साइबर सुरक्षा कब शुरू हुई?

आपने कुछ सुझाव देखे होंगे कि साइबर सुरक्षा पहले एंटीवायरस के साथ शुरू हुई, और व्यावसायिक एंटीवायरस के पहले वर्ष के रूप में 1987 की तारीख दी गई।

यह कहने के लिए खेद है कि यह गलत है (कम से कम मुझे यह गलत लगता है)। यदि हम फिर से प्रयास करते हैं, तो हम 1971 कह सकते हैं जब पहला वर्म (क्रीपर) जारी किया गया था, साथ ही 1972 में एकल-उद्देश्य रीपर में यकीनन पहला एंटीवायरस भी था। ARPANET के माध्यम से, यकीनन एक और कीड़ा ही था।

जबकि मैं क्रीपर और रीपर के तर्क को प्रारंभ तिथि के रूप में देख सकता हूं, मैं खुद को सहमत करने के लिए नहीं ला सकता। या तो हम साइबर सुरक्षा की शुरुआत का वर्णन करने के लिए मनमानी घटनाओं की ओर इशारा करते हैं, जो हमें 1966 में वापस ले जा सकती है (टाइम-शेयरिंग मेनफ्रेम CTSS को पासवर्ड उल्लंघन का सामना करना पड़ा क्योंकि स्वागत संदेश मास्टर पासवर्ड फ़ाइल के साथ स्विच हो गया), 1971 (लॉन्च) ARPANET), या 2003 में भी जब अमेरिकी सरकार ने राष्ट्रीय साइबर सुरक्षा प्रभाग की स्थापना की।

साइबर सुरक्षा की शुरुआत

वेयर एंड एंडरसन रिपोर्ट के प्रकाशन के साथ 1970 और 1972 के बीच साइबर सुरक्षा शुरू हुई। मैं नीचे समझाऊंगा कि मैं इस निष्कर्ष पर कैसे पहुंचा और इस उत्तर को समझने के लिए आपको जिन महत्वपूर्ण ऐतिहासिक बिंदुओं की जानकारी होनी चाहिए।

आरंभ करने के लिए, हमें यह तय करने की आवश्यकता है कि साइबर सुरक्षा का वास्तव में क्या अर्थ है। मैं इस परिभाषा के साथ जाता हूं कि यह साइबर डोमेन पर लागू सुरक्षा का अनुशासन है।

साइबर डोमेन 'सूचना वातावरण के भीतर एक वैश्विक डोमेन है जिसमें इंटरनेट, दूरसंचार नेटवर्क, कंप्यूटर सिस्टम और एम्बेडेड प्रोसेसर और नियंत्रक सहित सूचना, प्रौद्योगिकी अवसंरचना और निवासी डेटा के अन्योन्याश्रित नेटवर्क शामिल हैं'। ( एनआईएसटी )

दूसरी ओर सुरक्षा खतरों से संपत्ति की सुरक्षा है। संपत्ति कुछ भी हो सकती है, जिसमें लोग, सूचना या भौतिक प्रणालियां शामिल हैं। खतरे (जब हम सुरक्षा के साथ काम कर रहे हैं) अंततः हमेशा किसी व्यक्ति को वापस खोज सकते हैं।

अगर 1987 में साइबर सुरक्षा शुरू नहीं हुई, तो कब?

मैं कुछ अलग तिथियों से चिपकना चाहता हूं। 1969 में ARPANET के पहले दो नोड ऑनलाइन आए, भले ही इसे 1971 तक चालू घोषित नहीं किया गया था। सिर्फ इसलिए कि कुछ मौजूद है, हालांकि, इसका मतलब यह नहीं है कि इसके आसपास एक औपचारिक सुरक्षा अनुशासन मौजूद है। वास्‍तव में हमें यह देखने की जरूरत है कि कब लोगों ने साइबर क्षेत्र में सुरक्षा के दृष्टिकोण पर औपचारिक रूप से विचार करना शुरू किया।

इससे हमारे पास कुछ ऐसी रिपोर्टें आ जाती हैं जो सुरक्षा के पहलुओं पर औपचारिक रूप से विचार करने वाली पहली रिपोर्ट थीं।

वेयर रिपोर्ट

इनमें से पहला है रचनात्मक नाम ' कंप्यूटर सिस्टम के लिए सुरक्षा नियंत्रण: कंप्यूटर सुरक्षा पर रक्षा विज्ञान बोर्ड टास्क फोर्स की रिपोर्ट ' विलिस एच. वेयर (और अन्य) द्वारा, 1970 में प्रकाशित। यहां प्रकाशित एक उदार शब्द है, क्योंकि मूल रूप से रिपोर्ट को गोपनीय के रूप में वर्गीकृत किया गया था जब तक कि 1975 में DARPA ने इसे अवर्गीकृत नहीं कर दिया। वेयर रिपोर्ट ने कई अलग-अलग नियंत्रण निर्धारित किए जो होंगे आज किसी भी साइबर सुरक्षा पेशेवर द्वारा मौलिक के रूप में मान्यता प्राप्त है। यहां तक कि जहां कुछ शब्दावली समय के साथ बदल गई हैं, अवधारणाएं उन सभी से परिचित हैं जिन्होंने साइबर सुरक्षा का अध्ययन या अभ्यास किया है।

वेयर रिपोर्ट ने कई कमजोरियों को निर्धारित किया है, हालांकि आजकल हम उन्हें खतरों के रूप में संदर्भित करेंगे क्योंकि वे एक प्रणाली के भीतर कमजोरियों के बजाय बाहरी और अनियंत्रित हैं।

1. आकस्मिक प्रकटीकरण - जिसे अब हम एक लापरवाही का खतरा कह सकते हैं, किसी घटक की विफलता या किसी ऑपरेटर द्वारा हार्डवेयर, सॉफ़्टवेयर या कॉन्फ़िगरेशन को नियंत्रित करने का परिणाम
2. जानबूझकर घुसपैठ - एक दुर्भावनापूर्ण खतरा, हालांकि रिपोर्ट तब एक निष्क्रिय दृष्टिकोण (जैसे वायर टैपिंग, निष्क्रिय तोड़फोड़ के तहत कवर) और सक्रिय घुसपैठ के रूप में संदर्भित एक सक्रिय दृष्टिकोण के बीच अंतर करती है जिसमें एक वैध उपयोगकर्ता द्वारा समझौता या विशेषाधिकार का उन्नयन शामिल है
3. शारीरिक हमला - रिपोर्ट में उल्लेख किया गया है, लेकिन विशेष रूप से दायरे से बाहर बताया गया है

वेयर रिपोर्ट के बारे में आकर्षक क्या है, और अगले लोगों के बारे में हम बात करेंगे, उनमें से कई दृष्टिकोण कितने आधुनिक हैं। उदाहरण के तौर पे, खतरा मॉडलिंग (या मॉडलिंग) को अक्सर 2004 में शुरू माना जाता है जब फ्रैंक स्विडर्सकी और विंडो स्नाइडर ने इस पर ** पहली किताब ** लिखी थी। कुछ पहले के संदर्भ हैं, लेकिन अधिकांश इसे 90 के दशक में सबसे पहले शुरू हुआ मानते हैं। यह देखते हुए कि (अच्छा) थ्रेट मॉडलिंग अब सुरक्षित प्रणालियों को डिजाइन करने के लिए आवश्यक के रूप में देखा जाता है (हालांकि अब तक अक्सर अनदेखी की जाती है, हमें उस असुरक्षित दुनिया में छोड़ दिया जाता है जिसमें हम रहते हैं), हम इसे समयरेखा पर काफी पहले पॉप अप करने की उम्मीद करेंगे।

वेयर रिपोर्ट से ली गई छवि, जो किसी को भी थ्रेट मॉडलिंग के बारे में जागरूक दिखाती है, उसे बहुत परिचित होना चाहिए।

ऊपर दिए गए आरेख को कम से कम एक बुनियादी खतरे के मॉडल के रूप में पहचानने योग्य होना चाहिए, जो सिस्टम के विभिन्न हमलों और कमजोरियों को दर्शाता है। इसके अलावा रिपोर्ट में हमारे पास नियंत्रणों के लिए सिफारिशें हैं, जिन्हें अब हम सुरक्षित प्रणाली के विकास के लिए वास्तु सिद्धांतों के रूप में पहचान सकते हैं, जोखिम प्रबंधन और लागतों पर विचार किया जा सकता है, और बहुत कुछ। पिछले कुछ वर्षों में कुछ शब्दावली बदल गई है, और रिपोर्ट स्वयं बहु-उपयोगी प्रणालियों (अर्थात् अब हम मेनफ्रेम और टर्मिनलों पर क्या विचार करेंगे) पर विचार करती है, न कि सच्चे सहकर्मी से सहकर्मी नेटवर्किंग जो शीघ्र ही साथ आएगी, लेकिन एक संक्षिप्त पठन भी दिखाता है मूलभूत सोच जो सबसे आधुनिक साइबर सुरक्षा दृष्टिकोणों को भी रेखांकित करती है।

एंडरसन रिपोर्ट

इसलिए हमें 1970 के लिए एक तर्क मिल गया है जिस दिन साइबर सुरक्षा शुरू हुई थी। एकमात्र समस्या यह है कि जहां नेटवर्क का उल्लेख है, 1970 में ARPANET वास्तव में एक परिचालन स्थिति में नहीं था, इसलिए नेटवर्क की परिभाषा दूरस्थ टर्मिनलों के साथ बहु-उपयोगकर्ता मेनफ्रेम के बारे में अधिक थी। समान रूप से रचनात्मक रूप से नामित 'कंप्यूटर सुरक्षा प्रौद्योगिकी योजना अध्ययन' के प्रकाशन के साथ, भविष्य-अतीत में थोड़ा और आगे बढ़ते हैं। वॉल्यूम I तथा वॉल्यूम II .

जेम्स पी. एंडरसन ने पहले वेयर रिपोर्ट पर भी काम किया था, और उसके दो-खंडों के अनुवर्ती ने इससे बहुत अधिक आकर्षित किया और इसका विस्तार किया। सुरक्षित प्रणालियों को डिजाइन करने और लागू करने के लिए उनके द्वारा की गई कई सिफारिशों को स्पष्ट रूप से दशकों से साइबर सुरक्षा पारिस्थितिकी तंत्र की हानि के लिए अनदेखा किया गया है, और कुछ को फिर से खोजा जा रहा है और उनका नाम बदला जा रहा है।

एक उदाहरण लेने के लिए, यदि आपने जीरो-ट्रस्ट नेटवर्क आर्किटेक्चर के बारे में सुना है, तो आप रिपोर्ट के वॉल्यूम 2 में मुख्य अवधारणाएँ पा सकते हैं जो दृष्टिकोण की ओर ले जाती हैं। इससे भी महत्वपूर्ण बात यह है कि हममें से जो लोग साइबर सुरक्षा के लिए एक गर्भाधान तिथि को परिभाषित करने की कोशिश कर रहे हैं, उनके लिए एंडरसन रिपोर्ट 'संबंधित कंप्यूटर सिस्टम के बड़े बिखरे हुए नेटवर्क की स्थापना की दिशा में आंदोलन' के बारे में बहुत कुछ बताती है। यह हमें साइबर सुरक्षा के लिए महत्वपूर्ण नेटवर्क होने का अधिक आधुनिक परिप्रेक्ष्य देता है।

तो साइबर सुरक्षा कब शुरू हुई?

हमें अपना जवाब मिल गया है। बेशक, इसमें एक सीमा शामिल हो सकती है, लेकिन इसके लिए एक मजबूत तर्क है कि यह कहने के लिए है कि यह किसी विशेष प्रकार के पहले सॉफ़्टवेयर टूल से शुरू हुआ था। साइबर सुरक्षा साइबर डोमेन के भीतर सुरक्षा के लिए एक व्यवस्थित, सुविचारित दृष्टिकोण है। चूंकि 1970 के दशक से पहले साइबर डोमेन अस्तित्व में नहीं था (किसी भी व्यावहारिक तरीके से), हमें आगे पीछे मुड़कर देखने की आवश्यकता नहीं है, लेकिन क्षेत्र के अग्रदूत बहुत सक्रिय थे और उन समस्याओं के बारे में सोच रहे थे जिनसे हम आज भी जूझ रहे हैं उस समय में वापस।

मेरा जवाब - साइबर की शुरुआत 1970 से 1972 के बीच वेयर एंड एंडरसन की रिपोर्ट के प्रकाशन के साथ हुई। और अगर आप उन रिपोर्ट्स को ध्यान से पढ़ें, तब से अब तक इसमें आश्चर्यजनक रूप से बहुत कम बदलाव आया है।