Active Defense: সাইবার আক্রমণ প্রতিহত করতে প্রো-অ্যাকটিভ ডিফেন্স স্ট্র্যাটেজি!

Active Defense প্রায়শই "hack back"-এর সাথে গুলিয়ে ফেলা হয়, যা সম্পূর্ণ ভিন্ন এবং বেশিরভাগ দেশে আইনগতভাবে নিষিদ্ধ। Hack back-এ একটি প্রতিষ্ঠান আক্রমণকারীর সিস্টেমে পাল্টা আক্রমণ চালায়—যা আইনি, কূটনৈতিক এবং প্রযুক্তিগতভাবে অত্যন্ত ঝুঁকিপূর্ণ। অন্যদিকে Active Defense সম্পূর্ণরূপে আপনার নিজস্ব পরিবেশের ভেতরে পরিচালিত হয়। এর মূল লক্ষ্য হলো আক্রমণকারীর জন্য পরিবেশকে অপ্রত্যাশিত, ব্যয়বহুল এবং বিভ্রান্তিকর করে তোলা।

SANS Institute Active Defense-কে সংজ্ঞায়িত করেছে "the process of analysts monitoring for, responding to, learning from, and applying their knowledge to threats internal to the network" হিসেবে। অর্থাৎ এটি threat intelligence, threat hunting, deception technology এবং incident response-কে একসাথে বুনে একটি গতিশীল প্রতিরক্ষা কাঠামো তৈরি করে।

Active Defense স্পেকট্রামে কয়েকটি স্তর রয়েছে—সবচেয়ে নিচে passive defense (firewall, antivirus), মাঝখানে active defense (honeypot, threat hunting, deception), এবং সবার উপরে offensive cyber operation (যা প্রায় সবসময়ই সরকারি সংস্থার এখতিয়ারে)।

Active Defense বাস্তবায়নে কয়েকটি প্রধান উপাদান বা কৌশল ব্যবহৃত হয়।

Deception Technology: এটি Active Defense-এর সবচেয়ে শক্তিশালী হাতিয়ার। নেটওয়ার্কের ভেতরে honeypot, honeytoken, decoy file এবং fake credential ছড়িয়ে রাখা হয়, যেগুলোতে কোনো legitimate কাজে কেউ যাবে না। আক্রমণকারী যখন lateral movement করে এই decoy গুলোতে স্পর্শ করে, সাথে সাথেই উচ্চ-নির্ভরতা সম্পন্ন alert তৈরি হয়। এর সবচেয়ে বড় সুবিধা হলো false positive rate প্রায় শূন্য—একজন legitimate user কখনো "Domain_Admin_Backup.kdbx" নামের একটি fake KeePass ফাইল খুলবেন না।

Threat Hunting: এখানে নিরাপত্তা বিশ্লেষকরা SIEM, EDR এবং network telemetry-তে hypothesis-driven অনুসন্ধান চালান। তারা ধরে নেন যে আক্রমণকারী ইতোমধ্যে ভেতরে আছে এবং খুঁজে বের করেন তার অবস্থান। MITRE ATT&CK ফ্রেমওয়ার্ক এক্ষেত্রে hunt-এর hypothesis তৈরিতে সাহায্য করে—যেমন "T1059.001 PowerShell execution from non-admin user" খুঁজে দেখা।

Threat Intelligence Integration: Active Defense-এ বাহ্যিক ও অভ্যন্তরীণ threat intelligence সমন্বয় করে আক্রমণকারীর Tactics, Techniques, and Procedures (TTPs) আগে থেকে বুঝে নেওয়া হয়। ফলে detection rule এবং deception placement আক্রমণকারীর প্রকৃত আচরণের সাথে মিলিয়ে তৈরি করা সম্ভব হয়।

Cyber Kill Chain Disruption: Lockheed Martin-এর Cyber Kill Chain-এর প্রতিটি ধাপে—reconnaissance, weaponization, delivery, exploitation, installation, command and control, এবং actions on objectives—আক্রমণকারীকে বাধা দেওয়ার জন্য সুনির্দিষ্ট control স্থাপন করা।

Adversary Engagement: আক্রমণকারীকে সরাসরি শনাক্ত করার পরও তাৎক্ষণিক block না করে নিয়ন্ত্রিত পরিবেশে তার আচরণ পর্যবেক্ষণ করা, যা তার TTPs সম্পর্কে মূল্যবান intelligence সরবরাহ করে। তবে এই কৌশল উন্নত প্রতিষ্ঠানের জন্য, এবং সঠিক ঝুঁকি বিশ্লেষণ ছাড়া প্রয়োগ করা উচিত নয়।

Active Defense-এর বাস্তব প্রয়োগ আজ অনেক প্রতিষ্ঠানে দেখা যায়। আর্থিক প্রতিষ্ঠানগুলো প্রায়ই internal network-এ honeypot SMB share স্থাপন করে, যেখানে fake customer database file রাখা হয়। কোনো ransomware operator বা insider যখন discovery phase-এ এই share দেখে এবং file access করার চেষ্টা করে, SOC তৎক্ষণাৎ alert পায়।

আরেকটি জনপ্রিয় কৌশল হলো honeytoken—Active Directory-তে কিছু fake user অ্যাকাউন্ট তৈরি করে রাখা যেগুলোর কখনো legitimate login হবে না। কেউ যদি এই অ্যাকাউন্টে Kerberos authentication চেষ্টা করে, এটি স্পষ্ট ইঙ্গিত দেয় যে কেউ Kerberoasting বা password spraying চালাচ্ছে।

Cloud পরিবেশে AWS Canary Token এবং Azure Decoy Storage Account-এর মাধ্যমে এই কৌশল প্রসারিত হয়েছে। একটি fake S3 bucket-এ access করার চেষ্টা সাথে সাথে CloudTrail-এ ধরা পড়ে এবং SOC notification পায়।

Threat hunting-এর বাস্তব উদাহরণ হিসেবে SolarWinds Sunburst incident-এ দেখা গেছে—যেসব প্রতিষ্ঠান নিয়মিত baseline DNS traffic হান্ট করত, তারা অস্বাভাবিক "avsvmcloud[.]com" beacon দ্রুত শনাক্ত করতে পেরেছিল, যেখানে passive monitoring-নির্ভর প্রতিষ্ঠানগুলো অনেক পরে জানতে পেরেছে।

Active Defense একটি প্রতিষ্ঠানে সফলভাবে বাস্তবায়ন করতে কয়েকটি বিষয়ে মনোযোগ দিতে হবে।

Maturity Assessment আগে করুন: যদি আপনার EDR, SIEM এবং patch management ঠিকভাবে কাজ না করে, তবে honeypot বসিয়ে কোনো লাভ নেই। Active Defense একটি advanced layer—এর আগে fundamental control গুলো শক্তিশালী হতে হবে।

MITRE Shield এবং Engage Framework ব্যবহার: MITRE Engage একটি আদর্শ ফ্রেমওয়ার্ক যা adversary engagement এবং deception design-এ গাইড করে। প্রতিটি deception artifact তৈরির সময় এর লক্ষ্য, expected adversary behavior এবং success metric সংজ্ঞায়িত করা উচিত।

Realistic Deception তৈরি করুন: Honeypot যদি স্পষ্টভাবে "fake" মনে হয়, তবে একজন দক্ষ আক্রমণকারী সহজেই এড়িয়ে যাবে। ফাইলের নাম, modification date, file size, এমনকি ফাইলের ভেতরের content পর্যন্ত যেন বাস্তবসম্মত হয় তা নিশ্চিত করতে হবে।

Threat Hunting Cadence স্থাপন: নিয়মিত (সপ্তাহিক বা পাক্ষিক) hunt session চালানো, প্রতিটি hunt থেকে learning detection rule-এ রূপান্তর করা এবং মেট্রিক্স maintain করা।

Purple Team Exercise: Red Team এবং Blue Team-কে একসাথে কাজ করিয়ে continuous improvement নিশ্চিত করা। Red Team নতুন TTP প্রদর্শন করে, Blue Team তা detection-এ রূপান্তর করে—এই চক্রই Active Defense-এর হৃদয়।

Legal এবং Ethical Boundary: Deception নিজের পরিবেশের মধ্যে সীমাবদ্ধ রাখা, কোনোভাবেই অন্যের সিস্টেমে পাল্টা আক্রমণ না চালানো। আইনি দলের সাথে পরামর্শ করে policy তৈরি করা উচিত।

Automated Response Playbook: SOAR প্ল্যাটফর্মের মাধ্যমে honeypot trigger হলে স্বয়ংক্রিয়ভাবে user isolation, credential reset এবং forensic snapshot capture নিশ্চিত করা।

Telemetry Coverage: Active Defense তখনই কার্যকর যখন আপনি সব ধরনের activity দেখতে পান। Endpoint, network, identity এবং cloud—সব স্তরে comprehensive logging বাধ্যতামূলক।