কোনও ব্যবসা সাইবারট্যাকের হুমকির হাত থেকে রক্ষা পায় না, তবে যখন তাদের সবচেয়ে সমালোচনামূলক এবং সংবেদনশীল ডেটা রক্ষা করার কথা আসে তখন অনেকে মনে করেন যে তারা অজান্তেই ফাঁস হওয়া তথ্যের মাধ্যমে আক্রমণকারীদের সহায়তা করছেন।
আমরা সুরক্ষার গবেষণার পরিচালক পল লডানস্কির সাথে কথা বলেছি Onapsisসর্বাধিক সাধারণ ত্রুটিগুলি এবং কীভাবে তাদের বিরুদ্ধে রক্ষা করবেন সে সম্পর্কে জানতে,
বিএন: এসএপি-র মতো ব্যবসায়-সমালোচনামূলক অ্যাপ্লিকেশনগুলিতে সাধারণত কোন ডেটা সংরক্ষণ করা হয়? এই ডেটা সুরক্ষার চেষ্টা করার সময় সংস্থাগুলি কোন বড় সমস্যাগুলির মুখোমুখি হয়?
পিএল: ক্লিচ সাউন্ড না করার জন্য, এসএপি অ্যাপ্লিকেশনগুলি কর্মচারীদের রেকর্ড এবং গ্রাহকের তথ্য থেকে শুরু করে আর্থিক, মূলত সমস্ত সংবেদনশীল এবং গোপনীয় তথ্য পর্যন্ত কোনও সংস্থার সর্বাধিক মূল্যবান ডেটা সঞ্চয় করে। কিছু শিল্পের জন্য, এটি তাদের প্রধান কার্যক্রম পরিচালনা করতে ব্যবহৃত সমালোচনামূলক ব্যবসায়ের তথ্য ধারণ করে।
সুরক্ষা নেতাদের সাথে কথা বলার সময়, সবচেয়ে বড় সমস্যাটি হ’ল কীভাবে এসএপি সুরক্ষা সম্বোধন করা প্রায়শই বাজেটের কারণে একটি বাক্স পরীক্ষা করা হিসাবে বিবেচিত হয়। অনেকে কেবল ন্যূনতম মানগুলি পূরণ করে এবং বলে যে তাদের ব্যবসায়ের ঝুঁকির দৃষ্টিকোণ থেকে সম্মতি এবং সুরক্ষা সুরক্ষা রয়েছে এবং এটি কার্যকর হয়। তবে, ২০২27 সালের মধ্যে ক্লাউডে স্থানান্তরিত করার জন্য আজকের সাইবারসিকিউরিটি ল্যান্ডস্কেপ এবং এসএপি দ্বারা নির্ধারিত প্রয়োজনীয়তাগুলি থেকে রক্ষা করা যথেষ্ট নয়। আমরা প্রায়শই দেখি যে সংস্থাগুলি তাদের সুরক্ষায় নেওয়া শর্টকাটগুলির কারণে এসএপি ডেটা লঙ্ঘনে ধরা পড়ে, বা সুরক্ষা দলগুলি পরিপক্ক হওয়ার আগে লঙ্ঘন ঘটে। অধিকন্তু, এসএপি দ্রুত এগিয়ে আসার সাথে সাথে বৃদ্ধির সময়সীমা সহ, নিরাপদে এবং দক্ষতার সাথে মেঘে স্থানান্তরিত করার সময় অনেক সংস্থার সমস্যার মধ্যে পড়ার সম্ভাবনা রয়েছে। এটি সম্মতি মান এবং চলমান তারিখের ক্ষেত্রে যখন এটি বড় সমস্যাগুলির দিকে নিয়ে যেতে পারে।
এই ডেটা সুরক্ষার চেষ্টা করার সময় সুরক্ষা দলগুলিকে অনেকগুলি বিষয় বিবেচনায় নেওয়া দরকার; কমপ্লায়েন্সের প্রয়োজনীয়তার কারণে লাইভ করার চেষ্টা করার সময় দ্রুত-ফিক্স সমাধানগুলি বড় প্রভাব এবং বিলম্বের সাথে ছোট ছোট ভুল হতে পারে। এক্সিকিউটিভদের যথাযথ বাস্তবায়নের জন্য বাজেট, লোক, প্রক্রিয়া এবং প্রযুক্তির গুরুত্ব বুঝতে হবে। তাদের এসএপি ইনস্টলেশনগুলি রক্ষায় তাদের সেরা পা এগিয়ে রাখার জন্য একটি সামগ্রিক প্রোগ্রামের ক্রমাগত রক্ষণাবেক্ষণ এবং পরিপক্কতা সমতলকরণকে স্বীকৃতি দিতে হবে।
বিএন: সাধারণ সুরক্ষা অনুশীলন সংস্থাগুলি এই অ্যাপ্লিকেশনগুলি সুরক্ষিত করতে কী করে? এটা কি যথেষ্ট?
পিএল: নীচের লাইন আপ সামনের: নিশ্চিত করুন যে লগগুলি সমালোচনামূলক ইভেন্টগুলির জন্য সক্ষম এবং প্রক্রিয়াজাত করা হয়েছে, আপনার পরিবেশটি কী দুর্বলতা রয়েছে তা বুঝতে এবং সেগুলি প্যাচগুলি পাওয়া যায় এবং ফাঁকগুলি প্রকাশ করার জন্য বিষয়-নির্দিষ্ট অনুপ্রবেশ পরীক্ষা পরিচালনা করে।
আমি সংস্থাগুলি শুরু করার জন্য কমপক্ষে একটি সাধারণ অ্যাক্সেসযোগ্য দুর্বলতা স্ক্যানার ব্যবহার করার পরামর্শ দিচ্ছি। তারা সাধারণত সরঞ্জাম এবং প্রোটোকলের বর্ণালী জুড়ে ঝুঁকিপূর্ণ ডেটা সন্ধানে দুর্দান্ত এবং এটি অবশ্যই সঠিক দিকের একটি পদক্ষেপ। যাইহোক, যখন সুরক্ষা নেতাদের গভীর বিশ্লেষণ এবং আপ-টু-ডেট বোঝার প্রয়োজন হয়, তখন এমন সমাধানগুলির সাথে যান যা পরিবেশের জন্য উপযুক্ত উপযুক্ত প্রস্তাব দেয়।
স্ক্যানাররা কেবল এতদূর যেতে পারে এবং আজকের হুমকির আড়াআড়ি দিয়ে সুরক্ষা দলগুলিকে তাদের সাধারণ সুরক্ষা অনুশীলনকে আরও একধাপ এগিয়ে নিয়ে যাওয়া এবং অনুপ্রবেশ পরীক্ষা (কলম পরীক্ষা) পরিচালনার জন্য সময় নেওয়া দরকার। স্ক্যানাররা সংস্থাগুলির দ্বারা প্রয়োজনীয় প্রাথমিক প্রয়োজনীয়তাগুলি কভার করবে তবে কেবল এতগুলি তথ্য সরবরাহ করতে পারে। পেন টেস্টিং এসএপি পরিবেশকে মূল্যায়ন করে এবং সংস্থাগুলিকে তাদের সবচেয়ে সমালোচনামূলক তথ্য সঠিকভাবে সুরক্ষার জন্য প্রয়োজনীয় কার্যক্ষম অন্তর্দৃষ্টি দেয়। দীর্ঘমেয়াদে সময় এবং অর্থ সাশ্রয় করার জন্য, সংস্থাগুলি তাদের এসএপি বাস্তুতন্ত্রটি সুরক্ষিত রয়েছে তা নিশ্চিত করার জন্য নিয়মিত (বছরে সর্বনিম্ন একবারে) সুরক্ষা পরীক্ষা চালানোর আশা করা উচিত।
নেতাদের অবশ্যই সিদ্ধান্ত নিতে হবে যে তারা এসএপি সুরক্ষা নিতে কতটা গুরুত্ব সহকারে/সক্রিয়ভাবে চায় এবং কীভাবে ব্যবসায়িক স্যাপ দুর্বলতার প্রতি নজরদারি করে, সুরক্ষিত করে এবং প্রতিক্রিয়া জানায় তা নির্ধারণ করতে চান। সুরক্ষা নেতাদের এই সত্যটি আলিঙ্গন করা দরকার যে এটি কেবল বাক্সটি পরীক্ষা করার মতো যথেষ্ট ভাল নয়; পরিবর্তে, এটি তাদের এসএপি অ্যাপ্লিকেশনগুলিতে দুর্বলতার শোষণ রোধ করতে সুরক্ষা নীতি, অনুশীলন এবং ব্যবস্থাগুলি এম্বেড করছে।
বিএন: গ্রাহকদের সাথে আপনার অভিজ্ঞতা এবং মিথস্ক্রিয়তার ভিত্তিতে, আপনি কি সংস্থাগুলি তাদের ডেটা সুরক্ষার সময় তৈরি করতে দেখেন এমন সর্বাধিক সাধারণ ভুলগুলি ভাগ করে নিতে পারেন?
পিএল: সংস্থাগুলি তাদের ডেটা সুরক্ষার চেষ্টা করার সময় আমরা দেখি কয়েকটি ঘন ঘন ভুল রয়েছে:
- ডিফল্ট শংসাপত্র রাখা বা ফাইল সিস্টেমে এই শংসাপত্রগুলি সংরক্ষণ করা
- সিস্টেম এবং প্রোটোকলের ভুল কনফিগারেশন
- সুরক্ষা দল, নেতা এবং কর্মচারীদের মধ্যে ভুল যোগাযোগ
- মেঘে কী থাকতে হবে তার বনাম কী প্রয়োজন তা বোঝার অভাব
- সুরক্ষার বিষয়টি যখন আসে তখন সংস্থাটি যা কিছু করতে পারে তা করেছিল এই ধারণাটি
- প্রোটোকল বা পরিষেবাগুলি খোলা বা চলমান রেখে গেছে এবং সংস্থার সত্যই তাদের প্রয়োজন হয় না
- লগগুলিতে সমালোচনামূলক ইভেন্টগুলিতে পর্যবেক্ষণ বা সাড়া দিচ্ছেন না
আমার মতে, তারা তাদের এসএপি বাস্তুতন্ত্রকে কতটা সুরক্ষিত মনে করে তার ভুল ধারণাটি সবচেয়ে বিপজ্জনক ভুল। তাদের সুরক্ষা সিস্টেমগুলি কী কভার করে এবং হুমকি অভিনেতাদের জন্য কী দুর্বল হতে পারে সে সম্পর্কে সংস্থাগুলির একটি বাস্তব ধারণা থাকা দরকার। উদাহরণস্বরূপ, অভ্যন্তরীণভাবে কেবলমাত্র অ্যাক্সেসযোগ্য এসএপি সিস্টেমটি দেখার বাইরে আক্রমণ থেকে 100 শতাংশ নিরাপদ হিসাবে বিবেচিত হবে না।
বিএন: যখন/যদি সুরক্ষা দলগুলির উপরের প্রয়োগ না থাকে তবে হুমকি অভিনেতারা কীভাবে এই ডেটা পাওয়ার সুযোগ নেন?
পিএল: এটি সমস্ত প্যাচিং দিয়ে শুরু হয়; যদি সংস্থাগুলি তাদের সিস্টেমগুলি প্যাচিং না করে, তবে এর শোষণ রোধ করার জন্য কোনও এসএপি অভ্যন্তরীণ প্রক্রিয়া নেই। অধিকন্তু, যদি সুরক্ষা দলগুলি এসএপি -র সাথে ইন্টারঅ্যাকশন লগিং না করে থাকে তবে তারা সমালোচনামূলক ঘটনাগুলি দেখতে সক্ষম হবে না, যেমন হুমকি অভিনেতারা যখন তাদের সিস্টেমে থাকে এবং বিশেষাধিকারী অ্যাকাউন্ট তৈরি করে।
এটি সাইবার আক্রমণকারী এবং সাইবার ডিফেন্ডারদের জন্য চূড়ান্ত খেলা। একবার হুমকি অভিনেতারা নেটওয়ার্কের একটি ছোট অংশে অ্যাক্সেস অর্জন করলে তারা পুরো সংস্থাটি নামিয়ে নিতে পারে। কয়েক বছর ধরে, আমরা দেখেছি যে হুমকি অভিনেতারা বসে এবং নেটওয়ার্কে অপেক্ষা করার কারণে পাওয়ার গ্রিড, জল ব্যবস্থা এবং সরকারগুলি নামানো হচ্ছে। সমস্ত হুমকি অভিনেতাদের করা দরকার একটি এসএপি অ্যাপ্লিকেশনটির সাথে আপস করা, সেই সিস্টেমে বসে থাকা, ডেটা এক্সফিল্ট্রেট করা এবং অন্যান্য অপরাধীদের অ্যাক্সেস বিক্রি করা যা সেই পরিবেশে প্রবেশ করতে পারে যাতে তারা যে ডেটা চায় তা দিয়ে তারা করতে পারে। সুরক্ষা দলগুলি পর্যবেক্ষণ, সতর্কতা বা প্যাচিং না করলে এমন এক অগণিত জিনিস রয়েছে যা ঘটতে পারে।
বিএন: সুরক্ষা নেতারা তাদের গ্রাহকদের সবচেয়ে প্রয়োজনীয় তথ্যকে ব্যাপকভাবে সুরক্ষা দিচ্ছেন তা নিশ্চিত করতে কী করতে পারে?
পিএল: মূল দিকগুলি দিয়ে শুরু করুন; দ্য এনআইএসটি সাইবারসিকিউরিটি ফ্রেমওয়ার্ক একটি বেসিক সাইবারসিকিউরিটি প্রোগ্রামটি কেমন দেখাচ্ছে তার একটি ভাল রূপরেখা তৈরি করে এবং সুরক্ষা নেতাদের তাদের একটি বিস্তৃত সুরক্ষা প্রোগ্রামের জন্য যা প্রয়োজন তা সরবরাহ করবে। তারপরে, আছে সাইবারসিকিউরিটি ক্ষমতা পরিপক্কতা মডেলযা বিভিন্ন স্তর থেকে সাইবারসিকিউরিটি কাঠামোকে সম্বোধন করে। এটি প্রতিক্রিয়াশীল সুরক্ষা পদ্ধতির এবং একটি প্র্যাকটিভ, অভিযোজিত পরিপক্কতা মডেলটিতে স্যুইচ করার দৃষ্টিকোণ থেকে। স্তর 4 এনআইএসটি দ্বারা সংজ্ঞায়িত পরিপক্কতার সর্বোচ্চ স্তর; এটি কেবল বাক্সটি পরীক্ষা করে না তবে কথা বলার জন্য এর বাইরেও যায়।
কোম্পানির নেতাদের এমন সরঞ্জামগুলিতে বিনিয়োগ করতে হবে যা লগগুলি খাওয়াতে এবং সতর্কতাগুলি সনাক্ত করতে সক্ষম। এটি প্রতিদিন যে পরিমাণ ডেটা অনুভব করে তা দলগুলিকে পুড়ে যাওয়া থেকে বিরত রাখতে সহায়তা করবে যেহেতু আমি প্রায়শই দেখি যে এই প্রচুর ডেটা কীভাবে সুরক্ষা অপারেশন সেন্টার (এসওসি) দলগুলিকে পোড়ায়। এসওসি দলগুলির দুর্বলতা এবং আক্রমণগুলির বোঝার পাশাপাশি তাদের নিজস্ব পরিবেশে সেই ঝুঁকিগুলি মূল্যায়ন করার একটি উপায় প্রয়োজন।
বোঝার পাশাপাশি সুরক্ষা নেতাদের জবাবদিহিতা গ্রহণ করা দরকার। জবাবদিহিতা অগ্রগতির একটি মূল উপাদান। ম্যানেজমেন্ট একটি সাইবারসিকিউরিটি কাঠামো বাস্তবায়নের জন্য অগ্রগতি এবং উত্পাদন নিশ্চিত করে, তবে অনেককেও জবাবদিহি করতে সহায়তা করার জন্য তৃতীয় পক্ষের প্রয়োজন। এটি আইন বা শিল্পের মানগুলির মাধ্যমে অভ্যন্তরীণ বা বাহ্যিক হতে পারে। সরঞ্জামগুলির ক্ষেত্রে এটি একই ক্ষেত্রে; তারা সংস্থাগুলি ফাউন্ডেশনাল ফ্রেমওয়ার্কের মধ্যে জবাবদিহি রাখতে সহায়তা করে।
চিত্র ক্রেডিট:: achirathep.gmail.com/ডিপোজিটফোটস ডটকম
