Welcome [BLOCK_TYPE SECTION/STEP]
Cybersecurity: Defense in Depth में आपका स्वागत है। [BLOCK_TYPE SECTION/STEP]
हर हफ्ते एक नई सुर्खी: ransomware के हमले से अस्पताल अपने सिस्टम से लॉक आउट हो जाता है, एक breached database से लाखों पासवर्ड लीक हो जाते हैं, या एक pipeline attackers द्वारा बंद कर दिया जाता है जिन्होंने एक compromised password के जरिए घुसपैठ की। [BLOCK_TYPE SECTION/STEP]
Cybersecurity hoodie पहने हुए hacker होने के बारे में नहीं है। यह समझने के बारे में है कि सिस्टम कैसे fail करते हैं और defenses बनाना है जो तब तक hold up करें जब: अगर नहीं: कुछ गलत हो जाए। [BLOCK_TYPE SECTION/STEP]
यह lesson आपको foundational concepts से threat modeling, network defense, application security, incident response, & finally career paths तक ले जाएगा जहां यह knowledge bills का भुगतान करती है।
CIA Triad
The CIA Triad
हर सुरक्षा निर्णय तीन सिद्धांतों पर आधारित होता है। उद्योग इन्हें CIA triad कहता है: यह खुफिया एजेंसी से संबंधित नहीं है।
Confidentiality: केवल अधिकृत व्यक्ति ही डेटा तक पहुंच सकते हैं। एक मेडिकल रिकॉर्ड केवल मरीज और उनके डॉक्टर को दिखाई देना चाहिए, न कि पूरे इंटरनेट को।
Integrity: डेटा के साथ छेड़छाड़ नहीं की गई है। जब आपकी बैंक कहती है कि आपका बैलेंस $500 है, तो आपको विश्वास होना चाहिए कि किसी ने इसे $5,000 से बदलकर $500 नहीं किया है।
Availability: सिस्टम और डेटा जरूरत पड़ने पर उपलब्ध होने चाहिए। एक अस्पताल के मरीजों के रिकॉर्ड बेकार हैं अगर इमरजेंसी के दौरान नेटवर्क डाउन हो जाए।
ज्यादातर उल्लंघन इनमें से कम से कम एक को प्रभावित करते हैं। Ransomware हमले Availability को प्रभावित करते हैं। Data leaks Confidentiality को प्रभावित करते हैं। वित्तीय लेन-देन पर Man-in-the-middle हमला Integrity को प्रभावित करता है।
वास्तविक दुनिया की सुरक्षा इन तीनों के बीच Trade-offs के बारे में है। एक सिस्टम जो तिजोरी में बंद है, उसकी Confidentiality परफेक्ट है लेकिन Availability शून्य है।
आक्रमण वेक्टर
हमले वास्तव में कैसे होते हैं
हॉलीवुड हैकर्स को टर्मिनल में हरे कोड टाइप करते हुए दिखाती है। वास्तविकता कम आकर्षक है। ज्यादातर उल्लंघन कुछ सामान्य आक्रमण वेक्टरों में से एक से शुरू होते हैं:
फिशिंग: किसी व्यक्ति को लिंक पर क्लिक करने, अटैचमेंट खोलने, या किसी नकली साइट पर क्रेडेंशियल्स दर्ज करने के लिए धोखा देना। यह अभी भी नंबर एक प्रारंभिक एक्सेस विधि है। स्पीयर फिशिंग किसी विशिष्ट व्यक्ति को कस्टमाइज्ड लालच के साथ टारगेट करती है।
मैलवेयर: सॉफ़्टवेयर जो नुकसान पहुँचाने या अनधिकृत एक्सेस प्राप्त करने के लिए डिज़ाइन किया गया है: रैनसमवेयर आपके फाइल्स को एन्क्रिप्ट करता है और पैसे की माँग करता है, ट्रोजन खुद को वैध सॉफ़्टवेयर के रूप में छिपाते हैं, और वर्म्स नेटवर्क्स के पार स्वता फैलते हैं।
सप्लाई चेन अटैक्स: किसी विश्वसनीय वेंडर या सॉफ़्टवेयर डिपेंडेंसी को समझौते में लाना। 2020 में SolarWinds अटैक ने एक नियमित सॉफ़्टवेयर अपडेट में दुर्भावनापूर्ण कोड इंजेक्ट किया जो 18,000 संगठनों को वितरित किया गया, जिसमें US सरकारी एजेंसियां भी शामिल थीं।
क्रेडेंशियल अटैक्स: पासवर्ड्स को ब्रूट फोर्स करना, क्रेडेंशियल स्टफिंग (अन्य ब्रेaches से लीक हुए पासवर्ड्स का उपयोग करना), या डिफ़ॉल्ट क्रेडेंशियल्स का शोषण करना जो कभी बदले नहीं गए।
जीरो-डे एक्सप्लॉइट्स: ऐसे सॉफ़्टवेयर की कमज़ोरी पर हमला करना जिसके बारे में सॉफ़्टवेयर विक्रेता को अभी पता नहीं है। ये दुर्लभ लेकिन विनाशकारी होते हैं क्योंकि कोई पैच उपलब्ध नहीं होता।
Threat Actors and MITRE
हमलों के पीछे कौन है?
सभी हमलावर एक जैसे नहीं होते। सुरक्षा पेशेवर उन्हें प्रेरणा और क्षमता के आधार पर वर्गीकृत करते हैं:
स्क्रिप्ट किडीज़: कम-कौशल वाले हमलावर जो पहले से तैयार किए गए टूल्स का उपयोग करते ہیں۔ ये वास्तविक नुकसान पहुँचाते ہیں लेकिन परिष्कृत नहीं होते।
Hacktivists: राजनीतिक या सामाजिक रूप से प्रेरित। वे अपनी बात रखने के लिए वेबसाइटों को डिफेस करते हैं, डेटा लीक करते ہیں, या डिनायल-ऑफ-सर्विस अटैक्स लॉन्च करते हैं।
Cybercriminals: लाभ-प्रेरित। रैंसमवेयर गैंग्स, फ्रॉड रिंग्स, और डेटा ब्रोकर्स। यह इंटरनेट के लिए अनुकूलित संगठित अपराध है।
Nation-State Actors (APTs): सरकारों द्वारा समर्थित Advanced Persistent Threats। उनके पास बड़े बजट, कस्टम टूल्स، اور سالوں میں ناپے گئے صبر ہیں۔ جاسوسی، انفراس्ट्रक्चر سبोटाज، اور انٹلیکچوئل پراپرٹی چوری کے بارے میں سوچیں۔
Insiders: कर्मचारी या ठेकेदार जिनके पास वैध एक्सेस है और जो इसका गलत इस्तेमाल करते हैं, चाहे जानबूझकर या लापरवाही से।
MITRE ATT&CK Framework
MITRE ATT&CK एक सार्वजनिक रूप से उपलब्ध ज्ञान आधार है जो वास्तविक दुनिया के हमलावरों की तकनीकों को चरणों के अनुसार सूचीबद्ध करता है: प्रारंभिक पहुंच, निष्पादन, स्थायित्व, विशेषाधिकार वृद्धि, पार्श्व गति, डेटा निकासी, और अधिक। रक्षक इसका उपयोग यह समझने के लिए करते हैं कि हमलावर प्रत्येक चरण में क्या करते ہیں اور اس کے مطابق डिटेक्शन बनाते ہیں۔
फ़ायरवॉल, VPN और IDS/IPS
नेटवर्क रक्षा परतें
नेटवर्क सुरक्षा का अर्थ है यह नियंत्रित करना कि आपके नेटवर्क में कौन-सा ट्रैफ़िक प्रवेश करता है, बाहर जाता है, और नेटवर्क के अंदर कैसे घूमता है। कोई भी एक उपकरण अकेले ऐसा नहीं कर सकता: डिफेंस इन डेप्थ का अर्थ है कई नियंत्रणों को परतों में रखना।
फ़ायरवॉल: पहली रक्षा पंक्ति। एक फ़ायरवॉल नेटवर्क ट्रैफ़िक की जाँच करता है और नियमों के आधार पर उसे अनुमति देता है या रोकता है। एक बेसिक फ़ायरवॉल IP एड्रेस और पोर्ट नंबर के आधार पर फ़िल्टर करता है। एक नेक्स्ट-जेनरेशन फ़ायरवॉल (NGFW) ट्रैफ़िक की वास्तविक सामग्री का निरीक्षण करता है और विशिष्ट एप्लिकेशन को पहचान सकता है।
VPNs (Virtual Private Networks): दो बिंदुओं के बीच ट्रैफ़िक को एन्क्रिप्ट करता है, जिससे एक सुरक्षित टनल बनती है जो पब्लिक इंटरनेट जैसी अविश्वसनीय नेटवर्क पर काम करती है। रिमोट वर्कर्स VPN का इस्तेमाल करके कंपनी के आंतरिक संसाधनों तक इस तरह पहुँच सकते ہیں کہ جیسے وہ آن سائٹ ہوں۔
IDS/IPS (Intrusion Detection/Prevention Systems): एक IDS ट्रैफ़िक को मॉनिटर करता ہے اور جب کچھ مشکوک نظر آتا ہے تو الرٹ کرتا ہے۔ ایک IPS وہی کام کرتا ہے لیکن خود بخود ٹریفک کو بلاک کر سکتا ہے۔ IDS کو سیکیورٹی کیمرہ اور IPS کو سیکیورٹی کیمرہ کے ساتھ گارڈ سمجھیں جو دروازہ بند کر سکتا ہے۔
Network Segmentation: नेटवर्क کو الگ الگ زونز میں تقسیم کرنا تاکہ ایک علاقے میں بریچ دوسرے علاقے میں آسانی سے پھیل نہ سکے۔ مارکیٹنگ ڈپارٹمنٹ میں ایک کمpromised workstation فائنانس ڈپارٹمنٹ کے ڈیٹابیس سرورز تک پہنچ نہ سکے۔
Zero Trust and DNS Security
Zero Trust Architecture
पारंपरिक नेटवर्क सुरक्षा ने महल-और-खंदक मॉडल का पालन किया: मजबूत परिधि सुरक्षा, लेकिन एक बार जब आप अंदर आ जाते हैं, तो आप पर भरोसा किया जाता है। यह मॉडल तब भयावह रूप से विफल हो जाता है जब कोई हमलावर परिधि को पार कर लेता है: या जब परिधि गायब हो जाती है क्योंकि हर कोई घर से काम करता है।
Zero Trust मॉडल को उलट देता है: कभी भरोसा न करें, हमेशा सत्यापित करें। हर अनुरोध: चाहे वह नेटवर्क के अंदर से आए या बाहर से: को प्रमाणित, अधिकृत और एन्क्रिप्ट किया जाना चाहिए। मुख्य सिद्धांत:
- Verify explicitly: सभी उपलब्ध डेटा के आधार पर प्रमाणित करें और अधिकृत करें: पहचान, स्थान، डिवाइस स्वास्थ्य, सेवा या वर्कलोड, डेटा वर्गीकरण।
- Least privilege access: उपयोगकर्ताओं और सिस्टम को केवल न्यूनतम अनुमतियाँ दें जो उन्हें आवश्यक हैं, और केवल उतनी ही देर के लिए जितनी उन्हें आवश्यक हैं।
- Assume breach: सिस्टम को इस तरह डिज़ाइन करें जैसे कि कोई हमलावर पहले से ही अंदर है। किसी भी समझौते के प्रभाव की सीमा को न्यूनतम करें।
DNS Security
DNS डोमेन नामों को IP पतों में अनुवादित करता है। हमलावर इसका कई तरीकों से शोषण करते हैं: DNS स्पूफिंग उपयोगकर्ताओं को दुर्भावनापूर्ण साइटों पर रीडायरेक्ट करता है, DNS टनलिंग DNS क्वेरीज़ के अंदर डेटा एक्सफ़िल्ट्रेशन को छुपाता है, और डोमेन हाईजैकिंग एक वैध डोमेन पर कब्जा कर लेता है। DNSSEC DNS प्रतिक्रियाओं में क्रिप्टोग्राफ़िक हस्ताक्षर जोड़ता है ताकि छेड़छाड़ को रोका जा सके।
इंजेक्शन अटैक
जब एप्लिकेशन अटैक सरफेस बन जाते हैं
नेटवर्क सुरक्षा बिल्कुल सही हो सकती है, लेकिन अगर एप्लिकेशन में ही कमजोरियाँ हैं, तो हमलावर सीधे सामने के दरवाजे से अंदर आ सकते हैं।
SQL इंजेक्शन: हमलावर इनपुट फील्ड में दुर्भावनापूर्ण SQL कोड डालता है। अगर एप्लिकेशन यूजर इनपुट को जोड़कर डेटाबेस क्वेरी बनाता है, तो हमलावर पूरे डेटाबेस को पढ़ सकता है, बदल सकता है या उसे हटा सकता है। उदाहरण: लॉगिन फॉर्म में ' OR 1=1 -- डालने से प्रमाणीकरण पूरी तरह से बायपास हो सकता है।
क्रॉस-साइट स्क्रिप्टिंग (XSS): हमलावर एक वेब पेज में दुर्भावनापूर्ण JavaScript इंजेक्ट करता है जिसे अन्य यूजर्स देखेंगे। जब पीड़ित पेज लोड करता है, तो स्क्रिप्ट उनके ब्राउजर में चलती है और सेशन कुकीज़ चुरा सकती है, उन्हें फ़िशिंग साइट्स पर रीडायरेक्ट कर सकती है, या पेज पर दिखने वाली चीज़ों को बदल सकती है।
<translated content> [BLOCK_TYPE appsec/injection]
OWASP Top 10: Open Web Application Security Project एक नियमित रूप से अपडेट की जाने वाली सूची प्रकाशित करता है जिसमें सबसे महत्वपूर्ण वेब एप्लिकेशन सुरक्षा जोखिम शामिल होते ہیں۔ Injection और XSS इस सूची में एक दशक से अधिक समय से शामिल हैं। अन्य प्रविष्टियों में broken access control, security misconfiguration, और insecure design शामिल हैं। [BLOCK_TYPE appsec/injection]
<translated content> [BLOCK_TYPE appsec/injection]
Injection हमलों का समाधान केवल इनपुट फ़िल्टरिंग नहीं है: यह parameterized queries (जिन्हें prepared statements भी कहा जाता है) है। SQL स्ट्रिंग्स को यूज़र इनपुट के साथ बनाने के बजाय, आप इनपुट को एक अलग पैरामीटर के طور پر پاس کرتے ہیں جسے ڈیٹابیس ڈیٹا کے طور پر سمجھتا ہے، کبھی بھی کوڈ کے طور پر نہیں۔ [BLOCK_TYPE appsec/injection]
Authentication and Secure Development
Authentication Done Right
Authentication یہ ثابت کرنا ہے کہ آپ وہی ہیں جو آپ دعویٰ کرتے ہیں۔ Authorization یہ طے کرنا ہے کہ آپ کو کیا کرنے کی اجازت ہے۔ دونوں کو الگ الگ سمجھنا عام طور پر vulnerabilities کا سبب بنتا ہے۔
<translated content> [BLOCK_TYPE SECTION/STEP]
मल्टी-फैक्टर ऑथेंटिकेशन (MFA): दो या अधिक कारकों की आवश्यकता होती है: कुछ जो आप जानते हैं (पासवर्ड), कुछ जो आप रखते हैं (फोन या हार्डवेयर कुंजी), कुछ जो आप हैं (फिंगरप्रिंट)। MFA अधिकांश क्रेडेंशियल-आधारित हमलों को रोकता है क्योंकि केवल चोरी किया गया पासवर्ड पर्याप्त नहीं होता। [BLOCK_TYPE SECTION/STEP]
<translated content> [BLOCK_TYPE SECTION/STEP]
OAuth 2.0 और OpenID Connect: प्रत्यायोजित प्राधिकरण और प्रमाणीकरण के लिए मानक। जब आप 'Sign in with Google' पर क्लिक करते हैं, तो OAuth एप्लिकेशन को Google के माध्यम से आपकी पहचान सत्यापित करने की अनुमति देता है, बिना कभी Google पासवर्ड देखे। [BLOCK_TYPE SECTION/STEP]
<translated content> [BLOCK_TYPE SECTION/STEP]
सुरक्षित सॉफ़्टवेयर डेवलपमेंट लाइफसाइकल (SDLC)
[BLOCK_TYPE SECTION/STEP]सुरक्षा को विकास के बाद जोड़ा नहीं जा सकता। सुरक्षित SDLC हर चरण में सुरक्षा को एकीकृत करता है: [BLOCK_TYPE SECTION/STEP]
- डिज़ाइन: थ्रेट मॉडलिंग: क्या गलत हो सकता है?
- विकास: सुरक्षित कोडिंग मानक, कोड समीक्षा, स्थैतिक विश्लेषण उपकरण
- परीक्षण: गतिशील विश्लेषण, पेनेट्रेशन परीक्षण, फज़ परीक्षण
- तैनाती: सख्त कॉन्फ़िगरेशन, सीक्रेट्स प्रबंधन
- रखरखाव: पैचिंग, भेद्यता स्कैनिंग, निर्भरता अपडेट
घटना प्रतिक्रिया जीवनचक्र
जब रोकथाम विफल हो जाए
कोई भी सुरक्षा पूर्ण नहीं होती। जब कोई उल्लंघन होता है, तो छोटी घटना और बड़ी तबाही के बीच का अंतर यह होता ہے کہ آپ کتनी جلدی اور مؤثر طریقے سے جواب دیتے ہیں۔
The standard incident response lifecycle has six phases:
1. Preparation: Build the team, define roles, create playbooks, run tabletop exercises. This happens before any incident. An unprepared team wastes critical hours figuring out who does what.
2. Detection and Analysis: Identify that an incident is happening and determine its scope. This is where SIEM (Security Information and Event Management) systems aggregate logs from across the environment and alert on suspicious patterns. SOC (Security Operations Center) analysts triage these alerts 24/7.
3. Containment: Stop the bleeding. Short-term containment might mean isolating an infected machine from the network. Long-term containment might mean building a clean parallel environment while you investigate.
4. Eradication: हमलावर की उपस्थिति को पूरी तरह हटाएं: मैलवेयर, बैकडोर, समझौता किए गए खाते, और स्थायित्व तंत्र।
5. Recovery: सिस्टम को सामान्य संचालन में पुनर्स्थापित करें। सत्यापित करें कि वातावरण साफ है। हमलावर की उपस्थिति के संकेतों के लिए निकटता से निगरानी करें।
6. Lessons Learned: सबसे अधिक उपेक्षित चरण। दोषरहित पोस्ट-मॉर्टम आयोजित करें: क्या हुआ, इसका पता कैसे चला, क्या काम किया, क्या नहीं किया, और कौन से बदलाव पुनरावृत्ति को रोकेंगे।
Incident Response Scenario
Scenario: Ransomware at 2 AM
आप ऑन-कॉल सुरक्षा विश्लेषक हैं। सुबह 2:14 बजे, आपके SIEM में एक अलर्ट आता है: कई फाइल सर्वर असामान्य एन्क्रिप्शन गतिविधि दिखा रहे हैं। कुछ ही मिनटों में, यूरोपीय कार्यालय के कर्मचारी रिपोर्ट करते हैं कि उनकी फाइलें रैनसम नोट्स से बदल दी गई हैं, जिनमें 50 बिटकॉइन की मांग की गई है।
आपकी घटना प्रतिक्रिया योजना कहती है कि IR टीम लीड को एस्केलेट करें और रैनसमवेयर प्लेबुक का पालन करें। CEO कॉल कर रहे हैं। लीगल नोटिफिकेशन दायित्वों के बारे में जानना चाहता है। IT डायरेक्टर जानना चाहता है कि बैकअप साफ हैं या नहीं।
सीखे गए सबक [BLOCK_TYPE ir/lessons]
वह चरण जिसे हर कोई छोड़ देता है
[BLOCK_TYPE ir/lessons]तत्काल संकट के समाधान के बाद, सीखे गए सबक चरण यह निर्धारित करता है कि संगठन वास्तव में सुधार करता है या नहीं। एक दोष-मुक्त पोस्ट-मॉर्टम पूछता है: [BLOCK_TYPE ir/lessons]
- प्रारंभिक पहुँच वेक्टर क्या था? [BLOCK_TYPE ir/lessons]
- हमलावर को पर्यावरण में पता लगने से पहले कितने समय तक रहने दिया गया (निवास समय)? [BLOCK_TYPE ir/lessons]
- कौन से नियंत्रण विफल रहे, और क्यों? [BLOCK_TYPE ir/lessons]
- कौन से नियंत्रण काम कर गए?
- क्या विशिष्ट, मापने योग्य बदलाव दोबारा होने से रोकेंगे?
दोषमुक्त शब्द महत्वपूर्ण है। यदि लोगों को सजा का डर लगे, तो वे गलतियाँ छिपाते हैं। यदि वे गलतियाँ छिपाते हैं, तो संगठन कभी सीखता नहीं। लक्ष्य सिस्टम को ठीक करना है, न कि व्यक्तियों को सजा देना।
हाल के वर्षों में ransomware हमलों का औसत dwell time कम हुआ है, लेकिन अन्य हमलों के प्रकारों में हमलावर अक्सर हफ्तों या महीनों तक बिना पहचाने रहते ہیں۔ Detection speed सुरक्षा संचालन में सबसे महत्वपूर्ण मेट्रिक्स में से एक है।
साइबर सुरक्षा में करियर पथ
इस ज्ञान का उपयोग कहाँ होता है
साइबर सुरक्षा में वैश्विक स्तर पर सैकड़ों हजारों पद खाली हैं। यह क्षेत्र विभिन्न व्यक्तित्वों और कौशलों के लिए कई करियर पथ प्रदान करता है:
SOC Analyst: फ्रंट लाइन। SOC एनालिस्ट शिफ्ट में काम करते हैं, अलर्ट्स की निगरानी करते हैं, घटनाओं को ट्राइएज करते हैं और खतरों को एस्केलेट करते हैं। साइबरसिक्योरिटी में यह सबसे आम एंट्री पॉइंट है। शिफ्ट वर्क और बहुत सारी अलर्ट थकान की अपेक्षा करें, लेकिन यह तेजी से गहरी व्यावहारिक ज्ञान बनाता है।
Penetration Tester (Pentester): आपको संगठनों में उनकी अनुमति से घुसपैठ करने का भुगतान किया जाता है। आप हमलावरों से पहले कमजोरियों को ढूंढते हैं। नेटवर्किंग, वेब एप्लिकेशन और ऑपरेटिंग सिस्टम में गहरी तकनीकी कौशल की आवश्यकता होती है। क्रिएटिव समस्या-समाधान आवश्यक है।
Security Engineer: रक्षात्मक इंफ्रास्ट्रक्चर को डिज़ाइन और बनाता है: फायरवॉल, SIEM सिस्टम, आइडेंटिटी प्लेटफॉर्म, एन्क्रिप्शन सिस्टम। यह बिल्डर भूमिका है। DevOps और क्लाउड इंजीनियरिंग के साथ मजबूत ओवरलैप।
Digital Forensics and Incident Response (DFIR): जांचकर्ता। जब कोई उल्लंघन होता है, DFIR प्रोफेशनल्स यह पुनर्निर्माण करते हैं कि क्या हुआ, कैसे और कब। विस्तार से सावधानीपूर्वक ध्यान और कानूनी प्रक्रियाओं तथा सबूतों के हैंडलिंग के साथ आराम की आवश्यकता।
प्रमाणपत्र
प्रमाणपत्र अनिवार्य नहीं हैं, लेकिन वे नए अवसर खोलते हैं:
- CompTIA Security+: उद्योग-मानक प्रवेश-स्तरीय प्रमाणपत्र। मूलभूत सुरक्षा अवधारणाओं को कवर करता है। एक अच्छा प्रारंभिक बिंदु।
- OSCP (Offensive Security Certified Professional): व्यावहारिक पेनेट्रेशन टेस्टिंग प्रमाणपत्र। आपको 24 घंटे में लैब में कई मशीनों में घुसपैठ करनी होती है। अत्यधिक सम्मानित और वास्तव में कठिन।
- CISSP (Certified Information Systems Security Professional): प्रबंधन-स्तरीय प्रमाणपत्र जो सुरक्षा रणनीति, जोखिम प्रबंधन और शासन को कवर करता है। पाँच वर्ष का अनुभव आवश्यक है। वरिष्ठ और नेतृत्व भूमिकाओं के लिए व्यापक रूप से आवश्यक।
आपकी सुरक्षा मानसिकता
समाप्ति
आपने काफी कुछ कवर किया है: CIA ट्रायड, थ्रेट एक्टर्स और अटैक वेक्टर्स, नेटवर्क डिफेंस और जीरो ट्रस्ट, एप्लिकेशन सिक्योरिटी और इंजेक्शन अटैक्स, इंसिडेंट रिस्पॉन्स डिटेक्शन से लेकर लेसन्स लर्न्ड तक, और करियर पाथ्स जो इन सबको काम में लाते हैं।
डिफेंस इन डेप्थ का मुख्य सिद्धांत यह है कि कोई भी एक कंट्रोल पर्याप्त नहीं होता। आप फायरवॉल्स को सेगमेंटेशन के साथ लेयर करते हैं, सेगमेंटेशन को मॉनिटरिंग के साथ, मॉनिटरिंग को इंसिडेंट रिस्पॉन्स के साथ, और इन सबको ट्रेंड लोगों के साथ जो जानते हैं कि जब कुछ फेल हो जाए तो क्या करना चाहिए।
अटैकर्स को केवल एक गैप ढूंढना होता है। डिफेंडर्स को उन सबको कवर करना होता है। यही असममिति इस क्षेत्र को चुनौतीपूर्ण और महत्वपूर्ण बनाती है।