বাংলাদেশে সাইবার হামলা প্রতিরোধ করার উপায়

বাংলাদেশ সরকার দেশকে ডিজিটাল বাংলাদেশ এ রুপান্তর করতে বিভিন্ন ধরনের পদক্ষেপ নিচ্ছে। এই পদক্ষেপগুলো প্রশংসনীয়। অন্যদিকে বাংলাদেশের সাইবার স্পেসও হামলার সম্মুখীন হচ্ছে, এবং প্রতিনিয়ত হামলার সংখ্যা বেড়েই চলেছে। আমরা জানি দক্ষতা সম্পন্ন সাইবার নিরাপত্তা কর্মীর ঘাটতি একটি বৈশ্বিক সমস্যা, বাংলাদেশও এর ব্যাতিক্রম নয়। আমরা লক্ষ্য করেছি যে বাংলাদেশের ব্যবসা প্রতিষ্ঠানগুলো প্রায়ই সাইবার হামলার সম্মুখীন হওয়ার পরও তারা যথাযথ পদক্ষেপ নিচ্ছে না। কেন নিচ্ছে না?

এই আর্টিকেলের মূল উদ্দেশ্য হলো কি কারণে বাংলাদেশে বিভিন্ন ব্যবসা প্রতিষ্ঠানগুলো যথাযথ কোনো ব্যবস্থা নিতেছেনা তা নিয়ে সংক্ষেপে আলোচনা করা।

বাংলাদেশে সাইবার সিকিউরিটি ল্যান্ডস্কেপ

১। বাংলাদেশের কোম্পানি গুলো নিজেদের সাইবার নিরাপত্তা নিয়ে সচেতন নয়। প্রায় ৮০ শতাংশ ব্যবসায়ী নিজেদের সাইবার নিরাপত্তা কে অনন্য দেশের মতো গুরুত্বের সাথে নেয় নাহ।

২। বেশির ভাগ ব্যবসায়ীই নিজেদের সাইবার নিরাপত্তা সংক্রিয় (অটোমোটেড) টুলস এর উপর ছেড়ে দেয়। অটোমোটেড টুলস গুলো মোটেও পুরোপুরি নিরাপত্তা নিশ্চিত করতে সক্ষম নয়। বেশির ভাগেরই সত্য কিংবা মিথ্যা ফলাফল সনাক্ত করার ক্ষমতা নেই। যার জন্য ব্যবসা প্রতিষ্ঠান গুলোর বিভিন্ন নিরাপত্তা দূর্বলতা থেকেই যায় যা পরবর্তীতে হ্যাকাররা এক্সপ্লোয়িটিং এর মধ্যমে ব্যবসা প্রতিষ্ঠান এর ক্ষতি সাধন করে থাকে। 

৩। বাংলাদেশের আর্থিক সংস্থা গুলো নূন্যতম সময়ের জন্য এক্সট্রানাল সিকিউরিটি টেস্টিং করে থাকলেও বাকিরা এব্যাপারে একদমই সচেতন না। যদিও আর্থিক কোম্পানি গুলো বেশিরভাগ সময় সিকিউরিটি টেস্টিং রিপোর্ট গুলো যাচাই করে না।

৪। ব্যবসা প্রতিষ্ঠান গুলি ভুল সার্ভিস এবং টুলস গুলোতে ইনভেস্ট করে থাকে। ছোট ব্যবসাগুলী এই ভূল করার মধ্যে অন্যতম । তারা মনে করে শুধুমাত্র এন্টিভাইরাস, ফায়ারওয়ালই তাদের কে সাইবার হামলা থেকে নিরাপদ রাখতে সক্ষম। আবার অনেকে এমনও মনে করেন যে কেবল ডিফেন্সিভ SOC ই তাদেরকে নিরাপদ রাখার জন্য পর্যাপ্ত। 

৫। তারা নিজেদের নিরাপত্তা নিশ্চিত এর জন্য ভুল ব্যাক্তিদের নিয়োগ করছে। উদাহরণস্বরুপ একজন ম্যালওয়্যার বিশ্লেষক বা প্রোগ্রামার এর In-depth Vulnerability Assesment করা উচিত নয় যদি সে কিনা Offensive Security Testing এ  প্রশিক্ষিত না হয়। 

৬। ব্যবসায়ীদের মধ্যে সাইবার নিরাপত্তা গুলো নিয়ে ব্যপক ভূল ধারণা বিদ্যমান। যেমন অনেকেই মনে করেন আমরা কখনোই হ্যাকারদের টার্গেট হব নাহ, সাইবার সিকিউরিটি অনেক ব্যায়বহুল, ইত্যাদি।

৭। বেশিরভাগ ব্যবসা তাদের সাইবার নিরাপত্তা প্রতিরক্ষা শক্তিশালী করার জন্য বাজেট বরাদ্দ করতে অবহেলা করে। তারা কিছু অর্থ বাঁচানোর জন্য . কম দক্ষ বিশেষজ্ঞ নিয়োগ করে থাকে।

আপনি বলতে পারেন, আহ, অনেক সমস্যা, এখন কি? সমাধান কি? হ্যা এইটা সত্যি । সমাধান নিয়ে আলোচনা করার আগে আসুন সাইবার অপরাধীদের (হ্যাকার) সক্ষমতা দেখে নেওয়া যাক।

হ্যাকারদের দক্ষতা এবং চিন্তাধারা কেমন?

বাংলাদেশে সাম্প্রতিক সাইবার হামলার পর, একটি সাক্ষাত্কারে আমাকে জিজ্ঞাসা করা হয়েছিল যে হ্যাকারের সক্ষমতা কী এবং কীভাবে আমরা তাদের থেকে নিজেদের রক্ষা করার জন্য আমাদের সক্ষমতা বাড়াতে পারি।

দুর্ভাগ্যবশত, সেই সময়ে, আমি ভুলে গিয়েছিলাম যে, বাংলাদেশে, অনেকেই মনে করেন সাইবারসিকিউরিটি ডিফেন্স মানে দামি যন্ত্রপাতি সহ অবকাঠামো স্থাপন করা এবং সাইবার-আক্রমণ নিরীক্ষণের জন্য ব্যয়বহুল সফ্টওয়্যার ও সরঞ্জাম কেনা।

তাই আমি সরাসরি উত্তর দিয়েছি হ্যাকাররা মূলত দুর্বলতাকে কাজে লাগায় এবং তাদের শিকারকে আক্রমণ করার জন্য সামাজিক প্রকৌশল কৌশল ব্যবহার করে। এর মানে তারা কম্পিউটার প্রযুক্তিতে অত্যন্ত পারদর্শী এবং মানুষের কারসাজিতে খুব ভালো। সুতরাং, একটি সিস্টেমকে কাজে লাগানোর জন্য, তারা প্রযুক্তিগত ত্রুটি খুঁজে বা মানুষের ত্রুটির সুযোগ নেয়। তাদের প্রতিহত করার জন্য আমাদেরকে হ্যাকারদের মতই মানসিকতা অবলম্বন করতে হবে। বোধগম্যভাবে, আমার উত্তর একজন অ-প্রযুক্তিগত ব্যক্তির জন্য পরিষ্কার ছিল না, কারণ গোলমেলে মনে হচ্ছিলো। তাই আসুন আবার দেখে নেয়া যাক, হ্যাকারদের সত্যিকারের সক্ষমতা কি রকম হয়:

১। প্রযুক্তিগত দক্ষতা: সিস্টেম কিভাবে কাজ করে এবং কোথায় দুর্বলতা খুঁজে পাওয়া যায় সে সম্পর্কে তাদের গভীর জ্ঞান রয়েছে। তাদের প্রোগ্রামিং এবং নেটওয়ার্কিং সম্পর্কেও ভালো জ্ঞান রয়েছে।

২। সোশ্যাল ইঞ্জিনিয়ারিং: মানুষকে ম্যানুপুলেশন করার এক অসাধারণ সক্ষমতা হ্যাকারদের রয়েছে। তারা মানুষের সাইকোলজি নিয়ে খেলতে জানে। তারা জানে কিভাবে একজন মানুষের মনে ভয় সৃষ্টি করা যায়, এবং কিভাবে কাউকে তাদের ইচ্ছামতো কিছু করানো যায়।

৩। দুর্বলতা শোষণ: যেহেতু তারা প্রযুক্তিগতভাবে অত্যন্ত দক্ষ, তারা জানে কোথায় দুর্বলতা খুঁজে পেতে হবে। তারা দুর্বলতা খুঁজে পেতে এবং সেগুলো exploit করতে বিভিন্ন প্রোগ্রামিং, নেটওয়ার্কিং এবং যৌক্তিক দক্ষতা ব্যবহার করে।

৪। ম্যালওয়্যারের ব্যবহার: ম্যালওয়্যারও সোশ্যাল ইঞ্জিনিয়ারিং-এর অংশ। তারা তাদের প্রোগ্রামিং দক্ষতা ব্যবহার করে অত্যন্ত শক্তিশালী ম্যালওয়্যার তৈরি করতে পারে যা বেশিরভাগ প্রতিরক্ষা ব্যবস্থাকে বাইপাস করতে পারে। তারা প্রাথমিক এক্সেসের জন্য ম্যালওয়্যার ইনস্টল করতে পারে, অথবা, প্রথম প্রবেশ-এর পরেই তারা অন্য একটি সিস্টেম কম্প্রোমাইজ করতে পারে।

৫। জিরো-ডে : উচ্চ উন্নত হ্যাকাররা প্রাথমিক অ্যাক্সেসের জন্য জিরো-ডে exploit তৈরী বা ক্রয় করতে পারে।

৬। ক্রমাগত শিখতে থাকা: তারা তাদের জ্ঞান আপডেট রাখার চেষ্টা করে।। যখনই একটি নতুন প্রতিরক্ষা তৈরি করা হয়, তারা নতুন পদ্ধতি খুঁজে বের করার চেষ্টা করে।

৭। অধ্যবসায় এবং ধৈর্য: হ্যাকাররা প্রযুক্তিগত বা অ-প্রযুক্তিগত তথ্য এবং দুর্বলতা সংগ্রহ করতে মাস, এমনকি বছরও ব্যয় করতে পারে।

অনেক কিছু তালিকাভুক্ত করার জন্য, আমি দুঃখিত। কিন্তু এটাই সত্য। হ্যাকাররা তাদের দক্ষতার কারণে জয়ী হয়, কিছু বিনিয়োগ থাকলেও, ১০০+ কোটি টাকা দামী সরঞ্জাম বা সরঞ্জাম থাকার জন্য নয়।

তাদের দক্ষতা ও চিন্তাভাবনা নিয়ে বলার কারণ হচ্ছে, ঠিক একই দক্ষতার ব্যবহার করে আপনার অবকাঠামোর দুর্বলতা খুঁজে বের করতে হবে। বাংলাদেশে সাইবার আক্রমণ থেকে রক্ষা পাওয়ার একমাত্র উপায় হল হ্যাকারদের থেকে এক ধাপ এগিয়ে থাকা। অসম্ভব মনে হচ্ছে? হ্যাঁ, এটি কেবল তখনই সম্ভব যদি সাইবার নিরাপত্তা সংস্কৃতি দেশ বা কোম্পানি জুড়ে পরিবর্তিত হয়। আমি সাধারণ কিছু বিষয় তুলে ধরবো, যদি তা অনুসরণ করা হয় তাহলে অনেকাংশেই সাইবার হামলা কমে যাবে।

সাইবার হামলা প্রতিরোধ এর উপায়

বাংলাদেশে সাইবার হামলা প্রতিরোধে ওয়ান স্টপ সমাধান নেই। তবে সম্ভাবনা কমাতে কিছু পদক্ষেপ নেওয়া যেতে পারে।

বাহ্যিক দুর্বলতা মূল্যায়ন এবং অনুপ্রবেশ পরীক্ষা

হ্যাকারদের হাত থেকে আপনার ব্যবসাকে রক্ষা করার জন্য, আপনাকে হ্যাকারদের মতোই ভাবতে হবে, হ্যাকাররা যেসব দুর্বলতার সুযোগ নিয়ে, আপনাদেরকে হ্যাক করতেছে, সেই দুর্বলতাগুলো তাদের আগেই চিহ্নিত করতে হবে। এটার কার্যকরী একটি পদ্ধতি হলো, VAPT, যা বহিরাগত কোনো অভিজ্ঞ টীম দিয়ে করতে হবে। কিন্তু একটি বহিরাগত দল নির্বাচন করার সময়, নিশ্চিত হতে হবে যে তাদের OSCE3 বা ন্যূনতম OSCP-এর মতো সার্টিফিকেশন আছে। তাদের আক্রমণাত্মক নিরাপত্তা মূল্যায়নে প্রমাণিত অভিজ্ঞতা থাকা উচিত এবং ম্যানুয়াল অনুপ্রবেশ পরীক্ষায় পারদর্শী হওয়া উচিত। একবার মূল্যায়ন শেষ হলে, চিহ্নিত দুর্বলতাগুলিকে মোকাবেলা করতে অগ্রাধিকার দিন৷

সমস্যা হল বাংলাদেশে মাত্র কয়েকটি OSCP প্রত্যয়িত আছে, এবং কোন OSCE3 নাও থাকতে পারে। আর এই সমস্যা সমাধানের জন্যই আমরা আছি। এমনকি আমাদের সক্ষমতা আরো বাড়াতে, আমরা যুক্তরাজ্য এবং কোরিয়ান কোম্পানিগুলির সাথেও অংশীদারিত্ব করছি, তাই আমরা কখনই RedNode-এ দক্ষতার অভাব অনুভব করি না।

কর্মকর্তা ও কর্মচারীদের প্রশিক্ষণ

আমরা উচ্চতর কর্তৃপক্ষ এবং সাধারণ কর্মকর্তা সহ তাদের সকল কর্মচারীকে সাইবার নিরাপত্তা সচেতনতা প্রশিক্ষণ প্রদানের জোর দিবো, যাতে তারা সাইবার হুমকি থেকে নিজেদের রক্ষা করতে পারে। ভালো একটি প্রশিক্ষণ তাদের সাধারণ সাইবার আক্রমণ যেমন ফিশিং আক্রমণ, ম্যালওয়্যার আক্রমণ এবং সাধারণ সোশ্যাল ইঞ্জিনিয়ারিং আক্রমণগুলি বুঝতে সাহায্য করবে৷ বিপরীতে, অভ্যন্তরীণভাবে দায়িত্বশীল দলকে তাদের দক্ষতা ও জ্ঞান বৃদ্ধির জন্য সাইবার নিরাপত্তা প্রশিক্ষণ প্রদান করা উচিত। প্রশিক্ষণ তাদের আরও দক্ষতার সাথে হুমকিগুলি পর্যবেক্ষণ এবং সনাক্ত করতে সহায়তা করবে।

রেড টীম

আমরা যদি সত্যিকার অর্থেই বাংলাদেশের আইটি স্পেস রক্ষা করতে চাই, তাহলে আমাদের সত্যিকারের প্রতিপক্ষের মতো ভাবতে হবে। এখানেই রেড টিমের এসেসমেন্ট সত্যিকার অর্থে বাধ্যতামূলক। রেড টিম এসেসমেন্ট আপনার প্রতিষ্ঠানের পরিকাঠামোর বিরুদ্ধে বাস্তব-বিশ্বের আক্রমণ অনুকরণ করে।

রিয়েল-ওয়ার্ল্ড সিমুলেশন: রেড টিম প্রকৃত প্রতিপক্ষের ট্যাকটিক্স, টেকনিক্স এবং প্রসিডিউসরস (TTPs) অনুকরণ করে।

বিস্তৃত মূল্যায়ন: শুধুমাত্র দুর্বলতা মূল্যায়ন নয়, রেড টিম ডিজিটাল, শারীরিক এবং মানুষের দুর্বলতা পরীক্ষা করে।

ডিফেন্স এর সক্ষমতা পরীক্ষা : রেড টিম ব্রিচ ডিটেকশন সিস্টেম এবং রেসপন্স, এন্টিভাইরাস, ইডিআর, এবং অন্যান্য প্রতিরক্ষার ক্ষমতা পরীক্ষা করে থাকে। 

এন-ডেপ্ত এন্টারনাল টেস্টিংঃ প্রিভিলেজ এসকেলেশন, এক্টিভ ডিরেক্টরি এক্সপ্লোয়িটেশন এবং অন্যান্য অভ্যন্তরীণ দুর্বলতা খুঁজে বের করার জন্য অতি প্রয়োজনীয় ও কর্যকর একটি পদ্ধতি।

পেনিট্রেশন টেস্টিং এবং রেড টিম অ্যাসেসমেন্টের মধ্যে পার্থক্য হল যে পেনেট্রেশন টেস্টাররা সমস্ত সম্ভাব্য প্রযুক্তিগত দুর্বলতা খুঁজে বের করে। বিপরীতভাবে, রেড টিম প্রাথমিক অ্যাক্সেসের জন্য প্রযুক্তিগত বা মানুষের দুর্বলতা দুর্বলতার ব্যবহার করে এবং বিস্তারিতভাবে তা মূল্যায়ন করে। বিবেচনা করুন রেড টিমিং একটি আসল হ্যাকিং সিনারিও যার উদ্দেশ্য সিস্টেম ও অবকাঠামোকে আরো নিরাপদ করা।

আপনি যদি বিশ্বাস করেন যে আপনার একটি শক্তিশালী সাইবার নিরাপত্তা দল এবং একটি অত্যন্ত সুরক্ষিত নেটওয়ার্ক আছে, তাহলে তা প্রমানের জন্য রেড টিম এসেসমেন্ট করুন। আমি জোর দিয়ে বলতে পারি, আপনারা কেউ সংরক্ষিত না।

সর্বশেষ কথা

আমরা জানি যে বাংলাদেশ দ্রুত একটি “স্মার্ট বাংলাদেশ” হিসেবে বিকশিত হওয়ার দিকে এগিয়ে যাচ্ছে, যা এটিকে সাইবার হামলার সম্ভাব্য লক্ষ্যে পরিণত করেছে। এই ধরনের আক্রমণের ফ্রিকোয়েন্সি দিন দিন বৃদ্ধি পাচ্ছে, এটি একটি গুরুতর সমস্যা যা আর হালকাভাবে নেওয়া যায় না।

এই মুহুর্তে, তাত্ক্ষণিক পদক্ষেপগুলির মধ্যে রয়েছে দুর্বলতা মূল্যায়ন এবং গভীরভাবে অনুপ্রবেশ পরীক্ষা, কর্মচারী প্রশিক্ষণ, এবং নতুন আক্রমণ থেকে বাঁচতে ক্রমাগতভাবে পর্যবেক্ষণ করা। মনে রাখবেন, কেউ যদি হ্যাকারদের জন্য দরজা খোলা রাখে তাহলে SOC ততটা কার্যকর হবে না।