Incident Response: সাইবার আক্রমণ ঘটার পর ক্ষতি প্রশমন এবং রিকভারি প্ল্যান!

Incident বলতে কোনো ঘটনাকে বোঝায় যা information system-এর confidentiality, integrity, বা availability-কে negatively affect করে বা করার চেষ্টা করে। এটি শুধু একটি successful breach নয় — failed attack, policy violation, এমনকি accidental data exposure-ও incident হিসেবে treat করা হয়।

NIST Special Publication 800-61 সাইবার incident response-এর জন্য সবচেয়ে authoritative framework। এটি incident response-কে চারটি মূল phase-এ ভাগ করেছে — Preparation, Detection and Analysis, Containment/Eradication/Recovery, এবং Post-Incident Activity।

SANS তাদের নিজস্ব 6-step model দিয়েছে যা NIST-এর সাথে অনেকটাই overlap করে — Preparation, Identification, Containment, Eradication, Recovery, এবং Lessons Learned। কোন framework adopt করবেন এটা গুরুত্বপূর্ণ নয়, গুরুত্বপূর্ণ হলো consistent execution।

Incident severity classification একটি critical concept। সাধারণত একটি tiered system ব্যবহার করা হয় — যেমন P1 (Critical), P2 (High), P3 (Medium), P4 (Low)। প্রতিটি tier-এর জন্য আলাদা response time, escalation path, এবং resource commitment।

Incident Response Team বা IRT এই process-এর কেন্দ্রবিন্দু। একটি well-structured IRT-তে থাকে dedicated security analyst, incident handler, forensic investigator, communication lead, এবং legal/compliance representative।

প্রস্তুতি incident response-এর সবচেয়ে গুরুত্বপূর্ণ phase। বলা হয়, "যুদ্ধ শুরু হওয়ার আগেই অর্ধেক জিতে যায় যে ভালোভাবে প্রস্তুত।"

প্রথমত, একটি Incident Response Plan বা IRP document তৈরি করুন। এই document-এ থাকবে — incident classification scheme, escalation matrix, contact list, communication template, এবং step-by-step procedure। এটি executive leadership-এর approval নিয়ে formalize করুন।

দ্বিতীয়ত, team structure এবং role-responsibility define করুন। IRT-এ কে incident commander হবেন, কে technical lead, কে communications — সবকিছু pre-defined থাকতে হবে। RACI matrix এই কাজে সহায়ক।

তৃতীয়ত, technical tooling deploy করুন। SIEM (Splunk, Elastic, QRadar), EDR (CrowdStrike, SentinelOne, Microsoft Defender), forensic tool (FTK, EnCase, Volatility), এবং communication platform (যেমন Slack-এর private channel) — সবকিছু ready থাকতে হবে।

চতুর্থত, baseline establish করুন। Normal network traffic pattern, common process list, এবং typical user behavior document করুন। Anomaly detect করার জন্য baseline অপরিহার্য।

পঞ্চমত, regular training এবং exercise চালান। Tabletop exercise সবচেয়ে কার্যকর — একটি hypothetical scenario তৈরি করে team-কে walkthrough করান। Red team/blue team exercise আরো realistic, কিন্তু expensive।

ষষ্ঠত, key stakeholder relationship build করুন। Law enforcement (BCSIRT, CISA), threat intelligence vendor, external IR retainer firm, এবং legal counsel — সবার সাথে pre-incident relationship থাকা উচিত।

সপ্তমত, asset inventory এবং network diagram up-to-date রাখুন। Crisis-এর সময় basic information খুঁজতে গেলে valuable time নষ্ট হয়।

প্রতিটি incident detection-এর সাথে শুরু হয়। কিন্তু detection শুধু একটি automated alert নয় — এটি একটি complex process যেখানে noise থেকে signal আলাদা করতে হয়।

Detection source বিভিন্ন হতে পারে। SIEM alert, EDR notification, IDS/IPS warning, user report, third-party notification (vendor, partner, customer), এবং threat intelligence feed — প্রতিটি একটি potential indicator।

Initial triage extremely important। প্রতিটি alert-এ panic না করে systematic approach নিন। প্রশ্ন করুন — কী ঘটেছে? কোন asset affected? কতটা confident আমরা? কতটা urgent?

False positive elimination triage-এর primary goal। কোনো alert investigate করার আগে নিশ্চিত হোন যে এটি genuine। অনেক সংস্থায় false positive rate ৭০-৮০% বা তারও বেশি।

True positive identification-এর পর scoping শুরু হয়। কতগুলো system affected? কোন user account compromised? Data exfiltration হয়েছে কিনা? এই প্রশ্নের উত্তর response strategy-কে guide করবে।

Timeline reconstruction critical। Indicator of Compromise বা IOC-গুলো ব্যবহার করে কখন কী ঘটেছে তার chronological view তৈরি করুন। MITRE ATT&CK framework এই কাজে অসাধারণ — TTP (Tactics, Techniques, Procedures)-এর সাথে event-গুলো map করতে পারলে attacker-এর playbook বোঝা সহজ হয়।

Evidence preservation triage-এর সমান্তরালে চলবে। Affected system-এর state preserve করুন memory dump, disk image, এবং log collection-এর মাধ্যমে। Chain of custody maintain করুন যাতে evidence court-admissible হয় (যদি legal action needed হয়)।

Indicator categorization helpful। Atomic indicator (IP, domain, hash), behavioral indicator (process behavior, network pattern), এবং strategic indicator (campaign attribution) — প্রতিটি level-এ ভিন্ন value।

একবার incident confirmed হলে, immediate priority হয় further damage prevent করা। Containment strategy two phase-এ ভাগ করা যায় — short-term এবং long-term।

Short-term containment-এ quick action focus করা হয়। Affected endpoint network থেকে isolate করা, compromised account disable করা, malicious IP firewall-এ block করা — এই ধরনের immediate measure।

কিন্তু aggressive containment-এ কিছু trade-off আছে। যদি attacker realize করে যে detected হয়েছে, তবে দ্রুত data exfiltration, ransomware deployment, বা destructive action নিতে পারে। তাই containment decision-এ careful consideration প্রয়োজন।

Long-term containment-এ systematic approach। Patch deployment, configuration hardening, additional monitoring — এগুলো recovery-এর আগে eradication-এর জন্য groundwork তৈরি করে।

Network segmentation containment-এর জন্য অত্যন্ত valuable। Already segmented network-এ একটি compromise-কে contain করা সহজ। অন্যথায় full lateral movement potential থাকে।

Decision points carefully manage করুন। কোন server shutdown করব? কখন affected service আবার online আনব? এই decisions business impact এবং security risk-এর balance। Executive stakeholder-দের involvement এখানে essential।

Communication strategy parallel-এ চালু রাখুন। Internal team-কে status update দিন, executive leadership-কে briefing দিন, এবং প্রয়োজনে legal/PR team-কে engage করুন।

Eradication-এ malware এবং unauthorized access সম্পূর্ণভাবে remove করা হয়। শুধু symptom treat করলে রোগ ভালো হবে না — root cause address করতে হবে।

Compromised system-এর জন্য সাধারণত full rebuild recommend করা হয়। Malware-cleaning operation কখনোই ১০০% effective নয়, এবং sophisticated attacker hidden persistence mechanism তৈরি করতে পারে।

Credential rotation comprehensive হতে হবে। Compromised account নয় শুধু, সমস্ত privileged credential যেগুলো affected system-এ stored ছিল সেগুলো rotate করুন। Service account, certificate, API key — সবই scope-এ আনুন।

Vulnerability remediation যা initial access-এর কারণ ছিল সেটা address করুন। যদি unpatched VPN ছিল entry point, সব VPN appliance patch হয়েছে কিনা verify করুন। যদি phishing attack ছিল, email security control review করুন।

Recovery-তে phased approach নিন। Test environment-এ first deploy করুন, validation পরে production-এ rollout। প্রতিটি step-এর পর monitoring বাড়িয়ে রাখুন।

Service restoration-এর priority business impact analysis-এর উপর ভিত্তি করে। Critical revenue-generating service আগে, less critical pieces পরে।

Validation extensive হওয়া উচিত। শুধু service up আছে কিনা নয়, সবকিছু correctly কাজ করছে কিনা verify করুন। Functional testing, performance testing, এবং security testing — সবই অন্তর্ভুক্ত করুন।

Lessons learned phase-কে অনেকে underestimate করেন, কিন্তু এটি সবচেয়ে valuable phase হতে পারে। Honest, blameless review-এর মাধ্যমে future improvement-এর সুযোগ পাওয়া যায়।

Post-incident review meeting incident closure-এর ২ সপ্তাহের মধ্যে আয়োজন করুন। সব stakeholder participate করবেন। Agenda-তে থাকবে — কী হয়েছিল, কেন হয়েছিল, response কেমন ছিল, কী ভালো হয়েছে, কী improvement দরকার, এবং actionable item।

Root cause analysis রিয়েল cause-কে চিহ্নিত করুন — "5 Whys" technique অত্যন্ত effective। Surface-level explanation-এ থামবেন না।

Documentation comprehensive হতে হবে। Final incident report-এ থাকবে — timeline, technical details, business impact, response action, lessons learned, এবং recommendation। এই document future training এবং reference-এর জন্য valuable।

Process improvement-এর জন্য concrete action item set করুন। Each item-এর owner, deadline, এবং success criteria define করুন। Follow-up meeting-এ progress track করুন।

Metric collection improve করুন। Mean Time to Detect (MTTD), Mean Time to Respond (MTTR), Mean Time to Contain (MTTC) — এই metrics process maturity measure করতে সাহায্য করে।

Threat intelligence sharing community-কে benefit করে। Sanitized IOC, TTP, এবং learning industry peer-দের সাথে share করুন (BCSIRT, ISAC channel-এর মাধ্যমে)।

Target retail breach (২০১৩) incident response-এর জন্য একটি classic case study। HVAC vendor-এর compromised credential-এর মাধ্যমে আক্রমণকারীরা ৪০ মিলিয়ন credit card record চুরি করেছিল। Initial alert ignore করার কারণে breach detection delayed হয়েছিল কয়েক সপ্তাহ।

Sony Pictures hack (২০১৪) showed comprehensive disruption-এর সম্ভাবনা। Email leak, internal document exposure, এবং data destruction — multiple impact একসাথে। Response coordination ছিল অপ্রতুল, এবং communication strategy public relations disaster তৈরি করেছিল।

Equifax breach (২০১৭) ১৪৭ মিলিয়ন user-এর সংবেদনশীল data exposed করেছিল। Apache Struts vulnerability-র patch ২ মাস আগে available ছিল কিন্তু apply করা হয়নি। Disclosure timing এবং executive response-এ misstep further damage করেছিল।

বাংলাদেশের ব্যাংকিং sector-এ ২০১৬-এর central bank cyber heist একটি বিরল প্রকাশ্যে আসা incident। $৮১ মিলিয়ন চুরি হয়েছিল এবং initial response slow ছিল। Lessons learned থেকে central bank তাদের cybersecurity program সম্পূর্ণ overhaul করেছে।

Maersk-এর NotPetya attack (২০১৭) recovery-এর জন্য legendary। সম্পূর্ণ global IT infrastructure compromised, কিন্তু একটি single offline domain controller (Ghana office-এ power outage-এর কারণে) থেকে তারা পুরো network reconstruct করতে পেরেছিল। ১০ দিনে তারা ৪,০০০ server এবং ৪৫,০০০ PC reinstall করেছিল।

প্রথমত, incident response capability-কে একটি ongoing program হিসেবে treat করুন, একটি one-time project নয়। Regular plan update, training, এবং tooling refresh অপরিহার্য।

দ্বিতীয়ত, executive support নিশ্চিত করুন। IR program-এ proper budget, staffing, এবং authority না থাকলে কাজ করবে না। Board-level briefing-এ cybersecurity-কে regular agenda item বানান।

তৃতীয়ত, automation embrace করুন কিন্তু judiciously। SOAR platform রিপিটিটিভ task-কে automate করতে পারে, কিন্তু সব decision automated হওয়া উচিত নয়। Human judgment critical decision-এ অপরিহার্য।

চতুর্থত, communication template এবং playbook pre-staged রাখুন। Press release draft, customer notification template, regulator report format — crisis-এর সময় from scratch লেখার সময় নেই।

পঞ্চমত, external relationship maintain করুন। IR retainer agreement consider করুন major firm-এর সাথে। তাদের expert insight crisis moment-এ অমূল্য।

ষষ্ঠত, cyber insurance-এর coverage understand করুন। অনেক policy-তে specific requirement থাকে (যেমন designated IR vendor)। Pre-incident-এ এই detail জানা থাকতে হবে।

সপ্তমত, mental health এবং burnout-এর দিকে নজর দিন। Major incident response intensely stressful — long hour, high stakes, এবং continuous pressure। Rotation এবং rest period plan করুন।