কেন রেড টিম ডিফেন্ডারদের সবচেয়ে গুরুত্বপূর্ণ প্রশ্নের উত্তর দিতে পারে না

কেন রেড টিম ডিফেন্ডারদের সবচেয়ে গুরুত্বপূর্ণ প্রশ্নের উত্তর দিতে পারে না

সময় স্ট্যাম্প: 5 জানুয়ারী, 2024 10:00 এএম
কেন রেড টিম ডিফেন্ডারদের সবচেয়ে গুরুত্বপূর্ণ প্রশ্নের উত্তর দিতে পারে না PlatoBlockchain ডেটা ইন্টেলিজেন্স। উল্লম্ব অনুসন্ধান. আ.

ধারাভাষ্য

1931 সালে, বিজ্ঞানী এবং দার্শনিক আলফ্রেড কোরজিবস্কি লিখেছেন, "মানচিত্রটি অঞ্চল নয়।" তিনি বোঝাতে চেয়েছিলেন যে সমস্ত মডেল, মানচিত্রের মতো, বাস্তবতার তুলনায় কিছু তথ্য ছেড়ে দেয়। সাইবার নিরাপত্তায় হুমকি শনাক্ত করার জন্য ব্যবহৃত মডেলগুলি একইভাবে সীমিত, তাই ডিফেন্ডারদের সর্বদা নিজেদের জিজ্ঞাসা করা উচিত, "আমার হুমকি সনাক্তকরণ কি সবকিছু সনাক্ত করতে পারে?" অনুপ্রবেশ পরীক্ষা এবং লাল- এবং নীল-দলের অনুশীলন এই প্রশ্নের উত্তর দেওয়ার প্রচেষ্টা। অথবা, অন্যভাবে বলতে গেলে, তাদের হুমকির মানচিত্র হুমকির বাস্তবতার সাথে কতটা ঘনিষ্ঠভাবে মেলে? 

দুর্ভাগ্যবশত, লাল দলের মূল্যায়ন এই প্রশ্নের উত্তর খুব ভাল না। রেড টিমিং অন্যান্য অনেক কিছুর জন্য দরকারী, কিন্তু প্রতিরক্ষা কার্যকারিতা সম্পর্কে এই নির্দিষ্ট প্রশ্নের উত্তর দেওয়ার জন্য এটি ভুল প্রোটোকল। ফলস্বরূপ, ডিফেন্ডারদের তাদের প্রতিরক্ষা কতটা শক্তিশালী তা বাস্তবসম্মত ধারণা নেই।

রেড-টিমের মূল্যায়ন প্রকৃতি দ্বারা সীমাবদ্ধ

রেড-টিমের মূল্যায়নগুলি রক্ষণাবেক্ষণ কাজ করছে তা যাচাই করার জন্য তেমন ভাল নয়। তাদের প্রকৃতি অনুসারে, তারা শুধুমাত্র কয়েকটি সম্ভাব্য আক্রমণ কৌশলের কয়েকটি নির্দিষ্ট রূপ পরীক্ষা করে যা একটি প্রতিপক্ষ ব্যবহার করতে পারে। এর কারণ হল তারা একটি বাস্তব-বিশ্বের আক্রমণ অনুকরণ করার চেষ্টা করছে: প্রথমে রিকন, তারপর অনুপ্রবেশ, তারপর পার্শ্বীয় আন্দোলন এবং আরও অনেক কিছু। কিন্তু ডিফেন্ডাররা যা শিখেছে তা হল এই নির্দিষ্ট কৌশল এবং জাতগুলি তাদের প্রতিরক্ষার বিরুদ্ধে কাজ করে। তারা অন্যান্য কৌশল বা একই প্রযুক্তির অন্যান্য জাত সম্পর্কে কোন তথ্য পায় না।

অন্য কথায়, যদি ডিফেন্ডাররা লাল দলকে সনাক্ত না করে, তাহলে কি তাদের প্রতিরক্ষার অভাব রয়েছে? নাকি লাল দল এমন একটি বিকল্প বেছে নিয়েছে যার জন্য তারা প্রস্তুত ছিল না? এবং যদি তারা লাল দলটিকে সনাক্ত করে তবে তাদের হুমকি সনাক্তকরণ কি ব্যাপক? নাকি "আক্রমণকারীরা" শুধু একটি কৌশল বেছে নিয়েছে যার জন্য তারা প্রস্তুত ছিল? নিশ্চিতভাবে জানার কোনো উপায় নেই।

এই সমস্যার মূল হল লাল দলগুলি প্রতিরক্ষার সামগ্রিক শক্তি বিচার করার জন্য সম্ভাব্য আক্রমণের ভেরিয়েন্টের যথেষ্ট পরীক্ষা করে না (যদিও তারা অন্য উপায়ে মান যোগ করে)। এবং আক্রমণকারীদের সম্ভবত আপনার উপলব্ধির চেয়ে আরও বেশি বিকল্প রয়েছে। একটি কৌশল যা আমি পরীক্ষা করেছি তার 39,000 বৈচিত্র ছিল। আরেকজনের কাছে ছিল ২.৪ মিলিয়ন! এই সব বা বেশিরভাগ পরীক্ষা করা অসম্ভব, এবং খুব কম পরীক্ষা করা নিরাপত্তার একটি মিথ্যা ধারণা দেয়।

বিক্রেতাদের জন্য: বিশ্বাস করুন কিন্তু যাচাই করুন

কেন হুমকি সনাক্তকরণ পরীক্ষা এত গুরুত্বপূর্ণ? সংক্ষেপে, এটি কারণ নিরাপত্তা পেশাদাররা যাচাই করতে চান যে বিক্রেতারা যে আচরণগুলি বন্ধ করার দাবি করে তার জন্য প্রকৃতপক্ষে ব্যাপক সনাক্তকরণ রয়েছে। নিরাপত্তা ভঙ্গি মূলত বিক্রেতাদের উপর ভিত্তি করে। সংস্থার নিরাপত্তা দল অনুপ্রবেশ প্রতিরোধ ব্যবস্থা (IPS), এন্ডপয়েন্ট সনাক্তকরণ এবং প্রতিক্রিয়া (EDR), ব্যবহারকারী এবং সত্তা আচরণ বিশ্লেষণ (UEBA), বা অনুরূপ সরঞ্জাম এবং বিশ্বাস করে যে নির্বাচিত বিক্রেতার সফ্টওয়্যার এটি যে আচরণ করবে তা শনাক্ত করবে। নিরাপত্তা পেশাদাররা ক্রমবর্ধমানভাবে বিক্রেতার দাবি যাচাই করতে চান। আমি যে কথোপকথন শুনেছি তার সংখ্যা হারিয়ে ফেলেছি যেখানে রেড টিম রিপোর্ট করে যে তারা নেটওয়ার্কে প্রবেশ করার জন্য কী করেছে, নীল দল বলে যে এটি সম্ভব নয়, এবং লাল দল কাঁধে তুলে বলে, "আচ্ছা, আমরা তাই করেছি …” ডিফেন্ডাররা এই অসঙ্গতি খুঁজে বের করতে চায়।

হাজার হাজার ভেরিয়েন্টের বিরুদ্ধে পরীক্ষা করা হচ্ছে

যদিও আক্রমণ কৌশলের প্রতিটি বৈকল্পিক পরীক্ষা করা ব্যবহারিক নয়, আমি বিশ্বাস করি তাদের একটি প্রতিনিধি নমুনা পরীক্ষা করা। এটি করার জন্য, সংস্থাগুলি রেড ক্যানারির ওপেন সোর্সের মতো পদ্ধতিগুলি ব্যবহার করতে পারে পারমাণবিক পরীক্ষা, যেখানে প্রতিটির জন্য একাধিক টেস্ট কেস ব্যবহার করে কৌশলগুলি পৃথকভাবে পরীক্ষা করা হয় (একটি অত্যধিক আক্রমণ শৃঙ্খলের অংশ হিসাবে নয়)। যদি একটি রেড-টিম ব্যায়াম হয় ফুটবল খেলার মতো, তবে পারমাণবিক পরীক্ষা ব্যক্তিগত নাটকের অনুশীলনের মতো। এই সমস্ত নাটকগুলি সম্পূর্ণভাবে ঘটবে না, তবে তারা কখন করবে তার জন্য অনুশীলন করা এখনও গুরুত্বপূর্ণ। উভয়ই একটি সু-বৃত্তাকার প্রশিক্ষণ প্রোগ্রামের অংশ হওয়া উচিত, অথবা এই ক্ষেত্রে, একটি সু-বৃত্তাকার নিরাপত্তা প্রোগ্রাম।

এর পরে, তাদের পরীক্ষার ক্ষেত্রে একটি সেট ব্যবহার করতে হবে যা প্রশ্নে থাকা কৌশলটির জন্য সমস্ত সম্ভাব্য বৈকল্পিক কভার করে। এই টেস্ট কেস তৈরি করা ডিফেন্ডারদের জন্য একটি গুরুত্বপূর্ণ কাজ; এটি পরীক্ষা কতটা ভালোভাবে নিরাপত্তা নিয়ন্ত্রণের মূল্যায়ন করে তার সাথে সরাসরি সম্পর্কযুক্ত হবে। উপরের আমার সাদৃশ্যটি চালিয়ে যাওয়ার জন্য, এই পরীক্ষার কেসগুলি হুমকির "মানচিত্র" তৈরি করে। একটি ভাল মানচিত্রের মতো, তারা অ-গুরুত্বপূর্ণ বিবরণ ছেড়ে দেয় এবং একটি নিম্ন-রেজোলিউশন তৈরি করতে গুরুত্বপূর্ণগুলি হাইলাইট করে, তবে সামগ্রিকভাবে সঠিক, হুমকির প্রতিনিধিত্ব করে। এই পরীক্ষার কেসগুলি কীভাবে তৈরি করা যায় এমন একটি সমস্যা যা আমি এখনও কুস্তি করছি (আমি করেছি সম্পর্কে লেখা এ পর্যন্ত আমার কিছু কাজ)।

বর্তমান হুমকি সনাক্তকরণের ত্রুটিগুলির আরেকটি সমাধান ব্যবহার করা হচ্ছে বেগুনি দল - একে অপরকে প্রতিপক্ষ হিসাবে দেখার পরিবর্তে লাল এবং নীল দলগুলিকে একসাথে কাজ করার জন্য পাওয়া। লাল এবং নীল দলগুলির মধ্যে আরও সহযোগিতা একটি ভাল জিনিস, তাই বেগুনি-টিম পরিষেবাগুলির উত্থান৷ কিন্তু এই পরিষেবাগুলির বেশিরভাগই মৌলিক সমস্যার সমাধান করে না। এমনকি আরও সহযোগিতার সাথে, মূল্যায়ন যেগুলি শুধুমাত্র কয়েকটি আক্রমণের কৌশল এবং রূপগুলিকে দেখে তা এখনও খুব সীমিত। বেগুনি-টিম পরিষেবাগুলি বিকশিত হওয়া দরকার।

আরও ভালো টেস্ট কেস তৈরি করা

ভালো টেস্ট কেস তৈরির চ্যালেঞ্জের একটি অংশ (এবং যে কারণে লাল-নীল দলের সহযোগিতা নিজে থেকেই যথেষ্ট নয়) তা হল আমরা যেভাবে আক্রমণকে শ্রেণীবদ্ধ করি তা অনেক বিশদকে অস্পষ্ট করে। সাইবারসিকিউরিটি তিন-স্তরযুক্ত লেন্সের মাধ্যমে আক্রমণগুলি দেখে: কৌশল, কৌশল এবং পদ্ধতি (টিটিপি)। মত একটি কৌশল শংসাপত্র ডাম্পিং Mimikatz বা Dumpert এর মত বিভিন্ন পদ্ধতি দ্বারা সম্পন্ন করা যেতে পারে এবং প্রতিটি পদ্ধতিতে ফাংশন কলের বিভিন্ন ক্রম থাকতে পারে। একটি "প্রক্রিয়া" কী তা সংজ্ঞায়িত করা খুব দ্রুত কঠিন হয়ে যায় তবে সঠিক পদ্ধতির সাথে এটি সম্ভব। এই সমস্ত বিবরণের নামকরণ এবং শ্রেণীকরণের জন্য শিল্পটি এখনও একটি ভাল সিস্টেম তৈরি করেনি।

আপনি যদি আপনার হুমকি সনাক্তকরণ পরীক্ষায় রাখতে চান, তাহলে প্রতিনিধিত্বমূলক নমুনা তৈরি করার উপায়গুলি সন্ধান করুন যা সম্ভাবনার বিস্তৃত ঝাঁকের বিরুদ্ধে পরীক্ষা করে — এটি একটি ভাল কৌশল যা আরও ভাল উন্নতি করবে। এটি ডিফেন্ডারদের অবশেষে লাল দলগুলির সাথে লড়াই করে এমন প্রশ্নের উত্তর দিতে সহায়তা করবে।

সময় স্ট্যাম্প:

থেকে আরো অন্ধকার পড়া