Exposure Management: সাইবার আক্রমণের সম্ভাব্য রুট শনাক্ত এবং প্রতিরোধ ব্যবস্থা!

Exposure Management হলো একটি কাঠামোগত প্রক্রিয়া যার মাধ্যমে প্রতিষ্ঠান তাদের আক্রমণ পৃষ্ঠ বা Attack Surface শনাক্ত করে, প্রতিটি সম্ভাব্য আক্রমণ পথ বিশ্লেষণ করে, ঝুঁকির ভিত্তিতে অগ্রাধিকার নির্ধারণ করে এবং প্রতিরক্ষামূলক ব্যবস্থা গ্রহণ করে। ঐতিহ্যবাহী Vulnerability Management থেকে এটি আলাদা কারণ এর পরিধি অনেক বিস্তৃত। শুধু সফটওয়্যার বাগ নয়, এর মধ্যে আছে ভুল কনফিগারেশন, দুর্বল পরিচয় ব্যবস্থা, উন্মুক্ত ক্লাউড স্টোরেজ, ছায়া আইটি, সরবরাহ চেইন নির্ভরতা এবং মানব ভুল।

মূল ধারণাটি হলো প্রতিষ্ঠানের সব Exposure কে এক জায়গায় দেখা এবং বুঝা যে কোন Exposure বাস্তব আক্রমণে ব্যবহার হতে পারে। একটি দুর্বলতা থাকা মানেই ঝুঁকি নয়; সেই দুর্বলতা যদি ইন্টারনেট থেকে অ্যাক্সেসযোগ্য না হয়, প্রয়োজনীয় ব্যবসায়িক ডেটায় পৌঁছাতে না দেয়, কিংবা আক্রমণকারীর কাছে এর কোনো Exploit না থাকে, তাহলে এটি প্রকৃত হুমকি নয়। Exposure Management এই সূক্ষ্ম পার্থক্য বুঝতে সাহায্য করে।

Gartner প্রস্তাবিত CTEM ফ্রেমওয়ার্ক পাঁচটি ধারাবাহিক ধাপে কাজ করে। প্রথম ধাপ হলো Scoping, যেখানে প্রতিষ্ঠান নির্ধারণ করে কোন কোন ডিজিটাল সম্পদ, প্রক্রিয়া এবং অংশ এই মূল্যায়নের অন্তর্ভুক্ত হবে। এই ধাপে ব্যবসায়িক অগ্রাধিকার বিবেচনায় নেওয়া হয়—যেমন গ্রাহক ডেটা, আর্থিক সিস্টেম, মেধাসম্পদ।

দ্বিতীয় ধাপ Discovery তে স্কোপের মধ্যে থাকা সব সম্পদ, পরিচয়, এবং কনফিগারেশন আবিষ্কার করা হয়। এতে External Attack Surface Management টুল, Cloud Security Posture Management সমাধান এবং Network Discovery স্ক্যানার ব্যবহৃত হয়। অনেক প্রতিষ্ঠানই অবাক হয়ে আবিষ্কার করে যে তাদের নামে অসংখ্য ভুলে যাওয়া সাবডোমেইন, পরিত্যক্ত ক্লাউড অ্যাকাউন্ট, এবং অজানা সফটওয়্যার চলছে।

তৃতীয় ধাপ Prioritization এ Exposure গুলোকে বাস্তব ঝুঁকির ভিত্তিতে সাজানো হয়। শুধু CVSS স্কোর নয়, বরং সম্পদের গুরুত্ব, আক্রমণকারীর কাছে Exploit এর প্রাপ্যতা, এবং অন্যান্য নিরাপত্তা স্তরের অবস্থা বিবেচনায় আনা হয়। চতুর্থ ধাপ Validation এ Penetration Testing, Red Teaming, বা Breach and Attack Simulation টুল ব্যবহার করে যাচাই করা হয় যে চিহ্নিত Exposure আসলেই Exploitable কিনা। পঞ্চম এবং সর্বশেষ ধাপ Mobilization এ পুরো প্রতিষ্ঠানকে—আইটি, সিকিউরিটি, বিজনেস ইউনিট—এই Exposure মোকাবিলায় সমন্বিতভাবে কাজ করতে হবে।

প্রতিষ্ঠানের Attack Surface এখন আগের তুলনায় বহুগুণ বৃহৎ। External Attack Surface এ আছে সব পাবলিক ওয়েবসাইট, API, VPN গেটওয়ে, ইমেইল সার্ভার, এবং অংশীদার পোর্টাল। Internal Attack Surface অন্তর্ভুক্ত করে ফাইল সার্ভার, Active Directory, ডাটাবেস এবং অভ্যন্তরীণ অ্যাপ্লিকেশন। Cloud Attack Surface এ পাবলিক ক্লাউড একাউন্ট, কন্টেইনার, কুবেরনেটিস ক্লাস্টার, সার্ভারলেস ফাংশন—এই সব।

Identity Attack Surface সম্ভবত সবচেয়ে বেশি অবহেলিত। প্রতিষ্ঠানের সব ব্যবহারকারী একাউন্ট, সেবা একাউন্ট, ক্লাউড আইডেন্টিটি, এবং API Token—প্রতিটি একটি সম্ভাব্য প্রবেশদ্বার। OAuth অনুমতি, MFA এর অভাব, অতিরিক্ত প্রিভিলেজ—এই সব Identity Exposure।

Supply Chain Attack Surface এর গুরুত্ব SolarWinds ঘটনার পর সবাই বুঝেছে। আপনার প্রতিষ্ঠানের নিরাপত্তা শুধু আপনার নিজের কাজের ওপর নয়, বরং আপনি যেসব সফটওয়্যার, লাইব্রেরি, এবং পরিষেবা ব্যবহার করেন—তাদের সবার নিরাপত্তার ওপরও নির্ভরশীল। এই সমস্ত Attack Surface এর একটি সমন্বিত চিত্র তৈরি করাই Exposure Management এর মূল চ্যালেঞ্জ।

ঐতিহ্যবাহী Vulnerability Management প্রোগ্রাম সাধারণত মাসিক বা ত্রৈমাসিক স্ক্যান চালায় এবং CVSS স্কোরের ভিত্তিতে প্যাচ অগ্রাধিকার নির্ধারণ করে। এই পদ্ধতির বেশ কিছু সমস্যা আছে। প্রথমত, আজকের পরিবেশে নতুন সম্পদ এবং দুর্বলতা প্রতিদিন যুক্ত হয়, তাই মাসিক স্ক্যান যথেষ্ট নয়। দ্বিতীয়ত, CVSS স্কোর প্রায়শ বাস্তব ঝুঁকির প্রতিফলন নয়—একটি ৯.৮ স্কোরের দুর্বলতা যদি কোনো সম্পদ অ্যাক্সেসযোগ্য নয় এমন সিস্টেমে থাকে, তা প্রকৃত ঝুঁকি কম।

তৃতীয়ত, প্রতিষ্ঠানে হাজার হাজার দুর্বলতা থাকতে পারে, কিন্তু সবগুলো প্যাচ করার সম্পদ নেই। বাস্তব ঝুঁকির ভিত্তিতে অগ্রাধিকার নির্ধারণ অপরিহার্য। চতুর্থত, Vulnerability Management সাধারণত সফটওয়্যার বাগের ওপর কেন্দ্রীভূত, কিন্তু আজকের অধিকাংশ আক্রমণ শুরু হয় Misconfiguration এবং Identity দুর্বলতা থেকে। Exposure Management এই সব দিক একসাথে দেখে।

বাজারে অসংখ্য টুল এবং প্ল্যাটফর্ম রয়েছে যা Exposure Management এর বিভিন্ন দিক সম্বোধন করে। External Attack Surface Management বা EASM টুল যেমন Censys, Shodan, Microsoft Defender External Attack Surface Management এবং Mandiant Attack Surface Management প্রতিষ্ঠানের ইন্টারনেট মুখী সম্পদ আবিষ্কার করে।

Cloud Security Posture Management বা CSPM টুল যেমন Wiz, Orca Security, Prisma Cloud এবং Lacework ক্লাউড পরিবেশে ভুল কনফিগারেশন এবং নীতি লঙ্ঘন শনাক্ত করে। Identity Threat Detection and Response বা ITDR সমাধান যেমন Semperis, Silverfort এবং Microsoft Defender for Identity পরিচয় ভিত্তিক হুমকি পর্যবেক্ষণ করে।

Breach and Attack Simulation বা BAS প্ল্যাটফর্ম যেমন SafeBreach, AttackIQ, Cymulate প্রতিষ্ঠানের প্রতিরক্ষাকে নিরাপদ পরিবেশে আক্রমণের অনুকরণ করে পরীক্ষা করে। Exposure Assessment Platform যেমন Tenable One, Qualys VMDR, Rapid7 InsightVM এই সব ডেটা একত্রিত করে ঝুঁকি অগ্রাধিকার নির্ধারণে সাহায্য করে।

২০২০ সালের SolarWinds Supply Chain Attack Exposure Management এর গুরুত্ব ব্যাপকভাবে তুলে ধরে। হাজার হাজার প্রতিষ্ঠান একটি সাধারণ আইটি ম্যানেজমেন্ট টুলের কারণে আপোস হয়েছিল। যদি প্রতিষ্ঠানগুলোর সরবরাহ চেইন Exposure এর পূর্ণ চিত্র থাকত এবং তাদের আইটি টুল গুলোকে Network Segmentation এর মাধ্যমে আলাদা রাখত, ক্ষতি অনেক কম হতো।

Capital One ডেটা ব্রিচে আক্রমণকারী একটি ভুল কনফিগার করা AWS WAF এর মাধ্যমে ১০ কোটি গ্রাহকের ডেটা চুরি করেছিল। এটি একটি ক্লাসিক Exposure Management ব্যর্থতা—ক্লাউড কনফিগারেশন নিয়মিত পর্যালোচনা না করার ফলাফল। MOVEit Transfer দুর্বলতা ব্যবহার করে Clop র‍্যানসমওয়্যার গ্রুপ ২০২৩ সালে শত শত প্রতিষ্ঠানের ডেটা চুরি করে। যেসব প্রতিষ্ঠান MOVEit এর ইন্টারনেট মুখী এক্সপোজার দ্রুত শনাক্ত এবং সীমিত করতে পেরেছিল, তারা ক্ষতি এড়াতে সক্ষম হয়েছিল।

Equifax এর ২০১৭ সালের ব্রিচে Apache Struts এর একটি পরিচিত দুর্বলতা যা মাসের পর মাস প্যাচ করা হয়নি, ব্যবহার করে ১৪৭ মিলিয়ন মানুষের তথ্য চুরি হয়েছিল। এটি দেখায় যে শুধু Vulnerability জানা যথেষ্ট নয়, সময়মতো ব্যবস্থা নেওয়াই Exposure Management এর সারমর্ম।

কার্যকর Exposure Management এর জন্য Threat Intelligence অপরিহার্য। আক্রমণকারীরা কোন দুর্বলতা সক্রিয়ভাবে ব্যবহার করছে, কোন Exploit Underground Forum এ পাওয়া যাচ্ছে, কোন গ্রুপ আপনার শিল্পকে লক্ষ্য করছে—এই সব তথ্য অগ্রাধিকার নির্ধারণে সাহায্য করে।

CISA Known Exploited Vulnerabilities Catalog একটি গুরুত্বপূর্ণ সম্পদ যা বাস্তবে আক্রমণে ব্যবহৃত দুর্বলতাগুলোর তালিকা রাখে। যদি একটি দুর্বলতা এই তালিকায় থাকে, সেটিকে সর্বোচ্চ অগ্রাধিকার দিতে হবে নির্বিশেষে CVSS স্কোর কী। EPSS বা Exploit Prediction Scoring System একটি আধুনিক মেট্রিক যা নির্দিষ্ট সময়ের মধ্যে একটি দুর্বলতা Exploit হওয়ার সম্ভাবনা পরিমাপ করে।

বাণিজ্যিক Threat Intelligence সেবা যেমন Mandiant, Recorded Future, Group-IB থেকে শিল্প-নির্দিষ্ট হুমকি ডেটা পাওয়া যায়। ISAC বা Information Sharing and Analysis Center এর মাধ্যমে একই শিল্পের প্রতিষ্ঠানগুলো নিজেদের মধ্যে হুমকি তথ্য বিনিময় করে।

কার্যকর Exposure Management প্রোগ্রাম গড়ে তুলতে কয়েকটি কৌশল অনুসরণ করা যায়। প্রথমে একটি সম্পূর্ণ Asset Inventory তৈরি করতে হবে যা স্বয়ংক্রিয়ভাবে আপডেট হয়। Configuration Management Database বা CMDB কে নির্ভরযোগ্য উৎস হিসেবে ব্যবহার করা যায়।

External Attack Surface এর জন্য নিয়মিত স্ক্যানিং চালাতে হবে এবং নতুন আবিষ্কৃত সম্পদের জন্য তৎক্ষণাৎ পর্যালোচনা প্রক্রিয়া থাকতে হবে। ক্লাউড পরিবেশে Infrastructure as Code এবং Policy as Code ব্যবহার করে নিরাপত্তা মান কোডে এমবেড করা যায়। কর্মীদের নিরাপত্তা সচেতনতা প্রশিক্ষণে Phishing এবং Social Engineering এর ওপর জোর দিতে হবে কারণ মানব ফ্যাক্টর সবসময় একটি প্রধান Exposure।

ঝুঁকি ভিত্তিক অগ্রাধিকার মডেল গ্রহণ করতে হবে যেখানে শুধু দুর্বলতা নয়, বরং সম্পদের গুরুত্ব, এক্সপ্লয়েট প্রাপ্যতা এবং বিদ্যমান প্রতিরক্ষা স্তর একসাথে বিবেচনা করা হয়। Patch Management প্রক্রিয়াকে স্বয়ংক্রিয় করা এবং SLAs নির্ধারণ করা—যেমন ক্রিটিকাল প্যাচ ২৪ ঘণ্টায়, হাই প্রায়োরিটি ৭ দিনে। Tabletop Exercise এবং Red Team Engagement এর মাধ্যমে প্রতিরক্ষার কার্যকারিতা নিয়মিত পরীক্ষা করতে হবে।

বোর্ড লেভেলে Exposure Management নিয়ে রিপোর্টিং নিশ্চিত করতে হবে যাতে সিনিয়র লিডারশিপ ঝুঁকি বুঝতে পারে এবং প্রয়োজনীয় বিনিয়োগ অনুমোদন করতে পারে। Key Risk Indicators এর মাধ্যমে প্রগতি পরিমাপ করতে হবে—যেমন Mean Time to Detect, Mean Time to Remediate, এবং Critical Exposure কাউন্ট।