Infrastructure Risk: আইটি ইনফ্রাস্ট্রাকচারের সম্ভাব্য ঝুঁকি এবং দুর্বলতা মূল্যায়ন!

Risk-এর একটি সরল definition হলো — adverse event-এর probability এবং সেই event-এর impact-এর product। Mathematically, Risk = Likelihood × Impact। কিন্তু বাস্তবে এই simplicity-র পেছনে অনেক জটিলতা।

Risk-এর কয়েকটি core component আছে। Asset — যা protect করতে হবে (data, system, business process)। Threat — যা ক্ষতি করতে পারে (attacker, malware, natural disaster)। Vulnerability — asset-এর weakness যা threat exploit করতে পারে। Impact — যদি threat সফল হয় তাহলে কতটা ক্ষতি।

Risk এবং threat-কে অনেকে confuse করেন। Threat একটি potential adverse event, কিন্তু risk হলো সেই threat-এর সম্ভাব্য realization এবং সেই realization-এর consequence-এর combined measure।

Inherent risk vs residual risk — Inherent risk যা existing control ছাড়াই থাকে। Residual risk হলো control implement করার পর যে risk remain করে। বেশিরভাগ organization-এর জন্য zero residual risk অর্জন economically infeasible।

Risk appetite এবং risk tolerance executive level decision। Organization কতটা risk acceptable মনে করছে এবং কোন level-এ alert/escalation প্রয়োজন।

NIST SP 800-30 হলো risk assessment-এর সবচেয়ে authoritative U.S. government framework। এটি একটি systematic approach define করে — system characterization, threat identification, vulnerability identification, control analysis, likelihood determination, impact analysis, এবং risk determination।

ISO 27005 international standard হিসেবে risk management approach দেয়। ISO 27001-এর সাথে integrated, এটি information security risk-এর জন্য specifically designed।

FAIR (Factor Analysis of Information Risk) একটি quantitative model। অন্যান্য framework মূলত qualitative, কিন্তু FAIR risk-কে monetary value-তে express করে। এটি executive communication-এর জন্য অত্যন্ত effective।

OCTAVE (Operationally Critical Threat, Asset, and Vulnerability Evaluation) Carnegie Mellon-এর তৈরি। Mid-size organization-এর জন্য balanced approach।

CIS RAM (Risk Assessment Method) CIS Controls-এর সাথে aligned। এটি comparatively simple এবং practical।

বাংলাদেশের context-এ BCSIRT এবং Bangladesh Bank-এর guideline ISO/NIST-এর adoption encourage করে। ফলে enterprise-এ এই framework-গুলোর জ্ঞান valuable।

Risk assessment-এর প্রথম এবং সবচেয়ে gốc ধাপ হলো comprehensive asset inventory। অনেক organization-এ এটিই সবচেয়ে বড় bottleneck — তাদের কাছে accurate, up-to-date inventory নেই।

Asset কয়েক ধরনের হতে পারে। Physical asset — server, network device, end-user device, IoT device। Information asset — database, file share, source code repository। Software asset — application, license। Service asset — third-party service, cloud subscription। Human asset — employee, contractor, third-party staff।

Discovery tool যেমন Lansweeper, ServiceNow Discovery, Tenable Asset Discovery এই কাজে সহায়ক। Cloud environment-এ AWS Config, Azure Resource Graph, এবং GCP Asset Inventory comprehensive view প্রদান করে।

Classification করা হয় sensitivity এবং criticality-এর ভিত্তিতে। Common classification scheme হলো — Public, Internal, Confidential, Restricted। প্রতিটি level-এ different control requirement।

Business Impact Analysis বা BIA প্রতিটি asset-এর জন্য করতে হবে। যদি এই asset unavailable হয়, business operation-এ কী প্রভাব পড়ে? Revenue loss? Regulatory penalty? Reputational damage? Customer harm?

Crown jewel identification critical। প্রতিটি organization-এ কিছু asset আছে যেগুলোর compromise existential threat। এদের identify এবং extra-protect করতে হবে।

Threat modeling-এর জন্য কয়েকটি popular methodology আছে।

STRIDE Microsoft-এর তৈরি — Spoofing, Tampering, Repudiation, Information Disclosure, Denial of Service, Elevation of Privilege। প্রতিটি category-এর জন্য system-এ vulnerability search।

PASTA (Process for Attack Simulation and Threat Analysis) আরো comprehensive। সাতটি stage-এ business objective থেকে শুরু করে technical analysis পর্যন্ত যায়।

ATT&CK MITRE-এর knowledge base যা real-world adversary behavior catalog করে। Threat hunting এবং detection engineering-এ অপরিহার্য।

Kill Chain Lockheed Martin-এর তৈরি — Reconnaissance, Weaponization, Delivery, Exploitation, Installation, Command & Control, Actions on Objectives। প্রতিটি phase-এ defensive opportunity।

Threat intelligence integration critical। Industry-specific threat (যেমন financial sector-এর জন্য FS-ISAC) এবং geographic threat (যেমন South Asia-এর APT group) consider করুন।

Threat actor profile তৈরি করুন। Nation-state, organized crime, hacktivist, insider, script kiddie — প্রতিটির different capability, motivation, এবং typical TTP।

Vulnerability identification multi-source approach দরকার। Vulnerability scanner (Nessus, Qualys, Rapid7) automated discovery-এর জন্য। Patch management system (WSUS, SCCM, Tanium) missing patch identify করে। Configuration assessment tool (CIS-CAT, Tripwire) misconfiguration খুঁজে বের করে।

Penetration testing manual depth-এর জন্য essential। Automated scanner-এর কাছে অনেক vulnerability invisible। Authorized penetration test বছরে অন্তত একবার করা উচিত critical infrastructure-এ।

Code review software vulnerability-এর জন্য valuable। SAST tool যেমন SonarQube, Checkmarx, Veracode integration developer workflow-এ। DAST tool যেমন Burp Suite, OWASP ZAP application-এর runtime vulnerability খুঁজে।

Configuration management database বা CMDB থেকে software inventory pull করে SBOM (Software Bill of Materials) তৈরি করুন। Log4j (CVE-2021-44228) crisis দেখিয়েছে যে SBOM ছাড়া vulnerable component-এর rapid identification impossible।

CVSS score vulnerability prioritization-এর জন্য standard। কিন্তু base CVSS-ই সব নয় — environmental score (asset-এর context-এ vulnerability-র actual risk) আরো important।

EPSS (Exploit Prediction Scoring System) recent এবং valuable addition। এটি predict করে কোন vulnerability actually exploited হওয়ার সম্ভাবনা বেশি, যা prioritization-এ সাহায্য করে।

Risk-কে measure করা সবচেয়ে challenging aspect। Qualitative এবং quantitative — দুটি approach আছে।

Qualitative approach-এ Risk = Likelihood × Impact, যেখানে দুটিই scale-এ measured (যেমন Low/Medium/High/Critical)। Risk matrix-এর মাধ্যমে visualization সহজ। কিন্তু subjectivity-র কারণে inconsistency।

Quantitative approach-এ actual probability এবং monetary impact দিয়ে calculation। Annual Loss Expectancy বা ALE = Single Loss Expectancy × Annual Rate of Occurrence। কঠিন কিন্তু executive-friendly।

Monte Carlo simulation complex scenario modeling-এর জন্য valuable। প্রতিটি input variable-এর distribution define করে multiple iteration run করা হয়, যা risk distribution provide করে।

Bayesian network advanced approach যা different risk factor-এর conditional relationship model করে।

বাস্তবে hybrid approach-ই common। High-level prioritization qualitative, কিন্তু top risk-এর জন্য quantitative deep-dive।

Bowtie analysis একটি visual technique যা একটি specific risk-এর cause এবং consequence-কে central event-এর around organize করে।

Risk identification-এর পর আসে treatment। চারটি principal strategy আছে।

Risk Avoidance — সেই activity-ই বন্ধ করা যা risk তৈরি করছে। Example — কোনো particular country-তে operation না করা যদি political risk high হয়।

Risk Mitigation — control implement করে risk কমানো। Most common strategy। Example — firewall deploy, encryption implement, MFA enable।

Risk Transfer — risk-কে অন্য party-তে স্থানান্তর করা। Insurance, outsourcing, এবং contractual indemnification এই category-তে।

Risk Acceptance — কিছু residual risk accept করা। Treatment cost যদি risk-এর চেয়ে বেশি হয়, এটি rational choice। কিন্তু documentation এবং approval mandatory।

Cost-benefit analysis treatment decision-এর কেন্দ্রে। ROI calculation, ROSI (Return on Security Investment), এবং similar metric ব্যবহৃত হয়।

Control selection-এ defense-in-depth principle অনুসরণ করুন। কোনো single control 100% effective নয়। Preventive, detective, এবং corrective control-এর combination।

Risk assessment একটি one-time activity নয় — এটি একটি ongoing process। Threat landscape, technology landscape, এবং business landscape — সবই পরিবর্তিত হয়।

KRI বা Key Risk Indicator establish করুন। প্রতিটি critical risk-এর জন্য measurable metric যা early warning provide করে। উদাহরণ — failed login rate, patch compliance percentage, incident count by category।

Risk register maintain করুন। এই living document-এ প্রতিটি identified risk-এর details — description, owner, current state, treatment plan, residual risk।

Executive reporting tailored হতে হবে audience-এর অনুযায়ী। Board-level report-এ business impact, regulatory implication, এবং strategic risk। Management report-এ operational risk এবং control effectiveness। Technical report-এ specific vulnerability এবং remediation status।

Heatmap, dashboard, এবং visualization powerful communication tool। কিন্তু simplistic representation-এর danger সম্পর্কে সচেতন থাকুন। কোনো risk "green" দেখানো মানে এই নয় যে এটি ignore করা যাবে।

Audit এবং validation regular interval-এ। Internal audit, external audit, এবং regulatory examination-এর জন্য prepared থাকুন।

আসুন একটি বাস্তব scenario বিশ্লেষণ করি — একটি mid-size bank-এর core banking system-এর risk assessment।

Asset — Core banking application, customer database, transaction processing system। Business impact extreme — system down মানে banking operation halt, regulatory penalty, customer trust loss।

Threat — Ransomware (organized crime), APT (nation-state), insider abuse, supply chain compromise।

Vulnerability — Outdated middleware, weak authentication, inadequate segmentation, third-party access exposure, insufficient backup.

Likelihood — High, based on industry threat intel এবং historical incident।

Impact — Catastrophic। Outage cost per hour millions of dollars। Regulatory fines। Reputational damage years-lasting।

Inherent Risk — Critical.

Treatment — Multi-layered। EDR deployment, network microsegmentation, immutable backup, MFA enforcement, third-party access governance, comprehensive incident response plan, cyber insurance।

Residual Risk — High (still), কারণ banking-এ zero risk impossible।

Monitoring — KRI dashboard, monthly executive review, quarterly board reporting।

প্রথম pitfall — risk assessment-কে compliance exercise হিসেবে treat করা। Audit-এর জন্য একটি document তৈরি করে কোনো actual improvement না করা। Risk assessment-এর value তখনই যখন এটি real decision drive করে।

দ্বিতীয় pitfall — overly complex framework adoption। FAIR-এর full implementation অনেক organization-এর capability-র বাইরে। Start simple, mature over time।

তৃতীয় pitfall — IT-only focus। Risk assessment-এ business stakeholder, legal, HR, এবং operation involvement essential। Cybersecurity শুধু IT department-এর problem নয়।

চতুর্থ pitfall — point-in-time mentality। Annual assessment আজকের threat landscape-এর জন্য inadequate। Continuous risk monitoring necessary।

পঞ্চম pitfall — qualitative scale-এর illusion। "Medium" risk-এর meaning context-এ ভিন্ন। যেখানে possible, quantitative anchor add করুন।

ষষ্ঠ pitfall — risk-treatment mismatch। কখনো trivial risk-এর জন্য বহু control, আবার critical risk underaddressed। Risk-cost-benefit alignment critical।

Best practice গুলো — top-down executive support, dedicated risk management function, integration with strategic planning, third-party expert engagement, regular external assessment, continuous improvement mindset, এবং culture of risk awareness।

AI/ML adoption new risk category এনেছে। Model poisoning, prompt injection, training data leakage, এবং AI-generated attack — সব consider করতে হবে।

Quantum computing eventual reality। Cryptographic agility এখন থেকে plan করতে হবে। NIST-এর post-quantum cryptography standardization closely follow করুন।

Supply chain risk increasingly prominent। SolarWinds থেকে XZ Utils — software supply chain attack continuously evolving।

Cloud-native risk — misconfiguration, identity-related issue, shared responsibility confusion। Cloud Security Posture Management (CSPM) tool deploy করুন।

Geopolitical risk — sanction, trade war, এবং state-sponsored attack-এর likelihood increase। আপনার supplier এবং technology partner-এর geopolitical profile understand করুন।

Climate এবং sustainability risk — data center power, water, এবং carbon footprint-এর related risk। ESG reporting requirement বাড়ছে।