Database Security: কর্পোরেট ডেটাবেসকে র‍্যানসমওয়্যার এবং হ্যাকারদের হাত থেকে রক্ষা!

Database Security একটি বহুমাত্রিক বিষয়, যা প্রযুক্তিগত নিয়ন্ত্রণ, প্রশাসনিক নীতি এবং শারীরিক নিরাপত্তা— এই তিনটি স্তরে কাজ করে। প্রযুক্তিগত স্তরে আছে Encryption, Access Control, Auditing এবং Network Security। প্রশাসনিক স্তরে আছে Policy, Procedure এবং Training। শারীরিক স্তরে আছে Data Center Security, Hardware Protection এবং Disaster Recovery।

CIA Triad— Confidentiality, Integrity এবং Availability— ডেটাবেস নিরাপত্তার মৌলিক ভিত্তি। Confidentiality নিশ্চিত করে অননুমোদিত ব্যক্তি যাতে তথ্য দেখতে না পারেন। Integrity নিশ্চিত করে তথ্য অপরিবর্তিত এবং নির্ভুল থাকে। Availability নিশ্চিত করে অনুমোদিত ব্যবহারকারীরা যখন প্রয়োজন তখন তথ্য অ্যাক্সেস করতে পারেন।

Relational Database যেমন MySQL, PostgreSQL, Oracle এবং SQL Server, NoSQL Database যেমন MongoDB, Cassandra, Redis— প্রতিটি ডেটাবেস টাইপের নিজস্ব নিরাপত্তা চ্যালেঞ্জ রয়েছে। SQL ডেটাবেসগুলোতে SQL Injection একটি বহুল পরিচিত হুমকি, যেখানে NoSQL ডেটাবেসে NoSQL Injection এবং Authentication Bypass-এর মতো ভিন্ন হুমকি দেখা যায়।

Database-as-a-Service বা DBaaS-এর জনপ্রিয়তা বাড়ার সাথে সাথে Cloud Database Security আলাদা একটি গুরুত্বপূর্ণ ক্ষেত্রে পরিণত হয়েছে। Amazon RDS, Google Cloud SQL, Azure SQL Database— এসব সেবার ক্ষেত্রে নিরাপত্তা দায়িত্ব Shared Responsibility Model অনুযায়ী ভাগ হয়ে থাকে। ক্লাউড প্রোভাইডার অবকাঠামোগত নিরাপত্তা নিশ্চিত করে, কিন্তু কনফিগারেশন, অ্যাক্সেস কন্ট্রোল এবং ডেটা সুরক্ষা গ্রাহকের দায়িত্ব।

ডেটাবেসের বিরুদ্ধে আক্রমণের ধরন বহুমুখী। SQL Injection আজও OWASP Top 10-এ অন্যতম প্রধান হুমকি। আক্রমণকারী ব্যবহারকারীর ইনপুটের মাধ্যমে দুরভিসন্ধিমূলক SQL কোড সার্ভারে পাঠিয়ে অননুমোদিত তথ্য অ্যাক্সেস, পরিবর্তন বা মুছে ফেলতে পারে। Union-based, Error-based, Blind, এবং Time-based— বিভিন্ন ধরনের SQL Injection কৌশল রয়েছে। এমনকি Out-of-Band SQL Injection-এ আক্রমণকারী DNS বা HTTP request-এর মাধ্যমে তথ্য বের করে আনে।

Privilege Escalation আরেকটি গুরুতর হুমকি। যদি কোনো ব্যবহারকারী কম privilege নিয়ে ডেটাবেসে প্রবেশ করেন, কিন্তু কনফিগারেশন ত্রুটি বা সফটওয়্যার দুর্বলতার সুযোগ নিয়ে DBA-এর মতো উচ্চ ক্ষমতা অর্জন করতে পারেন, তাহলে পুরো ডেটাবেস ঝুঁকিতে পড়ে। CVE-গুলোর ইতিহাসে Oracle, MySQL এবং PostgreSQL-এ এমন বহু Privilege Escalation vulnerability নথিভুক্ত হয়েছে।

Insider Threat— অভ্যন্তরীণ হুমকি— প্রায়শই বাইরের আক্রমণের চেয়েও ভয়ংকর। অসন্তুষ্ট কর্মচারী, অসাবধান DBA, বা ঘুষ গ্রহণকারী ব্যক্তি— এরা সরাসরি ডেটাবেসে অ্যাক্সেস পেয়ে বিপুল ক্ষতি করতে পারে। ২০১৬ সালের Sage Group ডেটা ফাঁসের ঘটনায় একজন অভ্যন্তরীণ কর্মী জড়িত ছিল।

Ransomware এখন ডেটাবেসকে সরাসরি লক্ষ্য করছে। আধুনিক র‍্যানসমওয়্যার গ্রুপ যেমন LockBit, BlackCat এবং Cl0p— এরা প্রায়শই double extortion বা triple extortion কৌশল প্রয়োগ করে। তারা শুধু ডেটাবেস এনক্রিপ্ট করে না, বরং আগে কপি করে নিয়ে যায়, এবং মুক্তিপণ না পেলে ডার্ক ওয়েবে প্রকাশ করার হুমকি দেয়। MOVEit Transfer-এর মাধ্যমে Cl0p গ্রুপের আক্রমণে শত শত প্রতিষ্ঠানের ডেটাবেস ফাঁস হয়েছিল।

Misconfiguration একটি সাধারণ কিন্তু মারাত্মক সমস্যা। ইন্টারনেটে উন্মুক্ত MongoDB এবং Elasticsearch ইনস্ট্যান্স বহুবার নিউজে এসেছে। Shodan-এর মতো সার্চ ইঞ্জিন ব্যবহার করে আক্রমণকারীরা সহজেই এই ধরনের অরক্ষিত ডেটাবেস খুঁজে পায়। Default credential, weak password, এবং unnecessary network exposure— এগুলো সাধারণ ভুল।

২০২১ সালে Microsoft Exchange Server-এর ProxyLogon vulnerability-এর সুযোগ নিয়ে হ্যাকাররা বহু প্রতিষ্ঠানের ডেটাবেসে প্রবেশ করেছিল। যদিও মূল আক্রমণ Exchange-এর বিরুদ্ধে ছিল, কিন্তু সেখান থেকে পার্শ্ববর্তী ডেটাবেস সার্ভারে lateral movement-এর মাধ্যমে আক্রমণ ছড়িয়ে পড়েছিল।

Capital One-এর ২০১৯ সালের তথ্য ফাঁসের ঘটনায় প্রায় ১০০ মিলিয়ন গ্রাহকের তথ্য চুরি হয়েছিল। আক্রমণকারী একজন প্রাক্তন AWS কর্মী, যিনি Server-Side Request Forgery বা SSRF vulnerability-এর সুযোগ নিয়ে AWS metadata service থেকে credential সংগ্রহ করেছিলেন এবং এরপর S3 bucket-এ সংরক্ষিত ডেটাবেস ব্যাকআপ অ্যাক্সেস করেছিলেন।

MongoDB ডেটাবেসের বিরুদ্ধে "Meow" attack ২০২০ সালে আলোচিত হয়েছিল, যেখানে আক্রমণকারীরা অরক্ষিত MongoDB এবং Elasticsearch ইনস্ট্যান্সে সমস্ত তথ্য ডিলিট করে "meow" শব্দটি রেখে যেত। কোনো মুক্তিপণ চাওয়া হতো না— এটি ছিল বিশুদ্ধভাবে ক্ষতিকর কার্যকলাপ।

আঞ্চলিক প্রেক্ষাপটে আমরা দেখেছি, কীভাবে এক্সপোজড API endpoint বা incorrect access control-এর কারণে নাগরিক তথ্যের ডেটাবেস উন্মুক্ত হয়ে পড়ে। এই ধরনের ঘটনাগুলো সাধারণত নিরাপত্তা গবেষকরা প্রথম আবিষ্কার করেন, এবং দায়িত্বশীল প্রকাশের মাধ্যমে সংশোধনের সুযোগ দেওয়া হয়।

ডেটাবেস নিরাপত্তার জন্য Defense in Depth— বহুস্তরীয় প্রতিরক্ষা— পদ্ধতি অনুসরণ করা উচিত। প্রথম স্তরে রয়েছে Network Security। ডেটাবেস সার্ভার কখনোই সরাসরি ইন্টারনেটে উন্মুক্ত রাখা উচিত নয়। Firewall rule-এর মাধ্যমে শুধু অনুমোদিত IP থেকে সংযোগ গ্রহণ করতে হবে। Bastion Host বা VPN-এর মাধ্যমে administrative access নিয়ন্ত্রণ করা যায়। Network Segmentation প্রয়োগ করে ডেটাবেস সার্ভারকে আলাদা VLAN-এ রাখা উচিত।

দ্বিতীয় স্তরে আছে Authentication এবং Authorization। শক্তিশালী পাসওয়ার্ড নীতি প্রয়োগ করতে হবে, এবং সম্ভব হলে Multi-Factor Authentication ব্যবহার করতে হবে। Service account-এর জন্য নিয়মিত credential rotation প্রয়োজন। Role-Based Access Control বা RBAC প্রয়োগ করে প্রতিটি ব্যবহারকারীকে শুধু প্রয়োজনীয় privilege দেওয়া হয়। Principle of Least Privilege অনুসরণ করা অপরিহার্য— কেউ যেন প্রয়োজনের বেশি অ্যাক্সেস না পায়।

তৃতীয় স্তরে আছে Encryption। Encryption at Rest নিশ্চিত করে disk-এ সংরক্ষিত তথ্য এনক্রিপ্টেড থাকে। MySQL-এর InnoDB Tablespace Encryption, PostgreSQL-এর pgcrypto extension, SQL Server-এর Transparent Data Encryption— এগুলো ব্যবহার করা যায়। Encryption in Transit-এর জন্য TLS/SSL ব্যবহার বাধ্যতামূলক করতে হবে যেন network sniffing-এর মাধ্যমে credential বা তথ্য চুরি না হয়। সবচেয়ে সংবেদনশীল তথ্যের জন্য Application-level Encryption বা Tokenization বিবেচনা করা যেতে পারে।

চতুর্থ স্তরে আছে Auditing এবং Monitoring। প্রতিটি গুরুত্বপূর্ণ ডেটাবেস ক্রিয়াকলাপ— login, schema change, privileged operation, bulk data export— সব লগ করা উচিত। এই লগগুলো একটি কেন্দ্রীয় SIEM সিস্টেমে পাঠানো উচিত যেখান থেকে অস্বাভাবিক আচরণ শনাক্ত করা যায়। User and Entity Behavior Analytics বা UEBA সিস্টেম machine learning ব্যবহার করে স্বাভাবিক pattern থেকে বিচ্যুতি ধরতে পারে।

পঞ্চম স্তরে আছে Patch Management। ডেটাবেস সফটওয়্যারের নিরাপত্তা প্যাচ সময়মতো প্রয়োগ করা অত্যন্ত গুরুত্বপূর্ণ। অনেক প্রতিষ্ঠান uptime maintain করার জন্য patch পিছিয়ে দেয়, কিন্তু এটি বিপজ্জনক। Rolling update বা Blue-Green deployment ব্যবহার করে downtime ছাড়াই patch প্রয়োগ করা সম্ভব।

SQL Injection প্রতিরোধের জন্য Parameterized Query বা Prepared Statement ব্যবহার করতে হবে। কখনোই user input সরাসরি SQL query-তে concatenate করা যাবে না। ORM ব্যবহার করলে অধিকাংশ ক্ষেত্রে SQL Injection স্বয়ংক্রিয়ভাবে প্রতিরোধ হয়, তবে raw query লিখলে অবশ্যই সতর্ক থাকতে হবে। Web Application Firewall বা WAF অতিরিক্ত প্রতিরক্ষা স্তর হিসেবে কাজ করতে পারে।

র‍্যানসমওয়্যার আক্রমণের বিরুদ্ধে সবচেয়ে কার্যকর প্রতিরক্ষা হলো নির্ভরযোগ্য Backup। 3-2-1 backup rule অনুসরণ করা উচিত— তিনটি কপি, দুটি ভিন্ন মাধ্যমে, একটি offsite। আধুনিক best practice-এ এটিকে 3-2-1-1-0 rule-এ সম্প্রসারিত করা হয়েছে, যেখানে অতিরিক্ত একটি immutable বা air-gapped backup এবং zero error verification যুক্ত হয়েছে।

Immutable Backup— যা পরিবর্তন বা মুছে ফেলা যায় না নির্দিষ্ট সময় পর্যন্ত— র‍্যানসমওয়্যারের বিরুদ্ধে অত্যন্ত কার্যকর। AWS S3 Object Lock, Azure Immutable Blob Storage, এবং বিভিন্ন backup vendor-এর immutability feature এই কাজ করে। অনেক আধুনিক র‍্যানসমওয়্যার আক্রমণে দেখা গেছে আক্রমণকারীরা আগে backup destroy করার চেষ্টা করে, তাই backup-এর নিরাপত্তা এবং বিচ্ছিন্নতা গুরুত্বপূর্ণ।

Recovery Time Objective বা RTO এবং Recovery Point Objective বা RPO— এই দুটি metric ব্যবসায়িক প্রয়োজনের ভিত্তিতে নির্ধারণ করতে হবে। নিয়মিত backup restoration test করতে হবে— কারণ অনেক প্রতিষ্ঠান শুধু আক্রমণের পরই বুঝতে পারে তাদের backup কাজ করছে না। Disaster Recovery Drill বছরে অন্তত একবার করা উচিত।

Database Activity Monitoring বা DAM হলো একটি বিশেষ ক্যাটাগরির সিকিউরিটি টুল, যা ডেটাবেসের সমস্ত কার্যকলাপ রিয়েল-টাইমে পর্যবেক্ষণ করে। IBM Guardium, Imperva SecureSphere, Oracle Audit Vault— এগুলো জনপ্রিয় DAM সমাধান। DAM টুল agent-based বা agent-less পদ্ধতিতে কাজ করতে পারে এবং policy violation, suspicious query pattern এবং data exfiltration attempt শনাক্ত করতে পারে।

Data Loss Prevention বা DLP সিস্টেম ডেটাবেস থেকে সংবেদনশীল তথ্যের অননুমোদিত export ঠেকাতে সাহায্য করে। ক্রেডিট কার্ড নম্বর, সামাজিক নিরাপত্তা নম্বর বা ব্যক্তিগত তথ্য বড় পরিমাণে export হলে DLP সিস্টেম alert তৈরি করে বা সরাসরি block করে।

Database Firewall এক ধরনের বিশেষায়িত WAF, যা SQL traffic বিশ্লেষণ করে। এটি অনুমোদিত query pattern শিখতে পারে এবং অস্বাভাবিক query block করতে পারে। Whitelist এবং blacklist policy কনফিগার করা যায়।

বিভিন্ন শিল্প খাতের নিজস্ব Compliance প্রয়োজনীয়তা রয়েছে যা ডেটাবেস নিরাপত্তাকে প্রভাবিত করে। আর্থিক সেক্টরের জন্য PCI DSS কঠোর encryption এবং access control নিয়ম প্রয়োগ করে। স্বাস্থ্যসেবা ক্ষেত্রে HIPAA রোগীর তথ্যের সুরক্ষা নিশ্চিত করে। GDPR এবং অন্যান্য Privacy আইন ব্যক্তিগত তথ্যের সুরক্ষাকে কেন্দ্র করে। SOX আর্থিক প্রতিবেদনের নির্ভুলতা এবং integrity নিশ্চিত করার জন্য database audit trail বাধ্যতামূলক করে।

ISO 27001 এবং NIST Cybersecurity Framework— এসব ফ্রেমওয়ার্ক প্রতিষ্ঠানগুলোকে একটি কাঠামোগত পদ্ধতিতে ডেটাবেস নিরাপত্তা গড়ে তুলতে সাহায্য করে। Regular Security Assessment, Vulnerability Scanning এবং Penetration Testing— এগুলো compliance-এর অংশ।