Asset Management: কর্পোরেট নেটওয়ার্কের সব ডিভাইসের হিসাব এবং নিরাপত্তা মনিটরিং!
Cybersecurity-এর foundation হলো accurate asset inventory। কীভাবে enterprise-grade asset management implement করবেন—সম্পূর্ণ গাইড।
সাইবার নিরাপত্তার সবচেয়ে মৌলিক কিন্তু প্রায়শই উপেক্ষিত একটি বিষয় হলো Asset Management। CIS Controls-এর প্রথম দুটি control হলো "Inventory and Control of Enterprise Assets" এবং "Inventory and Control of Software Assets"—কোনো coincidence নয়। কারণ একটি সরল কিন্তু গভীর সত্য আছে: আপনি যা জানেন না, তা সুরক্ষিত করতে পারেন না। যদি একটি organization-এর কাছে তাদের network-এ থাকা সব device, server, application, এবং service-এর accurate inventory না থাকে, তাহলে সবচেয়ে advanced security tool-ও কার্যকর হতে পারবে না। এই নিবন্ধে আমরা enterprise-grade Asset Management-এর fundamental, বাস্তবায়ন কৌশল, এবং প্রচলিত চ্যালেঞ্জ আলোচনা করব।
Asset Management কী এবং কেন
IT Asset Management (ITAM) হলো একটি systematic approach যা organization-এর সব hardware, software, এবং digital asset-কে track, manage, এবং optimize করে তাদের পুরো lifecycle জুড়ে। Cybersecurity-এর প্রেক্ষাপটে এটি Security Asset Management নামে পরিচিত এবং এর scope আরো বিস্তৃত—physical device থেকে cloud workload, IoT sensor থেকে SaaS application পর্যন্ত সবকিছু।
Asset Management-এর মৌলিক গুরুত্ব বুঝতে কয়েকটি বাস্তবতা লক্ষণীয়। Verizon-এর Data Breach Investigations Report অনুযায়ী, breach-এর একটি বড় অংশ unknown বা unmanaged asset-এর মাধ্যমে হয়। SolarWinds, Equifax, এবং Target-এর মতো high-profile incident-গুলোতে কোনো না কোনো forgotten asset বা unmanaged third-party connection-এর ভূমিকা ছিল।
NIST SP 800-53-এর CM (Configuration Management) family-তে asset inventory একটি foundational control। ISO 27001-এর A.5.9 control "Inventory of information and other associated assets"-কে mandatory করে। PCI-DSS, HIPAA, SOC 2—প্রায় সব compliance framework asset inventory দাবি করে।
Asset-এর প্রকারভেদ
Asset Management-এর scope বুঝতে গেলে বিভিন্ন asset category সম্পর্কে জানা প্রয়োজন।
Hardware Asset: Desktop, laptop, server, network device (router, switch, firewall), mobile device (smartphone, tablet), printer, IoT device (smart camera, sensor), industrial control system (PLC, SCADA), peripheral device (USB drive, external storage)।
Software Asset: Operating system, business application, development tool, database management system, security tool, browser extension, mobile app, firmware, container image। প্রতিটি software-এর version, license, এবং patch level track করা প্রয়োজন।
Cloud Asset: Virtual machine, container, serverless function, storage bucket, database service, managed Kubernetes cluster, SaaS subscription (Salesforce, Office 365, Slack)। Cloud-এ asset দ্রুত spin up এবং tear down হয়, ফলে dynamic tracking critical।
Data Asset: Database, file share, document repository, backup, log archive। প্রতিটি data asset-এর classification, ownership, এবং sensitivity track করা উচিত।
Identity Asset: User account, service account, API key, certificate, secret। এদেরও lifecycle আছে এবং proper management প্রয়োজন।
Asset Discovery Techniques
Asset discovery হলো Asset Management-এর প্রথম এবং সবচেয়ে গুরুত্বপূর্ণ step। বিভিন্ন discovery technique combined ব্যবহার করতে হয়।
Network-based Discovery: Network scanner যেমন Nmap, Masscan, এবং Rumble (RunZero) IP range scan করে live host identify করে। SNMP polling, ARP table inspection, এবং DHCP log analysis-ও কার্যকর। Network device থেকে CDP/LLDP information-ও valuable।
Agent-based Discovery: Endpoint-এ installed agent (যেমন Tanium, Lansweeper, Microsoft Configuration Manager) detailed inventory প্রদান করে—hardware specification, installed software, patch level, configuration। তবে এর জন্য prior agent deployment প্রয়োজন, যা new device-এর জন্য suitable নয়।
Active Directory এবং Identity Provider Integration: AD computer object, Azure AD device record, এবং Intune device inventory enterprise environment-এ একটি baseline দেয়। তবে এসব শুধু domain-joined device cover করে।
Cloud Discovery: AWS Config, Azure Resource Graph, GCP Cloud Asset Inventory cloud-native discovery প্রদান করে। CSPM tool যেমন Wiz, Prisma Cloud multi-cloud inventory aggregate করে।
Passive Discovery: Network traffic monitoring, DHCP/DNS log analysis-এর মাধ্যমে passively asset detect করা যায়। Network detection tool যেমন Darktrace, ExtraHop এই কাজ করে। Passive discovery-এর সুবিধা হলো এটি disruption ছাড়াই continuously চলে।
কোনো একক method যথেষ্ট নয়—comprehensive coverage-এর জন্য multiple technique combine করা প্রয়োজন।
Configuration Management Database (CMDB)
CMDB হলো একটি centralized repository যেখানে সব asset, তাদের attribute, এবং তাদের সম্পর্ক record করা থাকে। ITIL framework-এ CMDB একটি central concept।
আধুনিক CMDB platform-এর মধ্যে রয়েছে ServiceNow, BMC Helix, Ivanti, এবং open-source iTop, Snipe-IT। প্রতিটি asset একটি Configuration Item (CI) হিসেবে represented হয় relationships সহ—যেমন application server X database server Y-এর সঙ্গে connected, virtual machine Z hypervisor cluster A-তে run করে।
CMDB-এর সবচেয়ে বড় চ্যালেঞ্জ হলো data freshness। Manual update প্রায়ই stale হয়ে যায়। Automated discovery এবং CMDB-এর integration—যেখানে discovery tool-এর data প্রতিদিন CMDB sync করে—এটাই modern best practice।
Relationship mapping বিশেষভাবে গুরুত্বপূর্ণ incident response এবং change management-এ। যদি একটি critical server compromise হয়, এর সঙ্গে কোন application, database, এবং user connected—এসব information immediately দরকার।
Shadow IT এবং Unknown Asset
Asset Management-এর সবচেয়ে বড় চ্যালেঞ্জ হলো Shadow IT—যা IT department-এর জ্ঞান বা অনুমতি ছাড়া organization-এ ব্যবহৃত technology। SaaS application, personal device, এবং unofficial cloud account এর প্রধান উদাহরণ।
Gartner-এর একটি study অনুযায়ী, বড় enterprise-এ average ১০০০-এর বেশি SaaS application ব্যবহৃত হয়, কিন্তু IT department typically এর ৫০-১০০টা জানে। বাকি সবই Shadow IT—employee-রা productivity বাড়াতে individual বা team-level subscription নেন।
Shadow IT-এর risk বহুমুখী: data security (sensitive data unmanaged service-এ), compliance violation (proper DPA ছাড়া data processing), license risk (legal liability), এবং integration complexity।
Shadow IT discover করার জন্য Cloud Access Security Broker (CASB) যেমন Netskope, Microsoft Defender for Cloud Apps, এবং McAfee MVISION cloud-bound traffic analyze করে। SSO log analysis, expense report review, এবং employee survey-ও কার্যকর। DNS log-এ unusual SaaS domain-এ traffic একটি strong indicator।
Shadow IT-এর response careful balance দাবি করে। শুধু block করলে productivity hampered হয় এবং employee আরও creative workaround খুঁজে। বরং discover, assess, এবং proper governance-এর under bring করা—এই approach better।
Software Asset Management (SAM)
Software inventory hardware inventory-এর চেয়ে complex। প্রতিটি endpoint-এ শত শত software install থাকতে পারে—application, library, driver, browser extension।
SAM-এর প্রধান লক্ষ্য কয়েকটি:
- License Compliance: যাতে আপনি licensed copy-এর বেশি ব্যবহার না করছেন (audit risk), অথবা অপ্রয়োজনীয় license-এ অর্থ অপচয় না করছেন।
- Vulnerability Management: যাতে vulnerable version দ্রুত identify এবং patch করা যায়।
- End-of-Life Tracking: Vendor support শেষ হওয়া software-গুলো replace করা।
- Standardization: Approved software stack maintain করা।
Tool যেমন Flexera, Snow Software, ServiceNow SAM, এবং Microsoft SCCM SAM capability প্রদান করে। Open-source বিকল্প হিসেবে OSSDB এবং OSV (Open Source Vulnerability database) library-level tracking-এ সাহায্য করে।
SBOM (Software Bill of Materials) একটি emerging practice—প্রতিটি software-এর সব dependency এবং component-এর detailed list। US Executive Order 14028-এর পর SBOM federal government supplier-দের জন্য mandatory হয়েছে। CycloneDX এবং SPDX হলো প্রধান SBOM format।
Cloud Asset Management
Cloud environment-এ Asset Management-এর প্রকৃতি মৌলিকভাবে আলাদা। On-prem-এ একটি server বছরের পর বছর run করে; cloud-এ resource কয়েক মিনিটে spin up এবং terminate হয়। Auto-scaling group-এ একটি workload প্রতিদিন বিভিন্ন instance তৈরি করতে পারে।
Cloud Asset Management-এর জন্য continuous discovery এবং real-time inventory প্রয়োজন। AWS Config, Azure Resource Graph, GCP Asset Inventory—প্রতিটি cloud provider-এর native solution আছে। তবে multi-cloud environment-এ CSPM tool যেমন Wiz, Prisma Cloud, Lacework unified view প্রদান করে।
Cloud asset-এর সঙ্গে tagging strategy critical। Consistent tag (Owner, Environment, CostCenter, Application, DataClassification) থাকলে query, automation, এবং accountability সহজ হয়। Tag policy enforcement-এর জন্য Service Control Policy (AWS), Azure Policy, বা Organization Policy (GCP) ব্যবহার করা যায়।
Container এবং Kubernetes-এর জন্য specialized tool যেমন Aqua Security, Sysdig, Twistlock container image, running container, এবং Kubernetes object inventory করে।
IoT এবং OT Asset Management
Internet of Things (IoT) এবং Operational Technology (OT) asset-এর management traditional IT-এর চেয়ে আলাদা। এসব device সাধারণত limited compute, no agent-installable, এবং different protocol (Modbus, BACnet, OPC UA) ব্যবহার করে।
Specialized OT asset discovery tool যেমন Claroty, Nozomi Networks, Dragos passive monitoring-এর মাধ্যমে industrial network inventory করে। তারা protocol-aware analysis করে device identify এবং vulnerability assessment করে।
IoT এবং OT environment-এ patch management challenging—অনেক device-এ patch installation downtime require করে, যা production environment-এ acceptable নয়। তাই accurate inventory আরো critical—compensating control এবং network segmentation strategy design করার জন্য।
Asset Lifecycle Management
প্রতিটি asset-এর একটি lifecycle আছে: Acquisition → Deployment → Operations → Maintenance → Decommissioning → Disposal। প্রতিটি stage-এ specific control প্রয়োজন।
Acquisition stage-এ vendor risk assessment, security requirement specification, এবং procurement approval process। Deployment-এ secure configuration baseline (CIS Benchmark, NIST baseline) প্রয়োগ। Operations-এ continuous monitoring এবং compliance check।
Decommissioning সবচেয়ে underrated phase। Server retire করার সময় কয়েকটি step critical: data sanitization (DoD 5220.22-M বা NIST SP 800-88 standard অনুযায়ী), backup এবং certificate revocation, DNS entry removal, এবং inventory update। Disk physically destroy বা cryptographic erase—data classification অনুযায়ী method choose করতে হবে।
পুরনো asset যদি properly decommission না হয়, এরা "zombie asset" হয়ে network-এ থেকে যায়—patched নয়, monitored নয়, কিন্তু still potentially accessible।
বাস্তব ঘটনার পরিপ্রেক্ষিত
Equifax-এর ২০১৭ breach-এর মূল কারণগুলোর একটি ছিল inadequate asset inventory। Apache Struts-এর vulnerable version যে server-এ ছিল, সেটি তাদের patch tracking-এ properly listed ছিল না। যদি accurate inventory থাকত, vulnerability disclose হওয়ার দু'মাসের মধ্যে patched হয়ে যেত।
Capital One-এর ২০১৯ breach-এ একটি misconfigured WAF এবং improperly inventoried EC2 instance-এর role ছিল। ১০০ মিলিয়ন customer record exposed।
বাংলাদেশের প্রেক্ষাপটেও বিভিন্ন financial institution-এ asset management gap-এর কারণে security incident হয়েছে। Forgotten development server, old VPN concentrator, এবং unmanaged third-party device সাধারণ entry point হয়ে দাঁড়াচ্ছে।
Best Practices Summary
কার্যকর Asset Management-এর জন্য কয়েকটি best practice অপরিহার্য। Continuous discovery নিশ্চিত করুন—periodic scan যথেষ্ট নয়। Multiple discovery method combine করুন—কোনো single approach সব asset cover করে না। Ownership accountability নিশ্চিত করুন—প্রতিটি asset-এর একজন responsible owner থাকতে হবে।
Tag এবং classification standardize করুন organization জুড়ে। Automation-এ বিনিয়োগ করুন—manual process scale করে না। CMDB এবং security tool (vulnerability scanner, SIEM, EDR)-এর মধ্যে integration ensure করুন। Regular reconciliation চালান—different source-এর data মিলিয়ে gap identify করুন।
Executive support এবং budget secure করুন। Asset Management exciting নয়, কিন্তু এটি security program-এর foundation। Senior leadership-কে এর strategic importance বুঝাতে হবে।
Asset Management হয়তো cybersecurity-এর সবচেয়ে গ্ল্যামারাস বিষয় নয়, কিন্তু এটি সব নিরাপত্তা practice-এর ভিত্তি। Vulnerability management, incident response, compliance, এবং risk assessment—সবই accurate asset inventory-এর উপর নির্ভরশীল। আধুনিক enterprise-এ hybrid environment, cloud sprawl, এবং rapidly evolving technology landscape Asset Management-কে আরো চ্যালেঞ্জিং করে তুলেছে। কিন্তু সঠিক tool, process, এবং organizational commitment-এর মাধ্যমে এই challenge-কে overcome করা সম্ভব। যে organization এই foundational discipline-এ বিনিয়োগ করে, তারাই অন্য সব security investment থেকে সর্বোচ্চ return পান। যারা cybersecurity-তে career শুরু করছেন, তাদের জন্য Asset Management-এর gravity এবং best practice সম্পর্কে গভীর understanding তৈরি করা first-order priority।
আপনার জ্ঞান যাচাই করতে প্রস্তুত? আজই HackCert-এ Asset Management MCQ Quiz-টি দিন!
Related articles
Biometric Security: How Cyber-Proof are Fingerprint and Face Unlock Systems?
10 min
Blue Teaming: The Role of the Defensive Security Team in Thwarting Cyber Attacks
10 min
Cloud Basics: Understanding Cloud Computing and Essential Security Risks
8 min
Cryptography: The Science of Data Encryption and Secure Communication in Cyberspace
9 min