෆයර්වෝල් යනු වලාකුළු තුළ යොදවා ඇති ෆයර්වෝල් වර්ගයකි. වලාකුළු ෆයර්වෝල් සාමාන්යයෙන් විශාල ව්යවසායන් ආරක්ෂා කිරීමට භාවිතා කරයි.
Cloud Firewalls වල ප්රයෝජන මොනවාද?
ක්ලවුඩ් ෆයර්වෝල්ස් ප්රතිලාභ ගණනාවක් ලබා දෙයි, ඒවා අතර:
- වැඩි දියුණු කළ ආරක්ෂාව
- ජාල ක්රියාකාරකම්වල දෘශ්යතාව වැඩි කිරීම
- අඩු සංකීර්ණත්වය
- විශාල ආයතන සඳහා අඩු වියදම්
සේවාවක් ලෙස ෆයර්වෝල් යනු කුමක්ද?
සේවාවක් ලෙස ෆයර්වෝලයක් (FaaS) යනු වලාකුළු මත පදනම් වූ ෆයර්වෝල් වර්ගයකි. FaaS සපයන්නන් වලාකුළෙහි යෙදවිය හැකි ෆයර්වෝල් පිරිනමයි. මෙම වර්ගයේ සේවාව සාමාන්යයෙන් කුඩා හා මධ්යම ප්රමාණයේ ව්යාපාර විසින් භාවිතා කරනු ලැබේ. ඔබට විශාල හෝ සංකීර්ණ ජාලයක් තිබේ නම්, ඔබ ෆයර්වෝලයක් සේවාවක් ලෙස භාවිතා නොකළ යුතුය.
FaaS හි ප්රතිලාභ
FaaS ප්රතිලාභ ගණනාවක් ලබා දෙයි, ඒවා අතර:
- අඩු සංකීර්ණත්වය
- නම්යශීලී බව වැඩි වීම
- ඔබ යන විට ගෙවීමේ මිල ආකෘතිය
ඔබ ෆයර්වෝල් සේවාවක් ලෙස ක්රියාත්මක කරන්නේ කෙසේද?
- FaaS සපයන්නෙකු තෝරන්න.
- වලාකුළෙහි ගිනි පවුර යොදන්න.
- ඔබගේ අවශ්යතා සපුරාලීම සඳහා ෆයර්වෝලය වින්යාස කරන්න.
සාම්ප්රදායික ෆයර්වෝල් සඳහා විකල්ප තිබේද?
ඔව්, සාම්ප්රදායික ෆයර්වෝල් සඳහා විකල්ප ගණනාවක් තිබේ. මේවාට ඊළඟ පරම්පරාවේ ෆයර්වෝල් (NGFWs), වෙබ් යෙදුම් ෆයර්වෝල් (WAFs) සහ API ගේට්වේ ඇතුළත් වේ.
ඊළඟ පරම්පරාවේ ෆයර්වෝල් යනු කුමක්ද?
ඊළඟ පරම්පරාවේ ෆයර්වෝල් (NGFW) යනු සාම්ප්රදායික ෆයර්වෝල් වලට සාපේක්ෂව වැඩිදියුණු කළ කාර්ය සාධනය සහ විශේෂාංග ලබා දෙන ෆයර්වෝල් වර්ගයකි. NGFWs සාමාන්යයෙන් යෙදුම් මට්ටමේ පෙරීම, ආක්රමණය වැළැක්වීම සහ අන්තර්ගත පෙරීම වැනි දේ පිරිනමයි.
යෙදුම් මට්ටමේ පෙරීම භාවිතා කරන යෙදුම මත පදනම්ව ගමනාගමනය පාලනය කිරීමට ඔබට ඉඩ සලසයි. උදාහරණයක් ලෙස, ඔබට HTTP ගමනාගමනයට ඉඩ දිය හැකි නමුත් අනෙකුත් සියලුම ගමනාගමනය අවහිර කරන්න.
ආක්රමණය වැළැක්වීම ප්රහාර සිදුවීමට පෙර ඒවා හඳුනා ගැනීමට සහ වළක්වා ගැනීමට ඔබට ඉඩ සලසයි.
අන්තර්ගත පෙරීම ඔබගේ ජාලයට ප්රවේශ විය හැක්කේ කුමන ආකාරයේ අන්තර්ගතද යන්න පාලනය කිරීමට ඔබට ඉඩ සලසයි. අනිෂ්ට වෙබ් අඩවි, අසභ්ය සහ සූදු අඩවි වැනි දේවල් අවහිර කිරීමට ඔබට අන්තර්ගත පෙරහන භාවිත කළ හැක.
Web Application Firewall යනු කුමක්ද?
වෙබ් යෙදුම් ෆයර්වෝල් (WAF) යනු වෙබ් යෙදුම් ප්රහාර වලින් ආරක්ෂා කිරීම සඳහා නිර්මාණය කර ඇති ෆයර්වෝල් වර්ගයකි. WAFs සාමාන්යයෙන් ආක්රමණය හඳුනාගැනීම, යෙදුම් මට්ටමේ පෙරීම සහ අන්තර්ගත පෙරීම වැනි විශේෂාංග පිරිනමයි.
API Gateway යනු කුමක්ද?
API ද්වාරයක් යනු API ප්රහාර වලින් ආරක්ෂා කිරීමට නිර්මාණය කර ඇති ෆයර්වෝල් වර්ගයකි. API ද්වාර සාමාන්යයෙන් සත්යාපනය, අවසරය සහ අනුපාත සීමා කිරීම වැනි විශේෂාංග පිරිනමයි.
තහවුරු කරගැනීමේ API වෙත ප්රවේශ විය හැක්කේ බලයලත් පරිශීලකයින්ට පමණක් බව සහතික කරන බැවින් එය වැදගත් ආරක්ෂක අංගයකි.
අවසරය එය වැදගත් ආරක්ෂක අංගයක් වන්නේ බලයලත් පරිශීලකයින්ට පමණක් ඇතැම් ක්රියා සිදු කළ හැකි බව සහතික කරන බැවිනි.
අනුපාත සීමා කිරීම එය සේවා ප්රතික්ෂේප කිරීම වැලැක්වීමට උපකාරී වන බැවින් වැදගත් ආරක්ෂක අංගයකි.
ඔබ සංකේතනය භාවිතා කරන්නේ කෙසේද?
සංකේතනය යනු ඔබේ යටිතල පහසුකම් දැඩි කිරීමට භාවිතා කළ හැකි ආරක්ෂක පියවරකි. බලයලත් පරිශීලකයින්ට පමණක් කියවිය හැකි පෝරමයක් බවට දත්ත පරිවර්තනය කිරීම එයට ඇතුළත් වේ.
සංකේතනය කිරීමේ ක්රමවලට ඇතුළත් වන්නේ:
- සමමිතික යතුරු සංකේතනය
- අසමමිතික යතුරු සංකේතනය
- පොදු යතුරු සංකේතනය
සමමිතික-යතුරු සංකේතනය දත්ත සංකේතනය කිරීමට සහ විකේතනය කිරීමට එකම යතුර භාවිතා කරන සංකේතාංකන වර්ගයකි.
අසමමිතික-යතුරු සංකේතනය දත්ත සංකේතනය කිරීමට සහ විකේතනය කිරීමට විවිධ යතුරු භාවිතා කරන සංකේතාංකන වර්ගයකි.
පොදු යතුරු සංකේතනය යතුර සෑම කෙනෙකුටම ලබා ගත හැකි සංකේතනයකි.
4. Cloud Marketplace එකකින් Hardened Infrastructure භාවිතා කරන්නේ කෙසේද
ඔබේ යටිතල පහසුකම් දැඩි කිරීමට හොඳම ක්රමයක් නම් AWS වැනි සැපයුම්කරුවෙකුගෙන් දැඩි වූ යටිතල පහසුකම් මිලදී ගැනීමයි. මෙම වර්ගයේ යටිතල පහසුකම් සැලසුම් කර ඇත්තේ ප්රහාරයට වඩා ප්රතිරෝධී වන පරිදි වන අතර, ඔබේ ආරක්ෂක අනුකූලතා අවශ්යතා සපුරාලීමට ඔබට උදවු කළ හැක. කෙසේ වෙතත්, AWS හි සියලුම අවස්ථා සමාන නොවේ. AWS දෘඪ රූප මෙන් ප්රහාරයට ප්රතිරෝධී නොවන දෘඩ නොවන රූප ද පිරිනමයි. AMI එකක් ප්රහාරයට වඩා ප්රතිරෝධී දැයි පැවසීමට ඇති හොඳම ක්රමයක් නම්, නවතම ආරක්ෂක විශේෂාංග ඇති බව සහතික කිරීම සඳහා අනුවාදය යාවත්කාලීන බව සහතික කර ගැනීමයි.
දැඩි වූ යටිතල පහසුකම් මිලදී ගැනීම ඔබේම යටිතල පහසුකම් දැඩි කිරීමේ ක්රියාවලිය හරහා යාමට වඩා සරල ය. ඔබේ යටිතල ව්යුහය දැඩි කිරීමට අවශ්ය මෙවලම් සහ සම්පත් සඳහා ආයෝජනය කිරීමට ඔබට අවශ්ය නොවන බැවින් එය වඩාත් ලාභදායී විය හැකිය.
දැඩි වූ යටිතල පහසුකම් මිලදී ගැනීමේදී, ඔබ පුළුල් පරාසයක ආරක්ෂක පාලනයන් සපයන සැපයුම්කරුවෙකු සොයා බැලිය යුතුය. සියලු ආකාරයේ ප්රහාරවලට එරෙහිව ඔබේ යටිතල පහසුකම් දැඩි කිරීමට මෙය ඔබට හොඳම අවස්ථාව ලබා දෙනු ඇත.
දැඩි යටිතල පහසුකම් මිලදී ගැනීමේ තවත් ප්රතිලාභ:
- ආරක්ෂාව වැඩි කිරීම
- වැඩිදියුණු කළ අනුකූලතාව
- පිරිවැය අඩු කිරීම
- සරල බව වැඩි කිරීම
ඔබගේ වලාකුළු යටිතල ව්යුහයේ සරල බව වැඩි කිරීම ඉතා අවතක්සේරු කර ඇත! කීර්තිමත් වෙළෙන්දෙකුගෙන් දැඩි වූ යටිතල පහසුකම් පිළිබඳ පහසුම දෙය නම් එය වර්තමාන ආරක්ෂක ප්රමිතීන්ට අනුකූල වන පරිදි නිරන්තරයෙන් යාවත්කාලීන වීමයි.
යල් පැන ගිය වලාකුළු යටිතල පහසුකම් ප්රහාරයට ගොදුරු වීමේ වැඩි අවදානමක් ඇත. මේ නිසා ඔබේ යටිතල පහසුකම් යාවත්කාලීනව තබා ගැනීම වැදගත් වේ.
යල් පැන ගිය මෘදුකාංගය අද ආයතන මුහුණ දෙන විශාලතම ආරක්ෂක තර්ජන වලින් එකකි. දැඩි යටිතල පහසුකම් මිලදී ගැනීමෙන්, ඔබට මෙම ගැටළුව සම්පූර්ණයෙන්ම වළක්වා ගත හැකිය.
ඔබේම යටිතල පහසුකම් දැඩි කරන විට, විය හැකි ආරක්ෂක තර්ජන සියල්ල සලකා බැලීම වැදගත් වේ. මෙය දුෂ්කර කාර්යයක් විය හැකි නමුත්, ඔබේ දැඩි කිරීමේ උත්සාහයන් ඵලදායී බව සහතික කිරීම අවශ්ය වේ.
5. ආරක්ෂක අනුකූලතාවය
ඔබේ යටිතල ව්යුහය දැඩි කිරීම මඟින් ඔබට ආරක්ෂක අනුකූලතාවයටද උපකාර විය හැක. මෙයට හේතුව බොහෝ අනුකූලතා ප්රමිතීන්ට ඔබේ දත්ත සහ පද්ධති ප්රහාරයෙන් ආරක්ෂා කිරීමට පියවර ගැනීම අවශ්ය වන බැවිනි.
ඉහළ වලාකුළු ආරක්ෂණ තර්ජන පිළිබඳව දැනුවත්ව සිටීමෙන්, ඔබේ සංවිධානය ඒවායින් ආරක්ෂා කිරීමට ඔබට පියවර ගත හැක. ඔබේ යටිතල ව්යුහය දැඩි කිරීමෙන් සහ ආරක්ෂක විශේෂාංග භාවිතා කිරීමෙන්, ප්රහාරකයන්ට ඔබේ පද්ධති සම්මුතියට පත් කිරීම ඔබට වඩාත් අපහසු කළ හැක.
ඔබේ ආරක්ෂක ක්රියා පටිපාටි මඟ පෙන්වීමට සහ ඔබේ යටිතල පහසුකම් දැඩි කිරීමට CIS මිණුම් සලකුණු භාවිත කිරීමෙන් ඔබට ඔබේ අනුකූලතා ඉරියව්ව ශක්තිමත් කළ හැක. ඔබේ පද්ධති දැඩි කිරීමට සහ ඒවා අනුකූලව තබා ගැනීමට ඔබට ස්වයංක්රීයකරණය භාවිතා කළ හැක.
2022 දී ඔබ මතක තබා ගත යුතු අනුකූලතා ආරක්ෂණ රෙගුලාසි මොනවාද?
- GDPR
- PCI DSS
- HIPAA
- SOX
- HITRUST
GDPR අනුකූලව රැඳී සිටින්නේ කෙසේද?
සාමාන්ය දත්ත ආරක්ෂණ රෙගුලාසි (GDPR) යනු පුද්ගලික දත්ත එකතු කිරීම, භාවිතා කිරීම සහ ආරක්ෂා කිරීම කළ යුතු ආකාරය පාලනය කරන රෙගුලාසි සමූහයකි. EU පුරවැසියන්ගේ පුද්ගලික දත්ත එකතු කරන, භාවිතා කරන, හෝ ගබඩා කරන සංවිධාන GDPR වලට අනුකූල විය යුතුය.
GDPR අනුකූලව සිටීමට, ඔබ ඔබේ යටිතල පහසුකම් දැඩි කිරීමට සහ EU පුරවැසියන්ගේ පුද්ගලික දත්ත ආරක්ෂා කිරීමට පියවර ගත යුතුය. දත්ත සංකේතනය කිරීම, ෆයර්වෝල් යෙදවීම සහ ප්රවේශ පාලන ලැයිස්තු භාවිතා කිරීම වැනි දේ මෙයට ඇතුළත් වේ.
GDPR අනුකූලතාව පිළිබඳ සංඛ්යාලේඛන:
GDPR පිළිබඳ සංඛ්යාලේඛන කිහිපයක් මෙන්න:
- GDPR හඳුන්වාදීමෙන් පසු ආයතනවලින් 92% ක් පුද්ගලික දත්ත රැස්කර භාවිතා කරන ආකාරය වෙනස් කර ඇත.
- 61% සංවිධාන පවසන්නේ GDPR සමඟ අනුකූල වීම දුෂ්කර වී ඇති බවයි
- GDPR හඳුන්වා දීමෙන් පසු ආයතනවලින් 58%ක් දත්ත කඩවීමක් අත්විඳ ඇත
අභියෝග මධ්යයේ වුවද, GDPR වලට අනුකූල වීමට ආයතන පියවර ගැනීම වැදගත් වේ. මෙයට ඔවුන්ගේ යටිතල පහසුකම් දැඩි කිරීම සහ EU පුරවැසියන්ගේ පුද්ගලික දත්ත ආරක්ෂා කිරීම ඇතුළත් වේ.
GDPR අනුකූලව සිටීමට, ඔබ ඔබේ යටිතල පහසුකම් දැඩි කිරීමට සහ EU පුරවැසියන්ගේ පුද්ගලික දත්ත ආරක්ෂා කිරීමට පියවර ගත යුතුය. දත්ත සංකේතනය කිරීම, ෆයර්වෝල් යෙදවීම සහ ප්රවේශ පාලන ලැයිස්තු භාවිතා කිරීම වැනි දේ මෙයට ඇතුළත් වේ.
PCI DSS අනුකූලව සිටින්නේ කෙසේද?
Payment Card Industry Data Security Standard (PCI DSS) යනු ක්රෙඩිට් කාඩ් තොරතුරු රැස් කිරීම, භාවිතා කිරීම සහ ආරක්ෂා කළ යුතු ආකාරය පාලනය කරන මාර්ගෝපදේශ මාලාවකි. ක්රෙඩිට් කාඩ් ගෙවීම් ක්රියාවට නංවන සංවිධාන PCI DSS වලට අනුකූල විය යුතුය.
PCI DSS අනුකූලව සිටීමට, ඔබ ඔබේ යටිතල පහසුකම් දැඩි කිරීමට සහ ක්රෙඩිට් කාඩ් තොරතුරු ආරක්ෂා කිරීමට පියවර ගත යුතුය. දත්ත සංකේතනය කිරීම, ෆයර්වෝල් යෙදවීම සහ ප්රවේශ පාලන ලැයිස්තු භාවිතා කිරීම වැනි දේ මෙයට ඇතුළත් වේ.
PCI DSS පිළිබඳ සංඛ්යාලේඛන
PCI DSS පිළිබඳ සංඛ්යාලේඛන:
- PCI DSS හඳුන්වා දීමෙන් පසු ආයතනවලින් 83% ක් ක්රෙඩිට් කාඩ් ගෙවීම් ක්රියාවලියට වෙනස් කර ඇත.
- 61% සංවිධාන පවසන්නේ PCI DSS සමඟ අනුකූල වීම දුෂ්කර වී ඇති බවයි
- PCI DSS හඳුන්වාදීමෙන් පසු ආයතනවලින් 58%ක් දත්ත කඩවීමක් අත්විඳ ඇත
PCI DSS වලට අනුකූල වීමට ආයතන පියවර ගැනීම වැදගත් වේ. මෙයට ඔවුන්ගේ යටිතල පහසුකම් දැඩි කිරීම සහ ක්රෙඩිට් කාඩ් තොරතුරු ආරක්ෂා කිරීම ඇතුළත් වේ.
HIPAA අනුකූලව රැඳී සිටින්නේ කෙසේද?
සෞඛ්ය රක්ෂණ අතේ ගෙන යා හැකි සහ වගවීමේ පනත (HIPAA) යනු පුද්ගලික සෞඛ්ය තොරතුරු රැස් කිරීම, භාවිතා කිරීම සහ ආරක්ෂා කළ යුතු ආකාරය පාලනය කරන රෙගුලාසි සමූහයකි. රෝගීන්ගේ පුද්ගලික සෞඛ්ය තොරතුරු රැස් කරන, භාවිතා කරන හෝ ගබඩා කරන සංවිධාන HIPAA වලට අනුකූල විය යුතුය.
HIPAA අනුකූලව සිටීමට, ඔබ ඔබේ යටිතල පහසුකම් දැඩි කිරීමට සහ රෝගීන්ගේ පුද්ගලික සෞඛ්ය තොරතුරු ආරක්ෂා කිරීමට පියවර ගත යුතුය. දත්ත සංකේතනය කිරීම, ෆයර්වෝල් යෙදවීම සහ ප්රවේශ පාලන ලැයිස්තු භාවිතා කිරීම වැනි දේ මෙයට ඇතුළත් වේ.
HIPAA පිළිබඳ සංඛ්යාලේඛන
HIPAA පිළිබඳ සංඛ්යාලේඛන:
- HIPAA හඳුන්වා දීමෙන් පසු ආයතනවලින් 91% ක් පුද්ගලික සෞඛ්ය තොරතුරු රැස් කර භාවිතා කරන ආකාරය වෙනස් කර ඇත
- සංවිධානවලින් 63% ක් පවසන්නේ HIPAA සමඟ අනුකූල වීම දුෂ්කර වී ඇති බවයි
- HIPAA හඳුන්වා දුන් දා සිට ආයතනවලින් 60%ක් දත්ත කඩකිරීමක් අත්විඳ ඇත
HIPAA සමඟ අනුකූල වීමට ආයතන පියවර ගැනීම වැදගත් වේ. මෙයට ඔවුන්ගේ යටිතල පහසුකම් දැඩි කිරීම සහ රෝගීන්ගේ පුද්ගලික සෞඛ්ය තොරතුරු ආරක්ෂා කිරීම ඇතුළත් වේ.
SOX අනුකූලව රැඳී සිටින්නේ කෙසේද?
Sarbanes-Oxley Act (SOX) යනු මූල්ය තොරතුරු රැස් කිරීම, භාවිතා කිරීම සහ ආරක්ෂා කළ යුතු ආකාරය පාලනය කරන රෙගුලාසි සමූහයකි. මූල්ය තොරතුරු රැස් කරන, භාවිත කරන හෝ ගබඩා කරන සංවිධාන SOX සමඟ අනුකූල විය යුතුය.
SOX අනුකූලව සිටීමට, ඔබ ඔබේ යටිතල පහසුකම් දැඩි කිරීමට සහ මූල්ය තොරතුරු ආරක්ෂා කිරීමට පියවර ගත යුතුය. දත්ත සංකේතනය කිරීම, ෆයර්වෝල් යෙදවීම සහ ප්රවේශ පාලන ලැයිස්තු භාවිතා කිරීම වැනි දේ මෙයට ඇතුළත් වේ.
SOX පිළිබඳ සංඛ්යා ලේඛන
SOX හි සංඛ්යාලේඛන:
- SOX හඳුන්වාදීමෙන් පසු ආයතනවලින් 94% ක් මූල්ය තොරතුරු රැස්කර භාවිතා කරන ආකාරය වෙනස් කර ඇත
- සංවිධානවලින් 65% ක් පවසන්නේ SOX සමඟ අනුකූල වීම දුෂ්කර වී ඇති බවයි
- SOX හඳුන්වා දුන් දා සිට ආයතනවලින් 61%ක් දත්ත කඩවීමක් අත්විඳ ඇත
SOX සමඟ අනුකූල වීමට ආයතන පියවර ගැනීම වැදගත් වේ. මෙයට ඔවුන්ගේ යටිතල පහසුකම් දැඩි කිරීම සහ මූල්ය තොරතුරු ආරක්ෂා කිරීම ඇතුළත් වේ.
HITRUST සහතිකය ලබා ගන්නේ කෙසේද?
HITRUST සහතිකය ලබා ගැනීම යනු ස්වයං තක්සේරුවක් සම්පූර්ණ කිරීම, ස්වාධීන තක්සේරුවකට භාජනය වීම සහ පසුව HITRUST විසින් සහතික කිරීම ඇතුළත් බහු-පියවර ක්රියාවලියකි.
ස්වයං තක්සේරුව ක්රියාවලියේ පළමු පියවර වන අතර සහතික කිරීම සඳහා ආයතනයක සූදානම තීරණය කිරීමට භාවිතා කරයි. මෙම තක්සේරුවට සංවිධානයේ ආරක්ෂක වැඩසටහන සහ ලියකියවිලි පිළිබඳ සමාලෝචනයක් මෙන්ම ප්රධාන පුද්ගලයින් සමඟ ස්ථානීය සම්මුඛ සාකච්ඡා ඇතුළත් වේ.
ස්වයං තක්සේරුව සම්පූර්ණ වූ පසු, ස්වාධීන තක්සේරුකරුවෙකු විසින් සංවිධානයේ ආරක්ෂක වැඩසටහන පිළිබඳ වඩාත් ගැඹුරු තක්සේරුවක් සිදු කරනු ඇත. මෙම තක්සේරුවට සංවිධානයේ ආරක්ෂක පාලන පිළිබඳ සමාලෝචනයක් මෙන්ම එම පාලනවල සඵලතාවය තහවුරු කිරීම සඳහා ස්ථානීය පරීක්ෂණයක් ද ඇතුළත් වේ.
ස්වාධීන තක්සේරුකරු විසින් සංවිධානයේ ආරක්ෂක වැඩසටහන HITRUST CSF හි සියලුම අවශ්යතා සපුරාලන බව තහවුරු කළ පසු, සංවිධානය HITRUST විසින් සහතික කරනු ලැබේ. HITRUST CSF වෙත සහතික කර ඇති සංවිධානවලට සංවේදී දත්ත ආරක්ෂා කිරීමට ඔවුන්ගේ කැපවීම ප්රදර්ශනය කිරීමට HITRUST මුද්රාව භාවිතා කළ හැක.
HITRUST පිළිබඳ සංඛ්යාලේඛන:
- 2019 ජූනි වන විට, HITRUST CSF වෙත සහතික කර ඇති සංවිධාන 2,700 කට වඩා තිබේ.
- සෞඛ්ය සේවා කර්මාන්තයට වඩාත්ම සහතික ලත් ආයතන ඇත, 1,000 කට වඩා ඇත.
- සහතික ලත් ආයතන 500කට අධික සංඛ්යාවක් සමඟින් මූල්ය හා රක්ෂණ කර්මාන්තය දෙවැනි තැනට පත්ව ඇත.
- සහතික ලත් ආයතන 400කට අධික සංඛ්යාවක් ඇති සිල්ලර කර්මාන්තය තුන්වන ස්ථානයයි.
ආරක්ෂක දැනුවත් කිරීමේ පුහුණුව ආරක්ෂක අනුකූලතාවයට උපකාරී වේද?
ඔව්, ආරක්ෂක දැනුවත් කිරීම පුහුණුව අනුකූල වීමට උපකාරී වේ. මෙයට හේතුව බොහෝ අනුකූලතා ප්රමිතීන් ප්රහාරයෙන් ඔබේ දත්ත සහ පද්ධති ආරක්ෂා කිරීමට පියවර ගැනීම අවශ්ය වන බැවිනි. අනතුරුදායක බව දැන සිටීමෙනි සයිබර් ප්රහාර, ඔබේ සංවිධානය ඔවුන්ගෙන් ආරක්ෂා කර ගැනීමට ඔබට පියවර ගත හැක.
මගේ සංවිධානයේ ආරක්ෂක දැනුවත් කිරීමේ පුහුණුව ක්රියාත්මක කිරීමට ක්රම කිහිපයක් මොනවාද?
ඔබේ ආයතනය තුළ ආරක්ෂක දැනුවත් කිරීමේ පුහුණුව ක්රියාත්මක කිරීමට බොහෝ ක්රම තිබේ. එක් ක්රමයක් නම් ආරක්ෂාව පිළිබඳ දැනුවත් කිරීමේ පුහුණුවක් ලබා දෙන තෙවන පාර්ශවීය සේවා සපයන්නෙකු භාවිතා කිරීමයි. තවත් ක්රමයක් වන්නේ ඔබේම ආරක්ෂක දැනුවත් කිරීමේ පුහුණු වැඩසටහනක් වර්ධනය කිරීමයි.
එය පැහැදිලි විය හැකි නමුත්, යෙදුම් ආරක්ෂණ හොඳම භාවිතයන් පිළිබඳව ඔබේ සංවර්ධකයන් පුහුණු කිරීම ආරම්භ කිරීමට හොඳම ස්ථානවලින් එකකි. යෙදුම් නිසි ලෙස කේත කිරීම, සැලසුම් කිරීම සහ පරීක්ෂා කරන්නේ කෙසේදැයි ඔවුන් දන්නා බවට වග බලා ගන්න. මෙය ඔබගේ යෙදුම්වල ඇති දුර්වලතා ගණන අඩු කිරීමට උපකාරී වේ. Appsec පුහුණුව ව්යාපෘති සම්පූර්ණ කිරීමේ වේගයද වැඩි දියුණු කරයි.
ඔබ සමාජ ඉංජිනේරු සහ වැනි දේවල් පිළිබඳ පුහුණුවක් ද ලබා දිය යුතුය phishing පහර දෙනවා. මේවා ප්රහාරකයන්ට පද්ධති සහ දත්ත වෙත ප්රවේශය ලබා දෙන පොදු ක්රම වේ. මෙම ප්රහාර පිළිබඳව දැනුවත්ව සිටීමෙන්, ඔබේ සේවකයන්ට තමන් සහ ඔබේ සංවිධානය ආරක්ෂා කර ගැනීමට පියවර ගත හැකිය.
ආරක්ෂක දැනුවත් කිරීමේ පුහුණුව යෙදවීම අනුකූලතාවයට උපකාර විය හැක, මන්ද එය ඔබගේ දත්ත සහ පද්ධති ප්රහාරයෙන් ආරක්ෂා කරන්නේ කෙසේද යන්න පිළිබඳව ඔබේ සේවකයන් දැනුවත් කිරීමට උපකාරී වේ.
Cloud හි Phishing Simulation Server එකක් යොදවන්න
ඔබගේ ආරක්ෂක දැනුවත් කිරීමේ පුහුණුවේ සඵලතාවය පරීක්ෂා කිරීමට එක් ක්රමයක් වන්නේ වලාකුළෙහි තතුබෑම් සමාකරණ සේවාදායකයක් යෙදවීමයි. මෙය ඔබට ඔබේ සේවකයන්ට simulated phishing ඊමේල් යැවීමට සහ ඔවුන් ප්රතිචාර දක්වන ආකාරය බැලීමට ඉඩ සලසයි.
ඔබේ සේවකයින් අනුකරණය කරන ලද තතුබෑම් ප්රහාරවලට හසු වන බව ඔබ සොයා ගන්නේ නම්, ඔබ වැඩි පුහුණුවක් ලබා දිය යුතු බව ඔබ දන්නවා. සැබෑ තතුබෑම් ප්රහාරවලට එරෙහිව ඔබේ සංවිධානය දැඩි කිරීමට මෙය ඔබට උපකාර කරයි.
වලාකුළෙහි සියලුම සන්නිවේදන ක්රම සුරක්ෂිත කරන්න
වලාකුළු තුළ ඔබේ ආරක්ෂාව වැඩි දියුණු කිරීමට තවත් ක්රමයක් වන්නේ සියලු සන්නිවේදන ක්රම සුරක්ෂිත කිරීමයි. මෙයට විද්යුත් තැපෑල, ක්ෂණික පණිවිඩ යැවීම, සහ ගොනු හුවමාරුව වැනි දේවල් ඇතුළත් වේ.
දත්ත සංකේතනය කිරීම, ඩිජිටල් අත්සන් භාවිතා කිරීම සහ ෆයර්වෝල් යෙදවීම ඇතුළුව මෙම සන්නිවේදනයන් සුරක්ෂිත කිරීමට බොහෝ ක්රම තිබේ. මෙම පියවර ගැනීමෙන්, ඔබේ දත්ත සහ පද්ධති ප්රහාරයෙන් ආරක්ෂා කර ගැනීමට ඔබට උදවු කළ හැක.
සන්නිවේදනය සම්බන්ධ ඕනෑම වලාකුළු අවස්ථාවක් භාවිතය සඳහා දැඩි කළ යුතුය.
ආරක්ෂක දැනුවත් කිරීමේ පුහුණුව සඳහා තෙවන පාර්ශවයක් භාවිතා කිරීමේ ප්රතිලාභ:
- ඔබට පුහුණු වැඩසටහනේ සංවර්ධනය සහ බෙදා හැරීම බාහිරින් ලබා ගත හැකිය.
- සැපයුම්කරුට ඔබේ සංවිධානය සඳහා හැකි හොඳම පුහුණු වැඩසටහන සංවර්ධනය කිරීමට සහ ලබා දීමට හැකි විශේෂඥ කණ්ඩායමක් සිටී.
- සපයන්නා නවතම අනුකූලතා අවශ්යතා පිළිබඳව යාවත්කාලීන වනු ඇත.
ආරක්ෂක දැනුවත් කිරීමේ පුහුණුව සඳහා තෙවන පාර්ශවයක් භාවිතා කිරීමේ අවාසි:
- තෙවන පාර්ශවයක් භාවිතා කිරීමේ පිරිවැය ඉහළ විය හැක.
- පුහුණු වැඩසටහන භාවිතා කරන ආකාරය පිළිබඳව ඔබේ සේවකයින් පුහුණු කිරීමට ඔබට සිදු වනු ඇත.
- ඔබේ සංවිධානයේ නිශ්චිත අවශ්යතා සපුරාලීම සඳහා පුහුණු වැඩසටහන අභිරුචිකරණය කිරීමට සැපයුම්කරුට නොහැකි විය හැකිය.
ඔබේම ආරක්ෂක දැනුවත් කිරීමේ පුහුණු වැඩසටහනක් සංවර්ධනය කිරීමේ ප්රතිලාභ:
- ඔබේ සංවිධානයේ නිශ්චිත අවශ්යතා සපුරාලීම සඳහා ඔබට පුහුණු වැඩසටහන අභිරුචිකරණය කළ හැකිය.
- තුන්වන පාර්ශ්ව සැපයුම්කරුවෙකු භාවිතා කිරීමට වඩා පුහුණු වැඩසටහන සංවර්ධනය කිරීමේ සහ බෙදා හැරීමේ පිරිවැය අඩු වනු ඇත.
- පුහුණු වැඩසටහනේ අන්තර්ගතය පිළිබඳව ඔබට වැඩි පාලනයක් ඇත.
ඔබේම ආරක්ෂක දැනුවත් කිරීමේ පුහුණු වැඩසටහනක් සංවර්ධනය කිරීමේ අවාසි:
- පුහුණු වැඩසටහන සංවර්ධනය කිරීමට සහ ලබා දීමට කාලය සහ සම්පත් ගත වනු ඇත.
- පුහුණු වැඩසටහන සංවර්ධනය කර බෙදා හැරීමට හැකි කාර්ය මණ්ඩලය පිළිබඳ විශේෂඥයින් ඔබට අවශ්ය වනු ඇත.
- වැඩසටහන නවතම අනුකූලතා අවශ්යතා මත යාවත්කාලීන නොවිය හැක.
