خاور نہال کا 4-لیئر سیکیورٹی ماڈل
Layer 1 – فزیکل سیکیورٹی 🏢🔒
تعریف:
ہارڈویئر اور عمارت کو غیر مجاز فزیکل رسائی سے محفوظ رکھنا۔
پہلا کیوں:
اگر کوئی شخص سرور، روٹر یا ورک اسٹیشن کو چھو سکتا ہے، تو وہ پاس ورڈ یا انکرپشن سے قطع نظر باقی تمام لیئرز کو بائی پاس کر سکتا ہے۔
اہم کنٹرولز:
- لاک شدہ سرور رومز اور ریکس
- ایکسیس کنٹرول سسٹم (RFID کارڈز، بائیومیٹرکس، پن پیڈز)
- حساس علاقوں میں سی سی ٹی وی کوریج
- گارڈز اور وزیٹر لاگز
- ہارڈویئر پر ٹیمپر ایویڈنٹ سیلز
- کیبلنگ کے محفوظ راستے (کھلی نیٹ ورک کیبلز سے گریز)
ناکامی کی مثال:
ایک حملہ آور 2 منٹ کے لیے بغیر نگرانی کے سرور تک پہنچتا ہے، USB “Rubber Ducky” لگا کر براہِ راست میلویئر انسٹال کرتا ہے اور نیٹ ورک فائر وال کو مکمل طور پر بائی پاس کر دیتا ہے۔ اگر وہ مشین کھول سکے تو BIOS کو بھی بائی پاس کر سکتا ہے۔
Layer 2 – سافٹ ویئر سیکیورٹی 💻🛡️
تعریف:
یہ یقینی بنانا کہ آپریٹنگ سسٹمز، ایپلیکیشنز اور فرم ویئر میں کوئی بھی قابلِ استحصال خامی نہ ہو۔ بہتر یہ ہے کہ قابلِ آڈٹ اوپن سورس (FOSS) استعمال کی جائے۔
دوسرا کیوں:
چاہے سرور فزیکلی محفوظ ہو، بگ والے سافٹ ویئر کو ریموٹلی حملہ کیا جا سکتا ہے۔
مثال: پرانا WordPress چلانے والا ویب سرور دنیا میں کہیں سے بھی کریش یا بریک ہو سکتا ہے۔
اہم کنٹرولز:
- سیکیورٹی فوکسڈ ڈیولپمنٹ (سیکیور کوڈنگ، کوڈ ریویو)
- ایسے اوپن سورس یا کمرشل سافٹ ویئر کا استعمال جو سنجیدہ وینڈرز سے بروقت اپ ڈیٹ ہوتا ہو
- پیچ اور اپ ڈیٹ سائیکل میں تاخیر نہ ہو
- وَلنریبلٹی اسکیننگ (پینیٹریشن ٹیسٹنگ تب مؤثر جب لیئر 3 بھی درست ہو)
- غیر ضروری سروسز تب ہی ہٹائیں جب اپ ڈیٹ خودکار اور ڈیفالٹ سیٹنگز باہر سے رسائی روکیں
- IDS یا SIEM پر وسائل ضائع کرنے کے بجائے کمزور وینڈرز بدلنے پر سرمایہ لگائیں
- 1992 سے آج تک اپ ڈیٹڈ لینکس مشین کو غیر مجاز رسائی تقریباً ناممکن ہے
ناکامی کی مثال:
ایک غیر پیچ شدہ VPN ڈیوائس میں زیرو ڈے ایکسپلائٹ کے ذریعے حملہ آور عمارت میں داخل ہوئے بغیر نیٹ ورک میں گھس جاتا ہے۔
Layer 3 – کنفیگریشن سیکیورٹی ⚙️🔐
تعریف:
سسٹمز کو درست طریقے سے سیٹ اپ اور ہارڈن کرنا تاکہ غلطی سے بھی کمزوری نہ کھل جائے۔
تیسرا کیوں:
سافٹ ویئر مضبوط ہو سکتا ہے، لیکن اگر ڈیفالٹ یا غلط کنفیگریشن ہو تو یہ کھلا دروازہ ہے۔
اہم کنٹرولز:
- مضبوط پاس ورڈ پالیسی
- کم تجربہ کار ایڈمن کو مشن کریٹیکل سسٹمز کا ذمہ نہ دینا
- کم سے کم پرولیج اصول (Least Privilege)
- نیٹ ورک سیگمینٹیشن (ایڈمن، پروڈکشن اور گیسٹ نیٹ ورک الگ)
- لاگنگ اور مانیٹرنگ
- ٹیسٹ اکاؤنٹس، سیمپل فائلز، اور ڈیبگ انٹرفیس کو ڈس ایبل کرنا
ناکامی کی مثال:
ڈیفالٹ “admin / admin” پاس ورڈ کے ساتھ نیا ڈیٹا بیس سرور انٹرنیٹ پر ایکسپوز ہے۔ بوٹس چند گھنٹوں میں لاگ ان ہو کر ڈیٹا اینکرپٹ کر دیتے ہیں۔
Layer 4 – سوشل انجینئرنگ / یوزر لیئر سیکیورٹی 🧠🎭
تعریف:
انسانی دھوکہ دہی سے بچاؤ — فشنگ، بیٹنگ، پری ٹیکسٹنگ یا اندرونی غلط استعمال۔
آخری کیوں:
ٹیکنالوجی محفوظ ہونے کے بعد انسانی عنصر سب سے کمزور لنک بن جاتا ہے۔ زیادہ تر جدید حملوں میں کسی نہ کسی شکل میں سوشل انجینئرنگ شامل ہوتی ہے۔
اہم کنٹرولز:
- آگاہی تربیت (فشنگ، مشکوک کالز، جعلی انوائسز پہچاننا)
- رول بیسڈ ایکسیس کنٹرول
- عارضی پرولیجڈ اکاؤنٹس
- اپ ڈیٹس اور لاگز کا آٹومیشن
- فرضی فشنگ مہمات سے تیاری کا ٹیسٹ
- اینٹی فشنگ ٹریننگ کتب (مثلاً Phishing Dark Waters)
ناکامی کی مثال:
ایک ملازم کو CEO کے نام سے ای میل ملتی ہے جس میں “خفیہ معاہدہ” کی فوری منظوری مانگی جاتی ہے۔ لنک جعلی لاگ ان پیج پر لے جاتا ہے، جہاں ملازم اصلی اسناد درج کر دیتا ہے اور حملہ آور کو ای میل، چیٹ اور دستاویزات تک مکمل رسائی مل جاتی ہے۔
بنیادی اصول – ترتیب اہم ہے 🔄
- پہلے فزیکل سیکیورٹی — ورنہ باقی سب بیکار۔
- پھر سافٹ ویئر سیکیورٹی — مضبوط کوڈ بیس۔
- پھر کنفیگریشن سیکیورٹی — ہارڈنڈ ماحول۔
- آخر میں سوشل انجینئرنگ ڈیفنس — تاکہ لوگ دھوکہ نہ کھائیں۔
ایک لیئر چھوٹ جائے تو باقی غیر مؤثر ہو جاتی ہیں۔
مثال: اگر لیئر 1 ٹوٹ گئی تو لیئر 4 کی کوئی اہمیت نہیں — حملہ آور ہارڈ ڈرائیو سیدھا لے جا سکتا ہے۔
عملی مثال – سرور سیکیور کرنا 💼
Layer 1 ناکامی:
کھلا سرور روم، حملہ آور تین منٹ میں بیک اپ سرور سے ڈیٹا کاپی کر کے نکل جاتا ہے۔
Layer 2 ناکامی:
پرانا HR پورٹل، حملہ آور دور سے کمزوری کا فائدہ اٹھا کر پے رول ڈیٹا ڈاؤن لوڈ کر لیتا ہے۔
Layer 3 ناکامی:
ڈیفالٹ پاس ورڈ والا ڈیٹا بیس سرور، بوٹس گھنٹوں میں رینسم ویئر انسٹال کر دیتے ہیں۔
Layer 4 ناکامی:
جعلی ای میل کے ذریعے ملازم کا پاس ورڈ چرایا جاتا ہے، کمپنی کی ای میل اور فائلز متاثر ہوتی ہیں۔
دیگر ماڈلز سے موازنہ
1. ڈیفنس اِن ڈَیپتھ (DiD) 🛡️ – متعدد لیئرز، ترتیب سخت نہیں۔
2. او ایس آئی سیکیورٹی لیئر انالوجی 🌐 – نیٹ ورک ماڈل پر مبنی۔
3. CIS کنٹرولز 🔍 – مرحلہ وار سائبر ہائجین اور مانیٹرنگ۔
4. نِسٹ CSF 🏛️ – شناخت → تحفظ → پتہ لگانا → ردعمل → بحالی۔
5. اَنیَن ماڈل 🧅 – تہہ در تہہ کنٹرولز، ترتیب ضروری نہیں۔
خاور نہال کے ماڈل کی انفرادیت:
- ترتیب لازمی: فزیکل → سافٹ ویئر → کنفیگریشن → انسانی عنصر۔
- عملی فوکس: چھوٹے سے بڑے ماحول میں قابلِ اطلاق۔
- انسانی عنصر کو آخری حفاظتی دیوار ماننا۔
تقابلی جدول
| پہلو | خاور نہال کے 4 لیئرز | ڈیفنس اِن ڈَیپتھ (DiD) | نِسٹ CSF | CIS کنٹرولز |
|---|---|---|---|---|
| ماخذ | خاور نہال، “ریئل سیکیورٹی” ٹریننگ | فوجی تصور، آئی ٹی میں اپنایا | نِسٹ، امریکی تنصیبات | سینٹر فار انٹرنیٹ سیکیورٹی |
| فوکس | ترتیب وار، فزیکل سے انسانی تک | ملٹی پل لیئرز، ترتیب سخت نہیں | رسک مینجمنٹ سائیکل | ترجیحی کنٹرولز، مراحل میں |
| لیئر 1 | فزیکل سیکیورٹی | ایک لیئر | شناخت | ہارڈویئر/سافٹ ویئر انوینٹری |
| لیئر 2 | سافٹ ویئر سیکیورٹی | ایپ/او ایس ہارڈننگ | تحفظ | سیکیور کنفیگریشن |
| لیئر 3 | کنفیگریشن سیکیورٹی | مختلف جگہ بکھری | پتہ لگانا | ڈیٹا پروٹیکشن و مانیٹرنگ |
| لیئر 4 | سوشل انجینئرنگ | یوزر آگاہی | ردعمل و بحالی | ریڈ ٹیم و مکمل تحفظ |
| ترتیب اہمیت | لازمی | نہیں | سائیکلک | ترقی پذیر سطحیں |
| انسانی عنصر | آخری رکاوٹ | ایک لیئر | تحفظ و ردعمل میں | سب سطحوں پر شامل |
| ماڈل کی شکل | چار تہیں، ترتیب وار | اَنیَن / سرکل | پانچ فنکشنز | 18 کنٹرول گروپس |
| انفرادیت | سادگی + ترتیب پر زور | وسیع کوریج | پالیسی/ٹیکنالوجی انضمام | عملی چیک لسٹ |
| بہترین استعمال | ٹریننگ و عملی نفاذ | انٹرپرائز ڈیفنس پلاننگ | کمپلائنس و گورننس | ٹیکنیکل پروگرام بلڈنگ |