এই বিভাগে আমরা বিস্তারিত আলোচনা করব কিভাবে আপনার প্রতিষ্ঠানকে একটি সফল দুর্বলতা প্রকাশ প্রোগ্রাম চালু ও চালানোর জন্য প্রস্তুত করা যায়, যার মধ্যে আপনার চিহ্নিত ফাঁকগুলি কীভাবে পূরণ করা যায় তার ব্যবহারিক পরামর্শ সহ।
বাগ খোঁজা
বাইরের নিরাপত্তা গবেষকদের সাথে আপনার বিদ্যমান নিরাপত্তা প্রোগ্রাম বাড়ানো জটিল সমস্যা এবং অস্পষ্ট দুর্বলতা খুঁজে বের করার একটি দুর্দান্ত উপায়। যাইহোক, ভিডিপি ব্যবহার করে মৌলিক নিরাপত্তা সমস্যা খুঁজে বের করা যা অভ্যন্তরীণভাবে আবিষ্কৃত হতে পারে সম্পদের অপচয়।
সম্পদ ব্যবস্থাপনা
যখন বাগ খুঁজে বের করার কথা আসে, তখন কোথা থেকে শুরু করতে হবে তা জানার একমাত্র উপায় হল সেখানে কী আছে সে সম্পর্কে আপনার ভাল ধারণা থাকলে। আপনি একশত নিরাপত্তা সরঞ্জাম কিনতে পারেন, কিন্তু যদি দলগুলি আপনার অজান্তেই অ্যাপ্লিকেশন, সিস্টেম এবং পরিষেবাগুলিকে অ্যাডহক করে, বিশেষ করে যদি আপনার কাছে এইগুলির বিরুদ্ধে সুরক্ষা মূল্যায়ন আবিষ্কার করার এবং সম্পাদন করার উপায় না থাকে তবে এটি কোনও পার্থক্য করবে না সম্পদ নতুন অ্যাপ্লিকেশান, সিস্টেম এবং পরিষেবাগুলি দাঁড় করাতে সাহায্য করার জন্য দায়ী ব্যক্তি এবং দলগুলির সাথে পরীক্ষা করে দেখুন যে তাদের কাছে কী তৈরি হচ্ছে এবং কে এটির মালিক তার একটি তালিকা তৈরি এবং বজায় রাখার জন্য একটি প্রক্রিয়া আছে কিনা। যদি একটি বর্তমান প্রক্রিয়া না থাকে, তাহলে এই দলগুলির সাথে একটি তৈরি করার জন্য এটি একটি দুর্দান্ত সুযোগ। আপনার আক্রমণের সারফেস শনাক্ত করার সময় শুরু করার জন্য আপনার প্রতিষ্ঠানের সম্পদ সম্পর্কে বোধগম্যতা অর্জন করা সবচেয়ে ভালো জায়গা। এই প্রক্রিয়ার অংশ হিসাবে, নিরাপত্তা দলকে নিরাপত্তা পর্যালোচনা প্রদানের জন্য নতুন অবকাঠামো বাস্তবায়নের উন্নয়নে জড়িত করা উচিত। সম্পদ এবং মালিকদের একটি বিস্তৃত ইনভেন্টরি থাকা ভাল অভ্যাস। নতুন প্যাচ প্রয়োগ করার সময় এই ধরনের ইনভেন্টরি কার্যকর হয় যার জন্য নির্দিষ্ট সিস্টেমগুলিকে সাময়িকভাবে বন্ধ করতে হবে। এটি ব্যক্তি বা দলগুলির একটি রোড ম্যাপ প্রদান করে যেগুলিকে জানাতে হবে এবং কোন সিস্টেমগুলি প্রভাবিত হয়৷ একটি শক্তিশালী সম্পদ ব্যবস্থাপনা প্রক্রিয়া থাকা নিশ্চিত করে যে প্রক্রিয়ার আগে মালিকদের চিহ্নিত করা হয়েছে, নিয়মিত আপডেট করা হয়েছে, এবং যে সমস্ত প্রতিষ্ঠানের সমস্ত সিস্টেম উদ্দেশ্য অনুযায়ী কাজ করে।
প্রোঅ্যাকটিভ অ্যাসেট ম্যানেজমেন্টের পাশাপাশি, আপনার প্রতিষ্ঠানের অন্তর্গত, কিন্তু আপনার স্ট্যান্ডার্ডাইজড অ্যাসেট ম্যানেজমেন্ট প্রসেসের ফাটল ধরে স্খলিত সম্পদ শনাক্ত করার জন্য আপনি কোন প্রতিক্রিয়াশীল পদক্ষেপগুলি প্রয়োগ করতে পারেন তা বিবেচনা করুন। এর মধ্যে নিরাপত্তা গবেষকদের দ্বারা ব্যবহৃত একই "পুনর্বীক্ষণ" প্রক্রিয়াগুলি ব্যবহার করা অন্তর্ভুক্ত থাকতে পারে যা VDP এবং বাগ বাউন্টি প্রোগ্রামগুলিতে অংশগ্রহণ করে৷ উদাহরণস্বরূপ, আপনি বিনামূল্যে এবং ওপেন সোর্স টুলগুলি ব্যবহার করতে পারেন যা আপনার সংস্থার অন্তর্গত হতে পারে এমন ইন্টারনেট-মুখী আইপি রেঞ্জ বা ডোমেনগুলিকে স্ক্যান এবং গণনা করে৷ বাগ বাউন্টি রিকনের জন্য একটি Google অনুসন্ধান বিভিন্ন টিপস এবং কৌশল তৈরি করবে যা আপনাকে আপনার সংস্থার সম্পদ সনাক্ত করতে সহায়তা করবে যা আপনি জানেন না।
মৌলিক দুর্বলতা স্ক্যানিং
এখন যেহেতু আপনার কাছে একটি দৃঢ় ভিত্তি রয়েছে যেখানে আপনাকে নিরাপত্তা সংক্রান্ত সমস্যাগুলি খুঁজে বের করতে হবে, আসুন আপনি আসলে কীভাবে এটি করবেন তা দেখুন। আপনার সংস্থার সংস্থানগুলির উপর নির্ভর করে আপনি বিভিন্ন স্তরের গভীরতার মধ্যে যেতে পারেন তবে আপনার অভ্যন্তরীণ নিরাপত্তা প্রচেষ্টা এবং আপনার দুর্বলতা প্রকাশ প্রোগ্রামের মাধ্যমে বহিরাগত হ্যাকিং সম্প্রদায়ের মধ্যে একটি ভারসাম্য খুঁজে বের করতে হবে। উপলব্ধ সংস্থানগুলির উপর নির্ভর করে এই ভারসাম্য প্রতিটি সংস্থার জন্য আলাদা।
আপনার সরঞ্জাম চয়ন করুন
দুর্বলতা সনাক্ত করতে সাহায্য করার জন্য অনেকগুলি বিভিন্ন সরঞ্জাম রয়েছে৷ কিছু দুর্বলতা স্ক্যানিং সরঞ্জাম বিনামূল্যে পাওয়া যায়, অন্যগুলি একটি খরচে আসে। কোন সরঞ্জামগুলি বেছে নেবেন তা নির্ধারণ করা আপনার ব্যক্তিগত প্রয়োজনের উপর নির্ভর করে।
- আপনার প্রতিষ্ঠানের প্রয়োজনীয়তা
- প্রতিটি সরঞ্জাম এই প্রয়োজনীয়তাগুলিকে কতটা ভালভাবে পূরণ করে
- যদি সরঞ্জামের সুবিধাগুলি খরচের চেয়ে বেশি হয় (আর্থিক এবং বাস্তবায়ন)।
আপনি এই প্রয়োজনীয়তা টেমপ্লেটটি ব্যবহার করতে পারেন ( OpenDocument .ods , Microsoft Excel .xlsx ) আপনার প্রয়োজনীয়তার বিপরীতে বিভিন্ন সরঞ্জাম মূল্যায়ন করতে। কিছু উদাহরণের প্রয়োজনীয়তা টেমপ্লেটে অন্তর্ভুক্ত করা হয়েছে, তবে আপনার নিরাপত্তা, আইটি, এবং ইঞ্জিনিয়ারিং টিমের সাথে প্রয়োজনীয় ক্ষমতাগুলি সারিবদ্ধ করার জন্য আলোচনা করা উচিত। একটি দুর্বলতা প্রকাশের প্রোগ্রাম চালু করার আগে, ন্যূনতমভাবে, আপনি যেকোন বাহ্যিকভাবে সম্মুখীন সম্পদের (যেমন ওয়েবসাইট, API, মোবাইল অ্যাপ) বিরুদ্ধে দুর্বলতা স্ক্যান করতে সক্ষম হতে চাইবেন। আপনি এই সম্পদ এবং পরিষেবাগুলির বিরুদ্ধে পরীক্ষা করার জন্য বহিরাগত নিরাপত্তা গবেষকদের আমন্ত্রণ জানানোর আগে এটি আপনাকে সহজেই আবিষ্কারযোগ্য দুর্বলতাগুলি খুঁজে পেতে এবং ঠিক করতে সহায়তা করবে৷
স্ক্যানিং সেটআপ
স্বয়ংক্রিয় দুর্বলতা স্ক্যানগুলি অনেক সমস্যা খুঁজে পেতে পারে, কিন্তু তারা মিথ্যা ইতিবাচকও তৈরি করতে পারে। এই কারণেই ফলাফলগুলিকে প্রভাবিত দলের সাথে ভাগ করে নেওয়ার আগে যাচাই করার জন্য সম্পদ থাকা প্রয়োজন। স্ক্যানগুলি নিয়মিতভাবে চালানো হয় তা নিশ্চিত করার জন্য আপনাকে প্রক্রিয়াগুলি বাস্তবায়ন করতে হবে এবং এই স্ক্যানগুলির ফলাফলগুলি প্রকৃতপক্ষে সমাধান করা হয়েছে। এটি প্রতিটি সংস্থার জন্য আলাদা দেখাবে, তবে সর্বনিম্নভাবে, আপনি নির্ধারণ করতে চাইবেন:
- স্ক্যান ফ্রিকোয়েন্সি
- একটানা
- সাপ্তাহিক
- মাসিক
- কোন সম্পদ স্ক্যান করা হচ্ছে
- শংসাপত্র
- প্রমাণীকৃত বনাম অননুমোদিত স্ক্যান
- (ইঙ্গিত: আপনি যদি শংসাপত্রের সাথে স্ক্যান না করেন, তাহলে আপনার VDP শুরু করার সময় একজন নিরাপত্তা গবেষক শংসাপত্রের সাথে পরীক্ষা করে, আপনি চিহ্নিত দুর্বলতার একটি বড় স্পাইক পেতে পারেন)
- ভূমিকা ও দায়িত্ব
- স্ক্যান চালানোর জন্য দায়ী দলের সদস্যদের চিহ্নিত করুন
- প্রয়োজনে একটি ঘূর্ণন সেট আপ করুন
- স্ক্যান ফলাফল
- স্ক্যান ফলাফল যাচাই করা হচ্ছে
- যাচাই করা দুর্বলতার জন্য বাগ ফাইল করা
- বাগ ঠিক করতে মালিকদের চিহ্নিত করা
- প্রতিকার মালিকদের সাথে অনুসরণ করা
আমরা এই নির্দেশিকাতে পরবর্তীতে বাগ ফিক্সিং বিভাগে চিহ্নিত সুরক্ষা সমস্যাগুলি কীভাবে ঠিক করা হয়েছে তা নিশ্চিত করতে আরও বিশদে যাব।
নিরাপত্তা পর্যালোচনা প্রক্রিয়া
যদিও দুর্বলতা স্ক্যানিং আপনার প্রতিষ্ঠানের নিরাপত্তা সমস্যাগুলিকে প্রতিক্রিয়াশীলভাবে শনাক্ত করার একটি দুর্দান্ত উপায়, নিরাপত্তা পর্যালোচনা প্রক্রিয়াগুলি প্রয়োগ করা দুর্বলতাগুলিকে প্রথম স্থানে প্রবর্তন করা থেকে প্রতিরোধ করতে সাহায্য করতে পারে৷ এই গাইডের উদ্দেশ্যে, নিরাপত্তা পর্যালোচনা শব্দটি এমন যেকোন পরিস্থিতিকে বোঝায় যা আপনার নিরাপত্তা দলের একজন সদস্যের ম্যানুয়াল পর্যালোচনাকে ট্রিগার করে। সাধারণত, এর মধ্যে কোনো পরিবর্তনকে খুব ঝুঁকিপূর্ণ বলে মনে করা হলে তা ব্লক করার ক্ষমতা থাকা অন্তর্ভুক্ত। যদি আপনার নিরাপত্তা দলের ঝুঁকিপূর্ণ পরিবর্তনগুলিকে ব্লক করার ক্ষমতা না থাকে, তাহলেও আপনি ঝুঁকি নথিভুক্ত করার জন্য প্রক্রিয়াগুলি রাখতে চাইবেন। এটি নিশ্চিত করতে সাহায্য করতে পারে যে যারা পরিবর্তনের জন্য চাপ দিচ্ছেন তারা জড়িত ঝুঁকি জানেন এবং সক্রিয়ভাবে সেই ঝুঁকি গ্রহণ করেন।
নিরাপত্তা পর্যালোচনার মানদণ্ড
নিরাপত্তা পর্যালোচনা কখন ঘটতে হবে? মানদণ্ডের একটি সেট তৈরি করা যা একটি নিরাপত্তা পর্যালোচনাকে ট্রিগার করে তা নিশ্চিত করতে সাহায্য করে যে সবাই একই পৃষ্ঠায় আছে। নীচে এমন কিছু পরিস্থিতির উদাহরণ দেওয়া হল যা নিরাপত্তা পর্যালোচনাকে ট্রিগার করতে পারে।
- সংবেদনশীল ব্যবহারকারীর ডেটা সম্পর্কিত নতুন কার্যকারিতা প্রস্তাব করা হয়েছে
- একটি নতুন বৈশিষ্ট্য যা ব্যবহারকারীদের মানচিত্রে তাদের অবস্থান শেয়ার করতে দেয়
- ব্যবহারকারীদের কাছ থেকে সম্ভাব্য সংবেদনশীল তথ্যের অনুরোধ করা, যেমন তাদের বাড়ির ঠিকানা, জন্ম তারিখ বা ফোন নম্বর
- বিদ্যমান কার্যকারিতা প্রধান আপডেট করা হয়
- বিদ্যমান ব্যবহারকারীর ডেটা নেওয়া এবং এটিকে একটি নতুন উপায়ে ব্যবহার করা যা ব্যবহারকারীদের অপ্ট আউট করার সুযোগ না দিয়ে আশা করতে পারে না
- প্রমাণীকরণ, অনুমোদন, এবং সেশন পরিচালনার সাথে সম্পর্কিত যেকোন বৈশিষ্ট্যের পরিবর্তন
- কোম্পানির উত্পাদন পরিবেশ পরিবর্তন
- নেটওয়ার্ক কনফিগারেশন পরিবর্তন, বিশেষ করে পরিবর্তন যা বাহ্যিকভাবে পরিষেবাগুলিকে প্রকাশ করতে পারে
- নতুন সফ্টওয়্যার ইনস্টল করা যা সংবেদনশীল ব্যবহারকারীর ডেটা পরিচালনা করে, যা আপস করা হলে পরোক্ষভাবে সংবেদনশীল ব্যবহারকারীর ডেটা অ্যাক্সেস করতে ব্যবহার করা যেতে পারে
- নতুন সিস্টেম বা পরিষেবাগুলি দাঁড় করানো
- একটি নতুন বিক্রেতার সাথে ইন্টারঅ্যাক্ট করা বা বিদ্যমান বিক্রেতার সাথে আপনি কীভাবে কাজ করেন তা পরিবর্তন করা
- একটি নতুন বিক্রেতাকে অনবোর্ড করা যা সংবেদনশীল ব্যবহারকারীর ডেটা পরিচালনা করবে
- আপনি একটি বিদ্যমান বিক্রেতার সাথে কীভাবে কাজ করেন তার পরিবর্তন যার ফলে বিক্রেতা ব্যবহারকারীর সংবেদনশীল ডেটা পরিচালনা করে
এটি একটি সম্পূর্ণ তালিকা নয়, তবে এটি আপনাকে ভাবতে হবে যে কোন ধরণের পরিবর্তনগুলির জন্য একটি নিরাপত্তা পর্যালোচনা প্রয়োজন। নিরাপত্তা পর্যালোচনার প্রয়োজন কী এবং কী নেই তার মাপকাঠি আপনি সংজ্ঞায়িত করার সাথে সাথে, এটি নিশ্চিত করতে সংস্থার মূল স্টেকহোল্ডারদের সাথে কথা বলুন:
- স্টেকহোল্ডারদের মানদণ্ড পর্যালোচনা এবং প্রতিক্রিয়া প্রদান করার সুযোগ আছে
- স্টেকহোল্ডাররা মানদণ্ডে সম্মত হন
- স্টেকহোল্ডাররা সক্রিয়ভাবে নিরাপত্তা পর্যালোচনার অনুরোধ করতে সম্মত হন
এই মানদণ্ডটি নথিভুক্ত করুন, সেইসাথে কীভাবে একটি নিরাপত্তা পর্যালোচনার অনুরোধ করা যায় (উদাহরণস্বরূপ, নিরাপত্তা দল মনিটর করে একটি সারিতে একটি বাগ ফাইল করা) যাতে আপনার সংস্থার পক্ষে এই প্রক্রিয়াটি অনুসরণ করা যতটা সম্ভব সহজ হয়৷
নিরাপত্তা পর্যালোচনা রিসোর্সিং
স্বয়ংক্রিয় স্ক্যানের বিপরীতে, নিরাপত্তা পর্যালোচনাগুলি সম্পাদন করার জন্য আরও বেশি সম্পদ নিবিড় হতে পারে। প্রতিটি নিরাপত্তা টিমের অগণিত কাজ সম্পন্ন করার জন্য দিনে এত বেশি সময় থাকে, তাই আপনার মানদণ্ডের উপর ভিত্তি করে কতগুলি নিরাপত্তা পর্যালোচনা তৈরি হতে পারে তা অনুমান করতে হবে। আপনি যদি দেখেন যে আপনার দল অভিভূত এবং পিছিয়ে পড়েছে, যারা তাদের বৈশিষ্ট্যগুলি চালু করার জন্য অপেক্ষা করছে তারা নিরাপত্তা দলের প্রতি বিরক্ত হবে। এটি সংগঠনে একটি সাংস্কৃতিক পরিবর্তন ঘটাতে পারে যার ফলে নিরাপত্তা দলকে অংশীদারের পরিবর্তে ব্লকার হিসাবে দেখা হয়। নিরাপত্তা পর্যালোচনা প্রক্রিয়া কার্যকর না হলে, অনেক ব্যক্তি এবং দল এটি সম্পূর্ণভাবে বাইপাস করার চেষ্টা করবে। যদি সম্পদগুলি আঁটসাঁট হয়, তাহলে নিরাপত্তা পর্যালোচনার প্রয়োজনের জন্য আপনার মানদণ্ড শিথিল করার কথা বিবেচনা করুন এবং আরও কিছু অবশিষ্ট ঝুঁকি গ্রহণ করতে ইচ্ছুক হন। নিরাপত্তা পর্যালোচনা করার জন্য সম্পদের অভাবের কারণে ঘটনা ঘটলে, এটি আরও নিরাপত্তা সংস্থানগুলির প্রয়োজনকে সমর্থন করবে।
নিরাপত্তা পর্যালোচনা সঞ্চালন
কোন নিরাপত্তা পর্যালোচনাগুলি সম্পাদন করতে হবে এবং কীভাবে সেগুলি সম্পাদন করতে হবে সে বিষয়ে সিদ্ধান্ত নেওয়ার ক্ষেত্রে, আপনাকে টানতে একটি অগ্রাধিকারযুক্ত সারির প্রয়োজন হবে৷ আপনার প্রতিষ্ঠানের অন্যদের জন্য একটি প্রমিত উপায় তৈরি করুন যাতে আপনি যথাযথভাবে অগ্রাধিকার দেওয়ার জন্য যে কোনো তথ্যের সাথে নিরাপত্তা পর্যালোচনার অনুরোধ করেন। উদাহরণস্বরূপ, একটি প্রশ্নাবলী বিবেচনা করুন যাতে পরিবর্তনের প্রকৃতির মতো আইটেমগুলি অন্তর্ভুক্ত থাকে, যার মধ্যে পরিবর্তনের একটি সংক্ষিপ্ত সারাংশ এবং কোন ধরনের ব্যবহারকারীর ডেটা প্রভাবিত হতে পারে। আপনি এই প্রশ্নের উত্তরগুলির উপর ভিত্তি করে সম্ভাব্য নিরাপত্তা পর্যালোচনাগুলিকে উচ্চ, মাঝারি বা কম ঝুঁকির পরিবর্তনগুলিতে স্বয়ংক্রিয়ভাবে শ্রেণীবদ্ধ করতে পারেন। যদি একটি পরিবর্তন উচ্চ ঝুঁকিপূর্ণ হয়, তাহলে আপনাকে আরও গভীর নিরাপত্তা পর্যালোচনা প্রক্রিয়ার প্রয়োজন হতে পারে। যদি একটি পরিবর্তন কম ঝুঁকিপূর্ণ হয়, তাহলে আপনি প্রয়োজনীয় সংস্থানগুলি কমাতে এবং প্রক্রিয়াটিকে দ্রুততর করতে সাহায্য করার জন্য আরও হালকা নিরাপত্তা পর্যালোচনা প্রক্রিয়া বাস্তবায়ন করতে সক্ষম হতে পারেন, ব্যবসাকে আরও ভালভাবে সক্ষম করে৷ নিরাপত্তা পর্যালোচনা সারি পরিচালনা করার জন্য আপনার টিমের মধ্যে একটি ঘূর্ণন সেট আপ করার কথা বিবেচনা করুন, নিশ্চিত করুন যে নতুন নিরাপত্তা পর্যালোচনাগুলি আপনার দলের সদস্যদের দ্বারা নেওয়া হয়েছে এবং বিদ্যমান নিরাপত্তা পর্যালোচনাগুলির অগ্রগতি অনুসরণ করা হচ্ছে৷ নিরাপত্তা পর্যালোচনার প্রকৃত প্রক্রিয়া কি পরীক্ষা করা হচ্ছে তার উপর নির্ভর করে পরিবর্তিত হবে। উদাহরণস্বরূপ, আপনার মোবাইল অ্যাপে একটি নতুন বৈশিষ্ট্যের কোড পর্যালোচনা করতে এবং সম্ভাব্য দুর্বলতাগুলি সন্ধান করার জন্য একজন নিরাপত্তা প্রকৌশলীর প্রয়োজন হতে পারে। অ্যাক্সেস নিয়ন্ত্রণ যথাযথভাবে সেট আপ করা হয়েছে তা নিশ্চিত করার জন্য ইনস্টল করা নতুন সফ্টওয়্যার পর্যালোচনা করার প্রয়োজন হতে পারে। বাইরের বিক্রেতাদের সাথে কাজ করা একটি সম্পূর্ণ ভিন্ন প্রক্রিয়া উপস্থাপন করতে পারে। রেফারেন্সের জন্য, Google-এর ভেন্ডর সিকিউরিটি অ্যাসেসমেন্ট প্রশ্নাবলীর মাধ্যমে পড়ুন।
বাগ ফিক্সিং
বাগগুলি খুঁজে পাওয়া গুরুত্বপূর্ণ, কিন্তু সেই বাগগুলি ঠিক করার পরেই নিরাপত্তা উন্নত হয়৷ আপনার সংস্থার জন্য কী কী ঝুঁকি রয়েছে তা জানা ভাল, তবে সেই ঝুঁকিটিকে দক্ষতার সাথে মোকাবেলা করতে সক্ষম হওয়া আরও ভাল।
দুর্বলতা ব্যবস্থাপনা
দুর্বলতাগুলি বিভিন্ন সংস্থান থেকে আসে, যার মধ্যে রয়েছে অভ্যন্তরীণ প্রচেষ্টা (উদাহরণস্বরূপ, দুর্বলতা স্ক্যান এবং নিরাপত্তা পর্যালোচনা), তৃতীয় পক্ষের অনুপ্রবেশ পরীক্ষা এবং অডিট, এমনকি বহিরাগত নিরাপত্তা গবেষকরা যেগুলি আপনার VDP আনুষ্ঠানিকভাবে চালু হওয়ার আগে আপনাকে সহায়তা চ্যানেলের মাধ্যমে অবহিত করে। আপনার সংস্থার নতুন এবং বিদ্যমান দুর্বলতাগুলিকে সঠিক স্টেকহোল্ডারদের সাথে যোগাযোগ করা হয়েছে, সঠিকভাবে অগ্রাধিকার দেওয়া হয়েছে এবং সময়মত ঠিক করা হয়েছে তা নিশ্চিত করার জন্য একটি উপায় প্রয়োজন৷ আপনি যখন আপনার ভিডিপি চালু করবেন, তখন আপনার দুর্বলতা ব্যবস্থাপনার প্রক্রিয়াগুলিতে প্রবেশের জন্য দুর্বলতার একটি নতুন প্রবাহ থাকবে। এই দুর্বলতাগুলি পরিচালনা করার জন্য কঠিন প্রক্রিয়াগুলি থাকা আপনাকে প্রতিকারের দিকে অগ্রগতি ট্র্যাক করতে এবং আপডেটের জন্য বহিরাগত নিরাপত্তা গবেষকদের অনুরোধের প্রতিক্রিয়া জানাতে সহায়তা করে। একটি দুর্বলতাকে দ্রুত অগ্রাধিকার দিতে এবং প্রতিকারের টাইমলাইন সম্পর্কে VDP অংশগ্রহণকারীদের সাথে যোগাযোগ করতে সক্ষম হওয়া নিরাপত্তা গবেষক সম্প্রদায়ের সাথে সম্পৃক্ততা বাড়াবে, সেইসাথে আপনার প্রতিষ্ঠানের নিরাপত্তার সুনাম উন্নত করবে। নিম্নলিখিত বিভাগগুলি আপনার ভিডিপি চালু করার আগে আপনার দুর্বলতা ব্যবস্থাপনা প্রোগ্রামের বিভিন্ন দিকগুলির রূপরেখা দেয়।
তীব্রতার মান এবং প্রতিকারের সময়রেখা স্থাপন করুন
দুর্বলতার তীব্রতার চারপাশে একটি সাধারণ ভাষা তৈরি করা এবং প্রতিটি তীব্রতার সাথে যুক্ত আদর্শ প্রতিকারের সময়রেখা আপনার প্রতিষ্ঠানের সাথে মানক প্রত্যাশা সেট করা সহজ করে তোলে। যদি প্রতিটি দুর্বলতাকে জরুরী হিসাবে বিবেচনা করা হয়, আপনার সংস্থা তাদের সংস্থানগুলি নিঃশেষ করে দেবে এবং নিরাপত্তা দলের প্রতি বিরক্তি প্রকাশ করবে। যদি প্রতিটি দুর্বলতাকে কম অগ্রাধিকার হিসাবে বিবেচনা করা হয়, তবে দুর্বলতাগুলি কখনই স্থির হবে না এবং লঙ্ঘনের ঝুঁকি বাড়ে। প্রতিটি সংস্থার সীমিত সংস্থান রয়েছে, তাই আপনাকে একটি তীব্রতা র্যাঙ্কিং স্থাপন করতে হবে। এই র্যাঙ্কিং এমন মাপদণ্ড প্রদান করে যা আপনার সংস্থাকে বুঝতে সাহায্য করে যে একটি দুর্বলতা কোন তীব্রতার মধ্যে পড়ে এবং প্রতিটি তীব্রতার সাথে সম্পর্কিত প্রত্যাশিত প্রতিকারের সময়সীমা। তীব্রতা নির্দেশিকাগুলির একটি সেট খসড়া করুন এবং প্রতিক্রিয়ার জন্য আপনার সংস্থার মূল স্টেকহোল্ডারদের সাথে শেয়ার করুন। উদাহরণস্বরূপ, যদি ইঞ্জিনিয়ারিং আপনার তীব্রতার মান তৈরিতে জড়িত থাকে, তবে তারা সম্ভবত এই মানগুলিকে কিনে নেবে এবং একটি নির্দিষ্ট সময়সীমার মধ্যে একটি দুর্বলতা ঠিক করার সময় হলে সেগুলি মেনে চলবে। এই তীব্রতা নির্দেশিকাগুলি আপনার ব্যবসার জন্য নির্দিষ্ট কোন ঝুঁকিগুলির উপর নির্ভর করে পরিবর্তিত হতে পারে। আপনার সংস্থার জন্য কোন হুমকিগুলি সবচেয়ে বেশি এবং প্রভাবশালী তা চিন্তা করার জন্য আপনি একটি হুমকি মডেলিং অনুশীলন বিবেচনা করতে চাইতে পারেন এবং প্রতিটি তীব্রতা বিভাগে পড়ে এমন সমস্যার উদাহরণ অন্তর্ভুক্ত করুন। নীচে একটি আর্থিক সংস্থার জন্য তীব্রতার মান এবং প্রতিকারের সময়সীমার একটি উদাহরণ।
নির্দয়তা | বর্ণনা | প্রতিকারের সময়রেখা | উদাহরণ(গুলি) |
---|---|---|---|
সমালোচনামূলক | সমস্যাগুলি যেগুলি আমাদের ব্যবহারকারী বা আমাদের ব্যবসার জন্য একটি আসন্ন হুমকি তৈরি করে৷ | মালিক: দুর্বলতা নিশ্চিত করার জন্য একজন প্রাথমিক মালিককে 8 ঘন্টার মধ্যে চিহ্নিত করতে হবে৷ প্রয়োজন অনুযায়ী কল এবং পৃষ্ঠার সংস্থান, এমনকি সাধারণ ব্যবসায়িক সময়ের বাইরেও। সমাধান: সমস্যাটি নিজেই ঠিক করা উচিত, বা অন্তত ঝুঁকি কমানো উচিত, যত তাড়াতাড়ি সম্ভব, বা সর্বাধিক, তিন কার্যদিবসের মধ্যে। | সমস্ত ব্যবহারকারীর আর্থিক রেকর্ড সহ একটি উত্পাদন ডাটাবেসের আপস। একজন আক্রমণকারী ট্রেড সিক্রেট, যেমন আমাদের মালিকানাধীন বিনিয়োগ অ্যালগরিদমগুলিতে অ্যাক্সেস লাভ করে। একটি সক্রিয় ঘটনা যার মধ্যে একজন আক্রমণকারী আমাদের অভ্যন্তরীণ নেটওয়ার্ক বা সংবেদনশীল উৎপাদন ব্যবস্থায় অ্যাক্সেস লাভ করে। |
উচ্চ | সমস্যাগুলি, যদি শোষিত হয়, তাহলে উল্লেখযোগ্য ক্ষতি হতে পারে৷ | মালিক: একজন প্রাথমিক মালিককে এক ব্যবসায়িক দিনের মধ্যে সনাক্ত করা উচিত। ঠিক করুন: 10 ব্যবসায়িক দিনের মধ্যে (~2 সপ্তাহ)। | দুর্বলতা যা সংবেদনশীল ব্যবহারকারীর ডেটা বা কার্যকারিতা (যেমন ব্যবহারকারীর অন্য ব্যবহারকারীর কাছ থেকে তহবিল চুরি করার ক্ষমতা) অ্যাক্সেস করতে পারে। |
মধ্যম | যে সমস্যাগুলি শোষণ করা কঠিন বা সরাসরি ক্ষতির কারণ হয় না। | মালিক: একজন প্রাথমিক মালিককে পাঁচ কার্যদিবসের মধ্যে সনাক্ত করা উচিত। ঠিক করুন: 20-40 ব্যবসায়িক দিনের মধ্যে (~1-2 মাস)। | স্বয়ংক্রিয় স্ক্যানার দ্বারা চিহ্নিত যাচাইকৃত সমস্যাগুলি, যেমন পরিচিত শোষণ ছাড়া নিরাপত্তা আপডেটের জন্য প্যাচ। তথ্য প্রকাশের সমস্যা যা সম্ভবত আরও আক্রমণে সাহায্য করবে। রেট সীমিত সমস্যা যা সম্ভাব্য শোষণ করা যেতে পারে (যেমন একজন ব্যবহারকারীর জন্য ক্রমাগত পাসওয়ার্ড অনুমান করতে সক্ষম হওয়া)। |
কম | ন্যূনতম প্রভাব সঙ্গে সমস্যা; প্রাথমিকভাবে পরিচিত সমস্যা লগিং জন্য ব্যবহৃত. | একটি নির্দিষ্ট টাইমলাইনের মধ্যে একটি মালিক খোঁজার বা ঠিক করার জন্য কোন প্রয়োজনীয়তা নেই৷ | তথ্য প্রকাশ যা সম্ভাব্য ঝুঁকি উপস্থাপন করে না, কিন্তু যেখানে তথ্য বাহ্যিকভাবে অ্যাক্সেসযোগ্য হওয়ার প্রয়োজন নেই। |
গ্রুমিং বাগ
আমরা এখানে চুল কাটার বিষয়ে কথা বলছি না, আমরা বাগগুলি সঠিকভাবে ফর্ম্যাট করা হয়েছে তা নিশ্চিত করার বিষয়ে কথা বলছি যাতে সেগুলি সহজেই ঠিক করা যায়। পূর্ববর্তী টেবিলটি একটি নির্দেশিকা হিসাবে ব্যবহার করে, আপনার নিজস্ব তীব্রতার সংজ্ঞা স্থাপন করুন। এই সংজ্ঞাগুলি বাগগুলিকে বিভিন্ন তীব্রতায় শ্রেণীবদ্ধ করতে এবং মালিকদের সাথে যোগাযোগ করতে ব্যবহৃত হয়।
প্রতিটি দুর্বলতাকে একটি তীব্রতা নির্ধারণের উপরে, আপনাকে নিশ্চিত করতে হবে যে আপনার বাগগুলি একটি আদর্শ বিন্যাসে রয়েছে যা দলগুলিকে প্রক্রিয়া করা সহজ করে তোলে। দুর্বলতাগুলি বিভিন্ন ফর্ম্যাটে আপনার দুর্বলতা ব্যবস্থাপনা প্রক্রিয়াগুলিতে প্রবেশ করবে (যেমন স্বয়ংক্রিয় স্ক্যানার ফলাফল বা নিরাপত্তা পর্যালোচনা থেকে ম্যানুয়াল লেখা)। প্রতিটি দুর্বলতাকে একটি স্ট্যান্ডার্ড বিন্যাসে রূপান্তর করতে সময় নেওয়া গ্রহীতা দলের সমস্যাটি দ্রুত বুঝতে এবং সমাধান করতে সক্ষম হওয়ার সম্ভাবনা বাড়িয়ে তুলবে।
এই ফর্ম্যাট বা টেমপ্লেটটি আপনার প্রতিষ্ঠানের উপর নির্ভর করে এবং মালিকদের তাদের বরাদ্দ করা বাগগুলি ঠিক করতে সাহায্য করার জন্য কোন তথ্য সবচেয়ে প্রাসঙ্গিক, তার উপর নির্ভর করে পরিবর্তিত হতে পারে, তবে এখানে একটি উদাহরণ টেমপ্লেট রয়েছে যা আপনি ব্যবহার করতে পারেন৷ আপনি যখন গবেষকদের জন্য আপনার দুর্বলতা প্রকাশ প্রোগ্রাম জমা দেওয়ার ফর্ম তৈরি করবেন তখন আপনি এই টেমপ্লেটটি পুনরায় ব্যবহার করতে সক্ষম হবেন।
শিরোনাম: <সমস্যার এক লাইনের বিবরণ, সাধারণত দুর্বলতার ধরন এবং কোন সম্পদ/পরিষেবা/ইত্যাদি। আক্রান্ত; ঐচ্ছিকভাবে তীব্রতা অন্তর্ভুক্ত করুন, অথবা আপনার ইস্যু ট্র্যাকারে একটি ক্ষেত্রের তীব্রতা ম্যাপ করুন> সারাংশ: <অসুস্থতার সংক্ষিপ্ত বিবরণ এবং কেন এটি গুরুত্বপূর্ণ> পুনরুৎপাদন পদক্ষেপ: <দৃঢ়ভাবে ধাপে ধাপে নির্দেশাবলী কীভাবে দুর্বলতার অস্তিত্ব দেখাতে হয়> প্রভাব / আক্রমণের দৃশ্য: <কীভাবে এটি শোষণ করা হবে, এবং আপনার সংস্থার উপর কী প্রভাব ফেলবে?> প্রতিকারের পদক্ষেপ: <কীভাবে এই দুর্বলতা সরাসরি ঠিক করা যায়, বা এই সমস্যার সাথে যুক্ত ঝুঁকি কমাতে সাহায্য করার জন্য অন্য কোন পরামর্শ>এখানে সম্ভাব্য উচ্চ তীব্রতা দুর্বলতার একটি উদাহরণ:
শিরোনাম: [HIGH] প্রোফাইল পৃষ্ঠাগুলিতে অনিরাপদ প্রত্যক্ষ অবজেক্ট রেফারেন্স (IDOR) সারাংশ: আমাদের অ্যাপের প্রোফাইল পৃষ্ঠাগুলির কার্যকারিতাতে একটি IDOR আবিষ্কৃত হয়েছে যা যে কোনও ব্যবহারকারীকে অন্য ব্যবহারকারীর সম্পূর্ণ নাম সহ অন্য ব্যবহারকারীর প্রোফাইল দেখতে এবং সম্পাদনা করার অননুমোদিত অ্যাক্সেস পেতে দেয় , বাড়ির ঠিকানা, ফোন নম্বর, এবং জন্ম তারিখ। আমরা লগগুলি পর্যালোচনা করেছি এবং এই সমস্যাটি এখনও কাজে লাগানো হয়েছে বলে মনে হচ্ছে না৷ এই সমস্যাটি অভ্যন্তরীণভাবে আবিষ্কৃত হয়েছিল। প্রজনন পদক্ষেপ:
- একটি প্রক্সি সেট আপ করুন উদাহরণস্বরূপ, Burp Suite) অ্যাপ ইনস্টল থাকা মোবাইল ডিভাইসে ট্র্যাফিক বাধা দিতে।
- আপনার প্রোফাইল পৃষ্ঠায় যান এবং সংশ্লিষ্ট HTTP অনুরোধটি আটকান৷
- profileID=###### পরিবর্তন করুন profileID=000000 (এটি একটি পরীক্ষামূলক ব্যবহারকারী) এবং HTTP অনুরোধ বরাবর পাঠান।
- অ্যাপটি 000000 ব্যবহারকারীর প্রোফাইল দেখাবে এবং আপনি তাদের তথ্য দেখতে এবং সম্পাদনা করতে সক্ষম হবেন।
আক্রমণের দৃশ্য / প্রভাব: যেকোনো ব্যবহারকারী অন্য ব্যবহারকারীর প্রোফাইল দেখতে এবং সম্পাদনা করতে এই দুর্বলতা ব্যবহার করতে পারে। সবচেয়ে খারাপ পরিস্থিতিতে, একজন আক্রমণকারী আমাদের পুরো সিস্টেমে প্রতিটি ব্যবহারকারীর প্রোফাইল তথ্য পুনরুদ্ধার করার প্রক্রিয়াটিকে স্বয়ংক্রিয়ভাবে করতে পারে। যদিও আমরা বিশ্বাস করি না যে এটি এখনও শোষিত হয়েছে, এটি গুরুত্বপূর্ণ যে আমরা এটিকে একটি আদর্শ উচ্চ তীব্রতার সমস্যা হিসাবে বিবেচনা করি। যদি আমরা শোষণের প্রমাণ পর্যবেক্ষণ করি, তাহলে এটি গুরুতর তীব্রতায় বাড়তে পারে। প্রতিকারের পদক্ষেপ: সার্ভার-সাইড চেকগুলি প্রয়োগ করুন যাতে অনুরোধ করা ব্যবহারকারীর প্রোফাইল আইডির মানের মাধ্যমে অনুরোধ করা প্রোফাইলটি দেখতে/সম্পাদনা করার অ্যাক্সেস থাকতে হবে। উদাহরণস্বরূপ, যদি অ্যালিস লগ ইন করে থাকে এবং তার প্রোফাইলআইডি 123456 থাকে, কিন্তু অ্যালিস প্রোফাইলআইডি 333444 এর জন্য অনুরোধ করেছে বলে দেখা যায়, ব্যবহারকারী একটি ত্রুটি দেখতে পাবেন এবং অন্য ব্যবহারকারীর প্রোফাইল অ্যাক্সেস করার এই প্রচেষ্টাটি লগ করা উচিত। IDOR সম্পর্কে আরও তথ্যের জন্য এবং কীভাবে এটি ঠিক করা যায়, অনুগ্রহ করে এই বাগটিতে OWASP এর উপকরণগুলি দেখুন৷
আপনি বিভিন্ন উত্স থেকে আপনার মান বিন্যাসে রূপান্তরকারী দুর্বলতাগুলিকে স্বয়ংক্রিয়ভাবে রূপান্তর করার উপায়গুলি খুঁজে বের করে সময় এবং ম্যানুয়াল প্রচেষ্টা বাঁচাতে পারেন৷ আপনি আরও দুর্বলতা তৈরি করার সাথে সাথে আপনি প্রতিকারের পদক্ষেপগুলিতে সাধারণ থিমগুলি খুঁজে পেতে পারেন। আপনার জেনেরিক বাগ বিন্যাস টেমপ্লেটের বাইরে, আপনি সাধারণ দুর্বলতার প্রকারের জন্য অতিরিক্ত টেমপ্লেট তৈরি করতে চাইতে পারেন।
মালিকদের খোঁজা
সম্ভবত দুর্বলতা ব্যবস্থাপনার সবচেয়ে কঠিন দিকগুলির মধ্যে একটি হল বাগগুলি ঠিক করতে সাহায্য করার জন্য মালিকদের চিহ্নিত করা, সেইসাথে সময়সূচীতে প্রকৃতপক্ষে বাগগুলি ঠিক করার জন্য সংস্থানগুলি উত্সর্গ করার জন্য তাদের কেনাকাটা করা। আপনি যদি সম্পদ পরিচালনার প্রক্রিয়াগুলি সেট আপ করে থাকেন তবে এটি কিছুটা সহজ হবে৷ যদি না হয়, তাহলে এটি করতে অনুপ্রেরণা হিসেবে কাজ করতে পারে। আপনার প্রতিষ্ঠানের আকারের উপর নির্ভর করে, একজন মালিক খুঁজে পাওয়া মোটামুটি সহজ, বা অবিশ্বাস্যভাবে জটিল হতে পারে। আপনার সংস্থার বৃদ্ধির সাথে সাথে নতুন আবিষ্কৃত নিরাপত্তা সমস্যা সমাধানের জন্য কে দায়ী তা নির্ধারণ করার প্রচেষ্টাও বৃদ্ধি পায়। একটি অপারেশনাল অন-ডিউটি ঘূর্ণন বাস্তবায়ন বিবেচনা করুন। দায়িত্বে থাকা যে কেউ দায়িত্বহীন দুর্বলতাগুলি পর্যালোচনা করার, মালিকদের ট্র্যাক করার এবং তীব্রতার উপর ভিত্তি করে অগ্রাধিকার দেওয়ার জন্য দায়ী৷ এমনকি যদি আপনি একটি দুর্বলতা ঠিক করার জন্য দায়ী কে চিহ্নিত করতে সক্ষম হন এবং বাগটির জন্য তাদের অর্পণ করেন, তবে আপনাকে তাদের প্রকৃতপক্ষে এটি ঠিক করার জন্য সময় বিনিয়োগ করতে রাজি করাতে হবে। এই পদ্ধতিটি দল বা ব্যক্তির উপর ভিত্তি করে পরিবর্তিত হতে পারে এবং তারা কোন আইটেমগুলিতে কাজ করছে। আপনি যদি আপনার তীব্রতার মান এবং প্রতিকারের টাইমলাইনে সাংগঠনিক বাই-ইন অর্জন করে থাকেন তবে আপনি সেগুলি উল্লেখ করতে পারেন, তবে কখনও কখনও কাউকে একটি বাগ ঠিক করার জন্য অতিরিক্ত প্ররোচিত করতে হতে পারে। দুর্বলতা দূর করার জন্য ড্রাইভিং করার জন্য এখানে কিছু সাধারণ টিপস রয়েছে:
- কেন ব্যাখ্যা করুন : যখন কাউকে ঠিক করার জন্য একটি দুর্বলতা নিয়োগ করা হয়, তখন এটি সাধারণত অপ্রত্যাশিত কাজ। কেন এই সমস্যাটি সময়মত সমাধান করা গুরুত্বপূর্ণ তা ব্যাখ্যা করুন (যেমন প্রভাব/আক্রমণের দৃশ্য) এবং নিশ্চিত করুন যে মালিক বুঝতে পারে।
- প্রসঙ্গ সংগ্রহ করুন : কিছু ক্ষেত্রে, শুধুমাত্র একজন ব্যক্তির কাছে একটি বাগ ঠিক করার জন্য প্রয়োজনীয় জ্ঞান রয়েছে এবং তাদের অন্যান্য কাজ থাকতে পারে যেগুলি তারা কাজ করছে৷ এগুলি কী তা খুঁজে বের করার জন্য সময় নিন - এটি সম্ভব যে অন্যান্য কাজগুলি নিকট মেয়াদে এই দুর্বলতা ঠিক করার চেয়ে বেশি গুরুত্বপূর্ণ হতে পারে। প্রতিকারের টাইমলাইনে সহানুভূতি এবং নমনীয়তা প্রদর্শন করা সদিচ্ছা অর্জনে সহায়তা করবে এবং আপনার দুর্বলতাগুলি ঠিক করতে যাদের প্রয়োজন তাদের সাথে আপনার সম্পর্ককে শক্তিশালী করবে। শুধু সতর্কতা অবলম্বন করুন যাতে খুব বেশি সুযোগ না দেওয়া হয়, অন্যথায় আপনার সংস্থা আপনার প্রতিকারের সময়সীমাকে গুরুত্ব সহকারে নেবে না।
- কীভাবে ব্যাখ্যা করুন: এমনকি যদি আপনি বাগটিতে প্রতিকারের পরামর্শ অন্তর্ভুক্ত করেন, সমস্যাটি সমাধান করার মালিক বিভ্রান্ত হতে পারেন বা কীভাবে বাগটি ঠিক করতে হয় তা শিখতে সাহায্যের প্রয়োজন হতে পারে। কীভাবে এটি ঠিক করা যায় তা খুঁজে বের করার জন্য তাদের সাহায্যের প্রয়োজন হলে, তাদের শেখাতে সাহায্য করুন। মালিকদের সাহায্য না করে শুধু বাগ নিক্ষেপ করা নিরাপত্তা দলের সাথে প্রতিষ্ঠানের সম্পর্ককে ক্ষতিগ্রস্ত করবে। অন্যদের যতটা সম্ভব সাহায্য করা তাদের বর্তমান এবং ভবিষ্যতের দুর্বলতাগুলি ঠিক করতে, সেইসাথে অন্যদের শেখাতে সাহায্য করার ক্ষমতা দেবে।
- আপনার অনুরোধ মানিয়ে নিন : বিভিন্ন দল এবং ব্যক্তির কাছে বিদ্যমান প্রক্রিয়া থাকতে পারে যে তারা কীভাবে আগত কাজের অনুরোধগুলি গ্রহণ করে এবং অগ্রাধিকার দেয়। কিছু দল সব আগত অনুরোধ তাদের পরিচালকদের মাধ্যমে আসতে চাইতে পারে। অন্যরা সাহায্যের জন্য অনুরোধগুলি একটি আদর্শ বিন্যাসে জমা দিতে চাইবে। কিছু শুধুমাত্র একটি স্প্রিন্ট মধ্যে পূর্বনির্ধারিত করা হয়েছে কি কাজ করবে. যাই হোক না কেন, দল বা ব্যক্তি সাধারণত সাহায্যের জন্য অনুরোধ গ্রহণের জন্য যে বিন্যাসটি ব্যবহার করে তার সাথে মানিয়ে নেওয়ার জন্য আপনার অনুরোধকে মানিয়ে নিতে কিছু অতিরিক্ত সময় নিলে আপনার অনুরোধকে অগ্রাধিকার দেওয়া এবং পদক্ষেপ নেওয়ার সম্ভাবনা বৃদ্ধি পাবে।
- একটি শেষ অবলম্বন হিসাবে এগিয়ে যান : আপনি যদি উপরের সমস্ত চেষ্টা করে থাকেন, এবং একটি দুর্বলতা ঠিক করার জন্য দায়ী ব্যক্তি বা দল একটি গুরুতর নিরাপত্তা সমস্যা সমাধান করতে সময় নেয় না, প্রয়োজন অনুযায়ী নেতৃত্বের দিকে এগিয়ে যাওয়ার কথা বিবেচনা করুন। এটি সর্বদা একটি শেষ অবলম্বন হওয়া উচিত, কারণ এটি প্রশ্নবিদ্ধ ব্যক্তি বা দলের সাথে আপনার সম্পর্কের ক্ষতি করতে পারে।
মূল কারণ বিশ্লেষণ
পৃথক দুর্বলতাগুলি খুঁজে বের করা এবং ঠিক করার পাশাপাশি, মূল কারণ বিশ্লেষণ (RCA) করা আপনাকে সিস্টেমিক নিরাপত্তা সমস্যাগুলি সনাক্ত করতে এবং সমাধান করতে সহায়তা করতে পারে। প্রত্যেকেরই সীমিত সংস্থান রয়েছে, তাই এই পদক্ষেপটি এড়িয়ে যেতে লোভনীয়। যাইহোক, আপনার দুর্বলতা ডেটার প্রবণতা বিশ্লেষণে, সেইসাথে জটিল এবং উচ্চ তীব্রতার বাগগুলি আরও দেখার জন্য সময় বিনিয়োগ করা সময় বাঁচাতে এবং দীর্ঘমেয়াদে ঝুঁকি কমাতে পারে। একটি উদাহরণ হিসাবে, ধরা যাক আপনি একই ধরনের দুর্বলতা লক্ষ্য করেছেন (উদাহরণস্বরূপ, অভিপ্রায় পুনর্নির্দেশ ) আপনার অ্যাপ জুড়ে বারবার প্রদর্শিত হচ্ছে। আপনি সেই দলগুলির সাথে কথা বলার সিদ্ধান্ত নেন যেগুলি আপনার অ্যাপে এই দুর্বলতা প্রবর্তন করছে, এবং বুঝতে পারছেন যে তাদের অধিকাংশই বুঝতে পারে না উদ্দেশ্য পুনঃনির্দেশ কী, কেন এটি গুরুত্বপূর্ণ বা কীভাবে এটি প্রতিরোধ করা যায়৷ আপনি এই দুর্বলতা সম্পর্কে আপনার সংস্থার বিকাশকারীদের শিক্ষিত করতে সাহায্য করার জন্য একটি আলোচনা এবং একটি নির্দেশিকা একত্রিত করেছেন। এই দুর্বলতা সম্ভবত সম্পূর্ণরূপে অদৃশ্য হবে না, তবে যে হারে এটি প্রদর্শিত হবে তা হ্রাস পাবে। আপনি যখন আপনার ভিডিপি চালু করেন, তৃতীয় পক্ষের দ্বারা আপনাকে রিপোর্ট করা প্রতিটি দুর্বলতা এমন একটি বিষয় যা আপনার বিদ্যমান অভ্যন্তরীণ নিরাপত্তা প্রক্রিয়ার মাধ্যমে স্খলিত হয়। আপনার VDP থেকে বাগগুলির উপর RCA সম্পাদন করা আপনার সুরক্ষা প্রোগ্রামকে কীভাবে পদ্ধতিগতভাবে উন্নত করা যায় সে সম্পর্কে আরও অন্তর্দৃষ্টি প্রদান করবে।
সনাক্তকরণ এবং প্রতিক্রিয়া
সনাক্তকরণ এবং প্রতিক্রিয়া বলতে আপনার প্রতিষ্ঠানের বিরুদ্ধে সম্ভাব্য আক্রমণ সনাক্ত করতে এবং প্রতিক্রিয়া জানাতে আপনার কাছে থাকা যেকোনো টুলিং এবং প্রক্রিয়াকে বোঝায়। এটি কেনা বা স্ব-উন্নত সমাধানের আকারে আসতে পারে যা সন্দেহজনক আচরণ সনাক্ত করতে ডেটা বিশ্লেষণ করে। উদাহরণ স্বরূপ, গ্রুমিং বাগস বিভাগে আমরা যখনই একজন ব্যবহারকারী অন্য ব্যবহারকারীর প্রোফাইলে অননুমোদিত অ্যাক্সেস পাওয়ার চেষ্টা করে তখন লগ ইন করার কথা বলেছি। আপনার কাছে একটি সংকেত বা সতর্কতা তৈরি হতে পারে যদি আপনি লক্ষ্য করেন যে একজন ব্যবহারকারী অল্প সময়ের মধ্যে অন্য ব্যবহারকারীর প্রোফাইলগুলি অ্যাক্সেস করার জন্য বিপুল সংখ্যক ব্যর্থ প্রচেষ্টা তৈরি করছে। এমনকি আপনি সেই ব্যবহারকারীকে একটি নির্দিষ্ট সময়ের জন্য আপনার যেকোনো পরিষেবা অ্যাক্সেস করা থেকে বা অনির্দিষ্টকালের জন্য অবরোধ করার প্রক্রিয়াটিকে স্বয়ংক্রিয় করতে পারেন যতক্ষণ না পরিস্থিতি পর্যালোচনা করা যায় এবং ম্যানুয়ালি অ্যাক্সেস পুনরুদ্ধার করা যায়। যদি আপনার কাছে ইতিমধ্যে সনাক্তকরণ এবং প্রতিক্রিয়া প্রক্রিয়া না থাকে, তাহলে আপনার প্রতিষ্ঠানের জন্য কীভাবে একটি ডিজিটাল ফরেনসিক এবং ঘটনা প্রতিক্রিয়া (DFIR) প্রোগ্রাম তৈরি করা যায় সে সম্পর্কে আপনাকে গাইড করতে সাহায্য করার জন্য একজন বিশেষজ্ঞ পরামর্শদাতার সাথে কাজ করার কথা বিবেচনা করুন। যদি আপনার কাছে ইতিমধ্যেই সনাক্তকরণ এবং প্রতিক্রিয়ার ব্যবস্থা থাকে, তাহলে আপনি পাঁচ, দশ বা এমনকি একশত নিরাপত্তা গবেষকদের আপনার ইন্টারনেট-মুখী আক্রমণের সারফেসগুলির বিরুদ্ধে পরীক্ষা করার ফলাফলগুলি বিবেচনা করতে চাইবেন। এটি আপনার জায়গায় থাকা যেকোনো IDS/IPS (অনুপ্রবেশ সনাক্তকরণ এবং প্রতিরোধ ব্যবস্থা) এর উপর একটি বড় প্রভাব ফেলতে পারে।
সম্ভাব্য ঝুঁকি অন্তর্ভুক্ত:
- সতর্কতা ওভারলোড: সতর্কতা বা সংকেতের একটি বন্যা যা দেখতে দূষিত আক্রমণের মতো, কিন্তু আসলে স্বাভাবিক, আপনার ভিডিপিতে অংশগ্রহণকারী নিরাপত্তা গবেষকদের কাছ থেকে অনুমোদিত পরীক্ষা। এত বেশি শব্দ তৈরি হতে পারে যে বৈধ নিরাপত্তা পরীক্ষা থেকে প্রকৃত আক্রমণের পার্থক্য করা কঠিন হয়ে পড়ে।
- ঘটনার প্রতিক্রিয়া মিথ্যা অ্যালার্ম: আপনি যদি শনিবার সকাল 2:00 টায় সেই পৃষ্ঠার ব্যক্তিদের জায়গায় প্রসেস করে থাকেন, তাহলে তারা জেগে উঠতে এবং একটি সম্ভাব্য লঙ্ঘন তদন্ত করতে খুশি হবেন না যেটি আসলে শুধুমাত্র একজন নিরাপত্তা গবেষক বৈধ পরীক্ষা করছেন।
- নিরাপত্তা গবেষকদের অবরুদ্ধ করা: আপনার কাছে যদি আক্রমনাত্মক IPS (অনুপ্রবেশ প্রতিরোধ ব্যবস্থা) থাকে, তাহলে আপনি এমন একজন নিরাপত্তা গবেষকের IP ঠিকানা ব্লক করে দিতে পারেন যিনি স্ক্যান, ম্যানুয়াল পরীক্ষা ইত্যাদি চালানোর চেষ্টা করছেন দুর্বলতা শনাক্ত করতে এবং আপনার কাছে রিপোর্ট করতে। বিশেষ করে একটি ভিডিপির ক্ষেত্রে, যদি একজন নিরাপত্তা গবেষক পাঁচ মিনিট পরীক্ষার পর অবরুদ্ধ হন, তারা আগ্রহ হারিয়ে ফেলতে পারে এবং পরিবর্তে অন্য প্রতিষ্ঠানের প্রোগ্রামে মনোযোগ দিতে পারে। এর ফলে নিরাপত্তা গবেষকদের থেকে আপনার প্রোগ্রামে সম্পৃক্ততার সামগ্রিক অভাব হতে পারে, যা অনাবিষ্কৃত (এবং এইভাবে আপনার প্রতিষ্ঠানের কাছে অজানা) দুর্বলতার ঝুঁকি বাড়ায়। যদিও আপনি নিজের আইপিএসকে টোন করতে চান না, তবে গবেষকদের বিচ্ছিন্ন হওয়ার ঝুঁকি কমাতে আপনি নিতে পারেন এমন অন্যান্য ব্যবস্থা রয়েছে।
এই ঝুঁকিগুলিকে কীভাবে মোকাবেলা করা যায় তা মূলত নির্ভর করে বহিরাগত নিরাপত্তা গবেষকদের সাথে কাজ করার জন্য আপনি কী পদ্ধতি গ্রহণ করতে চান তার উপর। আপনি যদি আরও ব্ল্যাক বক্সের স্টাইল চান যা বাস্তব আক্রমণের অনুকরণ করে, তাহলে আপনি কিছুই করতে পারবেন না। এই ক্ষেত্রে, গবেষকের ট্র্যাফিক সতর্কতা তৈরি করবে এবং আপনার দল তদন্ত করতে এবং সেই অনুযায়ী প্রতিক্রিয়া জানাতে পদক্ষেপ নিতে পারে। এটি আপনার দলকে বাস্তব আক্রমণের মতো দেখায় তার প্রতিক্রিয়া জানাতে অনুশীলন করতে সাহায্য করবে, তবে নিরাপত্তা গবেষকদের সাথে জড়িততা হ্রাস করতে পারে, বিশেষ করে যদি তারা পরীক্ষা থেকে অবরুদ্ধ থাকে। বৈধ পরীক্ষার তদন্তে সময় ব্যয় করার সময় এটি একটি বাস্তব আক্রমণ অনুপস্থিত হতে পারে। আপনি যদি একটি ধূসর বক্স পদ্ধতির আরও বেশি চান, আপনি নিরাপত্তা গবেষকদের সাথে কাজ করার কথা বিবেচনা করতে পারেন যাতে তাদের পরীক্ষার ট্র্যাফিক কোনোভাবে স্ব-শনাক্ত করা যায়। এটি আপনাকে হোয়াইটলিস্ট করতে বা অন্যথায় তাদের পরীক্ষা এবং ফলস্বরূপ সতর্কতা থেকে ট্র্যাফিক ফিল্টার করতে সক্ষম করবে। আপনার দল অনুমোদিত পরীক্ষার থেকে বাস্তব আক্রমণগুলিকে আরও ভালভাবে আলাদা করতে সক্ষম হবে এবং গবেষকরা আপনার অনুপ্রবেশ প্রতিরোধ ব্যবস্থার দ্বারা বাধা না হয়ে আপনার দুর্বলতাগুলি খুঁজে পেতে এবং রিপোর্ট করার ক্ষমতা পাবে৷ কিছু সংস্থা নিরাপত্তা গবেষকদের একটি অনন্য শনাক্তকারীর জন্য আবেদন করার জন্য একটি ফর্ম জমা দিতে বলে যা গবেষক দ্বারা তৈরি করা অনুরোধে হেডারের সাথে সংযুক্ত করা যেতে পারে। এটি সংস্থাটিকে গবেষকের জন্য ট্রাফিককে সাদা তালিকাভুক্ত করতে সক্ষম করে, সেইসাথে গবেষক পরীক্ষার সম্মত সুযোগের বাইরে যেতে শুরু করে কিনা তা সনাক্ত করার ক্ষমতা। যদি এটি ঘটে, আপনি গবেষকের সাথে যোগাযোগ করতে পারেন এবং যতক্ষণ না আপনি একটি টেস্টিং প্ল্যানে একসাথে কাজ করতে পারেন ততক্ষণ পর্যন্ত তাদের থামাতে বলতে পারেন।