সাপ্লাই চেইন ঝুঁকি আপনি নিচে পেয়েছেন? শান্ত থাকুন এবং কৌশলী হন!

সফ্টওয়্যারে নতুন দুর্বলতা আবিষ্কৃত হলে নিরাপত্তা শিল্প সম্মিলিতভাবে তার মন হারায়। OpenSSL এর ব্যতিক্রম নয়, এবং দুটি নতুন দুর্বলতা অক্টোবরের শেষের দিকে এবং 2022 সালের নভেম্বরের শুরুতে নিউজ ফিডগুলিকে অভিভূত করেছে৷ আবিষ্কার এবং প্রকাশ এই কখনও শেষ না হওয়া দুর্বলতার চক্রের শুরু মাত্র৷ ক্ষতিগ্রস্থ সংস্থাগুলি প্রতিকারের মুখোমুখি হয়, যা আইটি-এর প্রথম সারিতে থাকা ব্যক্তিদের জন্য বিশেষভাবে বেদনাদায়ক। নিরাপত্তা নেতাদের অবশ্যই একটি কার্যকর সাইবার নিরাপত্তা কৌশল বজায় রাখতে হবে যাতে নতুন দুর্বলতার উপর কিছু গোলমাল ফিল্টার করতে, সরবরাহ চেইনের প্রভাবগুলি চিনতে এবং সেই অনুযায়ী তাদের সম্পদগুলিকে সুরক্ষিত করতে সহায়তা করে।

সরবরাহ চেইন আক্রমণ দূরে যাচ্ছে না

মোটামুটি এক বছরের ব্যবধানে, আমরা কম্পোনেন্টারি সহ গুরুতর দুর্বলতার মধ্য দিয়ে ভুগছি log4j, স্প্রিং ফ্রেমওয়ার্ক, এবং দ্বারা OpenSSL. পুরানো দুর্বলতাগুলির শোষণও ভুল কনফিগার করা বা পরিচিত দুর্বল নির্ভরতা ব্যবহার করে এমন বাস্তবায়ন থেকে কখনও থামে না। 2022 সালের নভেম্বরে, জনসাধারণ একটি সম্পর্কে জানতে পেরেছিল ফেডারেল সিভিলিয়ান এক্সিকিউটিভ ব্রাঞ্চের বিরুদ্ধে আক্রমণ অভিযান (FCEB), রাষ্ট্র-স্পন্সর ইরানি হুমকির জন্য দায়ী। এই মার্কিন ফেডারেল সত্তা VMware Horizon অবকাঠামো চালাচ্ছিল যাতে Log4Shell দুর্বলতা ছিল, যা প্রাথমিক আক্রমণ ভেক্টর হিসাবে কাজ করেছিল। FCEB একটি জটিল অ্যাটাক চেইনের সাথে আঘাত পেয়েছিল যার মধ্যে পার্শ্বীয় আন্দোলন, শংসাপত্রের আপস, সিস্টেম আপস, নেটওয়ার্ক অধ্যবসায়, এন্ডপয়েন্ট সুরক্ষা বাইপাস এবং ক্রিপ্টোজ্যাকিং অন্তর্ভুক্ত ছিল।

সংস্থাগুলি জিজ্ঞাসা করতে পারে "কেন আদৌ OSS ব্যবহার করেন?" OpenSSL বা Log4j-এর মতো দুর্বল প্যাকেজ থেকে নিরাপত্তা সংক্রান্ত ঘটনার পর। সরবরাহ শৃঙ্খল আক্রমণগুলি ঊর্ধ্বমুখী প্রবণতা অব্যাহত রাখে কারণ উপাদান পুনঃব্যবহার অংশীদার এবং সরবরাহকারীদের জন্য "ভাল ব্যবসায়িক জ্ঞান" তৈরি করে। আমরা স্ক্র্যাচ থেকে তৈরি না করে বিদ্যমান কোডকে পুনঃপ্রয়োজন করে সিস্টেমকে ইঞ্জিনিয়ার করি। এটি ইঞ্জিনিয়ারিং প্রচেষ্টা কমাতে, কার্যকরীভাবে স্কেল করা এবং দ্রুত বিতরণ করা। ওপেন সোর্স সফ্টওয়্যার (OSS) সাধারণত এটি প্রাপ্ত পাবলিক স্ক্রুটিনির কারণে বিশ্বাসযোগ্য বলে বিবেচিত হয়। যাইহোক, সফ্টওয়্যার সর্বদা পরিবর্তনশীল, এবং সমস্যাগুলি কোডিং ভুল বা লিঙ্কযুক্ত নির্ভরতার মাধ্যমে দেখা দেয়। পরীক্ষা এবং শোষণ কৌশলগুলির বিবর্তনের মাধ্যমেও নতুন সমস্যাগুলি উন্মোচিত হয়।

সাপ্লাই চেইন দুর্বলতা মোকাবেলা করা

আধুনিক ডিজাইন সুরক্ষিত করার জন্য প্রতিষ্ঠানের উপযুক্ত টুলিং এবং প্রক্রিয়া প্রয়োজন। প্রথাগত পন্থা যেমন দুর্বলতা ব্যবস্থাপনা বা পয়েন্ট-ইন-টাইম মূল্যায়ন একা রাখা যায় না। প্রবিধানগুলি এখনও এই পদ্ধতিগুলির জন্য অনুমতি দিতে পারে, যা "নিরাপদ" এবং "অনুশীলিত" এর মধ্যে বিভাজন স্থায়ী করে। বেশিরভাগ সংস্থাগুলি DevOps পরিপক্কতার কিছু স্তর পেতে চায়৷ "অবিরাম" এবং "স্বয়ংক্রিয়" হল DevOps অনুশীলনের সাধারণ বৈশিষ্ট্য। নিরাপত্তা প্রক্রিয়া ভিন্ন হওয়া উচিত নয়। নিরাপত্তা নেতাদের অবশ্যই তাদের নিরাপত্তা কৌশলের অংশ হিসাবে বিল্ড, ডেলিভারি এবং রানটাইম পর্যায়গুলিতে ফোকাস বজায় রাখতে হবে:

• ক্রমাগত CI/CD এ স্ক্যান করুন: বিল্ড পাইপলাইনগুলি সুরক্ষিত করার লক্ষ্য রাখুন (যেমন, শিফট-বামে) কিন্তু স্বীকার করুন যে আপনি সমস্ত কোড এবং নেস্টেড কোড স্ক্যান করতে পারবেন না। স্ক্যানার কার্যকারিতা, স্ক্যানার আউটপুটের পারস্পরিক সম্পর্ক, রিলিজ সিদ্ধান্তের স্বয়ংক্রিয়তা, এবং রিলিজ উইন্ডোর মধ্যে স্ক্যানার সমাপ্তির দ্বারা শিফট-বাম পদ্ধতির সাফল্য সীমিত। টুলিং অনুসন্ধানের ঝুঁকি অগ্রাধিকার সাহায্য করা উচিত. সমস্ত অনুসন্ধানগুলি কার্যকর নয়, এবং দুর্বলতাগুলি আপনার স্থাপত্যে শোষণযোগ্য নাও হতে পারে।

• প্রসবের সময় ক্রমাগত স্ক্যান করুন: উপাদান আপস এবং পরিবেশ প্রবাহ ঘটবে. রেজিস্ট্রি বা রিপোজিটরি থেকে উৎসারিত হওয়ার সময় ডিজিটাল সাপ্লাই চেইনে কিছু আপোস করা হলে ডেলিভারির সময় অ্যাপ্লিকেশন, অবকাঠামো এবং কাজের চাপ স্ক্যান করা উচিত এবং বুটস্ট্র্যাপ করা উচিত।

• রানটাইমে ক্রমাগত স্ক্যান করুন: রানটাইম সিকিউরিটি হল অনেক সিকিউরিটি প্রোগ্রামের সূচনা পয়েন্ট, এবং সিকিউরিটি মনিটরিং বেশিরভাগ সাইবার সিকিউরিটি প্রচেষ্টার উপর ভিত্তি করে। ক্লাউড, কনটেইনার এবং কুবারনেটস পরিবেশ সহ সমস্ত ধরণের পরিবেশে টেলিমেট্রি সংগ্রহ এবং সম্পর্কযুক্ত করতে পারে এমন প্রক্রিয়া আপনার প্রয়োজন। রানটাইমে সংগৃহীত অন্তর্দৃষ্টিগুলি পূর্ববর্তী বিল্ড এবং ডেলিভারি পর্যায়ে ফিরে আসা উচিত। পরিচয় এবং সেবা মিথস্ক্রিয়া

• রানটাইমে প্রকাশিত দুর্বলতাগুলিকে অগ্রাধিকার দিন: সমস্ত সংস্থা স্ক্যান এবং সবকিছু ঠিক করার জন্য পর্যাপ্ত সময় এবং সংস্থান নিয়ে লড়াই করে। ঝুঁকি-ভিত্তিক অগ্রাধিকার নিরাপত্তা কর্মসূচির কাজের জন্য মৌলিক। ইন্টারনেট এক্সপোজার শুধুমাত্র একটি কারণ। আরেকটি হল দুর্বলতার তীব্রতা, এবং সংস্থাগুলি প্রায়শই উচ্চ এবং সমালোচনামূলক গুরুতর সমস্যাগুলির উপর ফোকাস করে কারণ তাদের সবচেয়ে বেশি প্রভাব রয়েছে বলে মনে করা হয়। এই পদ্ধতিটি এখনও ইঞ্জিনিয়ারিং এবং নিরাপত্তা দলগুলির চক্রকে নষ্ট করতে পারে কারণ তারা এমন দুর্বলতাগুলি অনুসরণ করতে পারে যা রানটাইমে কখনই লোড হয় না এবং যা শোষণযোগ্য নয়। আপনার প্রতিষ্ঠানের প্রকৃত নিরাপত্তা ঝুঁকি জানতে রানটাইম ইন্টেলিজেন্স ব্যবহার করুন চলমান অ্যাপ্লিকেশন এবং পরিকাঠামোতে আসলে কোন প্যাকেজগুলি লোড হয় তা যাচাই করতে।

আমরা তৈরি করেছি পণ্য-নির্দিষ্ট নির্দেশিকা সাম্প্রতিক OpenSSL উন্মাদনার মাধ্যমে গ্রাহকদের চালিত করতে।

সর্বশেষ OpenSSL দুর্বলতা এবং Log4Shell আমাদের সাইবার নিরাপত্তা প্রস্তুতি এবং কার্যকর নিরাপত্তা কৌশলের প্রয়োজনীয়তার কথা মনে করিয়ে দেয়। আমাদের অবশ্যই মনে রাখতে হবে যে সিভিই-আইডিগুলি শুধুমাত্র পাবলিক সফ্টওয়্যার বা হার্ডওয়্যারের পরিচিত সমস্যা। অনেক দুর্বলতা রিপোর্ট করা হয় না, বিশেষ করে হোমগ্রোন কোড বা পরিবেশগত ভুল কনফিগারেশনের দুর্বলতা। আপনার সাইবারসিকিউরিটি কৌশলটি অবশ্যই আধুনিক ডিজাইনের বিতরণ করা এবং বৈচিত্র্যময় প্রযুক্তির জন্য দায়ী। আপনার একটি আধুনিক দুর্বলতা ব্যবস্থাপনা প্রোগ্রাম প্রয়োজন যা ইঞ্জিনিয়ারিং টিমের জন্য প্রতিকারের কাজকে অগ্রাধিকার দিতে রানটাইম অন্তর্দৃষ্টি ব্যবহার করে। বিস্ময় এড়াতে আপনার হুমকি সনাক্তকরণ এবং প্রতিক্রিয়া ক্ষমতাও প্রয়োজন যা পরিবেশ জুড়ে সংকেতগুলিকে সংযুক্ত করে।

লেখক সম্পর্কে

মাইকেল ইসবিটস্কি, সাইবার সিকিউরিটি স্ট্র্যাটেজির ডিরেক্টর সিসডিগ, পাঁচ বছরেরও বেশি সময় ধরে সাইবার সিকিউরিটি নিয়ে গবেষণা করেছেন এবং পরামর্শ দিয়েছেন। তিনি ক্লাউড সিকিউরিটি, কন্টেইনার সিকিউরিটি, কুবারনেটস সিকিউরিটি, এপিআই সিকিউরিটি, সিকিউরিটি টেস্টিং, মোবাইল সিকিউরিটি, এপ্লিকেশন প্রোটেকশন এবং নিরাপদ ক্রমাগত ডেলিভারিতে পারদর্শী। তিনি বিশ্বব্যাপী অগণিত সংস্থাকে তাদের নিরাপত্তা উদ্যোগে এবং তাদের ব্যবসাকে সমর্থন করার জন্য গাইড করেছেন।

তার গবেষণা এবং উপদেষ্টা অভিজ্ঞতার আগে, মাইক 20 বছরেরও বেশি অনুশীলনকারী এবং নেতৃত্বের অভিজ্ঞতার সাথে IT এর সামনের লাইনে অনেক কঠিন পাঠ শিখেছেন যা অ্যাপ্লিকেশন নিরাপত্তা, দুর্বলতা ব্যবস্থাপনা, এন্টারপ্রাইজ আর্কিটেকচার এবং সিস্টেম ইঞ্জিনিয়ারিং এর উপর দৃষ্টি নিবদ্ধ করে।