Supply Chain: থার্ড-পার্টি ভেন্ডর এবং সফটওয়্যার সাপ্লাই চেইনের মাধ্যমে সাইবার আক্রমণের ঝুঁকি!

Software supply chain-এর মধ্যে অন্তর্ভুক্ত প্রতিটি element যা software development, build, distribution এবং deployment-এ অবদান রাখে। এর মধ্যে আছে open source dependency (npm, PyPI, Maven, NuGet, RubyGems), commercial library, IDE এবং developer tooling, compiler এবং build system, CI/CD pipeline, container image, package registry, code signing infrastructure এবং deployment automation।

প্রতিটি element স্বতন্ত্র trust boundary এবং attack surface তৈরি করে। আক্রমণকারী যেকোনো একটি weak link compromise করে downstream সব consumer-কে affect করতে পারে। যেমন একটি popular npm package compromise হলে সেটা ব্যবহারকারী হাজার হাজার application-এ malware propagate হয়। Software Bill of Materials (SBOM) concept এই complex dependency tree-কে inventory আকারে ধরে রাখার চেষ্টা করে, যাতে incident-এর সময় rapid impact assessment সম্ভব হয়।

Supply chain attack বিভিন্ন form-এ আসতে পারে। Dependency compromise-এ আক্রমণকারী legitimate open source package-এর maintainer account hack করে malicious version publish করে। ২০২১ সালের ua-parser-js এবং coa npm package-এর compromise এই ধরনের incident। Maintainer-এর npm credentials phishing-এর মাধ্যমে চুরি করা হয়েছিল।

Dependency confusion attack-এ Alex Birsan-এর গবেষণায় demonstrated technique-এ আক্রমণকারী internal package-এর নামে public registry-তে higher version publish করেন এবং package manager misconfiguration-এর কারণে internal build system সেই malicious public version download করে। Apple, Microsoft, Tesla, Yelp-সহ বহু কোম্পানি এই attack-এ vulnerable হয়েছিল।

Typosquatting-এ আক্রমণকারী popular package-এর কাছাকাছি নামে (যেমন requests এর পরিবর্তে request, colorama এর পরিবর্তে colorma) malicious package upload করেন। Build system compromise-এ CI/CD pipeline-এর কোনো ধাপ compromised হলে build process-এ malicious code inject হয়। Code signing infrastructure compromise-এ legitimate signature দিয়ে malicious update distribute করা সম্ভব। Hardware supply chain-এ shipment intercept করে chip বা firmware modify করা হয়।

২০২০ সালের ডিসেম্বরে publicly disclosed SolarWinds Orion compromise সাইবার নিরাপত্তা ইতিহাসের সবচেয়ে impactful incident-গুলোর একটি। Russian state-sponsored group APT29 (Cozy Bear) SolarWinds-এর build server-এ access নিয়ে SUNBURST নামক malicious DLL inject করে Orion update-এর সাথে। এই compromised update প্রায় ১৮,০০০ organization-এ install হয়েছিল, যার মধ্যে US Treasury, Department of Homeland Security, Pentagon, Microsoft, FireEye-সহ বহু critical entity ছিল।

আক্রমণকারীরা শুধু সব ১৮,০০০ network-কে exploit করেনি — তারা select few high-value target-কে post-installation activate করেছিল, যা detection-কে আরও কঠিন করেছিল। SUNSPOT, TEARDROP, RAINDROP-এর মতো second-stage payload-এর মাধ্যমে long-term persistent access স্থাপিত হয়েছিল। FireEye প্রথম এই compromise detect করেছিল নিজের red team tool চুরি হওয়ার তদন্ত করতে গিয়ে।

এই incident থেকে শেখা মূল lesson হলো — build infrastructure এতটাই critical যে সেটি production application-এর মতই (বা বেশি) protected হওয়া উচিত। Signed artifact-ও সম্পূর্ণ trust-যোগ্য নয় যদি signing process compromise হয়। Software supply chain visibility এবং continuous monitoring অপরিহার্য।

২০১৭ সালের NotPetya attack ইউক্রেনীয় accounting software M.E.Doc-এর update server compromise-এর মাধ্যমে শুরু হয়েছিল। যদিও primary target ছিল Ukraine, malware unintentionally global spread পেয়েছিল এবং Maersk, FedEx, Merck-এর মতো কোম্পানি কোটি কোটি ডলার ক্ষতির শিকার হয়েছিল।

২০২১ সালের Kaseya VSA ransomware attack-এ REvil group remote management software-এর zero-day exploit করে এর downstream MSP customer-দের একসাথে compromise করে। প্রায় ১,৫০০ business affected হয়েছিল।

২০২৪ সালের শুরুতে disclosed XZ Utils backdoor (CVE-2024-3094) ছিল একটি অসাধারণ sophisticated supply chain attack। "Jia Tan" নামক একজন attacker দুই বছর ধরে XZ Utils project-এ legitimate contributor হিসেবে কাজ করে maintainer trust অর্জন করেন এবং পরে SSH backdoor inject করেন। সৌভাগ্যবশত Andres Freund নামক একজন Microsoft engineer routine performance investigation-এর সময় এটি detect করেন, না হলে যা ছিল প্রায় near-miss catastrophic incident।

CodeCov bash uploader compromise, ESLint-scope npm hijack, event-stream library backdoor — তালিকা ক্রমাগত বাড়ছে। প্রতিটি incident industry-কে নতুন lesson এবং improvement-এর দিকে ঠেলে দিচ্ছে।

SBOM হলো software-এর সব component, version এবং dependency-র machine-readable inventory। SPDX এবং CycloneDX সবচেয়ে জনপ্রিয় SBOM format। US President-এর Executive Order 14028 federal government-এর সাথে কাজ করা vendor-দের জন্য SBOM submission বাধ্যতামূলক করেছে।

কার্যকর SBOM-এ component name, version, supplier, license, cryptographic hash এবং relationship information থাকে। Syft, CycloneDX-cli, SPDX-tools-এর মতো tool automatic SBOM generation করতে পারে। SBOM-এর মূল value হলো incident response-এ — যখন নতুন CVE publish হয় (যেমন Log4Shell), organization quickly identify করতে পারে কোন application impact-এ আছে।

SBOM-এর সাথে VEX (Vulnerability Exploitability eXchange) document যুক্ত হয় যা explain করে কোন vulnerability actually exploitable এবং কোনগুলো specific context-এ relevant নয়। এই combination triage-এ অনেক সাহায্য করে। তবে SBOM শুধু থাকলেই যথেষ্ট নয় — এটিকে continuously updated, accurate এবং actionable হতে হবে।

Google-উদ্যোগে গৃহীত SLSA (Supply-chain Levels for Software Artifacts) framework software build process-এর security maturity পরিমাপ করে চারটি level-এ। SLSA 1-এ basic build process এবং provenance documentation। SLSA 2-এ tamper-resistant build platform এবং signed provenance। SLSA 3-এ hardened build environment এবং non-falsifiable provenance। SLSA 4-এ two-person review এবং hermetic, reproducible build।

Sigstore project (Cosign, Fulcio, Rekor) keyless signing infrastructure প্রদান করে যা container image এবং artifact signing-কে সহজ করেছে। In-toto framework supply chain step verification framework প্রদান করে। GitHub-এর Artifact Attestation এবং Reproducible Build initiative integrity-র জন্য গুরুত্বপূর্ণ। এই tool-গুলো ব্যবহার করে modern CI/CD pipeline cryptographically verifiable হয়ে উঠছে।

Third-party vendor management সাইবার নিরাপত্তার একটি critical এবং প্রায়ই neglected area। প্রতিটি vendor onboarding-এর সময় security questionnaire (SIG, CAIQ), SOC 2 report review, penetration test result এবং insurance certificate evaluate করতে হয়। Critical vendor-দের জন্য on-site audit এবং continuous monitoring প্রয়োজন।

Vendor-এর কাছে কী data যাচ্ছে এবং কী access আছে তা detailed inventory-তে রাখতে হবে। Data Processing Agreement (DPA), security addendum এবং right-to-audit clause contract-এ অন্তর্ভুক্ত হওয়া উচিত। Vendor incident notification SLA — যেমন breach-এর ৭২ ঘণ্টার মধ্যে notification — বাধ্যতামূলক।

BitSight, SecurityScorecard, RiskRecon-এর মতো platform vendor-এর external security posture continuously monitor করে এবং rating change-এ alert দেয়। এই ratings vendor selection এবং re-evaluation-এ ব্যবহৃত হয়। Concentration risk-ও বিবেচ্য — যদি অনেক vendor একই upstream provider-এর উপর depend করে, তবে সেই provider-এর outage cascading effect তৈরি করতে পারে।

Effective supply chain security strategy multiple layer-এ কাজ করতে হয়। Dependency management-এ private package registry (Artifactory, Nexus) maintain করতে হবে যা public registry থেকে approved package সাজিয়ে রাখে। Lockfile commitment (package-lock.json, Pipfile.lock) consistent dependency version নিশ্চিত করে। Automated dependency update tool (Dependabot, Renovate) এবং vulnerability scanner (Snyk, Mend, GitHub Advanced Security) regular use করতে হবে।

Build pipeline security-তে dedicated build server, ephemeral build environment, और least-privilege service account ব্যবহার করতে হবে। Build artifact-এ cryptographic signing এবং attestation generate করতে হবে। Container image-এ minimal base image (distroless), regular rebuild এবং vulnerability scanning অপরিহার্য।

Zero Trust Supply Chain approach-এ কোনো component-কেই default-এ trust করা হয় না — প্রতিটি interaction explicitly verified হয়। SBOM, attestation, এবং policy-as-code (OPA, Kyverno) দিয়ে deployment-এ enforcement করা হয়। Developer education-এ secure coding, social engineering recognition এবং responsible disclosure practice থাকতে হবে।