প্রতিটি ক্লাউড পরিষেবার বৃহত্তম সুরক্ষা ত্রুটি যা কেউ কথা বলে না – যতক্ষণ না এটি অনেক দেরি না হয়

আপনি কি আপনার রাজ্যের কীগুলি দিয়ে আপনার সাআস বিক্রেতাকে বিশ্বাস করেন? আপনার সিস্টেমে চলমান এজেন্ট কেবল আপনার ক্লাউড বিক্রেতার সুরক্ষা ভঙ্গির মতোই সুরক্ষিত। এটি একটি সুরক্ষা ঝুঁকি যা প্রতিটি সংস্থার আইটি এবং সুরক্ষা দলগুলিকে রাতে রাখা উচিত।

অনেক বিক্রেতারা তাদের সুরক্ষার প্রমাণ হিসাবে পেন টেস্টিং, বাগ অনুগ্রহ প্রোগ্রাম এবং এসওসি 2 এবং আইএসও 27001 এর মতো শংসাপত্রগুলি উদ্ধৃত করবেন। তবে বাস্তবতা হ’ল লঙ্ঘনগুলি এখনও ঘটে।

সাম্প্রতিক বছরগুলিতে কয়েকটি উচ্চ-প্রোফাইলের ঘটনা সম্পর্কে চিন্তা করুন:

• ক্যাসিয়া: একটি সফ্টওয়্যার সাপ্লাই চেইন আক্রমণ যা হাজার হাজার এন্ডপয়েন্টগুলিতে আপস করেছে।
• সোলারউইন্ডস: একটি পরিশীলিত লঙ্ঘন যা সরকারী সংস্থাগুলি সহ শত শত সংস্থাকে লক্ষ্যবস্তু করেছিল।
• মাইক্রোসফ্ট: এমনকি সর্বাধিক উন্নত সুরক্ষা কর্মসূচি সহ একজন বিক্রেতাকেও লঙ্ঘন করা হয়েছিল, মার্কিন ফেডারেল সরকারের গ্রাহকরা প্রভাবিত করেছিলেন।

সাধারণ থ্রেড? একটি বিশ্বস্ত বিক্রেতার সুরক্ষা প্রতিটি গ্রাহকের জন্য ব্যর্থতার একক পয়েন্ট হয়ে যায়। আজকের আন্তঃসংযুক্ত বিশ্বে, যেখানে traditional তিহ্যবাহী সুরক্ষা পরিধিগুলি আর কোনও সাআস বিক্রেতার কাছে আপনার ডিভাইসগুলির সম্পূর্ণ নিয়ন্ত্রণ হস্তান্তর করার অস্তিত্ব নেই এমন একটি ঝুঁকি যা আপনি উপেক্ষা করতে পারবেন না।

সার্ভার কেন্দ্রিক পদ্ধতির বাইরে চলে

অন-প্রাঙ্গনে থেকে ক্লাউড পরিষেবাদিগুলিতে রূপান্তরটি এর সাথে বিশ্বস্ত সার্ভার মডেলটি নিয়ে এসেছিল, তবে এই সার্ভার-কেন্দ্রিক পদ্ধতির মেঘে কাজ করে না। কেন? কারণ একটি ক্লাউড সংস্থার আক্রমণ পৃষ্ঠটি একটি সুরক্ষিত নেটওয়ার্কের ঘেরের অভ্যন্তরে চলমান অন-প্রাঙ্গনে সার্ভারের চেয়ে তাত্পর্যপূর্ণভাবে আরও প্রশস্ত।

ক্লাউড সমস্ত কিছু পরিবর্তন করে: সাআস বিক্রেতাদের অবশ্যই স্বীকার করতে হবে যে তাদের অবকাঠামো আপস করার আরও অনেক সম্ভাব্য পয়েন্টের সংস্পর্শে এসেছে। সাস বিক্রেতারাও অত্যন্ত লাভজনক লক্ষ্য – হুমকি অভিনেতারা একাধিক “পাখি” (গ্রাহক) কে একটি পাথর দিয়ে হত্যা করে। ক্লাউড আর্কিটেকচার ডিজাইনের পদ্ধতির উপর নির্ভর করা উচিত নয় যে ক্লাউড সার্ভারগুলি সহজাতভাবে সুরক্ষিত বা বিশ্বাসযোগ্য। পরিবর্তে, সাস বিক্রেতাদের ধরে নেওয়া উচিত যে প্রতিটি ক্লাউড সার্ভারটি খুব শীঘ্রই বা পরে আপোস করা হবে। এই জাতীয় ইভেন্টটি অনিবার্য বলে এই প্রত্যাশা নিয়ে শিল্পকে তার মানসিকতা এবং ডিজাইন সিস্টেমগুলি স্থানান্তর করতে হবে।

লুকানো বিপদ: যখন সাস-নিয়ন্ত্রিত এজেন্টের সাথে আপস করা হয় তখন কী ঘটে?

এই দৃশ্যটি কল্পনা করুন: আপনার সিস্টেমে চলমান এজেন্ট – রিমোট ম্যানেজমেন্ট, অ্যান্টিভাইরাস স্ক্যান বা সুরক্ষা প্রয়োগের জন্য ডিজাইন করা – হুমকি অভিনেতাদের দ্বারা হাইজ্যাক করা হয়েছে। পরিসংখ্যানগতভাবে বলতে গেলে, এটি কোনও প্রশ্ন নয় যদি এটি ঘটতে পারে, কিন্তু কখন। এবং যখন এটি হয়, পরিণতিগুলি বিপর্যয়কর হতে পারে।

এখানে ঘটতে পারে এমন সবচেয়ে খারাপ পরিস্থিতিগুলির মধ্যে দুটি মাত্র রয়েছে:

1. দূষিত পে -লোড বা র্যানসওয়্যারের তাত্ক্ষণিক স্থাপনা

একবার আক্রমণকারী এজেন্টের নিয়ন্ত্রণ অর্জন করার পরে, তারা কয়েক মিনিটের মধ্যে সংবেদনশীল ডেটা এনক্রিপ্ট করে কয়েক মিলিয়ন এন্ডপয়েন্টগুলিতে র্যানসওয়্যারের স্কেল স্থাপন করতে পারে। সমালোচনামূলক ব্যবসায়িক ক্রিয়াকলাপগুলি সতর্কতা ছাড়াই থামিয়ে দেয় কারণ আপোস করা এজেন্ট দ্বারা পরিচালিত প্রতিটি ডিভাইস শিকার হয়ে যায়।

2. কমান্ড এবং নিয়ন্ত্রণের জন্য বিক্রেতার ক্লাউড অবকাঠামো হাইজ্যাকিং (সি 2)

হুমকি অভিনেতারা সাএএস বিক্রেতার ক্লাউড অবকাঠামোকে তাদের নিজস্ব কমান্ড অ্যান্ড কন্ট্রোল (সি 2) সিস্টেম হিসাবে ব্যবহার করতে পারে। এই পাদদেশের সাথে, তারা স্ক্রিপ্টগুলি, বাইনারি এবং দূষিত ক্রিয়াকলাপগুলি ইচ্ছায় সম্পাদন করার ক্ষমতা অর্জন করে, traditional তিহ্যবাহী সুরক্ষা ব্যবস্থাগুলি বাইপাস করার জন্য বিক্রেতার বিশ্বস্ত অবস্থানকে উপার্জন করে এবং সেই বিক্রেতার প্রতিটি গ্রাহককে সম্ভাব্যভাবে টার্গেট করে।

এই পরিস্থিতিগুলি প্রমাণ করে যে কীভাবে একটি একক আপস করা সাএএস বিক্রেতা পুরো শিল্পগুলিকে ব্যাহত করতে পারে, সংবেদনশীল ডেটা আপস করতে পারে এবং সাস বিক্রেতাদের সর্বত্র বিশ্বাসকে হ্রাস করতে পারে।

“এজেন্টলেস” সমাধানগুলির মিথ্যাচার

কিছু বিক্রেতারা এজেন্ট-ভিত্তিক মডেলগুলির নিরাপদ বিকল্প হিসাবে “এজেন্টলেস” সমাধানগুলি প্রচার করে। তবে বাস্তবতা এখানে:

• সীমিত কার্যকারিতা: সত্য এজেন্টলেস সমাধানগুলির কার্যকর পরিচালনার জন্য প্রয়োজনীয় কী সিস্টেম ফাংশনগুলিতে অ্যাক্সেসের অভাব রয়েছে যেমন রিয়েল-টাইম মনিটরিং বা গভীর সুরক্ষা কনফিগারেশন। এই অ্যাক্সেসটি অর্জনের জন্য, আপনাকে পোর্টগুলি প্রকাশ করে বা দূরবর্তী পরিচালন ফাংশনগুলি সক্ষম করে ক্লাউড সার্ভারগুলিতে অভ্যন্তরীণ সিস্টেমগুলি খুলতে হবে, যা নতুন দুর্বলতা তৈরি করে।
• “এজেন্টলেস” প্রায়শই একটি ভুল ধারণা: বেশিরভাগ তথাকথিত এজেন্টলেস সমাধানগুলি এখনও পরিবেশের কোথাও কোনও এজেন্টের উপর নির্ভর করে-কেবল প্রতিটি সিস্টেমে নয়। এই কেন্দ্রীয় এজেন্ট বা সংযোগকারী, “কিংডমের কীগুলি” সহ মেঘ থেকে নিয়ন্ত্রণ করা হয়। যদি আপস করা হয় তবে এটি প্রতিটি শেষ পয়েন্টে এজেন্টের মতোই ক্ষতিকারক কারণ এটি পুরো পরিবেশের প্রবেশদ্বার হিসাবে কাজ করতে পারে।

বাস্তবতা হ’ল এজেন্ট-ভিত্তিক সিস্টেমগুলি ক্লাউড-সংযুক্ত শেষ পয়েন্টগুলির কার্যকর পরিচালনা এবং সুরক্ষার জন্য একটি প্রয়োজনীয়তা। লক্ষ্যটি এজেন্টদের অপসারণ করা নয়, তবে তাদের দায়িত্ব নেওয়া অসম্ভব করে তোলা, এমনকি ক্লাউড সার্ভার আপোস করা হলেও।

এসএএএস সুরক্ষা পুনর্বিবেচনার সময় এসেছে

ক্লাউড-ভিত্তিক সাইবারসিকিউরিটি সলিউশনগুলির বিস্তার নতুন দরজা খুলেছে, তবে এটি আক্রমণ পৃষ্ঠটিকে নাটকীয়ভাবে প্রসারিত করেছে। সবচেয়ে খারাপ পরিস্থিতি হ’ল যখন সুরক্ষা সমাধানগুলি – সুরক্ষার জন্য ডিজাইন করা – পরিবেশগুলিতে অনুপ্রবেশের জন্য আক্রমণকারীদের দ্বারা ব্যবহৃত প্রাথমিক সরঞ্জাম হয়ে ওঠে। কোনও এজেন্ট টেকওভারের হুমকি, যতই ছোট হোক না কেন, শীতল নতুন বৈশিষ্ট্য এবং দ্রুত রিলিজগুলি গৌণ। এটা কোন বিষয় নয় যদি এটা হবে, কিন্তু কখন।

ভবিষ্যত কি ধারণ করে?

স্পষ্টতই, কোনও ক্লাউড সার্ভারের আপস করার ক্ষেত্রেও এজেন্টদের দায়িত্ব নেওয়া অসম্ভব এমন একটি স্তর অর্জনের চেয়ে গুরুত্বপূর্ণ কিছুই নয়। এই জাতীয় সমাধান কি বিদ্যমান থাকতে পারে? আমরা বিশ্বাস করি এটি সম্ভব।

পরবর্তী প্রজন্মের সাস সুরক্ষা আর্কিটেকচারটি কি প্রতিটি ক্লাউড সার্ভারকে আপোস করা হবে এবং এটি প্রতিরক্ষা প্রয়োগ করে যা এজেন্টকে গ্রহণকে অসম্ভব করে তোলে-এমনকি সবচেয়ে খারাপ পরিস্থিতিতেও?

SAAS শিল্প যেমন বিকশিত হতে চলেছে, বিক্রেতাদের পক্ষে তাদের সুরক্ষিত, এজেন্ট-ভিত্তিক পরিচালনার জন্য তাদের পদ্ধতির পুনর্নির্মাণ করা গুরুত্বপূর্ণ। সাস ব্যাকেন্ডগুলির আর্কিটেকচার পুনর্বিবেচনা করা ক্লাউড সুরক্ষার জন্য একটি নতুন মান নির্ধারণে সহায়তা করতে পারে, ভবিষ্যতের জন্য আরও শক্তিশালী এবং আরও স্থিতিস্থাপক ব্যবস্থা নিশ্চিত করে।

অ্যালেক্স ভোভকের সাথে একসাথে এই সংস্থাটির সহ-প্রতিষ্ঠার পরে, মাইক ওয়াল্টার্স রাষ্ট্রপতি হন এবং এর পণ্য কৌশল পরিচালনা করেন অ্যাকশন 1। এর আগে নেটওরিক্স কর্পোরেশনের সহ-প্রধান নির্বাহী কর্মকর্তা ও সহ-প্রতিষ্ঠাতা, মাইক গো-টু-মার্কেট কৌশল, বিক্রয় এবং প্রচারের জন্য দায়বদ্ধ ছিলেন। নেটওয়ারিক্স মাইক এবং অ্যালেক্স একটি খুব সফল সাইবারসিকিউরিটি ব্যবসা তৈরি করেছিলেন এবং তারপরে তারা দুজনেই নতুন সিইওতে স্থানান্তরিত হওয়ার পরে নেটওয়ারিক্স ছেড়ে চলে যান। এর দৃশ্যমানতা এবং ব্যবহারকারী আচরণ বিশ্লেষণ প্ল্যাটফর্মের জন্য সুপরিচিত, নেটওয়ারিক্স একটি বহু-বিলিয়ন ডলারের শিল্প-শীর্ষস্থানীয় সাইবারসিকিউরিটি সংস্থায় পরিণত হয়েছে। মাইক সিএর লেগুনা বিচে থাকেন এবং তার পাঁচটি বাচ্চা রয়েছে। তিনি একজন আগ্রহী সার্ফার এবং সমাজসেবী যিনি পরিবেশ সুরক্ষার বিষয়ে চিন্তা করেন।