Blue Teaming: সাইবার আক্রমণ রুখে দিতে ডিফেন্সিভ সিকিউরিটি টিমের ভূমিকা!

Blue Team শব্দটি সামরিক ঐতিহ্য থেকে এসেছে যেখানে War Game-এ Defender পক্ষকে Blue Team এবং Attacker পক্ষকে Red Team বলা হত। সাইবার নিরাপত্তায় এই ধারণা গ্রহণ করা হয়েছে।

Blue Team-এর প্রধান দায়িত্ব চারটি ফাংশন-এ বিভক্ত— Prevent (প্রতিরোধ), Detect (শনাক্তকরণ), Respond (প্রতিক্রিয়া), এবং Recover (পুনরুদ্ধার)। এই চারটি কাজ NIST Cybersecurity Framework-এর কোর ফাংশনের সাথে মিলে যায়।

Prevent-এ Firewall, EDR, MFA, Patch Management, Security Awareness Training-এর মতো Proactive Control থাকে। Detect-এ SIEM, IDS, EDR Alert, Threat Hunting-এর মতো Capability। Respond-এ Incident Response Plan, Forensic Analysis, Containment Action। Recover-এ Backup Restoration, System Rebuild, Lessons Learned।

Blue Team-এর কাজের আরেকটি গুরুত্বপূর্ণ দিক হলো MITRE ATT&CK Framework। এটি বিভিন্ন Adversary-র Technique, Tactic এবং Procedure-এর একটি বিস্তৃত Knowledge Base। প্রতিটি Detection Rule, প্রতিটি Hunt Query MITRE ATT&CK-এর Specific Technique-এর সাথে Map করা হয় যাতে Coverage পরিমাপ করা যায়।

Security Operations Center বা SOC হলো Blue Team-এর কেন্দ্রস্থল। SOC সাধারণত ২৪x৭ চলে এবং তিনটি Shift-এ Analyst-রা কাজ করেন। SOC-এর কাঠামো Tier-Based— Tier 1 (Triage), Tier 2 (Investigation), Tier 3 (Hunting এবং Engineering)।

Tier 1 Analyst-রা প্রাথমিক Alert পর্যালোচনা করেন। তাদের লক্ষ্য হলো False Positive থেকে True Positive আলাদা করা এবং দ্রুত Initial Response নেওয়া। সাধারণত প্রতিদিন শত শত Alert আসে এবং একজন Tier 1 Analyst-কে প্রতিটি Alert কয়েক মিনিটে Triage করতে হয়।

Tier 2 Analyst-রা Complex Incident-এ গভীর Investigation চালান। Cross-System Correlation, Forensic Timeline তৈরি, Threat Actor Attribution— এসব তাদের কাজ। তারা Tier 1-কে Escalate করা Incident-এর Resolution-এর জন্য দায়ী।

Tier 3 হলো সবচেয়ে অভিজ্ঞ এবং বিশেষজ্ঞ। তারা Threat Hunting করেন, Detection Engineering করেন, SIEM Rule তৈরি ও Tune করেন। Red Team Exercise-এর Coordination, Purple Team Activity, এবং Advanced Forensic-এও তারা যুক্ত।

SOC-এর গুরুত্বপূর্ণ Metric-এ Mean Time to Detect (MTTD), Mean Time to Respond (MTTR), False Positive Rate, এবং Alert Volume। ভালো SOC-এ MTTD এক ঘণ্টার কম এবং MTTR ৪ ঘণ্টার কম থাকে।

Security Information and Event Management বা SIEM হলো Blue Team-এর প্রধান Tool। Splunk Enterprise Security, Microsoft Sentinel, Elastic SIEM, IBM QRadar, Chronicle, Exabeam, Sumo Logic— এগুলো জনপ্রিয় SIEM Platform।

SIEM-এর কাজ হলো বিভিন্ন Source থেকে Log Collect করা, Normalize করা, Correlate করা, এবং Real-Time Alert তৈরি করা। Endpoint, Network Device, Cloud Service, Application— সব জায়গা থেকে Log আসে। প্রতিদিন একটি Mid-Size সংস্থায় TB-Scale Log Generate হতে পারে।

Correlation Rule SIEM-এর মূল শক্তি। উদাহরণস্বরূপ, একটি Rule হতে পারে— যদি একটি User Account ৫ মিনিটের মধ্যে ৩টি ভিন্ন দেশ থেকে Login করে, তাহলে Alert। এই Cross-Source Correlation এককভাবে কোনো Tool-এ সম্ভব নয়।

SIEM Tuning একটি Continuous Process। নতুন Detection Rule যোগ করা, পুরোনো Rule Update করা, False Positive কমানো— এই কাজ চলতে থাকে। বেশি সংবেদনশীল Rule প্রচুর Alert তৈরি করে যা Alert Fatigue ডেকে আনে। অপ্রয়োজনীয় Rule Disable করা সমান গুরুত্বপূর্ণ।

আধুনিক SIEM-এ User and Entity Behavior Analytics বা UEBA যুক্ত হয়েছে। Machine Learning ব্যবহার করে প্রতিটি User এবং Entity-র Normal Behavior Profile তৈরি হয়। অস্বাভাবিক আচরণ যেমন একজন User-এর সাধারণ সময়ের বাইরে Login, Sensitive File Access, বা Mass Download— স্বয়ংক্রিয়ভাবে Alert তৈরি করে।

Endpoint Detection and Response বা EDR Blue Team-এর আরেকটি অপরিহার্য Tool। CrowdStrike Falcon, Microsoft Defender for Endpoint, SentinelOne, Cybereason, Cortex XDR— এগুলো শীর্ষ EDR Platform।

EDR প্রতিটি Endpoint-এ একটি Lightweight Agent চালায় যা Process Execution, File Modification, Network Connection, Registry Change এবং অন্যান্য Activity Real-Time-এ পর্যবেক্ষণ করে। এই Telemetry Cloud-এ পাঠানো হয় এবং Behavioral Analytics-এর মাধ্যমে Threat Detect করা হয়।

EDR-এর Power হলো Response Capability। Suspicious Process Kill করা, File Quarantine, Network Isolation, Remote Investigation— সব Centrally করা যায়। SOC Analyst একটি Compromised Endpoint-কে এক Click-এ Network থেকে বিচ্ছিন্ন করতে পারেন।

Extended Detection and Response বা XDR EDR-এর Evolution। শুধু Endpoint নয়, Email, Identity, Cloud, Network— সব Domain-এর Telemetry একত্রিত করে Correlation করে। Microsoft 365 Defender, Palo Alto Cortex XDR XDR-এর উদাহরণ।

Threat Hunting হলো Proactive Defensive Activity যেখানে Analyst Assumed Compromise-এর ভিত্তিতে Hidden Threat খুঁজে বের করেন। স্বয়ংক্রিয় Alert-এর জন্য অপেক্ষা না করে Hypothesis-Driven Investigation চালানো হয়।

Hunting-এর জন্য MITRE ATT&CK Framework Reference হিসেবে ব্যবহৃত হয়। Hunter একটি Specific Technique বেছে নেন— যেমন T1003.001 (LSASS Memory Dumping)— এবং তার Indicator খুঁজতে থাকেন Available Telemetry-তে।

Pyramid of Pain ধারণা Hunting Strategy-কে গাইড করে। নিচ থেকে উপরে— Hash Values, IP Addresses, Domain Names, Network Artifacts, Host Artifacts, Tools, TTPs। উপরের দিকে যত যাবেন, আক্রমণকারীর জন্য Pivot করা তত কঠিন। তাই TTP-ভিত্তিক Detection সবচেয়ে Valuable।

Sigma হলো একটি Open Source Hunting Rule Format যা SIEM Agnostic। একটি Sigma Rule লিখে বিভিন্ন SIEM-এ Convert করা যায়। SigmaHQ Community হাজার হাজার Pre-Built Rule প্রদান করে।

যখন Confirmed Compromise হয়, Incident Response Process শুরু হয়। NIST SP 800-61-এর IR Lifecycle-এ চারটি Phase— Preparation, Detection and Analysis, Containment Eradication and Recovery, এবং Post-Incident Activity।

Preparation Phase-এ IR Plan, Playbook, Tool, Team— সব প্রস্তুত থাকে। Tabletop Exercise এবং Simulation নিয়মিত চলে। Communication Plan, Legal Counsel, External Vendor Contact-এর তথ্য Pre-Approved থাকে।

Detection and Analysis-এ Incident Confirm করা হয়, Scope নির্ধারণ হয়, Initial Indicator চিহ্নিত হয়। প্রশ্ন উত্তর দেওয়া হয়— কী হয়েছে, কখন শুরু হয়েছে, কী Affected, এবং Threat Actor কে?

Containment-এ Spread বন্ধ করা হয়। Short-Term Containment (Network Isolation) দ্রুত করা হয়, Long-Term Containment (Account Reset, Network Reconfiguration) পরে। Eradication-এ Malware সম্পূর্ণ অপসারণ, Backdoor চিহ্নিত ও বন্ধ। Recovery-তে System Production-এ ফিরিয়ে আনা।

Post-Incident-এ Lessons Learned Session, Root Cause Analysis, Process Improvement। প্রতিটি Incident শেখার সুযোগ এবং Future Defense উন্নত করার ভিত্তি।

Threat Intelligence Blue Team-কে Adversary-র সম্পর্কে গুরুত্বপূর্ণ তথ্য দেয়। Mandiant Threat Intelligence, CrowdStrike Falcon Intel, Recorded Future, Anomali-র মতো Commercial Provider আছে। MISP, OpenCTI Open Source বিকল্প।

Intelligence-এর তিনটি স্তর— Strategic (Long-term Trend, Geopolitical Context), Operational (Specific Campaign, Threat Group TTP), Tactical (IoC, Malware Hash, IP Address)। তিনটিই বিভিন্ন স্তরের Decision-Making-এ ব্যবহৃত হয়।

IoC সরাসরি Detection Tool-এ Feed করা যায়। কিন্তু IoC দ্রুত পুরোনো হয়ে যায়। TTP-ভিত্তিক Intelligence বেশি Durable।

Honeypot এবং Honeytoken Blue Team-এর শক্তিশালী Tool। আক্রমণকারীদের জন্য আকর্ষণীয় কিন্তু কোনো Legitimate Business Function নেই এমন Resource তৈরি করা হয়। Canary Tokens, Honey Files, Decoy Credentials, Fake Database— সবই Deception-এর উদাহরণ।

Thinkst Canary, TrapX, Illusive-এর মতো Commercial Platform Deception Capability প্রদান করে। AD-এ Decoy User Account, Workstation-এ Decoy Credential, File Share-এ Decoy Document রাখা যায়। যেকেউ এগুলোর সাথে Interact করলে Immediate High-Confidence Alert।

Effective Blue Team গড়ে তুলতে কয়েকটি মৌলিক নীতি অনুসরণ করুন। Coverage Map তৈরি করুন। MITRE ATT&CK-এর প্রতিটি Technique-এ আপনার Detection Coverage কেমন তা পরিমাপ করুন। DeTT&CT, ATT&CK Navigator-এর মতো Tool এতে সাহায্য করে।

Detection Engineering-কে একটি Formal Function হিসেবে প্রতিষ্ঠা করুন। Detection-as-Code Approach গ্রহণ করুন— Rule Git-এ Version Control, CI/CD Pipeline-এ Test, Peer Review।

Continuous Improvement Loop তৈরি করুন। Red Team Exercise-এর প্রতিটি Finding Detection Rule-এ পরিণত করুন। Purple Team Workshop-এ Red এবং Blue একসাথে কাজ করে Coverage Gap চিহ্নিত করুন।

SOAR বা Security Orchestration, Automation and Response Platform Deploy করুন। Phishing Email Investigation, IoC Enrichment, Account Disable-এর মতো Repetitive Task Automate করে Analyst-দের High-Value কাজে মনোযোগ দিতে সাহায্য করুন।

Training এবং Career Development-এ বিনিয়োগ করুন। SANS GCIH, GCFA, GNFA, GCDA-র মতো Certification SOC Analyst-দের দক্ষতা বাড়ায়। CyberDefenders, LetsDefend, BlueTeamLabs-এর মতো Hands-On Platform Practice-এ সাহায্য করে।

Wellness এবং Burnout প্রতিরোধে গুরুত্ব দিন। SOC কাজ মানসিকভাবে চাপের। Rotation, Reasonable Workload, Recognition— এসব Long-Term Team Retention-এ সাহায্য করে।