एजेंसियों को क्या करना चाहिए: ACS सभी ICT सिस्टम के लिए सख्त परिवर्तन-प्रबंधन और डाउनलोड-नियंत्रण तंत्र चाहता है। व्यवहार में, इसका मतलब है कि हर सॉफ्टवेयर इंस्टॉलेशन—चाहे वह कोई एप्लिकेशन हो, ड्राइवर हो, या हार्डवेयर कंपोनेंट—को सरकारी मशीन को छूने से पहले औपचारिक मंजूरी और ऑडिटिंग से गुजरना होगा ।
जोखिम: हमलावरों ने 'ब्रिंग योर ओन ड्राइवर' (BYOVD) नामक तकनीक का तेजी से उपयोग किया, जिसमें वैध लेकिन कमजोर साइन्ड ड्राइवरों का फायदा उठाकर एंडपॉइंट डिटेक्शन टूल को चकमा दिया जाता है। एक बार जब उन्होंने कर्नेल-स्तरीय पहुँच हासिल कर ली, तो वे सुरक्षा उत्पादों को निष्क्रिय कर सकते थे और बिना किसी अलार्म के रैनसमवेयर तैनात कर सकते थे ।
एजेंसियों को क्या करना चाहिए: ACS एक स्तरित रक्षा की माँग करता है। एजेंसियों को नियमित वेबसाइट भेद्यता स्कैन चलाना चाहिए और निष्कर्षों को तुरंत पैच करना चाहिए। एप्लिकेशन तक पहुँचने से पहले दुर्भावनापूर्ण अनुरोधों को फ़िल्टर करने के लिए वेब एप्लिकेशन फायरवॉल (WAF) तैनात किए जाने चाहिए। गंभीर रूप से, एंडपॉइंट सुरक्षा एक सतत संचालन होना चाहिए: सुरक्षा उत्पादों को अपडेट रखा जाना चाहिए, और खतरे का पता लगाने वाले नियमों को नई रणनीति उभरने के साथ विकसित होना चाहिए ।
जोखिम: सिस्टम रखरखाव विक्रेता, जिनके पास अक्सर सरकारी वेब सर्वरों तक वैध पहुँच होती है, ने ऐसे रिमोट डेस्कटॉप सॉफ्टवेयर इंस्टॉल कर दिए जिन्हें एजेंसियों ने कभी मंजूरी नहीं दी थी। फिर हमलावरों ने उन टूल्स पर कमजोर क्रेडेंशियल्स को ब्रूट-फोर्स करके लॉग इन किया और संवेदनशील सिस्टम पर बग़ल से मूवमेंट किया ।
एजेंसियों को क्या करना चाहिए: यहाँ समाधान संगठनात्मक है, न कि केवल तकनीकी। ACS सख्त विक्रेता सुरक्षा प्रबंधन मानकों की माँग करता है जो पहुँच नियंत्रण, डेटा सुरक्षा नियमों, भेद्यता प्रबंधन प्रक्रियाओं और अनिवार्य घटना रिपोर्टिंग को स्पष्ट करते हैं। नियमित सुरक्षा ऑडिट और अनुपालन जाँचों को सत्यापित करना चाहिए कि आपूर्तिकर्ता नियमों का पालन कर रहे हैं—केवल कागज़ों पर नहीं ।
जोखिम: राउटर, फायरवॉल, VPN उपकरण और अन्य एज डिवाइस बिना पैच वाले फर्मवेयर या खतरनाक कॉन्फ़िगरेशन त्रुटियों के साथ छोड़ दिए गए, जिससे हमलावरों को सरकारी नेटवर्क की परिधि पर एक आसान प्रवेश बिंदु मिल गया ।
एजेंसियों को क्या करना चाहिए: ACS एक सरल लेकिन शक्तिशाली बदलाव की सिफारिश करता है: सभी आउटबाउंड कनेक्शनों के लिए अलाउलिस्ट रणनीति अपनाएं, डिफ़ॉल्ट रूप से किसी भी अनावश्यक संचार पोर्ट को ब्लॉक कर दें। एजेंसियों को हर एज डिवाइस—मॉडल नंबर, फर्मवेयर वर्जन—की इन्वेंट्री भी बनानी चाहिए और एक सतत अपडेट और सत्यापन प्रक्रिया का निर्माण करना चाहिए ताकि पैच न केवल लागू किए जाएं बल्कि उनकी पुष्टि भी हो ।
जोखिम: हमलावरों ने संवेदनशील डेटा चुराने के लिए फ़िशिंग, प्रीटेक्सटिंग और अन्य सोशल इंजीनियरिंग चालों को समझौता किए गए या गलत कॉन्फ़िगर किए गए क्लाउड सेवाओं के साथ मिश्रित किया। एक बार जब किसी कर्मचारी ने किसी दुर्भावनापूर्ण लिंक या अटैचमेंट पर क्लिक किया, तो डेटा को वैध दिखने वाले क्लाउड स्टोरेज के माध्यम से बाहर निकाला जा सकता था ।
एजेंसियों को क्या करना चाहिए: ACS दो-भाग वाली रक्षा निर्दिष्ट करता है। पहला, उपयोगकर्ताओं तक पहुँचने से पहले संदिग्ध अटैचमेंट और लिंक को इंटरसेप्ट करने के लिए ईमेल फ़िल्टरिंग और सैंडबॉक्स डिटेक्शन तैनात करें। दूसरा, क्लाउड वातावरण को लॉक डाउन करें: साझा ड्राइव अनुमतियों को प्रतिबंधित करें, फ़ाइल अपलोड स्कैनिंग सक्षम करें, और दुर्भावनापूर्ण फ़ाइलों को फैलने से रोकने के लिए क्लाउड लिंक पर सुरक्षा जाँच चलाएँ ।
2025 का डेटा एक बड़ी कहानी बयां करता है। जहाँ कुल घटनाओं की संख्या 2024 की तुलना में 29 कम हुई, वहीं अधिकांश उल्लंघन—दो-तिहाई से अधिक—अनधिकृत पहुँच से उपजे, एक ऐसी श्रेणी जो चुराए गए क्रेडेंशियल्स से लेकर बैकडोर इम्प्लांट तक सब कुछ फैलाती है । गंभीरता का स्पेक्ट्रम निरंतर, निम्न-स्तरीय उत्पीड़न के एक परिदृश्य को दर्शाता है: 87.33% घटनाओं को स्तर 1 (सबसे कम गंभीर), 9.78% को स्तर 2, और 2.89% को स्तर 3 के रूप में वर्गीकृत किया गया, जबकि कोई स्तर 4 की घटना दर्ज नहीं की गई
।
ACS की पाँच जोखिम श्रेणियाँ आधिकारिक मार्गदर्शन में एक बदलाव को चिह्नित करती हैं। 2025 की शुरुआत की चेतावनियों ने कमजोर एन्क्रिप्शन, खराब इंजेक्शन-अटैक स्क्रीनिंग और टूटे हुए एक्सेस कंट्रोल पर जोर दिया था । इसके बजाय नई सूची मानव और सप्लाई-चेन परतों को लक्षित करती है जिन्हें पारंपरिक परिधि सुरक्षा अक्सर मिस कर देती है।
एजेंसियों के लिए, संदेश स्पष्ट है। ACS ने हर जोखिम को एक विशिष्ट, अंकेक्षण योग्य कार्रवाई से जोड़ा है: हर डाउनलोड को स्वीकृत करें, हर एज डिवाइस को पैच करें, हर विक्रेता का ऑडिट करें, और हर ईमेल को संभावित रूप से शत्रुतापूर्ण मानें। ऐसे खतरे के माहौल में जहाँ 68.6% घटनाएँ घुसपैठ हैं, रक्षा अब केवल परिधि को अवरुद्ध करने के बारे में नहीं है—यह उसके अंदर जो होता है उसे नियंत्रित करने के बारे में है ।