মাইক্রোসফ্ট এবং প্রধান ক্লাউড প্রদানকারীরা তাদের ব্যবসায়িক গ্রাহকদের আরও সুরক্ষিত প্রমাণীকরণ এবং মৌলিক নিরাপত্তা দুর্বলতাগুলি দূর করার জন্য পদক্ষেপ নিতে শুরু করেছে - যেমন ক্লাউড পরিষেবাগুলি অ্যাক্সেস করতে আনএনক্রিপ্ট করা চ্যানেলগুলিতে ব্যবহারকারীর নাম এবং পাসওয়ার্ড ব্যবহার করা৷
মাইক্রোসফট, উদাহরণস্বরূপ, 1 অক্টোবর থেকে তার এক্সচেঞ্জ অনলাইন পরিষেবার জন্য মৌলিক প্রমাণীকরণ ব্যবহার করার ক্ষমতা সরিয়ে ফেলবে, এর গ্রাহকদের পরিবর্তে টোকেন-ভিত্তিক প্রমাণীকরণ ব্যবহার করতে হবে। Google ইতিমধ্যে তার দ্বি-পদক্ষেপ যাচাইকরণ প্রক্রিয়ায় 150 মিলিয়ন লোককে স্বয়ংক্রিয়ভাবে নথিভুক্ত করেছে, এবং অনলাইন ক্লাউড প্রদানকারী র্যাকস্পেস বছরের শেষ নাগাদ ক্লিয়ারটেক্সট ইমেল প্রোটোকল বন্ধ করার পরিকল্পনা করেছে।
ম্যালওয়্যারবাইটসের ম্যালওয়্যার ইন্টেলিজেন্স গবেষক পিটার আর্ন্টজ বলেছেন, সময়সীমাগুলি কোম্পানিগুলির জন্য একটি সতর্কতা যে ক্লাউড পরিষেবাগুলিতে তাদের অ্যাক্সেস সুরক্ষিত করার প্রচেষ্টা আর বন্ধ করা যাবে না। একটি সাম্প্রতিক ব্লগ পোস্ট লিখেছেন মাইক্রোসফ্ট এক্সচেঞ্জ অনলাইন ব্যবহারকারীদের জন্য আসন্ন সময়সীমা হাইলাইট করা।
"আমি মনে করি ভারসাম্যটি এমন জায়গায় স্থানান্তরিত হচ্ছে যেখানে তারা মনে করে যে তারা ব্যবহারকারীদের বোঝাতে পারে যে অতিরিক্ত নিরাপত্তা তাদের সর্বোত্তম স্বার্থে, সমাধানগুলি অফার করার চেষ্টা করার সময় যেগুলি ব্যবহার করা তুলনামূলকভাবে সহজ," তিনি বলেছেন। "মাইক্রোসফ্ট প্রায়শই একটি ট্রেন্ডসেটার এবং বছর আগে এই পরিকল্পনাগুলি ঘোষণা করে, কিন্তু আপনি এখনও সংস্থাগুলিকে যথাযথ ব্যবস্থা নিতে এবং সংগ্রাম করতে দেখতে পাবেন।"
পরিচয়-সম্পর্কিত লঙ্ঘন বাড়ছে
যদিও কিছু নিরাপত্তা-সচেতন কোম্পানি ক্লাউড পরিষেবাগুলিতে অ্যাক্সেস সুরক্ষিত করার উদ্যোগ নিয়েছে, অন্যদেরকে উৎসাহিত করতে হবে — এমন কিছু যা ক্লাউড প্রদানকারীরা, যেমন মাইক্রোসফট, ক্রমবর্ধমানভাবে করতে ইচ্ছুক, বিশেষ করে যেহেতু কোম্পানিগুলি আরও পরিচয়-সম্পর্কিত লঙ্ঘনের সাথে লড়াই করছে৷ 2022 সালে, 84% কোম্পানি একটি পরিচয়-সম্পর্কিত লঙ্ঘনের শিকার হয়েছে, যা আগের দুই বছরে 79% থেকে বেড়েছে, আইডেন্টিটি ডিফাইনড সিকিউরিটি অ্যালায়েন্সএর "2022 ট্রেন্ডস ইন সিকিউরিং ডিজিটাল আইডেন্টিটিস" রিপোর্ট।
প্রমাণীকরণের প্রাথমিক ফর্মগুলি বন্ধ করা আক্রমণকারীদের ব্লক করার একটি সহজ উপায়, যারা ক্রমবর্ধমানভাবে ক্রেডেনশিয়াল স্টাফিং এবং অন্যান্য গণ অ্যাক্সেসের প্রচেষ্টাগুলিকে ভুক্তভোগীদের সাথে আপস করার প্রথম পদক্ষেপ হিসাবে ব্যবহার করছে৷ দুর্বল প্রমাণীকরণ সহ কোম্পানিগুলি নিজেদেরকে নৃশংস আক্রমণ, পুনঃব্যবহৃত পাসওয়ার্ডের অপব্যবহার, ফিশিং এর মাধ্যমে চুরি করা শংসাপত্র এবং হাইজ্যাক সেশনের জন্য উন্মুক্ত রাখে।
এবং একবার আক্রমণকারীরা কর্পোরেট ইমেল পরিষেবাগুলিতে অ্যাক্সেস পেয়ে গেলে, তারা সংবেদনশীল তথ্য বের করতে পারে বা ক্ষতিকারক আক্রমণ পরিচালনা করতে পারে, যেমন ব্যবসায়িক ইমেল সমঝোতা (বিইসি) এবং র্যানসমওয়্যার আক্রমণ, ইগাল গফম্যান বলেছেন, ক্লাউডের জন্য পরিচয় সুরক্ষা প্রদানকারী Ermetic-এর গবেষণা প্রধান। সেবা.
"দুর্বল প্রমাণীকরণ প্রোটোকলের ব্যবহার, বিশেষত ক্লাউডে, খুব বিপজ্জনক হতে পারে এবং বড় ডেটা লিক হতে পারে," তিনি বলেছেন। "জাতি-রাষ্ট্র এবং সাইবার অপরাধীরা ক্রমাগত ক্লাউড পরিষেবাদির বিরুদ্ধে বিভিন্ন ধরণের পাশবিক আক্রমণ চালানোর মাধ্যমে দুর্বল প্রমাণীকরণ প্রোটোকলের অপব্যবহার করছে।"
প্রমাণীকরণের নিরাপত্তা কমানোর সুবিধাগুলি তাৎক্ষণিক সুবিধা পেতে পারে। গুগল খুঁজে পেয়েছে যে তার দ্বি-পদক্ষেপ যাচাইকরণ প্রক্রিয়ায় লোকেদের স্বতঃ-নথিভুক্ত করা হচ্ছে অ্যাকাউন্ট আপস একটি 50% হ্রাসের ফলে. আইডিএসএ-এর "43 ট্রেন্ডস ইন সিকিউরিং ডিজিটাল আইডেন্টিটিস" রিপোর্ট অনুসারে, লঙ্ঘনের শিকার কোম্পানিগুলির একটি উল্লেখযোগ্য অংশ (2022%) বিশ্বাস করে যে মাল্টিফ্যাক্টর প্রমাণীকরণ থাকলে আক্রমণকারীদের থামানো যেত।
জিরো-ট্রাস্ট আর্কিটেকচারের দিকে এজিং
উপরন্তু, মেঘ এবং শূন্য-বিশ্বাসের উদ্যোগ আইডিএসএ'র টেকনিক্যাল ওয়ার্কিং গ্রুপ ডার্ক রিডিং-কে একটি ইমেলে জানিয়েছে, এই উদ্যোগের অংশ হিসেবে অর্ধেকেরও বেশি কোম্পানি আইডেন্টিটি সিকিউরিটিতে বিনিয়োগ করে, আরও সুরক্ষিত পরিচয়ের অন্বেষণকে চালিত করেছে।
অনেক কোম্পানির জন্য, সাধারণ প্রমাণীকরণ প্রক্রিয়া থেকে সরে যাওয়া যা শুধুমাত্র একজন ব্যবহারকারীর প্রমাণপত্রের উপর নির্ভর করে র্যানসমওয়্যার এবং অন্যান্য হুমকির দ্বারা উদ্বুদ্ধ হয়েছে, যার কারণে কোম্পানিগুলি তাদের আক্রমণের পৃষ্ঠের ক্ষেত্রটিকে কমিয়ে আনা এবং যেখানে তারা পারে সেখানে প্রতিরক্ষা শক্ত করার দিকে নজর দিয়েছে, IDSA এর প্রযুক্তিগত কাজ গ্রুপ লিখেছেন।
“অধিকাংশ কোম্পানি যেহেতু তাদের শূন্য-বিশ্বাসের উদ্যোগকে ত্বরান্বিত করে, তারা যেখানে সম্ভব সেখানে আরও শক্তিশালী প্রমাণীকরণ বাস্তবায়ন করছে — যদিও, এটা আশ্চর্যজনক যে কিছু কোম্পানি এখনও মৌলিক বিষয়গুলির সাথে লড়াই করছে, অথবা [যে] এখনও শূন্য বিশ্বাস গ্রহণ করেনি, তাদের উন্মুক্ত রেখে,” গবেষকরা সেখানে লিখেছেন।
নিরাপদ পরিচয়ের প্রতিবন্ধকতা রয়ে গেছে
প্রতিটি প্রধান ক্লাউড প্রদানকারী নিরাপদ চ্যানেলের মাধ্যমে এবং নিরাপদ টোকেন ব্যবহার করে মাল্টিফ্যাক্টর প্রমাণীকরণ অফার করে, যেমন OAuth 2.0। বৈশিষ্ট্যটি চালু করা সহজ হতে পারে, নিরাপদ অ্যাক্সেস পরিচালনা করা আইটি বিভাগের জন্য কাজের বৃদ্ধির দিকে পরিচালিত করতে পারে - এমন কিছু যার জন্য ব্যবসাগুলিকে প্রস্তুত থাকতে হবে, ম্যালওয়্যারবাইটসের আর্ন্টজ বলেছেন।
কোম্পানিগুলি "কখনও কখনও ব্যর্থ হয় যখন এটি পরিচালনা করতে আসে কার পরিষেবাতে অ্যাক্সেস আছে এবং তাদের কোন অনুমতি প্রয়োজন," তিনি বলেছেন। "এটি আইটি কর্মীদের জন্য অতিরিক্ত পরিমাণ কাজ যা একটি উচ্চ প্রমাণীকরণ স্তরের সাথে আসে - এটি বাধা।"
IDSA এর টেকনিক্যাল ওয়ার্কিং গ্রুপের গবেষকরা ব্যাখ্যা করেছেন যে উত্তরাধিকার অবকাঠামোও একটি বাধা।
"যদিও মাইক্রোসফ্ট কিছু সময়ের জন্য তাদের প্রমাণীকরণ প্রোটোকলগুলিকে এগিয়ে নিয়ে যাওয়ার প্রক্রিয়ার মধ্যে রয়েছে, লিগ্যাসি অ্যাপস, প্রোটোকল এবং ডিভাইসগুলির জন্য স্থানান্তর এবং পশ্চাদমুখী সামঞ্জস্যের চ্যালেঞ্জ তাদের গ্রহণে বিলম্ব করেছে," তারা উল্লেখ করেছে। "এটি ভাল খবর যে মৌলিক প্রমাণের জন্য শেষ দেখা যাচ্ছে।"
ভোক্তা-কেন্দ্রিক পরিষেবাগুলিও প্রমাণীকরণের জন্য আরও নিরাপদ পদ্ধতি গ্রহণ করতে ধীর। যদিও Google-এর পদক্ষেপ অনেক গ্রাহকদের জন্য নিরাপত্তা উন্নত করেছে, এবং অ্যাপল তার 95% এরও বেশি ব্যবহারকারীর জন্য দ্বি-ফ্যাক্টর প্রমাণীকরণ সক্ষম করেছে, বেশিরভাগ ক্ষেত্রে গ্রাহকরা শুধুমাত্র কয়েকটি পরিষেবার জন্য মাল্টিফ্যাক্টর প্রমাণীকরণ ব্যবহার করে চলেছেন।
যদিও প্রায় দুই-তৃতীয়াংশ কোম্পানি (64%) 2022 সালে তাদের শীর্ষ তিনটি অগ্রাধিকারের একটি হিসাবে ডিজিটাল পরিচয় সুরক্ষিত করার উদ্যোগ চিহ্নিত করেছে, IDSA-এর রিপোর্ট অনুসারে, শুধুমাত্র 12% সংস্থা তাদের ব্যবহারকারীদের জন্য বহুমুখী প্রমাণীকরণ বাস্তবায়ন করেছে। যাইহোক, সংস্থাগুলি বিকল্পটি সরবরাহ করতে চাইছে, 29% গ্রাহক-কেন্দ্রিক ক্লাউড সরবরাহকারী বর্তমানে আরও ভাল প্রমাণীকরণ বাস্তবায়ন করছে এবং 21% ভবিষ্যতের জন্য এটির পরিকল্পনা করছে।
