ব্লুব্লিড লিক আবার প্রমাণ করে, সমস্ত ক্লাউড পরিষেবা সরবরাহকারী নিরাপদ নয়

২৮ অক্টোবর ২০২২

লিখেছেন থ্যাগা বাসুদেবন - প্রোডাক্ট ম্যানেজমেন্টের ভিপি, Skyhigh Security

"ব্লুব্লিড" নামে অভিহিত, হুমকি বুদ্ধিমত্তা সরবরাহকারী এসওসিআরএডার দ্বারা আবিষ্কৃত একটি সাম্প্রতিক মাইক্রোসফ্ট লঙ্ঘন ভুল কনফিগার করা ক্লাউড স্টোরেজ বালতিগুলির ঝুঁকির উপর আলোকপাত করে এবং দেখায় যে সংস্থাগুলি সুরক্ষা আশ্বাসের জন্য দায়িত্ব প্রদান এবং গ্রহণের জন্য ক্লাউড পরিষেবা সরবরাহকারীদের (সিএসপি) উপর পুরোপুরি নির্ভর করতে পারে না। ভেরাইজন ২০২২ ডেটা ব্রিচ ইনভেস্টিগেশনস রিপোর্ট অনুসারে, ভুল কনফিগারেশন ত্রুটিগুলি লঙ্ঘনের একটি প্রচলিত কারণ হিসাবে অব্যাহত রয়েছে, যা দেখায় যে তারা গত বছরের লঙ্ঘনের 13% এর কারণ ছিল। যেহেতু ভুল কনফিগারেশনগুলি মানব ত্রুটির ফলস্বরূপ, তাই এটি ধরে নেওয়া উচিত যে কোনও সিএসপি সম্পূর্ণ নিরাপদ নয়।

কী হয়েছে

১৯ অক্টোবরের প্রতিক্রিয়ায় মাইক্রোসফট সিকিউরিটি রেসপন্স সেন্টার (এমএসআরসি) জানায়, "অনিচ্ছাকৃত ভুল কনফিগারেশন" রয়েছে যার ফলে গ্রাহকের ডেটায় "অপ্রমাণিত অ্যাক্সেসের সম্ভাবনা" রয়েছে, যাতে "নাম, ইমেল ঠিকানা, ইমেল সামগ্রী, কোম্পানির নাম এবং ফোন নম্বর রয়েছে এবং এতে গ্রাহক এবং মাইক্রোসফ্ট বা অনুমোদিত মাইক্রোসফ্ট অংশীদারের মধ্যে ব্যবসা সম্পর্কিত ফাইলগুলি সংযুক্ত থাকতে পারে। এমএসআরসি ক্ষতিগ্রস্থ সংস্থাগুলির সংখ্যা সম্পর্কে আর কোনও বিবরণ দেয়নি এবং দৃশ্যত এই ঘটনাটিকে হ্রাস করেছে।

এসওসিআরএডার অনুসারে, মূল পোস্টের পরের দিন ফলোআপে ১২৩টি দেশের দেড় লাখ কোম্পানির সংবেদনশীল ডেটা সম্বলিত ছয়টি বড় ক্লাউড বালতি লঙ্ঘন করা হয়েছিল। এই ভুল কনফিগার করা বালতিগুলির মধ্যে বৃহত্তমটিতে 111 টি দেশের 65,000 সংস্থার 2.4 টিবি ডেটা ছিল।

২০ অক্টোবর, সুপরিচিত সাইবার নিরাপত্তা গবেষক কেভিন বিউমন্ট রিপোর্ট করেছেন যে মাইক্রোসফ্ট বালতি গ্রেহ্যাট ওয়ারফেয়ারের মতো পরিষেবাগুলি কয়েক মাস ধরে সর্বজনীনভাবে সূচিবদ্ধ এবং পঠনযোগ্য ছিল। তিনি দাবি করেছেন যে এমএসআরসি-র আনুষ্ঠানিক বিবৃতি দেখায় যে "বাস্তব বিশ্বে সাইবার সিকিউরিটি কীভাবে কাজ করে সে সম্পর্কে কোনও ধারণা নেই" এবং নিয়ন্ত্রকদের অবহিত করতে এর স্পষ্ট ব্যর্থতা এবং গ্রাহকদের কী ডেটা নেওয়া হয়েছিল তা জানাতে অস্বীকার করার "একটি বড় বোতল প্রতিক্রিয়ার লক্ষণ" রয়েছে।

২১ অক্টোবর দ্য হ্যাকার নিউজের একটি নিবন্ধ রিপোর্ট করেছে: "এমন কোনও প্রমাণ নেই যে তথ্যটি প্রকাশের আগে হুমকিদাতাদের দ্বারা অনুপযুক্তভাবে অ্যাক্সেস করা হয়েছিল", তবে উল্লেখ করা হয়েছে যে এই জাতীয় ফাঁসগুলি দূষিত উদ্দেশ্যে কাজে লাগানো যেতে পারে।

কেন এটা গুরুত্বপূর্ণ

ফাঁস হওয়া ডেটার মধ্যে মাইক্রোসফটের গ্রাহক ও সম্ভাব্য গ্রাহকদের অবকাঠামো ও নেটওয়ার্ক কনফিগারেশন সম্পর্কে স্পর্শকাতর তথ্য থাকতে পারে। হ্যাকাররা আক্রান্ত প্রতিষ্ঠানের যে কোনও একটি অবকাঠামোতে দুর্বলতা খুঁজছেন তারা সম্ভবত এই ডেটাটিকে মূল্যবান বলে মনে করতে পারেন এবং তাদের নেটওয়ার্কগুলি কাজে লাগাতে এটি ব্যবহার করতে পারেন।

আপনি এটি সম্পর্কে কি করতে পারেন

সিএসপিগুলিতে আপনার সংস্থার আক্রমণের পৃষ্ঠ বাড়ানোর সম্ভাবনা রয়েছে তা স্বীকৃতি দিয়ে শুরু করুন। কে কীসের জন্য দায়ী তা বোঝার জন্য এবং প্রতিটি পক্ষের দায়িত্বগুলি স্পষ্ট করার জন্য আপনার সিএসপির সাথে আপনার পরিষেবা স্তরের চুক্তি (এসএলএ) সাবধানতার সাথে পর্যালোচনা করা উচিত। এটি সাধারণত একটি শেয়ার্ড রেসপনসিবিলিটি মডেলে বর্ণিত হয়, একটি সুরক্ষা এবং সম্মতি কাঠামো যা ক্লাউড পরিবেশের প্রতিটি দিকের জন্য সুরক্ষা দায়িত্বগুলি ভেঙে দেয়। এর মধ্যে রয়েছে হার্ডওয়্যার, অবকাঠামো, এন্ডপয়েন্ট, ডেটা, কনফিগারেশন, সেটিংস, অপারেটিং সিস্টেম, নেটওয়ার্ক নিয়ন্ত্রণ এবং অ্যাক্সেস অধিকার। বাস্তবে, সিএসপি এবং গ্রাহক উভয়ই নিরাপত্তা নিশ্চিত করার ক্ষেত্রে ভূমিকা পালন করে, তবে এমন কিছু সম্পদ রয়েছে যা এক পক্ষের সরাসরি নিয়ন্ত্রণ এবং সম্পূর্ণ দায়িত্ব রয়েছে, কারণ অন্য পক্ষের সেই সম্পদগুলির কোনও দৃশ্যমানতা থাকবে না। এই ভাগ করা সুরক্ষা মডেলটি জটিল তবে দক্ষতা, বর্ধিত সুরক্ষা এবং দক্ষতার সুবিধা সরবরাহ করে।

ক্লাউড পরিষেবা বিতরণ মডেলের উপর নির্ভর করে সুরক্ষা কার্য এবং ফাংশনগুলি পৃথক হবে: সফ্টওয়্যার-এ-এ-সার্ভিস (এসএএএস), প্ল্যাটফর্ম-এ-এ-সার্ভিস (পিএএএস), বা ইনফ্রাস্ট্রাকচার-এ-এ-সার্ভিস (আইএএএস)। যদিও আইএএএস এবং পাস পরিবেশগুলি গ্রাহকদের আরও বেশি পছন্দ এবং নমনীয়তা সরবরাহ করে, সঠিকভাবে কনফিগার না করা হলে তারা আরও বেশি সুরক্ষা ঝুঁকি উপস্থাপন করে।

ক্লাউড-নেটিভ: ইনফ্রাস্ট্রাকচার-এ-এ-সার্ভিস অ্যাডপশন অ্যান্ড রিস্ক রিপোর্ট অনুসারে, আইএএএস ভুল কনফিগারেশনের 99% নজরে আসে না।Security Service Edge(এসএসই) সুরক্ষা পেশাদারদের উত্পাদনে হুমকি হওয়ার আগে ঝুঁকিপূর্ণ কনফিগারেশনগুলি ধরতে সহায়তা করে। সুরক্ষা ঘটনা হওয়ার আগে সুরক্ষা অনুসন্ধানগুলি হাইলাইট করে, এসএসই নিয়ন্ত্রক কাঠামোর সাথে সম্মতি উন্নত করতে এবং অনুপযুক্ত সুরক্ষা নিয়ন্ত্রণের সাথে সম্পর্কিত ডেটা ক্ষতি, অপব্যবহার বা জরিমানার সম্ভাবনা হ্রাস করতে সহায়তা করতে পারে।

ব্লুব্লিড লিকের কী হবে তা সময়ই বলে দেবে। আপনি যদি এই জাতীয় লঙ্ঘন দ্বারা প্রভাবিত হওয়ার ঝুঁকি নিতে না চান তবে স্কাইহাই এরSecurity Service Edgeপ্রযুক্তি সাহায্য করতে পারে। এর অনন্য ডেটা-সচেতন সিএসপিএম ক্ষমতাগুলি গ্রাহকদের ভুল কনফিগারেশনগুলি সনাক্ত করতে এবং ডেটা ফাঁসের জন্য সবচেয়ে ঝুঁকিপূর্ণ সংবেদনশীল ডেটা ধারণকারী পাবলিক ক্লাউড অবকাঠামোতে সেই সমালোচনামূলক ক্ষেত্রগুলি নির্দেশ করতে সহায়তা করে।