সফ্টওয়্যার সাপ্লাই চেইন সবচেয়ে সাধারণ দুর্বলতা কি কি?

প্রতিষ্ঠান এবং ব্যবসার অ্যাপ্লিকেশন এবং প্রযুক্তির একীকরণের হার বৃদ্ধি পাচ্ছে। অন্তত, এমনকি ঐতিহ্যগত ব্যবসার জন্য একটি পেশাদার ইমেল পরিষেবা প্রয়োজন। অবশ্যই, একটি অ্যাপ্লিকেশন অনেক উপায়ে ব্যবসাকে সাহায্য করে, যেমন একটি ইমেল পাঠানোর মতো সাধারণ কাজ থেকে শুরু করে বিপণন অটোমেশনের মতো জটিল প্রক্রিয়াগুলিতে। সাইবার অপরাধীরা এই সফ্টওয়্যার সরবরাহ শৃঙ্খলের মধ্যে ত্রুটিগুলি সন্ধান করে এবং ক্ষতি করার জন্য এগিয়ে যায়। সুতরাং, আপনাকে অবশ্যই শিখতে হবে সফ্টওয়্যার সরবরাহ চেইন সুরক্ষিত করার উপায় আপনার ব্যবসা বা প্রতিষ্ঠান দ্বারা ব্যবহৃত।  নীচে, আমরা একটি সফ্টওয়্যার সরবরাহ চেইনের অর্থ, সাধারণ দুর্বলতা এবং আপনি কীভাবে সেগুলি সুরক্ষিত করতে পারেন তা নিয়ে আলোচনা করব।

একটি সফ্টওয়্যার সরবরাহ চেইন কি?

একটি সফ্টওয়্যার সরবরাহের অর্থ লোকেরা এটিকে বোঝার চেয়ে বেশ সহজ। হ্যাঁ, নামটি একটি জটিল প্রযুক্তি শব্দের মত শোনাচ্ছে। Wএকটি সঠিক ব্যাখ্যা দিয়ে, আপনি আপনার ব্যবসার সফ্টওয়্যার সাপ্লাই চেইন এবং কীভাবে এটি সুরক্ষিত করবেন তা জানতে আগ্রহী হবেন। একটি সফ্টওয়্যার সরবরাহ শৃঙ্খলে প্লাগইন, মালিকানা এবং ওপেন সোর্স বাইনারি, লাইব্রেরি, কোড এবং কনফিগারেশনের মতো অনেক উপাদান থাকে।

উপাদানগুলির মধ্যে কোড বিশ্লেষক, কম্পাইলার, অ্যাসেম্বলার, নিরাপত্তা, পর্যবেক্ষণ, সংগ্রহস্থল এবং লগিং অপস টুলস অন্তর্ভুক্ত রয়েছে। এটি প্রসেস, ব্র্যান্ড এবং সফ্টওয়্যার তৈরির সাথে জড়িত ব্যক্তিদের মধ্যে প্রসারিত। অ্যাপলের মতো কম্পিউটার কোম্পানিগুলো নিজেরাই কিছু যন্ত্রাংশ তৈরি করে এবং তারা অন্য কোম্পানির কাছ থেকে কিছু যন্ত্রাংশ পায়। উদাহরণস্বরূপ, অ্যাপল এম-সিরিজ চিপ অ্যাপল দ্বারা তৈরি, যখন স্যামসাং তার OLED প্যানেল সরবরাহ করে। নির্দিষ্ট সফ্টওয়্যারের মতো, এটি একাধিক কোড, বিকাশকারী, কনফিগারেশন এবং অন্যান্য অনেক জিনিস ব্যবহার করে তৈরি করা হয়। সফ্টওয়্যার উত্পাদন এবং বিতরণের জন্য প্রয়োজনীয় সমস্ত প্রক্রিয়া এবং উপাদানগুলিকে সফ্টওয়্যার সরবরাহ চেইন বলা হয়।

সফটওয়্যার সাপ্লাই চেইন নিরাপত্তা কি?

এখন আপনি সফ্টওয়্যার সাপ্লাই চেইনের অর্থ জানেন, সাইবার অপরাধীদের দ্বারা সফ্টওয়্যারের সুরক্ষাকে সফ্টওয়্যার সরবরাহ চেইন সুরক্ষা বলা হয়।

হ্যাকাররা যদি কোনো ব্যবসা বা প্রতিষ্ঠানের ব্যবহৃত সফটওয়্যার অ্যাক্সেস করে, তাহলে অনেক কিছুই ক্ষতিগ্রস্ত হতে পারে। অতএব, সাইবার আক্রমণ থেকে আপনার সফ্টওয়্যারের উপাদানগুলি সুরক্ষিত করা প্রয়োজন। সম্প্রতি, বেশিরভাগ সফ্টওয়্যার স্ক্র্যাচ থেকে তৈরি করা হয় না। এটি অন্যান্য সফ্টওয়্যার শিল্পকর্মের সাথে আপনার আসল কোডের সংমিশ্রণ। যেহেতু আপনার কাছে তৃতীয় পক্ষের কোড বা কনফিগারেশনের খুব বেশি নিয়ন্ত্রণ নেই, তাই দুর্বলতা থাকতে পারে। কিন্তু আপনার সফটওয়্যার দরকার, তাই না? অতএব, সফ্টওয়্যার সরবরাহ চেইন নিরাপত্তা আপনার ব্যবসার একটি খুব মৌলিক দায়িত্ব হওয়া উচিত। ডেটা লঙ্ঘন এবং সাইবার-আক্রমণের একটি দীর্ঘ ইতিহাস রয়েছে, বেশিরভাগ সফ্টওয়্যার সরবরাহ শৃঙ্খলে একটি দুর্বল লিঙ্ক জড়িত।

2013 সালে 40 মিলিয়ন ক্রেডিট কার্ড নম্বর এবং টার্গেটে 70 মিলিয়নেরও বেশি গ্রাহকের বিবরণ আপস করা হয়েছে। সাইবার আক্রমণের নিষ্পত্তি হিসাবে এই একক ইভেন্টের জন্য টার্গেটকে প্রায় $18.5 মিলিয়ন দিতে হয়েছিল। তদন্তে দেখা গেছে হ্যাকাররা রেফ্রিজারেটর ঠিকাদারের লগইন শংসাপত্রের মাধ্যমে অ্যাক্সেস পেয়েছে। আপনি দেখতে পাচ্ছেন যে সাইবার অপরাধীরা যে দুর্বল লিঙ্কটি ব্যবহার করেছে তা হল রেফ্রিজারেটর ঠিকাদারের লগইন শংসাপত্র। ভেনাফির একটি সমীক্ষা অনুসারে, প্রায় 82% সিআইও বলেছেন যে তাদের কোম্পানি এবং সংস্থাগুলিতে তাদের সফ্টওয়্যার সরবরাহ চেইন দুর্বল ছিল।

টেকমনিটর আরও জানিয়েছে যে 650 সালে ওপেন-সোর্স সফ্টওয়্যার প্যাকেজগুলিতে আক্রমণ 2021% বৃদ্ধি পেয়েছে. এই ধরনের পরিসংখ্যান সাইবার অপরাধীদের দ্বারা শোষিত হওয়া থেকে আপনার সফ্টওয়্যার সরবরাহ চেইনকে সুরক্ষিত করার গুরুত্ব দেখায়।

কেন সফ্টওয়্যার সরবরাহ চেইন সাইবার আক্রমণের জন্য ঝুঁকিপূর্ণ?

প্রাথমিকভাবে, আপনি শিখেছেন কিভাবে একটি সফ্টওয়্যার সাপ্লাই চেইনে কাস্টম কোড থেকে ডেভেলপারদের উপাদান থাকে। প্রযুক্তির এই আন্তঃসংযুক্ত সিস্টেমগুলির মধ্যে, সাইবার অপরাধীরা নিরাপত্তার ত্রুটিগুলি সন্ধান করে। যখন তারা উপাদানগুলির মধ্যে একটি ফাঁক খুঁজে পায়, তারা এটি শোষণ করে এবং ডেটাতে অ্যাক্সেস পায়। অ্যাকোয়া সিকিউরিটি, একটি ক্লাউড-নেটিভ সিকিউরিটি কোম্পানি, 2021 সালে একটি প্রতিবেদন প্রকাশ করেছে যা দেখিয়েছে যে ত্রুটিপূর্ণ ক্লাউড অবকাঠামোর কারণে 90% ব্যবসা এবং সংস্থা সাইবার আক্রমণের ঝুঁকিতে রয়েছে।

ক্লাউড অবকাঠামো হল ভার্চুয়াল সরঞ্জাম যা সফ্টওয়্যার অপারেশনের জন্য ব্যবহৃত হয়; এটি একটি সফটওয়্যার সাপ্লাই চেইনের অংশ। হ্যাকাররা যখন ক্লাউড অবকাঠামোতে অ্যাক্সেস পায়, তখন তারা এতে বাগ এবং ম্যালওয়্যার ইনজেক্ট করতে পারে। সফ্টওয়্যার সরবরাহ চেইনের দুর্বলতা কোড বেস থেকেও আসে। একটি কোড বেস হল সোর্স কোডের একটি সম্পূর্ণ সংস্করণ যা সাধারণত সোর্স কন্ট্রোল রিপোজিটরিতে সংরক্ষিত থাকে। Synopsys দ্বারা রিপোর্ট করা হয়েছে, প্রায় 88% প্রতিষ্ঠানের কোড বেসে দুর্বল ওপেন সোর্স সফ্টওয়্যার রয়েছে।

সফ্টওয়্যার সরবরাহ চেইনের সবচেয়ে সাধারণ দুর্বলতাগুলি কী কী?

পুরানো প্রযুক্তি

যখন প্রযুক্তি সেকেলে হয়ে যায়, তখন নিরাপত্তা দুর্বলতার সংখ্যা বৃদ্ধি সুস্পষ্ট হয়ে ওঠে। আপনার সফ্টওয়্যার সরবরাহ শৃঙ্খলে পুরানো প্রযুক্তি ব্যবহার করার অর্থ সাইবার অপরাধীদের অ্যাক্সেস লাভ এবং ডেটা চুরি করার একটি উইন্ডো হতে পারে। একটি আপডেট হওয়া প্রযুক্তি সংস্করণ সহ একটি সফ্টওয়্যার সরবরাহ শৃঙ্খলে কম নিরাপত্তা দুর্বলতা রয়েছে।

সফটওয়্যার কোডের ত্রুটি

সাইবার অপরাধীরা আপনার সফ্টওয়্যার সাপ্লাই চেইনে একটি প্রোগ্রামিং ভুল ধরলে ডেটা শোষণ ঘটবে৷ একটি প্রধান কারণ যা হ্যাকার এবং সাইবার ক্রাইম এজেন্টদের তাদের আক্রমণে নেতৃত্ব দেয় যখন তারা একটি সফ্টওয়্যার কোডে ত্রুটি দেখে।

সফ্টওয়্যার প্রদানকারীর দুর্বলতা

অনেক ব্যবসা একটি সফ্টওয়্যার প্রদানকারী ব্যবহার করে তাদের প্রতিষ্ঠানে কার্যক্রম চালাতে। উদাহরণস্বরূপ, অনেক ব্যবসা পাসওয়ার্ড সংরক্ষণ করার জন্য পাসওয়ার্ড ব্যবস্থাপনা পরিষেবার উপর নির্ভর করে। সাইবার অপরাধীরা সহজেই অ্যাপ্লিকেশনটিতে ম্যালওয়্যার ইনজেক্ট করতে পারে এবং একটি ব্যবসার দ্বারা ইনস্টলেশনের জন্য অপেক্ষা করতে পারে। সাধারণত সাইবার আক্রমণের সময় ব্যবহার করা হয়, এই ধরনের লুপহোলগুলি সাধারণত মূল সফ্টওয়্যার প্রদানকারীর দোষ।

তিমিশিকার

তিমি শিকার ফিশিংয়ের অনুরূপ। প্রধান পার্থক্য হল যে তিমি শিকারে কর্মচারী জড়িত, যখন ফিশিং অনেক বেশি দর্শককে লক্ষ্য করে। তিমি আক্রমণের প্রক্রিয়ায়, সাইবার অপরাধীরা কোম্পানির উল্লেখযোগ্য ব্যক্তিত্ব হিসাবে জাহির করে কর্মীদের ইমেল পাঠায়। এই ধরনের ইমেলগুলির মাধ্যমে, একজন সন্দেহভাজন কর্মচারী সহজেই শংসাপত্র এবং তথ্য প্রকাশ করতে পারে যা গোপন রাখা উচিত। তিমি আক্রমণের জন্য লক্ষ্যবস্তুকৃত কর্মচারীরা সাধারণত একটি কোম্পানি বা সংস্থার বড় বন্দুক, যেমন একজন ম্যানেজার বা CIO (প্রধান তথ্য কর্মকর্তা)।

ত্রুটিপূর্ণ IaC টেমপ্লেট

IaC (কোড হিসাবে অবকাঠামো) আপনার অবকাঠামোগত বৈশিষ্ট্য সমন্বিত কনফিগারেশন ফাইল তৈরি করতে দেয়। যাইহোক, যখন কোনো IaC টেমপ্লেটের মধ্যে কোনো ত্রুটি থাকে, তখন আপনার ব্যবসা বা প্রতিষ্ঠানের একটি আপস করা সফ্টওয়্যার সরবরাহ চেইন থাকার সম্ভাবনা বেশি থাকে। একটি ত্রুটিপূর্ণ IaC টেমপ্লেটের প্রভাবগুলির একটি ভাল উদাহরণ ছিল OpenSSL এর সংস্করণ যা হার্টব্লিড বাগ তৈরি করেছিল। একটি ত্রুটিপূর্ণ IaC টেমপ্লেটের একটি খুব খারাপ প্রভাব হল যে প্রভিশনিং প্রক্রিয়া চলাকালীন একজন বিকাশকারী এটি সনাক্ত করার সম্ভাবনা কম।

ভিসিএস এবং সিআই/সিডি দুর্বলতা

VCSs (সংস্করণ নিয়ন্ত্রণ সিস্টেম) এবং সিআই/সিডি একটি সফ্টওয়্যার সরবরাহ চেইনের প্রধান উপাদান। তৃতীয় পক্ষের লাইব্রেরি এবং IaC মডিউলগুলির স্টোরেজ, সংকলন এবং স্থাপনা VCS এবং CI/CD-এর উপর ভিত্তি করে। সুতরাং যদি তাদের মধ্যে কোন ভুল কনফিগারেশন বা দুর্বলতা থাকে, সাইবার অপরাধীরা সহজেই সফ্টওয়্যার সরবরাহ চেইন নিরাপত্তার সাথে আপস করার জন্য সেই সুযোগটি ব্যবহার করতে পারে।

কীভাবে একটি সফ্টওয়্যার সরবরাহ চেইন সুরক্ষিত করবেন

একটি নেটওয়ার্ক এয়ার-গ্যাপ তৈরি করুন

এয়ার-গ্যাপিং এর অর্থ হল আপনার কম্পিউটার এবং সিস্টেমের নেটওয়ার্কের সাথে সংযুক্ত বাহ্যিক ডিভাইসগুলি সংযোগ বিচ্ছিন্ন। কখনও কখনও, সাইবার অপরাধীরা একটি সফ্টওয়্যার সাপ্লাই চেইন আক্রমণ করতে বাহ্যিক সংযোগ ব্যবহার করে। এয়ার-গেপিংয়ের মাধ্যমে, সেই জানালা দিয়ে আক্রমণের সম্ভাবনা বাদ দেওয়া হয়। 

নিয়মিত আপনার সিস্টেম স্ক্যান এবং প্যাচ

সফ্টওয়্যার সাপ্লাই চেইন সমঝোতাগুলি প্রায়শই পুরানো প্রযুক্তি এবং ভাঙা কোডগুলিতে উন্নতি করে। নিয়মিত আপডেট নিশ্চিত করবে যে আপনার সফ্টওয়্যার সাপ্লাই চেইনের মধ্যে কোনো প্রযুক্তিই সেকেলে নেই।

আপনার ব্যবসার দ্বারা ব্যবহৃত সমস্ত সফ্টওয়্যার সম্পূর্ণ তথ্য আছে

কোন সফ্টওয়্যারটি নিয়মিতভাবে প্যাচ, স্ক্যান বা আপডেট করতে হবে তার একটি পরিষ্কার ধারণা পেতে, আপনার সংস্থার দ্বারা ব্যবহৃত অ্যাপ্লিকেশনগুলির সম্পূর্ণ তথ্য প্রয়োজন৷ এই তথ্যের সাহায্যে, আপনি যে অ্যাপ্লিকেশনগুলির নিয়মিত চেক এবং আপডেটের প্রয়োজন এবং যেগুলির মাসিক আপডেটের প্রয়োজন সেগুলির সময়সূচী করতে পারেন৷

কর্মীদের সংবেদনশীল করুন

কর্মচারীরাও একটি সংস্থা বা সংস্থার মধ্যে লঙ্ঘনের উপাদান এবং লক্ষ্যবস্তু। যখন একজন কর্মচারী মাল্টি-ফ্যাক্টর প্রমাণীকরণ এবং অন্যান্য সুরক্ষা অনুশীলনগুলি কীভাবে ব্যবহার করবেন সে সম্পর্কে সংবেদনশীল হন, তখন তারা সাইবার অপরাধীদের কাছে পড়বে না।

মোড়ক উম্মচন

একটি সফ্টওয়্যার সরবরাহ শৃঙ্খলে কাস্টম কোড এবং সফ্টওয়্যার বিকাশকারী সহ প্রযুক্তিগুলির একটি আন্তঃসংযুক্ত সিস্টেম রয়েছে। বেশ কয়েকটি প্রতিবেদন থেকে, সফ্টওয়্যার সরবরাহ চেইন লঙ্ঘনের হার বেড়েছে। উপরে, আমরা সফ্টওয়্যার সরবরাহ চেইন নিরাপত্তার কারণ এবং এই ধরনের আপস প্রশমিত করার জন্য আপনি প্রয়োগ করতে পারেন এমন সেরা অনুশীলনগুলি নিয়ে আলোচনা করেছি।