বিডেন প্রশাসন মার্কিন তথ্য-প্রযুক্তি অবকাঠামোকে কঠোর করার জন্য ঘনিষ্ঠ সরকারি-বেসরকারি অংশীদারিত্বের জন্য চাপ অব্যাহত রেখেছে, কোম্পানিগুলিকে মেমরি-নিরাপদ প্রোগ্রামিং ভাষাগুলিতে স্থানান্তরিত করার আহ্বান জানিয়েছে এবং সফ্টওয়্যার সুরক্ষা পরিমাপের আরও ভাল উপায় তৈরি করার জন্য প্রযুক্তিগত এবং একাডেমিক সম্প্রদায়কে আহ্বান জানিয়েছে।
এই সপ্তাহে, ন্যাশনাল সাইবার ডিরেক্টর (ওএনসিডি) এর হোয়াইট হাউস অফিস ডেভেলপার এবং ইঞ্জিনিয়ারদের জন্য লেখা একটি প্রতিবেদন প্রকাশ করেছে, যুক্তি দিয়েছে যে জাতিকে সাইবারস্পেস রক্ষার জন্য দায়িত্বের একটি নতুন ভারসাম্য তৈরি করতে হবে এবং কোম্পানিগুলির সাইবার নিরাপত্তায় বিনিয়োগের জন্য আরও ভাল প্রণোদনা তৈরি করতে হবে। তাদের পণ্য.
প্রাথমিক পদক্ষেপ হিসেবে, ONCD প্রযুক্তি নির্মাতাদের আহ্বান জানিয়েছে মেমরি-নিরাপদ প্রোগ্রামিং ভাষায় স্থানান্তর করুন — যেমন Python, Java, এবং Rust — যা 70% পর্যন্ত দুর্বলতা দূর করতে পারে এবং তাদের পণ্যের নিরাপত্তা পরিমাপের আরও ভালো উপায় তৈরি করতে পারে।
ন্যাশনাল সাইবার ডিরেক্টর হ্যারি কোকার একটি ভিডিও বিবৃতিতে বলেছেন, বর্তমান ইকোসিস্টেম আক্রমণকারীদের বিরুদ্ধে গুরুত্বপূর্ণ অবকাঠামো এবং সিস্টেমগুলি সুরক্ষিত করার জন্য প্রয়োজনীয় খরচ বহন করতে সক্ষম লোকদের উপর খুব বেশি বোঝা চাপিয়েছে।
"আজ, প্রযুক্তির শেষ ব্যবহারকারীরা - ব্যক্তি হোক, ছোট ব্যবসা হোক বা সমালোচনামূলক অবকাঠামোর মালিক এবং অপারেটর হোক - আমাদের জাতিকে সুরক্ষিত রাখার জন্য অনেক বেশি দায়িত্ব বহন করে," তিনি বলেছিলেন। “একটি সিস্টেম যাকে কয়েকটি কীস্ট্রোকের মাধ্যমে নামিয়ে আনা যায় আরও ভাল বিল্ডিং ব্লক, একটি শক্তিশালী ভিত্তি প্রয়োজন। সাইবারস্পেসকে রক্ষা করার জন্য আমাদের সবচেয়ে বেশি সক্ষম এবং সেরা অবস্থানে থাকা আরও বেশি আশা করতে হবে এবং এতে ফেডারেল সরকার অন্তর্ভুক্ত রয়েছে।
সাইবার সিকিউরিটির দিকে ঝুঁকছেন
বিডেন প্রশাসন দেশের অবকাঠামোর সাইবার নিরাপত্তা উন্নত করার প্রচেষ্টায় ঝুঁকেছে, যার বেশিরভাগই ব্যক্তিগত মালিকানাধীন। এক বছর আগে প্রশাসন ড তার জাতীয় সাইবার নিরাপত্তা কৌশল প্রকাশ করেছে সফ্টওয়্যার দায়বদ্ধতা এবং সমালোচনামূলক-অবকাঠামো খাতের জন্য ন্যূনতম সাইবার নিরাপত্তা প্রয়োজনীয়তাগুলির জন্য আহ্বান করা। প্রশাসনও করেছে সফ্টওয়্যার নির্মাতারা এবং ওপেন সোর্স ডেভেলপমেন্ট সম্প্রদায়ের সাথে একটি সংলাপ চালিয়েছে সফ্টওয়্যার নিরাপত্তাকে এগিয়ে নিয়ে যাওয়ার জন্য সহযোগিতা করার আরও ভাল উপায় খুঁজে বের করতে।
সর্বশেষ প্রতিবেদন, বিল্ডিং ব্লকে ফিরে যান: নিরাপদ এবং পরিমাপযোগ্য সফ্টওয়্যারটির দিকে একটি প্যাট, দেখায় যে সরকার সফ্টওয়্যার নিরাপত্তা তত্ত্বাবধানে একটি দীর্ঘমেয়াদী ভূমিকা দেখে।
সাইবারসিকিউরিটি এডুকেশন অ্যান্ড সার্টিফিকেশন গ্রুপ ISC2-এর সিইও ক্লার রোসো বলেছেন, এই প্রচেষ্টাগুলি সম্ভবত অনেক প্রাইভেট-সেক্টর সংস্থাকে মেমরি-সেফ ভাষায় এবং C, C++ এবং মেশিন কোড থেকে দূরে সরে যেতে রাজি করাতে কাজ করবে।
"সংগঠনগুলি আরও নিরাপদ হয়ে উঠবে যদি আমরা সাইবার নিরাপত্তার প্রতিক্রিয়াশীল পদ্ধতি থেকে দূরে সরে যেতে পারি এবং বাম দিকে সরে যাওয়ার পিছনে একটি সমন্বিত প্রচেষ্টা করতে পারি," সে বলে। "তবে, সরকারী এবং বেসরকারী খাতের মধ্যে সহযোগিতা ছাড়া এর কিছুই সম্ভব হবে না - আমরা যদি নিরাপদ এবং পরিমাপযোগ্য সফ্টওয়্যারের দিকে একটি পথ চার্ট করতে যাচ্ছি তবে আমাদের সম্মিলিত পদক্ষেপের প্রয়োজন।"
যেকোনো গতিতে অনিরাপদ
মেমরি নিরাপত্তা হল আধুনিক প্রোগ্রামিং ভাষার বৈশিষ্ট্যগুলির একটি সেট যা প্রোগ্রামগুলিকে প্রত্যাশিত সীমার বাইরে মেমরি অ্যাক্সেস করতে এবং প্রোগ্রাম দ্বারা তাদের মেমরি মুক্ত করার পরে ভেরিয়েবল অ্যাক্সেস করতে বাধা দেয়। সফ্টওয়্যারের উপর স্থানিক এবং অস্থায়ী সীমাবদ্ধতা স্থাপন করে, মেমরি-নিরাপদ প্রোগ্রামিং ভাষাগুলি সমস্ত দুর্বলতাগুলিকে দূর করতে পারে যা পূর্বে 2003 সালের স্ল্যামার ওয়ার্ম এবং 2014 সালে হার্টব্লিড দুর্বলতার মতো বড় সাইবার ইভেন্টগুলির দিকে পরিচালিত করেছিল।
উল্লেখযোগ্য দুর্বলতার সংখ্যা হ্রাস করা শেষ ব্যবহারকারীদের সাইবার-স্থিতিস্থাপকতার অন্যান্য দিকগুলিতে ফোকাস করার অনুমতি দিয়ে সাহায্য করতে পারে, অঞ্জনা রাজন, ONCD-তে প্রযুক্তি সুরক্ষার জন্য সহকারী জাতীয় সাইবার পরিচালক, একটি ভিডিও বিবৃতিতে বলেছেন।
"বর্তমান স্থিতাবস্থার দ্বারা দাবি করা তীব্র প্রতিক্রিয়াশীল ভঙ্গি আক্রমণের পরবর্তী তরঙ্গের পূর্বাভাস এবং প্রস্তুতির [শেষ ব্যবহারকারীদের] ক্ষমতা হ্রাস করে," তিনি বলেছিলেন। “আমেরিকার প্রতিপক্ষকে ছাড়িয়ে যেতে, আমাদের অবশ্যই একটি প্রতিরক্ষাযোগ্য এবং স্থিতিস্থাপক ইকোসিস্টেম তৈরি করতে হবে। এর অর্থ হল আমাদের প্রচেষ্টাগুলিকে অবশ্যই ফোকাস করতে হবে যে আমরা কীভাবে সাইবার যুদ্ধক্ষেত্রকে ঠেকাতে, প্রশমিত করতে এবং ভবিষ্যতের আক্রমণের বিরুদ্ধে রক্ষা করার সিদ্ধান্ত নেব।"
ওপেন সোর্স ইকোসিস্টেম ইতিমধ্যেই নন-মেমরি-নিরাপদ ভাষা থেকে দূরে সরে গেছে, বেশিরভাগ প্রজেক্ট জাভাস্ক্রিপ্ট, পাইথন, টাইপস্ক্রিপ্ট এবং জাভা-তে লেখা আছে, যা — আধুনিক সংস্করণ ধরে নেওয়া — সবগুলিতেই মেমরি-নিরাপত্তা বৈশিষ্ট্য রয়েছে, মাইক ম্যাকগুয়ার বলেছেন, নিরাপত্তা সমাধান ব্যবস্থাপক Synopsys সঙ্গে।
"ওপেন সোর্স ওয়ার্ল্ডে, আপনি C এবং C++ এর চেয়ে অনেক বেশি জাভা ওপেন-সোর্স লাইব্রেরি, অনেক বেশি পাইথন ওপেন-সোর্স লাইব্রেরি খুঁজে পেতে যাচ্ছেন," তিনি বলেছেন। "এটি অগত্যা নয় কারণ শিল্পটি C এবং C++ থেকে দূরে সরে যাচ্ছে - এগুলি খুব শক্তিশালী ভাষা - তবে, যদি তারা ওপেন সোর্সে আরও অবদান রাখতে চলেছে, ... আপনি চান যে তারা স্মৃতি-নিরাপদ ভাষাগুলির সাথে অবদান রাখুক।"
নিরাপত্তা মেট্রিক্সে ইইউ-এর ভুল পদক্ষেপগুলি এড়ানো
সম্ভবত আরও কঠিন দ্বিতীয়ার্ধ হবে বিডেন প্রশাসনের উদ্যোগ: সফ্টওয়্যারে প্রয়োগ করা যেতে পারে এমন নিরাপত্তা মেট্রিক তৈরি করা।
যদিও একটি স্বয়ংক্রিয় সিস্টেম যা তাত্ক্ষণিকভাবে সফ্টওয়্যারের জন্য একটি সুরক্ষা স্কোর বের করে দেয় তা চমৎকার শোনায়, গবেষণা প্রচেষ্টা উল্লেখযোগ্য বাধার সম্মুখীন হবে, ISC2 এর রোসো বলেছেন।
"আমার এই সুপারিশ সম্পর্কে কিছু সংরক্ষণ আছে কারণ একটি পণ্যকে 'নিরাপদ' মনে করার জন্য একটি অ্যালগরিদম বা সমীকরণ চালানোর ধারণাটি চির-বিকশিত হুমকির আড়াআড়ির সাথে চ্যালেঞ্জিং বলে মনে হচ্ছে," সে বলে। “[ও] সংস্থাগুলিকে অবশ্যই এমন পণ্য এবং পরিষেবাগুলির সুবিধা নেওয়া উচিত যা তাদের সাইবার নিরাপত্তা ঝুঁকির একটি সামগ্রিক দৃষ্টিভঙ্গি রাখার অনুমতি দেয়, [কিন্তু] … এটি মানসম্মত ব্যবস্থা তৈরি করার দাবি করবে যা সফ্টওয়্যারকে ভাল বা দরিদ্র হিসাবে মনোনীত করতে ব্যবহার করা যেতে পারে। গুণমানে।"
গত বছর ইউরোপীয় ইউনিয়ন ড সমালোচনার মুখোমুখি সাইবার রেজিলিয়েন্স অ্যাক্ট (CRA) পাশ করার পর এই ভয়ে যে 24-ঘন্টা দুর্বলতা প্রকাশের নিয়ম কোম্পানিগুলিকে সমস্যাগুলি সমাধান করার জন্য যথেষ্ট সময় দেয় না এবং কম নিরাপদ সফ্টওয়্যার হতে পারে, আরও বেশি নয়।
বিশেষ করে ওপেন সোর্স ইকোসিস্টেমের সাথে কাজ করার সময়, আইন প্রণেতা এবং সরকারী আধিকারিকদের তাদের বাস্তবায়নের আগে নীতিগুলি সাবধানে বিবেচনা করতে হবে, সিনোপসিসের ম্যাকগুয়ার বলেছেন।
“আমাদের মনে রাখতে হবে যে ওপেন সোর্স রক্ষণাবেক্ষণকারীরা সাধারণত তাদের অবসর সময়ে তাদের নিজস্ব টাকায় এটি করে থাকে; তারা এটা করছে কারণ এটা করা সঠিক কাজ,” তিনি বলেছেন। "নিচে এসে বলছে যে তাদের অতিরিক্ত প্রয়োজনীয়তা থাকতে হবে বা অতিরিক্ত মেট্রিক্স দিতে হবে বা অতিরিক্ত মেট্রিক্স সংগ্রহ করতে হবে - এটি একটি উল্লেখযোগ্য আঘাত হবে, আমি মনে করি, আমাদের কাছে উপলব্ধ ওপেন সোর্সের জন্য। সেই ওপেন সোর্স … যে কারণে আমরা আজকে যে [উন্নয়ন বেগ] করি তা দেখতে পাচ্ছি।"
- এসইও চালিত বিষয়বস্তু এবং পিআর বিতরণ। আজই পরিবর্ধিত পান।
- PlatoData.Network উল্লম্ব জেনারেটিভ Ai. নিজেকে ক্ষমতায়িত করুন। এখানে প্রবেশ করুন.
- প্লেটোএআইস্ট্রিম। Web3 ইন্টেলিজেন্স। জ্ঞান প্রসারিত. এখানে প্রবেশ করুন.
- প্লেটোইএসজি। কার্বন, ক্লিনটেক, শক্তি, পরিবেশ সৌর, বর্জ্য ব্যবস্থাপনা. এখানে প্রবেশ করুন.
- প্লেটো হেলথ। বায়োটেক এবং ক্লিনিক্যাল ট্রায়াল ইন্টেলিজেন্স। এখানে প্রবেশ করুন.
- উত্স: https://www.darkreading.com/application-security/us-government-taking-bigger-role-in-software-security
