Deception Technology: হ্যাকারদের বিভ্রান্ত করতে কর্পোরেট নেটওয়ার্কে সাইবার মরীচিকা!

Deception Technology হলো একটি সাইবার প্রতিরক্ষা কৌশল, যেখানে ইচ্ছাকৃতভাবে ভুয়া সম্পদ, নকল সিস্টেম, এবং বিভ্রান্তিকর তথ্য নেটওয়ার্কের বিভিন্ন স্তরে স্থাপন করা হয়। এর মূল উদ্দেশ্য হলো আক্রমণকারীকে এমন একটি পরিবেশে আকৃষ্ট করা যেখানে সে বুঝতে পারবে না কোনটি বাস্তব আর কোনটি ফাঁদ।

ঐতিহ্যবাহী Honeypot এই ধারণার প্রাথমিক রূপ। একটি honeypot হলো একটি একক ভুয়া সিস্টেম যা আক্রমণকারীকে আকর্ষণ করার জন্য ডিজাইন করা হয়। কিন্তু আধুনিক Deception Technology এর চেয়ে অনেক বেশি বিস্তৃত। এতে রয়েছে Honeynet (একাধিক honeypot-এর জাল), Honeytoken (ভুয়া credential বা ফাইল), Decoy Server, Decoy Document, এমনকি ভুয়া Active Directory account।

Honeypot-এর বিভিন্ন স্তর রয়েছে। Low-Interaction Honeypot সীমিত সেবা অনুকরণ করে— যেমন একটি ভুয়া SSH banner প্রদর্শন। High-Interaction Honeypot পুরোপুরি কার্যকর অপারেটিং সিস্টেম এবং অ্যাপ্লিকেশন চালায়, যেখানে আক্রমণকারী আসল সিস্টেমের মতো interact করতে পারে। Pure Honeypot হলো একটি সম্পূর্ণ production-grade সিস্টেম যা শুধুমাত্র আক্রমণকারীকে পর্যবেক্ষণের জন্য সংরক্ষিত।

আধুনিক Deception Platform যেমন TrapX, Illusive Networks, Attivo Networks (বর্তমানে SentinelOne-এর অংশ), এবং Acalvio— এসব সমাধান গোটা প্রতিষ্ঠানের জুড়ে বিস্তৃত deception fabric তৈরি করে। এই fabric প্রতিটি endpoint, server, এবং network segment-এ ভুয়া artifact ছড়িয়ে দেয়, যা আক্রমণকারীকে অবশ্যম্ভাবীভাবে কোনো না কোনো ফাঁদে পা দিতে বাধ্য করে।

Deception Technology-র কার্যপদ্ধতি বহুমুখী। প্রথম স্তরে রয়েছে Decoy Asset— ভুয়া সার্ভার, ভুয়া workstation এবং ভুয়া IoT ডিভাইস। এগুলো বাস্তব নেটওয়ার্কে এমনভাবে স্থাপন করা হয় যেন আক্রমণকারী reconnaissance চালানোর সময় এদের আবিষ্কার করে এবং আগ্রহী হয়। প্রতিটি decoy-তে আকর্ষণীয় service running থাকে— ভুয়া database server, ভুয়া file share, এমনকি দুর্বল মনে হওয়া ভুয়া web application।

দ্বিতীয় স্তরে আছে Breadcrumb বা Lure। এগুলো হলো ছোট ছোট তথ্যের টুকরো যা production endpoint-এ ছড়িয়ে রাখা হয়, যাতে আক্রমণকারী এদের অনুসরণ করে decoy-এর দিকে যায়। উদাহরণস্বরূপ, একটি workstation-এর browser history-তে ভুয়া internal portal-এর URL রাখা যেতে পারে, registry-তে ভুয়া credential রাখা যেতে পারে, অথবা RDP connection history-তে ভুয়া server-এর address রাখা যেতে পারে।

তৃতীয় স্তরে আছে Honeytoken। এগুলো হলো ভুয়া তথ্য, যা ব্যবহার করা হলেই alert তৈরি হয়। যেমন একটি ভুয়া AWS access key যেটি ব্যবহার করা হলে CloudTrail-এ ধরা পড়ে, বা একটি ভুয়া document যেটি খোলা হলে call home করে। Canary Token হলো honeytoken-এর জনপ্রিয় একটি বাস্তবায়ন— Thinkst Canary-এর মতো সেবা এই ধারণাটিকে সহজলভ্য করেছে।

চতুর্থ স্তরে রয়েছে Active Directory Deception। আক্রমণকারীরা সাধারণত domain compromise-এর জন্য AD-তে privilege escalation চালায়। Deception platform AD-তে ভুয়া user account, service account এবং group তৈরি করে, যেগুলো ব্যবহার করার চেষ্টা হলেই উচ্চ-প্রাধান্যের alert তৈরি হয়।

পঞ্চম স্তরে আছে Application-Level Deception। Database-এ ভুয়া table এবং row যোগ করা হয়, যেগুলো query করা হলে alert তৈরি হয়। Web application-এ ভুয়া admin panel এবং hidden directory তৈরি করা হয়, যেগুলোতে scan চালালে আক্রমণকারীকে চিহ্নিত করা যায়।

প্রকৃত পরিবেশে Deception Technology বহু সফল ঘটনার নায়ক। Symantec-এর একটি case study-তে দেখানো হয়েছিল কীভাবে একটি financial institution তাদের network-এ deception স্থাপন করে একটি advanced persistent threat group শনাক্ত করেছিল, যা প্রায় তিন মাস ধরে অজান্তে lateral movement চালাচ্ছিল।

Energy sector-এর একটি প্রতিষ্ঠানে SCADA এবং Industrial Control System-এর জন্য বিশেষায়িত deception স্থাপন করা হয়েছিল। একটি ভুয়া HMI— Human Machine Interface— তৈরি করে রাখা হয়েছিল, যা আসলটার মতো দেখতে কিন্তু production network থেকে বিচ্ছিন্ন। যখন একটি nation-state actor এই HMI-তে প্রবেশের চেষ্টা করেছিল, তখন প্রতিষ্ঠান তাদের TTPs— Tactics, Techniques, and Procedures— বিস্তারিত নথিভুক্ত করতে পেরেছিল।

Healthcare sector-এ একটি প্রতিষ্ঠান ভুয়া patient record তৈরি করেছিল— এমন তথ্য যা দেখে আক্রমণকারীর কাছে মূল্যবান মনে হবে। যখন এই record export করার চেষ্টা হয়েছিল, তখন তাৎক্ষণিকভাবে alert তৈরি হয়েছিল এবং প্রতিষ্ঠান একটি data exfiltration attempt প্রতিরোধ করতে সক্ষম হয়েছিল।

বিখ্যাত MITRE Engage framework— পূর্বে Shield নামে পরিচিত— Deception-কে একটি কাঠামোগত পদ্ধতিতে integrate করার নির্দেশনা দেয়। এতে প্রতিটি adversary technique-এর বিরুদ্ধে কোন ধরনের deception কার্যকর— তা বিশদভাবে বর্ণিত আছে।

Deception Technology-র মূল শক্তি হলো এর False Positive Rate প্রায় শূন্য। ঐতিহ্যবাহী IDS/IPS অসংখ্য false positive তৈরি করে, যা analyst-দের alert fatigue-এ আক্রান্ত করে। কিন্তু কোনো বৈধ ব্যবহারকারীর decoy-এর সাথে interact করার কোনো কারণ নেই— তাই deception alert প্রায় সবসময়ই প্রকৃত হুমকির ইঙ্গিত দেয়।

EDR বা XDR সমাধান আচরণ বিশ্লেষণের ওপর নির্ভর করে, যা পরিশীলিত আক্রমণকারীরা— যারা legitimate tool ব্যবহার করে— এড়িয়ে যেতে পারে। Living-off-the-Land Binary বা LOLBin ব্যবহার করে আক্রমণকারীরা normal admin কার্যক্রমের মতো আচরণ করে। কিন্তু deception-এ পা দিলে আক্রমণকারী ধরা পড়বেই, কারণ এই সম্পদগুলোর সাথে interact করার কোনো বৈধ কারণ নেই।

SIEM সমাধান বিপুল পরিমাণ লগ বিশ্লেষণ করে, যা data overload-এর সমস্যা তৈরি করে। Deception উচ্চ-মানের, কম-ভলিউমের alert তৈরি করে যা সরাসরি কার্যক্রমে নেওয়ার যোগ্য।

তবে Deception একা সম্পূর্ণ সমাধান নয়। এটি অন্যান্য নিরাপত্তা স্তরের সাথে— EDR, NDR, SIEM, IAM— একসাথে কাজ করে। Defense in Depth-এর অংশ হিসেবেই deception-এর সর্বোচ্চ মূল্য।

Deception Technology বাস্তবায়ন করার সময় কিছু চ্যালেঞ্জের মুখোমুখি হতে হয়। প্রথমত, decoy-গুলো বাস্তবসম্মত হতে হবে। যদি একটি ভুয়া server-এ এক্সিস্টিং কোনো production system-এর সাথে অসামঞ্জস্যপূর্ণ banner বা service থাকে, তবে পরিশীলিত আক্রমণকারী এটিকে honeypot হিসেবে চিনে ফেলবে। তাই production environment-এর সাথে মিল রেখে decoy তৈরি করতে হয়।

দ্বিতীয়ত, Maintenance overhead। প্রতিষ্ঠানের প্রকৃত পরিবেশ পরিবর্তনের সাথে সাথে deception fabric-ও আপডেট করতে হয়। নতুন application deploy করলে, পুরনো server retire করলে— deception layer-ও সমন্বয় করতে হবে। Manual maintenance ব্যয়বহুল এবং ভুল-প্রবণ, তাই আধুনিক platform automated provisioning এবং dynamic adaptation সরবরাহ করে।

তৃতীয়ত, Legal এবং Ethical বিবেচনা। Honeypot-এ যদি আক্রমণকারী malicious code রাখে এবং সেটা থেকে অন্য কোথাও আক্রমণ ছড়ায়, তবে দায়িত্ব কার? Active defense বা "hack back"— deception-এর সম্প্রসারণে— অনেক দেশে আইনত নিষিদ্ধ। তাই deception strategy আইনি পরামর্শ নিয়ে ডিজাইন করতে হবে।

চতুর্থত, Detection by Adversary। পরিশীলিত আক্রমণকারীরা— বিশেষত nation-state actor— honeypot detection technique সম্পর্কে অবগত। তারা virtual machine fingerprinting, timing analysis, এবং environmental checking-এর মাধ্যমে deception শনাক্ত করার চেষ্টা করতে পারে। তাই hardware-level deception বা সম্পূর্ণ বাস্তব production-grade decoy বেশি কার্যকর।

Deception Technology সফলভাবে ব্যবহার করার জন্য কিছু সেরা অনুশীলন রয়েছে। প্রথমত, একটি স্পষ্ট লক্ষ্য নির্ধারণ করতে হবে— কী ধরনের আক্রমণকারীকে আপনি ধরতে চান। Insider threat-এর জন্য workstation-level breadcrumb কার্যকর, যেখানে external threat-এর জন্য network-level decoy বেশি প্রাসঙ্গিক।

দ্বিতীয়ত, Strategic placement। সবচেয়ে মূল্যবান সম্পদের কাছাকাছি, এবং সাধারণ lateral movement path-এ deception বসাতে হবে। আক্রমণকারীরা সাধারণত DMZ থেকে internal network-এ যায়, এরপর domain controller-এর দিকে এগোয়। এই পথে deception বসালে আক্রমণকারী সহজেই ফাঁদে পড়বে।

তৃতীয়ত, Integration with existing security stack। Deception platform-এর alert SIEM, SOAR এবং EDR-এর সাথে integrated হতে হবে। আক্রমণকারী যখন একটি decoy স্পর্শ করে, তখন স্বয়ংক্রিয়ভাবে তার endpoint isolate করা, network access বন্ধ করা, এবং incident response team-কে notify করা— এই ধরনের automated response প্রয়োজন।

চতুর্থত, Threat Intelligence-এর সাথে সমন্বয়। Deception থেকে যে TTPs সংগ্রহ করা হয়, সেগুলো MITRE ATT&CK framework অনুযায়ী মাপা যায় এবং অন্যান্য নিরাপত্তা সরঞ্জামকে আপডেট করতে ব্যবহার করা যায়। IOC এবং TTPs threat intelligence platform-এ ফিড করে অন্যান্য defense layer-কে শক্তিশালী করা যায়।

পঞ্চমত, Continuous improvement। আক্রমণকারীদের কৌশল পরিবর্তিত হয়, তাই deception-ও বিকশিত হতে হবে। নিয়মিত red team exercise পরিচালনা করে deception-এর কার্যকারিতা যাচাই করতে হবে। Purple team approach-এ red এবং blue team একসাথে কাজ করে deception fabric উন্নত করতে পারে।

Deception Technology-র ভবিষ্যৎ AI এবং Machine Learning-এর সাথে গভীরভাবে জড়িত। AI-driven deception platform স্বয়ংক্রিয়ভাবে production environment বিশ্লেষণ করে বাস্তবসম্মত decoy তৈরি করতে পারে। Generative AI ব্যবহার করে ভুয়া document, ভুয়া communication এবং ভুয়া activity log তৈরি করা যেতে পারে যা আক্রমণকারীকে বিশ্বাসযোগ্য মনে হবে।

Cloud-Native Deception আরেকটি বর্ধনশীল ক্ষেত্র। Multi-cloud environment-এ কনটেইনার, serverless function, এবং Kubernetes pod-এর মধ্যে deception স্থাপন করা হচ্ছে। API-level deception— ভুয়া endpoint তৈরি করা যা scanner-দের ফাঁদে ফেলবে— এটি বিশেষভাবে গুরুত্বপূর্ণ হয়ে উঠছে।

OT এবং IoT environment-এ deception আরেকটি ক্রমবর্ধমান চাহিদা। Industrial Control System-এর জন্য বিশেষায়িত deception— যেমন ভুয়া PLC এবং SCADA system— critical infrastructure সুরক্ষায় গুরুত্বপূর্ণ ভূমিকা পালন করছে।