সিভিইগুলির বাইরে: উচ্চ-ঝুঁকির সুরক্ষা এক্সপোজারগুলি হ্রাস করার চাবিকাঠি

2022 সালে, ন্যাশনাল ইনস্টিটিউট অফ স্ট্যান্ডার্ডস অ্যান্ড টেকনোলজি রিপোর্ট করেছে 23,000 এর বেশি নতুন দুর্বলতা, এক ক্যালেন্ডার বছরের মধ্যে রেকর্ড করা বৃহত্তম স্পাইক। উদ্বেগজনকভাবে, এই ঊর্ধ্বমুখী প্রবণতা অব্যাহত থাকবে বলে আশা করা হচ্ছে, সাম্প্রতিক গবেষণার পরামর্শ দেওয়া হয়েছে আমরা 1,900 টিরও বেশি নতুন সাধারণ দুর্বলতা এবং এক্সপোজার (CVE) দেখতে পারি প্রতি মাসে গড়ে এই বছর, যার মধ্যে 270 রেট করা উচ্চ-তীব্রতা এবং 155 রেট করা গুরুতর-তীব্রতা।

যেহেতু সিআইএসও এবং নিরাপত্তা দলগুলি হ্রাসকৃত নিরাপত্তা বাজেট এবং সাইবার প্রতিভার চিরস্থায়ী অভাবের সাথে লড়াই করছে, প্রতি বছর নতুন দুর্বলতার এই সত্যিকারের জোয়ারের তরঙ্গকে প্যাচ করা কেবল একটি অপ্রাপ্য এবং হাস্যকর কাজ।

কয়েক হাজার নিবন্ধিত CVE-এর মধ্যে শুধুমাত্র 2% থেকে 7%কে কখনও বন্য অঞ্চলে শোষিত হতে দেখা যায়. এইভাবে, মনহীন প্যাচিং খুব কমই একটি ফলপ্রসূ কার্যকলাপ। বর্ধিত আক্রমণ পৃষ্ঠের সাথে, হুমকির ল্যান্ডস্কেপ ততটা নিস্তব্ধ হয় না যতটা আমরা প্রায়শই এটিকে বিবেচনা করি। আক্রমণকারীরা একটি পৃথক দুর্বলতার উপর আক্রমণ চালাচ্ছে না কারণ এটি প্রায় কখনই সমালোচনামূলক সম্পদের দিকে নিয়ে যায় না। দুর্বলতা, বেশিরভাগ ক্ষেত্রে, এক্সপোজারের সমান হয় না এবং সাংগঠনিক সিস্টেমে প্রবেশ করতে চাইছেন এমন আক্রমণকারীর পক্ষে যথেষ্ট পুরস্কৃত হয় না।

দুর্বলতার দিকে মনোনিবেশ করার পরিবর্তে, দূষিত অভিনেতারা ক্রেডেনশিয়াল এবং মিসকনফিগারেশনের মতো এক্সপোজারের সংমিশ্রণ ব্যবহার করছে, যাতে বিচক্ষণতার সাথে সমালোচনামূলক সম্পদ আক্রমণ এবং কোম্পানির ডেটা চুরি করা যায়। আসুন এই বিশিষ্ট, এবং প্রায়শই উপেক্ষিত, এক্সপোজারগুলির কিছু অন্বেষণ করি যা সংস্থাগুলির সবচেয়ে বেশি উদ্বিগ্ন হওয়া উচিত।

বাতিল করা পরিবেশ: অন-প্রিমিসেস

যদিও আমরা শক্তিশালী ক্লাউড সুরক্ষার প্রয়োজনীয়তাকে অসম্মান করতে পারি না, গত এক দশকে এর আধিপত্য অনেককে কার্যকর এবং চটপটে অন-প্রাঙ্গনে নিয়ন্ত্রণ তৈরিতে তাদের বিনিয়োগকে উপেক্ষা করেছে। কোনো ভুল করবেন না, দূষিত অভিনেতারা ক্লাউড পরিবেশে থাকলেও সমালোচনামূলক সম্পদ এবং সিস্টেমগুলিতে অ্যাক্সেস পেতে অন-প্রিমিসেস এক্সপোজারগুলি সক্রিয়ভাবে শোষণ করে চলেছে।

এই বছরের শুরুর দিকে মাইক্রোসফ্ট ব্যবহারকারীদের তাদের অন-প্রিম এক্সচেঞ্জ সার্ভার সুরক্ষিত করার জন্য অনুরোধ করা হয়েছে সফ্টওয়্যারের মধ্যে নিরাপত্তা ত্রুটিগুলি সিস্টেমে হ্যাক করার জন্য অস্ত্র তৈরি করা হয়েছে এমন কয়েকটি উদাহরণের প্রতিক্রিয়া হিসাবে। ক্লাউড সুরক্ষার উপর সমস্ত ফোকাস দিয়ে, অনেক সংস্থা হাইব্রিড আক্রমণের পৃষ্ঠ এবং কীভাবে আক্রমণকারীরা দুটি পরিবেশের মধ্যে চলাচল করতে পারে সে সম্পর্কে অন্ধ হয়ে গেছে।

অতিমাত্রায় পারমিসিভ আইডেন্টিটিস, প্রিভিলেজড এক্সেস

সুবিধার কথা মাথায় রেখে, ক্লাউড ব্যবহারকারী, ভূমিকা এবং পরিষেবা অ্যাকাউন্টগুলি অত্যধিক অনুমতি প্রদান করে চলেছে৷ এটি জিনিসগুলি পরিচালনা করা সহজ করে তুলতে পারে এবং এটি ক্রমাগত বিভিন্ন পরিবেশে অ্যাক্সেসের জন্য জিজ্ঞাসা করা কর্মচারীদের সাথে মোকাবিলা করা এড়াতে পারে, তবে এটি আক্রমণকারীদের প্রতিরক্ষার প্রথম স্তরটি সফলভাবে ক্র্যাক করার পরে তাদের পা বাড়াতে এবং আক্রমণের পথ প্রসারিত করতে দেয়।

একটি ভারসাম্য আঘাত করা আবশ্যক কারণ এই মুহুর্তে, অনেক সংস্থার পরিচয়ের ক্ষেত্রে দৃঢ় শাসনের অভাব রয়েছে, যার ফলে তাদের কাছে অতিরিক্ত অ্যাক্সেস রয়েছে যাদের তাদের কাজগুলি সম্পাদন করার জন্য এই ধরনের দক্ষতার প্রয়োজন নেই।

যদিও হাইব্রিড এবং মাল্টিক্লাউড পরিবেশে পরিচয় সুরক্ষিত করা অত্যন্ত জটিল, সেই দর্শনের উপর কাজ করা যে প্রত্যেক ব্যবহারকারী একটি বিশেষ সুবিধাপ্রাপ্ত ব্যবহারকারী, পার্শ্বীয় স্প্রেড বন্ধ করা আরও কঠিন করে তোলে। এটি একটি ছোটো আক্রমণ এবং ক্ষয়ক্ষতির চেষ্টা এবং ধারণ করার জন্য একটি সপ্তাহ-দীর্ঘ প্রকল্পের মধ্যে পার্থক্যও হতে পারে। আমাদের সাম্প্রতিক গবেষণায় দেখা গেছে যে 73% শীর্ষ আক্রমণের কৌশলগুলি অব্যবস্থাপিত বা চুরি করা শংসাপত্র জড়িত।

দ্য হিউম্যান গ্লিচ

আসুন আমরা সবচেয়ে সাধারণ, তবুও ক্ষতিকর, ভুলগুলির মধ্যে একটি সম্পর্কে ভুলে যাই না: নিরাপত্তা নিয়ন্ত্রণের অনুপযুক্ত স্থাপনা এবং ব্যবহার। আপনি বিনিয়োগ করেন, তবে আপনাকে অবশ্যই নিশ্চিত করতে হবে যে আপনি সুবিধাগুলি কাটাবেন। একটি বহুল পরিচিত সমস্যা হওয়া সত্ত্বেও, নিরাপত্তা নিয়ন্ত্রণ ভুল কনফিগারেশন এখনও অত্যন্ত প্রচলিত। যদিও কোনও হুমকি সনাক্তকরণ এবং প্রতিক্রিয়া বা শেষপয়েন্ট সমাধান শুরু করার জন্য বুলেটপ্রুফ নয়, অনেকগুলি ভুল কনফিগার করা হয়, সমগ্র পরিবেশ জুড়ে স্থাপন করা হয় না, বা স্থাপন করা হলেও নিষ্ক্রিয় হয়।

আমরা হাইপারভিজিবিলিটির একটি বিশ্বে কাজ করছি, যেখানে ডায়াগনস্টিক ক্লান্তি প্রবল এবং নিরাপত্তা দলগুলি অনেক সৌম্য এবং সম্পর্কহীন দুর্বলতার সাথে ডুবে আছে। সিআইএসও এবং নিরাপত্তা দলগুলি সবকিছু দেখার জন্য অনুসন্ধান করছে বলে মনে হচ্ছে। কিন্তু CVSS বা অন্যান্য স্কোরিং মেকানিজমের উপর ভিত্তি করে অগ্রাধিকার দেওয়া এক্সপোজার এবং প্রযুক্তিগত দুর্বলতার ক্লান্তিকর দীর্ঘ তালিকা তাদের প্রতিষ্ঠানকে নিরাপদ করে না। কী কী গুরুত্বপূর্ণ তা দেখা এবং সৌম্যের সমুদ্রে সমালোচনামূলক হারানো না।

ঠিক করার চেষ্টা না করে সব, সংস্থাগুলিকে অবশ্যই তাদের চোকপয়েন্ট চিহ্নিত করার জন্য কাজ করতে হবে, সেইসব এলাকা যেখানে এক্সপোজারগুলি সাধারণত আক্রমণের পথে একত্রিত হয়। এটি করার জন্য আপনার এক্সপোজার ল্যান্ডস্কেপের পরিশ্রমী মূল্যায়ন এবং আক্রমণকারীরা কীভাবে গুরুত্বপূর্ণ সম্পদগুলিতে পৌঁছানোর জন্য আপনার পরিবেশের মধ্য দিয়ে নেভিগেট করতে পারে তা বোঝার প্রয়োজন। একবার এই চোক পয়েন্টগুলি চিহ্নিত করা এবং প্রতিকার করা হয়ে গেলে, এটি অন্যান্য এক্সপোজারগুলিকে অপ্রাসঙ্গিক করে তুলবে, শুধুমাত্র প্রচুর সময়ই সাশ্রয় করবে না, তবে সম্ভাব্যভাবে আপনার নিরাপত্তা দলের বিচক্ষণতাও।

উপরন্তু, এটি আপনার IT টিমগুলিকে একত্রিত করার অতিরিক্ত সুবিধা পেতে পারে কারণ এটি তাদের নির্দিষ্ট প্যাচগুলির তাত্পর্য সম্পর্কে একটি স্পষ্ট দৃষ্টিভঙ্গি দেয় এবং তারা আর অনুভব করে না যে তারা তাদের সময় নষ্ট করছে।

থ্রেট ল্যান্ডস্কেপ এগিয়ে রাখা

যেমন হেনরি ফোর্ড একবার বলেছিলেন, "আপনি যদি সর্বদা তা করেন যা আপনি সবসময় করেছেন, আপনি সর্বদা যা পেয়েছেন তা পাবেন।" যদিও বেশিরভাগ সংস্থার জায়গায় শক্তিশালী দুর্বলতা ব্যবস্থাপনা প্রোগ্রাম রয়েছে, দুর্বলতাগুলি শুধুমাত্র ঝুঁকির একটি ছোট অংশ।

অস্থির হুমকির ল্যান্ডস্কেপকে সামনে রেখে চলমান এক্সপোজার ম্যানেজমেন্ট মেকানিজম প্রয়োজন। কোন এক্সপোজারগুলি আপনার সংস্থা এবং গুরুত্বপূর্ণ সম্পদগুলির জন্য সবচেয়ে বেশি ঝুঁকি উপস্থাপন করে — এবং কীভাবে একজন আক্রমণকারী আক্রমণের পথে এই এক্সপোজারগুলিকে কাজে লাগাতে পারে — তা বোঝা গুরুত্বপূর্ণভাবে ফাঁকগুলি প্লাগ করতে এবং সামগ্রিক নিরাপত্তা ভঙ্গি উন্নত করতে সহায়তা করবে৷

• এসইও চালিত বিষয়বস্তু এবং পিআর বিতরণ। আজই পরিবর্ধিত পান।
• প্লেটোব্লকচেন। Web3 মেটাভার্স ইন্টেলিজেন্স। জ্ঞান প্রসারিত. এখানে প্রবেশ করুন.
• অ্যাড্রিয়েন অ্যাশলির সাথে ভবিষ্যত মিন্টিং। এখানে প্রবেশ করুন.
• উত্স: https://www.darkreading.com/vulnerabilities-threats/beyond-cves-the-key-to-mitigating-high-risk-security-exposures