OIG দশ বছরেরও বেশি সময় ধরে সাইবারসিকিউরিটি সুপারিশ উপেক্ষা করার জন্য ডিওডিকে দায়িত্ব নেয়

OIG দশ বছরেরও বেশি সময় ধরে সাইবারসিকিউরিটি সুপারিশ উপেক্ষা করার জন্য ডিওডিকে দায়িত্ব নেয়

সময় স্ট্যাম্প: 14 মে, 2023 8:00 অপরাহ্ন
সংবাদ চিত্র

অভ্যন্তরীণ এবং বাহ্যিক সাইবার হুমকির বিরুদ্ধে আমাদের সবচেয়ে বড় প্রতিরক্ষার লাইন ডিওডি যদি তার সমালোচনামূলক আইটি থেকে দুর্বলতা-বস্তু এবং অপ্রচলিত হার্ডওয়্যার এবং সফ্টওয়্যারগুলিকে অপসারণ করতে সংশোধনমূলক পদক্ষেপ নিতে একদিন, এক ঘন্টা বা এক মিনিট বেশি সময় নেয় তবে এর প্রভাবগুলি বিপর্যয়কর হতে পারে। অবকাঠামো.

রিগেলসভিল, পা। (PRWEB) 15 পারে, 2023

হলিউড যখন কম্পিউটার হ্যাকারদের আন্ডারওয়ার্ল্ডকে চিত্রিত করে, ভাল এবং মন্দ সরকারী অভিনেতাদের মধ্যে যুদ্ধের পালস-পাউন্ডিং দৃশ্যের সাথে বিশ্বকে বাঁচাতে বা নামিয়ে দেওয়ার চেষ্টা করে, তখন আলো অশুভ, ফায়ারওয়াল খোলা এবং বন্ধ করার সময় আঙ্গুলগুলি একসাথে একাধিক কীবোর্ড জুড়ে অনায়াসে উড়ে যায়। বিদ্যুৎ গতিতে। এবং চটকদার ফেডারেল গোয়েন্দা সংস্থাগুলির কাছে সর্বদা চটকদার, উচ্চ-প্রযুক্তির গ্যাজেট্রিতে সর্বশেষতম থাকে৷ কিন্তু বাস্তবতা খুব কমই পরিমাপ করে। পেন্টাগন, প্রতিরক্ষা বিভাগের সদর দপ্তর (DoD), মার্কিন যুক্তরাষ্ট্রের সামরিক শক্তি এবং শক্তির একটি শক্তিশালী প্রতীক। যাইহোক, 2014 থেকে 2022 সাল পর্যন্ত, 822টি সরকারী সংস্থা সাইবার আক্রমণের শিকার হয়েছে, যা প্রায় $175 বিলিয়ন ব্যয়ে প্রায় 26 মিলিয়ন সরকারি রেকর্ডকে প্রভাবিত করেছে৷ , এবং তাদের সবচেয়ে সাম্প্রতিক অডিট রিপোর্টটি দেশের বৃহত্তম সরকারি সংস্থার সুনামের প্রতি একটি কালো চোখ। ওয়াল্ট সজাব্লোস্কি, এর প্রতিষ্ঠাতা এবং নির্বাহী চেয়ারম্যান ইরাসেন্ট, যা দুই দশকেরও বেশি সময় ধরে তার বৃহৎ এন্টারপ্রাইজ ক্লায়েন্টদের নেটওয়ার্কগুলিতে সম্পূর্ণ দৃশ্যমানতা প্রদান করেছে, সতর্ক করে দেয়, “অভ্যন্তরীণ এবং বাহ্যিক সাইবার হুমকির বিরুদ্ধে আমাদের সবচেয়ে বড় প্রতিরক্ষা ডিওডি যদি একদিন, এক ঘন্টা বা এক সময় নেয় তাহলে এর প্রভাব বিপর্যয়কর হতে পারে। দুর্বলতা-প্যাকড এবং অপ্রচলিত হার্ডওয়্যার এবং সফ্টওয়্যার এর সমালোচনামূলক আইটি অবকাঠামো থেকে অপসারণ করতে সংশোধনমূলক পদক্ষেপ নেওয়ার জন্য খুব বেশি মিনিট। জিরো ট্রাস্ট আর্কিটেকচার হল সাইবার সিকিউরিটি টুলবক্সের সবচেয়ে বড় এবং সবচেয়ে কার্যকর টুল।"

সম্প্রতি জানুয়ারী 2023 হিসাবে, FAA দ্বারা একটি গ্রাউন্ড স্টপ শুরু করার পরে, সমস্ত বিমানের প্রস্থান এবং আগমন রোধ করে বিশ্ব তার সম্মিলিত শ্বাস ধরেছিল। 9/11 এর ঘটনার পর থেকে এমন চরম পদক্ষেপ নেওয়া হয়নি। FAA এর চূড়ান্ত রায় ছিল যে বিমান বিপর্যয় প্রতিরোধে গুরুত্বপূর্ণ নিরাপত্তা তথ্য প্রদানের জন্য দায়ী নোটিস টু এয়ার মিশন (NOTAM) সিস্টেমের একটি বিভ্রাট রুটিন রক্ষণাবেক্ষণের সময় আপস করা হয়েছিল যখন একটি ফাইল ভুলভাবে অন্যটির সাথে প্রতিস্থাপিত হয়েছিল। (2) তিন সপ্তাহ পরে, DoD OIG 1 জুলাই, 2020 থেকে 30 জুন, 2022 (DODIG-2023-047) অডিট থেকে DoD সাইবারসিকিউরিটি সংক্রান্ত তার রিপোর্ট এবং সাক্ষ্যের সারাংশ প্রকাশ করেছে যা DoD সাইবার সংক্রান্ত অশ্রেণীবদ্ধ এবং শ্রেণীবদ্ধ প্রতিবেদন এবং সাক্ষ্যের সারসংক্ষেপ।

ওআইজি রিপোর্ট অনুসারে, ফেডারেল সংস্থাগুলিকে ন্যাশনাল ইনস্টিটিউট অফ স্ট্যান্ডার্ডস অ্যান্ড টেকনোলজি (এনআইএসটি) ফ্রেমওয়ার্ক ফর ইমপ্রুভিং ক্রিটিক্যাল ইনফ্রাস্ট্রাকচার সাইবার সিকিউরিটির নির্দেশিকা অনুসরণ করতে হবে। ফ্রেমওয়ার্কটিতে পাঁচটি স্তম্ভ রয়েছে — সনাক্তকরণ, সুরক্ষা, সনাক্তকরণ, প্রতিক্রিয়া এবং পুনরুদ্ধার — উচ্চ-স্তরের সাইবার নিরাপত্তা ব্যবস্থা বাস্তবায়নের জন্য যা একটি ব্যাপক ঝুঁকি ব্যবস্থাপনা কৌশল হিসাবে একসাথে কাজ করে। ওআইজি এবং অন্যান্য ডিওডি তদারকি সংস্থাগুলি প্রাথমিকভাবে দুটি স্তম্ভের উপর ফোকাস করেছে — সনাক্তকরণ এবং সুরক্ষা, বাকি তিনটির উপর কম জোর দিয়ে — সনাক্ত করা, প্রতিক্রিয়া জানানো এবং পুনরুদ্ধার করা৷ প্রতিবেদনে উপসংহারে বলা হয়েছে যে বর্তমান এবং অতীতের সারাংশ প্রতিবেদনে 895টি সাইবার নিরাপত্তা-সম্পর্কিত সুপারিশের মধ্যে, DoD-এর এখনও 478 সাল পর্যন্ত 2012টি উন্মুক্ত নিরাপত্তা সমস্যা রয়েছে।(3)

2021 সালের মে মাসে, হোয়াইট হাউস এক্সিকিউটিভ অর্ডার 14028 জারি করেছে: জাতির সাইবার নিরাপত্তার উন্নতি করা, বহুমুখী প্রমাণীকরণ এনক্রিপশন নিয়োগের নির্দেশ সহ জিরো ট্রাস্ট আর্কিটেকচার গ্রহণ করে সাইবার নিরাপত্তা এবং সফ্টওয়্যার সাপ্লাই চেইন অখণ্ডতা বাড়াতে ফেডারেল এজেন্সিগুলির প্রয়োজন৷ জিরো ট্রাস্ট একটি সরকার-ব্যাপী এন্ডপয়েন্ট সনাক্তকরণ এবং প্রতিক্রিয়া ব্যবস্থার সুবিধা দিয়ে ফেডারেল নেটওয়ার্কগুলিতে দূষিত সাইবার কার্যকলাপের সনাক্তকরণকে উন্নত করে। সাইবারসিকিউরিটি ইভেন্ট লগ প্রয়োজনীয়তাগুলি ফেডারেল সরকারী সংস্থাগুলির মধ্যে ক্রস-কমিউনিকেশন উন্নত করার জন্য ডিজাইন করা হয়েছে৷(4)

জিরো ট্রাস্ট আর্কিটেকচার, তার সবচেয়ে মৌলিক স্তরে, সর্বদা নেটওয়ার্কের অভ্যন্তরীণ এবং বাহ্যিক হুমকির অস্তিত্ব অনুমান করে সাইবার নিরাপত্তা সরবরাহ চেইন বরাবর প্রতিটি উপাদানের প্রতি দৃঢ় সংশয়বাদ এবং অবিশ্বাসের ভঙ্গি অনুমান করে। কিন্তু জিরো ট্রাস্ট তার চেয়ে অনেক বেশি।

জিরো ট্রাস্টের বাস্তবায়ন সংস্থাটিকে অবশেষে বাধ্য করে:

  • সংগঠনের নেটওয়ার্ক সংজ্ঞায়িত করুন যা রক্ষা করা হচ্ছে।
  • একটি প্রতিষ্ঠান-নির্দিষ্ট প্রক্রিয়া এবং সিস্টেম ডিজাইন করুন যা নেটওয়ার্ককে রক্ষা করে।
  • প্রক্রিয়াটি কাজ করছে তা নিশ্চিত করতে সিস্টেমটি বজায় রাখুন, সংশোধন করুন এবং নিরীক্ষণ করুন।
  • ক্রমাগত প্রক্রিয়া পর্যালোচনা করুন এবং নতুন সংজ্ঞায়িত ঝুঁকি মোকাবেলা করার জন্য এটি সংশোধন করুন।

সাইবারসিকিউরিটি অ্যান্ড ইনফ্রাস্ট্রাকচার সিকিউরিটি এজেন্সি (সিআইএসএ) একটি জিরো ট্রাস্ট ম্যাচিউরিটি মডেল তৈরি করছে যার নিজস্ব পাঁচটি স্তম্ভ রয়েছে - আইডেন্টিটি, ডিভাইস, নেটওয়ার্ক, ডেটা, এবং অ্যাপ্লিকেশন এবং ওয়ার্কলোডস - জিরো ট্রাস্ট কৌশল এবং সমাধানগুলির বিকাশ এবং বাস্তবায়নে সরকারী সংস্থাগুলিকে সহায়তা করার জন্য (5)

জিরো ট্রাস্ট আর্কিটেকচার ইরাসেন্টের মতো কাঠামোগত এবং নিরীক্ষণযোগ্য প্রক্রিয়া ছাড়াই একটি তাত্ত্বিক ধারণা হিসাবে রয়ে গেছে ClearArmor জিরো ট্রাস্ট রিসোর্স প্ল্যানিং (ZTRP) উদ্যোগ. এর আনব্রিজড ফ্রেমওয়ার্ক রিয়েল-টাইম অডিট-ঝুঁকি বিশ্লেষণ ব্যবহার করে সমস্ত উপাদান, সফ্টওয়্যার অ্যাপ্লিকেশন, ডেটা, নেটওয়ার্ক এবং শেষ পয়েন্টগুলিকে পদ্ধতিগতভাবে সংশ্লেষিত করে। জিরো ট্রাস্টের সফল স্থাপনার জন্য সফ্টওয়্যার সাপ্লাই চেইনের প্রতিটি উপাদানকে সন্দেহাতীতভাবে প্রমাণ করতে হবে যে এটি বিশ্বাসযোগ্য এবং নির্ভর করা যেতে পারে।

প্রচলিত দুর্বলতা বিশ্লেষণের সরঞ্জামগুলি পদ্ধতিগতভাবে একটি অ্যাপ্লিকেশনের সরবরাহ শৃঙ্খলের সমস্ত উপাদান যাচাই করে না, যেমন পুরানো এবং অপ্রচলিত কোড যা নিরাপত্তা ঝুঁকি তৈরি করতে পারে। Szablowski এই সরকারী উদ্যোগগুলিকে স্বীকার করে এবং সাধুবাদ জানায়, সতর্ক করে, “জিরো ট্রাস্ট একটি স্পষ্টভাবে সংজ্ঞায়িত, পরিচালিত, এবং ক্রমাগত বিকশিত প্রক্রিয়া; এটা 'এক এবং সম্পন্ন' নয়। প্রথম ধাপ হল নেটওয়ার্কের আকার এবং সুযোগ নির্ধারণ করা এবং কী সুরক্ষিত করা দরকার তা চিহ্নিত করা। সবচেয়ে বড় ঝুঁকি এবং অগ্রাধিকার কি? তারপরে একটি একক ব্যবস্থাপনা এবং রিপোর্টিং প্ল্যাটফর্মে একটি স্বয়ংক্রিয়, অবিচ্ছিন্ন এবং পুনরাবৃত্তিযোগ্য ব্যবস্থাপনা প্রক্রিয়ায় নির্দেশিকাগুলির একটি নির্ধারিত সেট তৈরি করুন।"

Eracent সম্পর্কে
Walt Szablowski হলেন Eracent-এর প্রতিষ্ঠাতা এবং নির্বাহী চেয়ারম্যান এবং Eracent-এর সহযোগী সংস্থার (Eracent SP ZOO, Warsaw, Poland; ব্যাঙ্গালোর, ভারতে Eracent Private LTD এবং Eracent Brazil) এর চেয়ারম্যান হিসেবে কাজ করেন। ইরাসেন্ট তার গ্রাহকদের আজকের জটিল এবং বিকশিত আইটি পরিবেশে আইটি নেটওয়ার্ক সম্পদ, সফ্টওয়্যার লাইসেন্স এবং সাইবার নিরাপত্তা পরিচালনার চ্যালেঞ্জ মোকাবেলায় সহায়তা করে। ইরাসেন্টের এন্টারপ্রাইজ ক্লায়েন্টরা তাদের বার্ষিক সফ্টওয়্যার ব্যয়ে উল্লেখযোগ্যভাবে সঞ্চয় করে, তাদের অডিট এবং নিরাপত্তা ঝুঁকি হ্রাস করে এবং আরও দক্ষ সম্পদ ব্যবস্থাপনা প্রক্রিয়া স্থাপন করে। Eracent এর ক্লায়েন্ট বেস বিশ্বের বৃহত্তম কর্পোরেট এবং সরকারী নেটওয়ার্ক এবং IT পরিবেশ অন্তর্ভুক্ত করে। কয়েক ডজন Fortune 500 কোম্পানি তাদের নেটওয়ার্ক পরিচালনা ও সুরক্ষার জন্য Eracent সমাধানের উপর নির্ভর করে। ভিজিট করুন https://eracent.com/. 

তথ্যসূত্র:
1) Bischoff, P. (2022, নভেম্বর 29)। সরকারী লঙ্ঘন - আপনি কি আপনার ডেটা দিয়ে মার্কিন সরকারকে বিশ্বাস করতে পারেন? তুলনাটেক। 28 এপ্রিল, 2023, comparitech.com/blog/vpn-privacy/us-government-breaches/ থেকে সংগৃহীত
2) FAA Notam স্টেটমেন্ট। FAA NOTAM বিবৃতি | ফেডারেল এভিয়েশন অ্যাডমিনিস্ট্রেশন. (nd)। ফেব্রুয়ারী 1, 2023 থেকে সংগৃহীত, from.faa.gov/newsroom/faa-notam-statement
3) 1 জুলাই, 2020 থেকে DOD সাইবার নিরাপত্তা সংক্রান্ত রিপোর্ট এবং সাক্ষ্যের সারাংশ। ইন্সপেক্টর জেনারেল অফিস প্রতিরক্ষা বিভাগ. (2023, জানুয়ারী 30)। 28 এপ্রিল, 2023, dodig.mil/reports.html/Article/3284561/summary-of-reports-and-testimonies-regarding-dod-cybersecurity-from-july-1-2020/ থেকে সংগৃহীত
4) এক্সিকিউটিভ অর্ডার 14028: দেশের সাইবার নিরাপত্তার উন্নতি। জিএসএ। (2021, অক্টোবর 28)। 29 মার্চ, 2023, gsa.gov/technology/technology-products-services/it-security/executive-order-14028-improving-the-nations-cybersecurity থেকে সংগৃহীত
5) CISA আপডেট করা জিরো ট্রাস্ট ম্যাচুরিটি মডেল প্রকাশ করেছে: CISA৷ সাইবারসিকিউরিটি এবং ইনফ্রাস্ট্রাকচার সিকিউরিটি এজেন্সি সিআইএসএ। (2023, এপ্রিল 25)। 28 এপ্রিল, 2023, cisa.gov/news-events/news/cisa-releases-updated-zero-trust-maturity-model#:~:text=The%20five%20pillars%20of%20the,the%202021% থেকে সংগৃহীত 20পাবলিক%20মন্তব্য%20পিরিয়ড

সময় স্ট্যাম্প:

থেকে আরো কম্পিউটার নিরাপত্তা