S3 Ep142: X-কে X-Ops-এ রাখা

নিচে কোন অডিও প্লেয়ার? শুনুন সরাসরি সাউন্ডক্লাউডে।

হাঁস.  হ্যালো সবাই.

নেকেড সিকিউরিটি পডকাস্টে স্বাগতম।

আপনি শুনতে পাচ্ছেন, আমি ডগ নই, আমি হাঁস।

ডগ এই সপ্তাহে ছুটিতে আছেন, তাই আমি আমার দীর্ঘমেয়াদী বন্ধু এবং সাইবার নিরাপত্তা সহকর্মী, ম্যাট হোল্ডক্রফট এই পর্বের জন্য যোগ দিয়েছি।

ম্যাট, আপনি এবং আমি সোফোসের প্রথম দিনগুলিতে ফিরে যাই...

…এবং আপনি এখন যে ক্ষেত্রটিতে কাজ করেন সেটি হল সাইবার নিরাপত্তার অংশ যা "DevSecOps" নামে পরিচিত।

যখন X-Ops-এর কথা আসে, তখন আপনি X-এর সমস্ত সম্ভাব্য মানগুলির জন্য সেখানে ছিলেন, আপনি বলতে পারেন।

আপনি এখন যেখানে আছেন সে সম্পর্কে আমাদের কিছু বলুন, কারণ এটি একটি আকর্ষণীয় গল্প।

---

ম্যাট  Sophos এ আমার প্রথম কাজ ছিল Lotus Notes Admin এবং Developer, এবং আমি তখনকার প্রোডাকশন রুমে কাজ করতাম, তাই আমি ফ্লপি ডিস্কের নকল করার জন্য দায়ী ছিলাম।

এগুলি ছিল আসল ফ্লপি ডিস্ক, যা আপনি আসলে ফ্লপ করতে পারেন!

---

হাঁস.  [জোরে হাসি] হ্যাঁ, 5.25″ সাজানোর…

---

ম্যাট  হ্যাঁ!

তারপর, এটা সহজ ছিল.

আমাদের শারীরিক নিরাপত্তা ছিল; আপনি নেটওয়ার্ক দেখতে পারেন; আপনি জানতেন যে একটি কম্পিউটার নেটওয়ার্কযুক্ত ছিল কারণ এটির পিছনের দিক থেকে কিছুটা তারের বেরিয়ে আসছে।

(যদিও এটি সম্ভবত নেটওয়ার্ক করা হয়নি কারণ কেউ [তারের] প্রান্ত থেকে টার্মিনেটর হারিয়েছে।)

সুতরাং, কে কোথায় যেতে পারে, এবং কে কিসের সাথে লেগে থাকতে পারে সে সম্পর্কে আমাদের সুন্দর, সহজ নিয়ম ছিল এবং জীবন মোটামুটি সহজ ছিল।

---

হাঁস.  আজকাল, এটা প্রায় উল্টো পথে, তাই না?

যদি একটি কম্পিউটার নেটওয়ার্কে না থাকে, তাহলে এটি কোম্পানিকে তার লক্ষ্য অর্জনে সহায়তা করার ক্ষেত্রে অনেক কিছু করতে পারে না এবং এটি পরিচালনা করা প্রায় অসম্ভব বলে মনে করা হয়।

কারণ এটিকে দরকারী কিছু করার জন্য ক্লাউডের কাছে পৌঁছাতে সক্ষম হওয়া দরকার, এবং এটি স্ক্র্যাচ পর্যন্ত রয়েছে তা নিশ্চিত করার জন্য আপনাকে ক্লাউডের মাধ্যমে একজন সুরক্ষা অপারেশন ব্যক্তি হিসাবে এটির কাছে পৌঁছাতে সক্ষম হতে হবে।

এটা প্রায় একটি ক্যাচ-22 পরিস্থিতি, তাই না?

---

ম্যাট  হ্যাঁ.

এটা সম্পূর্ণ উল্টে গেছে.

হ্যাঁ, সংযুক্ত নয় এমন একটি কম্পিউটার নিরাপদ… তবে এটি অকেজো, কারণ এটি তার উদ্দেশ্য পূরণ করছে না।

এটি ক্রমাগত অনলাইন থাকা ভাল যাতে এটি ক্রমাগত সর্বশেষ আপডেট পেতে পারে, এবং আপনি এটির উপর নজর রাখতে পারেন, এবং আপনি এটি থেকে বাস্তব-জীবনের টেলিমেট্রি পেতে পারেন, এমন কিছু থাকার পরিবর্তে যা আপনি প্রতিদিন চেক করতে পারেন।

---

হাঁস.  আপনি যেমন বলছেন, এটি একটি বিড়ম্বনার বিষয় যে অনলাইনে যাওয়া গভীরভাবে ঝুঁকিপূর্ণ, তবে এটি সেই ঝুঁকি পরিচালনা করার একমাত্র উপায়, বিশেষ করে এমন পরিবেশে যেখানে লোকেরা প্রতিদিন অফিসে উপস্থিত হয় না।

---

ম্যাট  হ্যাঁ, আপনার নিজের ডিভাইস [BYOD] আনার ধারণাটি দিনে আবার উড়ে যাবে না, তাই না?

কিন্তু যখন আমি সোফোসে যোগ দিয়েছিলাম তখন আমাদের নিজের ডিভাইস তৈরি করা ছিল।

আপনি যন্ত্রাংশ অর্ডার এবং আপনার প্রথম পিসি নির্মাণ প্রত্যাশিত ছিল.

যে উত্তরণ একটি আচার ছিল!

---

হাঁস.  এটা বেশ সুন্দর ছিল…

… আপনি যুক্তির মধ্যেই বেছে নিতে পারেন, তাই না?

---

ম্যাট  [হাসি] হ্যাঁ!

---

হাঁস.  আমার কি একটু কম ডিস্কের জায়গার জন্য যাওয়া উচিত, এবং তারপরে আমার কাছে [ড্রামাটিক ভয়েস] আট মেগাবাইট র‍্যাম থাকতে পারে!!!?!

---

ম্যাট  এটা ছিল 486, ফ্লপি এবং ফ্যাক্সের যুগ, যখন আমরা শুরু করেছিলাম, তাই না?

আমার মনে আছে প্রথম পেন্টিয়াম কোম্পানিতে এসেছিল, এবং এটি ছিল, "বাহ! এটার দিকে দেখ!"

---

হাঁস.  আজকের সাইবারসিকিউরিটি অপারেটরদের জন্য আপনার তিনটি শীর্ষ টিপস কী কী?

কারণ তারা পুরানো থেকে খুব আলাদা, "ওহ, আসুন শুধু ম্যালওয়্যারের দিকে নজর রাখি এবং তারপরে, যখন আমরা এটি খুঁজে পাব, আমরা গিয়ে এটি পরিষ্কার করব।"

---

ম্যাট  পল, তারপর থেকে যে জিনিসগুলি এত পরিবর্তিত হয়েছে তার মধ্যে একটি হল, আগের দিন, আপনার একটি সংক্রামিত মেশিন ছিল এবং সবাই মেশিনটিকে জীবাণুমুক্ত করার জন্য মরিয়া ছিল।

একটি এক্সিকিউটেবল ভাইরাস কম্পিউটারের *সমস্ত* এক্সিকিউটেবলগুলিকে সংক্রামিত করবে এবং এটিকে একটি "ভাল" অবস্থায় ফিরিয়ে আনা সত্যিই এলোমেলো ছিল, কারণ আপনি যদি কোনও সংক্রমণ মিস করেন (ধরে নিচ্ছি আপনি জীবাণুমুক্ত করতে পারেন), তাহলে আপনি একটি বর্গাকারে ফিরে আসবেন। যত তাড়াতাড়ি যে ফাইল আহ্বান করা হয়.

এবং আমাদের কাছে ছিল না, যেমন আমাদের এখন আছে, ডিজিটাল স্বাক্ষর এবং ম্যানিফেস্ট এবং আরও অনেক কিছু যেখানে আপনি একটি পরিচিত অবস্থায় ফিরে যেতে পারেন।

---

হাঁস.  মনে হচ্ছে ম্যালওয়্যারটি সমস্যার মূল অংশ ছিল, কারণ লোকেরা আশা করেছিল যে আপনি এটি পরিষ্কার করবেন এবং মূলত মলম থেকে মাছিটি সরিয়ে দেবেন এবং তারপরে মলমের জারটি ফিরিয়ে দেবেন এবং বলবেন, “এটি এখন ব্যবহার করা নিরাপদ "

---

ম্যাট  প্রেরণা পরিবর্তিত হয়েছে, কারণ তখনকার ভাইরাস লেখকরা সাধারণত যতটা সম্ভব ফাইলকে সংক্রামিত করতে চেয়েছিলেন, এবং তারা প্রায়শই এটি "মজা করার জন্য" করত।

যেখানে এই দিন, তারা একটি সিস্টেম ক্যাপচার করতে চান.

তাই তারা প্রতিটি এক্সিকিউটেবলকে সংক্রমিত করতে আগ্রহী নয়।

তারা শুধু সেই কম্পিউটারের নিয়ন্ত্রণ চায়, যে কোনো উদ্দেশ্যে।

---

হাঁস.  আসলে, আক্রমণের সময় কোনও সংক্রামিত ফাইল নাও থাকতে পারে।

তারা প্রবেশ করতে পারে কারণ তারা কারও কাছ থেকে একটি পাসওয়ার্ড কিনেছে, এবং তারপরে, যখন তারা প্রবেশ করে তখন বলার পরিবর্তে, "আরে, আসুন একটি ভাইরাসকে ছেড়ে দেওয়া যাক যা সমস্ত ধরণের অ্যালার্ম বন্ধ করে দেবে"...

…তারা বলবে, "আসুন জেনে নেওয়া যাক কী ধূর্ত সিস্যাডমিন টুল ইতিমধ্যেই আছে যা আমরা এমনভাবে ব্যবহার করতে পারি যা একজন সত্যিকারের সিস্যাডমিন কখনই করবে না।"

---

ম্যাট  অনেক উপায়ে, এটি সত্যিই দূষিত ছিল না যতক্ষণ না...

…আমার মনে আছে যখন আমি "রিপার" নামক একটি নির্দিষ্ট ভাইরাসের বর্ণনা পড়ি তখন আমি আতঙ্কিত হয়েছিলাম।

ফাইলগুলিকে সংক্রামিত করার পরিবর্তে, এটি আপনার সিস্টেমে নীরবে ঘুরে বেড়াবে এবং বিটগুলি ঘুরিয়ে দেবে।

সুতরাং, সময়ের সাথে সাথে, আপনার ডিস্কের যেকোনো ফাইল বা কোনো সেক্টর সূক্ষ্মভাবে দূষিত হতে পারে।

লাইনের নিচে ছয় মাস, আপনি হঠাৎ দেখতে পাবেন যে আপনার সিস্টেমটি অব্যবহারযোগ্য ছিল এবং আপনার কোন ধারণা নেই যে কী পরিবর্তন করা হয়েছে।

আমার মনে আছে যে আমার কাছে বেশ মর্মাহত ছিল, কারণ, এর আগে, ভাইরাসগুলি বিরক্তিকর ছিল; কারো কারো রাজনৈতিক উদ্দেশ্য ছিল; এবং কিছু মানুষ শুধু পরীক্ষা-নিরীক্ষা এবং "মজা করছে"।

প্রথম ভাইরাসগুলি একটি বুদ্ধিবৃত্তিক অনুশীলন হিসাবে লেখা হয়েছিল।

এবং আমার মনে আছে, আগের দিনের, যে আমরা সত্যিই সংক্রমণ নগদীকরণের কোন উপায় দেখতে পাচ্ছি না, যদিও তারা বিরক্তিকর ছিল, কারণ আপনার এই সমস্যা ছিল, "এই ব্যাঙ্ক অ্যাকাউন্টে পরিশোধ করুন" বা "অর্থের অধীনে রেখে দিন স্থানীয় পার্কে এই শিলা"...

…যা সর্বদা কর্তৃপক্ষের হাতে তুলে নেওয়ার জন্য সংবেদনশীল ছিল।

তারপর, অবশ্যই, বিটকয়েন বরাবর এসেছিল। [হাসি]

এটি পুরো ম্যালওয়্যার জিনিসটিকে বাণিজ্যিকভাবে কার্যকর করে তুলেছে, যা তখন পর্যন্ত ছিল না।

---

হাঁস.  তাহলে আসুন সেই শীর্ষ টিপসগুলিতে ফিরে যাই, ম্যাট!

সাইবারসিকিউরিটি অপারেটররা যে তিনটি জিনিস করতে পারে তার জন্য আপনি কী পরামর্শ দেন, যদি আপনি চান, টাকার জন্য সবচেয়ে বড় ব্যান্ড?

---

ম্যাট  ঠিক আছে.

সবাই আগে শুনেছে: প্যাচিং.

আপনাকে প্যাচ করতে হবে, এবং আপনাকে প্রায়ই প্যাচ করতে হবে।

আপনি যত বেশি সময় প্যাচিং ছেড়ে দেবেন… এটা ডেন্টিস্টের কাছে না যাওয়ার মতো: যত বেশি সময় আপনি এটি ছেড়ে যাবেন, এটি তত খারাপ হতে চলেছে।

আপনি একটি ব্রেকিং পরিবর্তন আঘাত করার সম্ভাবনা বেশি.

কিন্তু আপনি যদি প্রায়শই প্যাচিং করেন, এমনকি যদি আপনি কোনও সমস্যায় পড়েন, আপনি সম্ভবত এটি মোকাবেলা করতে পারেন এবং সময়ের সাথে সাথে আপনি আপনার অ্যাপ্লিকেশনগুলিকে আরও ভাল করে তুলবেন।

---

হাঁস.  প্রকৃতপক্ষে, OpenSSL 3.0 থেকে OpenSSL 3.1 এ আপগ্রেড করার চেয়ে OpenSSL 1.0.2 থেকে 3.1 পর্যন্ত আপগ্রেড করা অনেক বেশি সহজ।

---

ম্যাট  এবং যদি কেউ আপনার পরিবেশ অনুসন্ধান করে এবং তারা দেখতে পায় যে আপনি আপনার প্যাচিংয়ের উপর আপ-টু-ডেট রাখছেন না... এটা ঠিক আছে, "আমরা শোষণ করতে পারি এমন আর কি আছে? এটা আরেকবার দেখার মতো!”

যদিও কেউ যে সম্পূর্ণভাবে প্যাচ করেছে... তারা সম্ভবত জিনিসের উপরে আরও বেশি।

এটা পুরানো মত গ্যালাক্সিতে হিচিকারের গাইড: যতক্ষণ তোমার তোয়ালে আছে, ততক্ষণ তারা ধরে নেবে তুমি বাকি সব পেয়েছ।

সুতরাং, যদি আপনি সম্পূর্ণরূপে প্যাচ করেন, আপনি সম্ভবত অন্য সবকিছুর উপরে আছেন।

---

হাঁস.  সুতরাং, আমরা প্যাচ করছি.

দ্বিতীয় জিনিস কি আমাদের করতে হবে?

---

ম্যাট  আপনি যা জানেন তা কেবল প্যাচ করতে পারেন।

সুতরাং দ্বিতীয় জিনিস হল: পর্যবেক্ষণ.

আপনি আপনার সম্পত্তি জানতে হয়েছে.

আপনার মেশিনে কী চলছে তা জানার জন্য, সম্প্রতি SBOM-এর সাথে অনেক প্রচেষ্টা করা হয়েছে, সামগ্রীর সফ্টওয়্যার বিল।

কারণ লোকেরা বুঝতে পেরেছে যে এটি পুরো চেইন…

---

হাঁস.  একদম ঠিক!

---

ম্যাট  "অমুক-অমুক লাইব্রেরিতে একটি দুর্বলতা আছে" এবং আপনার প্রতিক্রিয়া হল, "ঠিক আছে, আমি সেই জ্ঞান দিয়ে কী করব?"

কোন মেশিনগুলি চলছে এবং সেই মেশিনগুলিতে কী চলছে তা জানা…

…এবং, এটিকে প্যাচিংয়ে ফিরিয়ে আনা, "তারা কি আসলেই প্যাচগুলি ইনস্টল করেছে?"

---

হাঁস.  অথবা একটি কুটিল snuck এবং চলে গেছে, "আহা! তারা মনে করে যে তাদের প্যাচ করা হয়েছে, তাই তারা যদি দুবার চেক না করে যে তারা প্যাচ করা আছে, তাহলে হয়ত আমি এই সিস্টেমগুলির মধ্যে একটিকে ডাউনগ্রেড করতে পারি এবং নিজেকে আরও চিরকালের জন্য একটি পিছনের দরজা খুলতে পারি, কারণ তারা মনে করে তাদের সমস্যা হয়েছে সাজানো।"

তাই আমি অনুমান করি যে ক্লিচ আছে, "সর্বদা পরিমাপ করুন, কখনও অনুমান করবেন না।"

এখন আমি মনে করি আমি জানি আপনার তৃতীয় টিপ কী, এবং আমি সন্দেহ করি এটি সবচেয়ে কঠিন/সবচেয়ে বিতর্কিত হতে চলেছে।

তাহলে আমাকে দেখতে দিন আমি ঠিক আছি কিনা… এটা কি?

---

ম্যাট  আমি বলব এটি হল: বধ. (বা সঙ্কলন করা.)

সময়ের সাথে সাথে, সিস্টেমগুলি বৃদ্ধি পায়… সেগুলি ডিজাইন করা হয়, তৈরি করা হয় এবং লোকেরা এগিয়ে যায়।

---

হাঁস.  [হাসি] আক্রাট! [জোরে হাসি]

ক্যালসিফিকেশনের মতো…

---

ম্যাট  বা বার্নাকল…

---

হাঁস.  হ্যাঁ! [হাসি]

---

ম্যাট  আপনার কোম্পানীর মহান জাহাজ উপর Barnacles.

তারা দরকারী কাজ করতে পারে, কিন্তু তারা প্রযুক্তির সাথে এটি করতে পারে যা পাঁচ বছর আগে বা দশ বছর আগে প্রচলিত ছিল যখন সিস্টেমটি ডিজাইন করা হয়েছিল।

আমরা সবাই জানি কিভাবে ডেভেলপাররা একটি নতুন টুলসেট বা একটি নতুন ভাষা পছন্দ করে।

আপনি যখন নিরীক্ষণ করছেন, আপনাকে এই জিনিসগুলির উপর নজর রাখতে হবে এবং যদি সেই সিস্টেমটি দাঁতে দীর্ঘ হয়ে যায়, তাহলে আপনাকে কঠিন সিদ্ধান্ত নিতে হবে এবং এটিকে মেরে ফেলতে হবে।

এবং আবার, প্যাচিংয়ের মতোই, আপনি যত বেশিক্ষণ এটি ছেড়ে চলে যাবেন, তত বেশি আপনি ঘুরে দাঁড়াবেন এবং বলবেন, "সেই সিস্টেমটি এমনকি কী করে?"

এটা সবসময় চিন্তা করা খুব গুরুত্বপূর্ণ জীবনচক্র যখন আপনি একটি নতুন সিস্টেম বাস্তবায়ন করেন।

চিন্তা করুন, "ঠিক আছে, এটি আমার সংস্করণ 1, কিন্তু আমি কিভাবে এটি হত্যা করতে যাচ্ছি? কবে মরবে?"

ব্যবসার জন্য, আপনার অভ্যন্তরীণ গ্রাহকদের জন্য কিছু প্রত্যাশা রাখুন এবং বহিরাগত গ্রাহকদের জন্যও একই কথা।

---

হাঁস.  সুতরাং, ম্যাট, আমি যা জানি তার জন্য আপনার পরামর্শ কী যে নিরাপত্তা দলে (সাধারণত কোম্পানী বড় হওয়ার সাথে সাথে এটি আরও কঠিন হয়ে যায়) তাদের ধারণা বিক্রি করতে সহায়তা করা খুব কঠিন কাজ হতে পারে?

উদাহরণস্বরূপ, "আপনাকে আর ওপেনএসএসএল 1 এর সাথে কোড করার অনুমতি দেওয়া হবে না। আপনাকে সংস্করণ 3-এ যেতে হবে। এটি কতটা কঠিন তা আমি চিন্তা করি না!"

কোম্পানীর অন্য সবাই যখন আপনাকে পিছনে ঠেলে দিচ্ছে তখন আপনি কীভাবে সেই বার্তাটি পাবেন?

---

ম্যাট  প্রথমত... আপনি নির্দেশ দিতে পারবেন না।

আপনাকে স্পষ্ট মান দিতে হবে এবং সেগুলি ব্যাখ্যা করা দরকার।

যে বিক্রয় আপনি পেয়েছেন কারণ আমরা একটি সমস্যা সমাধান ছাড়াই তাড়াতাড়ি পাঠানো হয়েছে?

এটি খারাপ প্রচার দ্বারা ছাপিয়ে যাবে যে আমাদের একটি দুর্বলতা ছিল বা আমরা একটি দুর্বলতার সাথে প্রেরণ করেছি।

এটি ঠিক করার চেয়ে প্রতিরোধ করা সর্বদা ভাল।

---

হাঁস.  কাফনের কাপড়!

---

ম্যাট  আমি বুঝতে পারি, উভয় দিক থেকে, এটি কঠিন।

কিন্তু যত বেশি সময় আপনি এটি ছেড়ে যান, এটি পরিবর্তন করা তত কঠিন।

"আমি এই সংস্করণটি ব্যবহার করতে যাচ্ছি এবং তারপরে আমি সেট-এবং-ভুলে যাচ্ছি" দিয়ে এই জিনিসগুলি সেট করা?

না!

আপনাকে আপনার কোডবেস দেখতে হবে, এবং আপনার কোডবেসে কি আছে তা জানতে হবে, এবং বলতে হবে, “আমি এই লাইব্রেরির উপর নির্ভর করছি; আমি এই ইউটিলিটিগুলির উপর নির্ভর করছি," এবং তাই।

এবং আপনাকে বলতে হবে, "আপনাকে সচেতন হতে হবে যে এই সমস্ত জিনিসগুলি পরিবর্তনের সাপেক্ষে এবং এটির মুখোমুখি।"

---

হাঁস.  তাই মনে হচ্ছে আপনি বলছেন যে আইনটি সফ্টওয়্যার বিক্রেতাদের বলতে শুরু করে যে তাদের অবশ্যই একটি সফ্টওয়্যার বিল অফ ম্যাটেরিয়াল (একটি SBOM, যেমন আপনি আগে উল্লেখ করেছেন) প্রদান করতে হবে, বা না…

…আপনাকে যেভাবেই হোক আপনার প্রতিষ্ঠানের অভ্যন্তরে এমন একটি জিনিস বজায় রাখতে হবে, যাতে আপনি সাইবার নিরাপত্তার ভিত্তিতে কোথায় দাঁড়িয়েছেন তা পরিমাপ করতে পারেন।

---

ম্যাট  আপনি এই জিনিস সম্পর্কে প্রতিক্রিয়াশীল হতে পারে না.

এটা কোন ভালো কথা নয়, “এক মাস আগে প্রেস জুড়ে ছড়িয়ে পড়েছিল সেই দুর্বলতা? আমরা এখন এই সিদ্ধান্তে পৌঁছেছি যে আমরা নিরাপদ।”

[হাসি] এটা ভাল না! [আরো হাসি]

বাস্তবতা হ'ল দুর্বলতাগুলি ঠিক করার জন্য প্রত্যেকেরই এই উন্মাদ স্ক্র্যাম্বলের সাথে আঘাত করা হবে।

দিগন্তে কিছু বড় আছে, সম্ভাব্যভাবে, এনক্রিপশনের মতো জিনিস সহ।

কোনও দিন, NIST ঘোষণা করতে পারে, "আমরা আর আরএসএর সাথে কিছু করার বিষয়ে আর বিশ্বাস করি না।"

এবং সবাই একই নৌকায় হতে যাচ্ছে; নতুন, কোয়ান্টাম-নিরাপদ ক্রিপ্টোগ্রাফি বাস্তবায়নের জন্য সকলকে ঝাঁকুনি দিতে হবে।

সেই মুহুর্তে, এটি হতে চলেছে, "আপনি কত দ্রুত আপনার সমাধান পেতে পারেন?"

সবাই একই জিনিস করতে যাচ্ছে.

আপনি যদি এটির জন্য প্রস্তুত হন; যদি আপনি জানেন কি করতে হবে; আপনি যদি আপনার অবকাঠামো এবং আপনার কোড সম্পর্কে ভাল ধারণা পেয়ে থাকেন…

…আপনি যদি প্যাকটির মাথায় সেখান থেকে বেরিয়ে আসতে পারেন এবং বলতে পারেন, "আমরা সপ্তাহের চেয়ে দিনে এটি করেছি"?

এটি একটি বাণিজ্যিক সুবিধা, সেইসাথে সঠিক জিনিস হচ্ছে।

---

হাঁস.  সুতরাং, আমাকে আপনার তিনটি শীর্ষ টিপস সংক্ষিপ্ত করতে দিন যা আমি মনে করি চারটি হয়ে গেছে, এবং দেখুন আমি সেগুলি ঠিক করেছি কিনা।

টিপ 1 ভাল পুরানো তাড়াতাড়ি প্যাচ; প্রায়ই প্যাচ।

দুই মাস অপেক্ষা করা, যেমনটি লোকেরা ওয়ানাক্রাই দিনগুলিতে ফিরে এসেছিল… যেটি ছয় বছর আগে সন্তোষজনক ছিল না, এবং এটি অবশ্যই 2023 সালে অনেক দূরে, অনেক দীর্ঘ।

এমনকি দুই সপ্তাহ খুব দীর্ঘ; আপনাকে ভাবতে হবে, "আমাকে যদি দুই দিনের মধ্যে এটি করতে হয়, আমি কীভাবে এটি করতে পারি?"

টিপ 2 হল মনিটর, অথবা আমার ক্লিচ-শব্দে, "সর্বদা পরিমাপ করুন, কখনও অনুমান করবেন না।"

এইভাবে আপনি নিশ্চিত করতে পারেন যে যে প্যাচগুলি সেখানে থাকার কথা তা সত্যিই আছে এবং যাতে আপনি "সিঁড়ির নীচে আলমারির সার্ভারগুলি" সম্পর্কে সত্যই জানতে পারেন যা কেউ ভুলে গেছে।

টিপ 3 হল মেরে ফেলো এর অর্থ হল আপনি এমন একটি সংস্কৃতি গড়ে তুলছেন যেখানে আপনি এমন পণ্যগুলি নিষ্পত্তি করতে পারবেন যা আর উদ্দেশ্যের জন্য উপযুক্ত নয়।

এবং একটি সাজানোর সহায়ক টিপ 4 হল চতুর হও, যাতে করে যখন সেই কিল/কল মুহূর্তটি আসে, আপনি আসলে এটি অন্য সবার চেয়ে দ্রুত করতে পারেন।

কারণ এটি আপনার গ্রাহকদের জন্য ভাল, এবং এটি আপনাকে (যেমন আপনি বলেছেন) একটি বাণিজ্যিক সুবিধাতেও রাখে৷

এটা কি অধিকার আছে?

---

ম্যাট  এটা ভালো লাগে!

---

হাঁস.  [বিজয়ী] আজ বিকেলে চারটি সহজ জিনিস করতে হবে। [হাসি]

---

ম্যাট  হ্যাঁ! [আরো হাসি]

---

হাঁস.  সাধারণভাবে সাইবসিকিউরিটির মতো, এগুলিও যাত্রা, গন্তব্যস্থলের চেয়ে নয় কি?

---

ম্যাট  হ্যাঁ!

এবং "সেরা" কে "উত্তম" এর শত্রু হতে দেবেন না। (বা "ভাল"।)

তাই ...

প্যাচ।

নিরীক্ষণ।

খুন। (বা সঙ্কলন করা.)

এবং: চতুর হও… পরিবর্তনের জন্য প্রস্তুত থাকুন।

---

হাঁস.  ম্যাট, এটি শেষ করার একটি দুর্দান্ত উপায়।

অল্প নোটিশে মাইক্রোফোনে এগিয়ে যাওয়ার জন্য আপনাকে অনেক ধন্যবাদ।

বরাবরের মত, আমাদের শ্রোতাদের জন্য, যদি আপনার কোন মন্তব্য থাকে তাহলে আপনি সেগুলিকে নেকেড সিকিউরিটি সাইটে রাখতে পারেন, অথবা সামাজিক যোগাযোগ করুন: @nakedsecurity.

এটি এখন কেবলমাত্র আমার জন্যই বলা যায়, যথারীতি: পরের বার পর্যন্ত...

---

উভয়।  নিরাপদ থাকুন!

[মিউজিক্যাল মডেম]