সাইবার সিকিউরিটি পেশাদারদের জ্ঞান অর্জন করার জন্য তাদের ক্লাউড অবকাঠামো এবং অ্যাপ্লিকেশনগুলিকে ক্রমাগত লক্ষ্যবস্তু করে হ্যাকারদের ব্যর্থ করার জন্য, তাদের জেনারেল জর্জ এস প্যাটনের (বা বরং জর্জ সি. স্কটের মতো, সেরা অভিনেতার অস্কার জিতেছেন এমন অভিনেতার মতো) চিন্তা করতে হবে 1970 সালের ছবিতে জেনারেলের চরিত্রে অভিনয়ের জন্য প্যাটন)
একটি প্রাথমিক দৃশ্যে, ক্যামেরাটি প্যাটন জার্মান জেনারেল এরউইন রোমেলের একটি বইয়ের উপর ফোকাস করে। মূল বিষয় হল দেখানো হল কিভাবে প্যাটন পরবর্তী যুদ্ধের পরিকল্পনা করার জন্য শুধুমাত্র সামরিক বুদ্ধিমত্তার উপর নির্ভর করে না। তার প্রতিপক্ষ কীভাবে চিন্তা করে এবং কাজ করে সে সম্পর্কে সে যতটা সম্ভব শেখার জন্য সক্রিয় হচ্ছে। পরবর্তী দৃশ্যে প্যাটনের সৈন্যরা জার্মান ট্যাঙ্ক এবং পদাতিক বাহিনীতে বিধ্বংসী আক্রমণ শুরু করে। তার দুরবীন দিয়ে উঁকি দিয়ে, প্যাটন হাসে এবং চিৎকার করে বলে, “রোমেল, তুমি দুর্দান্ত (বিস্ময়কর), আমি তোমার বই পড়েছি!”
তাই হ্যাকারদের অনুপ্রেরণা এবং কৌশল সম্পর্কে যতটা সম্ভব জ্ঞান অর্জনে ব্যবসা এবং নিরাপত্তা নেতাদের সক্রিয় হতে হবে। শুধুমাত্র আপনার নিরাপত্তা সমাধান আপনাকে যা বলছে তার উপর নির্ভর করবেন না কারণ এটি আপনাকে নিরাপত্তার একটি মিথ্যা ধারণা দেবে। প্রতিদিন, হ্যাকাররা নিরাপত্তার পরিধি এড়িয়ে যাচ্ছে, নির্বিচারে সীমানা অতিক্রম করছে, এবং শেষ পর্যন্ত সনাক্তকরণ ছাড়াই তারা যে ডেটা চায় তা পেতে নিরাপত্তা সমাধানগুলি এড়িয়ে যাচ্ছে।
এই ভিডিওতে, জোশ স্টেলা, Snyk-এর প্রধান স্থপতি এবং Fugue-এর প্রতিষ্ঠাতা সিইও, একটি বিকাশকারী-প্রথম ক্লাউড নিরাপত্তা SaaS কোম্পানি, ব্যাখ্যা করেছেন যে কেন নির্বাহীদের তাদের নিরাপত্তা দলকে তাদের কাজের ক্লাউড পরিবেশ সম্পর্কে জ্ঞান প্রদান করতে এবং কার্যকরভাবে এটি জানাতে বলা দরকার। অন্যান্য নির্বাহীদের সব দলের মধ্যে নিরাপত্তা বিনিয়োগ ন্যায্যতা.
আপনার প্রতিপক্ষরা সম্ভবত আপনার অধ্যয়নের জন্য তাদের পদ্ধতি সম্পর্কে বই লিখবে না। সুতরাং, এখানে নয়টি প্রশ্ন রয়েছে যা সমস্ত সিনিয়র এক্সিকিউটিভদের (CISOs, CIOs, CEO) তাদের ক্লাউড সুরক্ষা সম্পর্কে জিজ্ঞাসা করতে হবে এবং তাদের ক্লাউড সুরক্ষা দলগুলিকে সর্বদা উত্তর জানা উচিত।
আমাদের মেঘের পরিবেশ কতটা সম্মতির বাইরে?
ক্লাউডে অপারেটিং কোনো এন্টারপ্রাইজ সংস্থার এমন পরিবেশ নেই যা 100% নিয়ন্ত্রক এবং নিরাপত্তা নীতি মেনে চলে। কিন্তু যারা ক্লাউড সিকিউরিটি করছে তারা সঠিকভাবে জানে যে তাদের পরিবেশ কোথায় এবং সম্মত নয়। তারা নিশ্চিত করে যে ব্যতিক্রমগুলি কেবলমাত্র – নিয়মের ব্যতিক্রম – এবং সবকিছু মেনে চলার জন্য তাদের একটি অগ্রাধিকারমূলক পরিকল্পনা রয়েছে।
আপনার ক্লাউড এনভায়রনমেন্টের নিরাপত্তা এবং সম্মতি সম্পর্কে আপনি কোথায় দাঁড়িয়ে আছেন তা আপনার সর্বদা জানা উচিত। আপনার নিরাপত্তা দলের নিয়মিত অভ্যন্তরীণ এন্টারপ্রাইজ নিরাপত্তা নীতিগুলি পর্যালোচনা করা উচিত যাতে তারা আপনার ব্যবহারের ক্ষেত্রে এবং উঠতি আক্রমণ ভেক্টরগুলিকে পর্যাপ্তভাবে মোকাবেলা করছে। আপনার দল সম্মতিহীন ক্লাউড অবকাঠামো আবিষ্কারের জন্য যে প্রক্রিয়াটি ব্যবহার করে, তাদের প্রতিকারের প্রক্রিয়া এবং একটি পরিবেশকে সম্মতিতে আনতে যে সময় লাগে তা বুঝুন।
আমরা কত দুর্বলতা চিহ্নিত এবং নির্মূল করেছি?
আপনার ক্লাউড নিরাপত্তা ভঙ্গি স্থির নয়, এবং সময়ের সাথে সাথে এটির উন্নতি হওয়া উচিত কারণ আপনার দল সমস্যাগুলি সনাক্তকরণ এবং প্রতিকার করার ক্ষেত্রে আরও ভাল হয়। আপনার পরিবেশে কতগুলি ভুল কনফিগারেশন দুর্বলতা বিদ্যমান এবং প্রতিদিন কতগুলি প্রতিকার করা হয় সে সম্পর্কে আপনার কাছে তথ্য থাকা উচিত।
যেহেতু এই প্রচেষ্টায় সাধারণত মনিটরিং টুলস এবং টিকিটিং সিস্টেম সমন্বিত প্রচুর ম্যানুয়াল কাজ জড়িত থাকে, তাই আপনি আপনার দলকে আধুনিক এন্টারপ্রাইজ ক্লাউড পরিবেশে জড়িত জটিলতার স্কেল মোকাবেলায় সহায়তা করতে অটোমেশনের সুবিধা নিতে চাইবেন। আধুনিক প্রধান ক্লাউড লঙ্ঘনগুলি কীভাবে ঘটে তা বোঝার জন্য ডোমেন দক্ষতা সহ ক্লাউড সুরক্ষা পেশাদারদের সাথে কাজ করুন এবং সেই জ্ঞানকে কোড হিসাবে নীতি তৈরি করতে ব্যবহার করুন যা সংস্থার ক্লাউড অবকাঠামোতে একই অবস্থা বিদ্যমান কিনা তা স্বয়ংক্রিয়ভাবে পরীক্ষা করতে ব্যবহার করা যেতে পারে৷ কোড হিসাবে নীতিটি অবাঞ্ছিত অবস্থার জন্য অন্যান্য কোড এবং চলমান পরিবেশগুলি পরীক্ষা করার জন্য ডিজাইন করা হয়েছে। এটি সমস্ত ক্লাউড স্টেকহোল্ডারকে নিয়ম সম্পর্কে অস্পষ্টতা বা মতানৈক্য ছাড়াই নিরাপদে কাজ করার ক্ষমতা দেয় এবং কীভাবে সফ্টওয়্যার বিকাশের জীবনচক্রের উভয় প্রান্তে সেগুলি প্রয়োগ করতে হয়।
আমরা স্থাপন করা থেকে কত দুর্বলতা প্রতিরোধ করেছি?
আপনার ক্লাউড পরিবেশে আপনার নিরাপত্তা দল কোন দুর্বলতাগুলি আবিষ্কার করছে এবং প্রতিকার করছে তা জানা হল সামগ্রিক নিরাপত্তা ধাঁধার একটি অংশ। আপনি আরও জানতে চান যে নিরাপত্তা দলটি স্থাপন করা থেকে ভুল কনফিগারেশনের ফ্রিকোয়েন্সি কমাতে কী সক্রিয় পদক্ষেপ নিচ্ছে। ক্লাউড নিরাপত্তায় “বামে স্থানান্তর” করতে ব্যর্থ হওয়া নিশ্চিত করে যে আপনার পরিবেশে ক্লাউড দুর্বলতার একটি নিরবচ্ছিন্ন প্রবাহ থাকবে—এবং একটি নিরাপত্তা দল হ্যাক-এ-মোলের একটি অবিরাম খেলা খেলছে।
আপনার দলে কি একটানা ইন্টিগ্রেশন এবং ক্রমাগত ডেলিভারি (CI/CD) পাইপলাইনে তৈরি নিরাপত্তা আছে? আপনার দল কি কোড হিসাবে পরিকাঠামো পরীক্ষা করছে (ক্লাউড অবকাঠামো প্রোগ্রামেটিকভাবে তৈরি এবং স্থাপন করার একটি মাধ্যম) মিসকনফিগারেশন প্রাক-নিয়োজন খুঁজে পেতে এবং ঠিক করতে, যখন এটি করা দ্রুত, সহজ এবং নিরাপদ? যদি এখানে উত্তর “না” হয়, তাহলে এটা হতে পারে যে কোড এবং CI/CD পাইপলাইন হিসাবে অবকাঠামো গ্রহণ করা হয়নি। কিন্তু যদি সেগুলি ব্যবহার করা হয়, তাহলে অন্তত এই প্রক্রিয়াগুলিতে নিরাপত্তা তৈরি করার পরিকল্পনা থাকা উচিত।
আমরা কি ক্লাউড এপিআই কন্ট্রোল প্লেন সুরক্ষিত করছি?
সমস্ত মেঘ লঙ্ঘন একই প্যাটার্ন অনুসরণ করে: নিয়ন্ত্রণ সমতল আপস। অ্যাপ্লিকেশন প্রোগ্রামিং ইন্টারফেস (APIs) হল ক্লাউড কম্পিউটিং এর প্রাথমিক চালক; তাদের “সফ্টওয়্যার মধ্যস্থতাকারী” হিসাবে ভাবুন যা বিভিন্ন অ্যাপ্লিকেশনকে একে অপরের সাথে যোগাযোগ করতে দেয়। এপিআই কন্ট্রোল প্লেন হল এপিআই-এর সংগ্রহ যা ক্লাউড কনফিগার এবং পরিচালনা করতে ব্যবহৃত হয়।
হ্যাকাররা ভুল কনফিগারেশনের সন্ধান করে। দুর্ভাগ্যবশত, নিরাপত্তা শিল্প হ্যাকারদের থেকে এক ধাপ পিছিয়ে রয়েছে কারণ অনেক বিক্রেতা সমাধান তাদের গ্রাহকদের ক্লাউড কন্ট্রোল প্লেনকে লক্ষ্য করে আক্রমণ থেকে রক্ষা করে না। সত্যি বলতে, তাদের বেশিরভাগই সেই চেক বক্সগুলিতে ফোকাস করে যা সিনিয়র এক্সিকিউটিভ এবং সিকিউরিটি টিমকে ভালো বোধ করে – যতক্ষণ না তারা হ্যাক হয়। এটি নিরাপত্তা থিয়েটার যা আমাদের ব্যবসায় খুব বেশি প্রচলিত।
ভুল কনফিগারেশন, অ্যাপ দুর্বলতা, সোর্স কোডের API কী ইত্যাদির কারণে যেকোন সম্ভাব্য অনুপ্রবেশ ইভেন্টের বিস্ফোরণ ব্যাসার্ধের ঝুঁকি মূল্যায়নের জন্য ক্লাউড সুরক্ষা আর্কিটেকচারে দক্ষতার প্রয়োজন হয় যাতে আক্রমণকারীরা প্রতিদিন শোষণ করে এমন ডিজাইনের ত্রুটিগুলি সনাক্ত করতে এবং এড়াতে। ক্লাউড নিরাপত্তা জ্ঞান সম্পর্কে, এবং লঙ্ঘন ঘটে যখন ডিফেন্ডারদের তাদের পরিবেশ সম্পর্কে সম্পূর্ণ জ্ঞানের অভাব থাকে এবং আক্রমণকারীদের সেই জ্ঞানের আবিষ্কারকে অস্বীকার করতে ব্যর্থ হয়।
উৎপাদনশীলতার উপর কতটা টানা নিরাপত্তা তৈরি করছে?
ক্লাউড হল উদ্ভাবনের বেগ সম্পর্কে, এবং নিরাপত্তা হল এক নম্বর হার-সীমিত ফ্যাক্টর যে দলগুলি কত দ্রুত যেতে পারে এবং কতটা সফল ডিজিটাল রূপান্তর হতে পারে। অ্যাপ্লিকেশন বিকাশকারীরা কি তাদের স্থাপন করার জন্য প্রয়োজনীয় অবকাঠামোর জন্য অপেক্ষা করছে? DevOps দলগুলি কি তাদের পরিকাঠামো পর্যালোচনা ও অনুমোদনের জন্য নিরাপত্তার জন্য অপেক্ষা করছে? আপনার ক্লাউড ইঞ্জিনিয়াররা কি সময় সাপেক্ষ ম্যানুয়াল সিকিউরিটি এবং কমপ্লায়েন্স টাস্কে অনেক বেশি ঘন্টা বিনিয়োগ করছেন যখন তারা আপনার কোম্পানি এবং গ্রাহকদের জন্য আরও মূল্য তৈরি করতে পারে?
নিয়মিতভাবে বিকাশকারী এবং DevOps থ্রুপুট পরিমাপ করা অপর্যাপ্ত নিরাপত্তা প্রক্রিয়ার কারণে বিলম্ব শনাক্ত করতে সাহায্য করবে যা উত্পাদনশীলতা এবং মনোবলকে টেনে আনে।
আমরা কিভাবে নিরাপত্তা নীতি প্রকাশ করছি?
এই প্রশ্নের দুটি উত্তর আছে: আপনার নিরাপত্তা নীতিগুলি মানুষের ভাষায় লেখা এবং মানুষের দ্বারা পর্যালোচনা করা হয়েছে, অথবা আপনি কোড হিসাবে নীতি ব্যবহার করছেন৷ উত্তরটি পূর্বের হলে, আপনার ক্লাউড পরিবেশ পর্যাপ্তভাবে সুরক্ষিত হতে পারে না। ক্লাউড লঙ্ঘনগুলি কার্যকর হতে কয়েক মিনিট সময় নেয় এমন সময়ে নীতিগুলি ম্যানুয়ালি পর্যালোচনা করতে এবং আপনার পরিবেশে সেগুলি প্রয়োগ করতে সময় লাগে৷ এবং মানুষের ভুলের ঝুঁকি এবং ব্যাখ্যার পার্থক্য সর্বদা উপস্থিত থাকে।
কোড হিসাবে নীতির সাথে, মেশিনগুলি বাস্তব সময়ে প্রতিবার একইভাবে একটি নীতিকে সঠিকভাবে ব্যাখ্যা করবে, যার অর্থ আপনি ক্রমাগতভাবে অনেক বেশি ক্লাউড অবকাঠামো মূল্যায়ন করতে পারেন যা মানুষের কোনো সেনাবাহিনী আশা করতে পারে না। যদি সুরক্ষা নীতির প্রয়োগটি একটি স্থাপনা থেকে অন্য স্থাপনায় পরিবর্তনের প্রয়োজন হয়, আপনি এই ব্যতিক্রমগুলিকে কোড হিসাবে প্রকাশ করতে পারেন যাতে সবকিছু ভালভাবে নথিভুক্ত করা হয়। যখন আপনি কোড হিসাবে নীতি ব্যবহার করে নিরাপত্তা অটোমেশন প্রয়োগ করেন, তখন প্রোডাকশনে পৌঁছানোর আগে উন্নয়ন বা স্থাপনায় সমস্যাগুলি খুঁজে পাওয়া যায় এবং ঠিক করা যায়।
কত দ্রুত আমরা শূন্য দিনের ইভেন্টগুলিতে প্রতিক্রিয়া জানাতে পারি?
এই বছরের শুরুর দিকে Log4j ত্রুটিটি প্রতিক্রিয়া জানাতে সব জায়গায় নিরাপত্তা দল পাঠায়। এই ধরনের “শূন্য দিন” ইভেন্টগুলির জন্য আপনার প্রতিক্রিয়া এবং প্রতিকার প্রচেষ্টাকে অগ্রাধিকার দেওয়ার জন্য দুর্বলতাগুলি কোথায় বিদ্যমান এবং তাদের তীব্রতা দ্রুত এবং নির্ভুলভাবে মূল্যায়ন করতে হবে। এই ধরনের অ্যাপ্লিকেশন শূন্য দিনের শোষণের প্রতিক্রিয়ার জন্য দলগুলিকে তাদের সাধারণত যা করে তার থেকে আরও গভীরে যেতে হবে কারণ অ্যাপের দুর্বলতাগুলি প্রায়শই ক্লাউড অবকাঠামোর পরিবেশে প্রবেশ করতে ব্যবহৃত হয়—এবং শেষ পর্যন্ত ক্লাউড নিয়ন্ত্রণ সমতলকে আপস করে।
দলগুলিকে শুধুমাত্র আবেদনের দুর্বলতাগুলিকে দ্রুত শনাক্ত করতেই সক্ষম হবে না বরং সম্ভাব্য বিস্ফোরণ ব্যাসার্ধের মূল্যায়ন করতে হবে যা দুর্বলতার প্রতিটি দৃষ্টান্ত তীব্রতা নির্ধারণ করতে এবং সেই অনুযায়ী প্রতিকারকে অগ্রাধিকার দেওয়ার জন্য উপস্থাপন করে।
সব দলেরই কি সফল হওয়ার জন্য যা দরকার তা আছে?
আধুনিক এন্টারপ্রাইজ নিরাপত্তায় কোন সাইলো নেই। সুরক্ষার জন্য একটি সমন্বিত পদ্ধতির প্রয়োজন যা টিম এবং খরচ কেন্দ্রগুলি জুড়ে কাটে, যা সঠিক পেতে নির্বাহী নেতৃত্ব এবং স্পনসরশিপ দাবি করে। উদাহরণস্বরূপ, সুরক্ষার বাম দিকের পরিবর্তনের জন্য সফ্টওয়্যার বিকাশের জীবনচক্রের আগে সমস্যাগুলি সন্ধান এবং সমাধান করার জন্য বিকাশকারী এবং DevOps-কে কিছু দায়িত্ব নিতে হবে। কিন্তু যদি নিরাপত্তা বিনিয়োগ এই নতুন অগ্রাধিকারগুলিকে প্রতিফলিত না করে, তাহলে সেখানে ঘর্ষণ হবে যা প্রচেষ্টাকে বিপদে ফেলবে।
নিরাপত্তা সাফল্য বাজেট এবং সময় উভয়ের পর্যাপ্ত বিনিয়োগের সাথে নির্বাহী স্পনসরশিপের উপর নির্ভর করে।
ব্যর্থতা কেমন হবে?
সিআইএসওর বাইরে, আমি দেখতে পাচ্ছি যে খুব কম সংখ্যক নির্বাহী সত্যিই এই প্রশ্নটি করছেন। এটা কল্পনা করা কঠিন নয় – ক্লাউড লঙ্ঘন বিবেচনা করুন যা ইম্পারভাকে আঘাত করেছে, একটি প্রধান নিরাপত্তা পণ্য কোম্পানি, যার ফলে শেষ পর্যন্ত সিইও পদত্যাগ করেছে। তারপরে ক্যাপিটাল ওয়ান লঙ্ঘন রয়েছে, যা এখনও পর্যন্ত একটি বড় আর্থিক প্রতিষ্ঠানকে আঘাত করার সবচেয়ে বড় একটি। এবং এই বছরের শুরুর দিকে টুইচ লঙ্ঘন, যা শুধুমাত্র টুইচ নয় অভিভাবক অ্যামাজনকে প্রভাবিত করেছিল। জেনারেল প্যাটনের জেনারেল রোমেলের পরাজয়ের বিপরীতে, ব্যবসায়িক নেতাদের জন্য কোন বিজয় হবে না, কেবল ব্যর্থতা প্রতিরোধ করার জন্য অবিরাম অনুসন্ধান।
ক্লাউড সুরক্ষা একটি চিরন্তন উদ্যোগ, যেমন একটি জিমে যোগদান করা এবং সেই সদস্যপদটি নিয়মিতভাবে ব্যবহার করা এবং আকারে থাকার জন্য কঠোর হওয়া। আপনার প্রতিষ্ঠানের ক্লাউড নিরাপত্তা ভঙ্গি সম্পর্কে ধারাবাহিক প্রতিবেদনের প্রয়োজন এমন একটি নীতি বাস্তবায়ন করতে হবে। দুর্বলতাগুলি চিহ্নিত করতে এবং প্রতিকার করার জন্য কী করা হচ্ছে, গত সপ্তাহে বা গত মাসে কতগুলিকে নির্মূল করা হয়েছে এবং যেখানে আপনি একটি নতুন দুর্বলতার মুখোমুখি হতে পারেন যা সংবাদের শিরোনাম করছে—আপনি উত্তর চান সে সম্পর্কে প্রশ্নগুলির সাথে লড়াই করতে চান না৷
জোশ স্টেলা প্রধান স্থপতি Snyk এবং ক্লাউড নিরাপত্তা সংক্রান্ত একটি প্রযুক্তিগত কর্তৃপক্ষ। Josh এর প্রতিষ্ঠাতা সিইও হিসাবে 25 বছরের আইটি এবং নিরাপত্তা দক্ষতা নিয়ে এসেছে ফুগু, Amazon Web Services-এর প্রধান সমাধানের স্থপতি এবং মার্কিন গোয়েন্দা সম্প্রদায়ের উপদেষ্টা। জোশের ব্যক্তিগত লক্ষ্য হল সংস্থাগুলিকে বুঝতে সাহায্য করা যে কীভাবে ক্লাউড কনফিগারেশন নতুন আক্রমণের পৃষ্ঠ এবং কীভাবে কোম্পানিগুলিকে তাদের ক্লাউড অবকাঠামো সুরক্ষিত করার জন্য একটি প্রতিরক্ষামূলক থেকে প্রতিরোধমূলক ভঙ্গিতে যেতে হবে। তিনি “অপরিবর্তনীয় অবকাঠামো” (ও’রিলি দ্বারা প্রকাশিত) প্রথম বই লিখেছেন, অসংখ্য ক্লাউড সুরক্ষা প্রযুক্তি পেটেন্ট ধারণ করেছেন এবং একটি শিক্ষামূলক ক্লাউড সিকিউরিটি মাস্টারক্লাস সিরিজ হোস্ট করেছেন৷ জোশের সাথে সংযোগ করুন লিঙ্কডইনএবং Fugue সম্পর্কে আরও তথ্যের জন্য, একটি বিকাশকারী-প্রথম ক্লাউড নিরাপত্তা SaaS কোম্পানি, দেখুন www.fugue.co, গিটহাব, লিঙ্কডইন, এবং টুইটার.
–
নিউ টেক ফোরাম অভূতপূর্ব গভীরতা এবং প্রশস্ততায় উদীয়মান এন্টারপ্রাইজ প্রযুক্তি অন্বেষণ এবং আলোচনা করার একটি স্থান প্রদান করে। নির্বাচনটি বিষয়ভিত্তিক, আমরা যে প্রযুক্তিগুলিকে গুরুত্বপূর্ণ বলে মনে করি এবং InfoWorld পাঠকদের কাছে সবচেয়ে বেশি আগ্রহের বিষয় তার উপর ভিত্তি করে। InfoWorld প্রকাশনার জন্য বিপণন সমান্তরাল গ্রহণ করে না এবং সমস্ত অবদানকৃত বিষয়বস্তু সম্পাদনা করার অধিকার সংরক্ষণ করে। newtechforum@infoworld.com-এ সমস্ত অনুসন্ধান পাঠান।
কপিরাইট © 2022 IDG Communications, Inc.
