সাইবারসিকিউরিটি এবং ইনফ্রাস্ট্রাকচার সিকিউরিটি এজেন্সি এজেন্সিগুলিকে তাদের Microsoft 365 অ্যাপ্লিকেশন এবং অন্যান্য বহুল ব্যবহৃত ক্লাউড কম্পিউটিং অ্যাপ্লিকেশনগুলিতে যেকোন নিরাপত্তা ফাঁকগুলি মূল্যায়ন এবং ঠিক করতে চাইছে।
একটি নতুন মধ্যে বাধ্যতামূলক অপারেশনাল নির্দেশিকা আজ জারি করা, CISA সংস্থাগুলিকে “ক্লাউড পরিষেবাগুলির জন্য নিরাপদ অনুশীলনগুলি” বাস্তবায়ন করতে বলে৷ CISA এর “BODs” ফেডারেল বেসামরিক বিভাগ এবং সংস্থাগুলির জন্য বাধ্যতামূলক৷
সর্বশেষ নির্দেশিকাটি বিশেষভাবে এজেন্সিগুলিকে CISA-এর সিকিউর ক্লাউড বিজনেস অ্যাপ্লিকেশান বেসলাইনগুলি গ্রহণ করতে বলে৷ “SCuBA” বেসলাইনগুলি কীভাবে এজেন্সিগুলি তাদের ক্লাউড পরিবেশগুলি সুরক্ষিতভাবে কনফিগার করতে পারে তার বিশদ বিবরণ দেয়৷ প্রোগ্রামটি একটি ওপেন সোর্সও পরিচালনা করে ক্লাউড নিরাপত্তা মূল্যায়ন টুল.
নির্দেশের ছয়টি প্রয়োজনীয়তার মধ্যে রয়েছে 25 এপ্রিলের সময়সীমা এজেন্সিগুলিকে তাদের প্রযোজ্য ক্লাউড পরিবেশে SCuBA মূল্যায়ন টুল প্রয়োগ করার জন্য। তারপর SCuBA ক্লাউড সিকিউরিটি বেসলাইনে তাদের আনুগত্যের ক্ষেত্রে যেকোনও ফাঁক সারতে তাদের 20 জুন পর্যন্ত সময় আছে।
সিআইএসএ কর্মকর্তারা বলেছেন যে নতুন নির্দেশটি কোনও নির্দিষ্ট সাইবার নিরাপত্তা ঘটনার প্রতিক্রিয়ায় নয়। পরিবর্তে, এটি নিশ্চিত করার উপর দৃষ্টি নিবদ্ধ করে যে সংস্থাগুলি সঠিকভাবে সফ্টওয়্যার-এ-সার্ভিস অ্যাপ্লিকেশনগুলিকে সুরক্ষিত করছে যা সাম্প্রতিক বছরগুলিতে ফেডারেল সরকার জুড়ে প্রচলিত হয়েছে৷
“যদিও এই নির্দেশ সাম্প্রতিক হুমকি কার্যকলাপের জন্য প্রতিক্রিয়াশীল, এটি একটি নির্দিষ্ট সাম্প্রতিক হুমকির উপর দৃষ্টি নিবদ্ধ করা হয় না,” ম্যাট হার্টম্যান, সাইবার সিকিউরিটির জন্য CISA এর ডেপুটি এক্সিকিউটিভ অ্যাসিস্ট্যান্ট ডিরেক্টর, আজ একটি কলে সাংবাদিকদের বলেছেন। “এটি সেই কাজের পণ্য যা আমরা সোলারউইন্ডস অভিযানের পরে ফেডারেল ক্লাউড পরিবেশ সুরক্ষিত করার জন্য একটি কেন্দ্রীভূত এবং সামঞ্জস্যপূর্ণ পদ্ধতি তৈরি করার জন্য শুরু করেছি। এই BOD যে কনফিগারেশনের প্রয়োজন তা কোনো হুমকি অভিনেতা বা ঘটনার জন্য নির্দিষ্ট নয়। এগুলি অত্যাধুনিক, ভাল অর্থপ্রাপ্ত হুমকি অভিনেতা এবং সাধারণ সাইবার অপরাধী উভয়ের দ্বারা ধারাবাহিকভাবে ব্যবহার করা হয়।”
নির্দেশে, CISA নোট করে যে কীভাবে ভুল কনফিগার করা এবং পুরানো ক্লাউড সুরক্ষা নিয়ন্ত্রণগুলি “উল্লেখযোগ্য ঝুঁকির সূচনা করেছে এবং এর ফলে প্রকৃত আপস হয়েছে।” নির্দেশে উল্লেখ করা হয়েছে যে কীভাবে বিক্রেতার পরিবর্তন এবং ঘন ঘন সফ্টওয়্যার আপডেটগুলি ক্লাউড পরিষেবাগুলি সুরক্ষিত করার কাজটিকে বিশেষভাবে কঠিন করে তুলতে পারে।
CISA 2021 সালে SCuBA প্রোগ্রাম চালু করেছে যাতে Microsoft-এর সহযোগিতার টুলের মতো বহুল ব্যবহৃত পণ্যগুলির জন্য এজেন্সিগুলিকে স্ট্যান্ডার্ড ক্লাউড নিরাপত্তা নিয়ন্ত্রণ প্রদান করা হয়।
মঙ্গলবারের নির্দেশের আগে, SCuBA বেসলাইনগুলি এজেন্সিগুলির জন্য স্বেচ্ছায় ছিল৷ যাইহোক, গত দুই বছরে, CISA বেসলাইন এবং সংশ্লিষ্ট মূল্যায়ন সরঞ্জামগুলি পরীক্ষা এবং পরিমার্জন করার জন্য 13টি সংস্থার সাথে কাজ করেছে।
হার্টম্যান বলেন, “এটি সত্যিই এই সত্যের একটি স্বীকৃতি যে SCuBA প্রোগ্রামটি গত কয়েক বছরে উল্লেখযোগ্যভাবে পরিপক্ক হয়েছে।” “আমরা ফেডারেল বেসামরিক সংস্থাগুলির বিস্তৃত পরিসরের সাথে বেশ কয়েকটি পাইলট বাস্তবায়ন সম্পন্ন করেছি, বাস্তবায়নের ক্ষেত্রে সংস্থাগুলির কাছ থেকে গুরুত্বপূর্ণ প্রতিক্রিয়া পেয়েছি।”
নির্দেশটি একটি চূড়ান্ত SCuBA বেসলাইন সহ “সমস্ত উত্পাদন বা অপারেশনাল ক্লাউড ভাড়াটেদের” ক্ষেত্রে প্রযোজ্য। CISA গত ডিসেম্বরে Microsoft 365 পণ্যের জন্য বেসলাইন চূড়ান্ত করেছে। এজেন্সি পণ্যের Google Workspace স্যুটের জন্য ScuBA বেসলাইনেও কাজ করছে।
সিআইএসএও একটি নতুন স্থাপন করেছে ওয়েবসাইট সংস্থাগুলির জন্য প্রয়োজনীয় ক্লাউড নিরাপত্তা কনফিগারেশনের বর্তমান তালিকা প্রদান করতে।
অনেক CISA প্রোগ্রাম এবং নির্দেশাবলীর মতো, SCuBA বেসলাইনগুলির লক্ষ্য হল এজেন্সিগুলি তাদের সাইবার নিরাপত্তা অনুশীলনে যে কোনও অপ্রয়োজনীয় ফাঁক বন্ধ করছে তা নিশ্চিত করা।
এই বছরের শুরুর দিকে ফেডারেল নিউজ নেটওয়ার্কের ক্লাউড এক্সচেঞ্জের সময়, CISA-এর সাইবারসিকিউরিটি প্রোডাক্ট ম্যানেজার চাদ পোল্যান্ড বলেন, SCuBA নির্দেশিকাটির শক্তি ক্লাউড নিরাপত্তা নিয়ন্ত্রণ সম্পর্কে তার নির্দিষ্টতার মধ্যে রয়েছে।
“তারা খুব প্রেসক্রিপটিভ,” পোল্যান্ড বলেছে। “সুতরাং এটি একটি শেষ ব্যবহারকারীকে বলে যে তাদের কোন সেটিং পরিবর্তন করতে হবে, কেন তাদের যুক্তিযুক্ত বিবৃতির মাধ্যমে এটি পরিবর্তন করা উচিত। এবং তারপরে আমরা আসলে আরও এক ধাপ এগিয়ে গিয়েছি এবং MITER ATT&CK-কে ম্যাপিং প্রদান করেছি যাতে তারা জানতে পারে যে তারা সেটিংটি চালু করলে, প্রকৃত টিটিপি কী প্রতিরোধ করবে।”
কপিরাইট © 2024 ফেডারেল নিউজ নেটওয়ার্ক। সর্বস্বত্ব সংরক্ষিত এই ওয়েবসাইটটি ইউরোপীয় অর্থনৈতিক এলাকার মধ্যে অবস্থিত ব্যবহারকারীদের উদ্দেশ্যে নয়।
