Configuration Auditing: ভুল কনফিগারেশনের কারণে সাইবার হামলার ঝুঁকি কমানোর উপায়!

Configuration Auditing হলো একটি systematic প্রক্রিয়া যেখানে IT system, network device, application এবং cloud resource-এর configuration setting-কে established baseline বা security standard-এর সাথে তুলনা করে evaluate করা হয়। এর প্রধান লক্ষ্য হলো deviation, vulnerability, এবং non-compliance চিহ্নিত করা।

Configuration Auditing-এর তিনটি মূল উদ্দেশ্য:

• Security Hardening: Attack surface কমানো
• Compliance: Regulatory framework (PCI DSS, HIPAA, ISO 27001) মেনে চলা
• Operational Stability: Misconfiguration-জনিত downtime এড়ানো

NIST SP 800-128 (Guide for Security-Focused Configuration Management) অনুসারে configuration management-এর চারটি phase: Planning, Identifying & Implementing Configurations, Controlling Configuration Changes, এবং Monitoring।

বিভিন্ন domain-এ বিভিন্ন ধরনের misconfiguration দেখা যায়।

Network Misconfiguration:

• Open ports যেগুলো প্রয়োজন নেই
• Default firewall rule (allow all)
• VPN-এ weak encryption
• Misconfigured ACL
• Public-facing management interface

Operating System Misconfiguration:

• Default credential বহাল
• Unnecessary service চালু
• Outdated software/patch missing
• Weak password policy
• Audit logging disabled

Cloud Misconfiguration:

• Public S3 bucket/Azure Blob
• Over-privileged IAM role
• Default security group "0.0.0.0/0 SSH"
• Unencrypted database
• CloudTrail/Activity Log disabled

Application Misconfiguration:

• Default admin password
• Debug mode in production
• Verbose error message (information disclosure)
• Missing security headers
• CORS misconfiguration

Database Misconfiguration:

• No authentication (MongoDB, Elasticsearch publicly exposed)
• Default port
• Weak password
• No encryption at rest
• Unnecessary privileges

Container/Kubernetes Misconfiguration:

• Privileged container
• Root user inside container
• Network policy অনুপস্থিত
• Secret in environment variable
• RBAC over-permissive

Configuration audit-এর জন্য বিভিন্ন authoritative benchmark আছে।

CIS Benchmarks: Center for Internet Security-এর তৈরি, ১৪০+ technology-র জন্য consensus-based hardening guide। Windows, Linux, AWS, Azure, GCP, Kubernetes—সব কিছুর জন্য আছে।

DISA STIGs: Defense Information Systems Agency-র Security Technical Implementation Guide। US DoD environment-এ বাধ্যতামূলক।

NIST Checklists: NCP (National Checklist Program)-এ বিভিন্ন product-এর security checklist।

Vendor Hardening Guides: Microsoft Security Baseline, Red Hat Security Guide, AWS Well-Architected Framework।

Compliance Frameworks: PCI DSS, HIPAA, SOC 2, ISO 27001, GDPR—প্রতিটিতেই configuration-related requirement।

OWASP Application Security Verification Standard (ASVS): Web application configuration-এর জন্য।

একটি কার্যকর audit process কয়েকটি ধাপে বিভক্ত।

Phase 1 - Planning: Scope নির্ধারণ করুন। কোন system, কোন framework, কোন level (Level 1: basic, Level 2: enhanced)। Stakeholder identify করুন।

Phase 2 - Asset Inventory: কী আছে সেটাই যদি না জানেন, audit করবেন কীভাবে? Comprehensive asset inventory তৈরি করুন। CMDB (Configuration Management Database) maintain করুন।

Phase 3 - Baseline Definition: Each system type-এর জন্য secure baseline define করুন। CIS Benchmark বা DISA STIG থেকে নিতে পারেন।

Phase 4 - Data Collection: Automated tool দিয়ে current configuration collect করুন। Agent-based, agentless, বা API-based।

Phase 5 - Comparison & Analysis: Current state-কে baseline-এর সাথে compare করুন। Deviation chart তৈরি করুন।

Phase 6 - Risk Prioritization: সব finding সমান গুরুত্বপূর্ণ নয়। CVSS score, business impact-এর ভিত্তিতে prioritize করুন।

Phase 7 - Remediation: Critical issue immediately fix করুন। Less critical-এর জন্য POA&M তৈরি করুন।

Phase 8 - Verification: Remediation-এর পর re-audit করে confirm করুন issue resolve হয়েছে।

Phase 9 - Continuous Monitoring: One-time audit যথেষ্ট নয়। Continuous monitoring তৈরি করুন।

Phase 10 - Reporting: Stakeholder-এর জন্য executive summary ও detailed technical report তৈরি করুন।

বিভিন্ন category-তে বিভিন্ন tool আছে।

General Purpose:

• Tenable Nessus: Comprehensive vulnerability ও configuration scanner। CIS, DISA STIG audit policy built-in।
• Qualys VMDR: Cloud-based configuration assessment।
• Rapid7 InsightVM: Vulnerability ও policy management।

Cloud-specific:

• Prowler: AWS, Azure, GCP-এর জন্য open-source security assessment।
• ScoutSuite: Multi-cloud security auditing।
• CloudSploit: Cloud configuration scanner (Aqua-র অধিভুক্ত)।
• AWS Config: Native AWS service।
• Azure Policy: Native Azure service।

CSPM (Cloud Security Posture Management):

• Wiz, Orca Security, Lacework: Agentless cloud security platform।
• Prisma Cloud (Palo Alto): Comprehensive CSPM।

Container/Kubernetes:

• Kube-bench: Kubernetes CIS Benchmark check।
• Kubescape: Kubernetes security posture।
• Trivy: Container image, IaC, ও config scanning।
• Falco: Runtime security।

Infrastructure as Code:

• Checkov: IaC (Terraform, CloudFormation, K8s) static analysis।
• tfsec: Terraform security scanner।
• TerraScan: Multi-IaC scanner।

Open Source:

• OpenSCAP: SCAP (Security Content Automation Protocol) implementation।
• Lynis: Linux/Unix security auditing।
• CIS-CAT: CIS-প্রদত্ত official assessment tool।

Capital One (2019): Misconfigured AWS WAF-এর কারণে SSRF, যা EC2 IAM role exploit করে ১০ কোটি গ্রাহকের ডেটা ফাঁস করে। শিক্ষা: WAF rule নিয়মিত audit করুন।

Microsoft Power Apps (2021): Default configuration-এ Power Apps portal anonymous user-দের sensitive data দেখাত। ৩৮ মিলিয়ন record exposed। শিক্ষা: Default-এ trust করবেন না।

MongoDB Public Exposure (Various): ২০১৭-২০২০ সময়ে অসংখ্য MongoDB instance বিনা authentication-এ ইন্টারনেটে exposed পাওয়া গেছে। Shodan সার্চে এসব সহজে দৃশ্যমান।

Elasticsearch Misconfiguration: Cit0Day breach-এ ২২.৬ কোটি unique email ও password Elasticsearch থেকে exposed।

Snowflake (2024): ছোট misconfiguration ও weak credential-এর কারণে Ticketmaster, AT&T সহ অনেক বড় কোম্পানির ডেটা breach। Snowflake account-এ MFA enable না থাকা ছিল মূল কারণ।

Toyota (2023): Cloud misconfiguration-এর কারণে ২ মিলিয়ন কাস্টমারের ১০ বছরের vehicle data exposed।

One-time audit যথেষ্ট নয়। Configuration drift নিয়মিত হয়—কেউ একটি change করে, কেউ test-এর জন্য temporary opening করে, তারপর ভুলে যায়।

Drift Detection: Configuration baseline থেকে যেকোনো deviation real-time detect করতে হবে। AWS Config, Azure Policy automated drift detection-এ সাহায্য করে।

Change Management: Every configuration change-এর জন্য approved change request থাকতে হবে। ITIL-based change management process অনুসরণ করুন।

Immutable Infrastructure: Instead of updating existing servers, completely replace them with new ones from a hardened image। এতে drift impossible হয়ে যায়।

Policy as Code: Open Policy Agent (OPA), HashiCorp Sentinel, AWS Service Control Policies—এসব দিয়ে policy code-এ লিখুন এবং automate enforce করুন।

GitOps: Infrastructure-এর সব change Git-এ commit করুন এবং automated pipeline-এর মাধ্যমে apply করুন। Audit trail automatically তৈরি হয়।

Configuration audit-কে production-এ চালানো যথেষ্ট নয়। Shift-left approach-এ development phase-এই audit শুরু করুন।

Pre-commit Hooks: Developer যখন code commit করছে, তখনই IaC security scan চালান। gitleaks দিয়ে secret detection।

CI/CD Pipeline Integration: Build pipeline-এ Checkov, tfsec, Trivy integrate করুন। Critical finding থাকলে build fail করুন।

Pull Request Automation: PR-এ automatic configuration review comment। Reviewer-দের context দিন।

Developer Training: Security training developer-দের দিন। Secure-by-default config-এর importance বোঝান।

Golden Images: Hardened OS image (CIS-hardened AMI, Bottlerocket) ব্যবহার করুন।

কার্যকর configuration security program-এর জন্য নিচের অনুশীলনগুলো অনুসরণ করুন।

Establish Secure Baselines: প্রতিটি system type-এর জন্য documented, approved baseline তৈরি করুন।

Automate Everything: Manual audit error-prone ও inefficient। যেখানে সম্ভব automation ব্যবহার করুন।

Risk-Based Prioritization: সব misconfiguration immediately fix করার চেয়ে business risk-এর ভিত্তিতে prioritize করুন।

Integrate with SIEM: Configuration change event SIEM-এ পাঠান। Anomalous change-এ alert তৈরি করুন।

Regular Penetration Testing: Pentester-রা প্রায়ই misconfiguration-ই exploit করে initial access পায়। তাদের finding দিয়ে audit baseline update করুন।

Vendor Management: Third-party SaaS-এর configuration responsibility নিজেদের, default trust করবেন না। SSPM (SaaS Security Posture Management) tool ব্যবহার করুন।

Documentation: প্রতিটি configuration decision document করুন। Why-it-is-set-this-way knowledge হারিয়ে গেলে security gap তৈরি হয়।

Training & Culture: "Security is everyone's job" culture তৈরি করুন। Developer, DevOps, sysadmin সবাইকে configuration security-তে train করুন।

Tabletop Exercises: Misconfiguration-জনিত incident simulate করুন। IR plan test করুন।

Compliance Mapping: আপনার audit framework-কে relevant compliance requirement-এর সাথে map করুন যাতে dual-purpose কাজ হয়।