ہمارا طریقہ کار
زیادہ تر حفاظتی ٹولز کمزوریوں کی فہرست کو تھوک دیتے ہیں اور آپ کو اس کا احساس دلانے کے لیے چھوڑ دیتے ہیں۔ ہم اس کے برعکس کرتے ہیں: ہم آپ کے ماحول کے ساتھ بیٹھتے ہیں، ہر درخواست پر عمل کرتے ہیں، ہر پرت کو دستاویز کرتے ہیں، اور آپ کو ایک ترجیحی منصوبہ دیتے ہیں جس پر آپ کل عمل کر سکتے ہیں۔
مقصد ایک طویل خطرے کی فہرست نہیں ہے - یہ اس بات کی تیز تر تفہیم ہے کہ آپ کہاں سامنے آئے ہیں، یہ کیوں اہمیت رکھتا ہے، اور پہلے کیا کرنا ہے۔ اسکیننگ اور تشخیص میں یہی فرق ہے۔
ہم جو آپ اصل میں چلاتے ہیں اس کا نقشہ بنا کر شروع کرتے ہیں: سسٹمز، اکاؤنٹس، پیری میٹرز، انضمام۔ آپ اس کا دفاع نہیں کر سکتے جو آپ نہیں دیکھ سکتے۔
ایج، ایپلیکیشن، نیٹ ورک، بیک اینڈ، ڈیٹا۔ ہر پرت کا اپنا تجزیہ ہوتا ہے - ایک بھی پریمیٹر اسکین نہیں۔
سرخ/نارنجی/سبز ترجیحات اور ٹھوس اگلے اقدامات کے ساتھ تحریری سیکیورٹی اسکور۔ رکھنا، بانٹنا، عمل کرنا آپ کا ہے۔
ڈومین 1 - رسائی کنٹرول اور شناخت
ہر خلاف ورزی ایک اکاؤنٹ سے شروع ہوتی ہے۔ ہم شناخت کا اختتام سے آخر تک آڈٹ کرتے ہیں: لوگ، مراعات، SSO، آف بورڈنگ، اور ہنگامی رسائی۔
ایک توثیق کار ایپ فال بیک کے ساتھ ملٹی فیکٹر توثیق ہر جگہ نافذ ہے۔
ایڈمن اکاؤنٹس کو مکمل آڈٹ لاگنگ کے ساتھ الگ کریں۔
آف لائن ذخیرہ شدہ ہنگامی اکاؤنٹ تاکہ ڈائرکٹری سروس کی بندش آپ کو مقفل نہ کرے۔
پرائمری ٹولز پر SSO، SAML/OIDC وائرنگ کے ساتھ ثانوی ایپس پر ابھی بھی زیر التواء ہے۔
فی ڈپارٹمنٹ والٹس اور جوائنر لیور فلو کے ساتھ ٹیم بھر میں پاس ورڈ مینیجر۔
ہر سسٹم کے لیے دستاویزی آف بورڈنگ اسکرپٹ — کوئی یتیم رسائی نہیں۔
ڈومین 2 - ڈیٹا پروٹیکشن اور بیک اپ کی حکمت عملی
ہم پورے تحفظ کے لائف سائیکل کا آڈٹ کرتے ہیں: کیا انکرپٹڈ ہے، کس چیز کا بیک اپ لیا جاتا ہے، کتنی بار اس کی جانچ کی جاتی ہے، اور آپ کتنی تیزی سے واپس آسکتے ہیں۔
سہ ماہی سینڈ باکس ریسٹور ٹیسٹ اور وقتی بحالی کے ساتھ روزانہ بیک اپ۔
ہر لیپ ٹاپ اور پلیٹ فارم کے زیر انتظام تمام سٹوریج اور ڈیٹا بیسز پر ڈسک کی خفیہ کاری۔
استعمال میں فعال معلومات کے تحفظ کے لیبل کے ساتھ موجودہ، دستخط شدہ پالیسی۔
دستاویزی ریکوری ٹائم اور ریکوری پوائنٹ کے مقاصد فی سسٹم۔
رن بُکس کے ساتھ سہ ماہی کیڈنس، نامی مالک، اور تاریخ کے آڈٹ ثبوت۔
ترجیحات، انحصار، اور سالانہ واک تھرو کے ساتھ تحریری DR منصوبہ۔
بیک اپ سائیکل جو ہم آپ کے ساتھ چلاتے ہیں۔
خودکار روزانہ اسنیپ شاٹس، ٹرانزٹ میں اور آرام کے وقت خفیہ کردہ۔
سہ ماہی سینڈ باکس میں بحال کریں — کوئی بہانہ نہیں، کوئی استثنا نہیں۔
حقیقی RTO کے خلاف حقیقی وصولی — گھنٹوں میں ماپا جاتا ہے، وعدوں میں نہیں۔
ڈیٹا انٹیگریٹی چیک + سائن آف، آڈیٹرز کے لیے ثبوت کے طور پر محفوظ شدہ۔
بیک اپ کوئی واقعہ نہیں ہے، یہ ایک لوپ ہے - واحد قدم جو اہمیت رکھتا ہے بحالی ہے۔
ڈومین 3 - انفراسٹرکچر اور نیٹ ورک سیکیورٹی
انٹرنیٹ کا سامنا کرنے والے کنارے، آفس وائی فائی، VLAN حدود، پیچ کیڈینس۔ ہم کام کے بوجھ میں آپ کے دائرے کے ذریعے کھلے انٹرنیٹ سے درخواست کی پیروی کرتے ہیں۔
ہم اصلی ٹوپولوجی کا نقشہ بناتے ہیں — عوامی IPs، WAF قواعد، VLANs اور ingress — پھر ہر ہاپ کو اس کی متوقع ترتیب کے خلاف چیک کریں۔
عوامی ڈومینز پر شرح کو محدود کرنے اور بوٹ مینجمنٹ کے ساتھ ایج سیکیورٹی۔
WPA3-انٹرپرائز ڈائرکٹری کی حمایت یافتہ تصدیق کے ساتھ — مشترکہ WPA2 پاس ورڈ نہیں۔
اسٹاف، IoT اور مہمان کے لیے علیحدہ VLANs — کوئی فلیٹ آفس LAN نہیں۔
دستاویزی مستثنیات کے ساتھ 30 دنوں کے اندر OS اور ایپ اپ ڈیٹس۔
آؤٹ باؤنڈ DNS فلٹرنگ اور ایک نظرثانی شدہ فائر وال رولسیٹ۔
داخلی خدمات پر شناخت سے آگاہ رسائی، کوئی مضمر نیٹ ورک اعتماد نہیں۔
ڈومین 4 - واقعہ کا جواب اور تسلسل
واقعہ کے ردعمل کا منصوبہ ایک عضلہ ہے، دستاویز نہیں ہے۔ ہم پلان، ڈرل کیڈنس، بیرونی رابطوں، اور واقعہ کے بعد کے لوپ کو چیک کرتے ہیں۔
کرداروں کے ساتھ موجودہ IR پلان، ترقی کے راستے، اور ایک واضح مواصلاتی درخت۔
جو ہم چیک کرتے ہیں۔: ورژن، آخری جائزے کی تاریخ، ملکیت اور اسٹوریج کا مقام — اور آیا اس میں جن لوگوں کا نام ہے وہ اب بھی یہاں کام کرتے ہیں۔
دو بار سالانہ ٹیبل ٹاپ گھومنے والے منظرناموں کے ساتھ مشق کرتا ہے تاکہ ٹیم پلے بک کو جان سکے۔
جو ہم چیک کرتے ہیں۔: آخری ڈرل کی تاریخ، منظرنامے چلائے گئے، اسباق پکڑے گئے، اور تبدیلیاں پلان میں واپس دھکیل دی گئیں۔
CERT، بیمہ کنندہ، قانونی مشیر اور فرانزک IR پلان میں 24/7 نمبروں کے ساتھ۔
جو ہم چیک کرتے ہیں۔: کرنسی اور پہلے سے منظور شدہ دائرہ کار کے لیے ہر رابطے کا تجربہ کیا گیا تاکہ آپ بحران کے دوران بات چیت نہیں کر رہے ہیں۔
عملے، صارفین، ریگولیٹرز اور پریس کے لیے پہلے سے تیار کردہ ہولڈنگ اسٹیٹمنٹس - قانونی جائزہ لیا گیا۔
جو ہم چیک کرتے ہیں۔: ہر سامعین کے لیے ٹیمپلیٹس، دستخط شدہ اضافے کی حد اور اسٹیٹس اپ ڈیٹس کے لیے سچائی کا واحد ذریعہ۔
14 دنوں کے اندر پوسٹ مارٹم کا ڈھانچہ، کارروائی کی اشیاء کے ساتھ بند ہونے کا پتہ لگایا گیا۔
جو ہم چیک کرتے ہیں۔: بے قصور ٹیمپلیٹ، ایکشن رجسٹر اور واقعے کے 90 دن بعد کنٹرولز کو دوبارہ چیک کرنے کے لیے کیلنڈر کی یاد دہانی۔
ڈومین 5 - تعمیل اور فریق ثالث کا خطرہ
جی ڈی پی آر رجسٹر، پروسیسنگ انوینٹری، ڈیٹا سبجیکٹ تک رسائی، وینڈر کے جائزے۔ ہم ریکارڈز اور فریق ثالث کے خطرے کی سطح کا آڈٹ کرتے ہیں — اور آپ کے پاس ایک رجسٹر چھوڑتے ہیں جو حقیقت میں موجودہ ہے۔
ای میل پلیٹ فارم فلٹرنگ کے ساتھ سیف لنک، اٹیچمنٹ اور اینٹی فشنگ پالیسیاں جو آپ کے ڈومینز کے مطابق ہیں۔
ہر سرگرمی، قانونی بنیاد، برقرار رکھنے کی مدت اور مالک کے ساتھ تازہ ترین رجسٹر۔
مالک، SLA اور ٹیمپلیٹس کے ساتھ دستاویزی ڈیٹا سبجیکٹ تک رسائی کی درخواست کا عمل۔
پروڈکشن یا ذاتی ڈیٹا تک رسائی کے ساتھ ہر سپلائر کے لیے خطرے پر مبنی تشخیص۔
PIA ہر نئے سسٹم یا سپلائر کے ذاتی ڈیٹا کو چھونے کے لیے، رجسٹر کے ساتھ محفوظ شدہ۔
ایک قابل تلاش جگہ پر تعمیل کا ثبوت — پالیسیاں، سائن آف، ڈرل لاگ، جائزے۔
ڈیلیوری قابل
مندرجہ بالا پانچ ڈومینز سے ہر تلاش ایک تحریری رپورٹ میں آتی ہے، تین درجے کے نظام پر اسکور کیا جاتا ہے جس پر آپ بغیر کسی مترجم کے کام کر سکتے ہیں۔ ہمارے جانے کے بعد یہی آپ کے ہاتھ میں رہتا ہے۔
رسائی کنٹرول، ڈیٹا پروٹیکشن، انفراسٹرکچر، واقعے کا ردعمل، تعمیل — ہر ایک کی حیثیت، تلاش اور ثبوت۔
ہر فرق کے لیے: ترجیح، مالک، کوشش کا تخمینہ اور ایک ٹھوس اگلی کارروائی — ایک مبہم 'جائزہ اور بہتری' نہیں۔
رپورٹ میں شامل آرکیٹیکچر ڈایاگرام، صحت مند/خطرے میں/نازک کے ساتھ نشان زد کیا گیا ہے تاکہ تصویر نثر سے مماثل ہو۔
آپ کا سیکیورٹی اسکور
آپ کو جرگن سے بھرا ہوا کاغذ نہیں ملتا۔ آپ کو ایک اسکور ملتا ہے: فی آئٹم، فوری طور پر واضح کریں کہ کیا کام کر رہا ہے اور کس چیز پر توجہ دینے کی ضرورت ہے۔
نازک خطرے — فوری کارروائی کی ضرورت ہے۔ جہاں ممکن ہو ہم اسے دن کے وقت ٹھیک کرتے ہیں۔
توجہ کی ضرورت ہے - 30 دنوں کے اندر اس کی منصوبہ بندی کریں۔ ہم آپ کو اقدامات دیتے ہیں۔
سب اچھا ہے - یہ حصہ مناسب طریقے سے سنبھالا ہے. تحریری طور پر تصدیق کی ہے۔
اوسطاً ہمیں فی تشخیص 8-12 مسائل ملتے ہیں۔ ہمیں جو کچھ بھی ملتا ہے، ہم ٹھیک کر دیتے ہیں — اگر ممکن ہو تو اسی دن۔
اختیاری — اسی دن کی فوری جیت
اگر ہمارے پاس مکمل تشخیص کے بعد وقت ہے، تو ہم ان تبدیلیوں کو لاگو کرتے ہیں جن میں منٹ لگتے ہیں — ہفتوں نہیں — تاکہ آپ بیدار ہونے سے زیادہ محفوظ بستر پر جائیں۔
بوٹ مینجمنٹ، براؤزر کی سالمیت کی جانچ اور ان راستوں کے لیے سیکیورٹی لیول کو آن کریں جن کی ضرورت ہے۔ پانچ منٹ، حقیقی اثر.
رابطہ فارم، لاگ ان اور پاس ورڈ ری سیٹ پر مناسب حدیں لگائیں۔ سب سے آسان بدسلوکی ویکٹر کو شروع کرنے سے پہلے کاٹ دیتا ہے۔
سابق ملازمین، پرانے ایڈمن اکاؤنٹس اور غیر استعمال شدہ API کیز کو منسوخ کریں جو ہمیں لیول 1 میں ملی ہیں۔ رپورٹ میں سب سے سستی جیت۔
HSTS، X-Frame-Options، بیس لائن CSP میں ڈراپ کریں۔ کنارے پر ایک کنفیگریشن تبدیلی میں کیا گیا، ہمیشہ کے لیے رکھا گیا۔
ایماندارانہ انتباہ: فوری جیت صرف اس صورت میں ہوتی ہے جب مکمل تشخیص وقت کے ساتھ ختم ہو جائے۔ ہم اصلاحات کے لیے کبھی بھی گہرائی سے تجارت نہیں کریں گے — ایک مکمل آڈٹ قابل ترسیل ہے، اصلاحات بونس ہیں۔
کورور کیوں مختلف ہے۔
بہت سارے ٹولز آپ کو اسکین بیچیں گے۔ بہت کم لوگ ایک دن آپ کے دفتر میں بیٹھیں گے اور وضاحت کریں گے کہ انہیں کیا ملا۔ یہاں فرق ہے۔
آپ بالکل وہی دیکھتے ہیں جو ہم ہر سطح پر کرتے ہیں — کوئی بلیک باکس نہیں، کوئی ملکیتی راز نہیں۔ طریقہ کار ڈیلیور ایبل ہے۔
انوینٹری، ایج، ایپلیکیشن، نیٹ ورک، بیک اینڈ، ڈیٹا، انضمام۔ زیادہ تر اسکین ایک پرت کا احاطہ کرتے ہیں۔ ہم راستے کا احاطہ کرتے ہیں.
جب کوئی مسئلہ منٹوں میں حل ہو جاتا ہے، تو ہم آگے بڑھنے سے پہلے اسے حل کر لیتے ہیں۔ آپ نتائج کے ساتھ چھوڑتے ہیں، نہ صرف ایک فہرست۔
ہماری پارٹنرشپ سروس کے ذریعے سیکیورٹی اسکور لائیو رہتا ہے — جب آپ سفارشات پر عمل کرتے ہیں تو آپ کو اپنی کرنسی میں تبدیلی نظر آتی ہے۔
ہر وہ چیز جو ہمیں کسی دستاویز میں زمین ملتی ہے آپ کا آڈیٹر، آپ کا CTO اور آپ کے مستقبل کے ملازمین پڑھ سکتے ہیں۔ علم ہمارا ساتھ نہیں چھوڑتا۔
جب آپ ہوں تو تیار ہوں۔
ایک پورا دن۔ سائٹ پر۔ مقررہ قیمت۔ آپ سیکیورٹی اسکور کی رپورٹ کے ساتھ چلے جاتے ہیں اور - اگر وقت ہو تو - پہلے سے تعینات بہتریوں کا ایک ڈھیر۔
