নিরাপত্তা ঝুঁকির জন্য শেষ ব্যবহারকারীকে দোষারোপ করা বন্ধ করুন

সাইবারসিকিউরিটি পেশাদারদের মধ্যে এটি একটি সাধারণ বিষয় যে সংস্থাটিকে সুরক্ষিত করার ক্ষেত্রে শেষ ব্যবহারকারীকে ঝুঁকির শীর্ষ ক্ষেত্র হিসাবে নির্দেশ করে৷ এই বোধগম্য. সিস্টেম এবং সফ্টওয়্যারগুলি আমাদের নিয়ন্ত্রণে রয়েছে, কিন্তু ব্যবহারকারীরা অপ্রত্যাশিত, সেই অনিয়ন্ত্রিত পরিবর্তনশীল যা আমাদের হুমকির পৃষ্ঠকে প্রতিটি ভৌগলিকভাবে ছড়িয়ে দেওয়া ব্যবহারকারী, ব্যক্তিগত ডিভাইস এবং সমস্ত-মানবীয় ত্রুটি এবং ত্রুটিগুলিকে প্রসারিত করে।

অবশ্যই, হুমকি অভিনেতারা বেশ সফলভাবে আমাদের ব্যবহারকারীদের লক্ষ্য করে — আমি এই সুস্পষ্ট সত্যকে খারিজ করতে এখানে নই। তবে যা সমানভাবে নিশ্চিত তা হল: Wই এই সমস্যা থেকে আমাদের পথ প্রশিক্ষিত করতে পারে না। এন্টারপ্রাইজগুলি ব্যবহারকারীর নিরাপত্তা-সচেতনতা প্রশিক্ষণে উল্লেখযোগ্য বিনিয়োগ করে, এবং তবুও, তারা বিব্রতকর, ব্যয়বহুল লঙ্ঘনের শিকার হয়। সুতরাং, শেষ ব্যবহারকারীকে সুরক্ষিত করার উপর প্রাথমিকভাবে ফোকাস করা একটি সঠিক কৌশল নয়।

মনের মধ্যে নতুন কৌশল সঙ্গে সুরক্ষিত সিস্টেম

সত্য: আপনার ব্যবহারকারীরা একটি প্রধান ঝুঁকির কারণ। অনুসারে Verizon এর “2022 ডেটা লঙ্ঘন এবং তদন্ত প্রতিবেদন, 35% র‍্যানসমওয়্যার সংক্রমণ একটি ফিশিং ইমেলের মাধ্যমে শুরু হয়েছিল৷ বাস্তবতা: বহু বছর ধরে নিরাপত্তা-সচেতনতা প্রশিক্ষণে বিনিয়োগ বাড়ানো সত্ত্বেও এটি। সাইবার নিরাপত্তা সচেতনতা প্রশিক্ষণ বাজার বৃদ্ধি অনুমান করা হয় 1,854.9 সালে $2022 মিলিয়ন থেকে 12,140 সালের মধ্যে $2027 মিলিয়ন। বাস্তবতা: এমনকি এই সমস্ত বিনিয়োগের সাথেও, র্যানসমওয়্যার (একটি আক্রমণের ধরন হিসাবে) এছাড়াও আক্রমনাত্মক বৃদ্ধি প্রত্যাশিত, প্রশিক্ষণ সহ অনেক সাংগঠনিক প্রচেষ্টা সত্ত্বেও.

দুঃখজনক, অনিবার্য সত্য: আমাদের ব্যবহারকারীরা এখনও ভুল করতে চলেছেন — আমরা সবাই মানুষ, সর্বোপরি। পরিচালিত একটি জরিপ আরও নিরাপত্তা প্রশিক্ষণের প্রয়োজনীয়তা প্রমাণ করার জন্য, আমার দৃষ্টিতে, এটি প্রমাণিত হয়েছে সাইবার সংকট থামাতে অক্ষমতা: জরিপকৃত পাঁচজনের মধ্যে চারজন নিরাপত্তা সচেতনতা প্রশিক্ষণ পেয়েছেন; 26% এবং 44% এর মধ্যে (বয়স জনসংখ্যার উপর ভিত্তি করে) যাইহোক অজানা প্রেরকদের থেকে লিঙ্ক এবং সংযুক্তিগুলিতে ক্লিক করা অব্যাহত রেখেছে।

শুধু ব্যবহারকারীকে সুরক্ষিত করার উপর নির্ভর করবেন না

আমাদের উপসংহারে আসা উচিত যে সাংগঠনিক নিরাপত্তা ব্যবহারকারীকে সুরক্ষিত করার উপর খুব বেশি নির্ভর করা উচিত নয়, তাদের সাথে আপস করা হবে এবং তারপর এই ধারণাটি মাথায় রেখে সিস্টেমগুলি সুরক্ষিত করা শুরু করুন। এইভাবে, এমনকি যদি একটি শেষ ব্যবহারকারী লঙ্ঘন করা হয়, সেই আপস দ্বারা করা সিস্টেমিক ক্ষতির পরিমাণ বড় হওয়া উচিত নয় যদি যথাযথ নিরাপত্তা ব্যবস্থা নিযুক্ত করা হয় এবং সঠিকভাবে সাজানো হয়।

আমাদের কি আমাদের শেষ ব্যবহারকারীদের প্রশিক্ষণ দেওয়া উচিত? একেবারে, জোর দিয়ে, হ্যাঁ। শক্তিশালী নিরাপত্তার জন্য একটি স্তরযুক্ত পদ্ধতির প্রয়োজন, এবং এর অর্থ হল আপনার সিস্টেমের প্রতিটি দরজা সুরক্ষিত করার মাধ্যমে আপনার নিরাপত্তা জোরদার করা। কিন্তু আমাদের অবশ্যই সমীকরণ থেকে শেষ-ব্যবহারকারীর ঝুঁকি অপসারণ শুরু করতে হবে। এই পছন্দগুলির জন্য কিছু কঠিন পছন্দ এবং উল্লেখযোগ্য নেতৃত্ব কেনার প্রয়োজন।

কিভাবে আমরা একটি শীর্ষ ঝুঁকি হিসাবে ব্যবহারকারীদের নিরস্ত্র করতে পারি?

সংস্থাগুলিকে অবশ্যই আরও ভালভাবে অ্যাক্সেস ব্লক করতে হবে এবং সুরক্ষা নিয়ন্ত্রণগুলি অর্কেস্ট্রেট করতে হবে৷. সিস্টেমগুলি ডিফল্টরূপে খুব খোলা; আমাদের অবশ্যই সেগুলিকে ডিফল্টরূপে বন্ধ করতে হবে, প্রতিটি ঝুঁকির জন্য মূল্যায়ন করতে হবে এবং তারপর ব্যতিক্রম এবং সম্পূর্ণ ইচ্ছাকৃতভাবে অ্যাক্সেস খুলতে হবে। ব্যবহারকারীরা যা অ্যাক্সেস করতে পারে না তা ক্লিক করতে বা খুলতে পারে না, এবং আমরা যে সংস্থাগুলির মূল্যায়ন করি বা লঙ্ঘনের পরে প্রতিকার করি, আমরা কর্মচারী এবং সিস্টেমগুলিকে কাজের সময় প্রয়োজনের তুলনায় অনেক বেশি অ্যাক্সেস দেখতে পাই। কোম্পানিগুলিকে তাদের লোকে, প্রক্রিয়া এবং প্রযুক্তি জুড়ে আরও শক্তিশালী সুরক্ষা অর্কেস্ট্রেশনের উপর স্তর দেওয়া উচিত যাতে, কোনও হুমকি অভিনেতা যদি কোনওভাবেই অনুপযুক্ত ক্লিকের মাধ্যমে অ্যাক্সেস পেতে পারে, তাদের পার্শ্বীয় আন্দোলন এবং শংসাপত্রের ফসল সংগ্রহ/বর্ধিতকরণ বন্ধ করার জন্য ডিজাইন করা হয়েছে।

সংস্থাগুলি ব্যবহারকারীর ঝুঁকি কমাতে সক্রিয় পদক্ষেপ নিতে পারে, যার মধ্যে রয়েছে: ব্যক্তিগত ইমেল অ্যাকাউন্টগুলিতে অ্যাক্সেস ব্লক করা; গভীর-প্যাকেট পরিদর্শন সহ HTTPS ট্র্যাফিক ফিল্টার করা; ডিফল্টরূপে নন-ইউজার সাবনেট/ভিএলএএন-এ ইন্টারনেট অ্যাক্সেস ব্লক করা; সমস্ত ব্যবহারকারীর ট্র্যাফিক পরিদর্শন এবং ফিল্টার করা প্রয়োজন সব সময় - শেষ বিন্দু কোন ব্যাপার না; আইটি-অনুমোদিত ফাইল-শেয়ারিং সিস্টেম এবং পাসওয়ার্ড ভল্ট ছাড়া সবগুলিকে অনুমোদন না দেওয়া; এবং ফায়ারওয়াল এবং এন্ডপয়েন্ট সনাক্তকরণ এবং প্রতিক্রিয়া (EDR) এর মতো সরঞ্জামগুলিতে সুরক্ষা বৈশিষ্ট্যগুলি সক্ষম করা।

কেন এটি ইতিমধ্যেই করা হচ্ছে না? বাধা

ব্যক্তিগত সাইট এবং প্ল্যাটফর্মগুলিতে অ্যাক্সেস ব্লক করা এবং ফিল্টারিং/পরিদর্শন দ্বারা ব্যয় করা ধীর সিস্টেম অ্যাক্সেস ব্যবহারকারী এবং নেতাদের অসন্তোষের কারণ হতে পারে। প্রয়োজনীয় কিছু সরঞ্জামও ব্যয়বহুল।

আইটি-এর জন্য একটি শক্তিশালী কণ্ঠস্বর প্রয়োজন, সমস্যা, সমাধান, ঝুঁকি এবং ব্যর্থতার ফলাফল প্রকাশ করার ক্ষেত্রে নেতারা উভয়ই শুনতে এবং বুঝতে পারেন, যাতে সঠিক নিয়ন্ত্রণ এবং সংশ্লিষ্ট খরচ বরাদ্দ করা যায়। কেন এই নিয়ন্ত্রণগুলি প্রয়োজনীয় তা ব্যবহারকারীদের উপর থেকে নীচে শিক্ষিত করা যেতে পারে; এইভাবে, নিরাপত্তা সচেতনতা শিক্ষা "ক্লিক করবেন না এবং এখানে কেন" থেকে স্থানান্তরিত হতে পারে "আমরা ডিফল্টভাবে বেশিরভাগ জিনিসগুলিকে ব্লক করি এবং কেন তা এখানে" অন্তর্ভুক্ত করতে। যে নেতারা এখনও বেশি আক্রমনাত্মক বিনিয়োগ না করা বেছে নেন তাদের ঝুঁকির স্তরের উপর খেলায় স্কিন থাকে যে তারা সংস্থার জন্য গ্রহণ করতে বেছে নিচ্ছে।

প্রায়শই, আইটি দলগুলিও কর্মী বা দক্ষতার কম থাকে: তারা যে ঝুঁকিগুলি দেখতে পায় না তা কমাতে পারে না; তারা জানেন না হুমকি সম্পর্কে শিক্ষিত; অথবা এমন সরঞ্জামগুলি সক্রিয় করুন যাতে তারা অপ্রশিক্ষিত। এই দৃশ্যমানতা ছাড়া দলগুলিকে যোগ্য বিশেষজ্ঞদের কাছ থেকে নিয়ন্ত্রণ, কনফিগারেশন এবং অর্কেস্ট্রেশনের গভীরভাবে মূল্যায়ন বিবেচনা করা উচিত।

একটি জিনিস নিশ্চিত: আমরা যতই প্রশিক্ষণ দিই না কেন, ব্যবহারকারীরা সর্বদা ভুল হবে। প্রথম স্থানে ক্লিক করার জন্য ব্যবহারকারীদের বিকল্পগুলিকে ছোট করা অপরিহার্য, এবং তারপর নিশ্চিত করুন যে, যখন তারা করবেন, জায়গায় নিয়ন্ত্রণ আছে আক্রমণের অগ্রগতি ব্যাহত করতে।

• এসইও চালিত বিষয়বস্তু এবং পিআর বিতরণ। আজই পরিবর্ধিত পান।
• প্লেটোব্লকচেন। Web3 মেটাভার্স ইন্টেলিজেন্স। জ্ঞান প্রসারিত. এখানে প্রবেশ করুন.
• উত্স: https://www.darkreading.com/risk/stop-blaming-the-end-user-for-security-risk