বিষয়বস্তু লুকান
1 AXIS নিরাপত্তা উন্নয়ন মডেল সফ্টওয়্যার
2 ভূমিকা
3 শব্দকোষ
4 ASDM শেষview
5 সফটওয়্যার সিকিউরিটি গ্রুপ (SSG)
6 ASDM শাসন
7 ASDM অবস্থা কাঠামো
8 উপাদান অবস্থা
9 সমাধান অবস্থা
10 ASDM কার্যক্রম
11 দলিল/সম্পদ
11.1 তথ্যসূত্র
12 সম্পর্কিত পোস্ট

AXIS-লোগো

AXIS নিরাপত্তা উন্নয়ন মডেল সফ্টওয়্যার

AXIS নিরাপত্তা উন্নয়ন মডেল সফ্টওয়্যার-fig1

ভূমিকা

ASDM উদ্দেশ্য
অ্যাক্সিস সিকিউরিটি ডেভেলপমেন্ট মডেল (এএসডিএম) হল একটি ফ্রেমওয়ার্ক যা শুরু থেকে ডিকমিশন পর্যন্ত লাইফ সাইকেল জুড়ে বিল্ট-ইন নিরাপত্তা সহ সফ্টওয়্যার তৈরি করতে অ্যাক্সিস দ্বারা ব্যবহৃত প্রক্রিয়া এবং সরঞ্জামগুলিকে সংজ্ঞায়িত করে।

ASDM প্রচেষ্টা চালানোর প্রাথমিক উদ্দেশ্যগুলি হল৷

  • সফ্টওয়্যার নিরাপত্তাকে অ্যাক্সিস সফ্টওয়্যার উন্নয়ন কার্যক্রমের একটি সমন্বিত অংশ করুন।
  • Axis গ্রাহকদের জন্য নিরাপত্তা সম্পর্কিত ব্যবসায়িক ঝুঁকি হ্রাস করুন।
  • Meet increasing awareness of security considerations by customers and partners.
  • সমস্যাগুলির প্রাথমিক সনাক্তকরণ এবং সমাধানের কারণে খরচ কমানোর সম্ভাবনা তৈরি করুন
    ASDM স্কোপ হল অ্যাক্সিস সফ্টওয়্যার যা অক্ষ পণ্য এবং সমাধানগুলির মধ্যে অন্তর্ভুক্ত। সফটওয়্যার সিকিউরিটি গ্রুপ (SSG) হল ASDM-এর মালিক এবং রক্ষণাবেক্ষণকারী।

শব্দকোষ

এএসডিএম অক্ষ নিরাপত্তা উন্নয়ন মডেল
এসএসজি সফটওয়্যার সিকিউরিটি গ্রুপ
ফার্মওয়্যার স্টিয়ারিং দল গবেষণা ও উন্নয়ন ব্যবস্থাপনা
স্যাটেলাইট সফ্টওয়্যার নিরাপত্তার জন্য একটি প্রাকৃতিক সম্পর্ক আছে যারা বিকাশকারী
দুর্বলতা বোর্ড বহিরাগত গবেষকদের দ্বারা পাওয়া দুর্বলতা সম্পর্কিত অক্ষ যোগাযোগ বিন্দু
বাগ বার একটি পণ্য বা সমাধান জন্য নিরাপত্তা লক্ষ্য
ডিএফডি তথ্য প্রবাহ চিত্র

ASDM শেষview

এএসডিএম প্রধান উন্নয়ন পর্যায় জুড়ে ছড়িয়ে থাকা বিভিন্ন কার্যক্রমের অন্তর্ভুক্ত। নিরাপত্তা কার্যক্রম সম্মিলিতভাবে ASDM হিসেবে চিহ্নিত করা হয়।

AXIS নিরাপত্তা উন্নয়ন মডেল সফ্টওয়্যার-fig3

The SSG is responsible for governing the ASDM and evolving the toolbox over time. There is an ASDM roadmap and a rollout plan for implementing new activities and increasing ASDM maturity across the development organization. Both the roadmap and rollout plan are owned by the SSG, but the responsibility for actual implementation in practice (i.e., performing activities related to development phases) is delegated to the R&D teams.

সফটওয়্যার সিকিউরিটি গ্রুপ (SSG)

এসএসজি হল নিরাপত্তা সংক্রান্ত সমস্যাগুলির জন্য উন্নয়ন সংস্থাগুলির সাথে প্রধান অভ্যন্তরীণ যোগাযোগের সংস্থা। এতে নিরাপত্তা লিডস এবং অন্যান্যদের মধ্যে রয়েছে যা উন্নয়ন ক্ষেত্র যেমন প্রয়োজনীয়তা, নকশা, বাস্তবায়ন, যাচাইকরণ,
পাশাপাশি ক্রস-ফাংশনাল DevOps প্রসেস।
এসএসজি উন্নয়ন সংস্থায় নিরাপদ উন্নয়ন অনুশীলন এবং নিরাপত্তা সচেতনতার জন্য ASDM-এর উন্নয়ন ও রক্ষণাবেক্ষণের জন্য দায়ী।

উপগ্রহ
স্যাটেলাইট হল ডেভেলপমেন্ট অর্গানাইজেশনের সদস্য যারা তাদের সময়ের একটি অংশ সফ্টওয়্যার নিরাপত্তা দিক নিয়ে কাজ করে। স্যাটেলাইট থাকার কারণ হল:

  • একটি বড় কেন্দ্রীয় SSG নির্মাণ না করে ASDM স্কেল করুন
  • উন্নয়ন দলগুলির কাছাকাছি ASDM সহায়তা প্রদান করুন
  • জ্ঞান ভাগ করে নেওয়ার সুবিধা দিন, যেমন, সর্বোত্তম অনুশীলন
    একটি স্যাটেলাইট নতুন কার্যক্রম বাস্তবায়নে এবং উন্নয়ন দলের একটি উপসেটে ASDM বজায় রাখতে সহায়তা করবে।

ASDM কার্যকলাপ রোলআউট
ASDM কার্যকলাপ একটি উন্নয়ন দল রোলআউট হিসাবেtaged প্রক্রিয়া:

  1. ভূমিকা-নির্দিষ্ট প্রশিক্ষণের মাধ্যমে দলটিকে নতুন কার্যকলাপের সাথে পরিচিত করা হয়।
  2. SSG টিমের সাথে একত্রে ক্রিয়াকলাপ সম্পাদন করতে কাজ করে, যেমন, ঝুঁকি মূল্যায়ন বা হুমকি মডেলিং, টিম দ্বারা পরিচালিত সিস্টেমের নির্বাচিত অংশগুলির জন্য।
  3. দৈনন্দিন কাজে টুলবক্সকে একীভূত করার সাথে সম্পর্কিত আরও কার্যক্রম টিম এবং স্যাটেলাইটের কাছে হস্তান্তর করা হবে যখন তারা সরাসরি SSG জড়িত না হয়ে স্বাধীনভাবে কাজ করতে প্রস্তুত হবে। এই পর্যায়ে, কাজ টিম ম্যানেজার দ্বারা ASDM অবস্থার মাধ্যমে পরিচালিত হয়।
    সংশোধিত এবং/অথবা যোগ করা কার্যকলাপ সহ ASDM-এর নতুন সংস্করণ উপলব্ধ হলে রোলআউটটি পুনরাবৃত্তি হয়। একটি দলের সাথে SSG কত সময় ব্যয় করেছে তা কার্যকলাপ এবং কোড জটিলতার উপর অত্যন্ত নির্ভরশীল। টিমের কাছে সফল হস্তান্তরের জন্য একটি মূল কারণ হল একটি এমবেডেড স্যাটেলাইটের অস্তিত্ব যারা টিমের সাথে আরও ASDM কাজ চালিয়ে যেতে পারে। এসএসজি ক্রিয়াকলাপ রোলআউটের সাথে সমান্তরালভাবে উপগ্রহের শিক্ষা এবং অ্যাসাইনমেন্ট চালায়।
    নীচের চিত্রটি রোলআউট পদ্ধতির সংক্ষিপ্ত বিবরণ দেয়।

    AXIS নিরাপত্তা উন্নয়ন মডেল সফ্টওয়্যার-fig4

হস্তান্তরের জন্য "সম্পন্ন" এর SSG সংজ্ঞা হল:

  • ভূমিকা নির্দিষ্ট প্রশিক্ষণ সঞ্চালিত
  • স্যাটেলাইট বরাদ্দ করা হয়েছে
  • দল ASDM কার্যকলাপ সঞ্চালনের জন্য প্রস্তুত
  • পুনরাবৃত্ত এএসডিএম স্ট্যাটাস মিটিং প্রতিষ্ঠিত হয়েছে
    SSG সিনিয়র ম্যানেজমেন্টের কাছে স্ট্যাটাস রিপোর্ট একত্রিত করার জন্য দলগুলির থেকে ইনপুট ব্যবহার করে।

অন্যান্য এসএসজি কার্যক্রম
রোলআউট কার্যক্রমের সমান্তরালে, এসএসজি বৃহত্তর নিরাপত্তা সচেতনতামূলক প্রশিক্ষণ কার্যক্রম পরিচালনা করে যেমন, নতুন কর্মচারী এবং সিনিয়র ব্যবস্থাপনাকে লক্ষ্য করে। অতিরিক্তভাবে, SSG সামগ্রিক/স্থাপত্য ঝুঁকি মূল্যায়নের উদ্দেশ্যে অক্ষ সমাধানগুলির একটি নিরাপত্তা হিট মানচিত্র বজায় রাখে। নির্দিষ্ট মডিউলগুলির জন্য সক্রিয় নিরাপত্তা বিশ্লেষণ কার্যক্রম তাপ মানচিত্রের উপর ভিত্তি করে সঞ্চালিত হয়।

ভূমিকা এবং দায়িত্ব
নীচের সারণীতে দেখানো হয়েছে, কিছু মূল সত্তা এবং ভূমিকা রয়েছে যা ASDM প্রোগ্রামের অংশ। নীচের সারণীটি ASDM-এর সাথে সম্পর্কিত ভূমিকা এবং দায়িত্বগুলিকে সংক্ষিপ্ত করে।

ভূমিকা/সত্তা অংশ দায়িত্ব মন্তব্য করুন
নিরাপত্তা বিশেষজ্ঞ এসএসজি ASDM পরিচালনা করুন, টুলবক্সের বিকাশ করুন এবং ASDM রোলআউট চালান এসএসজিকে 100% বরাদ্দ করা হয়েছে
স্যাটেলাইট উন্নয়ন লাইন প্রথমবার ASDM বাস্তবায়নে SSG-কে সাহায্য করুন, দলকে প্রশিক্ষন দিন, প্রশিক্ষণ প্রদান করুন এবং নিশ্চিত করুন যে দল SSG থেকে স্বাধীনভাবে দৈনিক কাজের অংশ হিসেবে টুলবক্স ব্যবহার চালিয়ে যেতে পারে। স্যাটেলাইটের মোট সংখ্যা সীমাবদ্ধ করার জন্য ক্রস-টিম দায়িত্ব (বেশ কয়েকটি দল) প্রয়োজন। আগ্রহী এবং নিযুক্ত ডেভেলপার, স্থপতি, ম্যানেজার, পরীক্ষক এবং অনুরূপ ভূমিকা যাদের সফ্টওয়্যার নিরাপত্তার জন্য স্বাভাবিক সম্পর্ক রয়েছে। স্যাটেলাইটগুলি তাদের সময়ের কমপক্ষে 20% ASDM সম্পর্কিত কাজে বরাদ্দ করে।
ম্যানেজারদের উন্নয়ন লাইন ASDM অনুশীলন বাস্তবায়নের জন্য নিরাপদ সম্পদ। ড্রাইভ ট্র্যাকিং এবং ASDM স্থিতি এবং কভারেজের উপর রিপোর্টিং। ডেভেলপমেন্ট টিমগুলি ASDM বাস্তবায়নের মালিক, SSG একটি সমর্থন সংস্থান হিসাবে।
ফার্মওয়্যার স্টিয়ারিং গ্রুপ (FW SG) গবেষণা ও উন্নয়ন ব্যবস্থাপনা নিরাপত্তা কৌশল নির্ধারণ করে এবং প্রধান SSG রিপোর্টিং চ্যানেল হিসেবে কাজ করে। SSG নিয়মিতভাবে FW SG কে রিপোর্ট করে।

ASDM শাসন

শাসন ​​ব্যবস্থা নিম্নলিখিত অংশগুলি নিয়ে গঠিত:

  • ASDM কার্যক্রমকে অগ্রাধিকার দিতে সাহায্য করার জন্য সিস্টেম ঝুঁকির হিটম্যাপ
  • প্রশিক্ষণ প্রচেষ্টার উপর ফোকাস করার জন্য রোলআউট পরিকল্পনা এবং অবস্থা
  • টুলবক্স বিকশিত করার জন্য রোডম্যাপ
  • ASDM কার্যক্রম কতটা ভালোভাবে সংগঠনে একত্রিত হয়েছে তা পরিমাপ করার জন্য অবস্থা

ASDM সিস্টেম এইভাবে একটি কৌশলগত/অপারেশনাল দৃষ্টিকোণ এবং সেইসাথে একটি কৌশলগত/নির্বাহী দৃষ্টিকোণ থেকে সমর্থিত।
চিত্রে ডানদিকের কার্যনির্বাহী নির্দেশিকা অক্ষ ব্যবসায়িক লক্ষ্যগুলির সাথে সামঞ্জস্য রেখে সর্বোত্তম কার্যকারিতার জন্য সংস্থাকে কীভাবে বিকাশ করা যায় তার উপর ফোকাস করে। ফার্মওয়্যার স্টিয়ারিং গ্রুপ, CTO এবং পণ্য ব্যবস্থাপনার প্রতি SSG দ্বারা সম্পাদিত ASDM স্ট্যাটাস রিপোর্টিং এর একটি গুরুত্বপূর্ণ ইনপুট।

AXIS নিরাপত্তা উন্নয়ন মডেল সফ্টওয়্যার-fig5

ASDM অবস্থা কাঠামো

ASDM স্ট্যাটাস কাঠামোর দুটি দৃষ্টিভঙ্গি রয়েছে: একটি দলকেন্দ্রিক আমাদের দল এবং বিভাগ কাঠামোর অনুকরণ করে, এবং একটি সমাধান কেন্দ্রীক যা আমরা বাজারে নিয়ে আসা সমাধানগুলিতে ফোকাস করে।
নীচের চিত্রটি ASDM স্থিতি কাঠামোকে চিত্রিত করে।

দলের অবস্থা
টিম স্ট্যাটাসে এর ASDM পরিপক্কতার টিমের স্ব-মূল্যায়ন, তাদের নিরাপত্তা বিশ্লেষণ কার্যক্রমের সাথে সম্পর্কিত মেট্রিক্স এবং সেইসাথে তারা যে উপাদানগুলির জন্য দায়ী সেগুলির নিরাপত্তা স্থিতির সমষ্টি রয়েছে।

AXIS নিরাপত্তা উন্নয়ন মডেল সফ্টওয়্যার-fig6

Axis ASDM পরিপক্কতাকে ASDM সংস্করণ হিসাবে সংজ্ঞায়িত করে যা দলটি বর্তমানে ব্যবহার করে। যেহেতু ASDM বিকশিত হচ্ছে, আমরা ASDM সংস্করণকে সংজ্ঞায়িত করেছি যেখানে ASDM-এর প্রতিটি সংস্করণে ক্রিয়াকলাপের একটি অনন্য সেট রয়েছে। প্রাক্তন জন্যample, আমাদের ASDM এর প্রথম সংস্করণ হুমকি মডেলিং উপর দৃষ্টি নিবদ্ধ করা হয়.
অক্ষ নিম্নলিখিত ASDM সংস্করণগুলিকে সংজ্ঞায়িত করেছে:

ASDM সংস্করণ নতুন কার্যকলাপ
ASDM 1.0 ঝুঁকি মূল্যায়ন এবং হুমকি মডেলিং
ASDM 2.0 স্ট্যাটিক কোড পুনরায়view
ASDM 2.1 নকশা দ্বারা গোপনীয়তা
ASDM 2.2 সফ্টওয়্যার রচনা বিশ্লেষণ
ASDM 2.3 বাহ্যিক অনুপ্রবেশ পরীক্ষা
ASDM 2.4 দুর্বলতা স্ক্যানিং এবং ফায়ার ড্রিল
ASDM 2.5 পণ্য/সমাধান নিরাপত্তা অবস্থা

তারা কোন ASDM সংস্করণ ব্যবহার করে তার দলকে মালিকানা দেওয়ার অর্থ হল যে লাইন ম্যানেজারই নতুন ASDM সংস্করণ গ্রহণের জন্য দায়ী। সুতরাং একটি সেটআপের পরিবর্তে যেখানে SSG একটি কেন্দ্রীয় ASDM রোলআউট প্ল্যানকে ঠেলে দেয় এটি এখন পুল-ভিত্তিক এবং পরিচালকদের দ্বারা নিয়ন্ত্রিত হয়।

উপাদান অবস্থা

  • আমাদের কাছে উপাদানের একটি বিস্তৃত সংজ্ঞা রয়েছে যেহেতু আমাদের প্ল্যাটফর্মে লিনাক্স ডেমনস থেকে শুরু করে ক্লাউড (মাইক্রো) পরিষেবা পর্যন্ত সার্ভার সফ্টওয়্যারের মাধ্যমে সমস্ত ধরণের আর্কিটেকচারাল সত্তাকে কভার করতে হবে।
  • প্রতিটি দলকে অবশ্যই একটি বিমূর্ততা স্তরের নিজস্ব মন তৈরি করতে হবে যা তাদের পরিবেশ এবং স্থাপত্যে তাদের জন্য কাজ করে। একটি সাধারণ নিয়ম হিসাবে, দলগুলির একটি নতুন বিমূর্ততা স্তর উদ্ভাবন করা এড়ানো উচিত এবং তারা ইতিমধ্যে তাদের দৈনন্দিন কাজে যা ব্যবহার করছে তা রাখা উচিত।
  • ধারণা হল প্রতিটি দলের একটি পরিষ্কার থাকা উচিত view তাদের সমস্ত উচ্চ-ঝুঁকির উপাদানগুলির মধ্যে, যার মধ্যে নতুন এবং সেইসাথে লিগ্যাসি উপাদান অন্তর্ভুক্ত রয়েছে। উত্তরাধিকার উপাদানগুলির প্রতি এই বর্ধিত আগ্রহের অনুপ্রেরণাটি সমাধানের জন্য নিরাপত্তা স্থিতি দেখার আমাদের ক্ষমতার সাথে যুক্ত। একটি সমাধানের ক্ষেত্রে, আমরা সমাধানের নতুন এবং পুরানো সমস্ত অংশের নিরাপত্তা স্থিতিতে দৃশ্যমানতা রাখতে চাই।
  • অনুশীলনে এর অর্থ হল প্রতিটি দলকে অবশ্যই তাদের উপাদানগুলির তালিকা দেখতে হবে এবং একটি ঝুঁকি মূল্যায়ন করতে হবে।
  • আমাদের প্রথম জিনিসটি জানতে হবে যে উপাদানটির নিরাপত্তা বিশ্লেষণ করা হয়েছে কিনা। যদি এটি না থাকে, আমরা সত্যিই উপাদানটির নিরাপত্তা গুণমান সম্পর্কে কিছুই জানি না।

আমরা এই সম্পত্তি কভারেজ কল এবং নিম্নলিখিত কভারেজ স্তর সংজ্ঞায়িত করেছি:

কভারেজ বর্ণনা
বিশ্লেষণ করা হয়নি উপাদান এখনও বিশ্লেষণ করা হয়নি
বিশ্লেষণ চলছে উপাদান বিশ্লেষণ করা হচ্ছে
বিশ্লেষণ করা হয়েছে উপাদান বিশ্লেষণ করা হয়েছে

উপাদানটির নিরাপত্তা গুণমান ক্যাপচার করতে আমরা যে মেট্রিকগুলি ব্যবহার করি তা উপাদানটির সাথে সংযুক্ত ব্যাকলগের নিরাপত্তা কাজের আইটেমগুলির উপর ভিত্তি করে। এটি এমন পাল্টা ব্যবস্থা হতে পারে যা বাস্তবায়িত হয়নি, পরীক্ষার ক্ষেত্রে যেগুলি কার্যকর করা হয়নি এবং নিরাপত্তা বাগগুলি যা সমাধান করা হয়নি।

সমাধান অবস্থা

সলিউশন স্ট্যাটাস সমাধান তৈরি করে এমন উপাদানগুলির একটি সেটের নিরাপত্তা স্থিতিকে একত্রিত করে।
সমাধান অবস্থার প্রথম অংশ উপাদান বিশ্লেষণ কভারেজ হয়. এটি সমাধানের মালিকদের বুঝতে সাহায্য করে যে সমাধানটির নিরাপত্তা স্থিতি জানা আছে বা না থাকলে। এক দৃষ্টিকোণ থেকে এটি অন্ধ দাগ চিহ্নিত করতে সাহায্য করে। সমাধানের বাকি স্থিতিতে এমন মেট্রিক রয়েছে যা সমাধানের নিরাপত্তা গুণমান ক্যাপচার করে। আমরা সমাধানের উপাদানগুলির সাথে সংযুক্ত সুরক্ষা কাজের আইটেমগুলি দেখে তা করি৷ নিরাপত্তা স্থিতির একটি গুরুত্বপূর্ণ দিক হল সমাধান মালিকদের দ্বারা সংজ্ঞায়িত বাগ বার। সমাধানের মালিকদের অবশ্যই তাদের সমাধানের জন্য একটি উপযুক্ত নিরাপত্তা স্তর নির্ধারণ করতে হবে। প্রাক্তন জন্যampলে, এর মানে হল যে সমাধানের কোন অসামান্য সমালোচনামূলক বা উচ্চ তীব্রতার কাজের আইটেম বাজারে ছাড়ার সময় খোলা থাকবে না।

ASDM কার্যক্রম

ঝুঁকি মূল্যায়ন
ঝুঁকি মূল্যায়নের মূল উদ্দেশ্য হল কোন উন্নয়ন কর্মকান্ডের জন্য টিমের মধ্যে নিরাপত্তামূলক কাজ করার প্রয়োজন হবে তা ফিল্টার করা।
কোনো নতুন পণ্য বা বিদ্যমান পণ্যে সংযোজিত/পরিবর্তিত বৈশিষ্ট্য ঝুঁকির প্রকাশ বাড়ায় কিনা তা বিচার করে ঝুঁকি মূল্যায়ন করা হয়। মনে রাখবেন যে এতে ডেটা গোপনীয়তার দিক এবং সম্মতির প্রয়োজনীয়তাও অন্তর্ভুক্ত রয়েছে। যেমনampঝুঁকির প্রভাবে থাকা পরিবর্তনগুলির মধ্যে রয়েছে নতুন API, অনুমোদনের প্রয়োজনীয়তার পরিবর্তন, নতুন মিডলওয়্যার ইত্যাদি।

ডেটা গোপনীয়তা
বিশ্বাস হল অক্ষের জন্য একটি মূল ফোকাস ক্ষেত্র এবং যেমন, আমাদের পণ্য, সমাধান এবং পরিষেবাগুলির দ্বারা সংগৃহীত ব্যক্তিগত ডেটা নিয়ে কাজ করার সময় সর্বোত্তম অনুশীলনগুলি অনুসরণ করা গুরুত্বপূর্ণ৷
ডেটা গোপনীয়তার সাথে সম্পর্কিত অক্ষ প্রচেষ্টার সুযোগ এমনভাবে সংজ্ঞায়িত করা হয়েছে যে আমরা করতে পারি:

  • আইনি বাধ্যবাধকতা পূরণ করুন
  • চুক্তিভিত্তিক বাধ্যবাধকতা পূরণ করুন
  • গ্রাহকদের তাদের বাধ্যবাধকতা পূরণ করতে সাহায্য করুন

আমরা ডেটা গোপনীয়তা কার্যকলাপকে দুটি উপ-ক্রিয়াকলাপে বিভক্ত করি:

  • তথ্য গোপনীয়তা মূল্যায়ন
    • ঝুঁকি মূল্যায়ন সময় সম্পন্ন
    • ডেটা গোপনীয়তা বিশ্লেষণের প্রয়োজন হলে শনাক্ত করে
  •  তথ্য গোপনীয়তা বিশ্লেষণ
    • প্রযোজ্য হলে, হুমকি মডেলিংয়ের সময় সম্পন্ন হয়েছে
    • ব্যক্তিগত তথ্য এবং ব্যক্তিগত তথ্যের হুমকি সনাক্ত করে
    • গোপনীয়তার প্রয়োজনীয়তা সংজ্ঞায়িত করে

হুমকি মডেলিং
আমরা হুমকি সনাক্ত করা শুরু করার আগে, আমাদের হুমকি মডেলের সুযোগ সম্পর্কে সিদ্ধান্ত নিতে হবে। সুযোগটি প্রকাশ করার একটি উপায় হল আক্রমণকারীদের বর্ণনা করা যা আমাদের বিবেচনা করতে হবে। এই পদ্ধতিটি আমাদেরকে উচ্চ-স্তরের আক্রমণের সারফেসগুলি সনাক্ত করতেও অনুমতি দেবে যা আমাদের বিশ্লেষণে অন্তর্ভুক্ত করতে হবে।

AXIS নিরাপত্তা উন্নয়ন মডেল সফ্টওয়্যার-fig7

  • হুমকি স্কোপিংয়ের সময় ফোকাস আক্রমণকারীদের খুঁজে বের করা এবং শ্রেণীবদ্ধ করার উপর আমরা সিস্টেমের একটি উচ্চ-স্তরের বর্ণনা ব্যবহার করে পরিচালনা করতে চাই। বিশেষভাবে বর্ণনাটি ডেটা ফ্লো ডায়াগ্রাম (DFD) ব্যবহার করে করা হয় কারণ এটি হুমকি মডেলটি করার সময় ব্যবহৃত আরও বিশদ ব্যবহারের ক্ষেত্রে বর্ণনাগুলিকে সংযুক্ত করা সহজ করে তোলে।
  • এর অর্থ এই নয় যে আমরা যে সমস্ত আক্রমণকারীদের চিহ্নিত করি তাদের বিবেচনা করা দরকার, এর সহজ অর্থ হল আমরা হুমকি মডেলে যে আক্রমণকারীদের সম্বোধন করব তাদের সম্পর্কে আমরা স্পষ্ট এবং সামঞ্জস্যপূর্ণ। সুতরাং, মূলত আমরা যে আক্রমণকারীদের বিবেচনা করতে বেছে নেব সেগুলি আমরা মূল্যায়ন করছি সেই সিস্টেমের নিরাপত্তা স্তরকে সংজ্ঞায়িত করবে৷
    মনে রাখবেন যে আমাদের আক্রমণকারীর বিবরণ আক্রমণকারীর ক্ষমতা বা অনুপ্রেরণার উপর নির্ভর করে না। আমরা যতটা সম্ভব হুমকি মডেলিংকে সহজ ও প্রবাহিত করার জন্য এই পদ্ধতিটি বেছে নিয়েছি।

    AXIS নিরাপত্তা উন্নয়ন মডেল সফ্টওয়্যার-fig8

থ্রেট মডেলিংয়ের তিনটি ধাপ রয়েছে যা দলটিকে উপযুক্ত মনে করার সাথে সাথে পুনরাবৃত্তি করা যেতে পারে:

  1. DFD-এর একটি সেট ব্যবহার করে সিস্টেমটি বর্ণনা করুন
  2. হুমকি শনাক্ত করতে এবং অপব্যবহারের ক্ষেত্রে তাদের বর্ণনা করতে DFD ব্যবহার করুন
  3. 3. হুমকির জন্য পাল্টা ব্যবস্থা এবং যাচাইকরণ সংজ্ঞায়িত করুন
    একটি হুমকি মডেলিং কার্যকলাপের ফলাফল হল একটি হুমকি মডেল যা অগ্রাধিকারযুক্ত হুমকি এবং পাল্টা ব্যবস্থা ধারণ করে। পাল্টা ব্যবস্থার মোকাবেলা করার জন্য প্রয়োজনীয় উন্নয়নমূলক কাজগুলি জিরা টিকিট তৈরির মাধ্যমে পরিচালিত হয় পাল্টা ব্যবস্থা বাস্তবায়ন এবং যাচাইকরণের জন্য।

    AXIS নিরাপত্তা উন্নয়ন মডেল সফ্টওয়্যার-fig9

স্ট্যাটিক কোড বিশ্লেষণ
ASDM-এ, দলগুলি তিনটি উপায়ে স্ট্যাটিক কোড বিশ্লেষণ ব্যবহার করতে পারে:

  • ডেভেলপার ওয়ার্কফ্লো: ডেভেলপাররা যে কোডে কাজ করছে তা বিশ্লেষণ করে
  • গেরিট ওয়ার্কফ্লো: ডেভেলপাররা গেরিটে প্রতিক্রিয়া পান
  • উত্তরাধিকার কর্মপ্রবাহ: দলগুলি উচ্চ ঝুঁকিপূর্ণ উত্তরাধিকার উপাদান বিশ্লেষণ করে

    AXIS নিরাপত্তা উন্নয়ন মডেল সফ্টওয়্যার-fig10

দুর্বলতা স্ক্যানিং
নিয়মিত দুর্বলতা স্ক্যানিং উন্নয়ন দলগুলিকে পণ্যগুলি জনসাধারণের কাছে প্রকাশ করার আগে সফ্টওয়্যার দুর্বলতাগুলি সনাক্ত করতে এবং প্যাচ করতে দেয়, পণ্য বা পরিষেবা স্থাপন করার সময় গ্রাহকদের ঝুঁকি হ্রাস করে। প্রতিটি রিলিজ হার্ডওয়্যার, সফ্টওয়্যার) বা চলমান সময়সূচীতে (পরিষেবা) উভয় ওপেন সোর্স এবং বাণিজ্যিক দুর্বলতা স্ক্যানিং প্যাকেজ ব্যবহার করে স্ক্যানিং করা হয়। জিরা ইস্যু ট্র্যাকিং প্ল্যাটফর্মে টিকিট তৈরি করতে স্ক্যানের ফলাফল ব্যবহার করা হয়। টিকিট একটি বিশেষ দেওয়া হয় tag একটি দুর্বলতা স্ক্যান থেকে আসা হিসাবে ডেভেলপমেন্ট টিম দ্বারা সনাক্ত করা যায় এবং তাদের একটি উন্নত অগ্রাধিকার দেওয়া উচিত। সমস্ত দুর্বলতা স্ক্যান এবং জিরা টিকিটগুলি কেন্দ্রীয়ভাবে সংরক্ষণ করা হয় এবং অডিট করার উদ্দেশ্যে। গুরুতর দুর্বলতাগুলি মুক্তির আগে বা একটি বিশেষ পরিষেবা প্রকাশে অন্যান্য, অ-গুরুত্বপূর্ণ দুর্বলতার সাথে সমাধান করা উচিত,
ফার্মওয়্যার বা সফ্টওয়্যার রিলিজ চক্রের সাথে সারিবদ্ধভাবে ট্র্যাক করা এবং সমাধান করা হয়েছে। কীভাবে দুর্বলতাগুলি স্কোর এবং পরিচালিত হয় সে সম্পর্কে আরও তথ্যের জন্য, 12 পৃষ্ঠায় দুর্বলতা ব্যবস্থাপনা দেখুন

বাহ্যিক অনুপ্রবেশ পরীক্ষা
নির্বাচিত ক্ষেত্রে, অক্ষ হার্ডওয়্যার বা সফ্টওয়্যার পণ্যগুলিতে তৃতীয় পক্ষের অনুপ্রবেশ পরীক্ষা করা হয়। এই পরীক্ষাগুলি চালানোর মূল উদ্দেশ্য হল একটি নির্দিষ্ট টাইমপয়েন্টে এবং একটি নির্দিষ্ট সুযোগের জন্য প্ল্যাটর্মের নিরাপত্তা সম্পর্কিত অন্তর্দৃষ্টি এবং নিশ্চয়তা প্রদান করা। ASDM-এর সাথে আমাদের প্রাথমিক লক্ষ্যগুলির মধ্যে একটি হল স্বচ্ছতা তাই আমরা আমাদের গ্রাহকদের আমাদের পণ্যগুলিতে বাহ্যিক অনুপ্রবেশ পরীক্ষা করতে উত্সাহিত করি এবং পরীক্ষার জন্য উপযুক্ত প্যারামিটার নির্ধারণ করার পাশাপাশি ফলাফলগুলি ব্যাখ্যা করার বিষয়ে আলোচনা করার সময় আমরা সহযোগিতা করতে পেরে খুশি।

দুর্বলতা ব্যবস্থাপনা
Axis হল, 2021 সাল থেকে, একটি নিবন্ধিত CVE নামকরণ কর্তৃপক্ষ (CNA) এবং তাই তৃতীয় পক্ষের দুর্বলতা স্ক্যানার এবং অন্যান্য সরঞ্জামগুলির দ্বারা ব্যবহারের জন্য MITER ডাটাবেসে স্ট্যান্ডার্ড CVE রিপোর্ট প্রকাশ করতে সক্ষম৷ দুর্বলতা বোর্ড (VB) হল বহিরাগত গবেষকদের দ্বারা আবিষ্কৃত দুর্বলতার জন্য অভ্যন্তরীণ অক্ষ যোগাযোগ বিন্দু। এর রিপোর্টিং
আবিষ্কৃত দুর্বলতা এবং পরবর্তী প্রতিকার পরিকল্পনার মাধ্যমে যোগাযোগ করা হয় product-security@axis.com ইমেল ঠিকানা
দুর্বলতা বোর্ডের প্রধান দায়িত্ব হল ব্যবসায়িক দৃষ্টিকোণ থেকে রিপোর্ট করা দুর্বলতাগুলিকে বিশ্লেষণ করা এবং অগ্রাধিকার দেওয়া,

  • SSG দ্বারা প্রদত্ত প্রযুক্তিগত শ্রেণীবিভাগ
  • যে পরিবেশে অ্যাক্সিস ডিভাইস কাজ করে সেখানে শেষ-ব্যবহারকারীদের জন্য সম্ভাব্য ঝুঁকি
  • ক্ষতিপূরণের প্রাপ্যতা সুরক্ষা নিয়ন্ত্রণ করে প্যাচিং ছাড়াই বিকল্প ঝুঁকি প্রশমন)

VB CVE নম্বর নিবন্ধন করে এবং প্রতিবেদকের সাথে কাজ করে দুর্বলতার জন্য একটি CVSS স্কোর বরাদ্দ করতে। VB অক্ষ নিরাপত্তা বিজ্ঞপ্তি পরিষেবা, প্রেস রিলিজ এবং সংবাদ নিবন্ধগুলির মাধ্যমে অংশীদার এবং গ্রাহকদের সাথে বাহ্যিক যোগাযোগ চালায়।

AXIS নিরাপত্তা উন্নয়ন মডেল সফ্টওয়্যার-fig11

Axis Security Development Model © Axis Communications AB, 2022

দলিল/সম্পদ

AXIS নিরাপত্তা উন্নয়ন মডেল সফ্টওয়্যার [পিডিএফ] ব্যবহারকারী ম্যানুয়াল
সিকিউরিটি ডেভেলপমেন্ট মডেল, সফটওয়্যার, সিকিউরিটি ডেভেলপমেন্ট মডেল সফটওয়্যার

তথ্যসূত্র

সম্পর্কিত পোস্ট

একটি মন্তব্য করুন

আপনার ইমেল ঠিকানা প্রকাশ করা হবে না. প্রয়োজনীয় ক্ষেত্রগুলি চিহ্নিত করা হয়েছে *