Ransomware Defense: কর্পোরেট ডেটাবেসকে র‍্যানসমওয়্যার আক্রমণের হাত থেকে বাঁচানোর স্ট্র্যাটেজি!

কার্যকর প্রতিরক্ষার জন্য প্রথমে আক্রমণের জীবনচক্র বোঝা জরুরি। আধুনিক র‍্যানসমওয়্যার আক্রমণ সাধারণত আট থেকে দশটি ধাপে সংঘটিত হয়। Initial Access পর্যায়ে আক্রমণকারীরা phishing email, exposed RDP, exploited VPN appliance (যেমন Citrix, Fortinet, Ivanti CVEs), বা compromised credentials ব্যবহার করে নেটওয়ার্কে প্রবেশ করে। Execution ও Persistence পর্যায়ে তারা PowerShell, scheduled task, বা registry modification দিয়ে নিজেদের প্রতিষ্ঠা করে।

Privilege Escalation পর্যায়ে Mimikatz, BloodHound এবং Kerberoasting-এর মতো টুল ব্যবহার করে domain admin অধিকার অর্জন করে। Lateral Movement পর্যায়ে SMB, WMI, PsExec এবং Pass-the-Hash দিয়ে নেটওয়ার্ক জুড়ে ছড়িয়ে পড়ে। Defense Evasion ও Discovery পর্যায়ে EDR সলিউশন নিষ্ক্রিয় করা, security log মুছে ফেলা এবং valuable target (যেমন ডেটাবেস সার্ভার এবং ব্যাকআপ ইনফ্রাস্ট্রাকচার) চিহ্নিত করা হয়।

Exfiltration পর্যায়ে সংবেদনশীল ডেটা MEGA, Rclone বা attacker-controlled server-এ আপলোড করা হয় double extortion-এর জন্য। সবশেষে Impact পর্যায়ে Volume Shadow Copies মুছে ফেলা হয়, ব্যাকআপ ধ্বংস করা হয় এবং তারপর ফাইল এনক্রিপশন শুরু হয়। প্রতিটি ধাপেই হস্তক্ষেপের সুযোগ রয়েছে—প্রতিরক্ষা যত আগে কার্যকর হয়, ক্ষতি তত কম।

সর্বোত্তম র‍্যানসমওয়্যার প্রতিরক্ষা হলো একটি শক্তিশালী backup স্ট্র্যাটেজি। ক্লাসিক 3-2-1 rule (তিনটি কপি, দুটি ভিন্ন মিডিয়াতে, একটি অফসাইট) এখন আধুনিক 3-2-1-1-0 rule-এ বিবর্তিত হয়েছে—যেখানে একটি কপি immutable বা air-gapped এবং zero ত্রুটি সহ verified।

ডেটাবেস ব্যাকআপের জন্য logical এবং physical দুই ধরনের ব্যাকআপই প্রয়োজন। SQL Server-এ Full + Differential + Transaction Log backup chain যা Recovery Point Objective (RPO) ১৫ মিনিটে নিয়ে আসতে পারে। Oracle-এ RMAN ব্যবহার করে Block Change Tracking সহ incremental backup। PostgreSQL-এ pgBackRest বা Barman ব্যবহার করে continuous WAL archiving।

Immutable storage অত্যন্ত গুরুত্বপূর্ণ। AWS S3 Object Lock, Azure Immutable Blob Storage, বা on-premise সমাধান যেমন Cohesity DataLock, Rubrik এবং Veeam-এর Hardened Repository—এগুলো এমন একটি retention period নির্ধারণ করে যার মধ্যে ডেটা মুছে ফেলা বা পরিবর্তন করা যাবে না, এমনকি একজন domain admin-ও পারবেন না। এটি ransomware-এর সবচেয়ে কার্যকর প্রতিকার, কারণ আধুনিক আক্রমণকারীরা সবসময় ব্যাকআপ ধ্বংসের চেষ্টা করে।

Backup verification স্বয়ংক্রিয় করা উচিত। নিয়মিত restore drill করা—শুধু ব্যাকআপ আছে কিনা যাচাই নয়, বরং সেগুলো থেকে সত্যিই restore সম্ভব কিনা তা পরীক্ষা করা। অনেক প্রতিষ্ঠান আবিষ্কার করেছে যে তাদের ব্যাকআপ corrupt বা incomplete, কেবল আক্রমণের পর restore-এর সময়।

ডেটাবেস সার্ভার কখনোই ফ্ল্যাট নেটওয়ার্কে থাকা উচিত নয়। একটি tiered architecture প্রয়োজন—Tier 0 (Domain Controllers, PKI), Tier 1 (Servers, Databases), Tier 2 (Workstations)। Microsoft-এর Privileged Access Workstation (PAW) মডেল অনুসরণ করে database administrators-দের জন্য আলাদা hardened workstation এবং jump host ব্যবহার করতে হবে।

Microsegmentation আরো একটি স্তর যোগ করে। VMware NSX, Illumio, বা Cisco Tetration ব্যবহার করে ডেটাবেস সার্ভারের জন্য host-based firewall rule সেট করা যায়—যেখানে শুধু নির্দিষ্ট application server থেকে SQL port (1433) অ্যাক্সেস অনুমোদিত এবং অন্য কোনো workstation থেকে সরাসরি অ্যাক্সেস ব্লকড। Lateral movement-এর প্রধান প্রতিরোধ এটি।

Zero Trust principle অনুসারে "never trust, always verify"। প্রতিটি ডেটাবেস কানেকশনের জন্য mutual TLS, certificate-based authentication এবং continuous validation প্রয়োজন। Azure Arc, Google BeyondCorp এবং Cloudflare Zero Trust-এর মতো প্ল্যাটফর্ম এই কাজ সহজতর করে।

Active Directory র‍্যানসমওয়্যার আক্রমণের কেন্দ্রবিন্দু। যদি domain admin compromise হয়, তাহলে সমগ্র সংস্থা ঝুঁকিতে পড়ে। কিছু গুরুত্বপূর্ণ পদক্ষেপ অপরিহার্য:

Tier 0 protection: Domain Admin, Enterprise Admin গ্রুপ থেকে regular users সরিয়ে নেওয়া। Privileged accounts শুধু dedicated PAW থেকে ব্যবহৃত হবে। Protected Users group-এ সংযোজন করে credential caching ব্লক করা।

Multi-Factor Authentication: সমস্ত admin account, VPN access এবং remote work tool-এ MFA বাধ্যতামূলক। Phishing-resistant MFA (FIDO2 keys যেমন YubiKey) ব্যবহার করা SMS বা push notification-এর পরিবর্তে।

Just-In-Time (JIT) Access: CyberArk, BeyondTrust বা Azure PIM ব্যবহার করে privileged access সীমিত সময়ের জন্য প্রদান। স্থায়ী admin rights পরিহার করা।

Service Account Hardening: ডেটাবেস service accounts-এর জন্য Group Managed Service Account (gMSA) ব্যবহার, যা স্বয়ংক্রিয়ভাবে পাসওয়ার্ড রোটেট করে। SQL Server-এর sa account নিষ্ক্রিয় রাখা।

আধুনিক EDR (Endpoint Detection and Response) সলিউশন র‍্যানসমওয়্যার আচরণ শনাক্ত করতে অত্যন্ত কার্যকর। CrowdStrike Falcon, SentinelOne, Microsoft Defender for Endpoint বা Cortex XDR—এগুলো শুধু signature-based detection নয়, বরং behavioral analysis দিয়ে suspicious encryption patterns, mass file modification, এবং shadow copy deletion-এর মতো কার্যক্রম শনাক্ত করে।

ডেটাবেস সার্ভারে EDR install করা vital। অনেক প্রতিষ্ঠান performance impact-এর ভয়ে শুধু workstation-এ EDR রাখে, কিন্তু এটি একটি গুরুতর ভুল। আধুনিক EDR-এর overhead খুবই কম এবং tuning দিয়ে false positive কমানো যায়।

Database Activity Monitoring (DAM) সলিউশন যেমন Imperva, IBM Guardium বা Trustwave DbProtect ডেটাবেস স্তরে real-time monitoring এবং policy enforcement প্রদান করে। অস্বাভাবিক query pattern, mass data export, বা unauthorized schema modification—এই সব শনাক্ত করা যায়।

র‍্যানসমওয়্যার গ্রুপগুলো সাধারণত known CVE এক্সপ্লয়েট করে। LockBit এবং Cl0p দ্রুত MOVEit, GoAnywhere এবং Ivanti-এর zero-day এক্সপ্লয়েট করেছে। একটি কঠোর patch management প্রোগ্রাম থাকা অপরিহার্য:

• Critical CVE-এর জন্য SLA: ৭২ ঘন্টা
• High-severity CVE: ৭ দিন
• Internet-facing systems-এর জন্য প্রাধান্য
• Tenable, Qualys বা Rapid7 দিয়ে continuous vulnerability scanning
• KEV (Known Exploited Vulnerabilities) catalog প্রতিদিন পর্যালোচনা

ডেটাবেস ইঞ্জিনের patching বিশেষ মনোযোগ দাবি করে কারণ অনেক DBA stability-এর ভয়ে patch বিলম্বিত করেন। Test environment-এ rigorous testing-এর পর production-এ rolling update window ব্যবহার করা উত্তম পদ্ধতি।

কোনো প্রতিরক্ষাই ১০০% কার্যকর নয়। তাই একটি বিস্তারিত Incident Response Plan (IRP) প্রস্তুত রাখা অপরিহার্য। NIST SP 800-61 ফ্রেমওয়ার্ক অনুসরণ করে প্রস্তুতি, শনাক্তকরণ, কন্টেইনমেন্ট, নির্মূল, পুনরুদ্ধার এবং শেখার পর্যায়গুলো ডিজাইন করতে হবে।

Tabletop exercise নিয়মিত পরিচালনা করতে হবে। একজন CISO, IT director, legal counsel, communications head এবং external incident response retainer (যেমন Mandiant, CrowdStrike Services, Kroll) এর মধ্যে role এবং দায়িত্ব স্পষ্ট থাকা প্রয়োজন। Cyber insurance policy review এবং claim process পরিচিতি ঘটনার আগেই হওয়া উচিত।

একটি সমন্বিত র‍্যানসমওয়্যার প্রতিরক্ষা ফ্রেমওয়ার্কে আরো কিছু উপাদান অন্তর্ভুক্ত করতে হবে। Email Security: Microsoft Defender for Office 365, Proofpoint বা Mimecast দিয়ে advanced threat protection, attachment sandboxing এবং URL rewriting। DNS Filtering: Cisco Umbrella, Cloudflare Gateway বা Quad9 দিয়ে malicious domain ব্লকিং। Application Whitelisting: Windows Defender Application Control (WDAC) বা AppLocker দিয়ে শুধু signed এবং approved binary execution অনুমোদন।

SIEM এবং SOC: Splunk, Microsoft Sentinel, বা Elastic Security দিয়ে centralized log aggregation এবং detection। ২৪/৭ SOC monitoring—হয় in-house বা MDR (Managed Detection and Response) প্রোভাইডার থেকে। Threat Intelligence: TLP-rated feeds যেমন Mandiant, Recorded Future বা MISP communities থেকে IOC সংগ্রহ। Employee Training: নিয়মিত phishing simulation (KnowBe4, Proofpoint) এবং security awareness প্রোগ্রাম।

সবশেষে, business continuity planning। কোন সিস্টেম মিনিমাম viable operation-এর জন্য প্রয়োজন, RTO/RPO target কী, manual workaround কী আছে—এগুলো নথিভুক্ত এবং পরীক্ষিত থাকা উচিত। Cyber insurance থাকলেও policy exclusion সতর্কভাবে পর্যালোচনা করুন; অনেক policy এখন nation-state attack বা war exclusion যুক্ত করেছে।