আপনার মেঘ সুরক্ষা কেন এটি কাটছে না এবং এটি সম্পর্কে কী করা উচিত

সানস ইনস্টিটিউটের 2019 ক্লাউড সিকিউরিটি জরিপটি প্রশংসনীয় (এটি পড়ার জন্য আপনাকে নিখরচায় সদস্যতার জন্য সাইন আপ করতে হবে)। ডেভ শ্যাকলফোর্ড লিখেছেন এপ্রিল 2019 এ, প্রতিবেদনে কিছু হতাশাব্যঞ্জক তথ্য ও পরিসংখ্যান বলা হয়েছে। উদাহরণস্বরূপ, কেউ ভাবেন যে, সাম্প্রতিক সমস্ত লঙ্ঘনের রিপোর্টের পরে, আমরা আমাদের মেঘের সংস্থানগুলি সুরক্ষায় আরও ভাল হতে চাই। তবে আমরা কেবল এটির পক্ষে এখনও খারাপ নই, বড় সমস্যা এমনকি প্রযুক্তিও নয়। এটি এখনও মানুষ। অ্যাকাউন্ট বা শংসাপত্র ছিনতাইয়ের সাথে শুরু করে এবং ক্লাউড পরিষেবা এবং সংস্থানসমূহের ভুল কনফিগারেশনের দুটি নম্বর কারণ, প্রতিবেদনের শীর্ষ ধরণের আক্রমণগুলির তালিকায় এর একটি স্পষ্ট ইঙ্গিত দেখা যাচ্ছে।

"ক্রেডেনশিয়াল হাইজ্যাকিং হ'ল একটি চেষ্টা করা এবং সত্যিকারের অ্যাক্সেস পদ্ধতি কারণ আপনি লোকদের উপর আক্রমণ চালাচ্ছেন, " ইনসাইটসাইট এন্টারপ্রাইজেস সিকিউরিটি কনসাল্টিং প্র্যাক্টিসের সিকিউরিটি কনসালটান প্র্যাকটিসের সিনিয়র ম্যানেজার মাইক স্প্রঞ্জার বলেছিলেন। "লোকেরা সর্বদা দুর্বল লিঙ্ক হবে কারণ এখান থেকেই আপনি প্রচুর socialতিহ্যবাহী সামাজিক প্রকৌশল সমস্যা যেমন হেল্প ডেস্কে কল করা, ফিশিং এবং বর্শার ফিশিংয়ের বিষয়টি পেতে পারেন।"

অবশ্যই, অনেকগুলি উপায়ে শংসাপত্রগুলি চুরি করা যায়, ফিশিং কেবল সর্বশেষতম এবং কিছু ক্ষেত্রে, যার সাথে মোকাবেলা করা সবচেয়ে কঠিন। তবে শংসাপত্রগুলি অন্যান্য লঙ্ঘনের তথ্য থেকেও সংগ্রহ করা যেতে পারে কারণ লোকেরা একই শংসাপত্রগুলি পুনরায় ব্যবহার করে যেখানে তারা পারে যাতে প্রয়োজনের চেয়ে আর কোনও স্মরণ থাকে না। তদ্ব্যতীত, স্টিকি নোটগুলিতে লগ-ইন তথ্য লেখার এবং একটি কীবোর্ডের পাশে পেস্ট করার সময়-সম্মানিত অনুশীলনটি এখনও প্রায় খুব কাছাকাছি।

মেঘ পরিষেবাদির ভুল কনফিগারেশন হল এমন একটি ক্ষেত্র যা লোকেরা দুর্বল বিন্দু। এখানে পার্থক্যটি হ'ল লোকেরা বাইরে যাবেন এবং তারা কী করছেন সে সম্পর্কে কোনও ধারণা ছাড়াই একটি ক্লাউড পরিষেবা দাঁড়াবে এবং তারপরে তারা এটিকে সুরক্ষিত না করে ডেটা সঞ্চয় করতে ব্যবহার করবে।

স্প্রঞ্জার ব্যাখ্যা করেছিলেন, "প্রথমত, মেঘ গ্রহণের ক্ষেত্রে, এমন এক মেঘ উঠে দাঁড়িয়ে থাকা কতটা সহজ যে সম্পর্কে অবাস্তব প্রত্যাশা রয়েছে, " "লোকেরা ভুল করে, এবং ধারকগুলির আশেপাশে সুরক্ষার সংজ্ঞা দেওয়ার জন্য আপনাকে কী করতে হবে তা সত্যিই পরিষ্কার নয়।"

সুরক্ষায় ভ্যাগনেস ভাল নয়

সমস্যার অংশটি হ'ল মেঘ সরবরাহকারীরা কীভাবে তাদের সুরক্ষা বিকল্পগুলি কাজ করে তা ব্যাখ্যা করার জন্য পর্যাপ্ত কাজটি করেন না (যেমন আমি সম্প্রতি ইনফ্রাস্ট্রাকচার-অ্যাস-এ-পরিষেবা বা আইএএএস সমাধানগুলি পর্যালোচনা করার সময় জানতে পেরেছি), সুতরাং আপনাকে অনুমান করতে বা কল করতে হবে সাহায্যের জন্য বিক্রেতা। উদাহরণস্বরূপ, অনেক ক্লাউড পরিষেবা সহ আপনার ফায়ারওয়াল চালু করার বিকল্প রয়েছে। তবে এটি একবার চলার পরে এটি কীভাবে কনফিগার করবেন তা সুনির্দিষ্টভাবে ব্যাখ্যা করা যায় না। মোটেই

এই সমস্যাটি এতটাই খারাপ যে স্যানস রিপোর্টের লেখক শ্যাকলফোর্ড অরক্ষিত অ্যামাজন সিম্পল স্টোরেজ সার্ভিস (এস 3) বালতিগুলির একটি তালিকা নিয়ে প্রতিবেদনটি শুরু করেছিলেন যার ফলে লঙ্ঘন হয়েছিল। "যদি সংখ্যাটি বিশ্বাস করা যায় তবে এস 3 বাল্টির 7 শতাংশ বিশ্বজুড়ে খোলা রয়েছে, " তিনি লিখেছেন, "এবং আরও 35 শতাংশ এনক্রিপশন ব্যবহার করছেন না (যা পরিষেবাটিতে নির্মিত)"। অ্যামাজন এস 3 একটি দুর্দান্ত স্টোরেজ প্ল্যাটফর্ম যা আমাদের পরীক্ষার কাজ শুরু করে ore এই স্টেমের মতো সমস্যাগুলি কেবল ব্যবহারকারীদের দ্বারা হয় পরিষেবাটিকে ভুল কনফিগার করা বা নির্দিষ্ট বৈশিষ্ট্যগুলির উপস্থিতি সম্পর্কে সম্পূর্ণ অজানা।

সুবিধামত ব্যবহারের অপব্যবহারের তালিকার পাশে রয়েছে এবং এটি লোকদের থেকে উদ্ভূত অন্য সমস্যা। স্প্রঞ্জার বলেছিলেন যে এটি কেবল অসন্তুষ্ট কর্মীদের চেয়ে বেশি, যদিও এর মধ্যে এটি রয়েছে। "মিস করেছেন অনেকগুলি তৃতীয় পক্ষের বিশেষায়িত প্রবেশাধিকার রয়েছে, " তিনি ব্যাখ্যা করেছিলেন। "পরিষেবা অ্যাকাউন্ট অ্যাক্সেসের মধ্য দিয়ে যাওয়া অনেক সহজ। সাধারণত এটি একক পাসওয়ার্ড সহ একক অ্যাকাউন্ট এবং কোনও জবাবদিহিতা নেই""

পরিষেবা অ্যাকাউন্টগুলি সাধারণত তৃতীয় পক্ষের জন্য সরবরাহ করা হয়, প্রায়শই বিক্রেতাদের বা ঠিকাদারদের যাদের সহায়তা বা পরিষেবা সরবরাহের জন্য অ্যাক্সেসের প্রয়োজন হয়। এটি হিটিং, ভেন্টিলেশন, এয়ার কন্ডিশনিং (এইচভিএসি) ঠিকাদারের সাথে সম্পর্কিত একটি পরিষেবা অ্যাকাউন্ট ছিল যা ২০১৪ সালে টার্গেট লঙ্ঘনের জন্য দুর্বল পয়েন্ট ছিল "" এই অ্যাকাউন্টগুলিতে সাধারণত godশ্বরের মতো সুযোগসুবিধা রয়েছে, "স্প্রঞ্জার আরও বলেন, তারা হ'ল আক্রমণকারীদের জন্য একটি প্রধান লক্ষ্য।

সুরক্ষা ক্ষতিগ্রস্ততা কাটিয়ে ওঠা

সুতরাং, আপনি এই দুর্বলতাগুলি সম্পর্কে কী করবেন? সংক্ষিপ্ত উত্তরটি প্রশিক্ষণ তবে এটি এর চেয়ে জটিল। উদাহরণস্বরূপ, ফিশিং ইমেলগুলি সন্ধানের জন্য ব্যবহারকারীদের প্রশিক্ষণ দেওয়া দরকার, এবং ফিশিংয়ের সূক্ষ্ম লক্ষণগুলি সনাক্ত করতে এই প্রশিক্ষণটি যথেষ্ট পর্যাপ্ত হওয়া দরকার। এছাড়াও, যদি তারা সন্দেহ করে যে তারা এই ধরনের আক্রমণ দেখছে তবে তাদের কর্মীদের নেওয়া পদক্ষেপগুলি অন্তর্ভুক্ত করা দরকার। এটিতে ইমেলের কোনও লিঙ্কটি সত্যই কোথায় চলেছে তা দেখার অন্তর্ভুক্ত রয়েছে তবে এ জাতীয় ইমেলের প্রতিবেদন করার পদ্ধতিও অন্তর্ভুক্ত করা দরকার। প্রশিক্ষণটিতে এমন একটি বিশ্বাস অন্তর্ভুক্ত করা দরকার যে তারা সন্দেহজনক বলে মনে হয় এমন ইমেল নির্দেশাবলীর উপর কাজ করতে ব্যর্থ হওয়ার জন্য তারা সমস্যায় পড়বে না।

তেমনিভাবে, কর্পোরেট প্রশাসনের কিছু স্তর থাকা দরকার যাতে এলোমেলো কর্মচারীরা বাইরে গিয়ে তাদের নিজস্ব ক্লাউড পরিষেবা অ্যাকাউন্ট স্থাপন না করে। এর মধ্যে ব্যক্তিগত ক্রেডিট কার্ডগুলিতে ক্লাউড পরিষেবাদির জন্য চার্জের জন্য ব্যয়ের রিপোর্টের ভাউচারগুলি দেখার অন্তর্ভুক্ত রয়েছে। তবে এর অর্থ হ'ল মেঘ পরিষেবাদির প্রাপ্যতা কীভাবে মোকাবেলা করতে হবে সে সম্পর্কে আপনাকে প্রশিক্ষণ সরবরাহ করতে হবে।

প্রিভেলিজড ইউজার আপত্তি সহকারে ডিল করা

সুবিধাপ্রাপ্ত ব্যবহারকারীদের অপব্যবহারের সাথে মোকাবিলা করাও চ্যালেঞ্জিং হতে পারে কারণ কিছু বিক্রেতারা বিস্তৃত অধিকারের সাথে অ্যাক্সেসের জন্য জোর দেবেন। আপনি নিজের নেটওয়ার্কটি বিভাগ করে এর মধ্যে কিছুটা মোকাবেলা করতে পারেন যাতে অ্যাক্সেস কেবল সেই পরিষেবাটিতে পরিচালিত হয় যা পরিচালিত হচ্ছে। উদাহরণস্বরূপ, এটিকে বিভাগ করুন যাতে এইচভিএসি নিয়ন্ত্রক তার নিজস্ব বিভাগে থাকে এবং সেই সিস্টেমটি বজায় রাখার দায়িত্ব দেওয়া বিক্রেতারা কেবলমাত্র নেটওয়ার্কের সেই অংশে অ্যাক্সেস পান। এটি অর্জনে সহায়তা করতে পারে এমন অন্য একটি পদক্ষেপ হ'ল একটি শক্তিশালী পরিচয় ব্যবস্থাপনার (আইডিএম) সিস্টেম মোতায়েন করা, যা কেবল অ্যাকাউন্টগুলির আরও ভাল নজর রাখে না, তবে তাদের এবং তাদের অ্যাক্সেসের গোপনীয়তার অধিকারীও রয়েছে। এই সিস্টেমগুলি আপনাকে আরও অ্যাক্সেস আরও দ্রুত স্থগিত করতে এবং অ্যাকাউন্ট ক্রিয়াকলাপের একটি নিরীক্ষণের ট্রেল সরবরাহ করতে দেবে। আপনি যখন একটি বড় টাকা ব্যয় করতে পারেন, আপনার যদি ইতিমধ্যে কোনও মাইক্রোসফ্ট অ্যাক্টিভ ডিরেক্টরি (এডি) ট্রি সক্ষম করে উইন্ডোজ সার্ভার শপ থাকে তবে আপনার যদি ইতিমধ্যে একটি চলমান থাকে।

• 2019 এর জন্য সেরা সুরক্ষা স্যুট 2019 এর জন্য সেরা সুরক্ষা স্যুট
• 2019 এর জন্য সেরা বিজনেস ক্লাউড স্টোরেজ এবং ফাইল ভাগ করে নেওয়ার প্রদানকারী 2019 সালের সেরা ব্যবসায়ের ক্লাউড স্টোরেজ এবং ফাইল শেয়ারিং সরবরাহকারী
• 2019 সালে ব্যবসায়ের জন্য সেরা ক্লাউড ব্যাকআপ পরিষেবাদি 2019 সালে ব্যবসায়ের জন্য সেরা ক্লাউড ব্যাকআপ পরিষেবাদি

আপনার এটিও নিশ্চিত করতে হবে যে বিক্রেতাদের ন্যূনতম-সুবিধাযুক্ত অ্যাক্সেস রয়েছে যাতে তাদের অ্যাকাউন্টগুলি কেবল তাদের পরিচালিত সফ্টওয়্যার বা অ্যাপ্লায়েন্সগুলিতে কেবলমাত্র তাদের অধিকার দেয় এবং অন্য কোনও কিছুই নয় - আইডিএম সিস্টেমের অন্য দুর্দান্ত ব্যবহার। আপনি অন্য যে কোনও কিছুর জন্য অস্থায়ী অ্যাক্সেসের জন্য তাদের জিজ্ঞাসা করতে পারেন।

এগুলি সুরক্ষা সমস্যাগুলির মোটামুটি দীর্ঘ তালিকার শীর্ষ কয়েকটি আইটেম এবং এটি সম্পূর্ণরূপে সানস সুরক্ষা জরিপ রিপোর্টটি পড়ার পক্ষে উপযুক্ত। এর তালিকাটি আপনাকে আপনার সুরক্ষিত দূর্বলতার দিকে যাওয়ার উপায়ের একটি রোডম্যাপ দেবে এবং এটি আপনাকে গ্রহণ করতে পারে এমন আরও পদক্ষেপগুলি উপলব্ধি করতে আপনাকে সহায়তা করবে। তবে নীচের অংশটি হ'ল, যদি আপনি সানস দ্বারা প্রদত্ত সমস্যাগুলি সম্পর্কে কিছু না করে থাকেন তবে আপনার ক্লাউড সুরক্ষা দুর্গন্ধযুক্ত হবে এবং আপনার মেঘ মেঘটি ড্রেনটিকে একটি পুরোপুরি প্রস্ফুটিত করে দেওয়ার কারণে আপনি ব্যর্থতার ঘূর্ণিতে জড়িয়ে যাবেন probably ভঙ্গ।