বাগ-ধাঁধাঁযুক্ত অপারেশনাল প্রযুক্তি ডিভাইসের আবিষ্কারে 'অনিরাপদ-দ্বারা-ডিজাইন' নিরাপত্তার সংস্কৃতি উল্লেখ করা হয়েছে।
গবেষকরা 56টি অপারেশনাল টেকনোলজি (OT) বিক্রেতাদের কাছ থেকে ডিভাইসগুলিকে প্রভাবিত করে এমন 10টি দুর্বলতা আবিষ্কার করেছেন, যার বেশিরভাগই তারা সরঞ্জামের অন্তর্নিহিত নকশা ত্রুটি এবং সুরক্ষা এবং ঝুঁকি ব্যবস্থাপনার একটি শিথিল পদ্ধতির জন্য দায়ী করেছেন যা কয়েক দশক ধরে শিল্পকে জর্জরিত করছে, তারা বলেছে।
হানিওয়েল, এমারসন, মটোরোলা, সিমেন্স, জেটিইকেটি, বেন্টলে নেভাদা, ফিনিক্স কন্টাক্ট, ওমরন, ইয়োগোগাওয়া এবং সেইসাথে একজন নামহীন নির্মাতার ডিভাইসে পাওয়া দুর্বলতাগুলি- তাদের বৈশিষ্ট্যের পরিপ্রেক্ষিতে এবং তারা হুমকি অভিনেতাদের কী করতে দেয়, Forescout এর Vedere ল্যাবস থেকে গবেষণা অনুযায়ী.
যাইহোক, সামগ্রিকভাবে "প্রতিটি দুর্বলতার প্রভাব প্রতিটি ডিভাইস যে কার্যকারিতা অফার করে তার উপর নির্ভর করে" একটি ব্লগ পোস্ট মঙ্গলবার প্রকাশিত ত্রুটি সম্পর্কে.
গবেষকরা প্রতিটি পণ্যের মধ্যে যে ধরনের ত্রুটি খুঁজে পেয়েছেন তা চারটি মৌলিক বিভাগে ভাগ করেছেন: অনিরাপদ প্রকৌশল প্রোটোকল; দুর্বল ক্রিপ্টোগ্রাফি বা ভাঙা প্রমাণীকরণ স্কিম; অনিরাপদ ফার্মওয়্যার আপডেট; বা নেটিভ কার্যকারিতার মাধ্যমে দূরবর্তী কোড এক্সিকিউশন।
ক্ষতিগ্রস্থ ডিভাইসের ত্রুটিগুলিকে কাজে লাগিয়ে হুমকি অভিনেতারা যে ক্রিয়াকলাপগুলিতে জড়িত হতে পারে তার মধ্যে রয়েছে: রিমোট কোড এক্সিকিউশন (RCE), বিভিন্ন বিশেষায়িত প্রসেসরে এবং একটি প্রসেসরের মধ্যে বিভিন্ন প্রসঙ্গে কার্যকর করা কোড সহ; পরিষেবা অস্বীকার (DoS) যা একটি ডিভাইসকে সম্পূর্ণ অফলাইনে নিতে পারে বা একটি নির্দিষ্ট ফাংশনে অ্যাক্সেস ব্লক করতে পারে; ফাইল/ফার্মওয়্যার/কনফিগারেশন ম্যানিপুলেশন যা আক্রমণকারীকে একটি ডিভাইসের গুরুত্বপূর্ণ দিক পরিবর্তন করতে দেয়; শংসাপত্রের আপস ডিভাইস ফাংশন অ্যাক্সেসের অনুমতি দেয়; বা প্রমাণীকরণ বাইপাস যা আক্রমণকারীকে লক্ষ্য ডিভাইসে পছন্দসই কার্যকারিতা আহ্বান করতে দেয়, গবেষকরা বলেছেন।
সিস্টেমিক সমস্যা
যে ত্রুটিগুলি - যা গবেষকরা সম্মিলিতভাবে মাউন্ট এভারেস্টের একটি রেফারেন্সে OT:ICEFALL নামে অভিহিত করেছেন এবং পর্বত ডিভাইস নির্মাতাদের নিরাপত্তার পরিপ্রেক্ষিতে আরোহণ করতে হবে - নেটওয়ার্কগুলির মূল ডিভাইসগুলির মধ্যে বিদ্যমান যা গুরুত্বপূর্ণ অবকাঠামো নিয়ন্ত্রণ করে এবং এর মধ্যেই যথেষ্ট খারাপ।
যাইহোক, সবচেয়ে খারাপ বিষয় হল যে ত্রুটিগুলি এড়ানো যেত, কারণ দুর্বলতা দ্বারা প্রভাবিত পণ্য পরিবারের 74 শতাংশের কিছু ধরণের নিরাপত্তা শংসাপত্র রয়েছে এবং এইভাবে বাজারে পাঠানোর আগে যাচাই করা হয়েছিল, গবেষকরা খুঁজে পেয়েছেন। অধিকন্তু, তাদের বেশিরভাগই "গভীর দুর্বলতা আবিষ্কারের সময় তুলনামূলকভাবে দ্রুত" আবিষ্কার করা উচিত ছিল, তারা উল্লেখ করেছে।
এই বিনামূল্যের পাস ওটি বিক্রেতারা দুর্বল পণ্যগুলিকে দিয়ে আসছেন যা নিরাপত্তা এবং ঝুঁকি ব্যবস্থাপনার ক্ষেত্রে সামগ্রিকভাবে শিল্পের ক্রমাগত দুর্বল প্রচেষ্টা প্রদর্শন করে, গবেষকরা সমস্যাটির উপর আলোকপাত করে পরিবর্তনের আশা করছেন, তারা বলেছেন।
"এই সমস্যাগুলি নিরাপত্তা-প্রত্যয়িত পণ্যগুলিতে ক্রমাগত অনিরাপদ-বাই-ডিজাইন অনুশীলন থেকে শুরু করে সেগুলি থেকে দূরে সরে যাওয়ার সাবপার প্রচেষ্টার মধ্যে রয়েছে," গবেষকরা পোস্টে লিখেছেন। "[আমাদের গবেষণার] লক্ষ্য হল কীভাবে এই সিস্টেমগুলির অস্বচ্ছ এবং মালিকানা প্রকৃতি, তাদের চারপাশে থাকা সাবঅপ্টিমাল দুর্বলতা ব্যবস্থাপনা এবং সার্টিফিকেশন দ্বারা প্রদত্ত নিরাপত্তার প্রায়শই মিথ্যা অনুভূতি OT ঝুঁকি ব্যবস্থাপনার প্রচেষ্টাকে উল্লেখযোগ্যভাবে জটিল করে তোলে।"
নিরাপত্তা প্যারাডক্স
প্রকৃতপক্ষে, নিরাপত্তা পেশাদাররা এমন একটি ক্ষেত্রে বিক্রেতাদের শিথিল নিরাপত্তা কৌশলের প্যারাডক্সটিও উল্লেখ করেছেন যা সিস্টেমগুলিকে চলমান গুরুত্বপূর্ণ অবকাঠামো তৈরি করে, হামলা যেটি কেবলমাত্র সেই নেটওয়ার্কগুলির জন্য নয় যেখানে পণ্যগুলি বিদ্যমান, বরং সমগ্র বিশ্বের জন্য বিপর্যয়কর হতে পারে৷
"কেউ ভুলভাবে অনুমান করতে পারে যে শিল্প নিয়ন্ত্রণ এবং অপারেশনাল প্রযুক্তি ডিভাইসগুলি যেগুলি সবচেয়ে গুরুত্বপূর্ণ এবং সংবেদনশীল কাজগুলি সম্পাদন করে সমালোচনামূলক অবকাঠামো পরিবেশগুলি বিশ্বের সবচেয়ে ভারী সুরক্ষিত সিস্টেমগুলির মধ্যে একটি হবে, তবুও বাস্তবতা প্রায়শই ঠিক বিপরীত হয়,” থ্রেটপোস্টকে একটি ইমেলে সার্বেরাস সেন্টিনেলের সমাধান আর্কিটেকচারের ভাইস প্রেসিডেন্ট ক্রিস ক্লেমেন্টস উল্লেখ করেছেন।
প্রকৃতপক্ষে, গবেষণা দ্বারা প্রমাণিত, "এই ভূমিকাগুলির মধ্যে অনেকগুলি ডিভাইসের নিরাপত্তা নিয়ন্ত্রণ রয়েছে যা আক্রমণকারীদের জন্য ভীতিজনকভাবে সহজে পরাজিত করা বা ডিভাইসগুলির সম্পূর্ণ নিয়ন্ত্রণ নিতে বাইপাস করা," তিনি বলেছিলেন।
গবেষকদের অনুসন্ধানগুলি আরও একটি সংকেত যে OT শিল্প "দীর্ঘ সময় ধরে সাইবারসিকিউরিটি হিসাবের সম্মুখীন হচ্ছে" যে বিক্রেতাদের আরও এগিয়ে যাওয়ার আগে উৎপাদনের সবচেয়ে মৌলিক স্তরে নিরাপত্তা সংহত করার মাধ্যমে প্রথম এবং সর্বাগ্রে সমাধান করতে হবে, ক্লেমেন্টস পর্যবেক্ষণ করেছেন।
"সংবেদনশীল অপারেশনাল টেকনোলজি ডিভাইসের নির্মাতাদের অবশ্যই সাইবার নিরাপত্তার একটি সংস্কৃতি গ্রহণ করতে হবে যা ডিজাইন প্রক্রিয়ার একেবারে শুরুতে শুরু হয় কিন্তু চূড়ান্ত পণ্যে ফলস্বরূপ বাস্তবায়নকে বৈধ করার মাধ্যমে চলতে থাকে," তিনি বলেন।
ঝুঁকি ব্যবস্থাপনার চ্যালেঞ্জ
গবেষকরা ওটি ডিভাইসে নিরাপত্তা নকশা এবং ঝুঁকি ব্যবস্থাপনার অন্তর্নিহিত সমস্যার কিছু কারণ তুলে ধরেছেন যা তারা প্রস্তুতকারকদের দ্রুত ফ্যাশনে প্রতিকারের পরামর্শ দেয়।
একটি হল ডিভাইস জুড়ে কার্যকারিতার পরিপ্রেক্ষিতে অভিন্নতার অভাব, যার অর্থ তাদের নিরাপত্তার অন্তর্নিহিত অভাবও ব্যাপকভাবে পরিবর্তিত হয় এবং সমস্যা সমাধানকে জটিল করে তোলে, তারা বলেছে। উদাহরণস্বরূপ, স্থানীয় কার্যকারিতা-লজিক ডাউনলোড, ফার্মওয়্যার আপডেট এবং মেমরি রিড/রাইট অপারেশন-এর মাধ্যমে লেভেল 1 ডিভাইসে RCE অর্জনের তিনটি প্রধান পথের তদন্তে গবেষকরা দেখেছেন যে পৃথক প্রযুক্তি এই পথগুলিকে ভিন্নভাবে পরিচালনা করেছে।
কোনো সিস্টেমই সমর্থন লজিক সাইনিং বিশ্লেষণ করেনি এবং 50 শতাংশেরও বেশি তাদের লজিক নেটিভ মেশিন কোডে কম্পাইল করেছে, তারা খুঁজে পেয়েছে। অধিকন্তু, 62 শতাংশ সিস্টেম ইথারনেটের মাধ্যমে ফার্মওয়্যার ডাউনলোডগুলি গ্রহণ করে, যেখানে শুধুমাত্র 51 শতাংশের এই কার্যকারিতার জন্য প্রমাণীকরণ রয়েছে।
ইতিমধ্যে, কখনও কখনও ডিভাইসের অন্তর্নিহিত নিরাপত্তা সরাসরি নির্মাতার দোষ ছিল না কিন্তু সরবরাহ শৃঙ্খলে "অনিরাপদ-বাই-ডিজাইন" উপাদানগুলির দোষ ছিল, যা নির্মাতারা কীভাবে ঝুঁকি পরিচালনা করে তা আরও জটিল করে তোলে, গবেষকরা খুঁজে পেয়েছেন।
"ওটি সাপ্লাই চেইন উপাদানগুলির দুর্বলতাগুলি প্রতিটি প্রভাবিত প্রস্তুতকারকের দ্বারা রিপোর্ট করা হয় না, যা ঝুঁকি ব্যবস্থাপনার অসুবিধাগুলিতে অবদান রাখে," তারা বলে।
সামনে লম্বা রাস্তা
প্রকৃতপক্ষে, ওটি এবং আইটি ডিভাইস এবং সিস্টেমে একইভাবে ঝুঁকি ব্যবস্থাপনা পরিচালনার জন্য "ঝুঁকির একটি সাধারণ ভাষা" প্রয়োজন, যা একটি শিল্পে বিক্রেতা এবং তাদের নিরাপত্তা এবং উৎপাদন কৌশলগুলির মধ্যে এত অসঙ্গতি সহ অর্জন করা কঠিন, উল্লেখ করেছেন নিক সান্না, সিইও RiskLens.
এর প্রতিকারের জন্য, তিনি বিক্রেতাদের আর্থিক শর্তে ঝুঁকির পরিমাণ নির্ধারণের পরামর্শ দেন, যা ঝুঁকি পরিচালক এবং প্ল্যান্ট অপারেটরদের "দুর্বলতার প্রতিক্রিয়া - প্যাচিং, নিয়ন্ত্রণ যোগ করা, বীমা বৃদ্ধি - সমস্ত ক্ষতির এক্সপোজারের স্পষ্ট বোঝার উপর ভিত্তি করে সিদ্ধান্ত নেওয়ার ক্ষেত্রে অগ্রাধিকার দিতে সক্ষম করে। আইটি এবং অপারেশনাল সম্পদ উভয়ই।"
যাইহোক, এমনকি যদি বিক্রেতারা মৌলিক চ্যালেঞ্জগুলি মোকাবেলা করতে শুরু করে যা OT:ICEFALL দৃশ্যকল্প তৈরি করেছে, তারা নিরাপত্তা সমস্যা ব্যাপকভাবে প্রশমিত করার জন্য একটি দীর্ঘ পথের মুখোমুখি হবে, ফরস্কাউট গবেষকরা বলেছেন।
"OT:ICEFALL-এর বিরুদ্ধে সম্পূর্ণ সুরক্ষার জন্য প্রয়োজন যে বিক্রেতারা ডিভাইস ফার্মওয়্যার এবং সমর্থিত প্রোটোকলের পরিবর্তনের সাথে এই মৌলিক সমস্যাগুলি সমাধান করে এবং সম্পদের মালিকরা তাদের নিজস্ব নেটওয়ার্কে পরিবর্তনগুলি (প্যাচ) প্রয়োগ করে," তারা লিখেছিল৷ "বাস্তবভাবে, এই প্রক্রিয়াটি খুব দীর্ঘ সময় নেবে।"
- blockchain
- coingenius
- cryptocurrency মানিব্যাগ
- ক্রিপ্টোএক্সচেঞ্জ
- সাইবার নিরাপত্তা
- cybercriminals
- সাইবার নিরাপত্তা
- হোমল্যান্ড সিকিউরিটি ডিপার্টমেন্ট
- ডিজিটাল ওয়ালেট
- ফায়ারওয়াল
- Kaspersky
- ম্যালওয়্যার
- এমকাফি
- নেক্সব্লক
- Plato
- প্লেটো এআই
- প্লেটো ডেটা ইন্টেলিজেন্স
- প্লেটো গেম
- প্লেটোডাটা
- প্লেটোগেমিং
- ভিপিএন
- দুর্বলতা
- ওয়েবসাইট নিরাপত্তা
- zephyrnet
