Google वर्कस्पेस सुरक्षा में आम कमियां

और उन्हें ठीक करने के तरीके

चलिए, मैं एक अनुमान लगाता हूँ। आपने Google Workspace का इस्तेमाल करना इसलिए शुरू किया क्योंकि इससे काम आसान हो जाता था। शायद हैरानी की बात है कि ऐसा हुआ भी! Google को शाबाशी! लेकिन हो सकता है कि किसी ने अपने काम के आखिरी दिन गलती से 3,000 ग्राहक ईमेल अपने निजी ईमेल पर भेज दिए हों, जिससे आपकी यह सुविधा ठप हो गई हो। ओह! यह तो बहुत बुरा हुआ।

बात ये है कि Google Workspace में अच्छी सुरक्षा व्यवस्था है। हालाँकि, आपका Google Workspace संभवतः गायब है अधिकांश मुख्य सुरक्षा सुविधाएँ उपलब्ध हैं। अंतर केवल सेटअप में लगने वाले लगभग 20 मिनट के समय का है। ऐसा लगभग कोई नहीं करतातो चलिए इसे बदलते हैं। अच्छी खबर यह है कि यह आसान और सीधा है। इस लेख के बाकी हिस्से में Google Workspace की सबसे आम सुरक्षा कमियों और उन्हें दूर करने के तरीकों के बारे में बताया गया है।

1. मल्टी-फैक्टर ऑथेंटिकेशन (एमएफए) सक्षम है, लेकिन (हर जगह) लागू नहीं है।

कई संगठन मल्टी-फैक्टर ऑथेंटिकेशन को सक्षम करते हैं और मान लेते हैं कि वे सुरक्षित हैं। हालांकि, गहन समीक्षा से अक्सर कमियां सामने आती हैं। कुछ उपयोगकर्ता MFA से बाहर रखे जाते हैं, पुराने खाते सक्रिय रहते हैं, या प्रशासक सुविधा के लिए अपवाद बना देते हैं (याद है सप्ताहांत में C-Suite के उस अधिकारी का फोन आया था जिसका फोन खो गया था - तो उनके पास MFA नहीं था और आपने उसे निष्क्रिय कर दिया था?)।

यह क्यों महत्वपूर्ण है
मल्टी-फैक्टर ऑथेंटिकेशन (एमएफए) के बिना एक भी खाता ईमेल, फाइलों और आंतरिक विश्वसनीय उपयोगकर्ताओं तक पहुंच प्रदान कर सकता है, जिससे फ़िशिंग के अवसर पैदा हो सकते हैं (जो कि सबसे सफल प्रकार का फ़िशिंग हमला है!)। वास्तविक घटनाओं में देखी जाने वाली यह सबसे आम समस्याओं में से एक है।

इसे कैसे जोड़ेंगे
प्रत्येक उपयोगकर्ता के लिए MFA अनिवार्य है। बिना किसी अपवाद केपुरानी प्रमाणीकरण प्रणाली को पूरी तरह से बंद कर दें। प्रशासनिक खातों के लिए MFA की सख्त आवश्यकताएं लागू करें। यदि MFA कहीं भी वैकल्पिक है, तो हमलावर इसका पता लगा ही लेंगे।

2. OAuth एप्लिकेशन पर बहुत आसानी से भरोसा कर लिया जाता है।

OAuth उपयोगकर्ताओं को Google Workspace से तृतीय-पक्ष एप्लिकेशन कनेक्ट करने की अनुमति देता है। यह सुविधा सुविधाजनक तो है, लेकिन इसमें जोखिम भी है। "अनुमति दें" पर एक क्लिक से कोई एप्लिकेशन बिना पासवर्ड मांगे या MFA को सक्रिय किए बिना ईमेल, फ़ाइलें, संपर्क और कैलेंडर तक पहुंच प्राप्त कर सकता है।

यह क्यों महत्वपूर्ण है
दुर्भावनापूर्ण OAuth एप्लिकेशन बिना पता चले महीनों तक संवेदनशील डेटा तक चुपचाप पहुंच सकते हैं। यह वह जोखिम है जो प्रशासकों को डेटा उल्लंघन के बाद सफाई करते समय चौंका देता है, न कि उससे पहले।

इसे कैसे जोड़ेंगे
तृतीय-पक्ष अनुप्रयोगों को डिफ़ॉल्ट रूप से ब्लॉक करें. केवल ज्ञात, विश्वसनीय और स्वीकृत आवेदनों को ही मंज़ूरी दें। तिमाही आधार पर आवेदन अनुमतियों की समीक्षा करें और नए कनेक्ट किए गए ऐप्स के लिए अलर्ट कॉन्फ़िगर करें।

यदि OAuth एक्सेस की समीक्षा नहीं की जा रही है, आपकी टीम उन ऐप्स को पूर्ण ईमेल एक्सेस प्रदान कर रही होगी जिनका उपयोग उन्होंने 2023 में टीम-बिल्डिंग अभ्यास के लिए केवल एक बार किया था।

3. बहुत सारे प्रशासकों को ईश्वर तुल्य विशेषाधिकार प्राप्त हैं।

गॉड-मोड एडमिन (वैसे, इसे सुपर एडमिन कहा जाता है, लेकिन इसका मतलब गॉड-मोड ही है) एक्सेस गूगल वर्कस्पेस पर व्यापक और शक्तिशाली नियंत्रण प्रदान करता है। इसके बावजूद, कई वातावरण बहुत अधिक उपयोगकर्ताओं को प्रशासनिक विशेषाधिकार प्रदान करते हैं। याद रखें, प्रत्येक अतिरिक्त प्रशासक हमले की संभावना को बढ़ाता है और ऑडिटिंग में अधिक समय लेता है।

यह क्यों महत्वपूर्ण है
यदि किसी प्रशासक खाते की सुरक्षा में सेंध लग जाती है, तो हमलावर पासवर्ड रीसेट कर सकता है, अतिरिक्त सुपर एडमिन जोड़ सकता है, सुरक्षा नियंत्रणों को निष्क्रिय कर सकता है और आपके सभी डेटा तक पहुंच प्राप्त कर सकता है। ऐसी स्थिति में, रोकथाम करना अत्यंत कठिन हो जाता है।

इसे कैसे जोड़ेंगे
सुपर एडमिन की पहुंच को कुछ चुनिंदा विश्वसनीय खातों तक सीमित रखें। जहां भी संभव हो, भूमिका-आधारित प्रशासनिक अनुमतियों का उपयोग करें। प्रशासनिक खातों को दैनिक उपयोग वाले ईमेल खातों से अलग रखें और प्रशासनिक गतिविधि लॉग की नियमित रूप से समीक्षा करें। न्यूनतम विशेषाधिकार शायद रोमांचक न लगे, लेकिन यह बेहद प्रभावी है।

4. ईमेल सुरक्षा पूरी तरह से कॉन्फ़िगर नहीं की गई है

जीमेल बुनियादी सुरक्षा तो प्रदान करता है, लेकिन हमलावर लगातार नए-नए तरीके अपनाते रहते हैं। कई आम कॉन्फ़िगरेशन कमियां अभी भी व्यापक रूप से मौजूद हैं, जिनमें केवल निगरानी के लिए सेट की गई DMARC नीतियां, बाहरी प्रेषकों के लिए चेतावनियों का अभाव और एक बार दिया गया उपयोगकर्ता प्रशिक्षण शामिल है, जिसे बाद में दोहराया नहीं जाता।

यह क्यों महत्वपूर्ण है
मध्यम आकार की और छोटी कंपनियों में होने वाले अधिकांश हमलों के लिए ईमेल ही प्राथमिक प्रवेश बिंदु बना हुआ है। पिछले 20 से अधिक वर्षों में इसमें कोई बदलाव नहीं आया है।

इसे कैसे जोड़ेंगे
अस्वीकृति नीति के साथ SPF, DKIM और DMARC लागू करें। बाहरी प्रेषकों के लिए स्पष्ट, सरल लेकिन ध्यान देने योग्य लेबलिंग जोड़ें। एक बार के सत्रों के बजाय मासिक सुरक्षा जागरूकता प्रशिक्षण (वीडियो और HootPhish) प्रदान करें।

तकनीक मददगार होती है, लेकिन प्रशिक्षित उपयोगकर्ता अक्सर सबसे प्रभावी बचाव होते हैं। साल में एक मैराथन प्रशिक्षण सत्र आपकी टीम को थका हुआ, भ्रमित और पहले से अधिक सुरक्षित नहीं छोड़ता। मासिक प्रशिक्षण से मांसपेशियों की ऐसी स्मृति विकसित होती है जो किसी व्यक्ति को देखने/सोचने/पुष्टि करने से पहले क्लिक करने से रोकती है।

5. ऑडिट लॉग की सक्रिय रूप से निगरानी नहीं की जाती है

गूगल वर्कस्पेस विस्तृत ऑडिट लॉग तैयार करता है, लेकिन कई संगठन कभी उनकी समीक्षा नहीं करते। इससे पारदर्शिता में कमी आती है।

यह क्यों महत्वपूर्ण है
संदिग्ध गतिविधियाँ अक्सर unnoticed रह जाती हैं, जिनमें असंभव स्थानों से लॉगिन, बड़े पैमाने पर फ़ाइल डाउनलोड और छिपे हुए इनबॉक्स फ़ॉरवर्डिंग नियम शामिल हैं। जब तक इन गतिविधियों का पता चलता है, तब तक काफ़ी नुकसान हो चुका होता है।

इसे कैसे जोड़ेंगे
विस्तृत ऑडिट लॉगिंग को सक्षम करें। लॉगिन संबंधी असामान्यताओं पर नज़र रखें। मेलबॉक्स नियमों में किए गए परिवर्तनों की समीक्षा करें और उच्च जोखिम वाले व्यवहार के लिए अलर्ट कॉन्फ़िगर करें।

अगर कोई लॉग्स की निगरानी नहीं कर रहा है, हमलावर उन चोरों की तरह काम करते हैं जिन्हें पता होता है कि घर खाली है और मालिक दो सप्ताह की छुट्टी पर गए हुए हैं। वे जल्दबाजी नहीं कर रहे हैं। वे अपनी मदद खुद कर रहे हैं।

6. फाइलें बहुत व्यापक रूप से साझा की जाती हैं

गूगल वर्कस्पेस फाइल शेयरिंग को सरल और आसान बनाता है। यह बाहरी लोगों को ईमेल भेजने से पहले उपयोगकर्ताओं से एक्सेस देने का अनुरोध करता है, लेकिन चेतावनी संदेश या तो बहुत ही सामान्य होते हैं या उन्हें अनदेखा कर दिया जाता है, जिसके परिणामस्वरूप बिना किसी निगरानी या देखरेख के बहुत सारी संवेदनशील फाइलें बाहरी रूप से साझा कर दी जाती हैं।

यह क्यों महत्वपूर्ण है
डेटा संगठन से चुपचाप और बिना किसी अलर्ट को ट्रिगर किए बाहर जा सकता है। यह अक्सर दुर्भावनापूर्ण इरादे के बिना होता है, लेकिन इसका प्रभाव वही रहता है।

इसे कैसे जोड़ेंगे
बाहरी फ़ाइल साझाकरण को डिफ़ॉल्ट रूप से प्रतिबंधित करें। बाहरी पहुँच के लिए अनुमोदन अनिवार्य करें। साझा किए गए लिंक की नियमित रूप से समीक्षा करें और सार्वजनिक लिंक के लिए समाप्ति तिथि लागू करें।

सुविधा को कभी भी नियंत्रण पर हावी नहीं होने देना चाहिए। फाइलों को 'लिंक रखने वाले किसी भी व्यक्ति' के लिए खुला छोड़ना वैसा ही है जैसे अपने घर की चाबियों को दरवाजे के मैट के नीचे रख देना और यह उम्मीद करना कि केवल सही लोग ही उन्हें ढूंढ पाएंगे।

7. सुरक्षा संबंधी कोई निश्चित नियमावली नहीं है।

यह शायद सबसे महत्वपूर्ण कमी है। कई संगठन लिखित सुरक्षा मानकों, नियमित पहुंच समीक्षा या स्पष्ट रूप से निर्धारित सुरक्षा स्वामित्व के बिना Google Workspace का उपयोग करते हैं।

शासन व्यवस्था के अभाव में, सुरक्षा व्यवस्था धीरे-धीरे कमजोर होती जाती है। यही अराजकता का सिद्धांत है, बिल्कुल सरल शब्दों में।

यह क्यों महत्वपूर्ण है
यदि सुरक्षा सेटिंग्स को बनाए रखने और उनकी समीक्षा करने की जिम्मेदारी किसी पर नहीं है, तो समय के साथ उनमें स्वाभाविक रूप से बदलाव आ जाता है। हमलावर इसी बदलाव का फायदा उठाते हैं।

इसे कैसे जोड़ेंगे
गूगल वर्कस्पेस के लिए बुनियादी सुरक्षा मानक निर्धारित करें। तिमाही आधार पर एक्सेस समीक्षा करें। कॉन्फ़िगरेशन को मान्यता प्राप्त सुरक्षा मानकों के अनुरूप बनाएं और उनके रखरखाव के लिए स्पष्ट जिम्मेदारी सौंपें।

सभी को सुरक्षा का अभ्यास करना चाहिए, लेकिन इसके लिए कोई न कोई जवाबदेह होना चाहिए। हमलावर भी उन्हीं संकेतों की तलाश करते हैं जिनकी तलाश चोर करते हैं: कोई सुरक्षा लाइट नहीं, अलार्म कंपनी के स्टिकर नहीं, कोई रखवाली करने वाला कुत्ता नहीं। ये उस घर की पहचान हैं जहां कोई निगरानी नहीं कर रहा होता है।

निष्कर्ष: ऐसा दिखावा करें कि कोई न कोई हमेशा घर पर है और निगरानी रख रहा है।

Google Workspace में होने वाली अधिकांश सुरक्षा उल्लंघनों में नवीनतम ज़ीरो-डे एक्सप्लॉइट का उपयोग करने वाले परिष्कृत राष्ट्र-राज्य हमले शामिल नहीं होते हैं। ये डिफ़ॉल्ट सेटिंग्स, भूली हुई कॉन्फ़िगरेशन और गलत भरोसे का फायदा उठाने के सरल मामले होते हैं।

हमलावर चोरों की तरह सोचते हैं। वे असंभव चोरी की योजना नहीं बना रहे होते। वे ऐसे घर की तलाश में होते हैं जिसमें कोई अलार्म न लगा हो, कोई लाइट टाइमर पर न चल रही हो, और दरवाजे पर डाक का ढेर लगा हो।

इन कमियों को दूर करें। आपका लक्ष्य पूर्णता नहीं है। आपका लक्ष्य बगल वाले संगठन की तुलना में कम आसान दिखना है।

---

अतिरिक्त संसाधन

• हैकर न्यूज़: गूगल वर्कस्पेस सुरक्षा में सबसे आम कमियों को दूर करना

---

साइबरहूट के साथ आज ही अपना व्यवसाय सुरक्षित करें!