লো-কোড/নো-কোড অ্যাপ প্ল্যাটোব্লকচেন ডেটা ইন্টেলিজেন্সে ব্যবহারকারীর ছদ্মবেশের জন্য সতর্ক থাকুন। উল্লম্ব অনুসন্ধান. আ.

লো-কোড/নো-কোড অ্যাপ্লিকেশানগুলিতে ব্যবহারকারীর ছদ্মবেশের জন্য সতর্ক থাকুন৷

সময় স্ট্যাম্প: 18 জুলাই, 2022 10:00 এএম

গত মাসে লিখেছিলাম একটি নিবন্ধ যেভাবে লো-কোড/নো-কোড প্ল্যাটফর্মগুলি একটি পরিষেবা হিসাবে শংসাপত্র-শেয়ারিং অফার করছে, কেন তারা এটি করছে এবং এটি কীভাবে দেখায় সে সম্পর্কে আক্রমণকারীর দৃষ্টিকোণ. এই নিবন্ধে, আমি সেই সমঝোতার প্রভাবের উপর ফোকাস করব এবং কীভাবে এটি আজ উদ্যোগগুলিকে প্রভাবিত করে।

এখানে কেন আপনার এন্টারপ্রাইজ শংসাপত্রগুলি অন্য কারও সাথে ভাগ করা খারাপ অভ্যাস। বলুন আমি কিছু এক-অফ ব্যবহারকারী-আচরণ বিশ্লেষণের জন্য প্রোডাকশন লগগুলি জিজ্ঞাসা করার জন্য একজন সহকর্মীর কাছে আমার শংসাপত্রগুলি পাস করতে চাই৷ একটি সাধারণ এন্টারপ্রাইজে, কাউকে একটি নতুন ডেটা উত্স অনুসন্ধান করার অনুমতি দেওয়ার অর্থ একটি দীর্ঘ অ্যাক্সেস পর্যালোচনা প্রক্রিয়া হতে পারে, বিশেষত যখন এটি উত্পাদন বা সংবেদনশীল ডেটার ক্ষেত্রে আসে। আমার সহকর্মী সহজেই হতাশ হতে পারে। "আমি যা চেয়েছিলাম তা হল এই ক্ষুদ্র এক-অফ প্রশ্নটি করতে, এবং আমি ইতিমধ্যে এক মাস ধরে অপেক্ষা করছি!" তারা বলতে পারে। আমি শুধু তাদের জন্য ক্যোয়ারী চালাতে পারতাম, কিন্তু আমি আমার নিজের প্রতিদিনের কাজগুলো নিয়ে আচ্ছন্ন হয়ে পড়েছি, এবং এক-একবার প্রশ্নগুলি জটিল হতে থাকে।

আমার কাছে একটি দ্রুত সমাধান বাকি আছে: আমি শুধু আমার সহকর্মীর সাথে আমার ব্যবহারকারীর নাম/পাসওয়ার্ড শেয়ার করতে পারি। যদি তারা একটি MFA চ্যালেঞ্জ পায়, আমি আনন্দের সাথে অনুমোদন করব। আমাকে কোয়েরি চালানোর জন্য সময় ব্যয় করতে হবে না, এবং আমার সহকর্মী আনব্লক হয়ে যায়। সবাই জিতেছে! ঠিক?

ঠিক আছে, আপনি আপনার বিশ্লেষণে সঠিক হবেন, কিন্তু আপনি বড় ছবি মিস করছেন। যদিও এন্টারপ্রাইজের জন্য এটি গুরুত্বপূর্ণ যে আপনার সহকর্মী তাদের ব্যবহারকারীর আচরণ বিশ্লেষণ করান, এটি সমানভাবে গুরুত্বপূর্ণ, যদি বেশি না হয়, তবে এটি গুরুত্বপূর্ণ যে আপনার এন্টারপ্রাইজ গোপনীয়তা এবং সুরক্ষা মানগুলির সম্পূর্ণ হোস্টের সাথে সঙ্গতিপূর্ণ থাকে এবং সুরক্ষার প্রতি কোম্পানির প্রতিশ্রুতি বজায় রেখে গ্রাহকের আস্থা বজায় রাখে। .

যদি উচ্চ-স্তরের এন্টারপ্রাইজ লক্ষ্যগুলি আপনাকে সন্তুষ্ট না করে, আইটি বা নিরাপত্তার কেন্দ্রীয় ব্যবস্থাপনা দলগুলিকে বিবেচনা করুন। এই দলগুলি তাদের ক্রিয়াকলাপ এবং সুরক্ষা কৌশলগুলি এই সত্যের উপর ভিত্তি করে যে প্রতিটি ব্যবহারকারীর নিজস্ব স্বতন্ত্র পরিচয় রয়েছে। আইটি দলগুলি নেটওয়ার্কিং এবং অ্যাক্সেস নীতিগুলি সেট আপ করছে যা ধরে নেয় প্রতিটি ব্যবহারকারী একবারে একটি কর্পোরেট আইপি বা কর্পোরেট ল্যাপটপ থেকে লগ ইন করবে; নিরাপত্তা দল ইউজার আইডির উপর ভিত্তি করে ইভেন্টের সাথে সম্পর্ক স্থাপন করছে; ফিনান্স টিমগুলি ব্যবহারকারী প্রতি খরচ রিপোর্ট এবং তাদের ব্যক্তিগত ক্লাউড পরিবেশের সমষ্টি হতে পারে। শংসাপত্র ভাগাভাগি অন্যদের মধ্যে সেই সমস্ত অনুমানকে দুর্বল করে। এটি একটি অনলাইন পরিচয়ের মৌলিক অর্থকে সরিয়ে দেয়।

একটি বাস্তব-বিশ্বের উদাহরণ

আসুন লো-কোড/নো-কোডের জগতে ঘুরে আসি এবং একটি বাস্তব-বিশ্বের দৃশ্যকল্প পরীক্ষা করি। একটি বড় এন্টারপ্রাইজে, জেন, কাস্টমার কেয়ার টিমের একজন অনুপ্রাণিত কর্মচারী, বুঝতে পেরেছিলেন যে যখন সংস্থার কর্মচারীরা একটি গ্রাহকের ক্ষেত্রে অংশ নেয়, তখন তারা সাধারণত গ্রাহক সম্পর্কে গুরুত্বপূর্ণ তথ্য অনুপস্থিত থাকে, যেমন তাদের সমর্থন কেস ইতিহাস এবং সর্বশেষ কেনাকাটা। এটি গ্রাহকের অভিজ্ঞতাকে অবনমিত করে, কারণ তাদের বারবার তাদের সমস্যাটি ব্যাখ্যা করতে হয় যখন কেসটি সঠিক কর্মচারীর কাছে চলে যায় যিনি সমস্যাটির সমাধান করতে পারেন।

এটিকে উন্নত করার জন্য, জেন একটি অ্যাপ তৈরি করেছেন যা কোম্পানির কর্মীদের গ্রাহকদের সম্পর্কে এই মূল তথ্য দেখতে দেয় যখন সেই কর্মচারীরা গ্রাহকের সহায়তার ক্ষেত্রে মোকাবেলা করার জন্য দায়ী দলের অংশ। প্রথমত, আসুন লো-কোড/নো-কোডের শক্তিকে স্বীকার করার জন্য একটু সময় নেওয়া যাক, যা জেনকে বাজেট না চাওয়া বা আইটি সংস্থান বরাদ্দের জন্য অপেক্ষা না করেই একটি প্রয়োজন সনাক্ত করতে এবং নিজে থেকে এটি সমাধান করতে দেয়।

অ্যাপ্লিকেশন তৈরি করার সময়, জেনকে একাধিক সমস্যা নিয়ে কাজ করতে হয়েছিল, সবচেয়ে বড়টি হল অনুমতি। প্রতিষ্ঠান জুড়ে কর্মচারীদের তাদের প্রয়োজনীয় তথ্য পেতে গ্রাহক ডাটাবেস অনুসন্ধান করার সরাসরি অ্যাক্সেস নেই। যদি তারা করে থাকে, তাহলে জেনকে এই অ্যাপ্লিকেশনটি তৈরি করতে হবে না। এই সমস্যাটি কাটিয়ে ওঠার জন্য, জেন ডাটাবেসে লগ ইন করেছে এবং তার প্রমাণীকৃত সেশন সরাসরি অ্যাপ্লিকেশনটিতে এম্বেড করেছে। যখন অ্যাপ্লিকেশানটি একজন ব্যবহারকারীর কাছ থেকে একটি অনুরোধ পায়, তখন এটি সেই ক্যোয়ারীটি চালানোর জন্য জেনের পরিচয় ব্যবহার করবে এবং তারপর ফলাফলগুলি ব্যবহারকারীকে ফেরত দেবে। এই শংসাপত্র-এম্বেডিং বৈশিষ্ট্য, আমরা গত মাসে অন্বেষণ হিসাবে, লো-কোড/নো-কোড প্ল্যাটফর্মের একটি মূল বৈশিষ্ট্য। জেন অ্যাপ্লিকেশনটিতে ভূমিকা-ভিত্তিক অ্যাক্সেস কন্ট্রোল (RBAC) সেট আপ করার বিষয়টি নিশ্চিত করেছেন যাতে প্রতিটি ব্যবহারকারী কেবল তাদের নির্ধারিত গ্রাহকের ক্ষেত্রে অ্যাক্সেস করতে পারে।

অ্যাপ্লিকেশনটি একটি গুরুত্বপূর্ণ ব্যবসায়িক সমস্যার সমাধান করেছে, এবং তাই এটি দ্রুত এন্টারপ্রাইজ জুড়ে ব্যবহারকারী গ্রহণ করেছে। লোকেরা খুশি ছিল যে তারা কথোপকথনের জন্য সঠিক প্রেক্ষাপট রেখে তাদের গ্রাহকদের আরও ভাল পরিষেবা প্রদান করতে পারে। গ্রাহকরাও খুশি ছিল। জেন অ্যাপ্লিকেশানটি তৈরি করার এক মাস পরে, গ্রাহক সন্তুষ্টির হার বৃদ্ধির সাথে, এটি ইতিমধ্যেই প্রতিষ্ঠান জুড়ে শত শত ব্যবহারকারী ব্যবহার করেছে।

ইতিমধ্যে এসওসি-তে, উত্পাদন গ্রাহক ডাটাবেসের চারপাশে অস্বাভাবিক কার্যকলাপ দেখানো একটি উচ্চ-তীব্রতার সতর্কতা ট্রিগার করা হয়েছিল এবং একজন অভিজ্ঞ নিরাপত্তা বিশ্লেষক অ্যামিকে অর্পণ করা হয়েছিল। অ্যামির প্রাথমিক তদন্তে দেখা গেছে যে একজন অভ্যন্তরীণ ব্যবহারকারী পুরো ডাটাবেসটি স্ক্র্যাপ করার চেষ্টা করছে, সংস্থা জুড়ে একাধিক আইপি ঠিকানা থেকে একাধিক গ্রাহকের তথ্য জিজ্ঞাসা করছে। ক্যোয়ারী প্যাটার্ন খুব জটিল ছিল; একটি সাধারণ গণনা প্যাটার্নের পরিবর্তে আপনি যখন একটি ডাটাবেস স্ক্র্যাপ করা হচ্ছে তা দেখতে আশা করবেন, একই গ্রাহকের ডেটা একাধিকবার জিজ্ঞাসা করা হয়েছে, কখনও কখনও বিভিন্ন IP ঠিকানার মাধ্যমে এবং বিভিন্ন তারিখে। এটি কি একজন আক্রমণকারী নিরাপত্তা পর্যবেক্ষণ সিস্টেমকে বিভ্রান্ত করার চেষ্টা করতে পারে?

একটি দ্রুত তদন্তের পরে, অ্যামি তথ্যের একটি গুরুত্বপূর্ণ অংশ উন্মোচন করেছেন: সমস্ত আইপি ঠিকানা এবং তারিখ জুড়ে সেই সমস্ত প্রশ্নগুলি একটি একক ব্যবহারকারীর পরিচয় ব্যবহার করছে, কাস্টমার কেয়ার টিমের জেন নামে কেউ।

অ্যামি জেনের কাছে পৌঁছেছে তাকে জিজ্ঞাসা করার জন্য কী হচ্ছে। প্রথমে জেন জানত না। তার প্রমাণপত্র চুরি করা হয়েছে? তিনি কি ভুল লিঙ্কে ক্লিক করেছেন বা ভুল ইনকামিং ইমেলকে বিশ্বাস করেছেন? কিন্তু যখন জেন অ্যামিকে সম্প্রতি তৈরি করা অ্যাপ্লিকেশন সম্পর্কে বলেছিলেন, তখন তারা উভয়েই বুঝতে পেরেছিল যে একটি সংযোগ থাকতে পারে। অ্যামি, এসওসি বিশ্লেষক, লো-কোড/নো-কোডের সাথে পরিচিত ছিলেন না, তাই তারা অ্যাপসেক দলের সাথে যোগাযোগ করেছিলেন। জেনের সাহায্যে, দলটি আবিষ্কার করেছিল যে জেনের আবেদনের মধ্যে জেনের শংসাপত্রগুলি এম্বেড করা আছে। ডাটাবেসের দৃষ্টিকোণ থেকে, কোনও অ্যাপ্লিকেশন ছিল না - সেখানে কেবল জেন ছিল, সম্পূর্ণ প্রচুর প্রশ্নগুলি সম্পাদন করে।

জেন, অ্যামি এবং অ্যাপসেক দল একটি সমাধান না পাওয়া পর্যন্ত অ্যাপ্লিকেশনটি বন্ধ করার সিদ্ধান্ত নিয়েছে। সংস্থা জুড়ে অ্যাপ্লিকেশন ব্যবহারকারীরা হতাশ হয়ে পড়েছিল যেহেতু তারা এটির উপর নির্ভর করতে এসেছিল এবং গ্রাহকরাও এটি অনুভব করছিল।

যখন অ্যামি সমস্যাটি বন্ধ করে এবং তাদের ফলাফলগুলি নথিভুক্ত করে, গ্রাহক পরিচর্যার ভিপি গ্রাহক সন্তুষ্টির হার হ্রাস দেখে খুশি হননি, তাই তারা জেনকে একটি স্থায়ী সমাধান খুঁজতে বলেছিলেন। প্ল্যাটফর্মের ডকুমেন্টেশন এবং প্রতিষ্ঠানের সেন্টার অফ এক্সিলেন্স টিমের সাহায্যে, জেন অ্যাপ্লিকেশন থেকে তার এম্বেড করা পরিচয় মুছে ফেলে, ডাটাবেস অনুসন্ধান করার জন্য প্রতিটি ব্যবহারকারীর পরিচয় ব্যবহার করার জন্য অ্যাপটি পরিবর্তন করে এবং ব্যবহারকারীরা শুধুমাত্র তাদের সাথে যুক্ত গ্রাহকের ক্ষেত্রে অনুমতি পান তা নিশ্চিত করে। . এর নতুন এবং উন্নত সংস্করণে, অ্যাপ্লিকেশনটি গ্রাহক ডাটাবেস অনুসন্ধান করতে প্রতিটি ব্যবহারকারীর পরিচয় ব্যবহার করেছে। জেন এবং অ্যাপ্লিকেশন ব্যবহারকারীরা খুশি যে অ্যাপ্লিকেশনটি অনলাইনে ফিরে এসেছে, অ্যামি এবং অ্যাপসেক দল খুশি যে জেনের পরিচয় আর শেয়ার করা হয়নি, এবং এন্টারপ্রাইজটি গ্রাহক সন্তুষ্টির হার আবার বাড়তে শুরু করেছে। সব ভালো ছিল.

দুই সপ্তাহ পরে, SOC উত্পাদন গ্রাহক ডাটাবেসে অস্বাভাবিক অ্যাক্সেস সম্পর্কে আরেকটি সতর্কতা পেয়েছে। এটি একই ডাটাবেসের পূর্ববর্তী সতর্কতার সাথে সন্দেহজনকভাবে অনুরূপ দেখায়। আবার, সারা সংস্থার আইপি ঠিকানাগুলি ডাটাবেস অনুসন্ধানের জন্য একক ব্যবহারকারীর পরিচয় ব্যবহার করে। আবার, যে ব্যবহারকারী ছিল জেন. কিন্তু এবার, নিরাপত্তা দল এবং জেন জানত যে অ্যাপটি তার ব্যবহারকারীর পরিচয় ব্যবহার করে। কি হচ্ছে?

তদন্তে জানা গেছে আসল অ্যাপটি ছিল পরোক্ষভাবে ভাগ করা অ্যাপের ব্যবহারকারীদের সাথে জেনের প্রমাণীকৃত ডাটাবেস সেশন। একটি ব্যবহারকারীর সাথে অ্যাপটি ভাগ করে, সেই ব্যবহারকারী সরাসরি অ্যাক্সেস পেয়েছে৷ সংযোগ, লো-কোড/নো-কোডের প্ল্যাটফর্ম দ্বারা প্রদত্ত একটি প্রমাণীকৃত ডাটাবেস সেশনের চারপাশে একটি মোড়ক। সেই সংযোগটি ব্যবহার করে, ব্যবহারকারীরা সরাসরি প্রমাণীকৃত সেশনের সুবিধা নিতে পারে — তাদের আর অ্যাপের মাধ্যমে যেতে হবে না। দেখা যাচ্ছে যে বেশ কয়েকজন ব্যবহারকারী এটি খুঁজে পেয়েছেন এবং ভেবেছিলেন যে এটি উদ্দেশ্যমূলক আচরণ ছিল, তাদের প্রশ্নগুলি চালানোর জন্য জেনের প্রমাণীকৃত ডাটাবেস সেশন ব্যবহার করছে। তারা এই সমাধানটি পছন্দ করেছিল, যেহেতু সংযোগটি সরাসরি ব্যবহার করে তাদের ডাটাবেসে সম্পূর্ণ অ্যাক্সেস দেয়, কেবলমাত্র গ্রাহকদের ক্ষেত্রেই নয় যেগুলির জন্য তারা বরাদ্দ করা হয়েছে৷

সংযোগ মুছে ফেলা হয়েছে, এবং ঘটনা শেষ হয়েছে. SOC বিশ্লেষক সেই ব্যবহারকারীদের কাছে পৌঁছেছেন যারা জেনের সংযোগ ব্যবহার করেছেন তা নিশ্চিত করার জন্য তারা তাদের সঞ্চিত কোনো গ্রাহকের ডেটা বাতিল করেছে।

লো-কোড/নো-কোড নিরাপত্তা চ্যালেঞ্জ মোকাবেলা করা

উপরের গল্পটি একটি বহুজাতিক B2C কোম্পানির বাস্তব জীবনের দৃশ্য। গোপনীয়তা রক্ষা করার জন্য কিছু বিবরণ বাদ দেওয়া বা সামঞ্জস্য করা হয়েছে। আমরা দেখেছি কিভাবে একজন সৎ কর্মচারী অনিচ্ছাকৃতভাবে অন্য ব্যবহারকারীদের সাথে তাদের পরিচয় ভাগ করে নিতে পারে, যার ফলে IT, নিরাপত্তা এবং ব্যবসায় বিভিন্ন সমস্যার সৃষ্টি হয়। যেমনটি আমরা গত মাসে অন্বেষণ করেছি, শংসাপত্র-ভাগ করা নিম্ন-কোড/নো-কোডের একটি মূল বৈশিষ্ট্য। এটি আদর্শ, ব্যতিক্রম নয়।

As লো-কোড/নো-কোড এন্টারপ্রাইজে প্রস্ফুটিত হতে থাকে, সচেতনভাবে বা না, নিরাপত্তা এবং আইটি টিমের জন্য ব্যবসায়িক উন্নয়ন কথোপকথনে যোগদান করা অত্যন্ত গুরুত্বপূর্ণ। লো-কোড/নো-কোড অ্যাপের সাথে আসে নিরাপত্তা চ্যালেঞ্জের অনন্য সেট, এবং তাদের বিস্তৃত প্রকৃতির মানে সেই চ্যালেঞ্জগুলি আগের চেয়ে দ্রুততর হয়ে উঠেছে।

সময় স্ট্যাম্প:

থেকে আরো অন্ধকার পড়া