মূল বিষয়বস্তুতে যান
ইন্টেলিজেন্স ডাইজেস্ট

এটি দেখার জন্য বিমান - অসুরক্ষিত সার্ভারগুলি জীবনকে ঝুঁকিতে ফেলতে পারে

কীভাবে একটি উন্মুক্ত অ্যামাজন এস 3 বালতি সংবেদনশীল বিমানবন্দরের ডেটা 3 টিবি মূল্যের প্রকাশ করেছে

৬ জুলাই ২০২২

রডম্যান রামেজানিয়ান - এন্টারপ্রাইজ ক্লাউড সিকিউরিটি অ্যাডভাইজার

একটি অসুরক্ষিত সার্ভার কলম্বিয়া এবং পেরু জুড়ে বিমানবন্দর কর্মীদের সংবেদনশীল তথ্য প্রকাশ করেছে। এডাব্লুএস এস 3 বালতিগুলিতে 2018 সালের প্রায় 3 টিবি ডেটা রয়েছে যা বিমানবন্দরের কর্মচারী রেকর্ড, আইডি কার্ডের ফটো এবং নাম, ফটো, পেশা এবং জাতীয় আইডি নম্বর সহ ব্যক্তিগতভাবে সনাক্তকরণযোগ্য তথ্য (পিআইআই) নিয়ে গঠিত।

বিমানবন্দরের সুরক্ষা ভ্রমণকারী এবং বিমানবন্দর কর্মীদের জীবন রক্ষা করে। যেমন, এই লঙ্ঘন, যা সেফটি ডিটেকটিভস দ্বারা আবিষ্কৃত হয়েছিল, বালতির সামগ্রীটি ভুল হাতে শেষ হলে সম্ভাব্য ধ্বংসাত্মক পরিণতির সাথে অত্যন্ত বিপজ্জনক। কলম্বিয়া, পেরু এবং বিশ্বজুড়ে, গেরিলা অপরাধী এবং সন্ত্রাসী সংগঠনগুলি এখন একটি গুরুতর হুমকি সৃষ্টি করে যদি তারা এই অসুরক্ষিত এডাব্লুএস এস 3 বালতিটি অ্যাক্সেস করে।

দুঃখজনকভাবে, এই ধরনের লঙ্ঘন এবং ঘটনাগুলি অভিনব বা অনন্য নয় কারণ সংস্থাগুলি মেঘে হোঁচট খায়।

সমস্যার একটি অংশ হ'ল অপ্রত্যাশিত গতি যার সাথে অনেক সংস্থা তাদের ক্লাউড গ্রহণ প্রক্রিয়া গ্রহণ করেছে, কোভিড -১৯ মহামারীর ফলে তাদের কর্মীদের দূরবর্তীভাবে কাজ করার ব্যবস্থা করার জন্য মরিয়া ঝাঁকুনিতে। প্রত্যাশিত হিসাবে, হুমকিদাতা এবং এপিটি গ্রুপগুলি এই সম্ভাবনাগুলি উপভোগ করে।

চিত্র 1. এডাব্লুএসে মোতায়েন করা অ-কমপ্লায়েন্ট আইএএএস সংস্থানগুলির সংখ্যা: Skyhigh Security.

কীভাবে ঘটল এই ভাঙন?

পাবলিক ক্লাউড ব্যবহার নিয়ন্ত্রণ করতে ব্যর্থ বেশিরভাগ সংস্থা অনুপযুক্তভাবে সংবেদনশীল ডেটা ভাগ করে নেবে। দুর্ভাগ্যক্রমে, এই জাতীয় সংবাদ শিরোনামগুলি একটি সহজ, তবে ক্ষতিকারক ভুল কনফিগারেশনের কারণে ডেটা লঙ্ঘনের উদাহরণগুলি হাইলাইট করে: একটি অসুরক্ষিত, উন্মুক্ত ক্লাউড স্টোরেজ পরিষেবা। পরিচয় পরিচালনা, অ্যাক্সেস অনুমতি, সুরক্ষিত কনফিগারেশন, ডেটা সুরক্ষা এবং আরও অনেক কিছুর চারপাশে জটিলতাগুলি ক্রমাগত দুর্বল ক্লাউড সুরক্ষা স্বাস্থ্যবিধি এবং শেষ পর্যন্ত ডেটা এক্সপোজারের ফলস্বরূপ।

কি করা যায়?

আদর্শভাবে, পড়া / লেখার অনুমতিগুলি শক্ত করা প্রথম এবং একমাত্র প্রতিক্রিয়া হতে পারে যা মনে আসে। বাস্তবে, এটি এর চেয়ে অনেক বেশি সময় নেবে; ক্লাউড স্টোরেজগুলি অ্যাক্সেস এবং অপব্যবহার করা যায় এমন বিস্তৃত শিষ্টাচারের জন্য ধন্যবাদ। Skyhigh Security এই চ্যালেঞ্জগুলি মোকাবেলা করে এবং অনেকগুলি ক্লাউড প্ল্যাটফর্মগুলিতে শক্ত সংহতকরণের জন্য ধন্যবাদ, বেশ কয়েকটি মৌলিক ক্ষমতা প্রয়োগ করে সম্পর্কিত ঝুঁকিগুলি হ্রাস করে।

র্যানসমওয়্যার আক্রমণ এবং অপরাধী অভিনেতাদের হাতে বিশ্বব্যাপী লঙ্ঘন অব্যাহত থাকায়, Skyhigh Securityএর ক্লাউড সিকিউরিটি ভঙ্গি ব্যবস্থাপনা, দুর্বলতা মূল্যায়ন, কনফিগারেশন অডিট এবং ডেটা সুরক্ষা ক্ষমতাগুলি মাল্টি-ক্লাউড পরিবেশ জুড়ে স্টোরেজ পরিচালনার সাথে সম্পর্কিত জটিলতাগুলি হ্রাস করার সময় ক্রমাগত সর্বোত্তম সুরক্ষা প্রয়োগ করে সংস্থাগুলিকে সহায়তা করে।

চিত্র 2. Skyhigh Security ক্লাউড পরিষেবাদির জন্য কনফিগারেশন অডিট (ফিল্টার করা ফলাফল)।

 

ব্যবহার Skyhigh Security?

রডম্যান রামেজানিয়ান

লেখক সম্পর্কে

রডম্যান রামেজানিয়ান

এন্টারপ্রাইজ ক্লাউড নিরাপত্তা উপদেষ্টা

11 বছরেরও বেশি বিস্তৃত সাইবার সিকিউরিটি শিল্পের অভিজ্ঞতার সাথে, রডম্যান রামেজানিয়ান একটি এন্টারপ্রাইজ ক্লাউড সিকিউরিটি অ্যাডভাইজার, প্রযুক্তিগত উপদেষ্টা, সক্রিয়করণ, সমাধান ডিজাইন এবং আর্কিটেকচারের জন্য দায়ী Skyhigh Security. এই ভূমিকায়, রডম্যান প্রাথমিকভাবে অস্ট্রেলিয়ান ফেডারেল সরকার, প্রতিরক্ষা এবং এন্টারপ্রাইজ সংস্থাগুলিতে মনোনিবেশ করে।

রডম্যান অ্যাডভারসারিয়াল থ্রেট ইন্টেলিজেন্স, সাইবার ক্রাইম, ডেটা প্রোটেকশন এবং ক্লাউড সিকিউরিটির ক্ষেত্রে বিশেষজ্ঞ। তিনি একজন অস্ট্রেলিয়ান সিগন্যাল ডিরেক্টরেট (এএসডি) -অনুমোদিত আইআরএপি মূল্যায়নকারী - বর্তমানে সিআইএসএসপি, সিসিএসপি, সিআইএসএ, সিডিপিএসই, মাইক্রোসফ্ট অ্যাজুরে এবং এমআইটিআরই এটিটি এবং সিটিআই সার্টিফিকেশন ধারণ করছেন।

স্পষ্টতই, রডম্যানের সহজ শর্তে জটিল বিষয়গুলি স্পষ্ট করার জন্য একটি দৃঢ় আবেগ রয়েছে, গড় ব্যক্তি এবং নতুন সুরক্ষা পেশাদারদের সাইবারসিকিউরিটি কী, কেন এবং কীভাবে বুঝতে সহায়তা করে।

অ্যাটাক হাইলাইটস

  • সুরক্ষা পরিষেবা সরবরাহকারী ~ 1.5 মিলিয়ন ফাইল (3TB) ধারণকারী AWS S3 বালতি ভুলভাবে কনফিগার করে
  • অসুরক্ষিত বালতি সর্বজনীনভাবে অ্যাক্সেসযোগ্য, উন্মুক্ত, অ্যাক্সেসের জন্য প্রমাণীকরণের প্রয়োজন ছিল না
  • ফাঁস হওয়া তথ্যের মধ্যে পিআইআইয়ের কর্মী এবং কলম্বিয়া ও পেরুর অন্তত চারটি বিমানবন্দরের স্পর্শকাতর কোম্পানির তথ্য রয়েছে
  • ডেটাতে এয়ারলাইন্স কর্মীদের ছবি, বিমান, জ্বালানী লাইন, জাতীয় পরিচয়পত্র, জিপিএস ম্যাপ স্থানাঙ্ক এবং লাগেজের ছবিও রয়েছে
  • বালতির মধ্যে থাকা অ্যান্ড্রয়েড মোবাইল অ্যাপ্লিকেশনগুলি, সুরক্ষা কর্মীদের দ্বারা ঘটনার প্রতিবেদন এবং ডেটা হ্যান্ডলিংয়ের ক্ষেত্রে সহায়তা করার জন্য ব্যবহৃত হয়
  • ফাঁস হওয়া বিমানবন্দরের ফটো আইডি কার্ডগুলি সন্ত্রাসী সংগঠন এবং অপরাধী গোষ্ঠীগুলির কাছ থেকে গুরুতর হুমকি উপস্থাপন করে