আমরা জানি আপনাদের অনেকেই সিকিউরিটিতে ক্যারিয়ার গড়তে আগ্রহী, কেউ হয়তো মাত্রই পাশ করেছেন, আর কেউ হয়তো আইটি তে অন্য কোন ডোমেইনে কয়েক বছর ধরে কাজ করছেন। যেখান থেকেই আপনি সাইবার সিকিউরিটি জগতে আসতে চান, আপনার কিছু প্রাথমিক ধারনা লাগবে। তথ্য নিরাপত্তা বলতে আমরা কী বুঝি সেটি জানতে নিবন্ধ দেখতে পারেন
মনে রাখতে হবে, সাইবার সিকিউরিটি বলতে আসলে কেবল একটি ক্ষেত্র বোঝায় না, এখানে অনেকগুলো শাখা আছে। তাই আপনাকে প্রথমেই নির্ধারণ করতে হবে কোন শাখাটি আপনার জন্য উত্তম; সেটি নির্ভর করবে আপনার কাঙ্ক্ষিত জব, ক্যারিয়ার লক্ষ্য, অভিজ্ঞতা এবং পছন্দের উপর। বর্তমানে চাকরির বাজার কেমন তার ধারণা পেতে দেখুনঃ
আমার পরামর্শ হচ্ছে প্রথমেই সার্টিফিকেটশনের পিছনে দৌড়ানোর দরকার নাই, কারণ আপনি কোন ধরনের জবে জয়েন করবেন (বা করতে চান) তার উপর নির্ভর করে ট্র্যাক বদলাবে।সবার আগে আপনার কারেন্ট জব, ফিউচার প্ল্যান আর ব্যাকগ্রাউন্ড ইত্যাদি বিবেচনা করে ডিসিশন নিন কোন ট্র্যাকে যেতে চাচ্ছেন। যে ট্র্যাকেই যাবেন সেখানে ভাল সাফল্য পেতে হলে নিজে নিজে পড়াশোনা আর ব্যাপক প্র্যাকটিস করে শেখার মানসিকতা থাকতে হবে।
ব্যাপারটা এমন নয় যে ২/১ টা ট্রেনিং করলাম কিংবা যেকোন ভাবে সার্টিফিকেশন পরীক্ষা পাস করে গেলেই আপনি কেউকেটা হয়ে যাবেন, এই ভুল ধারণা ঝেড়ে ফেলে দিতে হবে। সেজন্য বিভিন্ন সিস্টেম কিভাবে কাজ করে, হ্যাক হলে কোথায় দূর্বলতা থাকতে পারে, কিভাবে কনফিগার করে নিরাপত্তা বাড়ানো হয় আর টেস্ট করলে আসলে ঠিক কি কি বিষয় যাচাই করা হয় সেগুলো জানার জন্য পড়াশোনা এবং অনুশীলন করতে হবে।
Source: https://bootcamp.cvn.columbia.edu/blog/how-to-get-into-cybersecurity/
সাইবার সিকিউরটি মূলত তিন ভাগে বিভক্তঃ
- আক্রমনাত্মক বা অফেন্সিভ সিকিউরিটি যেখানে দুষ্ট হ্যাকারের মতন যেকোন আইটি সিস্টেম, ডিভাইস, নেটওয়ার্ক বা এপ্লিকেশন যেকোন উপায়ে ব্রেক করার চেষ্টা করা হয়। এই টিমকে অনেক সময় রেড টিম বলা হয়।
- রক্ষণাত্মক বা ডিফেন্সিভ সিকিউরিটিতে হ্যাকার যাতে হ্যাক করতে না পারে তার জন্য কিভাবে নিরাপত্তা বলয় সাজাতে হবে কিংবা কনফিগার করতে হবে সেটাই মূখ্য।
- আইটি কমপ্লায়েন্স হল আইনগত বাধ্যবাধকতা, ইন্ডাস্ট্রি স্ট্যান্ডার্ড, বেস্ট প্র্যাক্টিস, কাস্টমার অডিট ইত্যাদি কিভাবে মেনে চলা যায় তার জন্য প্রয়োজনীয় প্রসেস, ডকুমেন্টেশন এবং টেকনিক্যাল কর্মপন্থা বাস্তবায়ন । যেমন- ISO27001, PCI DSS, GDPR সহ অনেক স্ট্যান্ডার্ড অনুসরণ করতে গেলে কি কি করতে হয়ে তা এর আওতাভুক্ত।
Source: https://ussignal.com/blog/moving-beyond-blinky-box-security-to-defense-in-depth-security
এন্টারপ্রাইজ সিকিউরিটি বা ডিফেন্সিভ সিকিউরিটির বেশ কয়েকটি শাখা আছে, যথা-
- নেটওয়ার্ক সিকিউরিটির মূল ফোকাস হল কীভাবে নিরাপদ নেটওয়ার্ক কনফিগার করবেন। সহজে শুরু করার জন্য সিসকো প্যাকেট ট্রেসার সফটওয়্যারের সাথে CCNA Security বই কিনে নিতে পারেন। পরবর্তীতে GNS3 বা অন্যান্য ভার্চুয়াল মেশিন ভিত্তিক সিকিউরিটি ডিভাইস বানিয়ে নিয়ে অনুশীলন করতে পারবেন।
- ক্লাউড সিকিউরিটি হল AWS, Azure, GCP ইত্যাদি পাবলিক ক্লাউডে আপনার সিস্টেম হোস্ট করা থাকলে কিভাবে বিভিন্ন সার্ভিস ব্যবহার করে এবং নিরাপত্তার নির্দেশনা অনুযায়ী সুরক্ষা দিতে পারেন। এসব প্লাটফর্ম ফ্রি একাউন্ট খুলে, সাথে ইউ টিউব আর অনলাইন টিউটোরিয়াল দেখে বেসিক শিখে নিন।
- সার্ভার সিকিউরিটিতে মূলত Active Directory সহ উইন্ডোজ, লিনাক্স, ডাটাবেইজ, ওয়েব সার্ভার ইত্যাদি নিরাপদভাব কীভাবে কনফিগার করতে হয় তা নিয়ে কাজ করতে হয়। যেকোনো একটা সার্ভার ধরে সংশ্লিষ্ট বই কিনে বা অনলাইন টিউটোরিয়াল দেখে শুরু করতে পারে। সাথে প্র্যাক্টিসের জন্য লাগবে ভার্চুয়াল ইমেজ, VMPlayer বা VBox আর হাই কনফিগারেশন পিসি।
- এন্ড ইউজার সিকিউরিটি হল পার্সোনাল কম্পিউটার, ল্যাপটপ, মোবাইল ইত্যাদি ডিভাইস যা সাধারনভাবে ব্যবহার করা হয় সেগুলো কীভাবে সুরক্ষিত করা যায় তা নিয়ে কাজ করে। এর মাঝে ডাটা লিকেজ প্রিভেনশন (DLP) এর জন্য যেসব টুল ব্যবহার করা হয়, তার উপর দক্ষতা অর্জন করতে পারলে বেশ ভালো জব ডিমান্ড আছে।
- এসবের বাইরে IoT (internet of things), AI (artificial intelligence) , ML (machine learning), OT (operational technology) , Embedded or connected systems, Industrial systems ইত্যাদি ক্ষেত্রে সিকিউরিটির এডভান্সড ট্র্যাক আছে। এগুলোর জন্য প্রোগ্রামিং এর সাথে সাথে সংশ্লিষ্ট বিষয়ে আলাদাভাবে পড়াশোনা করতে হবে। অনুশীলন করতে চাইলে ফ্রি টুল আছে, তবে হার্ডওয়্যার বা ফার্ম ওয়্যার নিয়ে কাজ করতে চাইলে সেরকম সুযোগ বর্তমান জবে থাকতে হবে।
- সিকিউরিটি রিসার্চ ট্র্যাক অবশ্য আলাদা যার জন্য প্রাতিষ্ঠানিক ল্যাবে কাজ করার অভিজ্ঞতা বা সংশ্লিষ্ট বিষয়ে উচ্চতর একাডেমিক যোগ্যতা লাগবে।
Soure: https://ifflab.org/types-of-penetration-testing-by-cybersecurity-professionals/
নবীনদের কথা ভেবে আমরা এই আলোচনা মূলত অফেন্সিভ আর ডিফেন্সিভ এই দুইটি ট্র্যাকে সীমাবদ্ধ রাখব। সিকিউরিটিএর ক্ষেত্রে একদিকে হল হ্যাকার বা আক্রমণকারী যারা যেকোন উপায়ে আইটি সিস্টেমে অনুপ্রবেশ করতে চাইবে। অন্যদিকে হল ডিফেন্ডার বা প্রতিরক্ষা টিম যারা আক্রমণ বা অনুপ্রবেশ ঠেকাতে সর্বাত্মক চেষ্টা চালাবে।
প্রতিরক্ষামূলক নিরাপত্তা নিয়ে একটু আগেই কথা বলেছি। অফেন্সিভ সিকিউরিটির ক্ষেত্রে বহুল জনপ্রিয় হল পেনিট্রেশন টেস্টিং; যার তিনটি প্রধান ধারা আছে এবং সেগুলো আয়ত্ত করতে গেলে নিচের ব্যাপারগুলো মাথায় রাখতে হবেঃ
- নেটওয়ার্ক পেনটেস্টিং এর জন্য প্রথমে বেসিক নেটওয়ার্কিং শিখতে হবে, যা প্যাকেট ট্রেসার আর যেকোন CCNA বই কিনে শুরু করতে পারেন। তারপর উপরে বলা নেটওয়ার্ক সিকিউরিটি গাইডলাইন অনুসরণ করুন। এরপর Penetration testing with Kali বইটি কিনে সাথে বিভিন্ন ফ্রি কোর্স আর ল্যাব প্র্যাক্টিস করতে থাকুন।
- ওয়েব এপ্লিকেশন পেনটেস্টিং এর জন্য প্রথমেই web based networking ( DNS, Web server, HTTP response, TCP/IP, common protocols) এর ধারণা নিতে হবে। এরপর অপেনভাস আর বার্পস্যুট এর উপর টিউটোরিয়াল দেখতে পারেন। প্র্যাক্টিসের জন্য অনলাইন থেকে জুস শপ বা যেকোন ভালনারেবল এপ ডাউনলোড করে ব্যবহার করুন। আর হ্যাঁ, অতি অবশ্যই OWASP ওয়েব সাইটে প্রচুর সময় দিয়ে বিভিন্ন টপ ১০ রিস্ক, চিটশিট আর টেস্ট মেথড শিখে নিতে হবে।
- মোবাইল এপ্লিকেশন পেনটেস্টিং ট্র্যাক শুরু করা একটু কঠিন, এন্ড্রয়েড সিস্টেম সম্পর্কে ভালো ধারণা নিতে হবে, আই ওএস হলে অটোমেটেড টুল সহজলভ্য নয়। মোবাইল এপ টেস্ট অনেকটাই ম্যানুয়াল, কাজেই আগেই ওয়েব টেস্টিং শিখে আর কিছুটা অভিজ্ঞ (যখন নিজে থেকেই যেকোন টুল শিখতে পারবেন) হয়ে তখন শুরু করা ভাল। এর জন্য বেশ কিছু টেস্টিং ফ্রেমওয়ার্ক আছে যা অনলাইনে খুঁজলেই পাবেন আর OWASP মোবাইল টপ ১০ রিস্কতো অবশ্য পাঠ্য।
মোটা দাগে বললে, একটি প্রতিষ্ঠানের অফেন্সিভ সিকিউরিটি (যাদেরকে রেড টিম বলা হয়) টিমের দায়িত্ব হল যেকোন উপায়ে সিস্টেম ভেঙে চুরে অনুপ্রবেশ করার সম্ভাবনা, ক্ষতিকারন কিছু করা বা হ্যাকারদের পক্ষে গোপন তথ্য হাতিয়ে নেয়া সম্ভব কিনা এবং তার রাস্তাগুলো খুঁজে বের করা। অন্যদিকে হ্যাকারদের আক্রমণ শুরু হয়ে গেলে কীভাবে সাড়া দিতে হবে বা ক্ষয় ক্ষতি কমাতে হবে তার জন্য দায়িত্বপ্রাপ্ত দলকে বলে ব্লু টিম যারা ডিফেন্সিভ সিকিউরিটির অংশ। তাদের কাজ হল এসব আক্রমন যাতে সফল না হয় তা নিশ্চিত করা। একটি বড় প্রতিষ্ঠানে তাই দুই দল মিলিয়েই সার্বিক সুরক্ষা নিশ্চিত করা হয় বলে অনেক সময় এই দুই দলের অভিজ্ঞতার সমন্বয় করার জন্য পার্পল (রেড + ব্লু) টিম থাকে়।
Source: https://www.lutessa.com/wp-content/uploads/2019/10/
লাল বা নীল যে দলেই কাজ করতে চান, সবার আগে লাগবে তথ্য নিরাপত্তার বেসিক জ্ঞানঃ
- তথ্য নিরাপত্তার বিভিন্ন সংজ্ঞ, লক্ষ্য এবং ধারণা;
- ওয়েব এবিং এপ্লিকেশন কমিউনিকেশনে ব্যবহৃত বিভিন্ন নেটওয়ার্ক প্রটোকল;
- ফ্রন্ট এবং ব্যাক এন্ডের (ক্লায়েন্ট-সার্ভার) মধ্যে কিভাবে, কোন ফরম্যাটে মেসেজ আদান প্রদান হয়;
- বহুল ব্যবহৃত এনক্রিপশন, হ্যাশিং এবং ডিজিটাল সার্টিফিকেট কিভাবে কাজ করে তার ধারনা;
- উপর্যুক্ত কাজের জন্য ব্যবহৃত টুল এবং কমান্ড লাইন নির্দেশনা।
এগুলো শেখার জন্য cybrary সহ বেশ কিছু ফ্রি কোর্স বা টিউটোরিয়াল অনলাইনে আছে যা দেখে নিতে পারেন। বেসিক ধারণা আয়ত্বে চলে আসার পর আমাদের প্রদত্ত পরামর্শ অনুযায়ী নিজের পছন্দমত ট্র্যাক ঠিক করে নিন, এবং সেই ট্র্যাক অনুযায়ী ট্রেনিং প্রোগ্রাম, টিউটোরিয়াল বা বইপত্র কিনে ব্যাপক পড়াশোনা/অনুশীলন শুরু করে দিন।
একটি বিষয় মনে রাখবেন, বিভিন্ন টুল চালিয়ে অনুশীলন করতে গেলে দেখা যায় কখনো কখনো উইন্ডোজ বা ম্যাকে এন্টি-ভাইরাস বা ফায়ারওয়াল অনেক টুল ব্লক করে দেবে। আবার কিছু ওপেন সোর্স টুল উইন্ডোজে ইনস্টল করাও বেশ ঝক্কি আছে, কিছু আবার উইন্ডোজ ভার্শন নেই। তাই সাধারনত VMPlayer বা VBox সফটওয়্যার দিয়ে বিভিন রকম ভার্চুয়াল মেশিন সেটআপ করে নিতে পারলে ভালো হয়। তবে এসব মেশিন বেশ ভালো মেমোরি চায় বলে হাই কনফিগারেশন পিসি লাগবে। খুব ভাল হয় যদি দুটি আলাদা কম্পিউতার থাকবে, একটিতে থাকবে যাবতীয় হ্যাকিং টুলস এবং অন্যটিতে থাকবে দুর্বল করে বানানো টার্গেট মেশিন! তারপর কালি লিনাক্স থেকে একের পর এক টুল চালিয়ে হাত মকশো করে নিতে বেশি দিন লাগবে না!
সব শুনে খুব কঠিন মনে হলেও ঘাবড়ানোর কিছু নেই। ইন্টারনেটে ফ্রি টিউটোরিয়ালসের অভাব নেই, গুগোলে অনুসন্ধান করলে সহজেই পাবেন। যারা বাংলা বইয়ে বেশী সাচ্ছন্দ্য বোধ করেন, তারা আমার ওয়েব এপ্লিকেশন সহজ পাঠবইটি কিনে নিতে পারেন। বিশেষ কোন পূর্ব অভিজ্ঞতা ছাড়া বইটিতে খুব সহজেই ধাপে ধাপে কীভাবে পরিকল্পনা থেকে সার্ভারে অনুপ্রবেশ পর্যন্ত কোন টুল ব্যবহার করে কিভাবে কি কি করতে হবে উদাহরন সহ সম্যক ব্যাখ্যা পেয়ে যাবেন।
এথিক্যাল হ্যাকিং বলতে আমরা কি বুঝি এবং আমার বই থেকে কি শিখতে পারবেন জানতে নিচের ভিডিও দেখতে পারেন। যেকোন মতামত কমেন্টে জানাতে পারেন আর ভবিষ্যতে আপডেট পেতে আমাদের ইউটিউব চ্যানেল সাবস্ক্রাইব করবে ভুলবেন না!
সব শেষে তথ্য নিরাপত্তার বিভিন্ন টপিক সম্পর্কে আরো জানতে ফেসবুকে বাংলাদেশ সাইবার সিকিউরিটি কমিউনিটি গ্রুপে চোখ রাখুন, সেখানে আমরা প্রতিনিয়ত শেয়ার করে যাচ্ছি বিভিন্ন টিপস আর নতুন নতুন টুল, গাইড এবং যেকোন প্রশ্নের উত্তর। আর আমাদের লিঙ্কডিন গ্রুপের সাথেও যুক্ত থাকতে পারেন জব মার্কেটে প্রফেশনাল নেটওয়ার্কিং করার জন্য।
তথ্য নিরাপত্তার রোমাঞ্চকর জগতে আপনার যাত্রা শুভ হোক!
