Log4j দুর্বলতা এখানে থাকার জন্য রয়েছে — আপনি কি প্রস্তুত?

ব্যাপক দুর্বলতা যা 4 সালে Apache Log2021j-এ প্রথম দেখা গিয়েছিল শোষিত হতে থাকবে, সম্ভাব্য এমনকি খারাপ উপায়ে আমরা আজ পর্যন্ত দেখেছি। এই হুমকিগুলির আরও উদ্বেগজনক দিক হল যে ভবিষ্যতে মাস বা বছর ধরে তাদের শোষণ করা চালিয়ে যাওয়ার একটি ভাল সুযোগ রয়েছে।

ডিপার্টমেন্ট অফ হোমল্যান্ড সিকিউরিটির সাইবার সেফটি রিভিউ বোর্ড 2021 সালে আত্মপ্রকাশ করে এবং 2022 সালে এটি প্রকাশ করে উদ্বোধনী নিরাপত্তা রিপোর্ট (পিডিএফ)। এতে, বোর্ড Log4j কে একটি "এন্ডেমিক দুর্বলতা" বলে অভিহিত করেছে, প্রধানত কারণ Log4j-এর জন্য একটি ব্যাপক "গ্রাহক তালিকা" নেই, যা দুর্বলতাগুলি বজায় রাখা প্রায় অসম্ভব কাজ করে তোলে। একটি ফেডারেল ক্যাবিনেট বিভাগ এমনকি তার Log33,000j প্রতিক্রিয়াতে 4 ঘন্টা ব্যয় করেছে।

এবং বাজারে অনেক সংস্থা এবং নিরাপত্তা সমাধান শোষণ এবং দুর্বলতার মধ্যে পার্থক্য চিহ্নিত করতে ব্যর্থ হয় — আক্রমণকারীদের জন্য দূষিত কার্যকলাপ চালানোর সুযোগ রেখে যায়।

শোষণযোগ্যতা বনাম দুর্বলতা

সাইবার সিকিউরিটির অন্যতম প্রধান সমস্যা হল দুর্বলতা এবং তাদের তীব্রতার মধ্যে পার্থক্য বোঝা। যখন এটি একটি দুর্বলতা বনাম শোষণের পরিমাপের ক্ষেত্রে আসে, তখন একটি নিরাপত্তা হুমকি আপনার ব্যবসার মধ্যে শোষণযোগ্য কিনা বা এটি শুধুমাত্র "সুরক্ষিত" এবং ব্যবসাকে বাধা দিতে পারে না বা একটি গুরুত্বপূর্ণ সম্পদে পৌঁছাতে পারে না তার মধ্যে একটি বড় পার্থক্য রয়েছে। নিরাপত্তা দলগুলি উভয়ের মধ্যে পার্থক্য বুঝতে না পেরে অনেক বেশি সময় ব্যয় করে এবং শোষণযোগ্য সেগুলিকে অগ্রাধিকার দেওয়ার পরিবর্তে প্রতিটি দুর্বলতা ঠিক করে দেয়।

প্রতিটি কোম্পানির হাজার হাজার কমন ভেলনারেবিলিটি এবং এক্সপোজার (CVE) আছে, যার মধ্যে অনেকেরই কমন ভালনারেবিলিটি স্কোরিং সিস্টেম (CVSS) এ উচ্চ স্কোর রয়েছে, তাই সেগুলি সব ঠিক করা অসম্ভব। এটি মোকাবেলা করার জন্য, আশা করা হচ্ছে যে ঝুঁকি-ভিত্তিক দুর্বলতা ব্যবস্থাপনা (RBVM) সরঞ্জামগুলি হবে কী শোষণযোগ্য তা স্পষ্ট করে অগ্রাধিকার নির্ধারণকে সহজ করুন.

যাইহোক, নিরাপত্তা অগ্রাধিকার পদ্ধতি যা CVSS স্কোরকে RBVM হুমকির ইন্টেলের সাথে একত্রিত করে তা সর্বোত্তম ফলাফল প্রদান করে না। এমনকি ফিল্টার করার পরেও এবং বন্যের মধ্যে কী শোষণ করা যায় তা দেখার পরেও, সুরক্ষা দলগুলির এখনও হ্যান্ডেল করার মতো অনেক কিছু আছে কারণ তালিকাটি দীর্ঘ এবং নিয়ন্ত্রণের অযোগ্য। এবং শুধুমাত্র একটি CVE এর আজ একটি শোষণ না থাকার মানে এই নয় যে এটি পরের সপ্তাহে একটি থাকবে না।

প্রতিক্রিয়া হিসাবে, কোম্পানিগুলি ভবিষ্যদ্বাণীমূলক ঝুঁকি এআই যুক্ত করছে, যা ব্যবহারকারীদের বুঝতে সাহায্য করতে পারে যে ভবিষ্যতে একটি সিভিই শোষিত হতে পারে কিনা। এটি এখনও যথেষ্ট নয় এবং ঠিক করার জন্য অনেকগুলি সমস্যার দিকে নিয়ে যায়৷ হাজার হাজার দুর্বলতা এখনও শোষণের জন্য দেখাবে, কিন্তু অনেকেরই অন্যান্য সেটের শর্ত থাকবে যা প্রকৃতপক্ষে সমস্যাটি শোষণ করতে পূরণ করতে হবে।

উদাহরণস্বরূপ, Log4j এর সাথে, নিম্নলিখিত পরামিতিগুলি সনাক্ত করা দরকার:

• দুর্বল Log4j লাইব্রেরি কি বিদ্যমান?
• এটি একটি চলমান জাভা অ্যাপ্লিকেশন দ্বারা লোড করা হয়?
• JNDI লুকআপ সক্রিয় আছে?
• জাভা কি দূরবর্তী সংযোগগুলি শুনছে এবং অন্যান্য মেশিনের জন্য একটি সংযোগ আছে?

শর্ত এবং পরামিতি পূরণ না হলে, দুর্বলতা গুরুতর নয় এবং অগ্রাধিকার দেওয়া উচিত নয়। এবং এমনকি যদি একটি দুর্বলতা একটি মেশিনে শোষণযোগ্য হতে পারে, তাই কি? সেই যন্ত্রটি কি অত্যন্ত জটিল, অথবা হয়তো এটি কোনো গুরুত্বপূর্ণ বা সংবেদনশীল সম্পদের সাথে সংযুক্ত নয়?

এটিও সম্ভব যে মেশিনটি গুরুত্বপূর্ণ নয় তবুও এটি একটি আক্রমণকারীকে গোপনীয় উপায়ে সমালোচনামূলক সম্পদের দিকে চালিয়ে যেতে সক্ষম করতে পারে। অন্য কথায়, প্রসঙ্গই মূল বিষয় - এই দুর্বলতা কি গুরুত্বপূর্ণ সম্পদের সম্ভাব্য আক্রমণের পথে? একটি গুরুত্বপূর্ণ সম্পদে পৌঁছানো থেকে আক্রমণের পথ বন্ধ করার জন্য একটি চোকপয়েন্টে (একাধিক আক্রমণের পথের ছেদ) একটি দুর্বলতা কেটে ফেলা কি যথেষ্ট?

সুরক্ষা দলগুলি দুর্বলতা প্রক্রিয়া এবং তাদের সমাধানগুলিকে ঘৃণা করে, কারণ আরও বেশি দুর্বলতা রয়েছে — কেউ কখনও স্লেটটি পুরোপুরি মুছতে পারে না। তবে তারা যদি পারে কি তৈরি করতে পারে তার উপর ফোকাস করুন ক্ষতি একটি গুরুত্বপূর্ণ সম্পদের কাছে, তারা কোথা থেকে শুরু করতে হবে তা আরও ভালভাবে বুঝতে পারে।

Log4j দুর্বলতাগুলির বিরুদ্ধে লড়াই করা৷

ভাল খবর হল যে সঠিক দুর্বলতা ব্যবস্থাপনা সম্ভাব্য শোষণের ঝুঁকি কোথায় রয়েছে তা চিহ্নিত করে Log4j-কেন্দ্রিক আক্রমণের এক্সপোজার কমাতে এবং ঠিক করতে সাহায্য করতে পারে।

দুর্বলতা ব্যবস্থাপনা সাইবার নিরাপত্তার একটি গুরুত্বপূর্ণ দিক এবং এটি সিস্টেম এবং ডেটার নিরাপত্তা ও অখণ্ডতা নিশ্চিত করার জন্য প্রয়োজনীয়। যাইহোক, এটি একটি নিখুঁত প্রক্রিয়া নয় এবং তাদের সনাক্তকরণ এবং প্রশমিত করার সর্বোত্তম প্রচেষ্টা সত্ত্বেও সিস্টেমে দুর্বলতাগুলি এখনও উপস্থিত থাকতে পারে। দুর্বলতা ব্যবস্থাপনার প্রক্রিয়া এবং কৌশলগুলি নিয়মিত পর্যালোচনা করা এবং আপডেট করা গুরুত্বপূর্ণ যাতে সেগুলি কার্যকর হয় এবং দুর্বলতাগুলিকে সময়মত সমাধান করা হচ্ছে।

দুর্বলতা ব্যবস্থাপনার ফোকাস শুধুমাত্র নিজেদের দুর্বলতার দিকে নয়, শোষণের সম্ভাব্য ঝুঁকির দিকেও হওয়া উচিত। কোন আক্রমণকারী নেটওয়ার্কে অ্যাক্সেস পেতে পারে সেই পয়েন্টগুলি চিহ্নিত করা গুরুত্বপূর্ণ, সেইসাথে গুরুত্বপূর্ণ সম্পদের সাথে আপস করতে তারা যে পথগুলি গ্রহণ করতে পারে। একটি নির্দিষ্ট দুর্বলতার ঝুঁকি কমানোর সবচেয়ে কার্যকর এবং সাশ্রয়ী উপায় হল দুর্বলতা, ভুল কনফিগারেশন এবং ব্যবহারকারীর আচরণের মধ্যে সংযোগগুলি সনাক্ত করা যা আক্রমণকারী দ্বারা শোষিত হতে পারে এবং দুর্বলতা শোষণের আগে এই সমস্যাগুলিকে সক্রিয়ভাবে সমাধান করা। এটি আক্রমণকে ব্যাহত করতে এবং সিস্টেমের ক্ষতি রোধ করতে সহায়তা করতে পারে।

এছাড়াও আপনার নিম্নলিখিতগুলি করা উচিত:

• প্যাচ: আপনার সমস্ত পণ্য সনাক্ত করুন যা Log4j-এর জন্য ঝুঁকিপূর্ণ। এটি ম্যানুয়ালি বা ওপেন সোর্স স্ক্যানার ব্যবহার করে করা যেতে পারে। যদি আপনার দুর্বল পণ্যগুলির একটির জন্য একটি প্রাসঙ্গিক প্যাচ প্রকাশিত হয়, তাহলে যত তাড়াতাড়ি সম্ভব সিস্টেমটি প্যাচ করুন।
• কার্যসংক্রান্ত: Log4j সংস্করণ 2.10.0 এবং তার উপরে, Java CMD লাইনে, নিম্নলিখিতগুলি সেট করুন: log4j2.formatMsgNoLookups=true
• ব্লক: যদি সম্ভব হয়, ব্লক করতে আপনার ওয়েব অ্যাপ্লিকেশন ফায়ারওয়ালে একটি নিয়ম যোগ করুন: "jndi:"

নিখুঁত নিরাপত্তা একটি অপ্রাপ্য কীর্তি, তাই ভালোর শত্রুকে নিখুঁত করার কোনো মানে নেই। পরিবর্তে, সম্ভাব্য আক্রমণের পথগুলিকে অগ্রাধিকার দেওয়া এবং লক ডাউন করার উপর ফোকাস করুন যা ক্রমাগত নিরাপত্তা ভঙ্গিমা উন্নত করে। আসলে কী ক্ষতিকর বনাম কী শোষণযোগ্য সে সম্পর্কে শনাক্ত করা এবং বাস্তববাদী হওয়া এটি করতে সহায়তা করতে পারে, কারণ এটি কৌশলগতভাবে গুরুত্বপূর্ণ অঞ্চলগুলির দিকে সম্পদগুলিকে ফানেল করার ক্ষমতাকে অনুমতি দেবে যা সবচেয়ে গুরুত্বপূর্ণ।

• এসইও চালিত বিষয়বস্তু এবং পিআর বিতরণ। আজই পরিবর্ধিত পান।
• প্লেটোব্লকচেন। Web3 মেটাভার্স ইন্টেলিজেন্স। জ্ঞান প্রসারিত. এখানে প্রবেশ করুন.
• উত্স: https://www.darkreading.com/attacks-breaches/log4j-vulnerabilities-are-here-to-stay-are-you-prepared-