2023 সালে ক্লাউড নিরাপত্তা হুমকি
আমরা 2023 এর মধ্য দিয়ে যাওয়ার সময়, আপনার প্রতিষ্ঠানকে প্রভাবিত করতে পারে এমন শীর্ষ ক্লাউড নিরাপত্তা হুমকি সম্পর্কে সচেতন হওয়া গুরুত্বপূর্ণ। 2023 সালে, ক্লাউড নিরাপত্তা হুমকিগুলি বিকশিত হতে থাকবে এবং আরও পরিশীলিত হয়ে উঠবে।
এখানে 2023 সালে বিবেচনা করার বিষয়গুলির একটি তালিকা রয়েছে:
1. আপনার পরিকাঠামো শক্ত করা
আপনার ক্লাউড অবকাঠামো রক্ষা করার সর্বোত্তম উপায়গুলির মধ্যে একটি হল আক্রমণের বিরুদ্ধে এটিকে শক্ত করা। এটি নিশ্চিত করে যে আপনার সার্ভার এবং অন্যান্য গুরুত্বপূর্ণ উপাদানগুলি সঠিকভাবে কনফিগার করা এবং আপ টু ডেট করা জড়িত।
আপনার অপারেটিং সিস্টেমকে শক্ত করা গুরুত্বপূর্ণ কারণ অনেকগুলি ক্লাউড সুরক্ষা হুমকি আজ পুরানো সফ্টওয়্যারের দুর্বলতাগুলিকে কাজে লাগায়৷ উদাহরণস্বরূপ, 2017 সালে WannaCry ransomware আক্রমণটি উইন্ডোজ অপারেটিং সিস্টেমের একটি ত্রুটির সুবিধা নিয়েছে যা প্যাচ করা হয়নি।
2021 সালে, র্যানসমওয়্যার আক্রমণ 20% বৃদ্ধি পেয়েছে। যত বেশি কোম্পানি ক্লাউডে চলে যায়, এই ধরনের আক্রমণ থেকে রক্ষা করার জন্য আপনার পরিকাঠামোকে শক্ত করা গুরুত্বপূর্ণ।
আপনার অবকাঠামো শক্ত করা আপনাকে অনেক সাধারণ আক্রমণ প্রশমিত করতে সাহায্য করতে পারে, যার মধ্যে রয়েছে:
- DDoS আক্রমণ
- এসকিউএল ইনজেকশন আক্রমণ
- ক্রস-সাইট স্ক্রিপ্টিং (XSS) আক্রমণ
একটি DDoS আক্রমণ কি?
একটি DDoS আক্রমণ হল এক ধরনের সাইবার আক্রমণ যা একটি সার্ভার বা নেটওয়ার্ককে টার্গেট করে যাতে ট্র্যাফিকের বন্যা থাকে বা এটিকে ওভারলোড করার জন্য অনুরোধ করে। DDoS আক্রমণগুলি খুব বিঘ্নিত হতে পারে এবং একটি ওয়েবসাইট বা পরিষেবা ব্যবহারকারীদের জন্য অনুপলব্ধ হতে পারে৷
DDos আক্রমণ পরিসংখ্যান:
- 2018 সালে, 300 এর তুলনায় DDoS আক্রমণে 2017% বৃদ্ধি পেয়েছে।
- একটি DDoS আক্রমণের গড় খরচ $2.5 মিলিয়ন।
একটি এসকিউএল ইনজেকশন আক্রমণ কি?
এসকিউএল ইনজেকশন অ্যাটাক হল এক ধরনের সাইবার আক্রমণ যা ডাটাবেসে দূষিত এসকিউএল কোড সন্নিবেশ করার জন্য একটি অ্যাপ্লিকেশনের কোডের দুর্বলতার সুযোগ নেয়। এই কোডটি সংবেদনশীল ডেটা অ্যাক্সেস করতে বা এমনকি ডাটাবেসের নিয়ন্ত্রণ নিতে ব্যবহার করা যেতে পারে।
এসকিউএল ইনজেকশন আক্রমণগুলি ওয়েবে সবচেয়ে সাধারণ ধরণের আক্রমণগুলির মধ্যে একটি। প্রকৃতপক্ষে, এগুলি এতই সাধারণ যে ওপেন ওয়েব অ্যাপ্লিকেশন সিকিউরিটি প্রজেক্ট (OWASP) তাদের শীর্ষ 10টি ওয়েব অ্যাপ্লিকেশন নিরাপত্তা ঝুঁকির একটি হিসাবে তালিকাভুক্ত করে৷
এসকিউএল ইনজেকশন আক্রমণ পরিসংখ্যান:
- 2017 সালে, এসকিউএল ইনজেকশন আক্রমণগুলি প্রায় 4,000 ডেটা লঙ্ঘনের জন্য দায়ী ছিল।
- একটি এসকিউএল ইনজেকশন আক্রমণের গড় খরচ $1.6 মিলিয়ন।
ক্রস-সাইট স্ক্রিপ্টিং (XSS) কি?
ক্রস-সাইট স্ক্রিপ্টিং (এক্সএসএস) হল এক ধরনের সাইবার আক্রমণ যাতে একটি ওয়েব পেজে দূষিত কোড ইনজেকশন করা হয়। এই কোডটি তখন সন্দেহাতীত ব্যবহারকারীদের দ্বারা কার্যকর করা হয় যারা পৃষ্ঠাটি দেখেন, যার ফলে তাদের কম্পিউটারগুলি আপোস করা হয়।
XSS আক্রমণ খুবই সাধারণ এবং প্রায়ই পাসওয়ার্ড এবং ক্রেডিট কার্ড নম্বরের মতো সংবেদনশীল তথ্য চুরি করতে ব্যবহৃত হয়। এগুলি ভিকটিমদের কম্পিউটারে ম্যালওয়্যার ইনস্টল করতে বা একটি দূষিত ওয়েবসাইটে পুনঃনির্দেশ করতেও ব্যবহার করা যেতে পারে৷
ক্রস-সাইট স্ক্রিপ্টিং (XSS) পরিসংখ্যান:
- 2017 সালে, XSS আক্রমণগুলি প্রায় 3,000 ডেটা লঙ্ঘনের জন্য দায়ী ছিল।
- XSS আক্রমণের গড় খরচ $1.8 মিলিয়ন।
2. মেঘ নিরাপত্তা হুমকি
বিভিন্ন ক্লাউড নিরাপত্তা হুমকি আছে যেগুলো সম্পর্কে আপনাকে সচেতন হতে হবে। এর মধ্যে পরিষেবা অস্বীকার (DoS) আক্রমণ, ডেটা লঙ্ঘন এবং এমনকি ক্ষতিকারক অভ্যন্তরীণ বিষয়গুলি অন্তর্ভুক্ত রয়েছে।
পরিষেবা অস্বীকার (DoS) আক্রমণ কিভাবে কাজ করে?
DoS আক্রমণ হল এক ধরণের সাইবার আক্রমণ যেখানে আক্রমণকারী একটি সিস্টেম বা নেটওয়ার্ককে ট্র্যাফিকের সাথে প্লাবিত করে অনুপলব্ধ করতে চায়। এই আক্রমণগুলি খুব বিঘ্নিত হতে পারে এবং উল্লেখযোগ্য আর্থিক ক্ষতির কারণ হতে পারে।
পরিষেবা আক্রমণ পরিসংখ্যান অস্বীকার
- 2019 সালে, মোট 34,000টি DoS আক্রমণ হয়েছিল।
- একটি DoS আক্রমণের গড় খরচ $2.5 মিলিয়ন।
- DoS আক্রমণ কয়েক দিন বা এমনকি সপ্তাহ পর্যন্ত স্থায়ী হতে পারে।
কিভাবে ডেটা লঙ্ঘন ঘটবে?
তথ্য লঙ্ঘন ঘটে যখন সংবেদনশীল বা গোপনীয় ডেটা অনুমোদন ছাড়াই অ্যাক্সেস করা হয়। এটি হ্যাকিং, সোশ্যাল ইঞ্জিনিয়ারিং এবং এমনকি শারীরিক চুরি সহ বিভিন্ন পদ্ধতির মাধ্যমে ঘটতে পারে।
ডেটা লঙ্ঘনের পরিসংখ্যান
- 2019 সালে, মোট 3,813টি ডেটা লঙ্ঘন হয়েছে।
- একটি ডেটা লঙ্ঘনের গড় খরচ $3.92 মিলিয়ন।
- একটি ডেটা লঙ্ঘন সনাক্ত করার গড় সময় 201 দিন।
দূষিত অভ্যন্তরীণ আক্রমণ কিভাবে?
ক্ষতিকারক অভ্যন্তরীণ ব্যক্তিরা হলেন কর্মচারী বা ঠিকাদার যারা ইচ্ছাকৃতভাবে কোম্পানির ডেটাতে তাদের অ্যাক্সেসের অপব্যবহার করে। আর্থিক লাভ, প্রতিশোধ বা কেবল ক্ষতি করতে চাওয়ার কারণে এটি অনেক কারণে ঘটতে পারে।
ইনসাইডার থ্রেট পরিসংখ্যান
- 2019 সালে, ক্ষতিকারক অভ্যন্তরীণ ব্যক্তিরা 43% ডেটা লঙ্ঘনের জন্য দায়ী ছিল।
- একটি অভ্যন্তরীণ আক্রমণের গড় খরচ $8.76 মিলিয়ন।
- অভ্যন্তরীণ আক্রমণ সনাক্ত করার গড় সময় হল 190 দিন।
3. আপনি কিভাবে আপনার পরিকাঠামো শক্ত করবেন?
নিরাপত্তা কঠোরকরণ হল আপনার পরিকাঠামোকে আক্রমণের প্রতি আরো প্রতিরোধী করার প্রক্রিয়া। এতে নিরাপত্তা নিয়ন্ত্রণ বাস্তবায়ন, ফায়ারওয়াল স্থাপন এবং এনক্রিপশন ব্যবহার করার মতো বিষয় জড়িত থাকতে পারে।
আপনি কিভাবে নিরাপত্তা নিয়ন্ত্রণ বাস্তবায়ন করবেন?
আপনার পরিকাঠামোকে শক্ত করার জন্য আপনি প্রয়োগ করতে পারেন এমন বিভিন্ন নিরাপত্তা নিয়ন্ত্রণ রয়েছে। এর মধ্যে ফায়ারওয়াল, অ্যাক্সেস কন্ট্রোল লিস্ট (ACL), ইনট্রুশন ডিটেকশন সিস্টেম (IDS) এবং এনক্রিপশনের মতো জিনিস অন্তর্ভুক্ত রয়েছে।
কিভাবে একটি অ্যাক্সেস নিয়ন্ত্রণ তালিকা তৈরি করবেন:
- যে সম্পদগুলিকে সুরক্ষিত করতে হবে তা সংজ্ঞায়িত করুন।
- সেই সমস্ত সংস্থানগুলিতে অ্যাক্সেস থাকা উচিত এমন ব্যবহারকারী এবং গোষ্ঠীগুলিকে চিহ্নিত করুন৷
- প্রতিটি ব্যবহারকারী এবং গোষ্ঠীর জন্য অনুমতিগুলির একটি তালিকা তৈরি করুন।
- আপনার নেটওয়ার্ক ডিভাইসে ACL প্রয়োগ করুন।
অনুপ্রবেশ সনাক্তকরণ সিস্টেম কি?
অনুপ্রবেশ সনাক্তকরণ সিস্টেম (IDS) আপনার নেটওয়ার্কে ক্ষতিকারক কার্যকলাপ সনাক্ত করতে এবং প্রতিক্রিয়া জানাতে ডিজাইন করা হয়েছে৷ এগুলি আক্রমণের চেষ্টা, ডেটা লঙ্ঘন এবং এমনকি অভ্যন্তরীণ হুমকির মতো জিনিসগুলি সনাক্ত করতে ব্যবহার করা যেতে পারে।
আপনি কিভাবে একটি অনুপ্রবেশ সনাক্তকরণ সিস্টেম বাস্তবায়ন করবেন?
- আপনার প্রয়োজনের জন্য সঠিক IDS চয়ন করুন।
- আপনার নেটওয়ার্কে আইডিএস স্থাপন করুন।
- দূষিত কার্যকলাপ সনাক্ত করতে IDS কনফিগার করুন।
- আইডিএস দ্বারা উত্পন্ন সতর্কতাগুলিতে সাড়া দিন।
একটি ফায়ারওয়াল কি?
একটি ফায়ারওয়াল হল একটি নেটওয়ার্ক নিরাপত্তা ডিভাইস যা নিয়মের একটি সেটের উপর ভিত্তি করে ট্র্যাফিক ফিল্টার করে। ফায়ারওয়াল হল এক ধরনের নিরাপত্তা নিয়ন্ত্রণ যা আপনার পরিকাঠামোকে শক্ত করতে ব্যবহার করা যেতে পারে। তারা প্রাঙ্গনে, ক্লাউডে এবং একটি পরিষেবা হিসাবে সহ বিভিন্ন উপায়ে মোতায়েন করা যেতে পারে। ফায়ারওয়াল ইনকামিং ট্র্যাফিক, বহির্গামী ট্র্যাফিক বা উভয়ই ব্লক করতে ব্যবহার করা যেতে পারে।
একটি অন-প্রিমিসেস ফায়ারওয়াল কি?
একটি অন-প্রিমিসেস ফায়ারওয়াল হল এক ধরনের ফায়ারওয়াল যা আপনার স্থানীয় নেটওয়ার্কে স্থাপন করা হয়। অন-প্রিমিসেস ফায়ারওয়ালগুলি সাধারণত ছোট এবং মাঝারি আকারের ব্যবসার সুরক্ষার জন্য ব্যবহৃত হয়।
একটি ক্লাউড ফায়ারওয়াল কি?
একটি ক্লাউড ফায়ারওয়াল হল এক ধরনের ফায়ারওয়াল যা ক্লাউডে স্থাপন করা হয়। ক্লাউড ফায়ারওয়ালগুলি সাধারণত বড় উদ্যোগগুলিকে রক্ষা করতে ব্যবহৃত হয়।
ক্লাউড ফায়ারওয়ালের সুবিধা কী?
ক্লাউড ফায়ারওয়ালগুলি অনেকগুলি সুবিধা প্রদান করে, যার মধ্যে রয়েছে:
- উন্নত নিরাপত্তা
- নেটওয়ার্ক কার্যকলাপে দৃশ্যমানতা বৃদ্ধি
- জটিলতা হ্রাস
- বড় প্রতিষ্ঠানের জন্য কম খরচ
একটি পরিষেবা হিসাবে একটি ফায়ারওয়াল কি?
পরিষেবা হিসাবে একটি ফায়ারওয়াল (FaaS) হল এক ধরনের ক্লাউড-ভিত্তিক ফায়ারওয়াল। FaaS প্রদানকারীরা ফায়ারওয়াল অফার করে যা ক্লাউডে স্থাপন করা যেতে পারে। এই ধরনের পরিষেবা সাধারণত ছোট এবং মাঝারি আকারের ব্যবসার দ্বারা ব্যবহৃত হয়। আপনার যদি একটি বড় বা জটিল নেটওয়ার্ক থাকে তবে আপনার ফায়ারওয়ালকে পরিষেবা হিসাবে ব্যবহার করা উচিত নয়৷
একটি FaaS এর উপকারিতা
FaaS অনেকগুলি সুবিধা প্রদান করে, যার মধ্যে রয়েছে:
- জটিলতা হ্রাস
- বর্ধিত নমনীয়তা
- পে-যেমন-আপ-গো মূল্যের মডেল
কিভাবে আপনি একটি পরিষেবা হিসাবে একটি ফায়ারওয়াল বাস্তবায়ন করবেন?
- একটি FaaS প্রদানকারী বেছে নিন।
- ক্লাউডে ফায়ারওয়াল স্থাপন করুন।
- আপনার প্রয়োজন মেটাতে ফায়ারওয়াল কনফিগার করুন।
ঐতিহ্যগত ফায়ারওয়ালের বিকল্প আছে কি?
হ্যাঁ, ঐতিহ্যবাহী ফায়ারওয়ালের জন্য অনেকগুলি বিকল্প রয়েছে। এর মধ্যে রয়েছে পরবর্তী প্রজন্মের ফায়ারওয়াল (NGFWs), ওয়েব অ্যাপ্লিকেশন ফায়ারওয়াল (WAFs), এবং API গেটওয়ে।
একটি পরবর্তী প্রজন্মের ফায়ারওয়াল কি?
একটি পরবর্তী প্রজন্মের ফায়ারওয়াল (NGFW) হল এক ধরনের ফায়ারওয়াল যা ঐতিহ্যগত ফায়ারওয়ালের তুলনায় উন্নত কর্মক্ষমতা এবং বৈশিষ্ট্য প্রদান করে। NGFWs সাধারণত অ্যাপ্লিকেশন-স্তরের ফিল্টারিং, অনুপ্রবেশ প্রতিরোধ এবং বিষয়বস্তু ফিল্টারিংয়ের মতো জিনিসগুলি অফার করে।
অ্যাপ্লিকেশন-স্তরের ফিল্টারিং যে অ্যাপ্লিকেশনটি ব্যবহার করা হচ্ছে তার উপর ভিত্তি করে আপনাকে ট্রাফিক নিয়ন্ত্রণ করতে দেয়। উদাহরণস্বরূপ, আপনি HTTP ট্র্যাফিকের অনুমতি দিতে পারেন তবে অন্যান্য সমস্ত ট্র্যাফিক ব্লক করতে পারেন।
অনুপ্রবেশ রোধ আক্রমণগুলি হওয়ার আগে আপনাকে সনাক্ত করতে এবং প্রতিরোধ করতে দেয়।
সামগ্রী ফিল্টারিং আপনার নেটওয়ার্কে কোন ধরনের সামগ্রী অ্যাক্সেস করা যেতে পারে তা নিয়ন্ত্রণ করতে আপনাকে অনুমতি দেয়। আপনি দূষিত ওয়েবসাইট, পর্ণ এবং জুয়া খেলার সাইটগুলির মতো জিনিসগুলিকে ব্লক করতে সামগ্রী ফিল্টারিং ব্যবহার করতে পারেন৷
একটি ওয়েব অ্যাপ্লিকেশন ফায়ারওয়াল কি?
একটি ওয়েব অ্যাপ্লিকেশন ফায়ারওয়াল (WAF) হল এক ধরনের ফায়ারওয়াল যা ওয়েব অ্যাপ্লিকেশনগুলিকে আক্রমণ থেকে রক্ষা করার জন্য ডিজাইন করা হয়েছে। WAFs সাধারণত অনুপ্রবেশ সনাক্তকরণ, অ্যাপ্লিকেশন-স্তরের ফিল্টারিং, এবং বিষয়বস্তু ফিল্টারিংয়ের মতো বৈশিষ্ট্যগুলি অফার করে।
একটি API গেটওয়ে কি?
এপিআই গেটওয়ে হল এক ধরনের ফায়ারওয়াল যা এপিআইকে আক্রমণ থেকে রক্ষা করার জন্য ডিজাইন করা হয়েছে। API গেটওয়ে সাধারণত প্রমাণীকরণ, অনুমোদন, এবং হার সীমিত করার মত বৈশিষ্ট্যগুলি অফার করে।
প্রমাণীকরণ এটি একটি গুরুত্বপূর্ণ নিরাপত্তা বৈশিষ্ট্য কারণ এটি নিশ্চিত করে যে শুধুমাত্র অনুমোদিত ব্যবহারকারীরা API অ্যাক্সেস করতে পারবেন।
অনুমোদন এটি একটি গুরুত্বপূর্ণ নিরাপত্তা বৈশিষ্ট্য কারণ এটি নিশ্চিত করে যে শুধুমাত্র অনুমোদিত ব্যবহারকারীরা কিছু নির্দিষ্ট ক্রিয়া সম্পাদন করতে পারে।
হার সীমিত এটি একটি গুরুত্বপূর্ণ নিরাপত্তা বৈশিষ্ট্য কারণ এটি পরিষেবা আক্রমণ অস্বীকার প্রতিরোধ করতে সাহায্য করে৷
আপনি কিভাবে এনক্রিপশন ব্যবহার করবেন?
এনক্রিপশন হল এক ধরনের নিরাপত্তা ব্যবস্থা যা আপনার পরিকাঠামোকে শক্ত করতে ব্যবহার করা যেতে পারে। এতে ডেটাকে একটি ফর্মে রূপান্তরিত করা জড়িত যা শুধুমাত্র অনুমোদিত ব্যবহারকারীরা পড়তে পারে।
এনক্রিপশন পদ্ধতি অন্তর্ভুক্ত:
- সিমেট্রিক-কী এনক্রিপশন
- অপ্রতিসম-কী এনক্রিপশন
- পাবলিক-কী এনক্রিপশন
সিমেট্রিক-কী এনক্রিপশন এক ধরনের এনক্রিপশন যেখানে একই কী ব্যবহার করা হয় ডেটা এনক্রিপ্ট এবং ডিক্রিপ্ট করতে।
অ্যাসিমেট্রিক-কী এনক্রিপশন এক ধরনের এনক্রিপশন যেখানে ডেটা এনক্রিপ্ট এবং ডিক্রিপ্ট করতে বিভিন্ন কী ব্যবহার করা হয়।
পাবলিক-কী এনক্রিপশন এক ধরনের এনক্রিপশন যেখানে চাবি সবার জন্য উপলব্ধ করা হয়।
4. কিভাবে একটি ক্লাউড মার্কেটপ্লেস থেকে শক্ত পরিকাঠামো ব্যবহার করবেন
আপনার পরিকাঠামোকে শক্ত করার অন্যতম সেরা উপায় হল AWS এর মতো একটি প্রদানকারীর কাছ থেকে শক্ত পরিকাঠামো কেনা। এই ধরনের অবকাঠামো আক্রমণের জন্য আরও প্রতিরোধী হওয়ার জন্য ডিজাইন করা হয়েছে এবং আপনাকে আপনার নিরাপত্তা মেনে চলার প্রয়োজনীয়তা পূরণ করতে সাহায্য করতে পারে। AWS-এ সমস্ত দৃষ্টান্ত সমানভাবে তৈরি করা হয় না। এডব্লিউএস অ-কঠিন চিত্রগুলিও অফার করে যা শক্ত চিত্রগুলির মতো আক্রমণের জন্য প্রতিরোধী নয়। একটি AMI আক্রমণের প্রতি আরও প্রতিরোধী কিনা তা বলার সবচেয়ে ভাল উপায়গুলির মধ্যে একটি হল সংস্করণটি আপ টু ডেট আছে কিনা তা নিশ্চিত করা যাতে এটিতে সর্বশেষ নিরাপত্তা বৈশিষ্ট্য রয়েছে।
আপনার নিজের পরিকাঠামোকে শক্ত করার প্রক্রিয়ার মধ্য দিয়ে যাওয়ার চেয়ে শক্ত পরিকাঠামো কেনা অনেক সহজ। এটি আরও সাশ্রয়ীও হতে পারে, কারণ আপনার নিজের পরিকাঠামোকে শক্ত করার জন্য প্রয়োজনীয় সরঞ্জাম এবং সংস্থানগুলিতে বিনিয়োগ করতে হবে না।
কঠোর পরিকাঠামো কেনার সময়, আপনার এমন একটি প্রদানকারীর সন্ধান করা উচিত যা বিস্তৃত নিরাপত্তা নিয়ন্ত্রণের প্রস্তাব দেয়। এটি আপনাকে সমস্ত ধরণের আক্রমণের বিরুদ্ধে আপনার পরিকাঠামোকে শক্ত করার সর্বোত্তম সুযোগ দেবে।
শক্ত অবকাঠামো কেনার আরও সুবিধা:
- বর্ধিত নিরাপত্তা
- উন্নত সম্মতি
- হ্রাসকৃত মূল্য
- বর্ধিত সরলতা
আপনার ক্লাউড অবকাঠামোতে ক্রমবর্ধমান সরলতা অত্যন্ত আন্ডাররেটেড! একটি স্বনামধন্য বিক্রেতার কাছ থেকে কঠোর পরিকাঠামো সম্পর্কে সুবিধাজনক জিনিস হল যে এটি বর্তমান নিরাপত্তা মান পূরণের জন্য ক্রমাগত আপডেট করা হবে।
পুরানো ক্লাউড অবকাঠামো আক্রমণের জন্য বেশি ঝুঁকিপূর্ণ। এই কারণে আপনার অবকাঠামো আপ-টু-ডেট রাখা গুরুত্বপূর্ণ।
পুরানো সফ্টওয়্যার হল সবচেয়ে বড় নিরাপত্তা হুমকিগুলির মধ্যে একটি যা বর্তমানে সংস্থাগুলির মুখোমুখি। শক্ত পরিকাঠামো কেনার মাধ্যমে, আপনি এই সমস্যাটি সম্পূর্ণভাবে এড়াতে পারেন।
আপনার নিজের অবকাঠামোকে শক্ত করার সময়, সম্ভাব্য নিরাপত্তা হুমকিগুলি বিবেচনা করা গুরুত্বপূর্ণ। এটি একটি কঠিন কাজ হতে পারে, তবে এটি নিশ্চিত করা প্রয়োজন যে আপনার কঠোর করার প্রচেষ্টা কার্যকর।
5. নিরাপত্তা সম্মতি
আপনার পরিকাঠামো শক্ত করা নিরাপত্তা সম্মতিতেও আপনাকে সাহায্য করতে পারে। এর কারণ হল অনেক কমপ্লায়েন্স স্ট্যান্ডার্ডের প্রয়োজন যে আপনি আপনার ডেটা এবং সিস্টেমকে আক্রমণ থেকে রক্ষা করার জন্য পদক্ষেপ নিন।
শীর্ষ ক্লাউড নিরাপত্তা হুমকি সম্পর্কে সচেতন হওয়ার মাধ্যমে, আপনি তাদের থেকে আপনার সংস্থাকে রক্ষা করার জন্য পদক্ষেপ নিতে পারেন৷ আপনার অবকাঠামো শক্ত করে এবং নিরাপত্তা বৈশিষ্ট্য ব্যবহার করে, আপনি আক্রমণকারীদের জন্য আপনার সিস্টেমের সাথে আপস করা আরও কঠিন করে তুলতে পারেন।
সিআইএস বেঞ্চমার্কগুলি ব্যবহার করে আপনি আপনার নিরাপত্তা পদ্ধতিগুলিকে গাইড করতে এবং আপনার পরিকাঠামোকে শক্ত করতে আপনার সম্মতির ভঙ্গি শক্তিশালী করতে পারেন। আপনি আপনার সিস্টেমগুলিকে শক্ত করতে এবং সেগুলিকে সঙ্গতিপূর্ণ রাখতে সাহায্য করতে অটোমেশন ব্যবহার করতে পারেন।
2022 সালে কি ধরনের সম্মতি নিরাপত্তা প্রবিধান আপনার মনে রাখা উচিত?
- জিডিপিআর
- পিসিআই ডিএসএস
- HIPAA
- SOX
- HITRUST
কিভাবে জিডিপিআর কমপ্লায়েন্ট থাকবেন
জেনারেল ডাটা প্রোটেকশন রেগুলেশন (GDPR) হল প্রবিধানগুলির একটি সেট যা নিয়ন্ত্রণ করে যে কীভাবে ব্যক্তিগত ডেটা সংগ্রহ করা, ব্যবহার করা এবং সুরক্ষিত করা উচিত। যে সংস্থাগুলি EU নাগরিকদের ব্যক্তিগত ডেটা সংগ্রহ, ব্যবহার বা সংরক্ষণ করে তাদের অবশ্যই GDPR মেনে চলতে হবে।
GDPR অনুগত থাকার জন্য, আপনার পরিকাঠামোকে শক্ত করার জন্য এবং EU নাগরিকদের ব্যক্তিগত ডেটা সুরক্ষিত করার জন্য আপনাকে পদক্ষেপ নিতে হবে। এতে ডেটা এনক্রিপ্ট করা, ফায়ারওয়াল স্থাপন করা এবং অ্যাক্সেস কন্ট্রোল লিস্ট ব্যবহার করার মতো বিষয় অন্তর্ভুক্ত রয়েছে।
জিডিপিআর সম্মতির পরিসংখ্যান:
এখানে জিডিপিআরের কিছু পরিসংখ্যান রয়েছে:
- জিডিপিআর চালু হওয়ার পর থেকে 92% প্রতিষ্ঠান ব্যক্তিগত ডেটা সংগ্রহ ও ব্যবহার করার পদ্ধতিতে পরিবর্তন করেছে
- 61% সংস্থা বলে যে GDPR মেনে চলা কঠিন
- জিডিপিআর চালু হওয়ার পর থেকে 58% সংস্থা ডেটা লঙ্ঘনের অভিজ্ঞতা পেয়েছে
চ্যালেঞ্জ সত্ত্বেও, সংস্থাগুলির জন্য GDPR মেনে চলার জন্য পদক্ষেপ নেওয়া গুরুত্বপূর্ণ। এর মধ্যে রয়েছে তাদের পরিকাঠামো শক্ত করা এবং ইইউ নাগরিকদের ব্যক্তিগত তথ্য রক্ষা করা।
GDPR অনুগত থাকার জন্য, আপনার পরিকাঠামোকে শক্ত করার জন্য এবং EU নাগরিকদের ব্যক্তিগত ডেটা সুরক্ষিত করার জন্য আপনাকে পদক্ষেপ নিতে হবে। এতে ডেটা এনক্রিপ্ট করা, ফায়ারওয়াল স্থাপন করা এবং অ্যাক্সেস কন্ট্রোল লিস্ট ব্যবহার করার মতো বিষয় অন্তর্ভুক্ত রয়েছে।
কিভাবে PCI DSS কমপ্লায়েন্ট থাকবেন
পেমেন্ট কার্ড ইন্ডাস্ট্রি ডেটা সিকিউরিটি স্ট্যান্ডার্ড (PCI DSS) হল নির্দেশিকাগুলির একটি সেট যা নিয়ন্ত্রণ করে কিভাবে ক্রেডিট কার্ডের তথ্য সংগ্রহ করা, ব্যবহার করা এবং সুরক্ষিত করা উচিত। যে সংস্থাগুলি ক্রেডিট কার্ডের অর্থপ্রদান প্রক্রিয়া করে তাদের অবশ্যই PCI DSS মেনে চলতে হবে।
PCI DSS অনুগত থাকার জন্য, আপনার অবকাঠামো শক্ত করতে এবং ক্রেডিট কার্ডের তথ্য সুরক্ষিত করার জন্য পদক্ষেপ নেওয়া উচিত। এতে ডেটা এনক্রিপ্ট করা, ফায়ারওয়াল স্থাপন করা এবং অ্যাক্সেস কন্ট্রোল লিস্ট ব্যবহার করার মতো বিষয় অন্তর্ভুক্ত রয়েছে।
PCI DSS এর পরিসংখ্যান
PCI DSS এর পরিসংখ্যান:
- PCI DSS চালু হওয়ার পর থেকে 83% প্রতিষ্ঠান ক্রেডিট কার্ড পেমেন্ট প্রক্রিয়া করার পদ্ধতিতে পরিবর্তন করেছে
- 61% সংস্থা বলে যে PCI DSS মেনে চলা কঠিন
- PCI DSS চালু হওয়ার পর থেকে 58% প্রতিষ্ঠান ডেটা লঙ্ঘনের অভিজ্ঞতা পেয়েছে
সংস্থাগুলির জন্য PCI DSS মেনে চলার জন্য পদক্ষেপ নেওয়া গুরুত্বপূর্ণ৷ এর মধ্যে রয়েছে তাদের পরিকাঠামো শক্ত করা এবং ক্রেডিট কার্ডের তথ্য রক্ষা করা।
কিভাবে HIPAA অনুগত থাকবেন
হেলথ ইন্স্যুরেন্স পোর্টেবিলিটি অ্যান্ড অ্যাকাউন্টেবিলিটি অ্যাক্ট (HIPAA) হল নিয়মের একটি সেট যা নিয়ন্ত্রণ করে যে কীভাবে ব্যক্তিগত স্বাস্থ্য তথ্য সংগ্রহ করা, ব্যবহার করা এবং সুরক্ষিত করা উচিত। যে সংস্থাগুলি রোগীদের ব্যক্তিগত স্বাস্থ্য তথ্য সংগ্রহ, ব্যবহার বা সংরক্ষণ করে তাদের অবশ্যই HIPAA মেনে চলতে হবে।
HIPAA অনুগত থাকার জন্য, আপনার অবকাঠামোকে শক্ত করার জন্য এবং রোগীদের ব্যক্তিগত স্বাস্থ্য তথ্য রক্ষা করার জন্য আপনার পদক্ষেপ নেওয়া উচিত। এতে ডেটা এনক্রিপ্ট করা, ফায়ারওয়াল স্থাপন করা এবং অ্যাক্সেস কন্ট্রোল লিস্ট ব্যবহার করার মতো বিষয় অন্তর্ভুক্ত রয়েছে।
HIPAA উপর পরিসংখ্যান
HIPAA এর পরিসংখ্যান:
- HIPAA চালু হওয়ার পর থেকে 91% প্রতিষ্ঠান তাদের ব্যক্তিগত স্বাস্থ্য তথ্য সংগ্রহ ও ব্যবহার করার পদ্ধতিতে পরিবর্তন করেছে
- 63% সংস্থা বলে যে HIPAA মেনে চলা কঠিন
- HIPAA চালু হওয়ার পর থেকে 60% সংস্থা ডেটা লঙ্ঘনের সম্মুখীন হয়েছে
সংস্থাগুলির জন্য HIPAA মেনে চলার জন্য পদক্ষেপ নেওয়া গুরুত্বপূর্ণ। এর মধ্যে রয়েছে তাদের পরিকাঠামো শক্ত করা এবং রোগীদের ব্যক্তিগত স্বাস্থ্য তথ্য রক্ষা করা।
কিভাবে SOX কমপ্লায়েন্ট থাকবেন
Sarbanes-Oxley Act (SOX) হল প্রবিধানের একটি সেট যা নিয়ন্ত্রণ করে যে কীভাবে আর্থিক তথ্য সংগ্রহ করা, ব্যবহার করা এবং সুরক্ষিত করা উচিত। যে সংস্থাগুলি আর্থিক তথ্য সংগ্রহ, ব্যবহার বা সঞ্চয় করে তাদের অবশ্যই SOX মেনে চলতে হবে৷
SOX অনুগত থাকার জন্য, আপনার পরিকাঠামো শক্ত করতে এবং আর্থিক তথ্য সুরক্ষিত করার জন্য আপনাকে পদক্ষেপ নিতে হবে। এতে ডেটা এনক্রিপ্ট করা, ফায়ারওয়াল স্থাপন করা এবং অ্যাক্সেস কন্ট্রোল লিস্ট ব্যবহার করার মতো বিষয় অন্তর্ভুক্ত রয়েছে।
SOX এর পরিসংখ্যান
SOX-এর পরিসংখ্যান:
- SOX চালু হওয়ার পর থেকে 94% প্রতিষ্ঠান আর্থিক তথ্য সংগ্রহ ও ব্যবহার করার পদ্ধতিতে পরিবর্তন করেছে
- 65% সংস্থা বলে যে SOX মেনে চলা কঠিন
- SOX চালু হওয়ার পর থেকে 61% প্রতিষ্ঠান ডেটা লঙ্ঘনের অভিজ্ঞতা পেয়েছে
সংস্থাগুলির জন্য SOX মেনে চলার জন্য পদক্ষেপ নেওয়া গুরুত্বপূর্ণ৷ এর মধ্যে রয়েছে তাদের পরিকাঠামো শক্ত করা এবং আর্থিক তথ্য রক্ষা করা।
কিভাবে HITRUST সার্টিফিকেশন অর্জন করতে হয়
HITRUST সার্টিফিকেশন অর্জন একটি বহু-পদক্ষেপ প্রক্রিয়া যার মধ্যে একটি স্ব-মূল্যায়ন সম্পন্ন করা, একটি স্বাধীন মূল্যায়ন করা এবং তারপর HITRUST দ্বারা প্রত্যয়িত হওয়া জড়িত৷
স্ব-মূল্যায়ন প্রক্রিয়াটির প্রথম ধাপ এবং এটি সার্টিফিকেশনের জন্য একটি প্রতিষ্ঠানের প্রস্তুতি নির্ধারণ করতে ব্যবহৃত হয়। এই মূল্যায়নে প্রতিষ্ঠানের নিরাপত্তা কর্মসূচি এবং ডকুমেন্টেশনের পর্যালোচনা, সেইসাথে মূল কর্মীদের সাথে সাইটে সাক্ষাত্কার অন্তর্ভুক্ত রয়েছে।
একবার স্ব-মূল্যায়ন সম্পূর্ণ হলে, একজন স্বাধীন মূল্যায়নকারী প্রতিষ্ঠানের নিরাপত্তা কর্মসূচির আরও গভীর মূল্যায়ন করবেন। এই মূল্যায়নে সংস্থার নিরাপত্তা নিয়ন্ত্রণের পর্যালোচনা, সেইসাথে সেই নিয়ন্ত্রণগুলির কার্যকারিতা যাচাই করার জন্য সাইটের পরীক্ষা অন্তর্ভুক্ত থাকবে।
একবার স্বাধীন মূল্যায়নকারী যাচাই করে নিলে যে সংস্থার নিরাপত্তা কর্মসূচি HITRUST CSF-এর সমস্ত প্রয়োজনীয়তা পূরণ করে, সংস্থাটিকে HITRUST দ্বারা প্রত্যয়িত করা হবে। HITRUST CSF-এর কাছে প্রত্যয়িত সংস্থাগুলি সংবেদনশীল ডেটা সুরক্ষিত করার জন্য তাদের প্রতিশ্রুতি প্রদর্শন করতে HITRUST সীল ব্যবহার করতে পারে৷
HITRUST-এর পরিসংখ্যান:
- জুন 2019 পর্যন্ত, HITRUST CSF-এর কাছে প্রত্যয়িত 2,700 টিরও বেশি সংস্থা রয়েছে৷
- স্বাস্থ্যসেবা শিল্পে 1,000 টিরও বেশি সহ সর্বাধিক প্রত্যয়িত সংস্থা রয়েছে।
- 500 টিরও বেশি প্রত্যয়িত সংস্থা সহ অর্থ ও বীমা শিল্প দ্বিতীয় স্থানে রয়েছে।
- খুচরা শিল্প তৃতীয় স্থানে রয়েছে, যেখানে 400 টিরও বেশি প্রত্যয়িত সংস্থা রয়েছে।
নিরাপত্তা সচেতনতা প্রশিক্ষণ কি নিরাপত্তা সম্মতিতে সাহায্য করে?
হ্যাঁ, নিরাপত্তা সচেতনতা প্রশিক্ষণ সম্মতিতে সাহায্য করতে পারে। এর কারণ হল অনেক কমপ্লায়েন্স স্ট্যান্ডার্ডের জন্য আপনাকে আপনার ডেটা এবং সিস্টেমকে আক্রমণ থেকে রক্ষা করার জন্য পদক্ষেপ নিতে হবে। এর বিপদ সম্পর্কে সচেতন হওয়ার মাধ্যমে সাইবার হামলা, আপনি তাদের থেকে আপনার প্রতিষ্ঠানকে রক্ষা করার জন্য পদক্ষেপ নিতে পারেন।
আমার প্রতিষ্ঠানে নিরাপত্তা সচেতনতা প্রশিক্ষণ বাস্তবায়নের কিছু উপায় কী কী?
আপনার প্রতিষ্ঠানে নিরাপত্তা সচেতনতা প্রশিক্ষণ বাস্তবায়নের অনেক উপায় আছে। একটি উপায় হল একটি তৃতীয় পক্ষের পরিষেবা প্রদানকারী ব্যবহার করা যা নিরাপত্তা সচেতনতা প্রশিক্ষণ প্রদান করে। আরেকটি উপায় হল আপনার নিজস্ব নিরাপত্তা সচেতনতা প্রশিক্ষণ প্রোগ্রাম তৈরি করা।
এটা সুস্পষ্ট হতে পারে, কিন্তু আপনার ডেভেলপারদেরকে অ্যাপ্লিকেশান নিরাপত্তার সর্বোত্তম অনুশীলনের প্রশিক্ষণ দেওয়া শুরু করার সেরা জায়গাগুলির মধ্যে একটি। নিশ্চিত করুন যে তারা কীভাবে সঠিকভাবে কোড, ডিজাইন এবং অ্যাপ্লিকেশন পরীক্ষা করতে জানে। এটি আপনার অ্যাপ্লিকেশনে দুর্বলতার সংখ্যা কমাতে সাহায্য করবে। অ্যাপসেক প্রশিক্ষণ প্রকল্পগুলি সম্পূর্ণ করার গতিকেও উন্নত করবে।
আপনি সামাজিক প্রকৌশল এবং মত বিষয়ের উপর প্রশিক্ষণ প্রদান করা উচিত ফিশিং আক্রমণ এগুলি সাধারণ উপায় যা আক্রমণকারীরা সিস্টেম এবং ডেটাতে অ্যাক্সেস লাভ করে। এই আক্রমণগুলি সম্পর্কে সচেতন হওয়ার মাধ্যমে, আপনার কর্মীরা নিজেদের এবং আপনার সংস্থাকে রক্ষা করার জন্য পদক্ষেপ নিতে পারে৷
নিরাপত্তা সচেতনতা প্রশিক্ষণ নিয়োজিত করা সম্মতিতে সাহায্য করতে পারে কারণ এটি আপনাকে আপনার কর্মীদের শিক্ষিত করতে সাহায্য করে কিভাবে আপনার ডেটা এবং সিস্টেমগুলিকে আক্রমণ থেকে রক্ষা করতে হয়।
ক্লাউডে একটি ফিশিং সিমুলেশন সার্ভার স্থাপন করুন
আপনার নিরাপত্তা সচেতনতা প্রশিক্ষণের কার্যকারিতা পরীক্ষা করার একটি উপায় হল ক্লাউডে একটি ফিশিং সিমুলেশন সার্ভার স্থাপন করা। এটি আপনাকে আপনার কর্মীদের সিমুলেটেড ফিশিং ইমেল পাঠাতে এবং তারা কীভাবে প্রতিক্রিয়া জানায় তা দেখতে অনুমতি দেবে।
আপনি যদি দেখেন যে আপনার কর্মীরা সিমুলেটেড ফিশিং আক্রমণের জন্য পড়ছে, তাহলে আপনি জানেন যে আপনাকে আরও প্রশিক্ষণ প্রদান করতে হবে। এটি আপনাকে সত্যিকারের ফিশিং আক্রমণের বিরুদ্ধে আপনার সংস্থাকে শক্ত করতে সাহায্য করবে৷
ক্লাউডে যোগাযোগের সমস্ত পদ্ধতি সুরক্ষিত করুন
ক্লাউডে আপনার নিরাপত্তা উন্নত করার আরেকটি উপায় হল যোগাযোগের সমস্ত পদ্ধতি সুরক্ষিত করা। এর মধ্যে ইমেল, তাত্ক্ষণিক বার্তাপ্রেরণ এবং ফাইল ভাগ করে নেওয়ার মতো জিনিসগুলি অন্তর্ভুক্ত রয়েছে৷
ডেটা এনক্রিপ্ট করা, ডিজিটাল স্বাক্ষর ব্যবহার করা এবং ফায়ারওয়াল স্থাপন করা সহ এই যোগাযোগগুলিকে সুরক্ষিত করার অনেক উপায় রয়েছে। এই পদক্ষেপগুলি গ্রহণ করে, আপনি আক্রমণ থেকে আপনার ডেটা এবং সিস্টেমগুলিকে রক্ষা করতে সহায়তা করতে পারেন৷
যোগাযোগ জড়িত যে কোনো ক্লাউড উদাহরণ ব্যবহারের জন্য কঠোর করা উচিত.
নিরাপত্তা সচেতনতা প্রশিক্ষণের জন্য একটি তৃতীয় পক্ষ ব্যবহার করার সুবিধা:
- আপনি প্রশিক্ষণ প্রোগ্রামের বিকাশ এবং বিতরণ আউটসোর্স করতে পারেন।
- প্রদানকারীর বিশেষজ্ঞদের একটি দল থাকবে যারা আপনার প্রতিষ্ঠানের জন্য সম্ভাব্য সর্বোত্তম প্রশিক্ষণ প্রোগ্রাম তৈরি করতে এবং সরবরাহ করতে পারে।
- প্রদানকারী সর্বশেষ সম্মতি প্রয়োজনীয়তা সম্পর্কে আপ টু ডেট থাকবে।
নিরাপত্তা সচেতনতা প্রশিক্ষণের জন্য একটি তৃতীয় পক্ষ ব্যবহার করার অসুবিধা:
- তৃতীয় পক্ষ ব্যবহার করার খরচ বেশি হতে পারে।
- আপনাকে আপনার কর্মীদের প্রশিক্ষণ দিতে হবে কিভাবে প্রশিক্ষণ প্রোগ্রাম ব্যবহার করতে হয়।
- প্রদানকারী আপনার প্রতিষ্ঠানের নির্দিষ্ট চাহিদা মেটাতে প্রশিক্ষণ প্রোগ্রাম কাস্টমাইজ করতে সক্ষম নাও হতে পারে।
আপনার নিজস্ব নিরাপত্তা সচেতনতা প্রশিক্ষণ প্রোগ্রাম বিকাশের সুবিধা:
- আপনি আপনার প্রতিষ্ঠানের নির্দিষ্ট চাহিদা মেটাতে প্রশিক্ষণ প্রোগ্রাম কাস্টমাইজ করতে পারেন।
- প্রশিক্ষণ প্রোগ্রামের বিকাশ এবং বিতরণের খরচ তৃতীয় পক্ষের প্রদানকারী ব্যবহার করার চেয়ে কম হবে।
- আপনার প্রশিক্ষণ প্রোগ্রামের বিষয়বস্তুর উপর আরও নিয়ন্ত্রণ থাকবে।
আপনার নিজস্ব নিরাপত্তা সচেতনতা প্রশিক্ষণ প্রোগ্রাম বিকাশের অসুবিধা:
- প্রশিক্ষণ কর্মসূচির বিকাশ এবং বিতরণ করতে সময় এবং সংস্থান লাগবে।
- আপনার কর্মীদের উপর বিশেষজ্ঞ থাকতে হবে যারা প্রশিক্ষণ প্রোগ্রামটি বিকাশ করতে এবং সরবরাহ করতে পারে।
- প্রোগ্রামটি সাম্প্রতিক সম্মতির প্রয়োজনীয়তাগুলির উপর আপ টু ডেট নাও হতে পারে৷
