Baseline Auditing: আপনার আইটি সিস্টেমের প্রাথমিক নিরাপত্তা মান যাচাই করার গাইড!

Baseline বলতে বোঝায় একটি Security Configuration-এর Reference Standard— এমন একটি Configuration যা একটি System-কে সর্বনিম্ন গ্রহণযোগ্য নিরাপত্তা স্তরে রাখে। এই Baseline পরিমাপ করা হয় বিভিন্ন Industry Standard-এর বিপরীতে। সবচেয়ে জনপ্রিয় Standard হলো CIS Benchmark, NIST SP 800-53, NIST SP 800-171, এবং DISA STIG।

CIS Benchmark, Center for Internet Security কর্তৃক প্রকাশিত, প্রতিটি প্রধান প্ল্যাটফর্মের জন্য বিস্তারিত Hardening Guide প্রদান করে। Windows Server, Linux Distribution, Cloud Platform, Database, Browser— প্রতিটির জন্য আলাদা Benchmark। প্রতিটি Recommendation-এ স্পষ্ট Description, Rationale, Audit Procedure এবং Remediation Step থাকে।

CIS Benchmark-এ দুটি Level রয়েছে। Level 1 হলো এমন Setting যা সংস্থার Operational Capability-তে ন্যূনতম প্রভাব ফেলে কিন্তু উল্লেখযোগ্য নিরাপত্তা সুবিধা প্রদান করে। Level 2 হলো Defense in Depth-এর জন্য আরও কঠোর Setting যা Operational Impact ফেলতে পারে। সংবেদনশীল পরিবেশে Level 2 প্রয়োগ করা উচিত।

NIST Cybersecurity Framework পাঁচটি ফাংশন— Identify, Protect, Detect, Respond, এবং Recover-এর ভিত্তিতে সংগঠিত। Baseline Audit মূলত Identify এবং Protect Function-এর সাথে সম্পর্কিত। DISA Security Technical Implementation Guide বা STIG মার্কিন প্রতিরক্ষা মন্ত্রণালয়ের জন্য তৈরি হলেও বিশ্বব্যাপী Government এবং Defense Industry-তে ব্যবহৃত হয়।

একটি কার্যকর Baseline Audit-এর প্রথম ধাপ হলো সঠিক Planning এবং Scope নির্ধারণ। Asset Inventory ছাড়া কোনো Audit সম্ভব নয়। প্রথমে আপনার সংস্থায় যেসমস্ত System রয়েছে তার একটি বিস্তারিত তালিকা তৈরি করুন। Server, Workstation, Network Device, Cloud Resource, Mobile Device, IoT Device— প্রতিটি Asset-এর Hostname, IP Address, Operating System, Application Stack, Business Owner এবং Criticality Level দস্তাবেজ করুন।

Asset Discovery-র জন্য Nmap, Lansweeper, Tenable Nessus, Microsoft Defender for Endpoint, ServiceNow CMDB-এর মতো টুল ব্যবহার করুন। কিন্তু শুধুমাত্র Automated Discovery-র ওপর নির্ভর করবেন না। Shadow IT এবং Forgotten Asset শনাক্ত করতে Manual Verification প্রয়োজন।

Criticality Classification করুন— Critical, High, Medium, এবং Low। Critical Asset-এর জন্য সম্পূর্ণ Level 2 Audit প্রয়োগ করুন। Low Priority Asset-এর জন্য Level 1 যথেষ্ট হতে পারে। এই Classification Business Impact Analysis-এর সাথে সামঞ্জস্যপূর্ণ হওয়া উচিত।

Audit-এর Frequency নির্ধারণ করুন। Critical System-এর জন্য Continuous Compliance Monitoring গ্রহণ করুন যা প্রতিদিন বা প্রতি ঘণ্টায় Configuration Drift শনাক্ত করে। অন্যান্য System-এর জন্য Quarterly বা Annual Audit চালান। Major Change বা Incident-এর পর Ad-hoc Audit অপরিহার্য।

Stakeholder Engagement Audit-এর সাফল্যের জন্য অপরিহার্য। IT Operation, Security, Compliance, Business Owner সবার সাথে সমন্বয় করুন। Audit-এর সময় এবং সম্ভাব্য Disruption আগেই জানিয়ে দিন।

Operating System Hardening

Windows Server Audit-এর সময় কয়েকটি গুরুত্বপূর্ণ এলাকা পর্যালোচনা করুন। Account Policy-তে Password Length কমপক্ষে ১৪ অক্ষর, Complexity Requirement সক্রিয়, Maximum Password Age ৬০ দিন, এবং Account Lockout Threshold ৫ থাকা উচিত। Local Policy User Rights Assignment-এ "Act as part of the operating system" এবং "Debug Programs" Right শুধুমাত্র অত্যাবশ্যক Administrative Account-এ থাকা উচিত।

Security Option-এ Network Security: LAN Manager Authentication Level "Send NTLMv2 response only. Refuse LM & NTLM" এ সেট করুন। Microsoft Network Server: Digitally Sign Communications সর্বদা Enabled রাখুন। Anonymous Enumeration of SAM Accounts and Shares Disabled রাখুন।

Windows Defender Antivirus সক্রিয় এবং Up-to-Date রাখুন। AppLocker বা Windows Defender Application Control-এর মাধ্যমে অননুমোদিত Application Run Block করুন। PowerShell-এ Constrained Language Mode এবং Script Block Logging সক্রিয় করুন।

Linux Server-এ /etc/ssh/sshd_config পর্যালোচনা করুন। PermitRootLogin no, PasswordAuthentication no (Key-Based Authentication-এ Force করুন), Protocol 2 only, এবং AllowUsers/AllowGroups দিয়ে Access Restriction। Fail2ban কনফিগার করুন যা Brute Force-এর বিরুদ্ধে রক্ষা করে।

/etc/sysctl.conf-এ Kernel Hardening Parameter সেট করুন— net.ipv4.tcp_syncookies=1, net.ipv4.conf.all.rp_filter=1, kernel.randomize_va_space=2। SELinux বা AppArmor সক্রিয় রাখুন Enforcing Mode-এ। Audit Daemon বা auditd কনফিগার করুন যা গুরুত্বপূর্ণ Event Log করে।

নেটওয়ার্ক ডিভাইস Audit

Cisco Router এবং Switch-এ Default Credential Disabled করুন। Enable Password-এর বদলে Enable Secret ব্যবহার করুন যা MD5 Hash সংরক্ষণ করে। SSH-এর জন্য কমপক্ষে SSH v2 ব্যবহার করুন এবং Telnet সম্পূর্ণ Disable করুন।

SNMP Community String Default "public" এবং "private" পরিবর্তন করুন। সম্ভব হলে SNMP v3 ব্যবহার করুন যা Authentication এবং Encryption সমর্থন করে। NTP কনফিগার করুন যা সঠিক Timestamp নিশ্চিত করে— Forensic Investigation-এর জন্য অপরিহার্য।

Access Control List পর্যালোচনা করুন। Unused Interface Shut Down করুন। Spanning Tree-এ BPDU Guard এবং Root Guard সক্রিয় করুন। DHCP Snooping এবং Dynamic ARP Inspection দিয়ে Man-in-the-Middle Attack প্রতিরোধ করুন।

ক্লাউড Configuration Audit

AWS-এর জন্য CIS AWS Foundations Benchmark অনুসরণ করুন। Root Account-এর MFA, Access Key Disabled, CloudTrail সমস্ত Region-এ সক্রিয়, S3 Bucket Public Access Block, এবং VPC Flow Log সক্রিয় থাকা অপরিহার্য। Prowler, ScoutSuite, বা Aqua Trivy-র মতো Open Source টুল ব্যবহার করুন Automated Assessment-এর জন্য।

Azure-এ Microsoft Defender for Cloud-এর Secure Score পর্যালোচনা করুন। Conditional Access Policy, Privileged Identity Management সক্রিয়তা, Key Vault Soft Delete, এবং Storage Account Public Access Restriction যাচাই করুন।

GCP-এর জন্য Security Command Center ব্যবহার করুন। Organization Policy, IAM Recommender, এবং Forseti Security-র মতো Open Source টুল কাজে লাগান।

Automated Compliance Scanner

Manual Audit সময়সাপেক্ষ এবং Error-Prone। Automated টুল ব্যবহার করে Scale এবং Consistency নিশ্চিত করুন। OpenSCAP হলো একটি Free এবং Open Source টুল যা SCAP Content দিয়ে Compliance Scanning করে। CIS এবং DISA STIG উভয়ের জন্য SCAP Content পাওয়া যায়।

Microsoft Security Compliance Toolkit-এ Policy Analyzer, LGPO Tool এবং Baseline GPO রয়েছে। Group Policy-র মাধ্যমে Baseline প্রয়োগ এবং পরীক্ষা করা যায়। Microsoft Endpoint Manager বা Intune Cloud-Based Compliance Policy এবং Configuration Profile প্রদান করে।

Tenable Nessus, Qualys VMDR, Rapid7 InsightVM-এর মতো Commercial Vulnerability Scanner Compliance Audit Capability সমৃদ্ধ। এরা CIS Benchmark, PCI DSS, HIPAA-র সাথে Pre-Built Template প্রদান করে।

Wazuh হলো একটি শক্তিশালী Open Source SIEM যা SCA বা Security Configuration Assessment Module-এর মাধ্যমে Continuous Baseline Monitoring করে। Wazuh Agent প্রতিটি Endpoint-এ ইনস্টল করে সব System-এর Real-Time Compliance State দেখা যায়।

Configuration Management ও Drift Detection

Ansible, Chef, Puppet, এবং SaltStack-এর মতো Configuration Management টুল ব্যবহার করুন যা Idempotent Way-তে Baseline প্রয়োগ করে এবং Drift Detect করলে স্বয়ংক্রিয়ভাবে সংশোধন করে। Ansible-এ DevSec Hardening Framework-এর Role ব্যবহার করুন যা CIS Benchmark Implement করে।

Terraform Sentinel এবং Open Policy Agent দিয়ে Infrastructure as Code-এ Policy Enforcement করুন। Deploy হওয়ার আগেই Configuration Compliance যাচাই হবে।

২০১৭ সালে Equifax ডেটা ব্রিচে ১৪৭ মিলিয়ন আমেরিকানের Sensitive Data ফাঁস হয়। আক্রমণকারীরা Apache Struts-এর একটি পরিচিত দুর্বলতা ব্যবহার করেছিল যার Patch দুই মাস আগেই প্রকাশিত হয়েছিল। যদি Equifax Regular Baseline Audit করত যেখানে Patch Status এবং Vulnerability Scan অন্তর্ভুক্ত ছিল, এই দুর্ঘটনা প্রতিরোধ করা যেত।

২০২১ সালে Colonial Pipeline Ransomware আক্রমণের সূত্রপাত একটি Inactive VPN Account-এর Compromised Password-এর মাধ্যমে। সেই Account-এ MFA সক্রিয় ছিল না। Baseline Audit-এ Dormant Account, MFA Missing, এবং Privileged Access পর্যালোচনা থাকলে এই দুর্বলতা ধরা পড়ত।

Baseline Audit-এর সবচেয়ে গুরুত্বপূর্ণ দিক হলো এটি একটি One-Time Activity নয়। Continuous Compliance Monitoring গ্রহণ করুন। প্রতিদিন Automated Scan চালান এবং Configuration Drift তাৎক্ষণিকভাবে শনাক্ত করুন।

Risk-Based Prioritization গ্রহণ করুন। প্রতিটি Audit Finding-কে CVSS Score এবং Business Impact-এর ভিত্তিতে Prioritize করুন। সব Finding একই গুরুত্বের নয়।

Remediation Workflow Automate করুন। ServiceNow বা Jira-র মতো ITSM Platform-এ Auto-Ticketing সক্রিয় করুন। SLA নির্ধারণ করুন— Critical Finding ২৪ ঘণ্টায়, High Finding ৭ দিনে, Medium ৩০ দিনে সমাধান হবে।

Metrics এবং KPI Track করুন। Compliance Percentage, Mean Time to Remediate, Recurring Findings-এর সংখ্যা। Executive Dashboard তৈরি করুন যাতে Leadership Security Posture-এর Progress দেখতে পারে।

Audit Training নিয়মিত পরিচালনা করুন। IT Staff-কে শেখান কীভাবে Hardening প্রয়োগ করতে হয়। Developer-দের শেখান Secure Configuration-এর গুরুত্ব। Awareness ছাড়া Compliance টেকসই হয় না।

Exception Management Process তৈরি করুন। যেসব Baseline Recommendation প্রয়োগ করা সম্ভব নয়, সেগুলোর জন্য Documented Exception, Compensating Control এবং Periodic Review থাকতে হবে। Exception যেন স্থায়ী না হয়ে যায় সেদিকে নজর রাখুন।